Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Threat Intelligence dla dojrzałych

98d357c4b232e6365648d3e38e660fa1?s=47 White Cat Security
April 10, 2018
170

Threat Intelligence dla dojrzałych

Prezentacja wygłoszona podczas spotkania CSO Council, Warszawa, 10/04/2018.

98d357c4b232e6365648d3e38e660fa1?s=128

White Cat Security

April 10, 2018
Tweet

Transcript

  1. Threat Intelligence: rewolucja przez ewolucje Przemysław Skowron, 10.04.2018

  2. Threat Intelligence dla dojrzałych Przemysław Skowron, 10.04.2018

  3. ł • “zawodowo” w IT Security od 2004 • prawie

    7 lat w sektorze finansowym - Grupa Alior Bank S.A. (2008-2015) • odpowiedzialny za budowę pierwszego zespołu typu CSIRT w sektorze finansowym w Polsce
  4. • dostarczamy to czego nam brakowało: • Doświadczenie ze zwycięstw

    i porażek lekcji przy budowaniu SOC/CERT • Wsparcie przy Obsłudze Incydentów • Wywiad na temat zagrożeń (Threat Intelligence) • Organizujemy Polowania (Threat Hunting)
  5. Agenda • Cel używania Threat Intelligence • “głodowe” vs. “bogate”

    IOC • Czego chcieć więcej niż IOC? • Podsumowanie (Q&A)
  6. Założenia • Nie dotykam kwestii Deep/Dark Web • Koncentruję się

    na APT oraz pokrewnych, dotkliwych zagrożeniach (notPetya, Trickbot, itp.) • Threat Intelligence to nie panaceum • Nie mam wszystkiego w ofercie (!)
  7. Cel używania TI

  8. Cel używania TI dowiedzieć się, że mnie zaatakują / zaatakowali:

    - podejście reaktywne - mało angażujące (przy braku informacji) - “gwarantowany” incydent - dużo stresu kiedy pojawia się informacja
  9. Cel używania TI dowiedzieć się jak mnie mogą zaatakować: -

    podejście proaktywne - czyżby? - angażujące na okrągło (czytamy/słuchamy) - nic nie gwarantujące podejście*
  10. Cel używania TI “Not memory for memory’s sake, not accumulation

    of knowledge, but synthesis and application.” -- Bruce Lee
  11. Cel używania TI przygotować się na atak w obszarze: –

    detekcji (SIEM, Threat Hunting) – prewencji (Hardening) – reagowania (Playbooks) w możliwie efektywny i długotrwały sposób
  12. Cel używania TI przygotować się na atak: - podejście proaktywne

    (!) - angażujące i generujące zadania - obniżające poziom stresu (!!) - może zmuszać napastnika do kosztownych zmian - ułatwia odpowiadanie na trudne pytania - ułatwia podejmowanie decyzji (!!!)
  13. Cel używania TI

  14. Lazarus w Polsce: jesień 2017 • Linia czasu: – 22.09.2017

    - oferta pracy opublikowana na stronie JP Morgan – 05.10.2017 - dokument MS Office z makrem został ukończony przez grupę Lazarus i rozpoczęła się dystrybucja
  15. Guardians of Peace Covellite Hidden Cobra NICKEL ACADEMY ZINC Silent

    Chollima Stardust Chollima Labyrinth Chollima Ricochet Chollima Andariel
  16. Lazarus, Bluenoroff, ... Guardians of Peace Covellite Hidden Cobra NICKEL

    ACADEMY ZINC Silent Chollima Stardust Chollima Labyrinth Chollima Ricochet Chollima Andariel
  17. Lazarus, Bluenoroff, ... Guardians of Peace Covellite Hidden Cobra NICKEL

    ACADEMY ZINC Silent Chollima Stardust Chollima Labyrinth Chollima Ricochet Chollima Andariel
  18. “głodowe” vs “bogate” IOC

  19. “głodowe” vs “bogate” IOC

  20. “głodowe” vs “bogate” IOC Źródło: http://baesystemsai.blogspot.co.uk/2017/10/taiwan-heist-lazarus-tools.html Przypadek?

  21. Czego chcieć więcej niż IOC? • TTP • Taktyka -

    krok: kontrola zainfekowanej stacji • Techniki - metoda: połączenie do C2 przez powszechnie używane porty w organizacji • Procedury - implementacja: port 443/TCP z szyfrowaniem (TLS), certyfikat “self-signed” lub “poprawny”, natomiast wygasły
  22. Czego chcieć więcej niż IOC? Źródło: https://car.mitre.org/caret/

  23. Co zyskasz? • Wiesz czy ten napastnik jest dla Ciebie

    groźny • Wiesz czego nie zobaczysz (zdarzenia) • Wiesz co chcesz monitorować (wykrywać) • Wiesz co chcesz kontrolować (prewencja/blokowanie)
  24. Co zyskasz? • Wiesz czy ten napastnik jest dla Ciebie

    groźny • Wiesz czego nie zobaczysz (zdarzenia) • Wiesz co chcesz monitorować (wykrywać) • Wiesz co chcesz kontrolować (prewencja/blokowanie) ZNASZ SW OJEGO W ROGA
  25. Sesja Q&A

  26. Sesja Q&A Dziękuję za aktywny udział! przemyslaw.skowron@whitecatsec.com