Threat Intelligence dla dojrzałych

Transcript

1. Threat Intelligence: rewolucja przez ewolucje Przemysław Skowron, 10.04.2018

2. Threat Intelligence dla dojrzałych Przemysław Skowron, 10.04.2018

3. ł • “zawodowo” w IT Security od 2004 • prawie

   7 lat w sektorze finansowym - Grupa Alior Bank S.A. (2008-2015) • odpowiedzialny za budowę pierwszego zespołu typu CSIRT w sektorze finansowym w Polsce

4. • dostarczamy to czego nam brakowało: • Doświadczenie ze zwycięstw

   i porażek lekcji przy budowaniu SOC/CERT • Wsparcie przy Obsłudze Incydentów • Wywiad na temat zagrożeń (Threat Intelligence) • Organizujemy Polowania (Threat Hunting)

5. Agenda • Cel używania Threat Intelligence • “głodowe” vs. “bogate”

   IOC • Czego chcieć więcej niż IOC? • Podsumowanie (Q&A)

6. Założenia • Nie dotykam kwestii Deep/Dark Web • Koncentruję się

   na APT oraz pokrewnych, dotkliwych zagrożeniach (notPetya, Trickbot, itp.) • Threat Intelligence to nie panaceum • Nie mam wszystkiego w ofercie (!)

7. Cel używania TI

8. Cel używania TI dowiedzieć się, że mnie zaatakują / zaatakowali:

   - podejście reaktywne - mało angażujące (przy braku informacji) - “gwarantowany” incydent - dużo stresu kiedy pojawia się informacja

9. Cel używania TI dowiedzieć się jak mnie mogą zaatakować: -

   podejście proaktywne - czyżby? - angażujące na okrągło (czytamy/słuchamy) - nic nie gwarantujące podejście*

10. Cel używania TI “Not memory for memory’s sake, not accumulation

    of knowledge, but synthesis and application.” -- Bruce Lee

11. Cel używania TI przygotować się na atak w obszarze: –

    detekcji (SIEM, Threat Hunting) – prewencji (Hardening) – reagowania (Playbooks) w możliwie efektywny i długotrwały sposób

12. Cel używania TI przygotować się na atak: - podejście proaktywne

    (!) - angażujące i generujące zadania - obniżające poziom stresu (!!) - może zmuszać napastnika do kosztownych zmian - ułatwia odpowiadanie na trudne pytania - ułatwia podejmowanie decyzji (!!!)

13. Cel używania TI

14. Lazarus w Polsce: jesień 2017 • Linia czasu: – 22.09.2017

    - oferta pracy opublikowana na stronie JP Morgan – 05.10.2017 - dokument MS Office z makrem został ukończony przez grupę Lazarus i rozpoczęła się dystrybucja

15. Guardians of Peace Covellite Hidden Cobra NICKEL ACADEMY ZINC Silent

    Chollima Stardust Chollima Labyrinth Chollima Ricochet Chollima Andariel

16. Lazarus, Bluenoroff, ... Guardians of Peace Covellite Hidden Cobra NICKEL

    ACADEMY ZINC Silent Chollima Stardust Chollima Labyrinth Chollima Ricochet Chollima Andariel

17. Lazarus, Bluenoroff, ... Guardians of Peace Covellite Hidden Cobra NICKEL

    ACADEMY ZINC Silent Chollima Stardust Chollima Labyrinth Chollima Ricochet Chollima Andariel

18. “głodowe” vs “bogate” IOC

19. “głodowe” vs “bogate” IOC

20. “głodowe” vs “bogate” IOC Źródło: http://baesystemsai.blogspot.co.uk/2017/10/taiwan-heist-lazarus-tools.html Przypadek?

21. Czego chcieć więcej niż IOC? • TTP • Taktyka -

    krok: kontrola zainfekowanej stacji • Techniki - metoda: połączenie do C2 przez powszechnie używane porty w organizacji • Procedury - implementacja: port 443/TCP z szyfrowaniem (TLS), certyfikat “self-signed” lub “poprawny”, natomiast wygasły

22. Czego chcieć więcej niż IOC? Źródło: https://car.mitre.org/caret/

23. Co zyskasz? • Wiesz czy ten napastnik jest dla Ciebie

    groźny • Wiesz czego nie zobaczysz (zdarzenia) • Wiesz co chcesz monitorować (wykrywać) • Wiesz co chcesz kontrolować (prewencja/blokowanie)

24. Co zyskasz? • Wiesz czy ten napastnik jest dla Ciebie

    groźny • Wiesz czego nie zobaczysz (zdarzenia) • Wiesz co chcesz monitorować (wykrywać) • Wiesz co chcesz kontrolować (prewencja/blokowanie) ZNASZ SW OJEGO W ROGA

25. Sesja Q&A

26. Sesja Q&A Dziękuję za aktywny udział! [email protected]