SlideShare a Scribd company logo

Detecting and Defending against Advanced Persistent Threats - DefCamp 2012

Download as PPTX, PDF
DefCamp
DefCamp
1 of 29
Cazacu Bogdan DefCamp @ Bucharest 2012
Ce sunt APT-urile? APT-urile sunt o clasa de hackeri bine finantata, extrem de abili, ce sunt din ce in ce mai des mentionati in presa, de catre companiile de securitate IT, victime dar si de institutii guvernamentale de interes national in aplicarea legii (DIICOT, SRI, NSA, DoD, FBI, MI5, etc). Multi dintre ei ataca indiscriminatoriu si de cele mai multe ori se focuseaza pe tintele mai vulnerabile folosindu-se de incercarile, greu de depistat, de a accesa informatii sensibile.
Ce inseamna APT (Advanced Persistent Threat)? Advanced Hackerul are capacitatea de a se sustrage detectarii si are capacitatea de a obtine si mentine accesul la retele protejate si informatii sensibile continute în acestea. O astfel de entitate se poate adapta foarte usor si detine resursele necesare pentru un asemenea atac Persistent Natura persistenta a amenintarii face dificila prevenirea accesului la retea si, odata ce factorul atacator a obtinut cu succes permisiunile necesare, se poate dovedi a fi foarte dificil eliminarea acesteia. Threat Hackerul nu are doar intentia, dar, are de asemenea, si capacitatea de a avea acces la informatii sensibile stocate electronic in interiorul retelei.
Statistici Generale (pana in Iunie 2011) 91 % …din companii au avut cel putin o bresa de securitate 61 % …din atacuri avut loc datorita infectiilor malware 48 % …din companii o crestere semnificativa a numarului de atacuri cibernetice
Statistici Generale (pana in Iunie 2011) 44 % …din atacuri au fost posibile datorita aplicatiilor vulnerabile 31 % …din companii au pierdut date in urma atacurilor
Statistici Generale (pana in Iunie 2011) …din companii permit userilor sa descarce 51 % si sa instaleze aplicatii pe calculatoarele de serviciu… 31 % …virusi si malware cunoscut… …indicau ca au fost permise descarcarea lor prin diverse forme de …virusi, malware si software, pe 23 % 0-day-uri necunoscute… terminalele utilizatorilor…
Statistici Generale (pana in Iunie 2011) …din companii permit utilizatorilor 78 % conectarea dispozitivelor detasabile la calculatoarele de serviciu… 62 % …din companii permit utilizatorilor conectarea la retele sociale… 44 % …din companii au afirmat ca peste 20 % din utilizatorii lor au drepturi de administrare…
Semne ale unui atac APT Cresterea conectarilor cu permisiuni ridicate APT-urile escaladeaza rapid de la compromiterea unui singur sistem la compromiterea intregului mediu. Acest lucru se datoreaza accesarilor bazelor de date ce contin date de autentificare. Hackerii descopera rapid userii cu permisiuni ridicate si se folosesc de aceste conturi pentru compromiterea sistemelor.
Semne ale unui atac APT Gasirea de coduri malitioase in intreaga retea Atacurile de cele mai multe ori duc la instalarea de “backdoor trojans” pe sistemele compromise din interiorul mediului atacat Hackerii ce conduc atacuri APT nu vor pleca de buna voie. De ce ar face asta cand controleaza sistemele din reteaua afectata?
Semne ale unui atac APT Fluxuri de informatii neasteptate Observarea fluxurilor de date neasteptate din interiorul retelei spre alte sisteme din retea sau din afara retelei, pot indica activitati APT Desi observarea este relativ usoara, intelegerea fluxurilor de date dinaintea infectarii este cruciala pentru diferentierea pachetelor de date in timpul analizelor de trafic post infectare.
Semne ale unui atac APT Gasirea unor pachete mari de date Atacatori de cele mai multe ori tind sa adune datele intr-un loc (sau mai multe) din interiorul retelelor afectate inainte de transferul acestora spre exteriorul companiei. Descoperirea unor pachete de date (de ordinul Gb) in locuri in care nu ar trebui sa existe si in mod special daca sunt arhivate intr- un mod diferit fata de ceea ce se foloseste in companie, ar trebui sa ridice niste semne de alarma…
Semne ale unui atac APT Detectarea uneltelor PTH (“Pass-The-Hash”) Desi atacatorii nu le folosesc intotdeauna, aceste unelte ies in evidenta la analiza traficului de retea relativ usor. Daca gasesti astfel de unelte, poti sa incepi sa-ti faci griji… 
Semne ale unui atac APT Campanii de tip “spear-phishing” Astfel de campanii sunt dintre cele mai distrugatoare, atacatorii trimitand angajatilor companiei pdf-uri malformate. Daca superiorii raporteaza ca au fost pacaliti in a deschide un pdf atasat la un mail, incepeti sa cautati si restul de semne… Asta s-ar putea sa va fie canarul din mina… 
Pasi pentru prevenirea situatiilor neplacute  Securitate centrata pe informatii Adoptarea unei solutii de securitate centrata pe informatiile companiei, prin implementarea multiplelor nivele de securitate.
Pasi pentru prevenirea situatiilor neplacute  Restrictii ale terminalelor Minimizarea accesului administrativ sau restrictionarea accesului astfel incat utilizatorii sa nu aiba permisiuni de scriere si executare in acelasi folder.
Pasi pentru prevenirea situatiilor neplacute  Educarea utilizatorilor Instruirea utilizatorilor despre riscurile email-urilor de tip “social engineering” dar si alte forme de inginerie sociala, poate ajuta la scaderea timpului de reactie al departamentului IT.
Pasi pentru prevenirea situatiilor neplacute  Topologia retelei este bine cunoscuta Asigurarea ca administratorii de sistem sunt in cunostinta de cauza privind locatiile (fizice si logice) ale tuturor sistemelor si echipamentelor de retea este cruciala pentru securizarea retelei.
Pasi pentru prevenirea situatiilor neplacute  Controlul asupra porturilor de USB Restrictionarea si dezvoltarea unor politici ce permit anumitor utilizatori folosirea porturilor USB cu minimul de cerinte de criptare, va poate scapa de o parte din probleme.
Pasi pentru prevenirea situatiilor neplacute  IA (Intrusion Analysis) & IDS (Intrusion Detection Systems) Alcatuirea sesiunilor de IA atat la nivel de sistem cat si la nivel de retea este absolut necesara pentru descoperirea activitatilor suspicioase. Un IDS este la fel de bun ca ultimul update (dar este mai bun decat deloc). Sistemele IDS de astazi au o rata de detectie de aprox. 90% a atacurilor, restul de 10% datorandu-se vulnerabilitatilor si update-urilor lipsa neinstalate.
Pasi pentru prevenirea situatiilor neplacute  Controlul accesului Implementarea sistemelor de autentificare “2-way” acolo unde se poate, dar cu precadere pe VPN-uri este vitala. Restrictionarea accesului utilizatorilor folosind metodologia “celui mai mic privilegiu”, incurajeaza un control mai bun asupra complexitatii parolelor auditarea inregistrarilor de acces si revizia nivelelor de acces.
Pasi pentru prevenirea situatiilor neplacute  “Sender Policy Framework” Need I say more? 
Cine zice ca nu reactioneaza asa…minte! 
You still got hacked? DONT’s Nu sari pe un cal, imbracat in armura…desi asta va fi primul instinct! Echipa de IR (incident response) nu-si va dezvolta capacitatile de detectie daca nu este insasi victima a atacului.
You still got hacked? DO’s Analiza de caz poate scoate la suprafata mult mai multe informatii: • Metoda de atac • Posibile motive ale atacului
Q&A 
End! 

Recommended

Securitate
SecuritateSecuritate
SecuritateAlexandruPutere
 
Protejarea calculatoarelor împotriva aplica țiilor malițioase
Protejarea calculatoarelor împotriva aplica țiilor malițioaseProtejarea calculatoarelor împotriva aplica țiilor malițioase
Protejarea calculatoarelor împotriva aplica țiilor malițioaseNational Library of Republic of Moldova
 
Securitatea pe internet
Securitatea pe internetSecuritatea pe internet
Securitatea pe internetLarisa Berestean
 
Human brain, friend or foe? - DefCamp 2012
Human brain, friend or foe? - DefCamp 2012Human brain, friend or foe? - DefCamp 2012
Human brain, friend or foe? - DefCamp 2012DefCamp
 
How does a 0day work? - DefCamp 2012
How does a 0day work? - DefCamp 2012How does a 0day work? - DefCamp 2012
How does a 0day work? - DefCamp 2012DefCamp
 
Securitate_Informationala_pe_internnettt
Securitate_Informationala_pe_internnetttSecuritate_Informationala_pe_internnettt
Securitate_Informationala_pe_internnetttVictorTornea
 
Troienii
TroieniiTroienii
Troieniiandreiblidariu
 
Cap4 securitatea si
Cap4 securitatea siCap4 securitatea si
Cap4 securitatea siDenis Dutescu
 

Recommended

Securitate
SecuritateSecuritate
SecuritateAlexandruPutere
 
Protejarea calculatoarelor împotriva aplica țiilor malițioase
Protejarea calculatoarelor împotriva aplica țiilor malițioaseProtejarea calculatoarelor împotriva aplica țiilor malițioase
Protejarea calculatoarelor împotriva aplica țiilor malițioaseNational Library of Republic of Moldova
 
Securitatea pe internet
Securitatea pe internetSecuritatea pe internet
Securitatea pe internetLarisa Berestean
 
Human brain, friend or foe? - DefCamp 2012
Human brain, friend or foe? - DefCamp 2012Human brain, friend or foe? - DefCamp 2012
Human brain, friend or foe? - DefCamp 2012DefCamp
 
How does a 0day work? - DefCamp 2012
How does a 0day work? - DefCamp 2012How does a 0day work? - DefCamp 2012
How does a 0day work? - DefCamp 2012DefCamp
 
Securitate_Informationala_pe_internnettt
Securitate_Informationala_pe_internnetttSecuritate_Informationala_pe_internnettt
Securitate_Informationala_pe_internnetttVictorTornea
 
Troienii
TroieniiTroienii
Troieniiandreiblidariu
 
Cap4 securitatea si
Cap4 securitatea siCap4 securitatea si
Cap4 securitatea siDenis Dutescu
 
Lucrare nr2.docx
Lucrare nr2.docxLucrare nr2.docx
Lucrare nr2.docxCepurneac
 
Identitatea, reputația online și securitatea pe internet
Identitatea, reputația online și securitatea pe internetIdentitatea, reputația online și securitatea pe internet
Identitatea, reputația online și securitatea pe internetMelinda Nagy
 
Securitatea Big Data: Amenințări
Securitatea Big Data: AmenințăriSecuritatea Big Data: Amenințări
Securitatea Big Data: AmenințăriNicolae Sfetcu
 
Virusi Spam Malware Tendinte
Virusi Spam Malware TendinteVirusi Spam Malware Tendinte
Virusi Spam Malware Tendinteguest477b3f6
 
G data ce-bit+2010+ro
G data ce-bit+2010+roG data ce-bit+2010+ro
G data ce-bit+2010+roAgora Group
 
White Hat Hacking #2
White Hat Hacking #2White Hat Hacking #2
White Hat Hacking #2Tudor Damian
 
Curs White Hat Hacking #3 - ITSpark
Curs White Hat Hacking #3 - ITSparkCurs White Hat Hacking #3 - ITSpark
Curs White Hat Hacking #3 - ITSparkITSpark Community
 
Securitatea Retelelor. Viermele Internetului
Securitatea Retelelor. Viermele InternetuluiSecuritatea Retelelor. Viermele Internetului
Securitatea Retelelor. Viermele InternetuluiMegaVjohnson
 
Prezentare CERT RO
Prezentare CERT ROPrezentare CERT RO
Prezentare CERT ROIDG Romania
 
Kaspersky 22iun2011
Kaspersky 22iun2011Kaspersky 22iun2011
Kaspersky 22iun2011Agora Group
 
Virusi
VirusiVirusi
Virusiliviupilot
 
Corporate Network Security 101
Corporate Network Security 101Corporate Network Security 101
Corporate Network Security 101DefCamp
 
Suita 2010 de solutii BitDefender
Suita 2010 de solutii BitDefenderSuita 2010 de solutii BitDefender
Suita 2010 de solutii BitDefenderBitdefender
 
O Ce!.
O Ce!.O Ce!.
O Ce!.8alessa8
 
Virusi
VirusiVirusi
Virusiliviupilot
 
White Hat Hacking #1
White Hat Hacking #1White Hat Hacking #1
White Hat Hacking #1Tudor Damian
 
Remote Yacht Hacking
Remote Yacht HackingRemote Yacht Hacking
Remote Yacht HackingDefCamp
 
Mobile, IoT, Clouds… It’s time to hire your own risk manager!
Mobile, IoT, Clouds… It’s time to hire your own risk manager!Mobile, IoT, Clouds… It’s time to hire your own risk manager!
Mobile, IoT, Clouds… It’s time to hire your own risk manager!DefCamp
 
The Charter of Trust
The Charter of TrustThe Charter of Trust
The Charter of TrustDefCamp
 
Internet Balkanization: Why Are We Raising Borders Online?
Internet Balkanization: Why Are We Raising Borders Online?Internet Balkanization: Why Are We Raising Borders Online?
Internet Balkanization: Why Are We Raising Borders Online?DefCamp
 
Bridging the gap between CyberSecurity R&D and UX
Bridging the gap between CyberSecurity R&D and UXBridging the gap between CyberSecurity R&D and UX
Bridging the gap between CyberSecurity R&D and UXDefCamp
 
Secure and privacy-preserving data transmission and processing using homomorp...
Secure and privacy-preserving data transmission and processing using homomorp...Secure and privacy-preserving data transmission and processing using homomorp...
Secure and privacy-preserving data transmission and processing using homomorp...DefCamp
 

More Related Content

Similar to Detecting and Defending against Advanced Persistent Threats - DefCamp 2012

Lucrare nr2.docx
Lucrare nr2.docxLucrare nr2.docx
Lucrare nr2.docxCepurneac
 
Identitatea, reputația online și securitatea pe internet
Identitatea, reputația online și securitatea pe internetIdentitatea, reputația online și securitatea pe internet
Identitatea, reputația online și securitatea pe internetMelinda Nagy
 
Securitatea Big Data: Amenințări
Securitatea Big Data: AmenințăriSecuritatea Big Data: Amenințări
Securitatea Big Data: AmenințăriNicolae Sfetcu
 
Virusi Spam Malware Tendinte
Virusi Spam Malware TendinteVirusi Spam Malware Tendinte
Virusi Spam Malware Tendinteguest477b3f6
 
G data ce-bit+2010+ro
G data ce-bit+2010+roG data ce-bit+2010+ro
G data ce-bit+2010+roAgora Group
 
White Hat Hacking #2
White Hat Hacking #2White Hat Hacking #2
White Hat Hacking #2Tudor Damian
 
Curs White Hat Hacking #3 - ITSpark
Curs White Hat Hacking #3 - ITSparkCurs White Hat Hacking #3 - ITSpark
Curs White Hat Hacking #3 - ITSparkITSpark Community
 
Securitatea Retelelor. Viermele Internetului
Securitatea Retelelor. Viermele InternetuluiSecuritatea Retelelor. Viermele Internetului
Securitatea Retelelor. Viermele InternetuluiMegaVjohnson
 
Prezentare CERT RO
Prezentare CERT ROPrezentare CERT RO
Prezentare CERT ROIDG Romania
 
Kaspersky 22iun2011
Kaspersky 22iun2011Kaspersky 22iun2011
Kaspersky 22iun2011Agora Group
 
Corporate Network Security 101
Corporate Network Security 101Corporate Network Security 101
Corporate Network Security 101DefCamp
 
Suita 2010 de solutii BitDefender
Suita 2010 de solutii BitDefenderSuita 2010 de solutii BitDefender
Suita 2010 de solutii BitDefenderBitdefender
 
White Hat Hacking #1
White Hat Hacking #1White Hat Hacking #1
White Hat Hacking #1Tudor Damian
 

Similar to Detecting and Defending against Advanced Persistent Threats - DefCamp 2012 (16)

Lucrare nr2.docx
Lucrare nr2.docxLucrare nr2.docx
Lucrare nr2.docx
 
Identitatea, reputația online și securitatea pe internet
Identitatea, reputația online și securitatea pe internetIdentitatea, reputația online și securitatea pe internet
Identitatea, reputația online și securitatea pe internet
 
Securitatea Big Data: Amenințări
Securitatea Big Data: AmenințăriSecuritatea Big Data: Amenințări
Securitatea Big Data: Amenințări
 
Virusi Spam Malware Tendinte
Virusi Spam Malware TendinteVirusi Spam Malware Tendinte
Virusi Spam Malware Tendinte
 
G data ce-bit+2010+ro
G data ce-bit+2010+roG data ce-bit+2010+ro
G data ce-bit+2010+ro
 
White Hat Hacking #2
White Hat Hacking #2White Hat Hacking #2
White Hat Hacking #2
 
Curs White Hat Hacking #3 - ITSpark
Curs White Hat Hacking #3 - ITSparkCurs White Hat Hacking #3 - ITSpark
Curs White Hat Hacking #3 - ITSpark
 
Securitatea Retelelor. Viermele Internetului
Securitatea Retelelor. Viermele InternetuluiSecuritatea Retelelor. Viermele Internetului
Securitatea Retelelor. Viermele Internetului
 
Prezentare CERT RO
Prezentare CERT ROPrezentare CERT RO
Prezentare CERT RO
 
Kaspersky 22iun2011
Kaspersky 22iun2011Kaspersky 22iun2011
Kaspersky 22iun2011
 
Virusi
VirusiVirusi
Virusi
 
Corporate Network Security 101
Corporate Network Security 101Corporate Network Security 101
Corporate Network Security 101
 
Suita 2010 de solutii BitDefender
Suita 2010 de solutii BitDefenderSuita 2010 de solutii BitDefender
Suita 2010 de solutii BitDefender
 
O Ce!.
O Ce!.O Ce!.
O Ce!.
 
Virusi
VirusiVirusi
Virusi
 
White Hat Hacking #1
White Hat Hacking #1White Hat Hacking #1
White Hat Hacking #1
 

More from DefCamp

Remote Yacht Hacking
Remote Yacht HackingRemote Yacht Hacking
Remote Yacht HackingDefCamp
 
Mobile, IoT, Clouds… It’s time to hire your own risk manager!
Mobile, IoT, Clouds… It’s time to hire your own risk manager!Mobile, IoT, Clouds… It’s time to hire your own risk manager!
Mobile, IoT, Clouds… It’s time to hire your own risk manager!DefCamp
 
The Charter of Trust
The Charter of TrustThe Charter of Trust
The Charter of TrustDefCamp
 
Internet Balkanization: Why Are We Raising Borders Online?
Internet Balkanization: Why Are We Raising Borders Online?Internet Balkanization: Why Are We Raising Borders Online?
Internet Balkanization: Why Are We Raising Borders Online?DefCamp
 
Bridging the gap between CyberSecurity R&D and UX
Bridging the gap between CyberSecurity R&D and UXBridging the gap between CyberSecurity R&D and UX
Bridging the gap between CyberSecurity R&D and UXDefCamp
 
Secure and privacy-preserving data transmission and processing using homomorp...
Secure and privacy-preserving data transmission and processing using homomorp...Secure and privacy-preserving data transmission and processing using homomorp...
Secure and privacy-preserving data transmission and processing using homomorp...DefCamp
 
Drupalgeddon 2 – Yet Another Weapon for the Attacker
Drupalgeddon 2 – Yet Another Weapon for the AttackerDrupalgeddon 2 – Yet Another Weapon for the Attacker
Drupalgeddon 2 – Yet Another Weapon for the AttackerDefCamp
 
Economical Denial of Sustainability in the Cloud (EDOS)
Economical Denial of Sustainability in the Cloud (EDOS)Economical Denial of Sustainability in the Cloud (EDOS)
Economical Denial of Sustainability in the Cloud (EDOS)DefCamp
 
Trust, but verify – Bypassing MFA
Trust, but verify – Bypassing MFATrust, but verify – Bypassing MFA
Trust, but verify – Bypassing MFADefCamp
 
Threat Hunting: From Platitudes to Practical Application
Threat Hunting: From Platitudes to Practical ApplicationThreat Hunting: From Platitudes to Practical Application
Threat Hunting: From Platitudes to Practical ApplicationDefCamp
 
Building application security with 0 money down
Building application security with 0 money downBuilding application security with 0 money down
Building application security with 0 money downDefCamp
 
Implementation of information security techniques on modern android based Kio...
Implementation of information security techniques on modern android based Kio...Implementation of information security techniques on modern android based Kio...
Implementation of information security techniques on modern android based Kio...DefCamp
 
Lattice based Merkle for post-quantum epoch
Lattice based Merkle for post-quantum epochLattice based Merkle for post-quantum epoch
Lattice based Merkle for post-quantum epochDefCamp
 
The challenge of building a secure and safe digital environment in healthcare
The challenge of building a secure and safe digital environment in healthcareThe challenge of building a secure and safe digital environment in healthcare
The challenge of building a secure and safe digital environment in healthcareDefCamp
 
Timing attacks against web applications: Are they still practical?
Timing attacks against web applications: Are they still practical?Timing attacks against web applications: Are they still practical?
Timing attacks against web applications: Are they still practical?DefCamp
 
Tor .onions: The Good, The Rotten and The Misconfigured
Tor .onions: The Good, The Rotten and The Misconfigured Tor .onions: The Good, The Rotten and The Misconfigured
Tor .onions: The Good, The Rotten and The Misconfigured DefCamp
 
Needles, Haystacks and Algorithms: Using Machine Learning to detect complex t...
Needles, Haystacks and Algorithms: Using Machine Learning to detect complex t...Needles, Haystacks and Algorithms: Using Machine Learning to detect complex t...
Needles, Haystacks and Algorithms: Using Machine Learning to detect complex t...DefCamp
 
We will charge you. How to [b]reach vendor’s network using EV charging station.
We will charge you. How to [b]reach vendor’s network using EV charging station.We will charge you. How to [b]reach vendor’s network using EV charging station.
We will charge you. How to [b]reach vendor’s network using EV charging station.DefCamp
 
Connect & Inspire Cyber Security
Connect & Inspire Cyber SecurityConnect & Inspire Cyber Security
Connect & Inspire Cyber SecurityDefCamp
 
The lions and the watering hole
The lions and the watering holeThe lions and the watering hole
The lions and the watering holeDefCamp
 

More from DefCamp (20)

Remote Yacht Hacking
Remote Yacht HackingRemote Yacht Hacking
Remote Yacht Hacking
 
Mobile, IoT, Clouds… It’s time to hire your own risk manager!
Mobile, IoT, Clouds… It’s time to hire your own risk manager!Mobile, IoT, Clouds… It’s time to hire your own risk manager!
Mobile, IoT, Clouds… It’s time to hire your own risk manager!
 
The Charter of Trust
The Charter of TrustThe Charter of Trust
The Charter of Trust
 
Internet Balkanization: Why Are We Raising Borders Online?
Internet Balkanization: Why Are We Raising Borders Online?Internet Balkanization: Why Are We Raising Borders Online?
Internet Balkanization: Why Are We Raising Borders Online?
 
Bridging the gap between CyberSecurity R&D and UX
Bridging the gap between CyberSecurity R&D and UXBridging the gap between CyberSecurity R&D and UX
Bridging the gap between CyberSecurity R&D and UX
 
Secure and privacy-preserving data transmission and processing using homomorp...
Secure and privacy-preserving data transmission and processing using homomorp...Secure and privacy-preserving data transmission and processing using homomorp...
Secure and privacy-preserving data transmission and processing using homomorp...
 
Drupalgeddon 2 – Yet Another Weapon for the Attacker
Drupalgeddon 2 – Yet Another Weapon for the AttackerDrupalgeddon 2 – Yet Another Weapon for the Attacker
Drupalgeddon 2 – Yet Another Weapon for the Attacker
 
Economical Denial of Sustainability in the Cloud (EDOS)
Economical Denial of Sustainability in the Cloud (EDOS)Economical Denial of Sustainability in the Cloud (EDOS)
Economical Denial of Sustainability in the Cloud (EDOS)
 
Trust, but verify – Bypassing MFA
Trust, but verify – Bypassing MFATrust, but verify – Bypassing MFA
Trust, but verify – Bypassing MFA
 
Threat Hunting: From Platitudes to Practical Application
Threat Hunting: From Platitudes to Practical ApplicationThreat Hunting: From Platitudes to Practical Application
Threat Hunting: From Platitudes to Practical Application
 
Building application security with 0 money down
Building application security with 0 money downBuilding application security with 0 money down
Building application security with 0 money down
 
Implementation of information security techniques on modern android based Kio...
Implementation of information security techniques on modern android based Kio...Implementation of information security techniques on modern android based Kio...
Implementation of information security techniques on modern android based Kio...
 
Lattice based Merkle for post-quantum epoch
Lattice based Merkle for post-quantum epochLattice based Merkle for post-quantum epoch
Lattice based Merkle for post-quantum epoch
 
The challenge of building a secure and safe digital environment in healthcare
The challenge of building a secure and safe digital environment in healthcareThe challenge of building a secure and safe digital environment in healthcare
The challenge of building a secure and safe digital environment in healthcare
 
Timing attacks against web applications: Are they still practical?
Timing attacks against web applications: Are they still practical?Timing attacks against web applications: Are they still practical?
Timing attacks against web applications: Are they still practical?
 
Tor .onions: The Good, The Rotten and The Misconfigured
Tor .onions: The Good, The Rotten and The Misconfigured Tor .onions: The Good, The Rotten and The Misconfigured
Tor .onions: The Good, The Rotten and The Misconfigured
 
Needles, Haystacks and Algorithms: Using Machine Learning to detect complex t...
Needles, Haystacks and Algorithms: Using Machine Learning to detect complex t...Needles, Haystacks and Algorithms: Using Machine Learning to detect complex t...
Needles, Haystacks and Algorithms: Using Machine Learning to detect complex t...
 
We will charge you. How to [b]reach vendor’s network using EV charging station.
We will charge you. How to [b]reach vendor’s network using EV charging station.We will charge you. How to [b]reach vendor’s network using EV charging station.
We will charge you. How to [b]reach vendor’s network using EV charging station.
 
Connect & Inspire Cyber Security
Connect & Inspire Cyber SecurityConnect & Inspire Cyber Security
Connect & Inspire Cyber Security
 
The lions and the watering hole
The lions and the watering holeThe lions and the watering hole
The lions and the watering hole
 

Detecting and Defending against Advanced Persistent Threats - DefCamp 2012

  • 1.
  • 2. Cazacu Bogdan DefCamp @ Bucharest 2012
  • 3. Ce sunt APT-urile? APT-urile sunt o clasa de hackeri bine finantata, extrem de abili, ce sunt din ce in ce mai des mentionati in presa, de catre companiile de securitate IT, victime dar si de institutii guvernamentale de interes national in aplicarea legii (DIICOT, SRI, NSA, DoD, FBI, MI5, etc). Multi dintre ei ataca indiscriminatoriu si de cele mai multe ori se focuseaza pe tintele mai vulnerabile folosindu-se de incercarile, greu de depistat, de a accesa informatii sensibile.
  • 4. Ce inseamna APT (Advanced Persistent Threat)? Advanced Hackerul are capacitatea de a se sustrage detectarii si are capacitatea de a obtine si mentine accesul la retele protejate si informatii sensibile continute în acestea. O astfel de entitate se poate adapta foarte usor si detine resursele necesare pentru un asemenea atac Persistent Natura persistenta a amenintarii face dificila prevenirea accesului la retea si, odata ce factorul atacator a obtinut cu succes permisiunile necesare, se poate dovedi a fi foarte dificil eliminarea acesteia. Threat Hackerul nu are doar intentia, dar, are de asemenea, si capacitatea de a avea acces la informatii sensibile stocate electronic in interiorul retelei.
  • 5. Statistici Generale (pana in Iunie 2011) 91 % …din companii au avut cel putin o bresa de securitate 61 % …din atacuri avut loc datorita infectiilor malware 48 % …din companii o crestere semnificativa a numarului de atacuri cibernetice
  • 6. Statistici Generale (pana in Iunie 2011) 44 % …din atacuri au fost posibile datorita aplicatiilor vulnerabile 31 % …din companii au pierdut date in urma atacurilor
  • 7. Statistici Generale (pana in Iunie 2011) …din companii permit userilor sa descarce 51 % si sa instaleze aplicatii pe calculatoarele de serviciu… 31 % …virusi si malware cunoscut… …indicau ca au fost permise descarcarea lor prin diverse forme de …virusi, malware si software, pe 23 % 0-day-uri necunoscute… terminalele utilizatorilor…
  • 8. Statistici Generale (pana in Iunie 2011) …din companii permit utilizatorilor 78 % conectarea dispozitivelor detasabile la calculatoarele de serviciu… 62 % …din companii permit utilizatorilor conectarea la retele sociale… 44 % …din companii au afirmat ca peste 20 % din utilizatorii lor au drepturi de administrare…
  • 9.
  • 10. Semne ale unui atac APT Cresterea conectarilor cu permisiuni ridicate APT-urile escaladeaza rapid de la compromiterea unui singur sistem la compromiterea intregului mediu. Acest lucru se datoreaza accesarilor bazelor de date ce contin date de autentificare. Hackerii descopera rapid userii cu permisiuni ridicate si se folosesc de aceste conturi pentru compromiterea sistemelor.
  • 11. Semne ale unui atac APT Gasirea de coduri malitioase in intreaga retea Atacurile de cele mai multe ori duc la instalarea de “backdoor trojans” pe sistemele compromise din interiorul mediului atacat Hackerii ce conduc atacuri APT nu vor pleca de buna voie. De ce ar face asta cand controleaza sistemele din reteaua afectata?
  • 12. Semne ale unui atac APT Fluxuri de informatii neasteptate Observarea fluxurilor de date neasteptate din interiorul retelei spre alte sisteme din retea sau din afara retelei, pot indica activitati APT Desi observarea este relativ usoara, intelegerea fluxurilor de date dinaintea infectarii este cruciala pentru diferentierea pachetelor de date in timpul analizelor de trafic post infectare.
  • 13. Semne ale unui atac APT Gasirea unor pachete mari de date Atacatori de cele mai multe ori tind sa adune datele intr-un loc (sau mai multe) din interiorul retelelor afectate inainte de transferul acestora spre exteriorul companiei. Descoperirea unor pachete de date (de ordinul Gb) in locuri in care nu ar trebui sa existe si in mod special daca sunt arhivate intr- un mod diferit fata de ceea ce se foloseste in companie, ar trebui sa ridice niste semne de alarma…
  • 14. Semne ale unui atac APT Detectarea uneltelor PTH (“Pass-The-Hash”) Desi atacatorii nu le folosesc intotdeauna, aceste unelte ies in evidenta la analiza traficului de retea relativ usor. Daca gasesti astfel de unelte, poti sa incepi sa-ti faci griji… 
  • 15. Semne ale unui atac APT Campanii de tip “spear-phishing” Astfel de campanii sunt dintre cele mai distrugatoare, atacatorii trimitand angajatilor companiei pdf-uri malformate. Daca superiorii raporteaza ca au fost pacaliti in a deschide un pdf atasat la un mail, incepeti sa cautati si restul de semne… Asta s-ar putea sa va fie canarul din mina… 
  • 16.
  • 17. Pasi pentru prevenirea situatiilor neplacute  Securitate centrata pe informatii Adoptarea unei solutii de securitate centrata pe informatiile companiei, prin implementarea multiplelor nivele de securitate.
  • 18. Pasi pentru prevenirea situatiilor neplacute  Restrictii ale terminalelor Minimizarea accesului administrativ sau restrictionarea accesului astfel incat utilizatorii sa nu aiba permisiuni de scriere si executare in acelasi folder.
  • 19. Pasi pentru prevenirea situatiilor neplacute  Educarea utilizatorilor Instruirea utilizatorilor despre riscurile email-urilor de tip “social engineering” dar si alte forme de inginerie sociala, poate ajuta la scaderea timpului de reactie al departamentului IT.
  • 20. Pasi pentru prevenirea situatiilor neplacute  Topologia retelei este bine cunoscuta Asigurarea ca administratorii de sistem sunt in cunostinta de cauza privind locatiile (fizice si logice) ale tuturor sistemelor si echipamentelor de retea este cruciala pentru securizarea retelei.
  • 21. Pasi pentru prevenirea situatiilor neplacute  Controlul asupra porturilor de USB Restrictionarea si dezvoltarea unor politici ce permit anumitor utilizatori folosirea porturilor USB cu minimul de cerinte de criptare, va poate scapa de o parte din probleme.
  • 22. Pasi pentru prevenirea situatiilor neplacute  IA (Intrusion Analysis) & IDS (Intrusion Detection Systems) Alcatuirea sesiunilor de IA atat la nivel de sistem cat si la nivel de retea este absolut necesara pentru descoperirea activitatilor suspicioase. Un IDS este la fel de bun ca ultimul update (dar este mai bun decat deloc). Sistemele IDS de astazi au o rata de detectie de aprox. 90% a atacurilor, restul de 10% datorandu-se vulnerabilitatilor si update-urilor lipsa neinstalate.
  • 23. Pasi pentru prevenirea situatiilor neplacute  Controlul accesului Implementarea sistemelor de autentificare “2-way” acolo unde se poate, dar cu precadere pe VPN-uri este vitala. Restrictionarea accesului utilizatorilor folosind metodologia “celui mai mic privilegiu”, incurajeaza un control mai bun asupra complexitatii parolelor auditarea inregistrarilor de acces si revizia nivelelor de acces.
  • 24. Pasi pentru prevenirea situatiilor neplacute  “Sender Policy Framework” Need I say more? 
  • 25. Cine zice ca nu reactioneaza asa…minte! 
  • 26. You still got hacked? DONT’s Nu sari pe un cal, imbracat in armura…desi asta va fi primul instinct! Echipa de IR (incident response) nu-si va dezvolta capacitatile de detectie daca nu este insasi victima a atacului.
  • 27. You still got hacked? DO’s Analiza de caz poate scoate la suprafata mult mai multe informatii: • Metoda de atac • Posibile motive ale atacului