Speaker: Przemysław Skowron
Language: Polish
Od setek lat banki lub ich klienci są okradani. W XXI wieku nadal ma to miejsce, zmianie uległ sposób, teraz najczęściej robi się to za pomocą kanałów elektronicznych, czyli tam gdzie przeniosła się spora część naszego życia.
Na przykładzie, prawdopodobnie największej kradzieży pieniędzy z banków w elektronicznej ich historii (Carbanak: ok. 1 mld $) i innych "mniejszych", przeprowadzę analizę znanych z raportów hipotez (sposobów ataków) i co zmienić by napastnikowi było trudniej. Aby pójść krok dalej, zaproponuję wykorzystanie metodyki KillChain, pozwalającej w sposób bardziej efektywny niż "stara szkoła", planować obronę naszych cennych zasobów.
CONFidence: http://confidence.org.pl/pl/
3. Motywacja
• Motywowanie jest przereklamowane,
inspiruj
• Szukaj ludzi, których nie musisz
motywować, nadal tacy są
• Stwórz warunki pracy przyjazne
pracownikom
4. Carbanak
• Do 1 MLD $ strat w sektorze finansowym
na świecie (02/2014-) (by Kaspersky)
• FS-ISAC zaprzecza skutecznym atakom
w US
• „polski” akcent w postaci IP, ale nie
należącego do banku
5. Carbanak
• Phishing -> załącznik -> instalacja
złośliwego oprogramowania -> kradzież
danych
• Nagrania video oraz wyniki pracy
keyloggera trafiają do C2 – szukali metody
na wyciągnięcie $ z banków
7. Bezpieczeństwo aktywne
• Adaptacja – ciągła
• Wywiad na temat zagrożeń (ang. Threat
intelligence) – zacznij od takiego, który
potrafisz konsumować
• Reaguj – automatycznie, tak często jak
tylko możesz
8. KillChain
• Czy ktoś słyszał o tej metodyce?
• Czy ktoś próbował?
• Czy ktoś używa?
9. KillChain
• Recon (rekonesans punktów wejścia i jak ich
użyć)
• Weaponization (przygotowanie narzędzia
ataku/ładunku)
• Delivery (dostarczenie: e-mail, pendrive, itp.)
• Exploitation (“odpalenie” ładunku)
• Installation (instalacja kanału komunikacyjnego)
• C2 (zestawienie komunikacji z
“Command&Control”)
• Actions or Objectives (kradzież danych, skok
dalej, itp.)
10. KillChain
• Recon (rekonesans punktów wejścia i jak ich
użyć)
• Weaponization (przygotowanie narzędzia
ataku/ładunku)
• Delivery (dostarczenie: e-mail, pendrive, itp.)
• Exploitation (“odpalenie” ładunku)
• Installation (instalacja kanału komunikacyjnego)
• C2 (zestawienie komunikacji z
“Command&Control”)
• Actions or Objectives (kradzież danych, skok
dalej, itp.)
11. KillChain
• Recon (rekonesans punktów wejścia i jak ich
użyć)
• Weaponization (przygotowanie narzędzia
ataku/ładunku)
• Delivery (dostarczenie: e-mail, pendrive, itp.)
• Exploitation (“odpalenie” ładunku)
• Installation (instalacja kanału komunikacyjnego)
• C2 (zestawienie komunikacji z
“Command&Control”)
• Actions or Objectives (kradzież danych, skok
dalej, itp.)
12. KillChain
• Recon (rekonesans punktów wejścia i jak ich
użyć)
• Weaponization (przygotowanie narzędzia
ataku/ładunku)
• Delivery (dostarczenie: e-mail, pendrive, itp.)
• Exploitation (“odpalenie” ładunku)
• Installation (instalacja kanału komunikacyjnego)
• C2 (zestawienie komunikacji z
“Command&Control”)
• Actions or Objectives (kradzież danych, skok
dalej, itp.)
13. Kill Chain – Home Work
Faza Detekcja Prewencja Zakłócenie Degradacja Zwodzenie
Rekonesans
Uzbrojenie
Dostarczenie
Wykorzystanie
Instalacja
C2
A or O
14. Kill Chain
• Przyjmijcie scenariusz ataku i wypełnijcie
tabelkę (tym co macie, tym co
potrzebujecie mieć)
• Szukajcie wspólnych mianowników,
atrybutów, cech dla analizowanych zdarzeń
• Agregujcie zdarzenia w oparciu o te cechy
15. Kill Chain
• Powtarzajcie proces dla kolejnych
scenariuszy (metody wykrywania wektorów
zaczną się powtarzać, najczęściej
zmieniają się scenariusze socjotechniczne)
• Daj sobie szansę na zatrzymanie wroga
choćby u bram, którymi będzie chciał uciec
z łupem
16. Win vs. NOT Lost
• Defensywni nie są od wygrywania, nie
dajmy przegrać
• Przegrana bitwa nie oznacza przegranej
wojny
• Akceptacja powyższych pozwoli walczyć
dłużej, inaczej poddasz się bez walki
17. Podsumowanie
• W Polsce trudno znaleźć przykłady metodyk
adaptowanych do świata IT -> szukaj w US
• Wykorzystaj to co masz, rozejrzyj się (nawet
AV może pomóc)
• Nie deprymuj się brakiem idealnych
rozwiązań, WALCZ!