Cazacu BogdanDefCamp @ Bucharest 2012
Ce sunt APT-urile?APT-urile sunt o clasa de hackeri bine finantata, extrem de abili, cesunt din ce in ce mai des mentionat...
Ce inseamna APT (Advanced Persistent Threat)?AdvancedHackerul are capacitatea de a se sustrage detectarii si are capacitat...
Statistici Generale (pana in Iunie 2011)91        %                   …din companii au avut cel                   putin o ...
Statistici Generale (pana in Iunie 2011)44        %                   …din atacuri au fost posibile datorita              ...
Statistici Generale (pana in Iunie 2011)                 …din companii permit userilor sa descarce51        %             ...
Statistici Generale (pana in Iunie 2011)                 …din companii permit utilizatorilor78        %                 co...
Semne ale unui atac APTCresterea conectarilor cu permisiuni ridicateAPT-urile escaladeaza rapid de la compromiterea unui s...
Semne ale unui atac APTGasirea de coduri malitioase in intreaga reteaAtacurile de cele mai multe ori duc la instalarea de ...
Semne ale unui atac APTFluxuri de informatii neasteptateObservarea fluxurilor de date neasteptate din interiorul retelei s...
Semne ale unui atac APTGasirea unor pachete mari de dateAtacatori de cele mai multe ori tind sa adune datele intr-un loc (...
Semne ale unui atac APTDetectarea uneltelor PTH (“Pass-The-Hash”)Desi atacatorii nu le folosesc intotdeauna, aceste unelte...
Semne ale unui atac APTCampanii de tip “spear-phishing”Astfel de campanii sunt dintre cele mai distrugatoare, atacatorii t...
Pasi pentru prevenirea situatiilor neplacute Securitate centrata pe informatiiAdoptarea unei solutii de securitate centra...
Pasi pentru prevenirea situatiilor neplacute Restrictii ale terminalelorMinimizarea accesului administrativ sau restricti...
Pasi pentru prevenirea situatiilor neplacute Educarea utilizatorilorInstruirea utilizatorilor despre riscurile email-uril...
Pasi pentru prevenirea situatiilor neplacute Topologia retelei este bine cunoscutaAsigurarea ca administratorii de sistem...
Pasi pentru prevenirea situatiilor neplacute Controlul asupra porturilor de USBRestrictionarea si dezvoltarea unor politi...
Pasi pentru prevenirea situatiilor neplacute IA (Intrusion Analysis) & IDS (Intrusion Detection Systems)Alcatuirea sesiun...
Pasi pentru prevenirea situatiilor neplacute Controlul accesuluiImplementarea sistemelor de autentificare “2-way” acolo u...
Pasi pentru prevenirea situatiilor neplacute “Sender Policy Framework”Need I say more? 
Cine zice ca nu reactioneaza asa…minte! 
You still got hacked?DONT’sNu sari pe un cal, imbracat in armura…desi asta va fi primul instinct!Echipa de IR (incident re...
You still got hacked?DO’sAnaliza de caz poate scoate la suprafata mult mai multe informatii:• Metoda de atac• Posibile mot...
Q&A 
End! 
Detecting and Defending against Advanced Persistent Threats - DefCamp 2012
Detecting and Defending against Advanced Persistent Threats - DefCamp 2012
Detecting and Defending against Advanced Persistent Threats - DefCamp 2012
Upcoming SlideShare
Loading in …5
×

Detecting and Defending against Advanced Persistent Threats - DefCamp 2012

651 views

Published on

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
651
On SlideShare
0
From Embeds
0
Number of Embeds
4
Actions
Shares
0
Downloads
14
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Detecting and Defending against Advanced Persistent Threats - DefCamp 2012

  1. 1. Cazacu BogdanDefCamp @ Bucharest 2012
  2. 2. Ce sunt APT-urile?APT-urile sunt o clasa de hackeri bine finantata, extrem de abili, cesunt din ce in ce mai des mentionati in presa, de catre companiile desecuritate IT, victime dar si de institutii guvernamentale de interesnational in aplicarea legii (DIICOT, SRI, NSA, DoD, FBI, MI5, etc).Multi dintre ei ataca indiscriminatoriu si de cele mai multe ori sefocuseaza pe tintele mai vulnerabile folosindu-se de incercarile, greude depistat, de a accesa informatii sensibile.
  3. 3. Ce inseamna APT (Advanced Persistent Threat)?AdvancedHackerul are capacitatea de a se sustrage detectarii si are capacitateade a obtine si mentine accesul la retele protejate si informatii sensibilecontinute în acestea. O astfel de entitate se poate adapta foarte usorsi detine resursele necesare pentru un asemenea atacPersistentNatura persistenta a amenintarii face dificila prevenirea accesului laretea si, odata ce factorul atacator a obtinut cu succes permisiunilenecesare, se poate dovedi a fi foarte dificil eliminarea acesteia.ThreatHackerul nu are doar intentia, dar, are de asemenea, si capacitatea dea avea acces la informatii sensibile stocate electronic in interiorulretelei.
  4. 4. Statistici Generale (pana in Iunie 2011)91 % …din companii au avut cel putin o bresa de securitate61 % …din atacuri avut loc datorita infectiilor malware48 % …din companii o crestere semnificativa a numarului de atacuri cibernetice
  5. 5. Statistici Generale (pana in Iunie 2011)44 % …din atacuri au fost posibile datorita aplicatiilor vulnerabile31 % …din companii au pierdut date in urma atacurilor
  6. 6. Statistici Generale (pana in Iunie 2011) …din companii permit userilor sa descarce51 % si sa instaleze aplicatii pe calculatoarele de serviciu…31 % …virusi si malware cunoscut… …indicau ca au fost permise descarcarea lor prin diverse forme de …virusi, malware si software, pe23 % 0-day-uri necunoscute… terminalele utilizatorilor…
  7. 7. Statistici Generale (pana in Iunie 2011) …din companii permit utilizatorilor78 % conectarea dispozitivelor detasabile la calculatoarele de serviciu…62 % …din companii permit utilizatorilor conectarea la retele sociale…44 % …din companii au afirmat ca peste 20 % din utilizatorii lor au drepturi de administrare…
  8. 8. Semne ale unui atac APTCresterea conectarilor cu permisiuni ridicateAPT-urile escaladeaza rapid de la compromiterea unui singur sistem lacompromiterea intregului mediu. Acest lucru se datoreaza accesarilorbazelor de date ce contin date de autentificare.Hackerii descopera rapid userii cu permisiuni ridicate si se folosesc deaceste conturi pentru compromiterea sistemelor.
  9. 9. Semne ale unui atac APTGasirea de coduri malitioase in intreaga reteaAtacurile de cele mai multe ori duc la instalarea de “backdoor trojans” pesistemele compromise din interiorul mediului atacatHackerii ce conduc atacuri APT nu vor pleca de buna voie. De ce ar faceasta cand controleaza sistemele din reteaua afectata?
  10. 10. Semne ale unui atac APTFluxuri de informatii neasteptateObservarea fluxurilor de date neasteptate din interiorul retelei spre altesisteme din retea sau din afara retelei, pot indica activitati APTDesi observarea este relativ usoara, intelegerea fluxurilor de date dinainteainfectarii este cruciala pentru diferentierea pachetelor de date in timpulanalizelor de trafic post infectare.
  11. 11. Semne ale unui atac APTGasirea unor pachete mari de dateAtacatori de cele mai multe ori tind sa adune datele intr-un loc (sau maimulte) din interiorul retelelor afectate inainte de transferul acestora spreexteriorul companiei. Descoperirea unor pachete de date (de ordinul Gb) inlocuri in care nu ar trebui sa existe si in mod special daca sunt arhivate intr-un mod diferit fata de ceea ce se foloseste in companie, ar trebui sa ridiceniste semne de alarma…
  12. 12. Semne ale unui atac APTDetectarea uneltelor PTH (“Pass-The-Hash”)Desi atacatorii nu le folosesc intotdeauna, aceste unelte ies in evidenta laanaliza traficului de retea relativ usor.Daca gasesti astfel de unelte, poti sa incepi sa-ti faci griji… 
  13. 13. Semne ale unui atac APTCampanii de tip “spear-phishing”Astfel de campanii sunt dintre cele mai distrugatoare, atacatorii trimitandangajatilor companiei pdf-uri malformate.Daca superiorii raporteaza ca au fost pacaliti in a deschide un pdf atasat laun mail, incepeti sa cautati si restul de semne…Asta s-ar putea sa va fie canarul din mina… 
  14. 14. Pasi pentru prevenirea situatiilor neplacute Securitate centrata pe informatiiAdoptarea unei solutii de securitate centrata pe informatiile companiei, prinimplementarea multiplelor nivele de securitate.
  15. 15. Pasi pentru prevenirea situatiilor neplacute Restrictii ale terminalelorMinimizarea accesului administrativ sau restrictionarea accesului astfel incatutilizatorii sa nu aiba permisiuni de scriere si executare in acelasi folder.
  16. 16. Pasi pentru prevenirea situatiilor neplacute Educarea utilizatorilorInstruirea utilizatorilor despre riscurile email-urilor de tip “social engineering”dar si alte forme de inginerie sociala, poate ajuta la scaderea timpului dereactie al departamentului IT.
  17. 17. Pasi pentru prevenirea situatiilor neplacute Topologia retelei este bine cunoscutaAsigurarea ca administratorii de sistem sunt in cunostinta de cauza privindlocatiile (fizice si logice) ale tuturor sistemelor si echipamentelor de reteaeste cruciala pentru securizarea retelei.
  18. 18. Pasi pentru prevenirea situatiilor neplacute Controlul asupra porturilor de USBRestrictionarea si dezvoltarea unor politici ce permit anumitor utilizatorifolosirea porturilor USB cu minimul de cerinte de criptare, va poate scapade o parte din probleme.
  19. 19. Pasi pentru prevenirea situatiilor neplacute IA (Intrusion Analysis) & IDS (Intrusion Detection Systems)Alcatuirea sesiunilor de IA atat la nivel de sistem cat si la nivel de retea esteabsolut necesara pentru descoperirea activitatilor suspicioase.Un IDS este la fel de bun ca ultimul update (dar este mai bun decat deloc).Sistemele IDS de astazi au o rata de detectie de aprox. 90% a atacurilor,restul de 10% datorandu-se vulnerabilitatilor si update-urilor lipsaneinstalate.
  20. 20. Pasi pentru prevenirea situatiilor neplacute Controlul accesuluiImplementarea sistemelor de autentificare “2-way” acolo unde se poate, darcu precadere pe VPN-uri este vitala.Restrictionarea accesului utilizatorilor folosind metodologia “celui mai micprivilegiu”, incurajeaza un control mai bun asupra complexitatii parolelorauditarea inregistrarilor de acces si revizia nivelelor de acces.
  21. 21. Pasi pentru prevenirea situatiilor neplacute “Sender Policy Framework”Need I say more? 
  22. 22. Cine zice ca nu reactioneaza asa…minte! 
  23. 23. You still got hacked?DONT’sNu sari pe un cal, imbracat in armura…desi asta va fi primul instinct!Echipa de IR (incident response) nu-si va dezvolta capacitatile de detectiedaca nu este insasi victima a atacului.
  24. 24. You still got hacked?DO’sAnaliza de caz poate scoate la suprafata mult mai multe informatii:• Metoda de atac• Posibile motive ale atacului
  25. 25. Q&A 
  26. 26. End! 

×