Detecting and Defending against Advanced Persistent Threats - DefCamp 2012

DefCamp
DefCampDefCamp
Detecting and Defending against Advanced Persistent Threats - DefCamp 2012
Cazacu Bogdan DefCamp @ Bucharest 2012
Ce sunt APT-urile? APT-urile sunt o clasa de hackeri bine finantata, extrem de abili, ce sunt din ce in ce mai des mentionati in presa, de catre companiile de securitate IT, victime dar si de institutii guvernamentale de interes national in aplicarea legii (DIICOT, SRI, NSA, DoD, FBI, MI5, etc). Multi dintre ei ataca indiscriminatoriu si de cele mai multe ori se focuseaza pe tintele mai vulnerabile folosindu-se de incercarile, greu de depistat, de a accesa informatii sensibile.
Ce inseamna APT (Advanced Persistent Threat)? Advanced Hackerul are capacitatea de a se sustrage detectarii si are capacitatea de a obtine si mentine accesul la retele protejate si informatii sensibile continute în acestea. O astfel de entitate se poate adapta foarte usor si detine resursele necesare pentru un asemenea atac Persistent Natura persistenta a amenintarii face dificila prevenirea accesului la retea si, odata ce factorul atacator a obtinut cu succes permisiunile necesare, se poate dovedi a fi foarte dificil eliminarea acesteia. Threat Hackerul nu are doar intentia, dar, are de asemenea, si capacitatea de a avea acces la informatii sensibile stocate electronic in interiorul retelei.
Statistici Generale (pana in Iunie 2011) 91 % …din companii au avut cel putin o bresa de securitate 61 % …din atacuri avut loc datorita infectiilor malware 48 % …din companii o crestere semnificativa a numarului de atacuri cibernetice
Statistici Generale (pana in Iunie 2011) 44 % …din atacuri au fost posibile datorita aplicatiilor vulnerabile 31 % …din companii au pierdut date in urma atacurilor
Statistici Generale (pana in Iunie 2011) …din companii permit userilor sa descarce 51 % si sa instaleze aplicatii pe calculatoarele de serviciu… 31 % …virusi si malware cunoscut… …indicau ca au fost permise descarcarea lor prin diverse forme de …virusi, malware si software, pe 23 % 0-day-uri necunoscute… terminalele utilizatorilor…
Statistici Generale (pana in Iunie 2011) …din companii permit utilizatorilor 78 % conectarea dispozitivelor detasabile la calculatoarele de serviciu… 62 % …din companii permit utilizatorilor conectarea la retele sociale… 44 % …din companii au afirmat ca peste 20 % din utilizatorii lor au drepturi de administrare…
Detecting and Defending against Advanced Persistent Threats - DefCamp 2012
Semne ale unui atac APT Cresterea conectarilor cu permisiuni ridicate APT-urile escaladeaza rapid de la compromiterea unui singur sistem la compromiterea intregului mediu. Acest lucru se datoreaza accesarilor bazelor de date ce contin date de autentificare. Hackerii descopera rapid userii cu permisiuni ridicate si se folosesc de aceste conturi pentru compromiterea sistemelor.
Semne ale unui atac APT Gasirea de coduri malitioase in intreaga retea Atacurile de cele mai multe ori duc la instalarea de “backdoor trojans” pe sistemele compromise din interiorul mediului atacat Hackerii ce conduc atacuri APT nu vor pleca de buna voie. De ce ar face asta cand controleaza sistemele din reteaua afectata?
Semne ale unui atac APT Fluxuri de informatii neasteptate Observarea fluxurilor de date neasteptate din interiorul retelei spre alte sisteme din retea sau din afara retelei, pot indica activitati APT Desi observarea este relativ usoara, intelegerea fluxurilor de date dinaintea infectarii este cruciala pentru diferentierea pachetelor de date in timpul analizelor de trafic post infectare.
Semne ale unui atac APT Gasirea unor pachete mari de date Atacatori de cele mai multe ori tind sa adune datele intr-un loc (sau mai multe) din interiorul retelelor afectate inainte de transferul acestora spre exteriorul companiei. Descoperirea unor pachete de date (de ordinul Gb) in locuri in care nu ar trebui sa existe si in mod special daca sunt arhivate intr- un mod diferit fata de ceea ce se foloseste in companie, ar trebui sa ridice niste semne de alarma…
Semne ale unui atac APT Detectarea uneltelor PTH (“Pass-The-Hash”) Desi atacatorii nu le folosesc intotdeauna, aceste unelte ies in evidenta la analiza traficului de retea relativ usor. Daca gasesti astfel de unelte, poti sa incepi sa-ti faci griji… 
Semne ale unui atac APT Campanii de tip “spear-phishing” Astfel de campanii sunt dintre cele mai distrugatoare, atacatorii trimitand angajatilor companiei pdf-uri malformate. Daca superiorii raporteaza ca au fost pacaliti in a deschide un pdf atasat la un mail, incepeti sa cautati si restul de semne… Asta s-ar putea sa va fie canarul din mina… 
Detecting and Defending against Advanced Persistent Threats - DefCamp 2012
Pasi pentru prevenirea situatiilor neplacute  Securitate centrata pe informatii Adoptarea unei solutii de securitate centrata pe informatiile companiei, prin implementarea multiplelor nivele de securitate.
Pasi pentru prevenirea situatiilor neplacute  Restrictii ale terminalelor Minimizarea accesului administrativ sau restrictionarea accesului astfel incat utilizatorii sa nu aiba permisiuni de scriere si executare in acelasi folder.
Pasi pentru prevenirea situatiilor neplacute  Educarea utilizatorilor Instruirea utilizatorilor despre riscurile email-urilor de tip “social engineering” dar si alte forme de inginerie sociala, poate ajuta la scaderea timpului de reactie al departamentului IT.
Pasi pentru prevenirea situatiilor neplacute  Topologia retelei este bine cunoscuta Asigurarea ca administratorii de sistem sunt in cunostinta de cauza privind locatiile (fizice si logice) ale tuturor sistemelor si echipamentelor de retea este cruciala pentru securizarea retelei.
Pasi pentru prevenirea situatiilor neplacute  Controlul asupra porturilor de USB Restrictionarea si dezvoltarea unor politici ce permit anumitor utilizatori folosirea porturilor USB cu minimul de cerinte de criptare, va poate scapa de o parte din probleme.
Pasi pentru prevenirea situatiilor neplacute  IA (Intrusion Analysis) & IDS (Intrusion Detection Systems) Alcatuirea sesiunilor de IA atat la nivel de sistem cat si la nivel de retea este absolut necesara pentru descoperirea activitatilor suspicioase. Un IDS este la fel de bun ca ultimul update (dar este mai bun decat deloc). Sistemele IDS de astazi au o rata de detectie de aprox. 90% a atacurilor, restul de 10% datorandu-se vulnerabilitatilor si update-urilor lipsa neinstalate.
Pasi pentru prevenirea situatiilor neplacute  Controlul accesului Implementarea sistemelor de autentificare “2-way” acolo unde se poate, dar cu precadere pe VPN-uri este vitala. Restrictionarea accesului utilizatorilor folosind metodologia “celui mai mic privilegiu”, incurajeaza un control mai bun asupra complexitatii parolelor auditarea inregistrarilor de acces si revizia nivelelor de acces.
Pasi pentru prevenirea situatiilor neplacute  “Sender Policy Framework” Need I say more? 
Cine zice ca nu reactioneaza asa…minte! 
You still got hacked? DONT’s Nu sari pe un cal, imbracat in armura…desi asta va fi primul instinct! Echipa de IR (incident response) nu-si va dezvolta capacitatile de detectie daca nu este insasi victima a atacului.
You still got hacked? DO’s Analiza de caz poate scoate la suprafata mult mai multe informatii: • Metoda de atac • Posibile motive ale atacului
Q&A 
End! 
1 of 29

Detecting and Defending against Advanced Persistent Threats - DefCamp 2012

Download to read offline
DefCamp
DefCampDefCamp

Recommended

Securitate by
SecuritateSecuritate
SecuritateAlexandruPutere
24 views37 slides
Protejarea calculatoarelor împotriva aplica țiilor malițioase by
Protejarea calculatoarelor împotriva aplica țiilor malițioaseProtejarea calculatoarelor împotriva aplica țiilor malițioase
Protejarea calculatoarelor împotriva aplica țiilor malițioaseNational Library of Republic of Moldova
1.1K views10 slides
Securitatea pe internet by
Securitatea pe internetSecuritatea pe internet
Securitatea pe internetLarisa Berestean
5.6K views16 slides
Human brain, friend or foe? - DefCamp 2012 by
Human brain, friend or foe? - DefCamp 2012Human brain, friend or foe? - DefCamp 2012
Human brain, friend or foe? - DefCamp 2012DefCamp
679 views25 slides
How does a 0day work? - DefCamp 2012 by
How does a 0day work? - DefCamp 2012How does a 0day work? - DefCamp 2012
How does a 0day work? - DefCamp 2012DefCamp
790 views19 slides
Troienii by
TroieniiTroienii
Troieniiandreiblidariu
152 views6 slides

More Related Content

Similar to Detecting and Defending against Advanced Persistent Threats - DefCamp 2012

Identitatea, reputația online și securitatea pe internet by
Identitatea, reputația online și securitatea pe internetIdentitatea, reputația online și securitatea pe internet
Identitatea, reputația online și securitatea pe internetMelinda Nagy
460 views21 slides
Securitatea Big Data: Amenințări by
Securitatea Big Data: AmenințăriSecuritatea Big Data: Amenințări
Securitatea Big Data: AmenințăriNicolae Sfetcu
2 views15 slides
Virusi Spam Malware Tendinte by
Virusi Spam Malware TendinteVirusi Spam Malware Tendinte
Virusi Spam Malware Tendinteguest477b3f6
312 views18 slides
G data ce-bit+2010+ro by
G data ce-bit+2010+roG data ce-bit+2010+ro
G data ce-bit+2010+roAgora Group
194 views23 slides
White Hat Hacking #2 by
White Hat Hacking #2White Hat Hacking #2
White Hat Hacking #2Tudor Damian
606 views229 slides
Curs White Hat Hacking #3 - ITSpark by
Curs White Hat Hacking #3 - ITSparkCurs White Hat Hacking #3 - ITSpark
Curs White Hat Hacking #3 - ITSparkITSpark Community
411 views159 slides

Similar to Detecting and Defending against Advanced Persistent Threats - DefCamp 2012(15)

Identitatea, reputația online și securitatea pe internet by Melinda Nagy
Identitatea, reputația online și securitatea pe internetIdentitatea, reputația online și securitatea pe internet
Identitatea, reputația online și securitatea pe internet
Melinda Nagy460 views
Securitatea Big Data: Amenințări by Nicolae Sfetcu
Securitatea Big Data: AmenințăriSecuritatea Big Data: Amenințări
Securitatea Big Data: Amenințări
Nicolae Sfetcu2 views
Virusi Spam Malware Tendinte by guest477b3f6
Virusi Spam Malware TendinteVirusi Spam Malware Tendinte
Virusi Spam Malware Tendinte
guest477b3f6312 views
G data ce-bit+2010+ro by Agora Group
G data ce-bit+2010+roG data ce-bit+2010+ro
G data ce-bit+2010+ro
Agora Group194 views
White Hat Hacking #2 by Tudor Damian
White Hat Hacking #2White Hat Hacking #2
White Hat Hacking #2
Tudor Damian606 views
Curs White Hat Hacking #3 - ITSpark by ITSpark Community
Curs White Hat Hacking #3 - ITSparkCurs White Hat Hacking #3 - ITSpark
Curs White Hat Hacking #3 - ITSpark
ITSpark Community411 views
Securitatea Retelelor. Viermele Internetului by MegaVjohnson
Securitatea Retelelor. Viermele InternetuluiSecuritatea Retelelor. Viermele Internetului
Securitatea Retelelor. Viermele Internetului
MegaVjohnson406 views
Prezentare CERT RO by IDG Romania
Prezentare CERT ROPrezentare CERT RO
Prezentare CERT RO
IDG Romania806 views
Kaspersky 22iun2011 by Agora Group
Kaspersky 22iun2011Kaspersky 22iun2011
Kaspersky 22iun2011
Agora Group186 views
Virusi by liviupilot
VirusiVirusi
Virusi
liviupilot539 views
Corporate Network Security 101 by DefCamp
Corporate Network Security 101Corporate Network Security 101
Corporate Network Security 101
DefCamp511 views
Suita 2010 de solutii BitDefender by Bitdefender
Suita 2010 de solutii BitDefenderSuita 2010 de solutii BitDefender
Suita 2010 de solutii BitDefender
Bitdefender242 views
O Ce!. by 8alessa8
O Ce!.O Ce!.
O Ce!.
8alessa8273 views
Virusi by liviupilot
VirusiVirusi
Virusi
liviupilot1.1K views
White Hat Hacking #1 by Tudor Damian
White Hat Hacking #1White Hat Hacking #1
White Hat Hacking #1
Tudor Damian583 views

More from DefCamp

Remote Yacht Hacking by
Remote Yacht HackingRemote Yacht Hacking
Remote Yacht HackingDefCamp
1.7K views89 slides
Mobile, IoT, Clouds… It’s time to hire your own risk manager! by
Mobile, IoT, Clouds… It’s time to hire your own risk manager!Mobile, IoT, Clouds… It’s time to hire your own risk manager!
Mobile, IoT, Clouds… It’s time to hire your own risk manager!DefCamp
974 views167 slides
The Charter of Trust by
The Charter of TrustThe Charter of Trust
The Charter of TrustDefCamp
558 views24 slides
Internet Balkanization: Why Are We Raising Borders Online? by
Internet Balkanization: Why Are We Raising Borders Online?Internet Balkanization: Why Are We Raising Borders Online?
Internet Balkanization: Why Are We Raising Borders Online?DefCamp
309 views22 slides
Bridging the gap between CyberSecurity R&D and UX by
Bridging the gap between CyberSecurity R&D and UXBridging the gap between CyberSecurity R&D and UX
Bridging the gap between CyberSecurity R&D and UXDefCamp
260 views13 slides
Secure and privacy-preserving data transmission and processing using homomorp... by
Secure and privacy-preserving data transmission and processing using homomorp...Secure and privacy-preserving data transmission and processing using homomorp...
Secure and privacy-preserving data transmission and processing using homomorp...DefCamp
470 views102 slides

More from DefCamp(20)

Remote Yacht Hacking by DefCamp
Remote Yacht HackingRemote Yacht Hacking
Remote Yacht Hacking
DefCamp1.7K views
Mobile, IoT, Clouds… It’s time to hire your own risk manager! by DefCamp
Mobile, IoT, Clouds… It’s time to hire your own risk manager!Mobile, IoT, Clouds… It’s time to hire your own risk manager!
Mobile, IoT, Clouds… It’s time to hire your own risk manager!
DefCamp974 views
The Charter of Trust by DefCamp
The Charter of TrustThe Charter of Trust
The Charter of Trust
DefCamp558 views
Internet Balkanization: Why Are We Raising Borders Online? by DefCamp
Internet Balkanization: Why Are We Raising Borders Online?Internet Balkanization: Why Are We Raising Borders Online?
Internet Balkanization: Why Are We Raising Borders Online?
DefCamp309 views
Bridging the gap between CyberSecurity R&D and UX by DefCamp
Bridging the gap between CyberSecurity R&D and UXBridging the gap between CyberSecurity R&D and UX
Bridging the gap between CyberSecurity R&D and UX
DefCamp260 views
Secure and privacy-preserving data transmission and processing using homomorp... by DefCamp
Secure and privacy-preserving data transmission and processing using homomorp...Secure and privacy-preserving data transmission and processing using homomorp...
Secure and privacy-preserving data transmission and processing using homomorp...
DefCamp470 views
Drupalgeddon 2 – Yet Another Weapon for the Attacker by DefCamp
Drupalgeddon 2 – Yet Another Weapon for the AttackerDrupalgeddon 2 – Yet Another Weapon for the Attacker
Drupalgeddon 2 – Yet Another Weapon for the Attacker
DefCamp269 views
Economical Denial of Sustainability in the Cloud (EDOS) by DefCamp
Economical Denial of Sustainability in the Cloud (EDOS)Economical Denial of Sustainability in the Cloud (EDOS)
Economical Denial of Sustainability in the Cloud (EDOS)
DefCamp254 views
Trust, but verify – Bypassing MFA by DefCamp
Trust, but verify – Bypassing MFATrust, but verify – Bypassing MFA
Trust, but verify – Bypassing MFA
DefCamp323 views
Threat Hunting: From Platitudes to Practical Application by DefCamp
Threat Hunting: From Platitudes to Practical ApplicationThreat Hunting: From Platitudes to Practical Application
Threat Hunting: From Platitudes to Practical Application
DefCamp218 views
Building application security with 0 money down by DefCamp
Building application security with 0 money downBuilding application security with 0 money down
Building application security with 0 money down
DefCamp179 views
Implementation of information security techniques on modern android based Kio... by DefCamp
Implementation of information security techniques on modern android based Kio...Implementation of information security techniques on modern android based Kio...
Implementation of information security techniques on modern android based Kio...
DefCamp215 views
Lattice based Merkle for post-quantum epoch by DefCamp
Lattice based Merkle for post-quantum epochLattice based Merkle for post-quantum epoch
Lattice based Merkle for post-quantum epoch
DefCamp241 views
The challenge of building a secure and safe digital environment in healthcare by DefCamp
The challenge of building a secure and safe digital environment in healthcareThe challenge of building a secure and safe digital environment in healthcare
The challenge of building a secure and safe digital environment in healthcare
DefCamp323 views
Timing attacks against web applications: Are they still practical? by DefCamp
Timing attacks against web applications: Are they still practical?Timing attacks against web applications: Are they still practical?
Timing attacks against web applications: Are they still practical?
DefCamp258 views
Tor .onions: The Good, The Rotten and The Misconfigured by DefCamp
Tor .onions: The Good, The Rotten and The Misconfigured Tor .onions: The Good, The Rotten and The Misconfigured
Tor .onions: The Good, The Rotten and The Misconfigured
DefCamp816 views
Needles, Haystacks and Algorithms: Using Machine Learning to detect complex t... by DefCamp
Needles, Haystacks and Algorithms: Using Machine Learning to detect complex t...Needles, Haystacks and Algorithms: Using Machine Learning to detect complex t...
Needles, Haystacks and Algorithms: Using Machine Learning to detect complex t...
DefCamp294 views
We will charge you. How to [b]reach vendor’s network using EV charging station. by DefCamp
We will charge you. How to [b]reach vendor’s network using EV charging station.We will charge you. How to [b]reach vendor’s network using EV charging station.
We will charge you. How to [b]reach vendor’s network using EV charging station.
DefCamp442 views
Connect & Inspire Cyber Security by DefCamp
Connect & Inspire Cyber SecurityConnect & Inspire Cyber Security
Connect & Inspire Cyber Security
DefCamp290 views
The lions and the watering hole by DefCamp
The lions and the watering holeThe lions and the watering hole
The lions and the watering hole
DefCamp225 views

Detecting and Defending against Advanced Persistent Threats - DefCamp 2012

  • 2. Cazacu Bogdan DefCamp @ Bucharest 2012
  • 3. Ce sunt APT-urile? APT-urile sunt o clasa de hackeri bine finantata, extrem de abili, ce sunt din ce in ce mai des mentionati in presa, de catre companiile de securitate IT, victime dar si de institutii guvernamentale de interes national in aplicarea legii (DIICOT, SRI, NSA, DoD, FBI, MI5, etc). Multi dintre ei ataca indiscriminatoriu si de cele mai multe ori se focuseaza pe tintele mai vulnerabile folosindu-se de incercarile, greu de depistat, de a accesa informatii sensibile.
  • 4. Ce inseamna APT (Advanced Persistent Threat)? Advanced Hackerul are capacitatea de a se sustrage detectarii si are capacitatea de a obtine si mentine accesul la retele protejate si informatii sensibile continute în acestea. O astfel de entitate se poate adapta foarte usor si detine resursele necesare pentru un asemenea atac Persistent Natura persistenta a amenintarii face dificila prevenirea accesului la retea si, odata ce factorul atacator a obtinut cu succes permisiunile necesare, se poate dovedi a fi foarte dificil eliminarea acesteia. Threat Hackerul nu are doar intentia, dar, are de asemenea, si capacitatea de a avea acces la informatii sensibile stocate electronic in interiorul retelei.
  • 5. Statistici Generale (pana in Iunie 2011) 91 % …din companii au avut cel putin o bresa de securitate 61 % …din atacuri avut loc datorita infectiilor malware 48 % …din companii o crestere semnificativa a numarului de atacuri cibernetice
  • 6. Statistici Generale (pana in Iunie 2011) 44 % …din atacuri au fost posibile datorita aplicatiilor vulnerabile 31 % …din companii au pierdut date in urma atacurilor
  • 7. Statistici Generale (pana in Iunie 2011) …din companii permit userilor sa descarce 51 % si sa instaleze aplicatii pe calculatoarele de serviciu… 31 % …virusi si malware cunoscut… …indicau ca au fost permise descarcarea lor prin diverse forme de …virusi, malware si software, pe 23 % 0-day-uri necunoscute… terminalele utilizatorilor…
  • 8. Statistici Generale (pana in Iunie 2011) …din companii permit utilizatorilor 78 % conectarea dispozitivelor detasabile la calculatoarele de serviciu… 62 % …din companii permit utilizatorilor conectarea la retele sociale… 44 % …din companii au afirmat ca peste 20 % din utilizatorii lor au drepturi de administrare…
  • 10. Semne ale unui atac APT Cresterea conectarilor cu permisiuni ridicate APT-urile escaladeaza rapid de la compromiterea unui singur sistem la compromiterea intregului mediu. Acest lucru se datoreaza accesarilor bazelor de date ce contin date de autentificare. Hackerii descopera rapid userii cu permisiuni ridicate si se folosesc de aceste conturi pentru compromiterea sistemelor.
  • 11. Semne ale unui atac APT Gasirea de coduri malitioase in intreaga retea Atacurile de cele mai multe ori duc la instalarea de “backdoor trojans” pe sistemele compromise din interiorul mediului atacat Hackerii ce conduc atacuri APT nu vor pleca de buna voie. De ce ar face asta cand controleaza sistemele din reteaua afectata?
  • 12. Semne ale unui atac APT Fluxuri de informatii neasteptate Observarea fluxurilor de date neasteptate din interiorul retelei spre alte sisteme din retea sau din afara retelei, pot indica activitati APT Desi observarea este relativ usoara, intelegerea fluxurilor de date dinaintea infectarii este cruciala pentru diferentierea pachetelor de date in timpul analizelor de trafic post infectare.
  • 13. Semne ale unui atac APT Gasirea unor pachete mari de date Atacatori de cele mai multe ori tind sa adune datele intr-un loc (sau mai multe) din interiorul retelelor afectate inainte de transferul acestora spre exteriorul companiei. Descoperirea unor pachete de date (de ordinul Gb) in locuri in care nu ar trebui sa existe si in mod special daca sunt arhivate intr- un mod diferit fata de ceea ce se foloseste in companie, ar trebui sa ridice niste semne de alarma…
  • 14. Semne ale unui atac APT Detectarea uneltelor PTH (“Pass-The-Hash”) Desi atacatorii nu le folosesc intotdeauna, aceste unelte ies in evidenta la analiza traficului de retea relativ usor. Daca gasesti astfel de unelte, poti sa incepi sa-ti faci griji… 
  • 15. Semne ale unui atac APT Campanii de tip “spear-phishing” Astfel de campanii sunt dintre cele mai distrugatoare, atacatorii trimitand angajatilor companiei pdf-uri malformate. Daca superiorii raporteaza ca au fost pacaliti in a deschide un pdf atasat la un mail, incepeti sa cautati si restul de semne… Asta s-ar putea sa va fie canarul din mina… 
  • 17. Pasi pentru prevenirea situatiilor neplacute  Securitate centrata pe informatii Adoptarea unei solutii de securitate centrata pe informatiile companiei, prin implementarea multiplelor nivele de securitate.
  • 18. Pasi pentru prevenirea situatiilor neplacute  Restrictii ale terminalelor Minimizarea accesului administrativ sau restrictionarea accesului astfel incat utilizatorii sa nu aiba permisiuni de scriere si executare in acelasi folder.
  • 19. Pasi pentru prevenirea situatiilor neplacute  Educarea utilizatorilor Instruirea utilizatorilor despre riscurile email-urilor de tip “social engineering” dar si alte forme de inginerie sociala, poate ajuta la scaderea timpului de reactie al departamentului IT.
  • 20. Pasi pentru prevenirea situatiilor neplacute  Topologia retelei este bine cunoscuta Asigurarea ca administratorii de sistem sunt in cunostinta de cauza privind locatiile (fizice si logice) ale tuturor sistemelor si echipamentelor de retea este cruciala pentru securizarea retelei.
  • 21. Pasi pentru prevenirea situatiilor neplacute  Controlul asupra porturilor de USB Restrictionarea si dezvoltarea unor politici ce permit anumitor utilizatori folosirea porturilor USB cu minimul de cerinte de criptare, va poate scapa de o parte din probleme.
  • 22. Pasi pentru prevenirea situatiilor neplacute  IA (Intrusion Analysis) & IDS (Intrusion Detection Systems) Alcatuirea sesiunilor de IA atat la nivel de sistem cat si la nivel de retea este absolut necesara pentru descoperirea activitatilor suspicioase. Un IDS este la fel de bun ca ultimul update (dar este mai bun decat deloc). Sistemele IDS de astazi au o rata de detectie de aprox. 90% a atacurilor, restul de 10% datorandu-se vulnerabilitatilor si update-urilor lipsa neinstalate.
  • 23. Pasi pentru prevenirea situatiilor neplacute  Controlul accesului Implementarea sistemelor de autentificare “2-way” acolo unde se poate, dar cu precadere pe VPN-uri este vitala. Restrictionarea accesului utilizatorilor folosind metodologia “celui mai mic privilegiu”, incurajeaza un control mai bun asupra complexitatii parolelor auditarea inregistrarilor de acces si revizia nivelelor de acces.
  • 24. Pasi pentru prevenirea situatiilor neplacute  “Sender Policy Framework” Need I say more? 
  • 25. Cine zice ca nu reactioneaza asa…minte! 
  • 26. You still got hacked? DONT’s Nu sari pe un cal, imbracat in armura…desi asta va fi primul instinct! Echipa de IR (incident response) nu-si va dezvolta capacitatile de detectie daca nu este insasi victima a atacului.
  • 27. You still got hacked? DO’s Analiza de caz poate scoate la suprafata mult mai multe informatii: • Metoda de atac • Posibile motive ale atacului