DND Faggruppe for IT-sikkerhet19. april 2012Håndtering avsikkerhetshendelser
Kort om meg• Oddbjørn Steffensen • BDC (1995-2003) » EDB ErgoGroup / Evry (2003-)• Arbeidsområder • Fulltid sikkerhet side...
Kort om Evry• Tidligere EDB ErgoGroup                        Consulting • Omsetning på NOK ~12.8 mrd (2011) • ~9.500 ansat...
The Stages of Being Hacked  Selvgodhet           Overraskelse     Resignasjon  «Vi har kontroll!»    «Går dét an?»   «Hvor...
Hva er en sikkerhetshendelse?   • En hendelse som har medført, eller     kan utvikle seg til å medføre, tap av:      Konfi...
Eksempler på hendelser                                 Økonomisk  Identitetstyveri                  Tjenestenekt         k...
Målet med håndtering (forenklet)    Hva har skjedd?        Begrense skade                                                 ...
KEEPCALM ANDDON’TPANIC
Kontekst: «Livsløp»                                 Prevensjon                                            Deteksjon       ...
Kontekst: Tankesett                                             • Løsningsarkitektur                                      ...
Kontekst: “Terrenget”                      Verdikjeder         Forretnings-            Løsninger &             verdi      ...
The Defensible Network1. Monitored     • Hva som skjer («situational awareness»)2. Inventoried   • Vite hva vi har        ...
Faser i håndteringen                     1.                 Forberede         6.                       2.      Forbedre   ...
FForberedelser                                              F                                                           G ...
FDokumentert prosedyrer   F                         G                             S                                 A     ...
F Egenskaper i en handler                                                                                          F      ...
F    Samhandling                                         G                                                         F      ...
FEksempel på samhandling                                                                                                  ...
FAktivisering                                  F                                              G                           ...
F  Analyse                                                                                           F                    ...
FAnalyse: Infokilder                                                 F                                                    ...
FOvervåkning: Ok eller ei?                                             F                                                  ...
FAnalyse: Verktøykasse                                                  F                                                 ...
FAnalyse: Bevisaspektet                                              F                                                    ...
Protect & Proceed Pursue & Prosecute                          Behov for        Reetablering                          «clos...
FSkadebegrensning                                  F                                                  G                   ...
FVerdien av sjekklister                                                G                                                  ...
F  Eksempler på sjekklister                                                                  G                            ...
FGjenoppretting                                    F                                                  G                   ...
FForbedring                                                      F                                                        ...
FRotårsak: TJX                                                         F                                                  ...
F         Rotårsak: Ormespredning                                                                         F               ...
Trender i trusselbildetØkt profesjonalisering           → Målrettede angrep gir større grad av suksessØkt polering av malw...
Motivasjon                         Militære  Politisk                          formål             Industri-              Ø...
«Advanced Persistent Threat» (APT)                   • Bredt spekter av angrepsteknikker  Advanced         • Unngår deteks...
NSMs årsmelding for 2010• ”Viktige datasystemer trolig infisert”• ”Avanserte målrettede angrep er krevende å oppdage”• Feb...
Flyten i en kompromittering                                     •   Open source intelligence (Google / LinkedIn mv.)1. Rek...
... ikke akkurat et nytt konsept• Lawrence Berkeley National Laboratory (1986) • Komplekst angrep over mange hopp • Detekt...
Angrepet Poison Ivy             med mere                                  Bruker åpner vedlegg, blir infisert av trojansk...
Poison Ivy• Remote Administration Tool (RAT)• Velkjent, opprinnelig svenskutviklet                                        ...
Deteksjonsrate:45%Ingen av de ”store”Tips:”Is anti-virus really dead?” av Rob Lee, SANS
Poison Ivy: Deteksjonsgrad• 3-4 unike Poison Ivy-varianter i «vårt» angrep • VirusTotal: 7-45% deteksjon• Poison Ivy Polym...
Jammen, slikt skjer jo ikke oss!                     1.   SpamrunsSpredningsvektorer                     2.   Spearphishin...
... et mer lokalt eksempel1.   Bruker søker etter IL Sandviken ved hjelp av Bing, og aksesserer denne2.   Forventede linke...
Har vi riktig fokus?       Klassisk soneinndeling + IDSer          Web            Appl            Data                    ...
Verizon DBIR: 2009-2012          83% of the attacks were crimes of opportunity          92% of the attacks were not highly...
Scenarier til ettertanke (I)       Innsidefaktoren       • Hva er konsekvensene ved ondsinnet insider? Admin?       Inform...
Scenarier til ettertanke (II)       Orm i nettet       • Hvordan redusere angrepsflaten?       • Hvordan hindre spredning?...
Noen                                       åpenbare erfaringer• Faren ved å rope ulv  • Finne riktig balanse mellom tidlig...
Utfordringer fremover                                    1. Bring Your                                                    ...
Oppsummering: Ha...• En plan for håndtering av sikkerhetshendelser• Tydelig mandat, avklart ressurssituasjon og eskalering...
Oppsummering: Vær...• Ydmyk ift. egne sikringstiltak • (det som kan skje andre kan også skje oss)• Nysgjerrig på hva som s...
I sum –   Bygg noe som fungerer    for din organisasjon  (dette er ikke hyllevare!)
Spørsmål?                                                    Oddbjørn Steffensen• Kontaktinfo: • oddbjorn.steffensen@evry....
For mye jobb? Lightversjonen.                                              Start                                          ...
Et lite apropos.. “Sequential Analysis of             Pansring versus last Statistical Data Theory”  Abraham Wald (1943)  ...
EVRY Håndtering av sikkerhetshendelser DND BITS
EVRY Håndtering av sikkerhetshendelser DND BITS
Upcoming SlideShare
Loading in …5
×

EVRY Håndtering av sikkerhetshendelser DND BITS

1,891 views

Published on

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
1,891
On SlideShare
0
From Embeds
0
Number of Embeds
14
Actions
Shares
0
Downloads
0
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

EVRY Håndtering av sikkerhetshendelser DND BITS

  1. 1. DND Faggruppe for IT-sikkerhet19. april 2012Håndtering avsikkerhetshendelser
  2. 2. Kort om meg• Oddbjørn Steffensen • BDC (1995-2003) » EDB ErgoGroup / Evry (2003-)• Arbeidsområder • Fulltid sikkerhet siden ~2000 (fra pakkesniffing til konsernpolicy) • EDB/Evry Incident Response Team (IRT) siden ~2003 • Konsernarkitekt Sikkerhet fra november 2011• Om presentasjonen • Høyt tempo, maler med bred pensel • Spør gjerne underveis (enkelte ting er off-limits)
  3. 3. Kort om Evry• Tidligere EDB ErgoGroup Consulting • Omsetning på NOK ~12.8 mrd (2011) • ~9.500 ansatte på >100 lokasjoner • ... hvorav 350-400 i Bergen IT Solutions Operations • Stort egenmiljø, store kundemiljø• Evry Incident Response Team (IRT) • Fire personer, 24/7-beredskap + team for enkeltmiljø • Primært støttefunksjon for egen organisasjon + for kunder
  4. 4. The Stages of Being Hacked Selvgodhet Overraskelse Resignasjon «Vi har kontroll!» «Går dét an?» «Hvor la jeg CVen?»
  5. 5. Hva er en sikkerhetshendelse? • En hendelse som har medført, eller kan utvikle seg til å medføre, tap av: Konfidens- Tilgjenge- Integritet Omdømme ialitet lighet ”A computer security incident is a violation or imminent threat of violation of computersecurity policies, acceptable use policies, or standard security practices.” – NIST 800-60
  6. 6. Eksempler på hendelser Økonomisk Identitetstyveri Tjenestenekt kriminalitetSabotasje SQL-injisering Defacement Bakdør Anomalier Applikasjonssårbarhet Elevering av rettigheter Industrispionasje Brann Informasjonsmodifikasjon Brute force-angrep Tap av laptop/mobil Personalsak Malware Session hijacking Tyveri Uønsket innhold Sosial manipulasjon Hacktivism InformasjonslekkasjeUlovlig innhold Misbruk av rettigheter Misbruk av ressurser Feilsituasjon med sikkerhetskonsekvens Utsjekker Bestillinger Hendelser Katastrofe
  7. 7. Målet med håndtering (forenklet) Hva har skjedd? Begrense skade versus Gjenopprette normal 5 1 2 4 3 Hva kan bli bedre?Alle har et opplegg for hendelseshåndtering – strukturert og planlagt eller ad hoc
  8. 8. KEEPCALM ANDDON’TPANIC
  9. 9. Kontekst: «Livsløp» Prevensjon Deteksjon Reaksjon Refleksjon ”An ounce of prevention is worth a pound of detection.” – Marcus J. Ranum
  10. 10. Kontekst: Tankesett • Løsningsarkitektur • Teknologimuligheter og - Builder begrensninger • Balansering av behov IRT• Sårbarheter • Håndtering• Negativ testing Breaker Defender • Trusselbildet• Penetrasjonstesting • Sikringstiltak• Applikasjonsreview• mm.
  11. 11. Kontekst: “Terrenget” Verdikjeder Forretnings- Løsninger & verdi Infrastruktur “TheRisiko Terrenget Defensible Network” Sikringstiltak Trusselbildet og -status Tilpasningsdyktighet
  12. 12. The Defensible Network1. Monitored • Hva som skjer («situational awareness»)2. Inventoried • Vite hva vi har (assetoversikt)3. Controlled • Porteføljestyring, regulering og filtrering4. Claimed • Entydig eierskap for alle komponenter5. Minimized • Redusert angrepsflate (herding, soner)6. Assessed • Reell sikringsgrad vurdert opp mot behov7. Current • Løpende oppdatert (patching, sanering) http://taosecurity.blogspot.com/2008/01/defensible-network-architecture-20.html
  13. 13. Faser i håndteringen 1. Forberede 6. 2. Forbedre Aktivisere Hendelses- håndtering 5. Gjen- 3. opprette Analysere 4. Skade- begrense
  14. 14. FForberedelser F G S A A• Eierskap• Mandat og scope • Kjerne vs. utvidet• Roller og ansvar • Sammensetning• Reaktiv/proaktiv• Inhouse/ekstern Forankring Bemanning • Beredskap • Kompetanse• Krav til funksjon • Verktøykasse• Prosedyrer• Awareness• Ledelse & kunder • Samhandling• Eksterne partnere Sam- • Kommunikasjon• Incidentprosess Øvelser • Varsling• Eskaleringsveier• Kommunikasjons- handling • Eskalering • Teknisk vs ”skrivebord”kanaler
  15. 15. FDokumentert prosedyrer F G S A A
  16. 16. F Egenskaper i en handler F G S A A • Kompetanse og trening • Kunnskap om: • Teknologiforståelse • Egen organisasjon • Vurderingsevne • Egen infrastruktur • Tilgjengelig Basis • Trusselbildet• Ledelse• Trigge andre • Kommunisere status• Koordinere• Utfordre Koor- Komm- • Oversette mellom ulike sfærer (ledelse vs. teknisk,• Eskalere dinering unikasjon intern vs. kunde)• Korrellering• Identifisere opsjoner F.eks. 600 mailer på en uke Presen- • Sammenfatte komplekse hendelser til felles grunnlag tasjon • Erfaringsoppfølgning
  17. 17. F Samhandling G F S A A• Tjenesteeier • Incidentprosess• Applikasjonsdrift • Kundekontakter• Plattform • Kommunikasjon• Database • Helpdesk•• Nettverk Antimalware Drift Støtte • • HR og juridisk Fysisk sikkerhet • Kriseapparap IRT • Leverandører•• Tjenesteeier Egen IRT-funksjon Kunde Partnere • ISPer• Plattformansvarlig • NorCERT,• Ledelsesnivå HelseCERT mm.• Incidenthåndterere • Politi
  18. 18. FEksempel på samhandling G F S A A Forberedelser 1 KundePoliti Eier IRT Drift Utvikler Ekstern aktør ? ? IRT aktiveres Driftsavvik eller ? Sårbarhet avdekk- ? Henvendelse ? varsel fra IDS es under testing fra kunde • Konstatert • Mistanke • Aktivisering av varslingsplan Kartlegging og analyse • Protect & Proceed? • Pursue & Prosecute? • Hva / Hvordan / Hvem 2 • Systemtilstand • Systemkunnskap • Informasjon • Alvorlighetsgrad og omfang • Relevante logger • Telefon • Konsekvens • Ad-hoc overvåkning • Intervju • Hypoteser • Identifisere failover/backup-alternativer • Innhente info fra andre Bevissikring • Sporing • Overlevering av bevis • Oppdatert analyse 3 Innsamling • Sikre bevisintegritet • Matching hendelse/bevis • Sikring av logger • ”Chain of custody” • Snapshot av system • Bevisets volatilitet gir prioritering Skadebegrensning • Andre løsninger med samme sårbarhet? 4 • Isolering • Systemendring • Kundepleie • Valg mellom: • Deaktivering • Holde tjeneste oppe og overvåke • Plakat • Ta ned tjeneste Tjenestegjenopprettelse • Status 5 Reetablering • Failoverløsning • Bytt passord • Reinstallasjon + herding Oppfølgning Erfaringsoppfølgning Bistand ifb. påtale • Erfaringsrapport 6 • Overlevering av bevis • Postmortem møte • Tolkning av bevis • Tekniske tiltak • Presentasjon av bevis og sekvens • Organisatoriske tiltak • Bevishåndtering • Forbedring av håndtering • Kommunisere ut lærdom Hendelse avsluttet
  19. 19. FAktivisering F G S A A• Triggere • Deteksjon (log/malware/IDS) • Øvrig incidentprosess • Kunde eller eksterne (f.eks. bestilling) • Endring i trusselbildet • Eget initiativ• Klassifisering / triage • “Hvit / gul / oransje / rød” hendelse • Krever umiddelbar håndtering? • Eskaleringsbehov?• Proaktivt versus reaktivt IRT
  20. 20. F Analyse F G S A A • Identifisere informasjonskilder • Mennesker og systemer • Direkte og indirekte kilder (DHCP-logg eksempel på sistnevnte) • Hjelpesystemer (assetoversikt, systemeierskap, kontaktpunkter mm.) • Innhente og sikre informasjon • Flyktighet/volatilitet: RAM/swap, nettverkaktivitet, aktive prosesser, disk, eksterne lagringsmedia • Nettverksisolér fremfor å slå av komponent • Logger som roteres eller kan slettes/manipuleres av angriper må sikres snarest mulig • Kan ikke stole på noe materiale fra en kompromittert komponent (jfr. rootkits) • Korrellere, vaske og kna informasjon • Sporbarhet på tvers av kilder • Berikelse (f.eks. geomapping)“When you have eliminated the impossible, whatever remains, however improbable, must be the truth.” – Sherlock Holmes
  21. 21. FAnalyse: Infokilder F G S A A• Klient / server • Logger • Registry • Plattformlogg (eventlog / syslog) • Filsystem (inkl. slettede filer ++) • Webservere, mellomvare og database • Prosesstabell og minne (++) • HIDS • Nettverk • DNS, DHCP, ARP• Brukeraktivitet • Gatewaylogger (web, mail, fil) • Browserhistorikk • IDS og Netflow • Mailaktivitet • Brannvegg (trafikk og audit) • Nedlastinger • Programvareinstallasjon • Malware • Hendelser (klient/server, gatewayer)
  22. 22. FOvervåkning: Ok eller ei? F G S A A• Personopplysningsforskriften §7-11: • Aktivitetslogg i edb-system eller datanett • (..) • Unntak fra meldeplikt gjelder bare dersom behandlingen har som formål • a) administrere systemet, eller • b) å avdekke/oppklare brudd på sikkerheten i edb-systemet.• Se også «Merknader til Personopplysningsforskriften»• Viktigheten av ryddighet: • Å informere om akseptabel bruk, og kjøreregler for innsyn / loggovervåkning • Formell aksept fra arbeidstaker ved tilgang til hjemmekatalog, mailboks el.l. • Være igjennom denne løypen før man trenger den – da kan det være for sent • Vær på juridisk trygg grunn før tiltak iverksettes
  23. 23. FAnalyse: Verktøykasse F G S A A• Plattformverktøy • Tredjepartsverktøy • F.eks. Sysinternals, Volatility,• Scripting Mandiant Redline, netflowanalyse, • PowerShell, Perl/Python/Ruby mm. log2timeline, Team Cymru mm. • Tips: Russ McRees månedlige• Database Toolsmith-artikler i ISSA Journal • Normalisering, vasking og korrellering av informasjon (f.eks. PostgreSQL) • Distribusjoner med verktøy • REMnux, Backtrack mm. Viktig: Evne til å bruke disse verktøyene må etableres i “fredstid”, ikke midt under en hendelse – da er det ofte for sent
  24. 24. FAnalyse: Bevisaspektet F G S A A• Flyktighet / volatilitet• Sikre bevisenes integritet • Locards prinsipp: “Every contact leaves a trace" • Arbeide mot speilkopier av disker• Dokumentasjon • Innsamling, analyse og håndtering • “Chain of custody”• Presentasjon • Bygge en story rundt tekniske fakta og kunne presentere denne• I sum: • Vær edruelig ift. egne ferdigheter på dette området • Bruk ekstern ekspertise og/eller politi om nødvendig
  25. 25. Protect & Proceed Pursue & Prosecute Behov for Reetablering «closure» Ressurser Lover og policy Policy Gjennomførbart?
  26. 26. FSkadebegrensning F G S A A• Hindre spredning og/eller økt konsekvens, om mulig • Isolere • Lukke sårbarhet(er) • Fjerning av malware • Andre mitigerende tiltak • Lockdown av nett eller scrubbing av trafikk • Failover til alternative løsninger, om mulig
  27. 27. FVerdien av sjekklister G F S A A Komplikasjoner redusert med en tredjedel, halvering av dødsfall Forutsigbart, konsistent og repeterbart reaksjonsmønster Inspirasjon: The Checklist Manifesto av Atul Gawanade
  28. 28. F Eksempler på sjekklister G F S A A • Critical Log Review Checklist • Analyzing Malicious Documents • Troubleshooting Human Communications • http://cert.societegenerale.com/en/publications.html • Cheat Sheet for Server Administrators • Initial Security Incident Questionnaire • IRM-1 : Worm infection • IRM-2 : Windows intrusion • Network DDoS Incident Response • IRM-3 : Unix intrusion • Reverse-Engineering Malware • IRM-4 : Distributed Denial of Service • [..] • IRM-5 : Malicious Network Behaviour • IRM-6 : Website Defacement • IRM-7 : Windows Malware Detection www.lennyzeltser.com • IRM-8 : Blackmail (god blog i tillegg) • IRM-9 : Malware on smartphone • IRM-10 : Social Engineering • IRM-11 : Information Leakage • IRM-12 : Insider Abuse • IRM-13 : Phishing • IRM-14 : ScamSmart å ta utgangspunkt i disse, men bør tilpasses egne behov
  29. 29. FGjenoppretting F G S A A• Når kontroll er oppnådd:• Reetablering av normal drift • Switchover til alternative løsninger • Reversering av temporære tiltak • Reinstallasjon av berørte/infiserte maskiner • Husk at backup kan også være berørt• Friskmelding av løsningen
  30. 30. FForbedring F G S A A• Identifisering av rotårsak(er)• Identifisering av tiltak • Prosess (inkl. hendelseshåndteringen selv) • Teknisk (sikringstiltak – forbedring, nye) • Organisatorisk (ansvarsforhold, bevissthet mm.)• Hendelses og –erfaringsrapport • Utarbeidelse, distribusjon, presentasjon • Gi input til andre og fremtidige løsninger• Viktigst: Oppfølgning av tiltak
  31. 31. FRotårsak: TJX F G S A A• Stor behandler av korttransaksjoner i USA • Kompromittert i 2007, 215 millioner kort stjålet • Angrepsvektor: et usikret trådløst nett hos en butikk tilknyttet TJX • Kompromittert i minst 1.5 år før angrepet ble oppdaget i 2008• The Five Why’s: 1. Hvorfor.. ble kunne det trådløse nettet kompromitteres? 2. Hvorfor.. kunne baksystemene kompromitteres via butikknett? 3. Hvorfor.. var ikke sårbarhetene oppdaget? 4. Hvorfor.. ble ikke angrepet oppdaget? 5. Hvorfor.. kunne omfanget bli så stort?
  32. 32. F Rotårsak: Ormespredning F G S A A Rotårsak Feil Konsekvens Svakheter i Patch ikke installert Orm fikk spre seg patcheregimet 1. Hvorfor fikk ormen spre seg? Sårbarheten den utnyttet var ikke patchetThe Five Whys? 2. Hvorfor var ikke sårbarheten patchet? a) Maskinen(e) var falt utenfor patcheregimet b) Patcheregime ikke etablert c) Maskinen(e) kjørte usupportert release 3. Hvorfor var ikke a)-c) på plass? Manglende prioritering og fokus 4. Hvorfor var det manglende fokus? d) Nedprioritert ift. andre aktiviteter e) Manglende ressurser f) Manglende forståelse for behovet for patching 5. Hvorfor manglet d)-f)? a) Manglende ledelsesmessig beslutning b) Behov for hard prioritering av begrensede ressurser
  33. 33. Trender i trusselbildetØkt profesjonalisering → Målrettede angrep gir større grad av suksessØkt polering av malware → Ingen/få indikasjoner, lav AV-deteksjonØkt utholdenhet → En maraton, ikke en sprintØkt sofistikering → Sammensatte angrep, dybdeforsvar og helhetstenkningAlt kan kompromitteres → «Design for failure», dybdeforsvar, tenk kreativtDet klassiske perimeteret er dødt → «Innside» og «utside» gir ikke lenger mye meningPolitisk motiverte angrep → Anonymous, Wikileaks med mer.
  34. 34. Motivasjon Militære Politisk formål Industri- Økonomisk spionasje kriminalitet
  35. 35. «Advanced Persistent Threat» (APT) • Bredt spekter av angrepsteknikker Advanced • Unngår deteksjon av vanlige sikringstiltak • Skjult eksfiltering av informasjon (HTTPS) • Systematisk kompromittering, low & slow Persistent • Angriper både i bredde og dybde • Etablerer bakdører for å komme tilbake • Tenkende mennesker på den andre siden Threat • Har kompetanse, motivasjon og struktur • Koordinering på tvers av mål, rekognosering Markedsføringsgimmick eller reell trussel?
  36. 36. NSMs årsmelding for 2010• ”Viktige datasystemer trolig infisert”• ”Avanserte målrettede angrep er krevende å oppdage”• Februar 2010: Nettsidene til flere offentlige myndigheter ble utsatt for et distribuert tjenestenektsangrep (DDoS).• April 2010: Flere ansatte i en privat virksomhet som jobbet med et bedriftskonfidensielt prosjekt utsatt for målrettede trojanere i e-post.• Juli 2010: Mistenkelig nettverkstrafikk fra en data-maskin tilhørende en ansatt i et departement. På datamaskinen ble det oppdaget flere trojanere. Den ene samlet inn alle dokumenter opprettet den siste uken og klargjorde disse til å bli sendt ut på Internett tilbake til angriperen.• Nammo: Fem målrettede trojanerangrep
  37. 37. Flyten i en kompromittering • Open source intelligence (Google / LinkedIn mv.)1. Rekognosering • Scanning og probing • Ofte via zero-day-sårbarhet (PDF, Flash, Java) 2. Initielt fotfeste • • Infisert PDF/Office-dokument Spearphishing / rettet malvertising 3. Etablere bakdør(er) • Fjernstyring av kompromittert maskin via Remote Admin Tool (RAT) • Sårbarheter 4. Elevere rettigheter • • Credentials-sniffing Passordknekking • Remote Administration Tool (RAT) 5. Utvide fotfeste • Nettverkssniffing • «Lateral movement» • Staging-servere 6. Eksfiltrere informasjon • Ut via HTTP(S) • Kryptert trafikk / filer • Sekundær trojaner 7. Opprettholde tilgang
  38. 38. ... ikke akkurat et nytt konsept• Lawrence Berkeley National Laboratory (1986) • Komplekst angrep over mange hopp • Detektert vha. et $0.75-gap i usage accounting • Sporet til Markus Hess i Hanover Det relativt nye er at dette har gått fra å være «gutte- streker» til profesjonell/organisert krim/statlig virksomhet
  39. 39. Angrepet Poison Ivy med mere Bruker åpner vedlegg, blir infisert av trojansk hest på grunn av 0-day sårbarhet i AdobeTrojansk hest åpner for Acrobat Reader fjernstyring av PC, logging av n.n.n.n brukernavn og passord mv. Shandong, Kina Gir fotfeste for videre angrep i nettet Datatrafikk med ukjent innhold tilbake til opphavsadressen
  40. 40. Poison Ivy• Remote Administration Tool (RAT)• Velkjent, opprinnelig svenskutviklet • File manager• Bare ett av veldig mange lignende verktøy • File search • File transfer• http://www.poisonivy-rat.com/: • Browse folders • Regedit / search • Process manager • Service manager • Active ports • Remote Shell • Network relaying • Screen capture • Audio capture • NTML hashes • Share server • Installed applications • Windows manager
  41. 41. Deteksjonsrate:45%Ingen av de ”store”Tips:”Is anti-virus really dead?” av Rob Lee, SANS
  42. 42. Poison Ivy: Deteksjonsgrad• 3-4 unike Poison Ivy-varianter i «vårt» angrep • VirusTotal: 7-45% deteksjon• Poison Ivy Polymorphic Online Builder ($500) • Maskering og testing mot antivirusløsninger før bruk
  43. 43. Jammen, slikt skjer jo ikke oss! 1. SpamrunsSpredningsvektorer 2. Spearphishing 3. Sosiale media Fake LinkedIn-kampanje for å spre Zeus 4. Drive-by downloads 5. ”Fake AV” 6. Malvertising Mailen som ga angriper brohode hos RSA i 2011
  44. 44. ... et mer lokalt eksempel1. Bruker søker etter IL Sandviken ved hjelp av Bing, og aksesserer denne2. Forventede linker: Google, Facebook og hostingleverandør3. Bonus: Linker mot fem suspekte webservere i fire forskjellige land4. Usynlig installasjon av avansert trojaner5. Ingen deteksjon av antimalwareløsninger (oppdaterte standardprodukter)• Ikke unikt; malvertising via www.bt.no for et par år siden
  45. 45. Har vi riktig fokus? Klassisk soneinndeling + IDSer Web Appl Data Unix «Internt nett» M&Ms-filosofien: «Hardt skall, mykt indre» «It’s a useful exercise to assume you’ve been breached and plan accordingly» — Ray Pompon
  46. 46. Verizon DBIR: 2009-2012 83% of the attacks were crimes of opportunity 92% of the attacks were not highly difficult 96% were avoidable through simple or intermediate controlsSamt rapporter fra NorCERT, sikkerhetsleverandører, blogger, mailinglister, Twitter mm.
  47. 47. Scenarier til ettertanke (I) Innsidefaktoren • Hva er konsekvensene ved ondsinnet insider? Admin? Informasjonslekkasje (overlagt/uhell) • Tap av laptop / mobiltelefon Trojaner som gir ekstern angriper fotfeste • Hvordan detektere? • Hvordan skadebegrense?
  48. 48. Scenarier til ettertanke (II) Orm i nettet • Hvordan redusere angrepsflaten? • Hvordan hindre spredning? Distribuert tjenestenektangrep (DDoS) • Overvåkning, Plan B • Avtale med ISP, teknisk løsning for skrubbing av trafikk Defacement av webside • Omdømmerisiko → Mediehåndtering • Alternativ løsning
  49. 49. Noen åpenbare erfaringer• Faren ved å rope ulv • Finne riktig balanse mellom tidlig heads-up og prematur varsling• Faren ved å overkomplisere • Occams Razor: Den mest nærliggende teorien er ofte den riktige (f.eks. vannverk i USA)• Ha en plan for rotasjon av personell • Etter x timer begynner dømmekraft og effektivitet å kollapse  fnising i statusmøter • Bør en som er overtrøtt bestemme å ta ned Internett-forbindelsen?• Ikke undervurdér kommunikasjonsload • Kommunkasjonsbehov må balanseres mot faktisk arbeide• Ta periodisk et steg tilbake for å vurdere helheten i hendelsen • Fort gjort å miste helhetsbildet og bli styrt av hendelser, fremfor å aktivt ta styringen på en hendelse
  50. 50. Utfordringer fremover 1. Bring Your 2. Virtualisering Own Device 3. Nettsky 4. Mobilitet”Technology is introduced, utilized, depended upon, obsoleted, standardized, and understood, in that order” – Martin Fouts, HP
  51. 51. Oppsummering: Ha...• En plan for håndtering av sikkerhetshendelser• Tydelig mandat, avklart ressurssituasjon og eskaleringsveier• Fokus på de forretningsbehov; skaler i forhold til verdiene• Kontaktnett (internt/eksternt), verktøykasse og infokilder
  52. 52. Oppsummering: Vær...• Ydmyk ift. egne sikringstiltak • (det som kan skje andre kan også skje oss)• Nysgjerrig på hva som skjer i egen infrastruktur • (innenfor lover og regler)• Klar over at det organisatoriske aspektet er minst like viktig som det tekniske
  53. 53. I sum – Bygg noe som fungerer for din organisasjon (dette er ikke hyllevare!)
  54. 54. Spørsmål? Oddbjørn Steffensen• Kontaktinfo: • oddbjorn.steffensen@evry.com @oddbjorn • oddbjorn@tricknology.org http://www.oddbjorn.net/• Andre presentasjoner (http://www.slideshare.net/oddbjorn/) • Anvendt logghåndtering • Sikkerhet i en virtualisert verden • Bli kjent med {FreeBSD,PostgreSQL,Lightroom}
  55. 55. For mye jobb? Lightversjonen. Start Someone else I discovered it We’ve been discovered it hacked! Yes Cover No it up? Blame game Hope it doesn’t Any idea No Blame game Yes what happen again happened ? Can Close the hole ? Throw money at the problem and hope it Despair Can’t helps Kilde: NFR
  56. 56. Et lite apropos.. “Sequential Analysis of Pansring versus last Statistical Data Theory” Abraham Wald (1943) Hvor vil mer pansring gi best effekt?Kan vi overføre dette til “vår” verden?

×