W prezentacji zostaną ukazane prawdziwe przykłady z testów penetracyjnych typu RedTeam, w których każdy sposób na kradzież informacji jest dobry. Phishing, złośliwe oprogramowanie, fałszywe domeny, przełamywanie zabezpieczeń fizycznych - to tylko niektóre aspekty poruszane podczas prelekcji. Pokażemy nasze sukcesy oraz porażki, metody ataków oraz dobre praktyki ograniczające możliwość skutecznego ataku wymierzonego w zasoby firmowe.

1. Borys Łącki
Red teaming w Polsce
2017.11.06

2. Od ponad 10 lat wykonując testy penetracyjne,
testujemy bezpieczeństwo i zabezpieczamy
zasoby Klientów.
Borys Łącki

3. Edukacja

5. Red teaming

6. Red teaming - ustalenia
●Cele
●Zasady
●Komunikacja
●Osoby
●Godziny
●Adresy IP
●Plany awaryjne

7. Red teaming - działania
●Plan
●Rekonesans
●Atak

8. Phishing
30% haseł w 15 minut
65%, 90%, 40% - zrób test!

9. Phishing – zarządzanie incydentem
●hasło: **uje **bane zaj***e was
●DDoS
●CC vc BCC - rekonesans! #fail
●Firewall – globalnie!
●„Biegający pracownik”

10. Złośliwe oprogramowanie

11. Złośliwe oprogramowanie

12. ●IT uruchamia załącznik
●2 x AV
●Dział HR → kody źródłowe
Złośliwe oprogramowanie

13. USB

14. Internet - Quake 1

15. Sieć firmowa
● CMS – konto demo
● SSH: tomcat7/tomcat7
● Zbędny zasób: obraz testowy - VM
● To samo hasło do serwera Windows
● Błąd WWW -> lokalny admin
● Schemat tworzenia haseł
● Konto administratora AD
● VMware – konsola administracyjna

16. CCTV – IoT
● Pobierz firmware
● Odszyfruj firmware
● Pobierz dane
konfiguracyjne
● Uruchom swój kod
● Podsłuchaj sieć
firmową

17. Bezpieczeństwo fizyczne

18. Dopracowana historia

19. Systemy kontroli dostępu x 2

20. Pomieszczenia biurowe

21. Sala konferencyjna

22. Serwerownia

23. Podsumowanie
Skuteczny atak to kwestia czasu i
kosztów
Podnoście koszty atakujących!
Bezpieczeństwo to proces :)

24. Podsumowanie
● Raport
● Platforma edukacyjna
https://SecurityInside.pl
● Prezentacja dla pracowników
● Dyskusja

25. Obrona - Komunikacja
● Wykrywanie problemów
– SIEM, IDS, IPS, Korelacja danych, BOK
● Trening i ćwiczenia pracowników
– Edukacja poprzez praktykę i case study
● Zarządzanie incydentami (komunikacja)
– Technologia, ludzie, analiza ryzyka

26. Obrona - Procesy
● Informatyka śledcza
– Materiał dowodowy, analiza złośliwego oprogramowania
● Wdrażanie zmian
– Krytyczne aktualizacje, czas życia podatności
● Utwardzanie środowisk, spowalnianie
atakujących
– Rekonfiguracja, reakcja w trakcie incydentu

27. Materiały dodatkowe
Filmy:
APT x 3 - wybrane studium przypadków
Darmowe narzędzia wspomagające proces zabezpieczania Twojej firmy
Urządzenia i usługi bezpieczeństwa IT - pełna ochrona czy zaproszenie dla cyberprzestępców?
Narzędzia do zautomatyzowanego testowania bezpieczeństwa
OWASP Top10 Najpopularniejsze błędy bezpieczeństwa aplikacji WWW
Podstawowy arsenał testera bezpieczeństwa aplikacji WWW
Darmowa edukacja:
https://quiz.securityinside.pl
https://quiz2.securityinside.pl
http://sprawdzpesel.pl
http://sprawdzkontobankowe.pl
https://pixabay.com/en/ - Zdjęcia
https://www.iconfinder.com/Vecteezy - Ikony

28. https://z3s.pl/szkolenia/
https://securityinside.pl
Atak i obrona:
● Bezpieczeństwo aplikacji WWW
● Bezpieczeństwo aplikacji mobilnych
-20%
Obowiązuje 31 dni
Hasło: GuuXXt
Szkolenia – rabat

29. Dziękuję za uwagę
Borys Łącki
b.lacki@logicaltrust.net
Pytania