detecting and defending against advanced persistent threats - defcamp 2012

29

Upload: defcamp

Post on 19-Jan-2015

332 views

Category:

Documents


2 download

DESCRIPTION

 

TRANSCRIPT

Page 1: Detecting and Defending against Advanced Persistent Threats - DefCamp 2012
Page 2: Detecting and Defending against Advanced Persistent Threats - DefCamp 2012

DETECTING AND DEFENDING AGAINST

ADVANCED PERSISTENT THREATS

Cazacu Bogdan

DefCamp @ Bucharest 2012

Page 3: Detecting and Defending against Advanced Persistent Threats - DefCamp 2012

Ce sunt APT-urile?

APT-urile sunt o clasa de hackeri bine finantata, extrem de abili, ce sunt din ce in ce mai des mentionati in presa, de catre companiile de securitate IT, victime dar si de institutii guvernamentale de interes national in aplicarea legii (DIICOT, SRI, NSA, DoD, FBI, MI5, etc).

Multi dintre ei ataca indiscriminatoriu si de cele mai multe ori se focuseaza pe tintele mai vulnerabile folosindu-se de incercarile, greu de depistat, de a accesa informatii sensibile.

Page 4: Detecting and Defending against Advanced Persistent Threats - DefCamp 2012

Ce inseamna APT (Advanced Persistent Threat)?

AdvancedHackerul are capacitatea de a se sustrage detectarii si are capacitatea de a obtine si mentine accesul la retele protejate si informatii sensibile continute în acestea. O astfel de entitate se poate adapta foarte usor si detine resursele necesare pentru un asemenea atacPersistentNatura persistenta a amenintarii face dificila prevenirea accesului la retea si, odata ce factorul atacator a obtinut cu succes permisiunile necesare, se poate dovedi a fi foarte dificil eliminarea acesteia.

ThreatHackerul nu are doar intentia, dar, are de asemenea, si capacitatea de a avea acces la informatii sensibile stocate electronic in interiorul retelei.

Page 5: Detecting and Defending against Advanced Persistent Threats - DefCamp 2012

Statistici Generale (pana in Iunie 2011)

…din companii au avut cel putin o bresa de securitate91%

…din atacuri avut loc datoritainfectiilor malware

…din companii o crestere semnificativaa numarului de atacuri cibernetice

61%

48%

Page 6: Detecting and Defending against Advanced Persistent Threats - DefCamp 2012

Statistici Generale (pana in Iunie 2011)

…din atacuri au fost posibile datoritaaplicatiilor vulnerabile44%

…din companii au pierdut date inurma atacurilor31%

Page 7: Detecting and Defending against Advanced Persistent Threats - DefCamp 2012

Statistici Generale (pana in Iunie 2011)

…din companii permit userilor sa descarcesi sa instaleze aplicatii pe calculatoarele deserviciu…51%

…virusi si malware cunoscut…31%

23%

…virusi, malware si 0-day-uri

necunoscute…

…indicau ca au fost permise

descarcarea lor prin diverse forme de

software, pe terminalele

utilizatorilor…

Page 8: Detecting and Defending against Advanced Persistent Threats - DefCamp 2012

Statistici Generale (pana in Iunie 2011)

…din companii permit utilizatorilorconectarea dispozitivelor detasabilela calculatoarele de serviciu…78%

…din companii permit utilizatorilor conectareala retele sociale…62%

44%

…din companii au afirmat ca peste 20%

din utilizatorii lor au drepturi de administrare…

Page 9: Detecting and Defending against Advanced Persistent Threats - DefCamp 2012
Page 10: Detecting and Defending against Advanced Persistent Threats - DefCamp 2012

Semne ale unui atac APT

Cresterea conectarilor cu permisiuni ridicate

APT-urile escaladeaza rapid de la compromiterea unui singur sistem la compromiterea intregului mediu. Acest lucru se datoreaza accesarilor bazelor de date ce contin date de autentificare.

Hackerii descopera rapid userii cu permisiuni ridicate si se folosesc de aceste conturi pentru compromiterea sistemelor.

Page 11: Detecting and Defending against Advanced Persistent Threats - DefCamp 2012

Semne ale unui atac APT

Gasirea de coduri malitioase in intreaga retea

Atacurile de cele mai multe ori duc la instalarea de “backdoor trojans” pe sistemele compromise din interiorul mediului atacat

Hackerii ce conduc atacuri APT nu vor pleca de buna voie. De ce ar face asta cand controleaza sistemele din reteaua afectata?

Page 12: Detecting and Defending against Advanced Persistent Threats - DefCamp 2012

Semne ale unui atac APT

Fluxuri de informatii neasteptate

Observarea fluxurilor de date neasteptate din interiorul retelei spre alte sisteme din retea sau din afara retelei, pot indica activitati APT

Desi observarea este relativ usoara, intelegerea fluxurilor de date dinaintea infectarii este cruciala pentru diferentierea pachetelor de date in timpul analizelor de trafic post infectare.

Page 13: Detecting and Defending against Advanced Persistent Threats - DefCamp 2012

Semne ale unui atac APT

Gasirea unor pachete mari de date

Atacatori de cele mai multe ori tind sa adune datele intr-un loc (sau mai multe) din interiorul retelelor afectate inainte de transferul acestora spre exteriorul companiei. Descoperirea unor pachete de date (de ordinul Gb) in locuri in care nu ar trebui sa existe si in mod special daca sunt arhivate intr-un mod diferit fata de ceea ce se foloseste in companie, ar trebui sa ridice niste semne de alarma…

Page 14: Detecting and Defending against Advanced Persistent Threats - DefCamp 2012

Semne ale unui atac APT

Detectarea uneltelor PTH (“Pass-The-Hash”)

Desi atacatorii nu le folosesc intotdeauna, aceste unelte ies in evidenta la analiza traficului de retea relativ usor.

Daca gasesti astfel de unelte, poti sa incepi sa-ti faci griji…

Page 15: Detecting and Defending against Advanced Persistent Threats - DefCamp 2012

Semne ale unui atac APT

Campanii de tip “spear-phishing”

Astfel de campanii sunt dintre cele mai distrugatoare, atacatorii trimitand angajatilor companiei pdf-uri malformate.

Daca superiorii raporteaza ca au fost pacaliti in a deschide un pdf atasat la un mail, incepeti sa cautati si restul de semne…

Asta s-ar putea sa va fie canarul din mina…

Page 16: Detecting and Defending against Advanced Persistent Threats - DefCamp 2012
Page 17: Detecting and Defending against Advanced Persistent Threats - DefCamp 2012

Pasi pentru prevenirea situatiilor neplacute

Securitate centrata pe informatii

Adoptarea unei solutii de securitate centrata pe informatiile companiei, prin implementarea multiplelor nivele de securitate.

Page 18: Detecting and Defending against Advanced Persistent Threats - DefCamp 2012

Pasi pentru prevenirea situatiilor neplacute

Restrictii ale terminalelor

Minimizarea accesului administrativ sau restrictionarea accesului astfel incat utilizatorii sa nu aiba permisiuni de scriere si executare in acelasi folder.

Page 19: Detecting and Defending against Advanced Persistent Threats - DefCamp 2012

Pasi pentru prevenirea situatiilor neplacute

Educarea utilizatorilor

Instruirea utilizatorilor despre riscurile email-urilor de tip “social engineering” dar si alte forme de inginerie sociala, poate ajuta la scaderea timpului de reactie al departamentului IT.

Page 20: Detecting and Defending against Advanced Persistent Threats - DefCamp 2012

Pasi pentru prevenirea situatiilor neplacute

Topologia retelei este bine cunoscuta

Asigurarea ca administratorii de sistem sunt in cunostinta de cauza privindlocatiile (fizice si logice) ale tuturor sistemelor si echipamentelor de retea este cruciala pentru securizarea retelei.

Page 21: Detecting and Defending against Advanced Persistent Threats - DefCamp 2012

Pasi pentru prevenirea situatiilor neplacute

Controlul asupra porturilor de USB

Restrictionarea si dezvoltarea unor politici ce permit anumitor utilizatorifolosirea porturilor USB cu minimul de cerinte de criptare, va poate scapade o parte din probleme.

Page 22: Detecting and Defending against Advanced Persistent Threats - DefCamp 2012

Pasi pentru prevenirea situatiilor neplacute

IA (Intrusion Analysis) & IDS (Intrusion Detection Systems)

Alcatuirea sesiunilor de IA atat la nivel de sistem cat si la nivel de retea este absolut necesara pentru descoperirea activitatilor suspicioase.

Un IDS este la fel de bun ca ultimul update (dar este mai bun decat deloc). Sistemele IDS de astazi au o rata de detectie de aprox. 90% a atacurilor, restul de 10% datorandu-se vulnerabilitatilor si update-urilor lipsa neinstalate.

Page 23: Detecting and Defending against Advanced Persistent Threats - DefCamp 2012

Pasi pentru prevenirea situatiilor neplacute

Controlul accesului

Implementarea sistemelor de autentificare “2-way” acolo unde se poate, dar cu precadere pe VPN-uri este vitala.

Restrictionarea accesului utilizatorilor folosind metodologia “celui mai micprivilegiu”, incurajeaza un control mai bun asupra complexitatii parolelorauditarea inregistrarilor de acces si revizia nivelelor de acces.

Page 24: Detecting and Defending against Advanced Persistent Threats - DefCamp 2012

Pasi pentru prevenirea situatiilor neplacute

“Sender Policy Framework”

Need I say more?

Page 25: Detecting and Defending against Advanced Persistent Threats - DefCamp 2012

Cine zice ca nu reactioneaza asa…minte!

Page 26: Detecting and Defending against Advanced Persistent Threats - DefCamp 2012

You still got hacked?

DONT’s

Nu sari pe un cal, imbracat in armura…desi asta va fi primul instinct!

Echipa de IR (incident response) nu-si va dezvolta capacitatile de detectiedaca nu este insasi victima a atacului.

Page 27: Detecting and Defending against Advanced Persistent Threats - DefCamp 2012

You still got hacked?

DO’s

Analiza de caz poate scoate la suprafata mult mai multe informatii:• Metoda de atac• Posibile motive ale atacului

Page 28: Detecting and Defending against Advanced Persistent Threats - DefCamp 2012

Q&A

Page 29: Detecting and Defending against Advanced Persistent Threats - DefCamp 2012

End!