Detecting and Defending against Advanced Persistent Threats - DefCamp 2012
Download as PPTX, PDF0 likes625 views
Apt-urile (amenințări persistente avansate) reprezintă o clasă de hackeri bine finanțați, capabili să evadeze detectarea și să acceseze informații sensibile. Statisticile arată că majoritatea companiilor au suferit breșe de securitate din cauza vulnerabilităților software și a atacurilor malware. Prevenirea acestor atacuri necesită măsuri de securitate complexe, educație a utilizatorilor și monitorizarea atentă a rețelelor pentru semne de activitate suspectă.
Detecting and Defending against Advanced Persistent Threats - DefCamp 2012
- 2. Cazacu Bogdan DefCamp @ Bucharest 2012
- 3. Ce sunt APT-urile? APT-urile sunt o clasa de hackeri bine finantata, extrem de abili, ce sunt din ce in ce mai des mentionati in presa, de catre companiile de securitate IT, victime dar si de institutii guvernamentale de interes national in aplicarea legii (DIICOT, SRI, NSA, DoD, FBI, MI5, etc). Multi dintre ei ataca indiscriminatoriu si de cele mai multe ori se focuseaza pe tintele mai vulnerabile folosindu-se de incercarile, greu de depistat, de a accesa informatii sensibile.
- 4. Ce inseamna APT (Advanced Persistent Threat)? Advanced Hackerul are capacitatea de a se sustrage detectarii si are capacitatea de a obtine si mentine accesul la retele protejate si informatii sensibile continute în acestea. O astfel de entitate se poate adapta foarte usor si detine resursele necesare pentru un asemenea atac Persistent Natura persistenta a amenintarii face dificila prevenirea accesului la retea si, odata ce factorul atacator a obtinut cu succes permisiunile necesare, se poate dovedi a fi foarte dificil eliminarea acesteia. Threat Hackerul nu are doar intentia, dar, are de asemenea, si capacitatea de a avea acces la informatii sensibile stocate electronic in interiorul retelei.
- 5. Statistici Generale (pana in Iunie 2011) 91 % …din companii au avut cel putin o bresa de securitate 61 % …din atacuri avut loc datorita infectiilor malware 48 % …din companii o crestere semnificativa a numarului de atacuri cibernetice
- 6. Statistici Generale (pana in Iunie 2011) 44 % …din atacuri au fost posibile datorita aplicatiilor vulnerabile 31 % …din companii au pierdut date in urma atacurilor
- 7. Statistici Generale (pana in Iunie 2011) …din companii permit userilor sa descarce 51 % si sa instaleze aplicatii pe calculatoarele de serviciu… 31 % …virusi si malware cunoscut… …indicau ca au fost permise descarcarea lor prin diverse forme de …virusi, malware si software, pe 23 % 0-day-uri necunoscute… terminalele utilizatorilor…
- 8. Statistici Generale (pana in Iunie 2011) …din companii permit utilizatorilor 78 % conectarea dispozitivelor detasabile la calculatoarele de serviciu… 62 % …din companii permit utilizatorilor conectarea la retele sociale… 44 % …din companii au afirmat ca peste 20 % din utilizatorii lor au drepturi de administrare…
- 10. Semne ale unui atac APT Cresterea conectarilor cu permisiuni ridicate APT-urile escaladeaza rapid de la compromiterea unui singur sistem la compromiterea intregului mediu. Acest lucru se datoreaza accesarilor bazelor de date ce contin date de autentificare. Hackerii descopera rapid userii cu permisiuni ridicate si se folosesc de aceste conturi pentru compromiterea sistemelor.
- 11. Semne ale unui atac APT Gasirea de coduri malitioase in intreaga retea Atacurile de cele mai multe ori duc la instalarea de “backdoor trojans” pe sistemele compromise din interiorul mediului atacat Hackerii ce conduc atacuri APT nu vor pleca de buna voie. De ce ar face asta cand controleaza sistemele din reteaua afectata?
- 12. Semne ale unui atac APT Fluxuri de informatii neasteptate Observarea fluxurilor de date neasteptate din interiorul retelei spre alte sisteme din retea sau din afara retelei, pot indica activitati APT Desi observarea este relativ usoara, intelegerea fluxurilor de date dinaintea infectarii este cruciala pentru diferentierea pachetelor de date in timpul analizelor de trafic post infectare.
- 13. Semne ale unui atac APT Gasirea unor pachete mari de date Atacatori de cele mai multe ori tind sa adune datele intr-un loc (sau mai multe) din interiorul retelelor afectate inainte de transferul acestora spre exteriorul companiei. Descoperirea unor pachete de date (de ordinul Gb) in locuri in care nu ar trebui sa existe si in mod special daca sunt arhivate intr- un mod diferit fata de ceea ce se foloseste in companie, ar trebui sa ridice niste semne de alarma…
- 14. Semne ale unui atac APT Detectarea uneltelor PTH (“Pass-The-Hash”) Desi atacatorii nu le folosesc intotdeauna, aceste unelte ies in evidenta la analiza traficului de retea relativ usor. Daca gasesti astfel de unelte, poti sa incepi sa-ti faci griji…
- 15. Semne ale unui atac APT Campanii de tip “spear-phishing” Astfel de campanii sunt dintre cele mai distrugatoare, atacatorii trimitand angajatilor companiei pdf-uri malformate. Daca superiorii raporteaza ca au fost pacaliti in a deschide un pdf atasat la un mail, incepeti sa cautati si restul de semne… Asta s-ar putea sa va fie canarul din mina…
- 17. Pasi pentru prevenirea situatiilor neplacute Securitate centrata pe informatii Adoptarea unei solutii de securitate centrata pe informatiile companiei, prin implementarea multiplelor nivele de securitate.
- 18. Pasi pentru prevenirea situatiilor neplacute Restrictii ale terminalelor Minimizarea accesului administrativ sau restrictionarea accesului astfel incat utilizatorii sa nu aiba permisiuni de scriere si executare in acelasi folder.
- 19. Pasi pentru prevenirea situatiilor neplacute Educarea utilizatorilor Instruirea utilizatorilor despre riscurile email-urilor de tip “social engineering” dar si alte forme de inginerie sociala, poate ajuta la scaderea timpului de reactie al departamentului IT.
- 20. Pasi pentru prevenirea situatiilor neplacute Topologia retelei este bine cunoscuta Asigurarea ca administratorii de sistem sunt in cunostinta de cauza privind locatiile (fizice si logice) ale tuturor sistemelor si echipamentelor de retea este cruciala pentru securizarea retelei.
- 21. Pasi pentru prevenirea situatiilor neplacute Controlul asupra porturilor de USB Restrictionarea si dezvoltarea unor politici ce permit anumitor utilizatori folosirea porturilor USB cu minimul de cerinte de criptare, va poate scapa de o parte din probleme.
- 22. Pasi pentru prevenirea situatiilor neplacute IA (Intrusion Analysis) & IDS (Intrusion Detection Systems) Alcatuirea sesiunilor de IA atat la nivel de sistem cat si la nivel de retea este absolut necesara pentru descoperirea activitatilor suspicioase. Un IDS este la fel de bun ca ultimul update (dar este mai bun decat deloc). Sistemele IDS de astazi au o rata de detectie de aprox. 90% a atacurilor, restul de 10% datorandu-se vulnerabilitatilor si update-urilor lipsa neinstalate.
- 23. Pasi pentru prevenirea situatiilor neplacute Controlul accesului Implementarea sistemelor de autentificare “2-way” acolo unde se poate, dar cu precadere pe VPN-uri este vitala. Restrictionarea accesului utilizatorilor folosind metodologia “celui mai mic privilegiu”, incurajeaza un control mai bun asupra complexitatii parolelor auditarea inregistrarilor de acces si revizia nivelelor de acces.
- 24. Pasi pentru prevenirea situatiilor neplacute “Sender Policy Framework” Need I say more?
- 25. Cine zice ca nu reactioneaza asa…minte!
- 26. You still got hacked? DONT’s Nu sari pe un cal, imbracat in armura…desi asta va fi primul instinct! Echipa de IR (incident response) nu-si va dezvolta capacitatile de detectie daca nu este insasi victima a atacului.
- 27. You still got hacked? DO’s Analiza de caz poate scoate la suprafata mult mai multe informatii: • Metoda de atac • Posibile motive ale atacului
- 28. Q&A
- 29. End!