Scio me nihil scire - Konference Security

Scio me nihil scire
Tomáš Vobruba
AEC a.s.
Dva příklady aktuálních hrozeb
 APT – advanced persistent threat
 Ransomware
17. února 2016
17. února 2016
Příklad 1
 Společnost komunikuje s obchodním
čínským partnerem





Partner a/nebo společnost jsou napadení
malwarem
Přichází podvržený email o změně
platebních údajů
Působí velmi věrohodně. Rozdíl je pouze
v emailové adrese
Falešný účet je založen anonymně. To je
možné provést i ve Velké Británii
Peníze odchází a útočník se již obvykle
neozve
17. února 2016
Příklad 2
 Společnost komunikuje se zahraničním partnerem
Přichází email od DHL společnosti, že se změnily údaje k platbám
 Dochází k 0-day útoku a instalaci malware Cryptolocker/CryptoWall
 Opakovaně i přes intenzivní obranu dochází k penetraci malware
 Škody na infrastruktuře musí být opakovaně řešeny

17. února 2016
Suma sumárum
 Máme dnes implementovaného v síti kde co
 Antiviry, antispamy, IDS/IPS systémy, URL
filtraci, aplikační kontrolu a další
 Umíme zálohovat
 Umíme korelovat události v SIEM řešeních
 Máme DLP, MDM a Device control
 Přesto k útokům stále dochází..
17. února 2016
Poznám vůbec dneska, že jsem pod útokem?
Odpověď: záleží na tom jak a proč je útok veden a co proto děláte…
17. února 2016
17. února 2016
Trocha statistiky…
Mnohem běžnější útoky nejsou navenek vidět
17. února 2016
0-day cryptolocker
Internet
TCPDump – span port
Malware hosting server
192.168.88.100
NextGen FW
IPS, Antibotnet
FW, Apl control
Network behaviour
analysis server
Span port
Uzivatel
192.168.134.100
17. února 2016
Servery
17. února 2016
Co vidí firewall?
Téměř nic
17. února 2016
Co vidí pokročilé systémy?
17. února 2016
Co uvidím v antiviru?
17. února 2016
Ukáže mi něco sniffer?
17. února 2016
Co uvidím v lozích?
 Na pracovní stanici:
 Pouze informaci i tom, kam uživatel kliknul
 Uvidím příchozí email
 Na poštovním serveru:
 Pouze příchozí email. Jeden z mnoha…
 Na Web GW:
 Pouze link na který uživatel kliknul (bez SSL inspekce
nic víc)
 Není na co reagovat. Není na co vytvářet alarmy
 Ale dohledání funguje to až po útoku!
17. února 2016
Odkud se to bere?
17. února 2016
17. února 2016
Proč řeším až důsledky?
 Protože málokdo řeší aktivní bezpečnost
 Častá reakce – „Nejsme banka“
 Obavy z vyšší bezpečnosti jsou především z:
 Dopady na funkčnost infrastruktury a business dopady
 Dále pak:
 Nedostatečné personální řešení bezpečnostních




incidentů
Nízká znalost problematiky
Decentralizované technologie bez logické provázanosti
Chyby v implementaci
Chyby v architektuře bezpečnosti
17. února 2016
SCIO ME NIHIL SCIRE
17. února 2016
Řešení?
17. února 2016
17. února 2016
Děkujeme za pozornost.
Tomáš Vobruba
AEC a.s.
[email protected]
16. února 2011