Scio me nihil scire - Konference Security
Transkript
Scio me nihil scire - Konference Security
Scio me nihil scire Tomáš Vobruba AEC a.s. Dva příklady aktuálních hrozeb APT – advanced persistent threat Ransomware 17. února 2016 17. února 2016 Příklad 1 Společnost komunikuje s obchodním čínským partnerem Partner a/nebo společnost jsou napadení malwarem Přichází podvržený email o změně platebních údajů Působí velmi věrohodně. Rozdíl je pouze v emailové adrese Falešný účet je založen anonymně. To je možné provést i ve Velké Británii Peníze odchází a útočník se již obvykle neozve 17. února 2016 Příklad 2 Společnost komunikuje se zahraničním partnerem Přichází email od DHL společnosti, že se změnily údaje k platbám Dochází k 0-day útoku a instalaci malware Cryptolocker/CryptoWall Opakovaně i přes intenzivní obranu dochází k penetraci malware Škody na infrastruktuře musí být opakovaně řešeny 17. února 2016 Suma sumárum Máme dnes implementovaného v síti kde co Antiviry, antispamy, IDS/IPS systémy, URL filtraci, aplikační kontrolu a další Umíme zálohovat Umíme korelovat události v SIEM řešeních Máme DLP, MDM a Device control Přesto k útokům stále dochází.. 17. února 2016 Poznám vůbec dneska, že jsem pod útokem? Odpověď: záleží na tom jak a proč je útok veden a co proto děláte… 17. února 2016 17. února 2016 Trocha statistiky… Mnohem běžnější útoky nejsou navenek vidět 17. února 2016 0-day cryptolocker Internet TCPDump – span port Malware hosting server 192.168.88.100 NextGen FW IPS, Antibotnet FW, Apl control Network behaviour analysis server Span port Uzivatel 192.168.134.100 17. února 2016 Servery 17. února 2016 Co vidí firewall? Téměř nic 17. února 2016 Co vidí pokročilé systémy? 17. února 2016 Co uvidím v antiviru? 17. února 2016 Ukáže mi něco sniffer? 17. února 2016 Co uvidím v lozích? Na pracovní stanici: Pouze informaci i tom, kam uživatel kliknul Uvidím příchozí email Na poštovním serveru: Pouze příchozí email. Jeden z mnoha… Na Web GW: Pouze link na který uživatel kliknul (bez SSL inspekce nic víc) Není na co reagovat. Není na co vytvářet alarmy Ale dohledání funguje to až po útoku! 17. února 2016 Odkud se to bere? 17. února 2016 17. února 2016 Proč řeším až důsledky? Protože málokdo řeší aktivní bezpečnost Častá reakce – „Nejsme banka“ Obavy z vyšší bezpečnosti jsou především z: Dopady na funkčnost infrastruktury a business dopady Dále pak: Nedostatečné personální řešení bezpečnostních incidentů Nízká znalost problematiky Decentralizované technologie bez logické provázanosti Chyby v implementaci Chyby v architektuře bezpečnosti 17. února 2016 SCIO ME NIHIL SCIRE 17. února 2016 Řešení? 17. února 2016 17. února 2016 Děkujeme za pozornost. Tomáš Vobruba AEC a.s. [email protected] 16. února 2011