Hvordan stå bedre rustet mot et målrettet angrep Watchcom Security Group AS

Størrelse: px

Begynne med side:

Download "Hvordan stå bedre rustet mot et målrettet angrep Watchcom Security Group AS"

Kaare Eriksson
7 år siden
Visninger:

1 Hvordan stå bedre rustet mot et målrettet angrep MORTEN GJENDEMSJØ KONSULENTSJEF Watchcom Security Group AS 1

2 Agenda Bakgrunn og hendelseshåndtering Hvordan vi øver for å forbedre sikkerheten Hva er status i Norge pr i dag Watchcom Security Group AS 2

3 Hvordan vet vi at vi er under angrep? Er det virkelig et angrep? Hvilke konsekvenser kan angrepet få? Hvor fort kan det spre seg? Skal vi sette i gang med hendelseshåndtering? Watchcom Security Group AS 3

4 Hvordan håndtere hendelsen Hvem varsler vi? IT-avdelingen, nærmeste leder, Adm. Dir., PR, Kriseteam Alt handler om å få spikret det på forhånd. Når ble vi angrepet? E-post logger, netflow, samtale med ansatte, Firewall Hvilke systemer er infisert? IDS, Firewall, netflow, anti-virus, powershell Hva har angriperne tilgang til? Etabler hvilke brukere angriper har tilgang til, powershell, netflow, Event log Hvilke data er kopiert? Forensics, netflow, powershell Watchcom Security Group AS 4

5 Hvordan håndtere hendelsen Hvem har mottatt eposten? server, søk etter tilsvarende e-poster Er vi sikre på at de faktisk er kastet ut? Monitorering av ALT, logg-analyse Hvordan fungerte hendelseshåndteringen? Workshop med alle involverte (IT, offer, Administrasjon, juridisk, HR) Hvor lang tid tok det før de ansatte gav beskjed? User awareness Watchcom Security Group AS 5

6 Vår tilnærming Watchcom Red Teaming - En sikkerhetsøvelse Watchcom Security Group AS 6

7 Hva har disse til felles? Watchcom Security Group AS 7

8 Phishing Watchcom Security Group AS 8

9 Watchcom Security Group AS 9

10 Watchcom RT Train the defenders Watchcom Security Group AS 10

11 Spear-phishing HR Resume_John_Snow.doc Spear Phishing SALES CXX Bonus_Settlements.doc Cash_flow_Q3.doc Watchcom Security Group AS 11

Spear-phishing Targets lastes fra en CSV fil. Navn og epost fra hjemmeside, linkedin, forum og lignende. Mail template som typisk inneholder signatur.

12 Spear-phishing Targets lastes fra en CSV fil. Navn og epost fra hjemmeside, linkedin, forum og lignende. Mail template som typisk inneholder signatur. PRO-tip: Videresend epost fra offer-bedriften til gmail og trykk «view original». Sett inn ondsinnet vedlegg her Mail serveren til offerets bedrift. Hvem ønsker du å være? Watchcom Security Group AS 12

13 Spear-phishing Watchcom Security Group AS 13

14 Spear-phishing Watchcom Security Group AS 14

15 Sjekker om maskinen er x86 eller x64 Payload Dette er alt som trengs for å ta over maskinen Watchcom Security Group AS 15

16 Spear-phishing Vent på at noen trykker «enable content» Macro + powershell Gi dem incentiver for å tillate kjøring av macro. Anti-virus tar det ikke Watchcom Security Group AS 16

17 A different example Watchcom Security Group AS 17

18 «BEACON» http, https, DNS Spear-phishing HR Resume_John_Snow.doc Spear Phishing SALES CXX Bonus_Settlements.doc Cash_flow_Q3.doc Watchcom Security Group AS 18

19 Beaconkommandoer Watchcom Security Group AS 19

20 Process A Process B In-memory Watchcom Security Group AS 20

21 Hva så? Se deg rundt Hvilke type maskin er du på? Laptop? Hvilket nettverk er du på? I hvilket land? Hvilke andre maskiner er i umiddelbar nærhet? Er du lokaladministrator? Spørr AD - nettverksområde, brukere, servere, etc Persistence Hvordan overleve reboots? Trenger man det? Kan man hoppe til en server? Øke privilegiene Kan vi dumpe hasher? Hvem er domain admin? Gå for objectives Watchcom Security Group AS 21

22 Målsetninger Jeg ønsker å se om dere kan endre regnskapet. - CFO, børsnotert selskap Jeg vil avdekke om det er mulig å hente ut innside-informasjon. - COO, norsk meglerhus Jeg er mest bekymret for om dere kan nå personopplysningene vi har på våre kunder. - CFO, Norsk forsikringsselskap Watchcom Security Group AS 22

23 Watchcom RT Spørsmålet er ikke hvis men om når Watchcom Security Group AS 23

24 I snitt blir 45% av ondsinnede vedlegg åpnet og macroer aktivert. Hvordan har det gått med norske kunder? Det at den ansatte gir beskjed om at man har blit lurt er den vanligste grunnen til virksomheten blir oppmerksom. Ingen bedrifter har pr i dag kunne kartlagt skadeomfanget på en skikkelig måte. Man kan ikke si at data X har blitt kopiert av angripere men heldigvis er data Y fortsatt trygge. Mye armer og ben i hendelseshåndtering. Større verdi av awareness-trening etterpå. Spesielt top-level management awareness. Vanligste måte å stoppe angrepet er å blokkere IP i brannmur. Er det nok? Watchcom Security Group AS 24

25 Questions Morten Gjendemsjø Watchcom Security Group AS 25

Like dokumenter

Catch Me If You Can. Eivind Utnes Christian A. H. Hansen HackCon#12

Catch Me If You Can. Eivind Utnes Christian A. H. Hansen HackCon#12 Catch Me If You Can Eivind Utnes Christian A. H. Hansen HackCon#12 /> whoami Eivind Utnes Senior Sikkerhetsrådgiver @0xPrime Christian August Holm Hansen Sikkerhetsrådgiver Disclaimer Dette foredraget