Hvordan stå bedre rustet mot et målrettet angrep MORTEN GJENDEMSJØ KONSULENTSJEF 23.10.2015 Watchcom Security Group AS 1
Agenda Bakgrunn og hendelseshåndtering Hvordan vi øver for å forbedre sikkerheten Hva er status i Norge pr i dag. 23.10.2015 Watchcom Security Group AS 2
Hvordan vet vi at vi er under angrep? Er det virkelig et angrep? Hvilke konsekvenser kan angrepet få? Hvor fort kan det spre seg? Skal vi sette i gang med hendelseshåndtering? 23.10.2015 Watchcom Security Group AS 3
Hvordan håndtere hendelsen Hvem varsler vi? IT-avdelingen, nærmeste leder, Adm. Dir., PR, Kriseteam Alt handler om å få spikret det på forhånd. Når ble vi angrepet? E-post logger, netflow, samtale med ansatte, Firewall Hvilke systemer er infisert? IDS, Firewall, netflow, anti-virus, powershell Hva har angriperne tilgang til? Etabler hvilke brukere angriper har tilgang til, powershell, netflow, Event log Hvilke data er kopiert? Forensics, netflow, powershell 23.10.2015 Watchcom Security Group AS 4
Hvordan håndtere hendelsen Hvem har mottatt eposten? E-mail server, søk etter tilsvarende e-poster Er vi sikre på at de faktisk er kastet ut? Monitorering av ALT, logg-analyse Hvordan fungerte hendelseshåndteringen? Workshop med alle involverte (IT, offer, Administrasjon, juridisk, HR) Hvor lang tid tok det før de ansatte gav beskjed? User awareness 23.10.2015 Watchcom Security Group AS 5
Vår tilnærming Watchcom Red Teaming - En sikkerhetsøvelse - 23.10.2015 Watchcom Security Group AS 6
Hva har disse til felles? 23.10.2015 Watchcom Security Group AS 7
Phishing 23.10.2015 Watchcom Security Group AS 8
23.10.2015 Watchcom Security Group AS 9
Watchcom RT Train the defenders 23.10.2015 Watchcom Security Group AS 10
Spear-phishing HR Resume_John_Snow.doc Spear Phishing SALES CXX Bonus_Settlements.doc Cash_flow_Q3.doc 23.10.2015 Watchcom Security Group AS 11
Spear-phishing Targets lastes fra en CSV fil. Navn og epost fra hjemmeside, linkedin, forum og lignende. Mail template som typisk inneholder signatur. PRO-tip: Videresend epost fra offer-bedriften til gmail og trykk «view original». Sett inn ondsinnet vedlegg her Mail serveren til offerets bedrift. Hvem ønsker du å være? 23.10.2015 Watchcom Security Group AS 12
Spear-phishing 1 2 3 23.10.2015 Watchcom Security Group AS 13
Spear-phishing 4 23.10.2015 Watchcom Security Group AS 14
Sjekker om maskinen er x86 eller x64 Payload Dette er alt som trengs for å ta over maskinen. 23.10.2015 Watchcom Security Group AS 15
Spear-phishing Vent på at noen trykker «enable content» Macro + powershell Gi dem incentiver for å tillate kjøring av macro. Anti-virus tar det ikke 23.10.2015 Watchcom Security Group AS 16
A different example 23.10.2015 Watchcom Security Group AS 17
«BEACON» http, https, DNS Spear-phishing HR Resume_John_Snow.doc Spear Phishing SALES CXX Bonus_Settlements.doc Cash_flow_Q3.doc 23.10.2015 Watchcom Security Group AS 18
Beaconkommandoer 23.10.2015 Watchcom Security Group AS 19
Process A Process B In-memory 23.10.2015 Watchcom Security Group AS 20
Hva så? Se deg rundt Hvilke type maskin er du på? Laptop? Hvilket nettverk er du på? I hvilket land? Hvilke andre maskiner er i umiddelbar nærhet? Er du lokaladministrator? Spørr AD - nettverksområde, brukere, servere, etc Persistence Hvordan overleve reboots? Trenger man det? Kan man hoppe til en server? Øke privilegiene Kan vi dumpe hasher? Hvem er domain admin? Gå for objectives 23.10.2015 Watchcom Security Group AS 21
Målsetninger Jeg ønsker å se om dere kan endre regnskapet. - CFO, børsnotert selskap Jeg vil avdekke om det er mulig å hente ut innside-informasjon. - COO, norsk meglerhus Jeg er mest bekymret for om dere kan nå personopplysningene vi har på våre kunder. - CFO, Norsk forsikringsselskap 23.10.2015 Watchcom Security Group AS 22
Watchcom RT Spørsmålet er ikke hvis men om når 23.10.2015 Watchcom Security Group AS 23
I snitt blir 45% av ondsinnede vedlegg åpnet og macroer aktivert. Hvordan har det gått med norske kunder? Det at den ansatte gir beskjed om at man har blit lurt er den vanligste grunnen til virksomheten blir oppmerksom. Ingen bedrifter har pr i dag kunne kartlagt skadeomfanget på en skikkelig måte. Man kan ikke si at data X har blitt kopiert av angripere men heldigvis er data Y fortsatt trygge. Mye armer og ben i hendelseshåndtering. Større verdi av awareness-trening etterpå. Spesielt top-level management awareness. Vanligste måte å stoppe angrepet er å blokkere IP i brannmur. Er det nok? 23.10.2015 Watchcom Security Group AS 24
Questions Morten Gjendemsjø +47 48 02 31 31 morten@watchcom.no 23.10.2015 Watchcom Security Group AS 25