Hvordan stå bedre rustet mot et målrettet angrep Watchcom Security Group AS

Like dokumenter
Catch Me If You Can. Eivind Utnes Christian A. H. Hansen HackCon#12

NASJONAL SIKKERHETSMYNDIGHET. Hvordan forebygge, oppdage og håndtere dataangrep HÅNDTERING AV DIGITAL SPIONASJE

HENDELSESHÅNDTERING HVORDAN HÅNDTERE DATAINNBRUDD? NASJONAL SIKKERHETSMYNDIGHET

6105 Windows Server og datanett

Security Awareness Næringsforeningen 24. Februar 2015 Jens Kristian Roland Ernst Kristian Henningsen

CMI. Brukermanual. Comendo Dronning Eufemias Gate 16 N-0191 Oslo T: F:

6105 Windows Server og datanett

Hvordan høy brukerbevissthet kan redde en virksomhet Watchcom Security Group AS 1

SonicWALL UTM. Hvorfor man bør oppgradere til siste generasjon SonicWALL brannmur. NSA E-Class serien. NSA serien. TZ serien

Metoder og verktøy i operativt sikkerhetsarbeid

2015 GLOBAL THREAT INTELLIGENCE REPORT SAMMENDRAG

Hendelser skjer - hvordan håndterer vi dem?

INF329,HØST

GÅRSDAGENS TEKNOLOGI

Vi sender derfor ut litt informasjon om de grepene man må gjøre for å kunne publisere eller håndtere bestillinger fra Arkivportalen.

6105 Windows Server og datanett

Post mortem-erfaringer fra incident response -om å gjøre det beste ut av en dårlig situasjon. Margrete Raaum (MIS) FIRST SC og UiO-CERT

Kompasset illustrerer behovet for gode verktøy og veiledning for å kunne navigere i et vanskelig landskap med stadig nye hindringer

Stuxnet: Hva skjedde? Christian Sandberg, European SE September 2011

Installasjonen krever en Windows 2003 server innmeldt i domene.

Installasjonen krever en Windows 2008 server innmeldt i domene.

Spamfree. Security Services Tjenestebeskrivelse. Eier: Sissel Joramo Agent: Atle Rønning Tekniker: Designer:

Digital svindel. Hva er det og hvordan kan vi beskytte oss mot det?

TJENESTE-BESKRIVELSE, INNSTALASJONSVEILEDNING. Vcom StatusUpdate v1.0

SENTRALISERT OG SIKKER DRIFT AV WINDOWS KLIENTER OG TILKNYTTET MASKINVARE

Trusler, trender og tiltak 2009

Visma Contracting og tilleggsprodukter på en terminalserver. Det anbefales å sette opp egen terminalserver, som kun brukes som terminalserver.

Lab 1: Installasjon av Virtualiseringsløsning (VMWare Server ESXi 6.5) med en Virtuell Linux maskin (Cent OS 7 64-bit)

Sikkerhet og tilgangskontroll i RDBMS-er

Konfigurasjon av nettverksløsning for Eldata 8.0 basert på PostgreSQL databasesystem.

FRC-Feeder-E. Et sikkert og raskt verktøy for overføring av data til File Record Converter Versjon 1.9

JANUAR 2016 FIBERBREDBÅND BRUKERVEILEDNING

Huldt & Lillevik Ansattportal. Installere systemet

Virus på Mac? JA! Det finnes. Denne guiden forteller deg hva som er problemet med virus på Mac hva du kan gjøre for å unngå å bli infisert selv

Huldt & Lillevik Lønn 5.0. Oppdatere til ny versjon

6107 Operativsystemer og nettverk

HVILKE RISIKOER LØPER VI NÅR ALLE DATAENE VÅRE ER I NETTSKYEN?

Bachelor E. Theodor Rove Nordgård, Chris Sonko HIST DRIFT AV DATASYSTEMER

MEDISINSK UTSTYR OG DIGITALE SÅRBARHETER

GDPR En praktisk tilnærming.

TI TILTAK FOR BESKYTTELSE AV DATAMASKINER

NASJONAL SIKKERHETSMYNDIGHET. Hvordan forebygge, oppdage og håndtere dataangrep HÅNDTERING AV DIGITAL SPIONASJE

Virus på Mac? JA! Det finnes. Denne guiden forteller deg hva som er problemet med virus på Mac hva du kan gjøre for å unngå å bli infisert selv

HelseCERT Situasjonsbilde 2018

HÅNDTERING AV NETTANGREP I FINANS

BUSINESS SERVICE MANAGEMENT

Brukerveiledning Tilkobling Altibox Fiberbredbånd

Til IT-ansvarlige på skolen

Slik stoppes de fleste dataangrepene

TAIME DATABASE INSTALLASJONSVEILEDNING

Hvordan komme i gang med digital sykmelding? Desember 2017 Arbeids- og velferdsdirektoratet

Følger sikkerhet med i digitaliseringen?

Installasjon av talemeldinger

KPS kontaktdatase Driftsveiledning

Sikker deling og kommunikasjon F-SECURE PROTECTION FOR SERVERS, AND COLLABORATION

JULI 2016 FIBERBREDBÅND BRUKERVEILEDNING

Brukerveiledning Tilkobling internett

Blue Pill. Watchcom Security Group AS. -fakta eller fiksjon?

Brukerveiledning Tilkobling internett ALT DU TRENGER Å VITE OM BRUKEN AV INTERNETT

Hvor holder dere til? Hvis vi trenger hjelp, hvor nært er dere? Tar det lang tid å få hjelp fra tekniker?

6105 Windows Server og datanett

Velkommen som bruker av Live logo!

6105 Windows Server og datanett

Brukerveiledning for Intelligent Converters MySQL Migration Toolkit IKA Trøndelag IKS 2012

FRC-Feeder-E. Et sikkert og raskt verktøy for overføring av data til File Record Converter Versjon 1.11

Brukerveiledning Tilkobling internett

Rasputin v9 driftsveiledning

Det digitale trusselbildet Sårbarheter og tiltak

Om søk, sikkerhet og nettvett. All tekst hentet fra HIB, "Digitale ferdigheter"

Trådløssamling NORDUnet Stockholm Tom Ivar Myren

Bruker dokumentasjon Web sikkerhet. Universitet i Stavanger

INNSENDING AV IPLOS DATA OVER H ELSENETTET OG TILBAKEMELDING VIA N EDLASTING AV FILER FRA SSB

Beskyttelsesteknologier

Retningslinjer for personvern og markedsføring

Public. Sikker sone. - har konseptet en framtid? Peter Engelschiøn, Knut-Erik Gudim og Simen Myrum

Presentasjon Bacheloroppgave 051E

SQL Server guide til e-lector

Småteknisk Cantor Controller installasjon

Bredbånd og pc Brukerveiledning. Dette er en utdatert brukerveiledning som kan omhandle utgåtte tjenester og utstyr

Internett og pc Brukerveiledning

Månedsrapport Mai 2005

Datasikkerhet Informasjonssikkerhet Passordregler E-post, internett og sosiale medier hvordan sikre oss?

Huldt & Lillevik Lønn 5.0. Installere systemet

Sikkerhedstrusler i sundhedsvæsenet - hvordan kan risiko og sårbarhed reduceres

Forklaring til bruk av webinterface på Cobalt RaQ2 server hos WebTjenester. Versjon 1.0 Runar Espeland Side

6105 Windows Server og datanett

Bilag 3: Beskrivelse av det som skal driftes

LOGGING ØKT SIKKERHET I IKT-SYSTEMER

SSL DEKRYPTERING PERSONVERN VS SIKKERHET? STURLA GRELLAND

Obligatorisk oppgave nr 2 i datakommunikasjon. Høsten Innleveringsfrist: 04. november 2002 Gjennomgås: 7. november 2002

Alt-i-ett-dekning for bedriften din

6105 Windows Server og datanett

Aleksander Thanem Bjøru Seniorkonsulent MCSE og Citrix CCIA

Installasjonsveiledning PowerOffice SQL

ELK LOGGER ALT HVA NÅ?

Resymé: I denne leksjonen vil vi se på typer brannmurer, konfigurering av brannmurer og IDS

Glitrevannverket: Hvordan er IKT sikkerheten i et IKS som ikke har ferdigtenkt dette ennå? René Astad Dupont

Transkript:

Hvordan stå bedre rustet mot et målrettet angrep MORTEN GJENDEMSJØ KONSULENTSJEF 23.10.2015 Watchcom Security Group AS 1

Agenda Bakgrunn og hendelseshåndtering Hvordan vi øver for å forbedre sikkerheten Hva er status i Norge pr i dag. 23.10.2015 Watchcom Security Group AS 2

Hvordan vet vi at vi er under angrep? Er det virkelig et angrep? Hvilke konsekvenser kan angrepet få? Hvor fort kan det spre seg? Skal vi sette i gang med hendelseshåndtering? 23.10.2015 Watchcom Security Group AS 3

Hvordan håndtere hendelsen Hvem varsler vi? IT-avdelingen, nærmeste leder, Adm. Dir., PR, Kriseteam Alt handler om å få spikret det på forhånd. Når ble vi angrepet? E-post logger, netflow, samtale med ansatte, Firewall Hvilke systemer er infisert? IDS, Firewall, netflow, anti-virus, powershell Hva har angriperne tilgang til? Etabler hvilke brukere angriper har tilgang til, powershell, netflow, Event log Hvilke data er kopiert? Forensics, netflow, powershell 23.10.2015 Watchcom Security Group AS 4

Hvordan håndtere hendelsen Hvem har mottatt eposten? E-mail server, søk etter tilsvarende e-poster Er vi sikre på at de faktisk er kastet ut? Monitorering av ALT, logg-analyse Hvordan fungerte hendelseshåndteringen? Workshop med alle involverte (IT, offer, Administrasjon, juridisk, HR) Hvor lang tid tok det før de ansatte gav beskjed? User awareness 23.10.2015 Watchcom Security Group AS 5

Vår tilnærming Watchcom Red Teaming - En sikkerhetsøvelse - 23.10.2015 Watchcom Security Group AS 6

Hva har disse til felles? 23.10.2015 Watchcom Security Group AS 7

Phishing 23.10.2015 Watchcom Security Group AS 8

23.10.2015 Watchcom Security Group AS 9

Watchcom RT Train the defenders 23.10.2015 Watchcom Security Group AS 10

Spear-phishing HR Resume_John_Snow.doc Spear Phishing SALES CXX Bonus_Settlements.doc Cash_flow_Q3.doc 23.10.2015 Watchcom Security Group AS 11

Spear-phishing Targets lastes fra en CSV fil. Navn og epost fra hjemmeside, linkedin, forum og lignende. Mail template som typisk inneholder signatur. PRO-tip: Videresend epost fra offer-bedriften til gmail og trykk «view original». Sett inn ondsinnet vedlegg her Mail serveren til offerets bedrift. Hvem ønsker du å være? 23.10.2015 Watchcom Security Group AS 12

Spear-phishing 1 2 3 23.10.2015 Watchcom Security Group AS 13

Spear-phishing 4 23.10.2015 Watchcom Security Group AS 14

Sjekker om maskinen er x86 eller x64 Payload Dette er alt som trengs for å ta over maskinen. 23.10.2015 Watchcom Security Group AS 15

Spear-phishing Vent på at noen trykker «enable content» Macro + powershell Gi dem incentiver for å tillate kjøring av macro. Anti-virus tar det ikke 23.10.2015 Watchcom Security Group AS 16

A different example 23.10.2015 Watchcom Security Group AS 17

«BEACON» http, https, DNS Spear-phishing HR Resume_John_Snow.doc Spear Phishing SALES CXX Bonus_Settlements.doc Cash_flow_Q3.doc 23.10.2015 Watchcom Security Group AS 18

Beaconkommandoer 23.10.2015 Watchcom Security Group AS 19

Process A Process B In-memory 23.10.2015 Watchcom Security Group AS 20

Hva så? Se deg rundt Hvilke type maskin er du på? Laptop? Hvilket nettverk er du på? I hvilket land? Hvilke andre maskiner er i umiddelbar nærhet? Er du lokaladministrator? Spørr AD - nettverksområde, brukere, servere, etc Persistence Hvordan overleve reboots? Trenger man det? Kan man hoppe til en server? Øke privilegiene Kan vi dumpe hasher? Hvem er domain admin? Gå for objectives 23.10.2015 Watchcom Security Group AS 21

Målsetninger Jeg ønsker å se om dere kan endre regnskapet. - CFO, børsnotert selskap Jeg vil avdekke om det er mulig å hente ut innside-informasjon. - COO, norsk meglerhus Jeg er mest bekymret for om dere kan nå personopplysningene vi har på våre kunder. - CFO, Norsk forsikringsselskap 23.10.2015 Watchcom Security Group AS 22

Watchcom RT Spørsmålet er ikke hvis men om når 23.10.2015 Watchcom Security Group AS 23

I snitt blir 45% av ondsinnede vedlegg åpnet og macroer aktivert. Hvordan har det gått med norske kunder? Det at den ansatte gir beskjed om at man har blit lurt er den vanligste grunnen til virksomheten blir oppmerksom. Ingen bedrifter har pr i dag kunne kartlagt skadeomfanget på en skikkelig måte. Man kan ikke si at data X har blitt kopiert av angripere men heldigvis er data Y fortsatt trygge. Mye armer og ben i hendelseshåndtering. Større verdi av awareness-trening etterpå. Spesielt top-level management awareness. Vanligste måte å stoppe angrepet er å blokkere IP i brannmur. Er det nok? 23.10.2015 Watchcom Security Group AS 24

Questions Morten Gjendemsjø +47 48 02 31 31 morten@watchcom.no 23.10.2015 Watchcom Security Group AS 25

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding