2017-03-22

White Cat Security wspiera

White Cat Security już od 2 lat aktywnie podnosi poziom monitoringu, obsługi incydentów nie tylko przez komercyjną współpracę z firmami, ale również przez wspieranie organizatorów wydarzeń związanych z bezpieczeństwem. Przy okazji tych oraz innych kluczowych imprez w Polsce, jest możliwość spotkania się z przedstawicielami naszego zespołu by porozmawiać w kuluarach.

Spotkania nie zawsze mają charakter biznesowy, to miejsce i czas budowania relacji (Know Meet Trust) niezbędnych w procesie wymiany informacji o zagrożeniach, a wiemy relatywnie dużo agregując i analizując informacje pochodzące od zaufanych partnerów z różnych sektorów oraz własne działania.

Chronologicznie.

  • 30-31 marca 2017 - na konferencji SEMAFOR 2017 w Warszawie będzie można porozmawiać z nami w kuluarach - prośba o kontakt mailowy w przypadku chęci rozmowy lub nawiązanie kontaktu na miejscu, najlepiej przez kogoś kto ma już z nami relację. Działamy głównie w oparciu o zaufane kontakty.

 
(#KNF #stage2? - opowiem w Katowicach)
  • 12 kwietnia 2017 - na spotkaniu ISACA Katowice w Katowicach (video stream w Warszawie i prawdopodobnie Wrocławiu), założyciel brandu White Cat Security - Przemek Skowron, opowie o przypadku kampanii APT powiązanej z serwisem www Komisji Nadzoru Finansowego - pojawią się informacje dotychczas niedostępne publicznie. Więcej informacji oraz zapisy pod tym linkiem.
  • 27-28 kwietnia 2017 - na konferencji x33fcon w Gdyni, będzie można porozmawiać z nami. Gorąco zachęcamy do uczestnictwa w konferencji oraz w unikalnych na naszym kontynencie warsztatach - nie czekajcie na ostatni moment ryzykując, że część warsztatów zostanie odwołanych z powodu braku wykupionych wejściówek.
    • Jesteśmy sponsorem tego wydarzenia, o tyle nietypowym sponsorem, że budżet przekazany przez White Cat Security wykorzystany jest do sfinansowania kosztów sprowadzenia do Polski jednego z najbardziej potrzebnych prelegentów w naszym kraju - który obala mity i marketing, pokazując pragmatyczne, dojrzałe podejście (w naszej opinii).
    • Mieliśmy też wpływ na zapraszanych prelegentów - bez związku ze sponsoringiem. Dziękuję tym samym organizatorom za obdarzenie nas takim zaufaniem!
  • 18-19 maja 2017 - na konferencji CONFidence 2017 w Krakowie, będzie można porozmawiać z nami.

W razie zainteresowania kontaktem, standardowo: kontakt {@} whitecatsec.com lub bezpośrednio do znanego już konsultanta.

2017-02-14

KNF: studium przypadku - pytania

Ostatnie ataki na banki oraz inne instytucje z użyciem strony KNF spowodowały spore zamieszanie w wielu firmach.



Zespół Threat Intelligence White Cat Security pracuje nad raportem opisującym atak, jego fazy oraz jak poszukać w swojej sieci śladów po napastnikach - coś czego w sieci nie opublikowano - IOC oparte o IP/domeny/URLe to tylko początek.

Chcemy przyjąć perspektywę odbiorców raportu, dlatego proszę o kontakt (najlepiej bezpośredni) i przekazanie pytań dla których szukasz odpowiedzi by spać spokojnie(j).

Ty pytasz, my szukamy odpowiedzi.

PS
Raport zostanie udostępniony bezpłatnie dla wszystkich Partnerów, którzy włożą do naszego garnka informacje/próbki pozwalające wzbogacić opracowanie.

Dla pozostałych, studium przypadku zostanie udostępnione odpłatnie i może zostać indywidualnie wzbogacone.

2017-02-04

"Skuteczny" atak na KNF: co teraz?

W sprawie nowych (z przełomu 2016/2017) włamań do banków opisanych przez z3s chcę odnieść się wyłącznie do początku całej historii czyli stron KNF'u. Szkoda papieru - zapraszam do starego artykułu "Skuteczny" atak na bank: co teraz - rekomendacje są aktualne, wystarczy zastosować.

Jeśli napastnicy używają tych samych TTP (Technik, Taktyk, Procedur) i Narzędzi do ataku od lat, a są one nadal skuteczne w Twoim środowisku to przed Tobą jeszcze dużo pracy.

Pytanie brzmi: ile TTP/Narzędzi stosowanych przez Twoich wrogów jesteś w stanie wymienić jednym tchem?

Weź oddech i wymieniaj dalej - jeśli jest ich mniej niż 50 to bardzo długa droga przed Tobą.

A przed iloma z nich jesteś zabezpieczony, wykryjesz próbę ich użycia oraz zareagujesz na czas?

Aktualizacja [04.02.2017, 0:42] Podobny scenariusz miał miejsce m.in. w rok 2014 - slajdy (od slajdu 8), opis. Omawiałem go swego czasu na szkoleniach.

2016-12-28

Intelligence: Wymagania II

Zaczynamy II część (I część dostępna jest - tutaj) wprowadzenia do wymagań względem Threat Intelligence i dlaczego nie jest za wcześnie na to podejście.


  • Nie masz narzędzi do głębszej analizy zdarzeń, a to oznacza, że wszystko przed Tobą. Część organizacji posiada już pokaźną grupę narzędzi/systemów, ale brak pomysłu, a często czasu, jak je właściwie wykorzystać. Opis wcześniej omawianych TTP oraz IOA/IOC prawdziwych kampanii APT powinno pozwolić Ci określić jakich narzędzi potrzebujesz. Do grup narzędzi, na których warto zawiesić oko należą takie, które potrafią:
    • efektywnie gromadzić i analizować flowy sieciowe
    • nagrywać i analizować pełny zrzut ruchu sieciowego lub jego ekstrakt
    • zapewniają możliwość sięgania do pamięci procesów serwerów/stacji
    • dają możliwość odpytania serwerów/stacji o dany plik/proces/połączenie/itd.

  • Nie masz wpływu na architekturę bezpieczeństwa w firmie, bo (tutaj masa dogmatów/mitów panujących w organizacji) - nic straconego. Opis ataków na Twoich sąsiadów w sektorze może pokazać, że nie wiadomo ile dokładnie będziesz jeszcze "zieloną wyspą", której nie dotknął skuteczny atak. Projektując/modyfikując architekturę bezpieczeństwa w firmie musisz zawsze sprawdzić czy nie oślepiasz obrońców. Jesteś pewna/pewny, że nie oślepiasz? Rekomendacje wynikające z syntezy kampanii APT mogą wskazać jak wykorzystać szanse, które już daje architektura (np. jeśli nie masz routingu ze stacji roboczych do Internetu, bo połączenie idzie przez proxy, zastanów się jak możesz to wykorzystać). Masz szansę dokonać ewaluacji swojej architektury względem prawdziwych ataków.

  • Nie wiesz jak skuteczna jest Twoja prewencja - zgodność ze standardami/regulacjami to za mało - serio. Zastanów się czy znasz odpowiedzi na takie pytania:
    • jaka część ataków została całkowicie powstrzymana przez systemy prewencyjne?
    • jaka część ataków, które mnie nie dotknęły, została by odparta przez Twoje systemy?
    • przeprowadzasz testowe kampanie Red Teamowe?
    • czy Red Team spotkał się z aktywny oporem po stronie Blue Team - jeśli nie to czy to nie byłoby wskazane?
Opis TTP z kampanii może “na sucho”, szybciej i w sposób bardziej kompletny niż działania Red Teamowe, pozwolić skonfrontować Twoje systemy prewencyjne.

Do zobaczenia w części III na początku roku 2017.

2016-12-06

x33fcon - będziesz?

Od przeszło 10 lat bywam na branżowych konferencjach, głównie dotyczących bezpieczeństwa IT. Z roku na rok jest coraz więcej prezentacji dotyczących: obrony, monitoringu, reakcji na incydenty oraz innych obszarów zainteresowania "niebieskich" (blue team), natomiast jest tego ciągle mało (< 20% prezentacji? - pamiętajcie, że wyjątki potwierdzają regułę ;)).



W przyszłym roku (2017) odbędzie się w Polsce pierwsza edycja wydarzenia o nazwie x33fcon - miejsce spotkań "czerwonych" i "niebieskich" by zrobiło się "purpurowo"!

Pierwsze informacje o prelegentach i warsztatach są już dostępne. Nie ukrywam, że wiem nieco więcej niż na stronie i wg mnie nie może tam zabraknąć ludzi zajmujących się zawodowo lub w formie pasji: ofensywą lub defensywą.

Zaryzykuję nawet stwierdzenie, że będzie to wydarzenie 2017 roku i prawdopodobnie najlepszy (pod względem prelegentów/trenerów oraz uczestników) czas na networking ostatnich lat w Polsce. Dodatkowo, społeczność "niebieskich" jeszcze nigdy nie była tak dojrzała jak obecnie.

Rekomenduję:
  • wpisanie konferencji w plany szkoleniowe na 2017 (!!!)
  • subskrypcję informacji o konferencji i otwarciu zapisów (!!)
  • wpaść i posłuchać ciekawych prelekcji
  • odbyć trening
  • zostać partnerem/sponsorem - lubimy gdy mamy zdrową konkurencję ;-) pokażcie się (!)
Mam nadzieję, do zobaczenia w Gdyni - wiosna 2017!

2016-11-27

Intelligence: Wymagania I

Threat Intelligence -> Intelligence-driven security to stosunkowo nowe pojęcia, choć wg mnie to po prostu nazwane po imieniu sposoby/metody podejścia do świadomego zarządzania ryzykiem - potrzebnego w XXI w.


Od samego początku istnienia White Cat Security, towarzyszy nam jeden cel: Znać Twojego Wroga. Stąd usługa Threat Intelligence jest dla nas czymś naturalnym i do której przygotowywaliśmy się całkiem długo - rzekłbym, że przez "całe życie".

Jedna z plotek niesie, że Intelligence jest wyłącznie dla elit. Pojawiają się artykuły mówiące o takich wymaganiach jak:

  • dojrzały i elastyczny Dział IT, który szybko reaguje na zmiany
  • agresywny proces usuwania znanych podatności
  • zespół Reagujący na Incydenty/Łowców potrafiący korzystać z danych wynikających z wywiadu
  • skuteczna inwentaryzacja urządzeń i oprogramowania w firmie/organizacji
Autorem tych wymagań, zanim zainteresujesz się Threat Intelligence, jest Jacob Williams (@MalwareJake).

Po części zgoda, to istotne tematy. Natomiast jeśli tego nie mam to mam odpuścić Threat Intelligence i wrócić będąc gotowym?

Proponuję inne podejście i korzystanie z Threat Intelligence od samego początku lub dowolnie innego miejsca:
  • Nawet jeśli nie znasz wartościowych zasobów w firmie gdzie pracujesz to jeszcze nie koniec świata. To się zdarza, nawet stosunkowo często. Nawet w firmach, które inwentaryzują zasoby to zdarza się, że głównie pod audytora (czyt. regulatora). Szkopuł w klasycznym podejściu do wskazywania wartościowych zasobów jest taki, że zazwyczaj na takiej liście są oczywiste systemy bez uwzględnienia możliwych ścieżek do niego - tych bezpośrednich i pośrednich. Wiedza o tym jak realizowane są ataki, jakimi ścieżkami/przypadkami, pozwoli Ci je uwzględniać już teraz.

  • Nawet jeśli urządzenia i oprogramowanie w Twojej firmie nie zapisuje właściwych zdarzeń to nie czekaj do momentu kiedy wszystkie zaczną zapisywać. Gromadzenie i analiza dużych zbiorów zdarzeń to spore wyzwanie, które może odpychać od momentu konsumpcji Threat Intelligence jak to przedstawia część dostawców. Wiedza o tym jakimi metodami przeprowadzane są ataki, jakie ślady po sobie zostawia napastnik pozwoli Ci ułożyć priorytety, których zdarzeń potrzebujesz najbardziej i w jakiej kolejności.

  • Nawet jeśli nie zbierasz wszystkich zdarzeń centralnie do systemu typu SIEM lub rozwiązania typu Log Management, bo nie posiadasz takiego systemu lub obecny ledwo zipie, zapchany po brzegi licencji/dysków/wydajności (niepotrzebne skreśl), zawsze jest dobry czas na inwentaryzację. Inwentaryzacja może być determinowana tym co aktualnie wykrywamy i jakich innych zdarzeń potrzebujemy aby bez opuszczania konsoli SIEMa móc wyjaśniać wykryte podejrzenia incydentów bezpieczeństwa. Wiedza o tym w oparciu o jakie zdarzenia lub ich zestawienie/korelację będziemy wykrywać napastnika i wyjaśniać te podejrzenia pozwoli zdefiniować co przesyłać do SIEMa lub co filtrować na jego wejściu aby mieć w nim dokładnie to co chcemy i efektywnie wykorzystywać posiadaną licencję/wydajność/pojemność.

Kiedy budowałem pierwszy zespół CSIRT bardzo brakowało mi takiego podejścia i zawsze do niego dążyłem. Oczekiwałem, że przyjdzie ono wraz z integratorami systemów typu SIEM, ale to nie był wówczas moment, kiedy byli na tyle dojrzali. Dzisiaj wygląda to nieco inaczej, natomiast czy integrator ma wystarczająco dużo czasu by być na bieżąco z zagrożeniami, metodami działania napastników, wystarczająco głęboko?

Jeśli jesteś Klientem Integratora, któremu przydałoby się takie wsparcie u Ciebie, a może jesteś przedstawicielem Integratora i chciałbyś mieć profesjonalnego Partnera w zakresie Threat Intelligence oraz jego konsumpcji - zapraszam do kontaktu na kontakt {@} whitecatsec.com

W bonusie zostawiam dwa, świeże linki do artykułów systematyzujących tematykę korelacji w systemach typu SIEM:
W kolejnych postach przedstawię inne metody konsumpcji wiedzy wynikającej z Threat Intelligence.

2016-11-18

Intelligence: dający podstawy do działania

Usługa Threat Intelligence, którą oferujemy na rynku powoduje czasem konsternację, szczególnie kiedy pokazuję, że skupiamy się na trzech górnych warstwach piramidy bólu - TTP, Narzędzia oraz Artefakty Sieciowe i na Hostach.


 

(źródło: http://detect-respond.blogspot.com/2013/03/the-pyramid-of-pain.html)


Uważam, że już czas powiedzieć dość skupianiu się głównie na kolejnych sygnaturach/IOC do systemów bezpieczeństwa także w Polsce. Dlaczego także w Polsce? - bo w Europie i za oceanem nasze podejście nie jest tak zaskakujące.

Nowe sygnatury/IOC to często za mało, szczególnie kiedy skupione są wokół:

  • skrótu hash plików,
  • adresów IP,
  • domen czy URLów
Działa to w sytuacji kiedy napastnik ponownie korzysta z tej samej infrastruktury co wcześniej. A co z tymi, którzy je zmieniają i używają ich po raz pierwszy? A jeśli dana kampania APT nie została jeszcze przez nikogo opisana i nie przekazano w ramach Threat Feedów IOC? - mam nadzieję, że przed takimi napastnikami nie wywieszacie białej flagi.

Wspomnę też o realnej wartości oraz uwzględnieniu liczby fałszywych pozytywów, które generuje używanie prostych IOC, a konsumuje czas analityków.

Threat Intelligence pozwala na podjęcie decyzji szybciej i precyzyjniej niż bez niego albo potrzebujesz innego dostawcy tej usługi.

Podejmowane decyzje implikują działania, które trzeba wykonać - na tym polega konsumpcja. W przypadku tak ulotnych i łatwych w modyfikacji IOC wskazanych powyżej, możliwa jest automatyzacja ich wykorzystania.

Kiedy mówimy o trzech górnych warstwach piramidy bólu, automatyzacja jest utrudniona i często niemożliwa. Trzeba włożyć w to więcej pracy, ale to się opłaca - znacznie podnosisz koszty jakie musi ponieść napastnik by z Tobą wygrać. Jeśli ta większa praca to powód by z tego zrezygnować napiszę to jeszcze raz:

Mam nadzieję, że nie wywieszasz białej flagi przed napastnikiem, którego nie da się skutecznie i długoterminowo opisać za pomocą prostych IOC z dolnej części piramidy bólu.

Wywieszasz flagę czy aktywnie się bronisz?