"Skuteczny" atak na bank: co teraz?

Jeśli jeszcze nie czytałaś/czytałeś artykułu "Poważne włamanie do polskiego banku, skradzione dane i hasła klientów" (by Z3S) to na wstępie zapraszam do niego.

Nie będę skupiał się na tym jaki to bank, czy atak był skuteczny czy nie, a wszelkie próby spekulacji w komentarzach nie przejdą moderacji.

Aktualizacja: W związku z tym, że portale, w tym Z3S podały więcej informacji i wiadomo o który bank chodzi, przestaję ukrywać jego nazwę. O prawdziwym zasięgu ataku i skutkach nie będę spekulował.

Poniżej lista działań, które mogą pozwolić wykryć/utrudnić taki atak - celowo unikam stwierdzenia "uniemożliwić". UWAGA: lista nie jest kompletna (nie obejmuje wszystkich faz ataków, w których można zidentyfikować próbę ataku lub kolejne cele, które napastnik osiąga), działania powinny być szyte na miarę danej organizacji.

• monitoring rejestracji domen podobnych do używanych przez nas:
• z użyciem URLCrazy

• monitoring integralności serwisów WWW udostępnianych w Internecie:
• symulując pobranie strony i porównanie do prawidłowego wzorca
• stosując mechanizmy sprawdzania integralności po stronie serwera
• stosując mechanizmy pozwalające monitorować operacje typu "write" w miejscach, z których można modyfikować serwis WWW - zarówno z poziomu narzędzi do zarządzania nim jak i użytkowników systemowych, którzy mają takie uprawnienia lub mogą je zdobyć
• stosując CSP [o którym pisałem przy okazji identyfikacji złośliwego oprogramowania])

• testy bezpieczeństwa krytycznych mechanizmów bezpieczeństwa jak metody autoryzacji dla transakcji finansowych oraz identyfikacja innych, które powinny być takimi mechanizmami objęte, a nie zawsze są

Kluczowy moim zdaniem jest punkt 2 i 3, a 1 naturalnym wkładem do działań wywiadowczych.

Może wydawać się oczywiste, że proponowane działania pozwalają wykryć atak, ale jak mogą go utrudnić? - kluczowy jest tu parametr "czasu wykrycia". Jeśli skrócimy go do okresu czasu, w którym atakujący nie osiągnie bolesnego dla nas celu (czyt. skutków) to właśnie utrudniliśmy, a nawet uniemożliwiliśmy skuteczność ataku - pod warunkiem, że zareagujemy na wykrycie napastnika.

Nie powinno być tak, że przełamanie jednego mechanizmu bezpieczeństwa, przejście pierwszego/drugiego czy piątego etapu drogi do celu pozwala napastnikowi być niezauważonym - zostawia po sobie ślady, które nawet jeśli będzie zacierał to i one mają swój czas życia, w którym trzeba je dostrzec.

Serdecznie (powtarzając jak mantrę), polecam stosowanie metodyki Kill Chain [pdf] do rozkładania takich scenariuszy na czynniki pierwsze, planowanie, a jeśli już zaimplementowaliśmy - testowanie, działań, które mają pozwolić na utrudnienie i identyfikację ataków.

Warto zrobić to już teraz, nie czekając na (skuteczny) atak skierowany na nas. Bądźmy aktywni!

Szkolenia White Cat Security: 2015

Zaufana Trzecia Strona opisała powody, dla których warto zainwestować w wiedzę o defensywie.

Kilka dodatkowych słów ode mnie - autora i prowadzącego szkolenia.

Dlaczego warto? - By kolejny phishing z podszyciem się pod DHL, Pocztę Polską czy inny popularny brand nie kończył się sukcesem tak często - bo w Polsce brakuje miejsc, w których można nauczyć się skuteczniejszej walki z tym. Nie mówię o użytkownikach końcowych, firmy świadczące im usługi mogą skuteczniej ich chronić nawet jeśli popełniają błędy lub dają się nabrać na socjotechniczny atak, wystarczy kilka kroków zaczynając od edukacji w firmach, nie skupiając się głównie na klientach.

Dostrzegacie, że po skutecznym ataku pochodzącym z Internetu często firmy tłumaczą się błędem ludzkim? Że jak weźmiemy na tapetę kilka ataków to mają one wiele cech wspólnych, od lat(!), a nadal takie ataki kończą się (czasem) sukcesem? Jeśli nie to moim zadaniem jest pokazać te cechy, a dokładnie rzecz ujmując, zbudować/poprawić zmysł analityczny pozwalający dostrzegać takie cechy by móc się im skuteczniej przeciwstawić niż tłumacząc się, że ponownie zawiódł człowiek.

Firmy które świadczą usługi w kanał elektronicznych czy instytucje przetwarzające wrażliwe dane nie miały do tej pory łatwego i dostępnego dla nich (finansowo) sposobu nabywania tej wiedzy (w Europie takie szkolenia kosztują ok. 6-10x więcej i najczęściej są poza budżetami firm w Polsce). Popularyzowane szkolenie z Zaawansowanego Monitoringu i Obsługi Incydentów Bezpieczeństwa nie jest dedykowane konkretnemu sektorowi (takie rzeczy w ramach szkoleń zamkniętych) dlatego zapraszam przedstawicieli wszystkich sektorów, które chcą aktywniej bronić swój biznes lub Klientów!

Wkrótce aktualizacja (wzbogacenie!) drugiego szkolenia z Monitoringu Bezpieczeństwa Sieci, które ma budować solidne fundamenty w drodze do poziomu Zaawansowanego.

Pełna oferta usług White Cat Security znajduje się tutaj.