Aktualizacja: W związku z tym, że portale, w tym Z3S podały więcej informacji i wiadomo o który bank chodzi, przestaję ukrywać jego nazwę. O prawdziwym zasięgu ataku i skutkach nie będę spekulował.
Poniżej lista działań, które mogą pozwolić wykryć/utrudnić taki atak - celowo unikam stwierdzenia "uniemożliwić". UWAGA: lista nie jest kompletna (nie obejmuje wszystkich faz ataków, w których można zidentyfikować próbę ataku lub kolejne cele, które napastnik osiąga), działania powinny być szyte na miarę danej organizacji.
- monitoring rejestracji domen podobnych do używanych przez nas:
- z użyciem URLCrazy
- monitoring integralności serwisów WWW udostępnianych w Internecie:
- symulując pobranie strony i porównanie do prawidłowego wzorca
- stosując mechanizmy sprawdzania integralności po stronie serwera
- stosując mechanizmy pozwalające monitorować operacje typu "write" w miejscach, z których można modyfikować serwis WWW - zarówno z poziomu narzędzi do zarządzania nim jak i użytkowników systemowych, którzy mają takie uprawnienia lub mogą je zdobyć
- stosując CSP [o którym pisałem przy okazji identyfikacji złośliwego oprogramowania])
- testy bezpieczeństwa krytycznych mechanizmów bezpieczeństwa jak metody autoryzacji dla transakcji finansowych oraz identyfikacja innych, które powinny być takimi mechanizmami objęte, a nie zawsze są
Kluczowy moim zdaniem jest punkt 2 i 3, a 1 naturalnym wkładem do działań wywiadowczych.
Może wydawać się oczywiste, że proponowane działania pozwalają wykryć atak, ale jak mogą go utrudnić? - kluczowy jest tu parametr "czasu wykrycia". Jeśli skrócimy go do okresu czasu, w którym atakujący nie osiągnie bolesnego dla nas celu (czyt. skutków) to właśnie utrudniliśmy, a nawet uniemożliwiliśmy skuteczność ataku - pod warunkiem, że zareagujemy na wykrycie napastnika.
Nie powinno być tak, że przełamanie jednego mechanizmu bezpieczeństwa, przejście pierwszego/drugiego czy piątego etapu drogi do celu pozwala napastnikowi być niezauważonym - zostawia po sobie ślady, które nawet jeśli będzie zacierał to i one mają swój czas życia, w którym trzeba je dostrzec.
Serdecznie (powtarzając jak mantrę), polecam stosowanie metodyki Kill Chain [pdf] do rozkładania takich scenariuszy na czynniki pierwsze, planowanie, a jeśli już zaimplementowaliśmy - testowanie, działań, które mają pozwolić na utrudnienie i identyfikację ataków.
Warto zrobić to już teraz, nie czekając na (skuteczny) atak skierowany na nas. Bądźmy aktywni!
Skoro atakujacy wykorzystal "stara" niezalatna luke w systemie banku wychodzi na to, ze "nieznany bank" nie posiada lub posiada zle konfigurowane systemy IPS. Dobre IPS'y posiadaja sygnatury ,ktore pokrywaja praktycznie wszystkie zgrozenia i nawet jesli nie poradza sobie z zatrzymaniem intruza, dadza info, ze cos sie dzieje. Wiec czyzby blad lezacy u podstaw - zle zaprojektowany system bezpieczenstwa bez systemow IPS czy moze blad na etapie deploymentu? Moze brak koleracji i agregacji w bankowym SIEM'ie lub jego calkowity brak?
OdpowiedzUsuńNie będę oceniał "nieznanego banku", odniosę się do tego co napisałeś w sposób niezależny od tej historii.
UsuńJeśli nie znasz zagrożeń, których IPS może nie wykryć tzn., że prawdopodobnie powinieneś spróbować rozszerzyć model zagrożeń, który przyjmujesz ponieważ systemy IPS nie są dobrymi narzędziami do wykrywania i powstrzymywania np. ataków na aplikacje webowe, szczególnie te, które są tworzone na zamówienie. IPS ma szanse coś zauważyć, ale czy bardzo dużą? - zależy od napastnika i podatności, którą wykorzystuje. Jestem przeciwnikiem generalizowania, że dobry IPS pokryje praktycznie wszystkie zagrożenia - moje doświadczenia mówią, że tak nie jest.
Korelacje, agregacje są już implementacją modelu zagrożeń, które ktoś wcześniej musiał przyjąć. Bez analityki wykonanej wcześniej posiadanie lub nie posiadanie SIEMa właściwie niczego nie zmienia - pomijając potencjalną zgodność z regulacjami/standardami, bo posiadamy SIEMa, która może, ale nie musi mieć realnego przełożenia na skuteczną identyfikacją napastnika.
Z informacji jakie przedstawiono w artykule dot. banku wynikalo, ze atakujacy wykorzystal "nieujawniony błąd wynikający z braku regularnych aktualizacji oprogramowania." czyli nie bylo to zaden 0 day, na ktorego systemy IPS moglby nie miec zestawu sygnatur. Z drugiej strony nawet jesli IPS nie posiada konkretnej sygnatury dla konkretnego zagrozenia, czesto pojawiaja sie false-positives ,ktore potrafia wylapac nowy nieznany atak - chociazby przez analize RAW data. Wiec w tym konkretnym przypadku atakujacy sugeruje, ze atak ktory przeprowadzil byl konsekwencja "braku regularnych aktualizacji oprogramowania". Wiec jesli zwykla aktualizacja oprogramowania prawdopodobnie moglby zapobiec atakowi - czyli problem znany przynajmniej producentowi oprogramowania/sprzetu z duzym prawdopodobienstwem udokumentowany przez STIX'a, oznaczony przez CVE. To tym samym ponad 90% IPS'ow na rynku posiada sygnature chroniaca przed wykorzystanym atakiem. Oczywiscie IPS jest tylko "pomoca", glowna role ogrywaja tutaj ludzie i umiejetnosci kojarzenia zdarzen i ich korelacji.
OdpowiedzUsuńWspomniales, ze "systemy IPS nie są dobrymi narzędziami do wykrywania i powstrzymywania np. ataków na aplikacje webowe", niestety nie moga sie z tym zgodzic. Nie wiem z jakimi dokladnie IPS'ami miales doczynienia, ale na palcach jednej reki mozna policzyc IPS'y ktore zasluguja na uzywanie tej nazwy. W tym wypadku, te konkretne modele IPS'ow swietnie radza sobie w L7 ,a takze w warstwach nizszych. Dodajace do tego SSL inspection i ogarnietego czlowieka analizujacego outputy nie jest juz tak latwo przeslizgnac sie niezauwazonym, a tym bardziej siedziec w systemie dluzszy czas (ukrywanie ruchu w innym protokole tez tutaj na nic sie nie zda)
Oczywiscie sam IPS nie jest rozwiazaniem, jest tylko kropla w morzu potrzeb. Jesli ktos mysli, ze jego systemy sa bezpieczne i nie musi sie juz niczego obawiac to poprostu jest w wielkim bledzie. Oczywiscie im wiecej systemow zabepieczen, ze soba wspolgrajacych i uzupelniajacych sie tym lepiej - co w kwesti bankowosci powinno byc zawsze priorytetem, bo jeden maly blad, a konsekwencje oplakane.
To oczywiscie moje zdanie, z ktorym nie kazdy musi sie zgodzic. Pozdrawiam i zachecam do dyskusji
1) może być jak napisałeś, może być inaczej, zależy od faktów, których nie znamy, a jak nie widzę faktów to możemy wysnuć tyle różnych hipotez, że braknie sprawnych klawiatur w biurze by je spisać :) stąd mój dystans do oceny czy IPS by sobie z tym poradził czy nie. Dużo lepiej do obrony weba sprawdzają się WAFy. Nie chcę napisać, że IPS może załatwić sprawę, bo bez faktów i szerszego kontekstu może być to niewłaściwie zinterpretowane przez np. moich klientów.
Usuń2) Miałem i miewam do czynienia z różnymi IPSami. Zaproponuj proszę te, które uważasz, że świetnie radzą sobie z L7, w tym aplikacjami webowymi, spróbuję się do tego ustosunkować - podyskutować. Szczególnie, że Web jest mi bardzo bliski od wielu lat.
3) co do generalnego podejścia to mógłbym zapytać czy byłeś na jednym ze szkoleń, które prowadzę, a jeśli nie to gdzie wypracowałeś takie podejście - jest generalnie zbieżne z moim, pewnie w szczegółach już się różnimy.
Jak najbardziej, mamy prawo do własnego zdania i do poszanowania tego, że ktoś może mieć odmienne.
Będzie mi miło jeśli przy kolejnym komentarzu podpiszesz się swoim imieniem i nazwiskiem.
1) Jest tak juz mowisz -> nie ma co dyskutowac o mozliwosciach bez faktow. A co do WAF'ow, niektore IPS sa rozszerzone o rozwiazania WAF lub mechanizmy bardzo zblizone do ich dzialania. Chociaz z wlasnego doswiadczenia, moge powiedziec, ze dobry IPS wychwyci wiecej podejrzanego "web trafficu" niz WAF - oczywiscie czesto poprzez wystrzelenie sygnatury ,ktora poprzez swoje wzorce "zlapie" cos podejrzanego - i tutaj z pomoca przychodza odpowiedni ludzie na odpowiednim stanowisku do analizy sygnatury/RAW data,ze jednak jest cos "nie tak" :)
OdpowiedzUsuńNie mowie, ze WAF jest zly lub gorszy od IPS'ow. Po prostu moze nie mialem doczynienia z "tym" odpowiednim WAF'em :)
2) Jak dla mnie Proventia GX/XGS znajduje sie w scislej czolowce i swietnie sobie radza z l7.
3) Nie mialem przyjemnosci uczestniczyc w Twoich szkoleniach. Co do podejscia - wypracowane "na produkcji" na zywym organizmie :)
Pozdrawiam,
Bart
1) nie w sposób z tym dalej dyskutować :)
Usuń2) nie mam jej pod ręką, w wolnej chwili zobaczę i dam znać.
3) I takie jest najlepsze! - odezwij się proszę na kontakt@whitecatsec.com (nie anonimowo), może będę miał dla Ciebie miłą niespodziankę.
Pozdrawiam!