2016-12-28

Intelligence: Wymagania II

Zaczynamy II część (I część dostępna jest - tutaj) wprowadzenia do wymagań względem Threat Intelligence i dlaczego nie jest za wcześnie na to podejście.


  • Nie masz narzędzi do głębszej analizy zdarzeń, a to oznacza, że wszystko przed Tobą. Część organizacji posiada już pokaźną grupę narzędzi/systemów, ale brak pomysłu, a często czasu, jak je właściwie wykorzystać. Opis wcześniej omawianych TTP oraz IOA/IOC prawdziwych kampanii APT powinno pozwolić Ci określić jakich narzędzi potrzebujesz. Do grup narzędzi, na których warto zawiesić oko należą takie, które potrafią:
    • efektywnie gromadzić i analizować flowy sieciowe
    • nagrywać i analizować pełny zrzut ruchu sieciowego lub jego ekstrakt
    • zapewniają możliwość sięgania do pamięci procesów serwerów/stacji
    • dają możliwość odpytania serwerów/stacji o dany plik/proces/połączenie/itd.

  • Nie masz wpływu na architekturę bezpieczeństwa w firmie, bo (tutaj masa dogmatów/mitów panujących w organizacji) - nic straconego. Opis ataków na Twoich sąsiadów w sektorze może pokazać, że nie wiadomo ile dokładnie będziesz jeszcze "zieloną wyspą", której nie dotknął skuteczny atak. Projektując/modyfikując architekturę bezpieczeństwa w firmie musisz zawsze sprawdzić czy nie oślepiasz obrońców. Jesteś pewna/pewny, że nie oślepiasz? Rekomendacje wynikające z syntezy kampanii APT mogą wskazać jak wykorzystać szanse, które już daje architektura (np. jeśli nie masz routingu ze stacji roboczych do Internetu, bo połączenie idzie przez proxy, zastanów się jak możesz to wykorzystać). Masz szansę dokonać ewaluacji swojej architektury względem prawdziwych ataków.

  • Nie wiesz jak skuteczna jest Twoja prewencja - zgodność ze standardami/regulacjami to za mało - serio. Zastanów się czy znasz odpowiedzi na takie pytania:
    • jaka część ataków została całkowicie powstrzymana przez systemy prewencyjne?
    • jaka część ataków, które mnie nie dotknęły, została by odparta przez Twoje systemy?
    • przeprowadzasz testowe kampanie Red Teamowe?
    • czy Red Team spotkał się z aktywny oporem po stronie Blue Team - jeśli nie to czy to nie byłoby wskazane?
Opis TTP z kampanii może “na sucho”, szybciej i w sposób bardziej kompletny niż działania Red Teamowe, pozwolić skonfrontować Twoje systemy prewencyjne.

Do zobaczenia w części III na początku roku 2017.

2016-12-06

x33fcon - będziesz?

Od przeszło 10 lat bywam na branżowych konferencjach, głównie dotyczących bezpieczeństwa IT. Z roku na rok jest coraz więcej prezentacji dotyczących: obrony, monitoringu, reakcji na incydenty oraz innych obszarów zainteresowania "niebieskich" (blue team), natomiast jest tego ciągle mało (< 20% prezentacji? - pamiętajcie, że wyjątki potwierdzają regułę ;)).



W przyszłym roku (2017) odbędzie się w Polsce pierwsza edycja wydarzenia o nazwie x33fcon - miejsce spotkań "czerwonych" i "niebieskich" by zrobiło się "purpurowo"!

Pierwsze informacje o prelegentach i warsztatach są już dostępne. Nie ukrywam, że wiem nieco więcej niż na stronie i wg mnie nie może tam zabraknąć ludzi zajmujących się zawodowo lub w formie pasji: ofensywą lub defensywą.

Zaryzykuję nawet stwierdzenie, że będzie to wydarzenie 2017 roku i prawdopodobnie najlepszy (pod względem prelegentów/trenerów oraz uczestników) czas na networking ostatnich lat w Polsce. Dodatkowo, społeczność "niebieskich" jeszcze nigdy nie była tak dojrzała jak obecnie.

Rekomenduję:
  • wpisanie konferencji w plany szkoleniowe na 2017 (!!!)
  • subskrypcję informacji o konferencji i otwarciu zapisów (!!)
  • wpaść i posłuchać ciekawych prelekcji
  • odbyć trening
  • zostać partnerem/sponsorem - lubimy gdy mamy zdrową konkurencję ;-) pokażcie się (!)
Mam nadzieję, do zobaczenia w Gdyni - wiosna 2017!

2016-11-27

Intelligence: Wymagania I

Threat Intelligence -> Intelligence-driven security to stosunkowo nowe pojęcia, choć wg mnie to po prostu nazwane po imieniu sposoby/metody podejścia do świadomego zarządzania ryzykiem - potrzebnego w XXI w.


Od samego początku istnienia White Cat Security, towarzyszy nam jeden cel: Znać Twojego Wroga. Stąd usługa Threat Intelligence jest dla nas czymś naturalnym i do której przygotowywaliśmy się całkiem długo - rzekłbym, że przez "całe życie".

Jedna z plotek niesie, że Intelligence jest wyłącznie dla elit. Pojawiają się artykuły mówiące o takich wymaganiach jak:

  • dojrzały i elastyczny Dział IT, który szybko reaguje na zmiany
  • agresywny proces usuwania znanych podatności
  • zespół Reagujący na Incydenty/Łowców potrafiący korzystać z danych wynikających z wywiadu
  • skuteczna inwentaryzacja urządzeń i oprogramowania w firmie/organizacji
Autorem tych wymagań, zanim zainteresujesz się Threat Intelligence, jest Jacob Williams (@MalwareJake).

Po części zgoda, to istotne tematy. Natomiast jeśli tego nie mam to mam odpuścić Threat Intelligence i wrócić będąc gotowym?

Proponuję inne podejście i korzystanie z Threat Intelligence od samego początku lub dowolnie innego miejsca:
  • Nawet jeśli nie znasz wartościowych zasobów w firmie gdzie pracujesz to jeszcze nie koniec świata. To się zdarza, nawet stosunkowo często. Nawet w firmach, które inwentaryzują zasoby to zdarza się, że głównie pod audytora (czyt. regulatora). Szkopuł w klasycznym podejściu do wskazywania wartościowych zasobów jest taki, że zazwyczaj na takiej liście są oczywiste systemy bez uwzględnienia możliwych ścieżek do niego - tych bezpośrednich i pośrednich. Wiedza o tym jak realizowane są ataki, jakimi ścieżkami/przypadkami, pozwoli Ci je uwzględniać już teraz.

  • Nawet jeśli urządzenia i oprogramowanie w Twojej firmie nie zapisuje właściwych zdarzeń to nie czekaj do momentu kiedy wszystkie zaczną zapisywać. Gromadzenie i analiza dużych zbiorów zdarzeń to spore wyzwanie, które może odpychać od momentu konsumpcji Threat Intelligence jak to przedstawia część dostawców. Wiedza o tym jakimi metodami przeprowadzane są ataki, jakie ślady po sobie zostawia napastnik pozwoli Ci ułożyć priorytety, których zdarzeń potrzebujesz najbardziej i w jakiej kolejności.

  • Nawet jeśli nie zbierasz wszystkich zdarzeń centralnie do systemu typu SIEM lub rozwiązania typu Log Management, bo nie posiadasz takiego systemu lub obecny ledwo zipie, zapchany po brzegi licencji/dysków/wydajności (niepotrzebne skreśl), zawsze jest dobry czas na inwentaryzację. Inwentaryzacja może być determinowana tym co aktualnie wykrywamy i jakich innych zdarzeń potrzebujemy aby bez opuszczania konsoli SIEMa móc wyjaśniać wykryte podejrzenia incydentów bezpieczeństwa. Wiedza o tym w oparciu o jakie zdarzenia lub ich zestawienie/korelację będziemy wykrywać napastnika i wyjaśniać te podejrzenia pozwoli zdefiniować co przesyłać do SIEMa lub co filtrować na jego wejściu aby mieć w nim dokładnie to co chcemy i efektywnie wykorzystywać posiadaną licencję/wydajność/pojemność.

Kiedy budowałem pierwszy zespół CSIRT bardzo brakowało mi takiego podejścia i zawsze do niego dążyłem. Oczekiwałem, że przyjdzie ono wraz z integratorami systemów typu SIEM, ale to nie był wówczas moment, kiedy byli na tyle dojrzali. Dzisiaj wygląda to nieco inaczej, natomiast czy integrator ma wystarczająco dużo czasu by być na bieżąco z zagrożeniami, metodami działania napastników, wystarczająco głęboko?

Jeśli jesteś Klientem Integratora, któremu przydałoby się takie wsparcie u Ciebie, a może jesteś przedstawicielem Integratora i chciałbyś mieć profesjonalnego Partnera w zakresie Threat Intelligence oraz jego konsumpcji - zapraszam do kontaktu na kontakt {@} whitecatsec.com

W bonusie zostawiam dwa, świeże linki do artykułów systematyzujących tematykę korelacji w systemach typu SIEM:
W kolejnych postach przedstawię inne metody konsumpcji wiedzy wynikającej z Threat Intelligence.

2016-11-18

Intelligence: dający podstawy do działania

Usługa Threat Intelligence, którą oferujemy na rynku powoduje czasem konsternację, szczególnie kiedy pokazuję, że skupiamy się na trzech górnych warstwach piramidy bólu - TTP, Narzędzia oraz Artefakty Sieciowe i na Hostach.


 

(źródło: http://detect-respond.blogspot.com/2013/03/the-pyramid-of-pain.html)


Uważam, że już czas powiedzieć dość skupianiu się głównie na kolejnych sygnaturach/IOC do systemów bezpieczeństwa także w Polsce. Dlaczego także w Polsce? - bo w Europie i za oceanem nasze podejście nie jest tak zaskakujące.

Nowe sygnatury/IOC to często za mało, szczególnie kiedy skupione są wokół:

  • skrótu hash plików,
  • adresów IP,
  • domen czy URLów
Działa to w sytuacji kiedy napastnik ponownie korzysta z tej samej infrastruktury co wcześniej. A co z tymi, którzy je zmieniają i używają ich po raz pierwszy? A jeśli dana kampania APT nie została jeszcze przez nikogo opisana i nie przekazano w ramach Threat Feedów IOC? - mam nadzieję, że przed takimi napastnikami nie wywieszacie białej flagi.

Wspomnę też o realnej wartości oraz uwzględnieniu liczby fałszywych pozytywów, które generuje używanie prostych IOC, a konsumuje czas analityków.

Threat Intelligence pozwala na podjęcie decyzji szybciej i precyzyjniej niż bez niego albo potrzebujesz innego dostawcy tej usługi.

Podejmowane decyzje implikują działania, które trzeba wykonać - na tym polega konsumpcja. W przypadku tak ulotnych i łatwych w modyfikacji IOC wskazanych powyżej, możliwa jest automatyzacja ich wykorzystania.

Kiedy mówimy o trzech górnych warstwach piramidy bólu, automatyzacja jest utrudniona i często niemożliwa. Trzeba włożyć w to więcej pracy, ale to się opłaca - znacznie podnosisz koszty jakie musi ponieść napastnik by z Tobą wygrać. Jeśli ta większa praca to powód by z tego zrezygnować napiszę to jeszcze raz:

Mam nadzieję, że nie wywieszasz białej flagi przed napastnikiem, którego nie da się skutecznie i długoterminowo opisać za pomocą prostych IOC z dolnej części piramidy bólu.

Wywieszasz flagę czy aktywnie się bronisz?

2016-11-15

Szkolenia 2017 - zmiany

W związku z pojawiającymi się pytaniami o szkolenie "Zaawansowany monitoring i obsługa incydentów bezpieczeństwa IT" realizowane przez trenera z White Cat Security: Przemka Skowron, w ramach oferty firmy Securitum - informuję, że współpraca pomiędzy tymi firmami została zakończona.

Z uwagi na unikalność tego typu szkoleń na rynku w Polsce, zamierzamy je przebudować, zaktualizować i uatrakcyjnić o elementy, które pozwolą początkującym zbudować silne, praktyczne fundamenty, a bardziej zaawansowanym rozwinąć skrzydła oraz perspektywę.

W roku 2017 pojawi się zupełnie nowa oferta szkoleniowa, realizowana w całości przez White Cat Security.

Do momentu pojawienia się nowej oferty szkoleniowej, wszystkich zainteresowanych szkoleniami z monitoringu i obsługi incydentów bezpieczeństwa IT w grupach zamkniętych proszę o bezpośredni kontakt na kontakt {@} whitecatsec.com.

2016-10-30

Aktywna obrona vs. Kontratak

Krótko: Aktywna obrona jest legalna dla wszystkich, Kontratak [1][2][3] już nie.


(zdjęcie pochodzi ze strony: Little Bobby Comic)

Czym więc jest Aktywna obrona? - z pomocą nadchodzi slajd Roberta M. Lee.


To legalne i rekomendowane - nie od dzisiaj - podejście. Aktywna obrona to wzbogacona o Threat Intelligence wersja obrony Proaktywnej.

2016-10-14

Threat Intelligence: Move or Die!

Technology Risk & Information Security we Wrocławiu zaprasza, a ja nie mogę tej grupie ludzi odmówić by porozmawiać o moich doświadczeniach z wywiadem na temat zagrożeń - zero marketingu.

20 października 2016 we Wrocławiu, zapraszam na prezentację pt. "Threat Intelligence: Move or Die!".



Część I: Odpuść sobie
Część II: Zrób to dobrze

Abstrakt:

Temat Threat Intelligence jest bardzo "gorący". Każdy mówi, że należy się wymieniać informacjami, a robią to nieliczni. Czy wymieniamy się właściwymi informacjami, które dają istotnie zwiększoną świadomość, przewagę nad napastnikami i czym właściwie jest Threat Information Sharing, a czym Threat Intelligence?

W pierwszej części prezentacji opowiem o powodach, dla których warto skupić energię na innych tematach niż Threat Intelligence. Dlaczego? Bo bez nich konsumpcja Threat Intelligence będzie bardzo ograniczona, a poziom bezpieczeństwa nie wzrośnie. Czyli jak przygotować się do efektywnego wykorzystania TI ("Threat Data Feed" to Data Feed, nie Intelligence).

W drugiej części zamierzam pokazać różne podejścia do Threat Intelligence z uwzględnieniem szans jakie dają. Podejścia te skonfrontuję z jedną ze znanych kampanii APT.

Słowa kluczowe: piramida bólu, cyber kill chain, model diamentowy, IOC, TTP, KMT.

Szczegóły (godzina, miejsca, rejestracja) na LinkedIn w grupie Technology Risk & Information Security Wroclaw.

Zapraszam!

PS
Jeśli ktoś był lub widział prezentację na SecurityBSides w Warszawie (https://www.youtube.com/watch?v=u1GOqw-49Rk) odnośnie Threat Intelligence, a jest głodny odpowiedzi na trudniejsze pytania, które tam padły, dotyczące kosztów - tym bardziej zapraszam do Wrocławia.

<MARKETING>

21 października we Wrocławiu jest dniem spotkań z zainteresowanymi usługą Threat Intelligence - jeśli jeszcze się zastanawiasz, zapraszam na kontakt {@} whitecatsec.com.

</MARKETING>

2016-10-08

Inteligencja obrońcy

Od kilku lat aktywnie promuję Threat Intelligence np. w postaci wyciągania wniosków ze znanych lub mniej nagłaśnianych kampanii APT czy ataków na dużą skalę np. DDoS na stronę Briana Krebsa z użyciem botnetu IoT.

Warsztatowe rozkładanie przykładowej kampanii APT, podczas prowadzonego przeze mnie szkolenia, jest najcześciej oceniane przez uczestników jako najciekawszy element kursu. Zawsze zachęcam wszystkich uczestników do powtórzenia tego ćwiczenia, ale nie w infrastrukturze stworzonej na potrzeby warsztatowe, a w środowisku, którego na co dzień bronią.

Celem Threat Intelligence jest "znać swojego wroga", co ma przełożyć się na:

  • możliwość podejmowania świadomych decyzji
  • wykrywanie incydentów bezpieczeństwa
  • reagowanie na incydenty bezpieczeństwa
  • mechanizmy kontrolne (prewencję)
  • polowanie na napastników


Threat Intelligence to analiza, która przekłada się na użyteczną w boju informację, a nie surowy Threat Feed/Data bez kontekstu.

Zespoły typu SOC/CERT/ITSEC na co dzień działają w deficycie czasu przez co rzadko korzystają z nauczanej przeze mnie metodyki Kill Chain. Niech odezwie się ten "obrońca", który nie będąc prowokowanym zew. audytem, incydentem o przykrych skutkach, ma wolne zasoby, by aktywnie rozwijać w godzinach pracy świadomość na temat zagrożeń oraz przekuwać ją na wdrażane rekomendacje takie jak:

  • nowe scenariusze w SIEM'ie
  • zmiany w konfiguracji systemów bezpieczeństwa
  • zmiany w architekturze bezpieczeństwa
  • zmiany w politykach/wytycznych/procedurach korzystania z zasobów informatycznych
  • potrzeba zainwestowania w daną technologię by odpowiedzieć na nowe zagrożenie lub podnieść skuteczność identyfikacji/prewencji.
Do tego dochodzi utrzymanie świadomości odnośnie tego czy kurs, którym płyniemy jest zgodny z trendami ataków - ale opisanymi znacznie głębiej niż ogólnikami typu: "spearphishing, praca na użytkowniku będącym lokalnym administratorem, a potem już poszło".

Doskonale zdaję sobie sprawę, że jest wiele innych zadań do wykonania, a zbudowanie wewnątrz organizacji dodatkowego zespołu Threat Intelligence jest niezwykle trudne - zarówno z powodów małej liczby ludzi, którzy to dobrze robią jak i stawek, które są przez te osoby oczekiwane.

Odpowiedzią na tę potrzebę jest powstanie zespołu Threat Intelligence w ramach White Cat Security.

W ramach oferowanych usług będą realizowane m.in. takie zadania jak:
  • synteza informacji (publicznie i niepublicznie dostępnych) o kampaniach APT, atakach na dużą skalę - coś co można nazwać potocznie "prasówką"
  • synteza w/w informacji w postaci:
    • rekomendacji jak rozbroić (działania prewencyjne) TTP (Tactics, Techniques, and Procedures) napastników
    • rekomendacje jak upolować (działania identyfikujące) TTP napastników
  • aktualizacja katalogu scenariuszy do implementacji w SIEM'ie 
  • szkolenia wprowadzające w TTP używane przez napastników z omówieniem rekomendacji
  • synteza kampanii ukierunkowanych na "infrastrukturę krytyczną" - te IT jak i OT.
  • oraz inne
A jak dołożymy do tego animację współpracy pomiędzy różnymi organizacjami by było tak łatwo jak nigdy dotąd?

Z początkiem roku 2017 uruchamiamy fazę beta usługi z kilkoma Klientami, którzy będą mieć znaczący wpływ na to jak usługa będzie wyglądać po zakończeniu fazy beta. Jest to moment na to by rozpocząć z nami tę przygodę.

W przypadku zainteresowania szczegółami i przystąpieniem do fazy beta - proszę o kontakt na kontakt{@}whitecatsec.com lub innym kanałem, który jest już znany.

Usługę tego typu chciałem uruchomić w ostatnich latach kilka razy z różnymi firmami-partnerami. Natomiast dopiero teraz jestem przekonany, że skompletowałem zespół pasjonatów i obrońców "z krwi i kości", o których mogę mówić "Ten zespół zawsze jest głodny" co gwarantuje brak stagnacji i ciągłą chęć podnoszenia poprzeczki napastnikom.



Do kogo kierowana jest usługa?

W pierwszej kolejności do firm/instytucji, które są zainteresowane aktywną ochroną i potrzebują wsparcia z zew., zespołu, który specjalizuje się we wspieraniu zespołów typu SOC/CERT/CSIRT.

W bliskiej przyszłości, wraz z pozyskiwaniem Partnerów wśród m.in. Integratorów, postaramy się umożliwić jeszcze większe odciążenie posiadanych zasobów pomagając skonsumować "Intelligence" jeszcze efektywniej czasowo/kosztowo.

Kończąc zapowiedź nowej usługi White Cat Security, zapraszam na cykl prezentacji, na których nie będę opowiadał o usłudze, ale o metodykach, które stosujemy, o ich przewagach względem innych podejść na bazie konkretnych przypadków. Z przyjemnością przekażę wiedzę pozwalającą na realizację aktywnej i skuteczniejszej obrony - czysta wiedza, żadnego marketingu. O najbliższych planowanych prezentacjach będę informował na blogu.

Zapraszam do przesyłania pytań i komentarzy, a jeśli znasz kogoś komu możemy pomóc osiągnąć kolejny poziom dojrzałości zespołu - podaj linka do tego posta dalej.

Pytania? - kontakt{@}whitecatsec.com

2016-09-29

Ciemność, widzę ciemność, ciemność widzę.

Oślepianie samego siebie to nie science-fiction ani wyuzdane skłonności do samookaleczenia lub zadawania sobie bólu, to często spotykane sytuacje o bardzo przykrych konsekwencjach. A przecież nie chcemy paść kolejną ofiarą udanego ataku na nas?

Kilka dni temu na LinkedIn'ie napisałem krótki wpis:

"Modyfikując architekturę, implementację i konfigurację wpływającą na bezpieczeństwo, sprawdź implikacje zmiany. Inaczej możesz "oślepić" odpowiedzialnych za wykrywanie ataków lub znacznie utrudnić ich pracę, która bez tego łatwa nie jest. Niektóre zmiany są nieuniknione. Wtedy jest potrzeba ciągłej ewaluacji i szybkiego reagowania na nie. Przykład: TLS 1.3 - https://mailarchive.ietf.org/TLS_1.3"

Sytuacja z TLS w wersji 1.3 przypomniała mi o tym jak ważne jest pamiętanie o wszystkich elementach->zespołach, tworzących całościowe podejście do bezpieczeństwa w organizacji. Jeśli o tym zapomnisz, jest duże prawdopodobieństwo, że oślepisz tych, którzy mają bronić Twoją organizację i klientów.

Poniżej kilka elementów, na które proponuję zwrócić uwagę kiedy wchodzisz w inne technologie niż dotychczas lub kiedy zaczynasz myśleć o zabezpieczeniu/monitoringu aplikacji webowej, na przykładzie użycia/wyboru Web Application Firewall'a:

  1. Czy używany format przekazywania danych pomiędzy przeglądarką/aplikacją mobilną a serwerem jest zrozumiały dla WAF'a? (przykłady: Base64, JSON, GWT, AMF, itp.)
    1. Jeśli tak to do jakiego stopnia i które z elementów detekcji oraz prewencji działają? - czy to oczekiwany poziom inspekcji, analogiczny do wcześniej osiągniętego?
    2. Czy i z jaką łatwością możesz skonfigurować model negatywny (oparty o sygnatury)?
    3. Czy i z jaką łatwością możesz skonfigurować model pozytywny?
      1. Jeśli tak to z jaką szczegółowością? - do poziomu wartości konkretnego parametru w całym żądaniu HTTP? - a może do formatu danych?
    4. Czy w sytuacji prewencji WAF potrafi odpowiedzieć komunikatem w formacie zrozumiałym przez przeglądarkę/aplikację mobilną oraz kod strony, który ją tworzy?
  2. Czy po stronie przeglądarki/aplikacji mobilnej (po stronie użytkownika) dochodzi do transformacji danych wprowadzanych przez użytkownika lub innych? - np. ich kodowanie, szyfrowanie?
    1. Jeśli tak to czy WAF potrafi te dane odkodować/odszyfrować oraz poddać inspekcji?

To garść wybranych elementów, na które moim zdaniem należy zwrócić uwagę upewniając się, że jesteśmy gotowi na obronę/monitoring aplikacji webowej przy użyciu Web Application Firewall'a.

Podejście defensywne do bezpieczeństwa to nie tylko analiza alarmów i reakcja na nie, to także świadome zarządzanie architekturą, implementacją i konfiguracją elementów wpływających na pasywne bezpieczeństwo (kiedy infrastruktura działa wg. konfiguracji) oraz zdolność do obrony (co widzimy, co możemy zrobić w przypadku ataku). Oto filozofia White Cat Security.

W przypadku zainteresowania współpracą z White Cat Security - zapraszam do kontaktu.

2016-07-18

Zapraszam w 2017

Choć zaproszenia do współpracy w kolejnym roku wysyła się bliżej przełomu roku, ten czas dla White Cat Security już nastał.

W związku z prowadzonymi projektami, pomimo rozszerzenia składu Konsultantów i w trosce o jakość jaka jest zawsze przykładana do projektów, wszystkich zainteresowanych współpracą zapraszam w roku 2017 - w tym możemy zająć się tematem planowania, szczegółami, natomiast realizacja już nie w 2016.

Pozdrawiam,
Przemysław Skowron

2016-07-13

Hackathon: 20160713

W nawiązaniu do hackathonu oraz poprzednich wieści:

  • Termin: NIEZNANY - nie chcę podawać kolejnego terminu, z przyczyn niezależnych ode mnie nie jestem w stanie zadeklarować terminu.
  • Jeśli w tym roku hackathon się nie odbędzie to zamierzamy (jako White Cat Security) wrócić do tematu w przyszłości w innej formule i składzie organizatorów, wyciągając wnioski z tego jak wygląda organizacja w 2016, zapewniając projektowi większą niezależność oraz pewność, że dojdzie do skutku.
Do usłyszenia.

2016-06-07

x509 vs snort vs bro

Możesz skorzystać z nowego, eksperymentalnego wsparcia dla x509 w Snorcie, udostępnionego przez CERT.PL - Link.

Możesz skorzystać z wbudowanego wsparcia dla x509 w Bro-IDS - Link do ćwiczeń z obsługi SSL'a w Bro.

Masz wybór.

2016-05-23

CONFidence 2016: after

Tegoroczna edycja CONFidence pokazuje zmiany w podejściu do bezpieczeństwa w wydaniu moich rodaków. Jestem pod wrażeniem nie samego poziomu, bo jego nie da się ocenić po krótkich rozmowach, a świadomości odnośnie defensywnego podejścia na przykładzie takich tematów jak: blue vs red team, hunting czy układania scenariuszy implementowanych w systemach typu SIEM.

Dlaczego zwracam uwagę na rodaków? - Bo takie podejście widziałem głównie "za wielką wodą" już 5 i więcej lat temu. Było i nadal jest moim źródłem inspiracji, a dodając do tego doświadczenie i własne badania, pozwala mi to proponować w kraju podejście innowacyjne, jednocześnie gwarantujące, że podstawy będą działać.

Od wielu lat promuję m.in. takie podejścia jak:

  • modelowanie zagrożeń (threat modeling)
  • cyber kill chain (pierwotnie opracowany przez firmę Lockheed Martin - a używana przeze mnie wersja to wariacja na temat zbudowana w oparciu o moje badania oraz doświadczenie)
  • threat intelligence (oparty nie tylko o to co można "kupić", ale głównie w oparciu o to co firma/organizacja już posiada i na mój "nos" zwany też doświadczeniem, jest to często dźwignia do efektywnego zarządzania incydentami bezpieczeństwa, a konkretniej rzecz ujmując, do świadomego zarządzania ryzykiem opartym o luki dotyczące naszej organizacji)
  • red vs blue team (gdzie nie tylko przećwiczymy różne, istotne scenariusze, co wyciągniemy wnioski i opracujemy sposób wdrożenia zmian by wzmocnić obronę)

W rozmowach z kolegami z branży, kursantami czy klientami aktualnie dostrzegam takie grupy świadomości:

  • nie słyszałem o takich podejściach
  • słyszałem
  • słyszałem i próbowałem używać
  • używam (!) ( < 1%)

Liczę, że grupa "używam i przynosi to niezwykłe efekty!" będzie rosła!

Na prezentacjach, które zwróciły moją uwagę już w agendzie, nie usłyszałem o rewolucyjnym podejściu - pewnie z uwagi na to, że w Polsce gonimy, nie jesteśmy liderem jeśli chodzi o defensywę, natomiast zauważalny jest skok w porównaniu z poprzednimi latami. Nie oznacza to, że się wynudziłem na prezentacjach - małe smaczki zanotowane :-)

Może za rok tematy defensywne dostaną dedykowaną ścieżkę?

Jeśli chcesz trafić do grupy "używam i przynosi to niezwykłe efekty!" z moim wsparciem, nie zwlekaj - wolne zasoby White Cat Security na rok 2016 są na wyczerpaniu. A jeśli masz wątpliwości to zapraszam na szkolenia, które są niskobudżetową okazją do poznania się na merytorycznej stopie - najbliższe za kilka tygodni w Warszawie (Zaawansowany Monitoring i Obsługa Incydentów Bezpieczeństwa - 14-15.06.2016 - Warszawa).

2016-05-17

CONFidence 2016: pre

CONFidence to konferencja, do której od samego początku (edycja 2007) mam sentyment. Z czasem agenda zeszła na drugi plan, było i nadal jest to miejsce przede wszystkim spotkania ludzi z branży oraz sympatyków szeroko rozumianego bezpieczeństwa. W tym roku agenda jest całkiem, całkiem.

Przede wszystkim interesuje mnie wymiana doświadczeń z innymi "broniącymi", dlatego na szczególną uwagę zasłużą w tym rok następujące prezentacje:


Do zobaczenia!

2016-04-26

[aktualizacja] GozNym: komentarz

[aktualizacja: 2016.04.28]

Media różnego typu (m.in. z3s, niebezpiecznik) rozpisują się o GozNym, KNF kręci głową, a ZBP rozpacza nad przekazem firmy IBM (techniczny opis tutaj).

Zamiast komentować wiele razy to samo, poniżej kluczowe wg. White Cat Security obserwacje:
  • atak wycelowany w banki spółdzielcze i w takiej ilości to coś nowego w Polsce
  • wcześniej miały miejsce ataki, które również mogły dotykać klientów banków spółdzielczych w podobnej ilości, natomiast nie były to ataki celowane w nich bezpośrednio co wynikały ze specyfiki/ogólności/charakteru działania takich rodzin złośliwego oprogramowania jak Banapter czy Banatrix 
  • atak wycelowany w 17 15 banków komercyjnych w tej samej kampanii był już widziany (źródło: CERT.PL) kilka lat temu, jest to powrót do tego co można było zaobserwować

W mediach można zauważyć niedosyt związany z brakiem liczb odnośnie strat, ilości zarażonych urządzeń klientów banków. Otóż liczby te mogły nie zostać podane z wielu przyczyn:
  • Braku wiedzy o nich w IBM
  • Braku praktyki przekazywania takich informacji (liczb) nie tylko w IBM, CERT.PL, a także inne zespoły tego typu (CERT w Orange Polska czy CERT.GOV.PL), również nie podają takich informacji opisując "nową" kampanię/rodzinę lub potomka złośliwego oprogramowania. Takie informacje w ujęciu statystycznym możemy zauważyć w raportach rocznych lub okresowych. Działania CERT Orange Polska mogą tu być wyróżnikiem na tle innych, gdyż z przybliżeniem do nazwy botnetu publikują statystyki niemal w trybie online - link do statystyk. Natomiast nie można tego powiązać z konkretnymi kampaniami czy celami ataku.
  • Trudność w policzeniu "wielkości" zagrożenia polega na na problemie uchwycenia tego co istotne. O tym jak można próbować policzyć potencjalne straty w najgorszych scenariuszach już pisałem. Uzupełniając wpis sprzed roku, warto zwrócić uwagę co może się przydać by policzyć rozmiar botnetu. Będą to np.: dane z panelów/baz przestępców, z których zarządzają przejętymi urządzeniami, dane u operatorów telekomunikacyjnych, świadczących usługę dostępu do Internetu zarażonym urządzeniom czy dane pochodzące z sinkhole. Wyzwanie z jakim trzeba się zmierzyć to połączenie informacji o tym, że dane urządzenie jest zainfekowane z aktualną, choć zmieniająca się w czasie, konfiguracją złośliwego oprogramowania. Konia z rzędem temu, który jest w stanie oceniać, który botnet, o jakim rozmiarze i w jakim stopniu uzbroił w danej chwili swoje boty w konfigurację wycelowaną w daną platformę internetową - np. w bankowość elektroniczną. Teoretycznie jest to możliwe, w praktyce wymaga współpracy międzysektorowej, a wcześniej wewnątrz sektorowej. Namiastkę informacji o tym jak to może wyglądać są raporty z ćwiczeń Cyber EXE w sektorze finansowym, w roku 2015 i 2013. Ocenę efektywności współpracy pozostawiam czytającym.
  • Od kilku lat, różnymi kanałami, namawiałem CERT.PL by podając już statystyki w raportach, m.in. rocznych, dodawał informację o ograniczeniach/warunkach analizy, by czytający raport znał kontekst w jakim powstał - co jest moim zdaniem jako analityka, niezwykle istotne. W tym roku widzę, że raport zawiera akapit o nazwie "Ograniczenia" - co przy tej okazji warto wspomnieć. Życzę innym by zaczęli taki akapit dodawać w swoich raportach rocznych, okresowych, a do tego by liczby pojawiały się przy powiadomieniach o nowych kampaniach... szczerze, nie wiem czy kiedykolwiek dojdziemy - w informacji publicznie dostępnej. Dlaczego? Bo to również informacja zwrotna dla przestępców.
Wszystkie powyższe wnioski zostały oparte o dane publicznie dostępne lub są wynikiem ich analizy.

Kończąc, część ekspertów ma pretensje/uwagi do autorów treści, że piszą o atakach na klientów sektora finansowych jak o atakach na banki. Wynika to m.in. z tego, że tak się przyjęło. Można próbować to zmieniać - tu widzę rolę ZBP, KNF i samych banków. Z drugiej strony, za bezpieczeństwo środków finansowych klientów wg. mnie, odpowiadają 50/50, zarówno banki jak i sami klienci - bez zrzucania odpowiedzialności z jednej na drugą stronę. Błędy po jednej lub po obu stronach mogą skończyć się tak samo - kradzieżą środków finansowych.

Czy atak z użyciem GozNym można wykryć znanymi metodami walki z malware? - o tym mam nadzieję już wkrótce.

2016-02-29

Hackathon: 20160229

W nawiązaniu do wcześniejszej zapowiedzi hackathonu, informuję, że:

  • Hackathon odbędzie się w Krakowie
  • wszystkie gwiazdy na niebie wskazują, że będzie to druga połowa maja 2016
  • dla studentów (temat uczniów jeszcze do dyskusji) wejście za darmo, dla profesjonalistów za opłatą (wysokość opłaty w trakcie ustalania, na pewno nie "zabijemy" kwotą)
  • w grupie mentorów (obecnie 3 osoby mające w sumie ponad 40 lat doświadczenia w IT/Security) pracujemy nad tematami, by w ciągu najbliższych tygodni móc je opublikować
  • doszliśmy do porozumienia z organizatorem wydarzeń typu hackathon, zapewniając wydarzeniu całe zaplecze logistyczne i nie tylko (wkrótce opublikujemy kto to)
  • zgłosiło się kilku chętnych sponsorów oraz osób, które chcą pomóc w organizacji

Inne szczegóły, jak tematy, regulamin, rejestracja, współpraca przy organizacji czy sponsoring w ciągu najbliższych kilku tygodni.

Zapraszam do komentowania, ewentualnie mail na kontakt {@} whitecatsec.com z "hackathon" w temacie.

2016-01-29

[zapowiedź] Hackathon: Gry wojenne 2016

Próbując aktywnie uczestniczyć w życiu Internetu, czy chcemy czy nie, jesteśmy uczestnikami gier wojennych, jakie prowadzą napastnicy.

Aby w takich "grach" mieć szansę, poza atakiem musimy umieć się bronić.

Podejść i sposobów obrony jest wiele, jednak praktycznych doświadczeń, miejsc zdobywania wiedzy o niej w Polsce nadal mało. Konsekwencją m.in. tych czynników jest granicząca z cudem, skuteczna rekrutacja do zespołów typu SOC/CERT, a tym samym, do zbudowania takiego zespołu potrzebujemy cudu do kwadratu.

W związku z tym, chcę (mam nadzieję wkrótce móc oficjalnie pisać w liczbie mnogiej), zorganizować hackathon: Gry wojenne 2016 (nazwa robocza), na którym będziemy robić m.in. takie rzeczy:


  • IDENTYFIKOWAĆ zagrożenia: przez modelowanie zagrożeń wybranych, istniejących aplikacji (np. WWW/Mobilnych) i urządzeń (np. IoT, punkty dostępowe do Internetu). Istnieje wariant, że weźmiemy na warsztat konkretne rozwiązanie w zamian za barterowy sponsoring wydarzenia - w celu uzgodnienia szczegółów takiego podejścia proszę o kontakt. Ilu analityków ryzyka tyle różnych metod analizy czy modelowania zagrożeń. Dlatego przed rozpoczęciem tego modułu, jego uczestnicy zostaną przeszkoleni z jednej z proponowanych metod modelowania zagrożeń, która będzie mogła być użyta w trakcie hackathonu.

  • UTWARDZAĆ rozwiązania: w oparciu o uruchomione rozwiązania (możliwe, że będą to rozwiązania wybrane do identyfikacji zagrożeń), będą przeprowadzane testy penetracyjne, a następnie we współpracy z "obrońcami", środowisko w jakich dane rozwiązania uruchomiono, będzie utwardzane by atak nie mógł zakończyć się sukcesem. Iteracji takich będzie w zamyśle tyle ile czasu hackhtonu i energii uczestników. Jest to naturalna kontynuacja wykorzystania wiedzy o zagrożeniach względem danych aplikacji czy urządzeń. Modelowanie zagrożeń przydaje się zarówno atakującym jak i broniącym. Jednym z dodatkowych celów jakie chcemy tutaj osiągnąć to otwarta komunikacja między zespołem atakującym, a broniącym - w ten sposób jedni będą się mogli uczyć od drugich co rzadko ma miejsce w praktyce i w bezpośredniej współpracy.

  • WYKRYWAĆ ataki: w oparciu o otwarte rozwiązania jak Snort, Suricata, Bro-IDS, Yara, tworzyć sygnatury pozwalające wykryć zagrożenia jakie niosą m.in. phishingowe maile. Praca będzie się odbywać w oparciu o kopie maili phishingowych używanych do ataków w Polsce. Aby uatrakcyjnić pisanie sygnatur, do części maili phishingowych uczestnicy dostępu mieć nie będą, natomiast będą mogli na nich wykonać test owoców swojej pracy - sygnatur. Ma to pokazać czy kampanie phishingowe są do siebie podobne i jak szczegółowe sygnatury są najbardziej skuteczne. Przed rozpoczęciem modułu, odbędą się warsztaty wprowadzające do używanych rozwiązań.

  • REAGOWAĆ na incydenty: w oparciu o zabezpieczony materiał (pliki pcap, obrazy pamięci, dysków, logi, itp.) będzie do przeprowadzenia polowanie na potencjalnych napastników, by ustalić m.in. KIEDY, KTO, CO i jaką drogą osiągnął oraz czego się sforsować nie udało. Również, przed rozpoczęciem tego modułu, odbędą się warsztaty wprowadzające do proponowanych narzędzi pracy podczas tej części.


Zarys ma charakter roboczy, by pozwolić przybliżyć założenia - finalne moduły będą opracowane przeze mnie wraz z zespołem, do którego mam nadzieję dołączą zainteresowani.

Formuła hackathonu: UCZYMY się -> pracujemy.

Cel hackathonu:

  • Zaangażować do współpracy Burzących, Budujących i Broniących - wszystkie ogniwa wspólnie dbające o możliwie wysoki poziom bezpieczeństwa m.in. w Internecie
  • Wzbudzić wśród ludzi zainteresowanie defensywą przez poznanie w sposób praktyczny narzędzi,  na prawdziwych próbkach zagrożeń,  z często nowym sposobem myślenia i podejścia do tematów bezpieczeństwa
  • Pozostawić "coś" dla WSZYSTKICH: opis modelu zagrożeń prawdziwych aplikacji/urządzeń, opis sposobu utwardzania ich, a może i nowych ataków/podatności, sygnatury do systemów bezpieczeństwa reagujących na zagrożenia, które nas wszystkich dotykają i dotyczą, cała masa wiedzy, dla UCZESTNIKÓW: realne doświadczenia i wiedzę z placu boju.
  • Pozostawić "kogoś": potencjalni kandydaci do pracy (mało kto jest w stanie w tak przekrojowy i PRAKTYCZNY sposób przyglądać się kandydatom, bez zatrudniania ich) lub wzbogaceni o nowe doświadczenia profesjonaliści
Dla kogo:
  • studenci i uczniowie
  • profesjonaliści z doświadczeniem

UWAGA: Zasady uczestnictwa, formy zespołów (w tym m.in. proporcje studentów/uczniów oraz profesjonalistów w jednym zespole, zostaną opublikowane na dalszych etapach organizacji wydarzenia).

Koszt uczestnictwa: zrobię co mogę by dla studentów/uczniów koszt był równy 0 zł, koszt udziału profesjonalistów będzie podlegał dyskusji.

Termin: spróbujemy w pierwszej połowie roku 2016

Miejsce: trwają ustalenia, zadecyduje zdrowy rozsądek i logistyczne możliwości

Jeśli jesteś potencjalnym:
  • UCZESTNIKIEM - czekaj na więcej informacji, pojawią się na tej stronie (z czasem przeniesiemy się na dedykowaną), jeśli masz jakieś pytania/sugestie, zostaw je w komentarzu lub napisz na kontakt {@} whitecatsec.com z tematem: hackathon-uczestnik, preferuję komentarz na blogu by wszyscy mogli się z nim zapoznać
  • SPONSOREM/WSPÓŁORGANIZATOREM/TRENEREM/PATRONEM - najlepiej napisz mail na kontakt {@} whitecatsec.com z tematem: hackhaton-wsparcie. 
Jeżeli pomysł Ci się spodobał, prześlij o nim informację do koleżanek/kolegów na uczelni/w pracy, kół naukowych, hackerspace'ów, stowarzyszeń mogących być nim zainteresowanych, szefów czy innych potencjalnie "głodnych" takich wydarzeń.

White Cat Security samodzielnie takiego wydarzenia nie przygotuje, natomiast wierzę, że we współpracy z innymi, możemy to zrobić! - pokażcie czy i jak bardzo jesteście tego głodni!

Więcej informacji wkrótce!

2016-01-28

Podsumowanie roku 2015

W 2015 roku, White Cat Security miał okazję wygłosić prezentację podczas:

 - Forum Bezpieczeństwa Banków 2015: Efektywna wymiana informacji (pdf)

 - konferencji CONFidence 2015: Analiza przypadku: Carbanak - jak uniknąć powtórki (pdf, youtube)

 - konferencji Mobile&Internet Banking Security: Wskaźniki kompromitacji, czyli jak nie przegrać wojny, przegrywając bitwę (pdf)

 - XI spotkania Technology Risk & Information Security Wroclaw„Spinx, Dyre, Slave - potomkowie ZeuSa: jest czego się bać?” (pdf)

Szczególnie polecamy uwadze spotkania we Wrocławiu - aktualnie najbardziej dynamiczna i regularnie spotykająca się społeczność w Polsce, skupiona na tematach bezpieczeństwa IT.