2016-10-30

Aktywna obrona vs. Kontratak

Krótko: Aktywna obrona jest legalna dla wszystkich, Kontratak [1][2][3] już nie.


(zdjęcie pochodzi ze strony: Little Bobby Comic)

Czym więc jest Aktywna obrona? - z pomocą nadchodzi slajd Roberta M. Lee.


To legalne i rekomendowane - nie od dzisiaj - podejście. Aktywna obrona to wzbogacona o Threat Intelligence wersja obrony Proaktywnej.

2016-10-14

Threat Intelligence: Move or Die!

Technology Risk & Information Security we Wrocławiu zaprasza, a ja nie mogę tej grupie ludzi odmówić by porozmawiać o moich doświadczeniach z wywiadem na temat zagrożeń - zero marketingu.

20 października 2016 we Wrocławiu, zapraszam na prezentację pt. "Threat Intelligence: Move or Die!".



Część I: Odpuść sobie
Część II: Zrób to dobrze

Abstrakt:

Temat Threat Intelligence jest bardzo "gorący". Każdy mówi, że należy się wymieniać informacjami, a robią to nieliczni. Czy wymieniamy się właściwymi informacjami, które dają istotnie zwiększoną świadomość, przewagę nad napastnikami i czym właściwie jest Threat Information Sharing, a czym Threat Intelligence?

W pierwszej części prezentacji opowiem o powodach, dla których warto skupić energię na innych tematach niż Threat Intelligence. Dlaczego? Bo bez nich konsumpcja Threat Intelligence będzie bardzo ograniczona, a poziom bezpieczeństwa nie wzrośnie. Czyli jak przygotować się do efektywnego wykorzystania TI ("Threat Data Feed" to Data Feed, nie Intelligence).

W drugiej części zamierzam pokazać różne podejścia do Threat Intelligence z uwzględnieniem szans jakie dają. Podejścia te skonfrontuję z jedną ze znanych kampanii APT.

Słowa kluczowe: piramida bólu, cyber kill chain, model diamentowy, IOC, TTP, KMT.

Szczegóły (godzina, miejsca, rejestracja) na LinkedIn w grupie Technology Risk & Information Security Wroclaw.

Zapraszam!

PS
Jeśli ktoś był lub widział prezentację na SecurityBSides w Warszawie (https://www.youtube.com/watch?v=u1GOqw-49Rk) odnośnie Threat Intelligence, a jest głodny odpowiedzi na trudniejsze pytania, które tam padły, dotyczące kosztów - tym bardziej zapraszam do Wrocławia.

<MARKETING>

21 października we Wrocławiu jest dniem spotkań z zainteresowanymi usługą Threat Intelligence - jeśli jeszcze się zastanawiasz, zapraszam na kontakt {@} whitecatsec.com.

</MARKETING>

2016-10-08

Inteligencja obrońcy

Od kilku lat aktywnie promuję Threat Intelligence np. w postaci wyciągania wniosków ze znanych lub mniej nagłaśnianych kampanii APT czy ataków na dużą skalę np. DDoS na stronę Briana Krebsa z użyciem botnetu IoT.

Warsztatowe rozkładanie przykładowej kampanii APT, podczas prowadzonego przeze mnie szkolenia, jest najcześciej oceniane przez uczestników jako najciekawszy element kursu. Zawsze zachęcam wszystkich uczestników do powtórzenia tego ćwiczenia, ale nie w infrastrukturze stworzonej na potrzeby warsztatowe, a w środowisku, którego na co dzień bronią.

Celem Threat Intelligence jest "znać swojego wroga", co ma przełożyć się na:

  • możliwość podejmowania świadomych decyzji
  • wykrywanie incydentów bezpieczeństwa
  • reagowanie na incydenty bezpieczeństwa
  • mechanizmy kontrolne (prewencję)
  • polowanie na napastników


Threat Intelligence to analiza, która przekłada się na użyteczną w boju informację, a nie surowy Threat Feed/Data bez kontekstu.

Zespoły typu SOC/CERT/ITSEC na co dzień działają w deficycie czasu przez co rzadko korzystają z nauczanej przeze mnie metodyki Kill Chain. Niech odezwie się ten "obrońca", który nie będąc prowokowanym zew. audytem, incydentem o przykrych skutkach, ma wolne zasoby, by aktywnie rozwijać w godzinach pracy świadomość na temat zagrożeń oraz przekuwać ją na wdrażane rekomendacje takie jak:

  • nowe scenariusze w SIEM'ie
  • zmiany w konfiguracji systemów bezpieczeństwa
  • zmiany w architekturze bezpieczeństwa
  • zmiany w politykach/wytycznych/procedurach korzystania z zasobów informatycznych
  • potrzeba zainwestowania w daną technologię by odpowiedzieć na nowe zagrożenie lub podnieść skuteczność identyfikacji/prewencji.
Do tego dochodzi utrzymanie świadomości odnośnie tego czy kurs, którym płyniemy jest zgodny z trendami ataków - ale opisanymi znacznie głębiej niż ogólnikami typu: "spearphishing, praca na użytkowniku będącym lokalnym administratorem, a potem już poszło".

Doskonale zdaję sobie sprawę, że jest wiele innych zadań do wykonania, a zbudowanie wewnątrz organizacji dodatkowego zespołu Threat Intelligence jest niezwykle trudne - zarówno z powodów małej liczby ludzi, którzy to dobrze robią jak i stawek, które są przez te osoby oczekiwane.

Odpowiedzią na tę potrzebę jest powstanie zespołu Threat Intelligence w ramach White Cat Security.

W ramach oferowanych usług będą realizowane m.in. takie zadania jak:
  • synteza informacji (publicznie i niepublicznie dostępnych) o kampaniach APT, atakach na dużą skalę - coś co można nazwać potocznie "prasówką"
  • synteza w/w informacji w postaci:
    • rekomendacji jak rozbroić (działania prewencyjne) TTP (Tactics, Techniques, and Procedures) napastników
    • rekomendacje jak upolować (działania identyfikujące) TTP napastników
  • aktualizacja katalogu scenariuszy do implementacji w SIEM'ie 
  • szkolenia wprowadzające w TTP używane przez napastników z omówieniem rekomendacji
  • synteza kampanii ukierunkowanych na "infrastrukturę krytyczną" - te IT jak i OT.
  • oraz inne
A jak dołożymy do tego animację współpracy pomiędzy różnymi organizacjami by było tak łatwo jak nigdy dotąd?

Z początkiem roku 2017 uruchamiamy fazę beta usługi z kilkoma Klientami, którzy będą mieć znaczący wpływ na to jak usługa będzie wyglądać po zakończeniu fazy beta. Jest to moment na to by rozpocząć z nami tę przygodę.

W przypadku zainteresowania szczegółami i przystąpieniem do fazy beta - proszę o kontakt na kontakt{@}whitecatsec.com lub innym kanałem, który jest już znany.

Usługę tego typu chciałem uruchomić w ostatnich latach kilka razy z różnymi firmami-partnerami. Natomiast dopiero teraz jestem przekonany, że skompletowałem zespół pasjonatów i obrońców "z krwi i kości", o których mogę mówić "Ten zespół zawsze jest głodny" co gwarantuje brak stagnacji i ciągłą chęć podnoszenia poprzeczki napastnikom.



Do kogo kierowana jest usługa?

W pierwszej kolejności do firm/instytucji, które są zainteresowane aktywną ochroną i potrzebują wsparcia z zew., zespołu, który specjalizuje się we wspieraniu zespołów typu SOC/CERT/CSIRT.

W bliskiej przyszłości, wraz z pozyskiwaniem Partnerów wśród m.in. Integratorów, postaramy się umożliwić jeszcze większe odciążenie posiadanych zasobów pomagając skonsumować "Intelligence" jeszcze efektywniej czasowo/kosztowo.

Kończąc zapowiedź nowej usługi White Cat Security, zapraszam na cykl prezentacji, na których nie będę opowiadał o usłudze, ale o metodykach, które stosujemy, o ich przewagach względem innych podejść na bazie konkretnych przypadków. Z przyjemnością przekażę wiedzę pozwalającą na realizację aktywnej i skuteczniejszej obrony - czysta wiedza, żadnego marketingu. O najbliższych planowanych prezentacjach będę informował na blogu.

Zapraszam do przesyłania pytań i komentarzy, a jeśli znasz kogoś komu możemy pomóc osiągnąć kolejny poziom dojrzałości zespołu - podaj linka do tego posta dalej.

Pytania? - kontakt{@}whitecatsec.com