2016-10-08

Inteligencja obrońcy

Od kilku lat aktywnie promuję Threat Intelligence np. w postaci wyciągania wniosków ze znanych lub mniej nagłaśnianych kampanii APT czy ataków na dużą skalę np. DDoS na stronę Briana Krebsa z użyciem botnetu IoT.

Warsztatowe rozkładanie przykładowej kampanii APT, podczas prowadzonego przeze mnie szkolenia, jest najcześciej oceniane przez uczestników jako najciekawszy element kursu. Zawsze zachęcam wszystkich uczestników do powtórzenia tego ćwiczenia, ale nie w infrastrukturze stworzonej na potrzeby warsztatowe, a w środowisku, którego na co dzień bronią.

Celem Threat Intelligence jest "znać swojego wroga", co ma przełożyć się na:

  • możliwość podejmowania świadomych decyzji
  • wykrywanie incydentów bezpieczeństwa
  • reagowanie na incydenty bezpieczeństwa
  • mechanizmy kontrolne (prewencję)
  • polowanie na napastników


Threat Intelligence to analiza, która przekłada się na użyteczną w boju informację, a nie surowy Threat Feed/Data bez kontekstu.

Zespoły typu SOC/CERT/ITSEC na co dzień działają w deficycie czasu przez co rzadko korzystają z nauczanej przeze mnie metodyki Kill Chain. Niech odezwie się ten "obrońca", który nie będąc prowokowanym zew. audytem, incydentem o przykrych skutkach, ma wolne zasoby, by aktywnie rozwijać w godzinach pracy świadomość na temat zagrożeń oraz przekuwać ją na wdrażane rekomendacje takie jak:

  • nowe scenariusze w SIEM'ie
  • zmiany w konfiguracji systemów bezpieczeństwa
  • zmiany w architekturze bezpieczeństwa
  • zmiany w politykach/wytycznych/procedurach korzystania z zasobów informatycznych
  • potrzeba zainwestowania w daną technologię by odpowiedzieć na nowe zagrożenie lub podnieść skuteczność identyfikacji/prewencji.
Do tego dochodzi utrzymanie świadomości odnośnie tego czy kurs, którym płyniemy jest zgodny z trendami ataków - ale opisanymi znacznie głębiej niż ogólnikami typu: "spearphishing, praca na użytkowniku będącym lokalnym administratorem, a potem już poszło".

Doskonale zdaję sobie sprawę, że jest wiele innych zadań do wykonania, a zbudowanie wewnątrz organizacji dodatkowego zespołu Threat Intelligence jest niezwykle trudne - zarówno z powodów małej liczby ludzi, którzy to dobrze robią jak i stawek, które są przez te osoby oczekiwane.

Odpowiedzią na tę potrzebę jest powstanie zespołu Threat Intelligence w ramach White Cat Security.

W ramach oferowanych usług będą realizowane m.in. takie zadania jak:
  • synteza informacji (publicznie i niepublicznie dostępnych) o kampaniach APT, atakach na dużą skalę - coś co można nazwać potocznie "prasówką"
  • synteza w/w informacji w postaci:
    • rekomendacji jak rozbroić (działania prewencyjne) TTP (Tactics, Techniques, and Procedures) napastników
    • rekomendacje jak upolować (działania identyfikujące) TTP napastników
  • aktualizacja katalogu scenariuszy do implementacji w SIEM'ie 
  • szkolenia wprowadzające w TTP używane przez napastników z omówieniem rekomendacji
  • synteza kampanii ukierunkowanych na "infrastrukturę krytyczną" - te IT jak i OT.
  • oraz inne
A jak dołożymy do tego animację współpracy pomiędzy różnymi organizacjami by było tak łatwo jak nigdy dotąd?

Z początkiem roku 2017 uruchamiamy fazę beta usługi z kilkoma Klientami, którzy będą mieć znaczący wpływ na to jak usługa będzie wyglądać po zakończeniu fazy beta. Jest to moment na to by rozpocząć z nami tę przygodę.

W przypadku zainteresowania szczegółami i przystąpieniem do fazy beta - proszę o kontakt na kontakt{@}whitecatsec.com lub innym kanałem, który jest już znany.

Usługę tego typu chciałem uruchomić w ostatnich latach kilka razy z różnymi firmami-partnerami. Natomiast dopiero teraz jestem przekonany, że skompletowałem zespół pasjonatów i obrońców "z krwi i kości", o których mogę mówić "Ten zespół zawsze jest głodny" co gwarantuje brak stagnacji i ciągłą chęć podnoszenia poprzeczki napastnikom.



Do kogo kierowana jest usługa?

W pierwszej kolejności do firm/instytucji, które są zainteresowane aktywną ochroną i potrzebują wsparcia z zew., zespołu, który specjalizuje się we wspieraniu zespołów typu SOC/CERT/CSIRT.

W bliskiej przyszłości, wraz z pozyskiwaniem Partnerów wśród m.in. Integratorów, postaramy się umożliwić jeszcze większe odciążenie posiadanych zasobów pomagając skonsumować "Intelligence" jeszcze efektywniej czasowo/kosztowo.

Kończąc zapowiedź nowej usługi White Cat Security, zapraszam na cykl prezentacji, na których nie będę opowiadał o usłudze, ale o metodykach, które stosujemy, o ich przewagach względem innych podejść na bazie konkretnych przypadków. Z przyjemnością przekażę wiedzę pozwalającą na realizację aktywnej i skuteczniejszej obrony - czysta wiedza, żadnego marketingu. O najbliższych planowanych prezentacjach będę informował na blogu.

Zapraszam do przesyłania pytań i komentarzy, a jeśli znasz kogoś komu możemy pomóc osiągnąć kolejny poziom dojrzałości zespołu - podaj linka do tego posta dalej.

Pytania? - kontakt{@}whitecatsec.com

Brak komentarzy:

Publikowanie komentarza