SOC e-infrastruktury CESNET. Andrea Kropáčová CESNET, z. s. p. o.

Transkript

1 SOC e-infrastruktury CESNET Andrea Kropáčová CESNET, z. s. p. o.

2 Provozuje síť národního výzkumu a vzdělávání CESNET2 Připojeno 27 členů (české VŠ, Akademie věd ČR) a cca 280 dalších organizací K e-infrastruktuře CESNET se mohou připojit instituce, které se zabývají Hlavní cíle: vědou, výzkumem, vývojem včetně uplatnění jejich výsledků v praxi experimentálním vývojem nebo inovacemi v průmyslu i jiných oborech šířením vzdělanosti, kultury a prosperity vybrané sítě veřejné správy výzkum a vývoj informačních a komunikačních technologií budování a rozvoj e-infrastruktury CESNET určené pro výzkum a vzdělávání podpora a šíření vzdělanosti, kultury a poznání : Projekt Velká infrastruktura CESNET : pokračování projektu Velká infrastruktura CESNET Člen sdružení CZ.NIC, NIX.CZ, Pracovní skupiny CSIRT.CZ, projektu Fenix...

3 Síť CESNET2 - HW accelerated probes - large scale (backbone-wide) flow based monitoring (NetFlow data sources) - Honey Pots - SNMP based monitoring - IDS, IPS, tar pit based systems, etc..

4 CESNET: komponenty SOC CESNET-CERTS bezpečnostní tým pro dohled nad e-infrastrukturou CESNET csirt.cesnet.cz Forenzní laboratoř analýza bezpečnostních incidentů, penetrační a zátěžové testy flab.cesnet.cz NOC (Network Operation Centre) správa páteřní sítě CESNET2 24/7 PSS (Pracoviště stálé služby) 24/7

5 CESNET: komponenty SOC CESNET-CERTS základní služba: zvládání incidentu Forenzní laboratoř analýza bezpečnostních incidentů, penetrační a zátěžové testy flab.cesnet.cz NOC (Network Operation Centre) správa páteřní sítě CESNET2 24/7 PSS (Pracoviště stálé služby) 24/7

6 CESNET: komponenty SOC CESNET-CERTS základní služba: zvládání incidentu Forenzní laboratoř základní služba: detailní analýza bezpečnostního incidentu NOC (Network Operation Centre) správa páteřní sítě CESNET2 24/7 PSS (Pracoviště stálé služby) 24/7

7 CESNET: komponenty SOC CESNET-CERTS základní služba: zvládání incidentu Forenzní laboratoř základní služba: detailní analýza bezpečnostního incidentu NOC (Network Operation Centre) základní služba: řešení provozních a bezpečnostních problémů na úrovni sítě PSS (Pracoviště stálé služby) 24/7

8 CESNET: komponenty SOC CESNET-CERTS základní služba: zvládání incidentu Forenzní laboratoř základní služba: detailní analýza bezpečnostního incidentu NOC (Network Operation Centre) základní služba: řešení provozních a bezpečnostních problémů na úrovni sítě PSS (Pracoviště stálé služby) základní služba: support, koordinace řešení problémů, komunikace s uživateli

9 Use-case: Podvodné y

10 Nadpis stránky Ukázka Úrovně Odrážek

11 Use-case: podvodné y Podvodné y (scam podvod) Ve větší míře pozorujeme od roku 2014 Level 1 (phishing) lákání credentials jako odpověď na Milášek zákazník, pošlat vaše heslo a čislo boty... Level 2 (phishing) Malware smlouva Bankovní data Malware exekuce Zásilka České pošty Vánoční pohlednice Srážky z účtu Malware objednávka Přístup do KB... přesměrování na podvodnou stránku Náš klient, zkontrolovat si stav účet na Level 3 (scam) závadná příloha Vážený pane, zaplať nebo přijde exekutor... pohledávka popsána v příloze.

12 Use-case: podvodné y Společné znaky nátlak (sociální inženýrství) vhodné načasování pretexting (mluví se o faktuře v příloze MUSÍ BÝT faktura) Problém obcházení technických opatření kličkování před spamfiltrem např. přílohy v archivu zaheslovány přesvědčivost uživatel nakonec reaguje

13 Co se s tím dá dělat?

14 Prevence Vzdělaní uživatelé Řešení pro kulové uživatele ve vakuu Snaha vzdělávat (směřovat k ideálu)t Technické prostředky Filtrování pošty Generický závadný obsah Filtrování spustitelných příloh Není 100% + soukromé schránky Restrikce v systému zabezpečení stanic Antivirová řešení, Host IPS, Restrikce v síťovém provozu FW, blokace nepotřebných portů

15 Zkomplikovat další příjem Specifický spamfiltr Zkomplikovat malware spuštění Smazat z ových schránek Konkrétní pravidla v HIPS/AV řešení Informovat uživatele Reakce na konkrétní vlnu Minimalizovat dopady Zakázat odchozí poštu na reply-to pro Level 1 Blokovat URL pro podvržené stránky pro Level 2 Blokovat na perimetru spojení s IP C&C / dropzóny Identifikovat kompromitované stanice Lokálně (souborový systém, registry) Podle síťového provozu (netflow, sondy, PassiveDNS...) Identifikovat dopady kompromitace Lokální (odchycení hesel, změna, smazání, krádež dat) Dosah mimo pracovní stanici (změny v IS, šíření přes datové úložiště, sdílení...)

16 Zkomplikovat další příjem Specifický spamfiltr Zkomplikovat malware spuštění Smazat z ových schránek Konkrétní pravidla v HIPS/AV řešení Informovat uživatele Reakce na konkrétní vlnu Minimalizovat dopady Zakázat odchozí poštu na reply-to pro Level 1 Blokovat URL pro podvržené stránky pro Level 2 Blokovat na perimetru spojení s IP C&C / dropzóny Identifikovat kompromitované stanice Lokálně (souborový systém, registry) Podle síťového provozu (netflow, sondy, PassiveDNS...) Potřebujeme informace: Co malware v systému dělá? Jak poznat kompromitovanou stanici Lokálně (filesystem, registry, běžící procesy) Síťové chování (netflow) Jak můžeme malware ztížit život Doručení uživateli Spuštění Komunikace s C&C Identifikovat dopady kompromitace Lokální (odchycení hesel, změna, smazání, krádež dat) Dosah mimo pracovní stanici (změny v IS, šíření přes datové úložiště, sdílení...)

17 Work-flow řešení BI Detekce incidentu Minimalizace následků incidentu Reakce Návrat k normálu

18 Work-flow řešení BI Detekce incidentu Minimalizace následků incidentu Reakce Návrat k normálu Kdy? Co? Jak? Kde? Kudy??

19 Work-flow řešení BI PSS NOC NOC Detekce incidentu Minimalizace následků incidentu Reakce Návrat k normálu Kdy? Co? Jak? Kde? Kudy??

20 incidentu Schéma spolupráce CSIRT FLAB CSIRT Incident (problém) Potřeba informací Otázky Umí poskytnout Podklady Informace Forenzní analytik Znalosti Odpovědi Postup

21 Nadpis stránky Ukázka Úrovně Odrážek

22 Work-flow řešení kampaně podvodný mail Uživatelům Jsou adresovány podvodné maily s přílohou, ve které je malware. Detekce incidentu Minimalizace následků incidentu Reakce Návrat k normálu

23 Work-flow řešení kampaně podvodný mail Uživatelům Jsou adresovány podvodné maily s přílohou, ve které je malware. Detekce incidentu Minimalizace následků incidentu Reakce Návrat k normálu

24 Work-flow řešení kampaně podvodný mail Uživatelům Jsou adresovány podvodné maily s přílohou, ve které je malware. Kterým uživatelům mail přišel, kdo se nakazil, jak je můžeme identifikovat, jak NOC můžeme zjednat nápravu? Detekce incidentu Minimalizace následků incidentu Reakce Návrat k normálu

25 Work-flow řešení kampaně podvodný mail Uživatelům Jsou adresovány podvodné maily s přílohou, ve které je malware. Kterým uživatelům mail přišel, kdo se nakazil, jak je můžeme identifikovat, jak NOC můžeme zjednat nápravu? Detekce incidentu Minimalizace následků incidentu Reakce Návrat k normálu

26 Work-flow řešení kampaně podvodný mail Uživatelům Jsou adresovány podvodné maily s přílohou, ve které je malware. Kterým uživatelům mail přišel, kdo se nakazil, jak je můžeme identifikovat, jak NOC můžeme zjednat nápravu? zajištěného malware! Jaká je aktivita malware? Detekce incidentu Minimalizace následků incidentu Reakce Návrat k normálu

27 Work-flow řešení kampaně podvodný mail Uživatelům Jsou adresovány podvodné maily s přílohou, ve které je malware. Kterým uživatelům mail přišel, kdo se nakazil, jak je můžeme identifikovat, jak NOC můžeme zjednat nápravu? zajištěného malware! Jaká je aktivita malware? Malware obsahuje keylogger, nakažený počítač se pozná tak a tak, nakažený počítač komunikuje s x.y.z.y... Detekce incidentu Minimalizace následků incidentu Reakce Návrat k normálu

28 Work-flow řešení kampaně podvodný mail Uživatelům Jsou adresovány podvodné maily s přílohou, ve které je malware. Kterým uživatelům mail přišel, kdo se nakazil, jak je můžeme identifikovat, jak NOC můžeme zjednat nápravu? zajištěného malware! Jaká je aktivita malware? Malware obsahuje keylogger, nakažený počítač se pozná tak a tak, nakažený počítač komunikuje s x.y.z.y... Identifikace nakažených zařízení, vyrozumění uživatelů a správců. Detekce incidentu Minimalizace následků incidentu Reakce Návrat k normálu

29 Work-flow řešení kampaně podvodný mail Uživatelům Jsou adresovány podvodné maily s přílohou, ve které je malware. Kterým uživatelům mail přišel, kdo se nakazil, jak je můžeme identifikovat, jak NOC můžeme zjednat nápravu? zajištěného malware! Jaká je aktivita malware? Omezení provozu na perimetru sítě. NOC Výslech kompromitovaných uživatelů, revokace hesel, komunikace s uživateli... PSS Malware obsahuje keylogger, nakažený počítač se pozná tak a tak, nakažený počítač komunikuje s x.y.z.y... Identifikace nakažených zařízení, vyrozumění uživatelů a správců. Detekce incidentu Minimalizace následků incidentu Reakce Návrat k normálu

30 Work-flow řešení kampaně podvodný mail Uživatelům Jsou adresovány podvodné maily s přílohou, ve které je malware. Kterým uživatelům mail přišel, kdo se nakazil, jak je můžeme identifikovat, jak NOC můžeme zjednat nápravu? zajištěného malware! Jaká je aktivita malware? Omezení provozu na perimetru sítě. NOC Výslech kompromitovaných uživatelů, revokace hesel, komunikace s uživateli... PSS Stop komunikace s C&C. Malware obsahuje keylogger, nakažený počítač se pozná tak a tak, nakažený počítač komunikuje s x.y.z.y... Identifikace nakažených zařízení, vyrozumění uživatelů a správců. Detekce incidentu Minimalizace následků incidentu Reakce Návrat k normálu

31 Work-flow řešení kampaně podvodný mail Uživatelům Jsou adresovány podvodné maily s přílohou, ve které je malware. Kterým uživatelům mail přišel, kdo se nakazil, jak je můžeme identifikovat, jak NOC můžeme zjednat nápravu? zajištěného malware! Jaká je aktivita malware? Omezení provozu na perimetru sítě. NOC Výslech kompromitovaných uživatelů, revokace hesel, komunikace s uživateli... PSS Stop komunikace s C&C. Malware obsahuje keylogger, nakažený počítač se pozná tak a tak, nakažený počítač komunikuje s x.y.z.y... Identifikace nakažených zařízení, vyrozumění uživatelů a správců. Kdo komunikuje s C&C? Detekce incidentu Minimalizace následků incidentu Reakce Návrat k normálu

32 Work-flow řešení kampaně podvodný mail Uživatelům Jsou adresovány podvodné maily s přílohou, ve které je malware. Kterým uživatelům mail přišel, kdo se nakazil, jak je můžeme identifikovat, jak NOC můžeme zjednat nápravu? zajištěného malware! Jaká je aktivita malware? Omezení provozu na perimetru sítě. NOC Výslech kompromitovaných uživatelů, revokace hesel, komunikace s uživateli... PSS Stop komunikace s C&C. Malware obsahuje keylogger, nakažený počítač se pozná tak a tak, nakažený počítač komunikuje s x.y.z.y... Identifikace nakažených zařízení, vyrozumění uživatelů a správců. Kdo komunikuje s C&C? Detekce incidentu Minimalizace následků incidentu Reakce Návrat k normálu

33 Work-flow řešení kampaně podvodný mail Uživatelům Jsou adresovány podvodné maily s přílohou, ve které je malware. Kterým uživatelům mail přišel, kdo se nakazil, jak je můžeme identifikovat, jak NOC můžeme zjednat nápravu? zajištěného malware! Jaká je aktivita malware? Omezení provozu na perimetru sítě. NOC Výslech kompromitovaných uživatelů, revokace hesel, komunikace s uživateli... PSS Stop komunikace s C&C. Malware obsahuje keylogger, nakažený počítač se pozná tak a tak, nakažený počítač komunikuje s x.y.z.y... Identifikace nakažených zařízení, vyrozumění uživatelů a správců. Kdo komunikuje s C&C? Detekce incidentu Minimalizace následků incidentu Reakce Návrat k normálu

34 Plány pro zvládání rozsáhlých útoků Běžní uživatelé + chytrý podvod = hodně práce desítky, stovky kompromitovaných PC je ohrožující pro infrastrukturu jako celek Připravený a otestovaný reakční plán Dohled a plánování Sdílené úložiště, dohledový manažer Notifikace uživatelů Získat vzorky malware pro analýzu Identifikovat a zablokovat útočný vektor Identifikovat a napravit kompromitované stanice Globální náprava (revokace hesel, certifikátů,...)

35 Shrnutí SOC napříč organizací zapojení expertních jednotek spolupráce Připravenost! Prevence Reakce Plány na řešení rozsáhlých incidentů CESNET: PSS, NOC Gramotní správci Nástroje a technologie

36 Děkujeme za pozornost. Andrea Kropáčová CESNET, z. s. p. o. 16. února 2011

37 Použité zdroje: humanodyssey.blog.cz oithelp.nd.edu pixabay.com dilbert.znojmo.net opencliart.org