SOC e-infrastruktury CESNET Andrea Kropáčová CESNET, z. s. p. o.
Provozuje síť národního výzkumu a vzdělávání CESNET2 https://www.cesnet.cz/ Připojeno 27 členů (české VŠ, Akademie věd ČR) a cca 280 dalších organizací K e-infrastruktuře CESNET se mohou připojit instituce, které se zabývají Hlavní cíle: vědou, výzkumem, vývojem včetně uplatnění jejich výsledků v praxi experimentálním vývojem nebo inovacemi v průmyslu i jiných oborech šířením vzdělanosti, kultury a prosperity vybrané sítě veřejné správy výzkum a vývoj informačních a komunikačních technologií budování a rozvoj e-infrastruktury CESNET určené pro výzkum a vzdělávání podpora a šíření vzdělanosti, kultury a poznání 2011 2015: Projekt Velká infrastruktura CESNET 2016 2020: pokračování projektu Velká infrastruktura CESNET Člen sdružení CZ.NIC, NIX.CZ, Pracovní skupiny CSIRT.CZ, projektu Fenix...
Síť CESNET2 - HW accelerated probes - large scale (backbone-wide) flow based monitoring (NetFlow data sources) - Honey Pots - SNMP based monitoring - IDS, IPS, tar pit based systems, etc..
CESNET: komponenty SOC CESNET-CERTS bezpečnostní tým pro dohled nad e-infrastrukturou CESNET csirt.cesnet.cz Forenzní laboratoř analýza bezpečnostních incidentů, penetrační a zátěžové testy flab.cesnet.cz NOC (Network Operation Centre) správa páteřní sítě CESNET2 24/7 PSS (Pracoviště stálé služby) www.cesnet.cz/kontakty 24/7
CESNET: komponenty SOC CESNET-CERTS základní služba: zvládání incidentu Forenzní laboratoř analýza bezpečnostních incidentů, penetrační a zátěžové testy flab.cesnet.cz NOC (Network Operation Centre) správa páteřní sítě CESNET2 24/7 PSS (Pracoviště stálé služby) www.cesnet.cz/kontakty 24/7
CESNET: komponenty SOC CESNET-CERTS základní služba: zvládání incidentu Forenzní laboratoř základní služba: detailní analýza bezpečnostního incidentu NOC (Network Operation Centre) správa páteřní sítě CESNET2 24/7 PSS (Pracoviště stálé služby) www.cesnet.cz/kontakty 24/7
CESNET: komponenty SOC CESNET-CERTS základní služba: zvládání incidentu Forenzní laboratoř základní služba: detailní analýza bezpečnostního incidentu NOC (Network Operation Centre) základní služba: řešení provozních a bezpečnostních problémů na úrovni sítě PSS (Pracoviště stálé služby) www.cesnet.cz/kontakty 24/7
CESNET: komponenty SOC CESNET-CERTS základní služba: zvládání incidentu Forenzní laboratoř základní služba: detailní analýza bezpečnostního incidentu NOC (Network Operation Centre) základní služba: řešení provozních a bezpečnostních problémů na úrovni sítě PSS (Pracoviště stálé služby) základní služba: support, koordinace řešení problémů, komunikace s uživateli
Use-case: Podvodné e-maily
Nadpis stránky Ukázka Úrovně Odrážek
Use-case: podvodné e-maily Podvodné e-maily (scam podvod) Ve větší míře pozorujeme od roku 2014 Level 1 (phishing) lákání credentials jako odpověď na e-mail Milášek zákazník, pošlat vaše heslo a čislo boty... Level 2 (phishing) Malware smlouva Bankovní data Malware exekuce Zásilka České pošty Vánoční pohlednice Srážky z účtu Malware objednávka Přístup do KB... přesměrování na podvodnou stránku Náš klient, zkontrolovat si stav účet na www... Level 3 (scam) závadná příloha Vážený pane, zaplať nebo přijde exekutor... pohledávka popsána v příloze.
Use-case: podvodné e-maily Společné znaky nátlak (sociální inženýrství) vhodné načasování pretexting (mluví se o faktuře v příloze MUSÍ BÝT faktura) Problém obcházení technických opatření kličkování před spamfiltrem např. přílohy v archivu zaheslovány přesvědčivost uživatel nakonec reaguje
Co se s tím dá dělat?
Prevence Vzdělaní uživatelé Řešení pro kulové uživatele ve vakuu Snaha vzdělávat (směřovat k ideálu)t Technické prostředky Filtrování pošty Generický závadný obsah Filtrování spustitelných příloh Není 100% + soukromé schránky Restrikce v systému zabezpečení stanic Antivirová řešení, Host IPS, Restrikce v síťovém provozu FW, blokace nepotřebných portů
Zkomplikovat další příjem Specifický spamfiltr Zkomplikovat malware spuštění Smazat z e-mailových schránek Konkrétní pravidla v HIPS/AV řešení Informovat uživatele Reakce na konkrétní vlnu Minimalizovat dopady Zakázat odchozí poštu na reply-to pro Level 1 Blokovat URL pro podvržené stránky pro Level 2 Blokovat na perimetru spojení s IP C&C / dropzóny Identifikovat kompromitované stanice Lokálně (souborový systém, registry) Podle síťového provozu (netflow, sondy, PassiveDNS...) Identifikovat dopady kompromitace Lokální (odchycení hesel, změna, smazání, krádež dat) Dosah mimo pracovní stanici (změny v IS, šíření přes datové úložiště, sdílení...)
Zkomplikovat další příjem Specifický spamfiltr Zkomplikovat malware spuštění Smazat z e-mailových schránek Konkrétní pravidla v HIPS/AV řešení Informovat uživatele Reakce na konkrétní vlnu Minimalizovat dopady Zakázat odchozí poštu na reply-to pro Level 1 Blokovat URL pro podvržené stránky pro Level 2 Blokovat na perimetru spojení s IP C&C / dropzóny Identifikovat kompromitované stanice Lokálně (souborový systém, registry) Podle síťového provozu (netflow, sondy, PassiveDNS...) Potřebujeme informace: Co malware v systému dělá? Jak poznat kompromitovanou stanici Lokálně (filesystem, registry, běžící procesy) Síťové chování (netflow) Jak můžeme malware ztížit život Doručení uživateli Spuštění Komunikace s C&C Identifikovat dopady kompromitace Lokální (odchycení hesel, změna, smazání, krádež dat) Dosah mimo pracovní stanici (změny v IS, šíření přes datové úložiště, sdílení...)
Work-flow řešení BI Detekce incidentu Minimalizace následků incidentu Reakce Návrat k normálu
Work-flow řešení BI Detekce incidentu Minimalizace následků incidentu Reakce Návrat k normálu Kdy? Co? Jak? Kde? Kudy??
Work-flow řešení BI PSS NOC NOC Detekce incidentu Minimalizace následků incidentu Reakce Návrat k normálu Kdy? Co? Jak? Kde? Kudy??
incidentu Schéma spolupráce CSIRT FLAB CSIRT Incident (problém) Potřeba informací Otázky Umí poskytnout Podklady Informace Forenzní analytik Znalosti Odpovědi Postup
Nadpis stránky Ukázka Úrovně Odrážek
Work-flow řešení kampaně podvodný mail Uživatelům Jsou adresovány podvodné maily s přílohou, ve které je malware. Detekce incidentu Minimalizace následků incidentu Reakce Návrat k normálu
Work-flow řešení kampaně podvodný mail Uživatelům Jsou adresovány podvodné maily s přílohou, ve které je malware. Detekce incidentu Minimalizace následků incidentu Reakce Návrat k normálu
Work-flow řešení kampaně podvodný mail Uživatelům Jsou adresovány podvodné maily s přílohou, ve které je malware. Kterým uživatelům mail přišel, kdo se nakazil, jak je můžeme identifikovat, jak NOC můžeme zjednat nápravu? Detekce incidentu Minimalizace následků incidentu Reakce Návrat k normálu
Work-flow řešení kampaně podvodný mail Uživatelům Jsou adresovány podvodné maily s přílohou, ve které je malware. Kterým uživatelům mail přišel, kdo se nakazil, jak je můžeme identifikovat, jak NOC můžeme zjednat nápravu? Detekce incidentu Minimalizace následků incidentu Reakce Návrat k normálu
Work-flow řešení kampaně podvodný mail Uživatelům Jsou adresovány podvodné maily s přílohou, ve které je malware. Kterým uživatelům mail přišel, kdo se nakazil, jak je můžeme identifikovat, jak NOC můžeme zjednat nápravu? zajištěného malware! Jaká je aktivita malware? Detekce incidentu Minimalizace následků incidentu Reakce Návrat k normálu
Work-flow řešení kampaně podvodný mail Uživatelům Jsou adresovány podvodné maily s přílohou, ve které je malware. Kterým uživatelům mail přišel, kdo se nakazil, jak je můžeme identifikovat, jak NOC můžeme zjednat nápravu? zajištěného malware! Jaká je aktivita malware? Malware obsahuje keylogger, nakažený počítač se pozná tak a tak, nakažený počítač komunikuje s x.y.z.y... Detekce incidentu Minimalizace následků incidentu Reakce Návrat k normálu
Work-flow řešení kampaně podvodný mail Uživatelům Jsou adresovány podvodné maily s přílohou, ve které je malware. Kterým uživatelům mail přišel, kdo se nakazil, jak je můžeme identifikovat, jak NOC můžeme zjednat nápravu? zajištěného malware! Jaká je aktivita malware? Malware obsahuje keylogger, nakažený počítač se pozná tak a tak, nakažený počítač komunikuje s x.y.z.y... Identifikace nakažených zařízení, vyrozumění uživatelů a správců. Detekce incidentu Minimalizace následků incidentu Reakce Návrat k normálu
Work-flow řešení kampaně podvodný mail Uživatelům Jsou adresovány podvodné maily s přílohou, ve které je malware. Kterým uživatelům mail přišel, kdo se nakazil, jak je můžeme identifikovat, jak NOC můžeme zjednat nápravu? zajištěného malware! Jaká je aktivita malware? Omezení provozu na perimetru sítě. NOC Výslech kompromitovaných uživatelů, revokace hesel, komunikace s uživateli... PSS Malware obsahuje keylogger, nakažený počítač se pozná tak a tak, nakažený počítač komunikuje s x.y.z.y... Identifikace nakažených zařízení, vyrozumění uživatelů a správců. Detekce incidentu Minimalizace následků incidentu Reakce Návrat k normálu
Work-flow řešení kampaně podvodný mail Uživatelům Jsou adresovány podvodné maily s přílohou, ve které je malware. Kterým uživatelům mail přišel, kdo se nakazil, jak je můžeme identifikovat, jak NOC můžeme zjednat nápravu? zajištěného malware! Jaká je aktivita malware? Omezení provozu na perimetru sítě. NOC Výslech kompromitovaných uživatelů, revokace hesel, komunikace s uživateli... PSS Stop komunikace s C&C. Malware obsahuje keylogger, nakažený počítač se pozná tak a tak, nakažený počítač komunikuje s x.y.z.y... Identifikace nakažených zařízení, vyrozumění uživatelů a správců. Detekce incidentu Minimalizace následků incidentu Reakce Návrat k normálu
Work-flow řešení kampaně podvodný mail Uživatelům Jsou adresovány podvodné maily s přílohou, ve které je malware. Kterým uživatelům mail přišel, kdo se nakazil, jak je můžeme identifikovat, jak NOC můžeme zjednat nápravu? zajištěného malware! Jaká je aktivita malware? Omezení provozu na perimetru sítě. NOC Výslech kompromitovaných uživatelů, revokace hesel, komunikace s uživateli... PSS Stop komunikace s C&C. Malware obsahuje keylogger, nakažený počítač se pozná tak a tak, nakažený počítač komunikuje s x.y.z.y... Identifikace nakažených zařízení, vyrozumění uživatelů a správců. Kdo komunikuje s C&C? Detekce incidentu Minimalizace následků incidentu Reakce Návrat k normálu
Work-flow řešení kampaně podvodný mail Uživatelům Jsou adresovány podvodné maily s přílohou, ve které je malware. Kterým uživatelům mail přišel, kdo se nakazil, jak je můžeme identifikovat, jak NOC můžeme zjednat nápravu? zajištěného malware! Jaká je aktivita malware? Omezení provozu na perimetru sítě. NOC Výslech kompromitovaných uživatelů, revokace hesel, komunikace s uživateli... PSS Stop komunikace s C&C. Malware obsahuje keylogger, nakažený počítač se pozná tak a tak, nakažený počítač komunikuje s x.y.z.y... Identifikace nakažených zařízení, vyrozumění uživatelů a správců. Kdo komunikuje s C&C? Detekce incidentu Minimalizace následků incidentu Reakce Návrat k normálu
Work-flow řešení kampaně podvodný mail Uživatelům Jsou adresovány podvodné maily s přílohou, ve které je malware. Kterým uživatelům mail přišel, kdo se nakazil, jak je můžeme identifikovat, jak NOC můžeme zjednat nápravu? zajištěného malware! Jaká je aktivita malware? Omezení provozu na perimetru sítě. NOC Výslech kompromitovaných uživatelů, revokace hesel, komunikace s uživateli... PSS Stop komunikace s C&C. Malware obsahuje keylogger, nakažený počítač se pozná tak a tak, nakažený počítač komunikuje s x.y.z.y... Identifikace nakažených zařízení, vyrozumění uživatelů a správců. Kdo komunikuje s C&C? Detekce incidentu Minimalizace následků incidentu Reakce Návrat k normálu
Plány pro zvládání rozsáhlých útoků Běžní uživatelé + chytrý podvod = hodně práce desítky, stovky kompromitovaných PC...... je ohrožující pro infrastrukturu jako celek Připravený a otestovaný reakční plán Dohled a plánování Sdílené úložiště, dohledový manažer Notifikace uživatelů Získat vzorky malware pro analýzu Identifikovat a zablokovat útočný vektor Identifikovat a napravit kompromitované stanice Globální náprava (revokace hesel, certifikátů,...)
Shrnutí SOC napříč organizací zapojení expertních jednotek spolupráce Připravenost! Prevence Reakce Plány na řešení rozsáhlých incidentů CESNET: PSS, NOC Gramotní správci Nástroje a technologie
Děkujeme za pozornost. Andrea Kropáčová CESNET, z. s. p. o. andrea@cesnet.cz 16. února 2011
Použité zdroje: www.lupa.cz www.root.cz www.viry.cz www.hoax.cz www.ceskaposta.cz www.kb.cz www.clker.com humanodyssey.blog.cz www.uidaho.edu oithelp.nd.edu pixabay.com dilbert.znojmo.net opencliart.org