Dobre i złe praktyki ochrony przed technikami hackingu ukierunkowanymi na użytkowników

© 2013 CLICO

M. Stawowski: Dobre i złe praktyki ochrony przed technikami hackingu ukierunkowanymi na użytkowników

Dobre i złe praktyki ochrony przed technikami hackingu

ukierunkowanymi na użytkowników

© 2007 CLICO Sp. z o.o.

dr inż. Mariusz [email protected]

© 2013 CLICO


Plan wystąpienia

• Wprowadzenie

• Krajobraz współczesnych zagrożeń

• Techniczne środki ochrony użytkowników

• Program „Security Awareness”

• Podsumowanie

© 2013 CLICO


• Wprowadzenie




• Podsumowanie

© 2013 CLICO


C&C

Drive-by

Download

P2P, IM, email

Infekcja komputerów za pomocą różnych technik

Komunikacja zainfekowanych komputerów (Bot-ów) z C&C jest zaszyfrowana

C&C regularnie zmienia oprogramowanie i konfigurację Bot-ów

• Koncepcja budowy i funkcjonowania Botnet

© 2013 CLICO


• Koncepcja włamania metodą Drive-by Download

© 2013 CLICO


• Koncepcja włamania poprzez portale społecznościowePrzykład: Koobface

1. Ludzie otrzymują wiadomości od znajomych z portali społecznościowych zawierające link do „ciekawej” strony Web.

2. Po wejściu na stronę Web wyświetlana jest informacja o konieczności aktualizacji Adobe Flash Player. W rzeczywistości instaluje się malware.

© 2013 CLICO


• Wprowadzenie




• Podsumowanie

© 2013 CLICO


o Backdooring - złośliwy program "doklejony" do innej aplikacji, dystrybuowany za pomocą serwerów Web, Email, P2P, IM, itp.

o Spear Phishing - ataki socjotechniczne na określoną organizację lub grupę docelową, zwykle połączone z dystrybucją złośliwych programów (Backdooring) i atakami Drive-by Download.

o Watering Hole – ataki prowadzone z przejętych przez przestępców zaufanych serwisów Web, z których korzysta określona organizacja lub grupa docelowa.

• Botnet rozwijane za pomocą różnych, zaawansowanych technik:

© 2013 CLICO


• Antywirus posiada ograniczone możliwości ochrony przed kodem typu Exploit

© 2013 CLICO


• Antywirus posiada ograniczone możliwości ochrony przed kodem typu Trojan i Bot

© 2013 CLICO


• Duża aktywność przestępców w serwisach społecznościowych (Social Phishing)

© 2013 CLICO


• Duża aktywność przestępców w serwisach społecznościowych (Social Phishing)

Źródło: Dimensional Research, "The risk of social engineering on information security", 2011.

© 2013 CLICO


• Mobile Botnet - Botnet złożony z urządzeń mobilnych (smartfony, tablety)

2009 - pierwsze Botnety urządzeń mobilnych

2012 – pierwszy Botnet o rozmiarze 500 000 urządzeń mobilnych

© 2013 CLICO


• Mobile Botnet - Botnet złożony z urządzeń mobilnych (smartfony, tablety)

o Przejmując kontrolę nad firmowym smartfonem przestępca uzyskuje analogiczne możliwości jak w przypadku komputera oraz wiele dodatkowych korzyści, m.in.:

zyski z wysyłania kosztowych SMS,

podsłuch rozmów telefonicznych i SMS,

śledzenie lokalizacji właściciela urządzenia,

obraz z aparatu fotograficznego i kamery,

podsłuch otoczenia przez funkcję dyktafonu.

o Szczególnie przejęcie kontroli nad smartfonami osób zajmujących ważne stanowiska może przynieść przestępcom ogromne zyski.

© 2013 CLICO


• Wprowadzenie




• Podsumowanie

© 2013 CLICO


• Stosowane zabezpieczenia chronią przed historycznymi zagrożeniami

Co to jest nowe zagrożenie?

To metody i narzędzia opracowane w celu obchodzenia stosowanych zabezpieczeń i naruszenia bezpieczeństwa.

Co to jest nowy rodzaj zabezpieczeń?

To metody i narzędzia opracowane w celu przeciwdziałania nowym zagrożeniom.

Kiedy nowe zagrożenia i zabezpieczenia wchodzą do użytku?

• Nowe zagrożenie bardzo szybko staje się współczesnym zagrożeniem.

• Nowe rodzaje zabezpieczeń bardzo wolno wchodzą do użycia. Wiele firm używa zabezpieczeń, które chronią tylko przed historycznymi zagrożeniami.

© 2013 CLICO


• Wraz z rozwojem zagrożeń zostały opracowane nowe zabezpieczenia Next-Generation Firewall (NGFW).

Główne cechy NGFW: Firewall kontroluje aplikacje

(np. P2P, Tor, Gmail, Facebook), a nie tylko numery portów.

Firewall realizuje funkcje IPS. Firewall kontroluje aplikacje

wykorzystujące tunelowanie, szyfrowanie (SSL), itp.

Firewall korzysta z źródeł zewnętrznych (np. integracja z AD) w celu identyfikacji użytkowników.

© 2013 CLICO


• Web Application Firewall (WAF)

Struktura

URLeParamet

ryCookie

…

Główne cechy WAF: Specjalizowane zabezpieczenia

do ochrony aplikacji Web. System zabezpieczeń WAF

bazuje w głównej mierze na automatycznie tworzonym i aktualizowanym profilu chronionej aplikacji Web.

Tworzenie profilu ma na celu niezależne odwzorowanie oczekiwanych, poprawnych zachowań użytkownikówprzy dostępie do aplikacji/serwisu Web.

© 2013 CLICO


• Dynamic Threat Analysis System (DTAS)

Główne cechy DTAS: Sandboxing - uruchomienie i

analiza kodu w środowisku symulującym rzeczywisty komputer użytkownika

Analiza działania kodu i identyfikacja niebezpiecznych zachowań, np.:

o połączenia sieciowe i protokoły C&C,

o zmiany plików systemowych i wpisów w rejestrach,

o pobieranie innego kodu z sieci, itp.

SENDBOX

© 2013 CLICO


• Problemy ochrony pracowników przed zagrożeniami ze strony przestępów komputerowych

1. Brak zrozumienia i akceptacji działań IT przez pracowników i kadrę zarządzającą.

2. Wykonywane przez działy IT szkolenia pracowników z tematyki „Security Awareness” zwykle są mało profesjonalnie.

3. Specjalistyczne szkolenia „Security Awareness” w formie stacjonarnej są trudne w organizacji:

• wymagają oderwania od obowiązków służbowych i zebrania w tym samym miejscu i czasie dużej liczby pracowników,

• koszt szkoleń stacjonarnego dla dużej liczby pracowników i regularnej aktualizacji ich wiedzy jest bardzo wysoki.

4. Szkolenia e-learning są mało efektywne, ponieważ pracownicy nie mają motywacji do samodzielnego przyswojenia wiedzy i umiejętności w tym zakresie.

5. Szkolenia „Security Awareness” nie przynoszą oczekiwanych efektów – ludzie odbyli szkolenia, ale dalej zachowują się nieostrożnie.

© 2013 CLICO


STAN• Wiedza nt. zagrożeń i

bezpieczeństwa

• Zrozumienie potrzeby dbałości o bezpieczeństwo

• Świadomość zagrożeń i obowiązku ochrony informacji

• Zachowanie ostrożności i dbałości o bezpieczeństwo

• Umiejętności praktyczne stosowania zasad bezpieczeństwa

• Umiejętności praktyczne rozpoznawania zagrożeń

• Odporność na manipulacje i inne socjotechniki

• Motywacja do doskonalenia wiedzy i umiejętności

PROGRAM / PROCES

• Szkolenia• Kampania

informacyjna: o ostrzeżenia

o wiadomości

o broszury, itp.

• Ocena wiedzy - testy, quizy, itp.

• Ocena zachowania – testy socjotechniczne, itp.

• Motywowanie przez kadrę zarządzającą

• Kontrola przez zabezpieczenia techniczne

© 2013 CLICO


1. Ochrona przed technikami hackingu ukierunkowanymi na użytkowników możliwa jest przez połączenie odpowiednich środków technicznych i organizacyjnych w ramach tzw. programu „Security Awareness”.

2. Kluczową rolę w programie „Security Awareness” odgrywają profesjonalne szkolenia oraz zabezpieczenia techniczne służące do egzekwowania na pracownikach stosowania polityki bezpieczeństwa oraz kontroli zachowania - przede wszystkim ograniczenie dostępu do niebezpiecznych zasobów Internetu.

3. Wdrożenie programu „Security Awareness” w praktyce wymaga współpracy, akceptacji i zrozumienia pomiędzy różnymi jednostkami organizacyjnymi firmy i koordynacji ze strony Zarządu.

© 2013 CLICO


Polecam sprawdzić swoją wiedzę

• QUIZ

http://www.bezpiecznypracownik.pl/prawdy-i-mity.html

• TEST

http://www.bezpiecznypracownik.pl/porady-ekspertow.html

Dobre i złe praktyki ochrony przed technikami hackingu ukierunkowanymi na użytkowników

Documents

Transcript of Dobre i złe praktyki ochrony przed technikami hackingu ukierunkowanymi na użytkowników