Security PWNing Conference, 2016

Uwaga: Opinie wyrażone w niniejszej prezentacji są nasze własne i nie stanowią punktu widzenia naszego pracodawcy

3 Purple Teaming – PWNing 2016

11/3/2016

Trójmiasto dorota & reenz0h Senior Red Teamers 15+ lat w IT 5+ lat w ITSec

4 Purple Teaming – PWNing 2016

5 Purple Teaming – PWNing 2016

„Czy można włamać się przez okno

vs.

Czy można wykraść pieniądze ?”

Pentest:

ograniczony zakres,

testy kontroli

Red Teaming:

pełen zakres,

koncentracja na celu, określenie typu adwersarza

6 Purple Teaming – PWNing 2016

• Skany podatności Vulnerability

Centric

• Klasyczny pentest

• Black Box/Grey Box Exploit Centric

• Symulacje zagrożeń Threat Centric

Protect Detect Respond

7 Purple Teaming – PWNing 2016

Działania proaktywne:

• Wywiad (Cyber Intelligence: Strategic/Tactical)

• Analiza zagrożeń (Threat Research)

• Ochrona danych

• Skany podatności i aktualizacje

• Edukacja użytkowników

Reakcja na incydenty:

• CIRT

• Incident Handler (koordynacja)

• Incident Analyst (analiza powłamaniowa)

8 Purple Teaming – PWNing 2016

9 Purple Teaming – PWNing 2016

Źródło: red-6.com

10 Purple Teaming – PWNing 2016

11 Purple Teaming – PWNing 2016

Własne zespoły

• Czasowa rotacja pracowników między zespołami (np. 3 miesiące)

• Regularne spotkania Red/Blue • Zespół Analizy Zagrożeń – ciągła

współpraca z Red Team • Dzielenie się wiedzą (Uniwersytet IT) • Dostęp CIRT do SimApp

+ “Kontrakt zewnętrzny”

“Kontrakt zewnętrzny”

• Przedstaw możliwości detekcji Twoich działań

• Faza “detekcja” • Dzielenie się logami • Ćwiczenia “hands-on” po zleceniu • Fire drill

12 Purple Teaming – PWNing 2016

Plusy dla pracownika (z doświadczenia pracownika Red Teamu) Wzbogacenie wiedzy i umiejętności • Narzędzia i sygnatury • Możliwości detekcji -> rekomendacje • Nowe TTP Zredukowanie syndrome wypalenia Współpraca z innymi zespołami • Spontaniczne dzielenie się wiedzą • Zwiększenie zaufania i współpracy między

zespołami

13 Purple Teaming – PWNing 2016

Plusy dla firmy Mniejsza rotacja pracowników (rotacja między zespołami odpowiedzią na wypalenie zawodowe / nowe wyzwania) Iterakcja i współpraca w czasie rzeczywistym (współpraca w czasie zlecenia)

• Szybkie rozróżnienie incydentów • Nieformalne dyskusje, nowatorskie pomysły,

brainstorming • Networking “Powiew świeżości” – inny punkt widzenia, nowe pomysły Zaufanie i współpraca między zespołami / zwiększenie wydajności i komfortu pracy

14 Purple Teaming – PWNing 2016

• Wymiana informacji • Dyskusja nad bieżącymi problemami • Analiza (poprawy) zdolności detekcyjnych/reakcyjnych • Burza mózgów

15 Purple Teaming – PWNing 2016

źródło: pathology.med.uky.edu

• Informacja o planowanym zleceniu • Szukanie możliwości detekcji określonych zachowań

16 Purple Teaming – PWNing 2016

źródło: dubiousphoto.wordpress.com

• Szybka identyfikacja włamywacza (attribution)

• Priorytetyzacja alertów • Nadużycia

17 Purple Teaming – PWNing 2016

18 Purple Teaming – PWNing 2016

• Pełne raporty • Szczegółowe informacje (np.

kto/gdzie/jak/dlaczego) • Dokładne znaczniki czasowe • Zrzut linii komend (narzędzie

+ argumenty + wyjście)

źródło: thinkingthroughchristianity.com

19 Purple Teaming – PWNing 2016

źródło: babylon.com

• Faza „mini-detect” • Raportowanie - sugestie

dot. możliwości wykrywania określnej aktywności

20 Purple Teaming – PWNing 2016

źródło: businessinsider.com

• Analiza ryzyk • Scenariusze potencjalnych ataków • Ataki w kontrolowanym środowisku • Wspólne logi • Przygotowanie nowych sygnatur • Testy na środowisku produkcyjnym

21 Purple Teaming – PWNing 2016

źródło: attack.mitre.org • Macierz technik powłamaniowych • Dla Red i Blue!

22 Purple Teaming – PWNing 2016

źródło: bodybuilding.com

• Dopasowanie detekcji do realiów • Zrozumienie technik adwersarzy • Wiedza „cross-domain” • Budowanie relacji pomiędzy

zespołami • Łowienie talentów • Wzrost umiejętności

When Red meets Blue...

nowa konferencja związana z IT Sec

w Gdyni

skoncentrowana wokół Blue / Red Teamingu (obrona / atak)

24-28 kwietnia 2017

Call For Papers/Call For Trainers

https://www.x33fcon.com @x33fcon FB/x33fcon

24

• Red Team – najlepszy przyjaciel Blue Teamu – P. Kaźmierczak, S. Kucharski: https://www.youtube.com/watch?v=otSPFC6aDr4

• Building A Successful Internal Adversarial Simulation Team - C. Gates & C. Nickerson: https://www.youtube.com/watch?v=Q5Fu6AvXi_A

• Thinking Purple – C. Perez: https://www.youtube.com/watch?v=OuR6lRH6iUk • Corporate Red Teaming to Me – D. Pearson:

http://www.subliminalhacking.net/2016/02/26/corporate-red-teaming-to-me/ • http://redteamjournal.com • https://www.sixdub.net/