Security PWNing Conference, 2016 - Instytut PWN...When Red meets Blue... nowa konferencja związana...
Transcript of Security PWNing Conference, 2016 - Instytut PWN...When Red meets Blue... nowa konferencja związana...
Security PWNing Conference, 2016
Uwaga: Opinie wyrażone w niniejszej prezentacji są nasze własne i nie stanowią punktu widzenia naszego pracodawcy
3 Purple Teaming – PWNing 2016
11/3/2016
Trójmiasto dorota & reenz0h Senior Red Teamers 15+ lat w IT 5+ lat w ITSec
4 Purple Teaming – PWNing 2016
5 Purple Teaming – PWNing 2016
„Czy można włamać się przez okno
vs.
Czy można wykraść pieniądze ?”
Pentest:
ograniczony zakres,
testy kontroli
Red Teaming:
pełen zakres,
koncentracja na celu, określenie typu adwersarza
6 Purple Teaming – PWNing 2016
• Skany podatności Vulnerability
Centric
• Klasyczny pentest
• Black Box/Grey Box Exploit Centric
• Symulacje zagrożeń Threat Centric
Protect Detect Respond
7 Purple Teaming – PWNing 2016
Działania proaktywne:
• Wywiad (Cyber Intelligence: Strategic/Tactical)
• Analiza zagrożeń (Threat Research)
• Ochrona danych
• Skany podatności i aktualizacje
• Edukacja użytkowników
Reakcja na incydenty:
• CIRT
• Incident Handler (koordynacja)
• Incident Analyst (analiza powłamaniowa)
8 Purple Teaming – PWNing 2016
9 Purple Teaming – PWNing 2016
Źródło: red-6.com
10 Purple Teaming – PWNing 2016
11 Purple Teaming – PWNing 2016
Własne zespoły
• Czasowa rotacja pracowników między zespołami (np. 3 miesiące)
• Regularne spotkania Red/Blue • Zespół Analizy Zagrożeń – ciągła
współpraca z Red Team • Dzielenie się wiedzą (Uniwersytet IT) • Dostęp CIRT do SimApp
+ “Kontrakt zewnętrzny”
“Kontrakt zewnętrzny”
• Przedstaw możliwości detekcji Twoich działań
• Faza “detekcja” • Dzielenie się logami • Ćwiczenia “hands-on” po zleceniu • Fire drill
12 Purple Teaming – PWNing 2016
Plusy dla pracownika (z doświadczenia pracownika Red Teamu) Wzbogacenie wiedzy i umiejętności • Narzędzia i sygnatury • Możliwości detekcji -> rekomendacje • Nowe TTP Zredukowanie syndrome wypalenia Współpraca z innymi zespołami • Spontaniczne dzielenie się wiedzą • Zwiększenie zaufania i współpracy między
zespołami
13 Purple Teaming – PWNing 2016
Plusy dla firmy Mniejsza rotacja pracowników (rotacja między zespołami odpowiedzią na wypalenie zawodowe / nowe wyzwania) Iterakcja i współpraca w czasie rzeczywistym (współpraca w czasie zlecenia)
• Szybkie rozróżnienie incydentów • Nieformalne dyskusje, nowatorskie pomysły,
brainstorming • Networking “Powiew świeżości” – inny punkt widzenia, nowe pomysły Zaufanie i współpraca między zespołami / zwiększenie wydajności i komfortu pracy
14 Purple Teaming – PWNing 2016
• Wymiana informacji • Dyskusja nad bieżącymi problemami • Analiza (poprawy) zdolności detekcyjnych/reakcyjnych • Burza mózgów
15 Purple Teaming – PWNing 2016
źródło: pathology.med.uky.edu
• Informacja o planowanym zleceniu • Szukanie możliwości detekcji określonych zachowań
16 Purple Teaming – PWNing 2016
źródło: dubiousphoto.wordpress.com
• Szybka identyfikacja włamywacza (attribution)
• Priorytetyzacja alertów • Nadużycia
17 Purple Teaming – PWNing 2016
18 Purple Teaming – PWNing 2016
• Pełne raporty • Szczegółowe informacje (np.
kto/gdzie/jak/dlaczego) • Dokładne znaczniki czasowe • Zrzut linii komend (narzędzie
+ argumenty + wyjście)
źródło: thinkingthroughchristianity.com
19 Purple Teaming – PWNing 2016
źródło: babylon.com
• Faza „mini-detect” • Raportowanie - sugestie
dot. możliwości wykrywania określnej aktywności
20 Purple Teaming – PWNing 2016
źródło: businessinsider.com
• Analiza ryzyk • Scenariusze potencjalnych ataków • Ataki w kontrolowanym środowisku • Wspólne logi • Przygotowanie nowych sygnatur • Testy na środowisku produkcyjnym
21 Purple Teaming – PWNing 2016
źródło: attack.mitre.org • Macierz technik powłamaniowych • Dla Red i Blue!
22 Purple Teaming – PWNing 2016
źródło: bodybuilding.com
• Dopasowanie detekcji do realiów • Zrozumienie technik adwersarzy • Wiedza „cross-domain” • Budowanie relacji pomiędzy
zespołami • Łowienie talentów • Wzrost umiejętności
When Red meets Blue...
nowa konferencja związana z IT Sec
w Gdyni
skoncentrowana wokół Blue / Red Teamingu (obrona / atak)
24-28 kwietnia 2017
Call For Papers/Call For Trainers
https://www.x33fcon.com @x33fcon FB/x33fcon
24
• Red Team – najlepszy przyjaciel Blue Teamu – P. Kaźmierczak, S. Kucharski: https://www.youtube.com/watch?v=otSPFC6aDr4
• Building A Successful Internal Adversarial Simulation Team - C. Gates & C. Nickerson: https://www.youtube.com/watch?v=Q5Fu6AvXi_A
• Thinking Purple – C. Perez: https://www.youtube.com/watch?v=OuR6lRH6iUk • Corporate Red Teaming to Me – D. Pearson:
http://www.subliminalhacking.net/2016/02/26/corporate-red-teaming-to-me/ • http://redteamjournal.com • https://www.sixdub.net/