1 / 52

Advanced Persistent Threat - прицельные кибер -атаки. Сопротивление бесполезно?

SEC204. Руководитель программы информационной безопасности. Microsoft. Advanced Persistent Threat - прицельные кибер -атаки. Сопротивление бесполезно? . Бешков Андрей . Содержание. Что такое APT Текущее состояние индустрии APT Влияние APT на ИТ индустрию Варианты обнаружения APT

vianca
Download Presentation

Advanced Persistent Threat - прицельные кибер -атаки. Сопротивление бесполезно?

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript


  1. SEC204 Руководитель программы информационной безопасности Microsoft AdvancedPersistentThreat - прицельные кибер-атаки. Сопротивление бесполезно? Бешков Андрей

  2. Содержание • Что такое APT • Текущее состояние индустрии APT • Влияние APT на ИТ индустрию • Варианты обнаружения APT • Защита от APT

  3. Что происходит? Сотни организаций подверглись взломам и скомпрометированы

  4. Неужели правда??? Так уж и сотни?

  5. A P T dvanced ersistent hreat

  6. Не каждая атака APT…

  7. Advanced Persistent ThreatЧем отличается от привычных атак? • Хорошо организована • Работает профессиональная команда. В случае необходимости долгие месяцы посменно или с 9 до 18 с перерывом на обед. • Точно знают за чем охотятся и чего хотят • Крадут секреты или интеллектуальную собственность • Используют любые виды атак. От физического проникновения до найма инсайдеров и использования свежих уязвимостей. • Намерены оставаться внутри жертвы навсегда • Адаптируются к защитным мерам, не сдаются • Возвращаются при первой же возможности Нет намерения разрушать инфраструктуру или убивать жертву

  8. Advanced Persistent ThreatКто?

  9. Advanced Persistent ThreatЧто же это? Прицельные атаки с помощью широко распространенных автоматизированных средств, скоординировано исполняемые неизвестным кругом лиц, настойчиво и достаточно профессионально с целью достижения долговременных стратегических целей

  10. Advanced Persistent ThreatПочему?

  11. Advanced Persistent ThreatЧто делать? Наш план экстренного реагирования и восстановления после катастрофы Предотвращение Восстановление

  12. Advanced Persistent ThreatWhat to do? - Prevention • Raise awareness • Raise the bar • Adopt risk basedstrategy • Defense in depth • Expect to be compromised

  13. Advanced Persistent ThreatWhat to do? - Recovery • The Perfect Plan • Close all internet / remote access • Change allpasswords • Rebuild Active Directory • Rebuild all hosts from scratch • Update all software, defenses, policies • Fix vulnerabilities • Restore data and legitimate applications • Educate end-users • Turn everything back on The only way to clean a compromised system is to flatten and rebuild You can’t clean a compromised system by patching it. You can’t clean a compromised system by removing the back doors. You can’t clean a compromised system by using some “vulnerability remover.” You can’t clean a compromised system by using a virus scanner. You can’t clean a compromised system by reinstalling over the existing installation. You can’t trust any data copied from a compromised system. You can’t trust the event logs on a compromised system. You may not be able to trust your latest backup.

  14. Advanced Persistent ThreatWhat to do? - Recovery • The “Perfect” Plan: not so much • Too big • Too complex • Too costly • Too disruptive • Which leaves… “Plan B”

  15. Advanced Persistent ThreatWhat to do? - Plan B • Women and children first! • Define & locate “Crown Jewels” • Create safe haven • Move crown jewels over • Declare old environment to be a • Zoo • Graveyard

  16. Single forest Active Directory • Windows 2000/2003/2008 • 100.000+ users/desktops • 10.000+ servers Contoso • Global Enterprise • 200+ offices • Outsourced • Centralized IT

  17. What Happened At Contoso? Unusual logons of AD admin account account disabled Service account logon detected MS and ISP incident response team Compromised DC PSS case raised Most Confidential data extracted Silence... Initial breach? Oct 2009 June July Aug Sept Oct Malware installed on extranet server Help Desk procedures and remote access software extracted Upload of new malware detected Malware found on 50+ servers and dozens of laptops Affected systems reimaged

  18. How Did They Get In? So what about IDS or AV? • RDP to internal systems • Placement of malware • Remotely executed commands Exploit vulnerability Placed Malware Cracked AD admin account Internet DMZ Intranet Contoso VPN connected systems

  19. Malware - Backdoors

  20. More Stuff From the Dark Side

  21. Random Bits and Pieces

  22. DynDNS… • is-a-chef.com • contoso.is-a-chef.com • northwind.is-a-chef.com • tailspintoys.is-a-chef.com • woodgrove.is-a-chef.com Malware Phone Home • thruhere.net • office-on-the.net • selfip.com

  23. Outbound Monitoring Each packet of the ZW malware protocol contains: “hW$.” (hex “68572413”) at offset 0x42 015000ff68572413 016000ff68572413

  24. InitialResponse • Establish incident response organization • Establish separate communication channels • Assess the extent of compromise • Assess the vulnerability of environment • Define remediation plans

  25. Remediation Plans New environment Current environment Migrate crown jewels Remediation effort • Anti malware • Verify Admins • Disable LM • Reset credentials • Outbound monitoring • Assess environment • Code reviews “Raising the bar” “Securing the crown jewels” “Back to normal” time Mid term <18 months Long term <36 months Short term <90 days • Design and build new environment • Migration strategy • Migrate critical systems • Secure Development Lifecycle • Migrate remaining assets • Decide on old environment (zoo/graveyard)

  26. Assessment Findings • Application security code reviews • ADRAP / AD Security Assessment • PKI Security Assessment • Asset management • Crownjewels • Internet access points • Extranet systems • Etc, etc • In short: environment not defensible

  27. Where Are We Now @Contoso?Good • Management (finally)understands risk • More insightinto environment than ever • Structuralimprovement plans starting up • Trusted advisor

  28. Where Are We Now @Contoso?Bad Sloooowwwwremediation Decreasedsense of urgency Wishfuldenial

  29. Where Are We Now @Contoso?Ugly

  30. In short… • This thing is real • Be alert • Don’t assume anything • Don’t underestimate the power of wishful denial • We can help • Help ourcustomersraise the bar

  31. Session Takeaways • The IT (security) landscape has changed dramatically • Resistance is futile? • Know thy self, know thy enemy

  32. Related Content • Breakout Sessions/Chalk Talks • SIP213 High Security Admin Desktop (New MCS Cybersecurity Solution) • SIP216 Threat Landscape and the Measurement of Antimalware Protection Technologies • SIP303 Combating Cyber Threats: Doing Incident Response for Customers • SIP319 Malware Hunting with Mark Russinovich and the SysinternalsTools • SIPCT305 Good, Bad, Ugly: Malware in the Real World and Fighting it with Data Analysis • SIP338 High Security Web Access (New MCS Cybersecurity Solution) • Additional content: • TR12: Advance Persistent Threat (APT): Real-World Examples and How to Fight (SIP337) • WP: Rethinking the Cyber Threat - A Framework and Path Forward (Scott Charney)

  33. More Related Stuff • Managing cyber risk in the face of sophisticated adversaries • Microsoft ACE team services on ISRM portal • Beating the APT, ghettostyle (Maarten Van Horenbeeck) • Your blind trust in the Internet (John Howie) • Infrastructure Planning and Design Guide for Malware Response • Damballa • Mandiant

  34. “Automation applied to an efficient operation will magnify the efficiency… automation applied to an inefficient operation will magnify the inefficiency” - Bill Gates

  35. Заголовок слайда • Первый уровень • Второй уровень • Третий уровень • Четвертый уровень • Пятый уровень

  36. Рекомендации к оформлению • Старайтесь избегать текста пятого уровня • Используйте предлагаемые цвета • Цвет гиперссылок: www.microsoft.com Sample Fill Sample Fill Sample Fill Sample Fill Sample Fill Sample Fill

  37. Пример диаграммы

  38. Заголовок демонстрации Имя Фамилия Демонстрация

  39. Заголовок видео Видео

  40. Заголовок Анонс

  41. Пример кода Get-Process –computername srv1 class TechEdProgram { public static void Main() { System.Console.WriteLine("Hello, Tech·Ed!"); } }

  42. Итоги

  43. Сессии по теме

  44. Ресурсы

  45. Обратная связь Ваше мнение очень важно для нас. Пожалуйста, оцените сессию, заполните анкету и сдайте ее при выходе из зала Спасибо!

More Related