SOC e-infrastruktury CESNET Andrea Kropáčová CESNET, z. s. p. o.
https://www.cesnet.cz/
●
Provozuje síť národního výzkumu a vzdělávání CESNET2
●
Připojeno 27 členů (české VŠ, Akademie věd ČR) a cca 280 dalších organizací
●
K e-infrastruktuře CESNET se mohou připojit instituce, které se zabývají
●
–
vědou, výzkumem, vývojem včetně uplatnění jejich výsledků v praxi
–
experimentálním vývojem nebo inovacemi v průmyslu i jiných oborech
–
šířením vzdělanosti, kultury a prosperity
–
vybrané sítě veřejné správy
Hlavní cíle: –
výzkum a vývoj informačních a komunikačních technologií
–
budování a rozvoj e-infrastruktury CESNET určené pro výzkum a vzdělávání
–
podpora a šíření vzdělanosti, kultury a poznání
●
2011 – 2015: Projekt Velká infrastruktura CESNET
●
2016 – 2020: pokračování projektu Velká infrastruktura CESNET
●
Člen sdružení CZ.NIC, NIX.CZ, Pracovní skupiny CSIRT.CZ, projektu Fenix ...
Síť CESNET2
- HW accelerated probes - large scale (backbone-wide) flow based monitoring (NetFlow data sources) - Honey Pots - SNMP based monitoring - IDS, IPS, tar pit based systems, etc..
CESNET: komponenty SOC CESNET-CERTS –
bezpečnostní tým pro dohled nad e-infrastrukturou CESNET
–
csirt.cesnet.cz
Forenzní laboratoř –
analýza bezpečnostních incidentů, penetrační a zátěžové testy
–
flab.cesnet.cz
NOC (Network Operation Centre) –
správa páteřní sítě CESNET2
–
24/7
PSS (Pracoviště stálé služby) –
www.cesnet.cz/kontakty
–
24/7
17. února 2016
CESNET: komponenty SOC CESNET-CERTS –
základní služba: zvládání incidentu
Forenzní laboratoř –
analýza bezpečnostních incidentů, penetrační a zátěžové testy
–
flab.cesnet.cz
NOC (Network Operation Centre) –
správa páteřní sítě CESNET2
–
24/7
PSS (Pracoviště stálé služby) –
www.cesnet.cz/kontakty
–
24/7
17. února 2016
CESNET: komponenty SOC CESNET-CERTS –
základní služba: zvládání incidentu
Forenzní laboratoř –
základní služba: detailní analýza bezpečnostního incidentu
NOC (Network Operation Centre) –
správa páteřní sítě CESNET2
–
24/7
PSS (Pracoviště stálé služby) –
www.cesnet.cz/kontakty
–
24/7
17. února 2016
CESNET: komponenty SOC CESNET-CERTS –
základní služba: zvládání incidentu
Forenzní laboratoř –
základní služba: detailní analýza bezpečnostního incidentu
NOC (Network Operation Centre) –
základní služba: řešení provozních a bezpečnostních problémů na úrovni sítě
PSS (Pracoviště stálé služby) –
www.cesnet.cz/kontakty
–
24/7
17. února 2016
CESNET: komponenty SOC CESNET-CERTS –
základní služba: zvládání incidentu
Forenzní laboratoř –
základní služba: detailní analýza bezpečnostního incidentu
NOC (Network Operation Centre) –
základní služba: řešení provozních a bezpečnostních problémů na úrovni sítě
PSS (Pracoviště stálé služby) –
základní služba: support, koordinace řešení problémů, komunikace s uživateli
17. února 2016
Use-case: Podvodné e-maily
17. února 2016
Nadpis stránky
Ukázka Úrovně Odrážek
17. února 2016
Use-case: podvodné e-maily Podvodné e-maily (scam – podvod) –
Ve větší míře pozorujeme od roku 2014
Level 1 (phishing) –
lákání credentials jako odpověď na e-mail
–
„Milášek zákazník, pošlat vaše heslo a čislo boty ...“
Malware „smlouva“ Bankovní data Malware „exekuce“ Zásilka „České pošty“ Vánoční pohlednice Srážky z účtu Malware „objednávka“ Přístup do KB ...
Level 2 (phishing) –
přesměrování na podvodnou stránku
–
„Náš klient, zkontrolovat si stav účet na www...“
Level 3 (scam) –
závadná příloha
–
„Vážený pane, zaplať nebo přijde exekutor ... pohledávka popsána v příloze.“
17. února 2016
Use-case: podvodné e-maily Společné znaky –
nátlak (sociální inženýrství)
–
vhodné načasování
–
pretexting (mluví se o faktuře – v příloze MUSÍ BÝT faktura)
Problém –
obcházení technických opatření
–
kličkování před spamfiltrem ●
–
např. přílohy v archivu zaheslovány
přesvědčivost ●
uživatel nakonec reaguje
17. února 2016
Co se s tím dá dělat?
17. února 2016
Prevence Vzdělaní uživatelé –
Řešení pro kulové uživatele ve vakuu
–
Snaha vzdělávat (směřovat k ideálu)T
Technické prostředky –
–
Filtrování pošty ●
Generický závadný obsah
●
Filtrování spustitelných příloh
●
Není 100% + soukromé schránky
Restrikce v systému zabezpečení stanic ●
–
Antivirová řešení, Host IPS, …
Restrikce v síťovém provozu ●
FW, blokace nepotřebných portů
17. února 2016
Reakce na konkrétní vlnu Zkomplikovat další příjem –
Specifický spamfiltr
Zkomplikovat malware spuštění – – –
Smazat z e-mailových schránek Konkrétní pravidla v HIPS/AV řešení Informovat uživatele
Minimalizovat dopady – – –
Zakázat odchozí poštu na „reply-to“ pro Level 1 Blokovat URL pro podvržené stránky pro Level 2 Blokovat na perimetru spojení s IP C&C / dropzóny
Identifikovat kompromitované stanice – –
Lokálně (souborový systém, registry) Podle síťového provozu (netflow, sondy, PassiveDNS...)
Identifikovat dopady kompromitace – –
Lokální (odchycení hesel, změna, smazání, krádež dat) „Dosah“ mimo pracovní stanici (změny v IS, šíření přes datové úložiště, sdílení ...)
17. února 2016
Reakce na konkrétní vlnu Zkomplikovat další příjem –
Specifický spamfiltr
Zkomplikovat malware spuštění – – –
Smazat z e-mailových schránek Konkrétní pravidla v HIPS/AV řešení Informovat uživatele
Minimalizovat dopady – – –
Potřebujeme informace: ●
●
Co malware v systému dělá? Jak poznat kompromitovanou stanici ●
●
●
Lokálně (filesystem, registry, běžící procesy) Síťové chování (netflow)
Jak můžeme malware ztížit život
Zakázat odchozí poštu na „reply-to“ pro Level 1 Blokovat URL pro podvržené stránky pro Level 2 Blokovat na perimetru spojení s IP C&C / dropzóny
● ● ●
Doručení uživateli Spuštění Komunikace s C&C
Identifikovat kompromitované stanice – –
Lokálně (souborový systém, registry) Podle síťového provozu (netflow, sondy, PassiveDNS...)
Identifikovat dopady kompromitace – –
Lokální (odchycení hesel, změna, smazání, krádež dat) „Dosah“ mimo pracovní stanici (změny v IS, šíření přes datové úložiště, sdílení ...)
17. února 2016
Work-flow řešení BI
Detekce incidentu
17. února 2016
Minimalizace následků
Analýza incidentu
Reakce
Návrat k normálu
Work-flow řešení BI
Detekce incidentu
Minimalizace následků
Kdy?
17. února 2016
Co?
Analýza incidentu
Jak?
Kde?
Reakce
Kudy?
Návrat k normálu
?
Work-flow řešení BI PSS NOC
Detekce incidentu
Minimalizace následků
Kdy?
17. února 2016
NOC
Co?
Analýza incidentu
Jak?
Kde?
Reakce
Kudy?
Návrat k normálu
?
Analýza incidentu Schéma spolupráce CSIRT – FLAB
– CSIRT –
Incident (problém)
–
Potřeba informací ●
–
Otázky
Umí poskytnout ●
Podklady
●
Informace
– Forenzní analytik –
Znalosti
–
Analýza Odpovědi Postup
17. února 2016
Nadpis stránky
Ukázka Úrovně Odrážek
17. února 2016
Work-flow řešení kampaně „podvodný mail“ Uživatelům Jsou adresovány podvodné maily s přílohou, ve které je malware.
Detekce incidentu
Minimalizace následků
Analýza incidentu
Reakce
Návrat k normálu
Work-flow řešení kampaně „podvodný mail“ Uživatelům Jsou adresovány podvodné maily s přílohou, ve které je malware.
Detekce incidentu
Minimalizace následků
Analýza incidentu
Reakce
Návrat k normálu
Work-flow řešení kampaně „podvodný mail“ Uživatelům Jsou adresovány podvodné maily s přílohou, ve které je malware.
Detekce incidentu
Kterým uživatelům mail přišel, kdo se nakazil, jak je můžeme identifikovat, jak můžeme NOC zjednat nápravu?
Minimalizace následků
Analýza incidentu
Reakce
Návrat k normálu
Work-flow řešení kampaně „podvodný mail“ Uživatelům Jsou adresovány podvodné maily s přílohou, ve které je malware.
Detekce incidentu
Kterým uživatelům mail přišel, kdo se nakazil, jak je můžeme identifikovat, jak můžeme NOC zjednat nápravu?
Minimalizace následků
Analýza incidentu
Reakce
Návrat k normálu
Work-flow řešení kampaně „podvodný mail“ Uživatelům Jsou adresovány podvodné maily s přílohou, ve které je malware.
Detekce incidentu
Kterým uživatelům mail přišel, kdo se nakazil, jak je můžeme identifikovat, jak můžeme NOC zjednat nápravu?
Analýza zajištěného malware! Jaká je aktivita malware?
Minimalizace následků
Analýza incidentu
Reakce
Návrat k normálu
Work-flow řešení kampaně „podvodný mail“ Uživatelům Jsou adresovány podvodné maily s přílohou, ve které je malware.
Kterým uživatelům mail přišel, kdo se nakazil, jak je můžeme identifikovat, jak můžeme NOC zjednat nápravu?
Analýza zajištěného malware! Jaká je aktivita malware?
Malware obsahuje keylogger, nakažený počítač se pozná tak a tak, nakažený počítač komunikuje s x.y.z.y ... Detekce incidentu
Minimalizace následků
Analýza incidentu
Reakce
Návrat k normálu
Work-flow řešení kampaně „podvodný mail“ Uživatelům Jsou adresovány podvodné maily s přílohou, ve které je malware.
Kterým uživatelům mail přišel, kdo se nakazil, jak je můžeme identifikovat, jak můžeme NOC zjednat nápravu?
Analýza zajištěného malware! Jaká je aktivita malware?
Malware obsahuje keylogger, nakažený počítač se pozná tak a tak, nakažený počítač komunikuje s x.y.z.y ... Detekce incidentu
Minimalizace následků
Analýza incidentu
Identifikace nakažených zařízení, vyrozumění uživatelů a správců.
Reakce
Návrat k normálu
Work-flow řešení kampaně „podvodný mail“ Uživatelům Jsou adresovány podvodné maily s přílohou, ve které je malware.
Kterým uživatelům mail přišel, kdo se nakazil, jak je můžeme identifikovat, jak můžeme NOC zjednat nápravu?
Analýza zajištěného malware! Jaká je aktivita malware?
Omezení provozu na perimetru sítě.
NOC Výslech kompromitovaných uživatelů, revokace hesel, komunikace s uživateli ...
PSS
Malware obsahuje keylogger, nakažený počítač se pozná tak a tak, nakažený počítač komunikuje s x.y.z.y ... Detekce incidentu
Minimalizace následků
Analýza incidentu
Identifikace nakažených zařízení, vyrozumění uživatelů a správců.
Reakce
Návrat k normálu
Work-flow řešení kampaně „podvodný mail“ Uživatelům Jsou adresovány podvodné maily s přílohou, ve které je malware.
Kterým uživatelům mail přišel, kdo se nakazil, jak je můžeme identifikovat, jak můžeme NOC zjednat nápravu?
Analýza zajištěného malware! Jaká je aktivita malware?
Omezení provozu na perimetru sítě.
Stop komunikace s C&C.
NOC Výslech kompromitovaných uživatelů, revokace hesel, komunikace s uživateli ...
PSS
Malware obsahuje keylogger, nakažený počítač se pozná tak a tak, nakažený počítač komunikuje s x.y.z.y ... Detekce incidentu
Minimalizace následků
Analýza incidentu
Identifikace nakažených zařízení, vyrozumění uživatelů a správců.
Reakce
Návrat k normálu
Work-flow řešení kampaně „podvodný mail“ Uživatelům Jsou adresovány podvodné maily s přílohou, ve které je malware.
Kterým uživatelům mail přišel, kdo se nakazil, jak je můžeme identifikovat, jak můžeme NOC zjednat nápravu?
Analýza zajištěného malware! Jaká je aktivita malware?
Omezení provozu na perimetru sítě.
Stop komunikace s C&C.
NOC Výslech kompromitovaných uživatelů, revokace hesel, komunikace s uživateli ...
PSS
Malware obsahuje keylogger, nakažený počítač se pozná tak a tak, nakažený počítač komunikuje s x.y.z.y ... Detekce incidentu
Minimalizace následků
Analýza incidentu
Identifikace nakažených zařízení, vyrozumění uživatelů a správců.
Reakce
Kdo komunikuje s C&C?
Návrat k normálu
Work-flow řešení kampaně „podvodný mail“ Uživatelům Jsou adresovány podvodné maily s přílohou, ve které je malware.
Kterým uživatelům mail přišel, kdo se nakazil, jak je můžeme identifikovat, jak můžeme NOC zjednat nápravu?
Analýza zajištěného malware! Jaká je aktivita malware?
Omezení provozu na perimetru sítě.
Stop komunikace s C&C.
NOC Výslech kompromitovaných uživatelů, revokace hesel, komunikace s uživateli ...
PSS
Malware obsahuje keylogger, nakažený počítač se pozná tak a tak, nakažený počítač komunikuje s x.y.z.y ... Detekce incidentu
Minimalizace následků
Analýza incidentu
Identifikace nakažených zařízení, vyrozumění uživatelů a správců.
Reakce
Kdo komunikuje s C&C?
Návrat k normálu
Work-flow řešení kampaně „podvodný mail“ Uživatelům Jsou adresovány podvodné maily s přílohou, ve které je malware.
Kterým uživatelům mail přišel, kdo se nakazil, jak je můžeme identifikovat, jak můžeme NOC zjednat nápravu?
Analýza zajištěného malware! Jaká je aktivita malware?
Omezení provozu na perimetru sítě.
Stop komunikace s C&C.
NOC Výslech kompromitovaných uživatelů, revokace hesel, komunikace s uživateli ...
PSS
Malware obsahuje keylogger, nakažený počítač se pozná tak a tak, nakažený počítač komunikuje s x.y.z.y ... Detekce incidentu
Minimalizace následků
Analýza incidentu
Identifikace nakažených zařízení, vyrozumění uživatelů a správců.
Reakce
Kdo komunikuje s C&C?
Návrat k normálu
Plány pro zvládání rozsáhlých útoků Běžní uživatelé + chytrý podvod = hodně práce –
desítky, stovky kompromitovaných PC ...
–
... je ohrožující pro infrastrukturu jako celek
Připravený a otestovaný „reakční plán“ –
Dohled a plánování ●
Sdílené úložiště, dohledový manažer
–
Notifikace uživatelů
–
Získat vzorky malware pro analýzu
–
Identifikovat a zablokovat útočný vektor
–
Identifikovat a napravit kompromitované stanice
–
Globální náprava (revokace hesel, certifikátů, ...)
17. února 2016
Shrnutí SOC napříč organizací –
zapojení expertních jednotek
–
spolupráce
Připravenost! –
Prevence
–
Reakce
–
Plány na řešení rozsáhlých incidentů
CESNET: PSS, NOC
– –
Gramotní správci
–
Nástroje a technologie
17. února 2016
Děkujeme za pozornost.
Andrea Kropáčová CESNET, z. s. p. o.
[email protected]
16. února 2011
●
Použité zdroje: –
www.lupa.cz
–
www.root.cz
–
www.viry.cz
–
www.hoax.cz
–
www.ceskaposta.cz
–
www.kb.cz
–
www.clker.com
–
humanodyssey.blog.cz
–
www.uidaho.edu
–
oithelp.nd.edu
–
pixabay.com
–
dilbert.znojmo.net
–
opencliart.org
