II Konferencja Naukowa Bezpieczeństwo Informacyjne w Obszarze Cyberprzestrzeni Akademia Marynarki Wojennej w Gdyni Cyber Kill Chain.

Prezentacja na temat: "II Konferencja Naukowa Bezpieczeństwo Informacyjne w Obszarze Cyberprzestrzeni Akademia Marynarki Wojennej w Gdyni Cyber Kill Chain."— Zapis prezentacji:

1 II Konferencja Naukowa Bezpieczeństwo Informacyjne w Obszarze Cyberprzestrzeni
Akademia Marynarki Wojennej w Gdyni Cyber Kill Chain

2 O nas Błażej Kantak Dorota Kulas Red Teamers
Trójmiasto Poland Błażej Kantak Dorota Kulas Red Teamers Absolwenci Politechniki Gdańskiej 15+ lat w IT 5 lat w ITSec

3 Adwersarze

4 Adwersarze/atakujący/aktorzy
Klasyfikacja: Zorganizowana przestępczość (cybercrime) Cyberaktywiści (hacktivists) Państwa (nation-state) „Kret” (Insider): „przypadkowy” (ang. opportunistic) „niezadowolony pracownik” (ang. disgruntled) Terroryści

5 Cele Ataku

6 Ataki na organizacje „Popularne” cele:
pieniądze (własne vs powierzone) własność intelektualna (np. technologia, kod źródłowy) dane klientów (np. dane osobowe, medyczne, podatkowe, CC) plany sprzedażowe / strategia marketingowa dane finansowe (np. spółka giełdowa) zasoby firmy (np. park maszynowy) dostęp do innych systemów (np. ICS, KSIP, SWIFT) ...

7 Metodologia Ataku

8 Cyber Kill Chain – Rozpoznanie
Adwersarz wybiera cel, bada organizację w celu znalezienia słabych punktów, buduje plan ataku ™ Lockheed Martin

9 Cyber Kill Chain – Uzbrajanie
Adwersarz przygotowuje własną infrastrukturę pod atak (np. oprogramowanie, serwery, punkty wejścia/wyjścia) ™ Lockheed Martin

10 Cyber Kill Chain – Dostarczenie
Wysłanie złośliwego oprogramowania przez wybrany wektor ataku (np. spear phishing, SQLi) ™ Lockheed Martin

11 Cyber Kill Chain – Włamanie
Uruchomienie złośliwego oprogramowania i wykorzystanie podatności w atakowanej organizacji ™ Lockheed Martin

12 Cyber Kill Chain – Instalacja
Uruchomienie tylnej furtki w infrastrukturze atakowanej organizacji ™ Lockheed Martin

13 Cyber Kill Chain – Zdalna kontrola
Zdalny dostęp do organizacji, umożliwia atakującemu wykonywanie poleceń w przejętych systemach ™ Lockheed Martin

14 Cyber Kill Chain – Aktywność właściwa
Wszystkie działania atakującego prowadzące do osiągnięcia wybranego celu (np. kradzież danych, sabotaż, transfer pieniędzy) ™ Lockheed Martin

15 Przejście na kolejny system
Faza 7 – proces Zapewnienie powrotu Rozpoznanie Przygotowanie danych TAK Wyprowadzenie danych Cel? NIE Kradzież uprawnień Eskalacja uprawnień Usunięcie śladów Przejście na kolejny system

16 Cyber Kill Chain – Przykład
OSINT AWS, kampania phishingowa e Przeglądarka (aplet Java) Schtasks Reverse HTTPS Transakcja na rynku NYSE ™ Lockheed Martin

17 ?

18 Zapraszamy! https://www.x33fcon.com @x33fcon fb/x33fcon
When Red meets Blue... Nowa konferencja związana z bezpieczeństwem IT Gdynia, kwietnia 2017 Skoncentrowana wokół Blue/Red Teaming (obrona/atak) Międzynarodowi goście i trenerzy Zapraszamy! @x33fcon fb/x33fcon