Advanced Persistent Threat - прицельные кибер -атаки. Сопротивление бесполезно?

1. SEC204 Руководитель программы информационной безопасности Microsoft AdvancedPersistentThreat - прицельные кибер-атаки. Сопротивление бесполезно? Бешков Андрей

2. Содержание • Что такое APT • Текущее состояние индустрии APT • Влияние APT на ИТ индустрию • Варианты обнаружения APT • Защита от APT

4. Что происходит? Сотни организаций подверглись взломам и скомпрометированы

5. Неужели правда??? Так уж и сотни?

7. A P T dvanced ersistent hreat

9. Не каждая атака APT…

10. Advanced Persistent ThreatЧем отличается от привычных атак? • Хорошо организована • Работает профессиональная команда. В случае необходимости долгие месяцы посменно или с 9 до 18 с перерывом на обед. • Точно знают за чем охотятся и чего хотят • Крадут секреты или интеллектуальную собственность • Используют любые виды атак. От физического проникновения до найма инсайдеров и использования свежих уязвимостей. • Намерены оставаться внутри жертвы навсегда • Адаптируются к защитным мерам, не сдаются • Возвращаются при первой же возможности Нет намерения разрушать инфраструктуру или убивать жертву

11. Advanced Persistent ThreatКто?

12. Advanced Persistent ThreatЧто же это? Прицельные атаки с помощью широко распространенных автоматизированных средств, скоординировано исполняемые неизвестным кругом лиц, настойчиво и достаточно профессионально с целью достижения долговременных стратегических целей

13. Advanced Persistent ThreatПочему?

14. Advanced Persistent ThreatЧто делать? Наш план экстренного реагирования и восстановления после катастрофы Предотвращение Восстановление

16. Advanced Persistent ThreatWhat to do? - Prevention • Raise awareness • Raise the bar • Adopt risk basedstrategy • Defense in depth • Expect to be compromised

17. Advanced Persistent ThreatWhat to do? - Recovery • The Perfect Plan • Close all internet / remote access • Change allpasswords • Rebuild Active Directory • Rebuild all hosts from scratch • Update all software, defenses, policies • Fix vulnerabilities • Restore data and legitimate applications • Educate end-users • Turn everything back on The only way to clean a compromised system is to flatten and rebuild You can’t clean a compromised system by patching it. You can’t clean a compromised system by removing the back doors. You can’t clean a compromised system by using some “vulnerability remover.” You can’t clean a compromised system by using a virus scanner. You can’t clean a compromised system by reinstalling over the existing installation. You can’t trust any data copied from a compromised system. You can’t trust the event logs on a compromised system. You may not be able to trust your latest backup.

18. Advanced Persistent ThreatWhat to do? - Recovery • The “Perfect” Plan: not so much • Too big • Too complex • Too costly • Too disruptive • Which leaves… “Plan B”

19. Advanced Persistent ThreatWhat to do? - Plan B • Women and children first! • Define & locate “Crown Jewels” • Create safe haven • Move crown jewels over • Declare old environment to be a • Zoo • Graveyard

20. Single forest Active Directory • Windows 2000/2003/2008 • 100.000+ users/desktops • 10.000+ servers Contoso • Global Enterprise • 200+ offices • Outsourced • Centralized IT

21. What Happened At Contoso? Unusual logons of AD admin account account disabled Service account logon detected MS and ISP incident response team Compromised DC PSS case raised Most Confidential data extracted Silence... Initial breach? Oct 2009 June July Aug Sept Oct Malware installed on extranet server Help Desk procedures and remote access software extracted Upload of new malware detected Malware found on 50+ servers and dozens of laptops Affected systems reimaged

22. How Did They Get In? So what about IDS or AV? • RDP to internal systems • Placement of malware • Remotely executed commands Exploit vulnerability Placed Malware Cracked AD admin account Internet DMZ Intranet Contoso VPN connected systems

23. Malware - Backdoors

24. More Stuff From the Dark Side

25. Random Bits and Pieces

26. DynDNS… • is-a-chef.com • contoso.is-a-chef.com • northwind.is-a-chef.com • tailspintoys.is-a-chef.com • woodgrove.is-a-chef.com Malware Phone Home • thruhere.net • office-on-the.net • selfip.com

27. Outbound Monitoring Each packet of the ZW malware protocol contains: “hW$.” (hex “68572413”) at offset 0x42 015000ff68572413 016000ff68572413

28. InitialResponse • Establish incident response organization • Establish separate communication channels • Assess the extent of compromise • Assess the vulnerability of environment • Define remediation plans

29. Remediation Plans New environment Current environment Migrate crown jewels Remediation effort • Anti malware • Verify Admins • Disable LM • Reset credentials • Outbound monitoring • Assess environment • Code reviews “Raising the bar” “Securing the crown jewels” “Back to normal” time Mid term <18 months Long term <36 months Short term <90 days • Design and build new environment • Migration strategy • Migrate critical systems • Secure Development Lifecycle • Migrate remaining assets • Decide on old environment (zoo/graveyard)

30. Assessment Findings • Application security code reviews • ADRAP / AD Security Assessment • PKI Security Assessment • Asset management • Crownjewels • Internet access points • Extranet systems • Etc, etc • In short: environment not defensible

31. Where Are We Now @Contoso?Good • Management (finally)understands risk • More insightinto environment than ever • Structuralimprovement plans starting up • Trusted advisor

32. Where Are We Now @Contoso?Bad Sloooowwwwremediation Decreasedsense of urgency Wishfuldenial

33. Where Are We Now @Contoso?Ugly

34. In short… • This thing is real • Be alert • Don’t assume anything • Don’t underestimate the power of wishful denial • We can help • Help ourcustomersraise the bar

35. Session Takeaways • The IT (security) landscape has changed dramatically • Resistance is futile? • Know thy self, know thy enemy

37. Related Content • Breakout Sessions/Chalk Talks • SIP213 High Security Admin Desktop (New MCS Cybersecurity Solution) • SIP216 Threat Landscape and the Measurement of Antimalware Protection Technologies • SIP303 Combating Cyber Threats: Doing Incident Response for Customers • SIP319 Malware Hunting with Mark Russinovich and the SysinternalsTools • SIPCT305 Good, Bad, Ugly: Malware in the Real World and Fighting it with Data Analysis • SIP338 High Security Web Access (New MCS Cybersecurity Solution) • Additional content: • TR12: Advance Persistent Threat (APT): Real-World Examples and How to Fight (SIP337) • WP: Rethinking the Cyber Threat - A Framework and Path Forward (Scott Charney)

38. More Related Stuff • Managing cyber risk in the face of sophisticated adversaries • Microsoft ACE team services on ISRM portal • Beating the APT, ghettostyle (Maarten Van Horenbeeck) • Your blind trust in the Internet (John Howie) • Infrastructure Planning and Design Guide for Malware Response • Damballa • Mandiant

39. “Automation applied to an efficient operation will magnify the efficiency… automation applied to an inefficient operation will magnify the inefficiency” - Bill Gates

40. Заголовок слайда • Первый уровень • Второй уровень • Третий уровень • Четвертый уровень • Пятый уровень

41. Рекомендации к оформлению • Старайтесь избегать текста пятого уровня • Используйте предлагаемые цвета • Цвет гиперссылок: www.microsoft.com Sample Fill Sample Fill Sample Fill Sample Fill Sample Fill Sample Fill

42. Пример диаграммы

43. Заголовок демонстрации Имя Фамилия Демонстрация

44. Заголовок видео Видео

45. Заголовок Анонс

46. Пример кода Get-Process –computername srv1 class TechEdProgram { public static void Main() { System.Console.WriteLine("Hello, Tech·Ed!"); } }

47. Итоги

48. Сессии по теме

49. Ресурсы

50. Обратная связь Ваше мнение очень важно для нас. Пожалуйста, оцените сессию, заполните анкету и сдайте ее при выходе из зала Спасибо!