Wednesday, May 24, 2017

Hunting Lateral Movement in Windows Infrastructure

Today at the PHD conference colleague from our threat hunting team gave a talk on windows lateral movement hunting. Here are the slides.


Originally we were planning this speech together and for 40 minutes, but orgs proposed Fast Track as the only opportunity that's why I decided to opt out because it's huge and important topic that hardly could be covered within 20 min time frame. However, Teymur did his best to shrink materials and in the end it took 17 min. That's why I'd like to thank my colleague Teymur greatly as he did almost impossible! To my mind this was one of the greatest talks at conference despite the fact that a lot of worthy topics were presented in the main program.
To my mind lateral movement is very important topic and this talk can be treated as kind of our internal research on this that we'd like to share to help enterprises to spot advanced threats presence within their Windows environments. Hope, you'll enjoy this work and find it also useful. Original talk was in Russian, but taking into account previous years experience video and good english simultaneous translation will be available as well.



Sunday, May 21, 2017

Кто, если не Вы?

Развивайте свои сильные стороны, и аутсорсите слабые. 
Тем более развивай то, что невозможно зааутсорсить.

Очевидна необходимость приоритезации усилий, поскольку безопасности едва ли может быть когда-нибудь достаточно, а необъятное, как известно, не объять. Поэтому надо уметь правильно расставлять приоритеты задачам и целям, которые будут адекватны окружению и контексту.
Однако, вместе с тем, если вы работаете в Заказчике (==интерпрайзный безопасник), в реальном секторе, есть задачи, которые никто кроме вас не сделает, и именно поэтому они должны попадать в первый приоритет. Напротив, другие, хорошо проработанные задачи, по которым существует зрелое предложение на рынке, в условиях недостатка ресурсов разумно аутсорсить. Как же их найти, эти и те задачи?


Любой бизнес-процесс в Компании, будучи рассмотренным под призмой автоматизации, может быть представлен в виде двух составляющих - Бизнес и ИТ. Бизнес - это совокупность отношений между участниками данного конкретного бизнес-процесса, ИТ - это та самая автоматизация бизнес-процесса.
Безопасность - дисциплина на стыке Бизнеса и ИТ - совокупность заплаток безопасности, как технологических (Тех-контроли), так и организационных (Бизнес/орг-контроли), поскольку программа обеспечения безопасности бизнес-процесса будет состоять из некоторых бизнесовых контролей, реализуемых на уровне взаимоотношений между участниками бизнес-процесса (например, Корпоративный стандарт, требования в должностных инструкциях и т.п.), и некоторых технических контролей, реализуемых в области ИТ (например, парольная политика, настроенная в корпоративном каталоге, криптографическая подпись логов транзакций и т.п.).
ИТ, грубо можно поделить на две составляющие: Общие ИТ и Кастомные ИТ. Общие ИТ - это ИТ, построенное на базе стандартных решений, доступных на рынке, относительно которых сложилось зрелое рыночное предложение сопровождения и развития (например, СКС, ЛВС, инфраструктура Microsoft Active Directory, т.п.). Кастомные ИТ - это вся ваша\заказная разработка, выполненная исключительно  под Вас, по вашим ТЗ, соответственно, рынка сопровождения таких ИТ - не существует (например, ваша самостоятельно разработанная АСУТП, или автоматизация продаж или ваш самописный Интернет-портал).

В целом, думаю, уважаемый читатель, вам уже понятно чем следует заниматься интерпрайзному безопаснику, - есть такие области, которые никто кроме него не сделает. Никто не будет заниматься безопасностью вашего самописного софта, это - ваша задача. Если его достаточно много и он динамично развивается, следует подумать о собственной продуктовой безопасности, которая может быть эффективнее внешнего AppSec-а, поскольку в Контексте. Поэтому, первый технологический приоритет для интерпрайзного безопасника - это ваши Кастомные ИТ.
Неоднократно писал о том, что, если вы не разбираетесь в своих бизнес-процессах сами, нет оснований верить, что придет умный консалтинг и научит вас защищать ваши бизнес-процессы. Это невозможно по множеству причин, одна из которых - если вы сами не смогли погрузиться в Контекст, то за время проекта консультант это сделать тоже не сможет\не успеет, и тем более - вы ему не помощник. Поэтому вторая область для приложения усилий интерпрайзного бизопасника - это Бизнес/орг-контроли.
За какие безнес-процессы браться в первую очередь? Очевидно, за ключевые. Если вы - нефтяная компания, то ваша кора - добыча, транспортировка, переработка и сбыт нефтепродуктов - вот бизнес-процессы первого приоритета, где следует заняться бизнесовой безопасностью и безопасностью кастомного ИТ.
Если вы - компания которая пишет софт, то процесс проектирования, разработки, поставки и поддержки вашего ПО - вот ваша кора, где вся безопасность бизнес-процессов и безопасность вашей кастомной инфраструктуры - ваши первые приоритеты.
Сразу хочу предупредить возможную критику тех, для кого ИТ-безопасность ограничивается ИТ-инфраструктурой - конечно, этим можно заниматься, просто не в первую очередь + поддержка ЛВС на Cisco или виртуализации на VMWare - понятные вещи, в которых можно быстро разобраться имея понятный бэкграунд (Контекста там либо мало, либо его нет вовсе), словом, это можно просто зааутсорсить. Тогда как разобраться с автоматизированной системой вашей розницы будет проблематично хотя бы потому что ваши программисты на работе тоже не скучают и постоянно дописывают\допиливают\докручивают, короче, развивают. Схожая ситуация с ИБ бизнес-процесса, где только вам известно как вы учитываете приходы и расходы, как вы реализуете разделение полномочий, как согласуете изменение доступа к информационным ресурсам, как боретесь с злоупотреблениями и как все это отслеживаете.
Таким образом, то что интерпрайному безопаснику на  схеме Надо делать самому, никто за него не сделает, а это очень важно, так как мы привязывались к ключевым бизнес-процессам.
Тогда как оставшееся - можно задвинуть\заАутсорсить.


Sunday, May 14, 2017

Спички детям - не игрушка!

Мы прячем спички\ножи\пистолеты от детей, чтобы они не покалечили окружающих, однако то же самое, но кибер-, - разбрасываем непотребнейшим образом - совсем недавно мы писали, и вот получили.

Но ситуация не только в этом, - мы все увлеклись погоней за защитой от 0-day, от APT и прочих advanced-, targeted-, sophisticated-, а надо - просто ставить патчи!

Tuesday, May 9, 2017

Трудовые будни охотника на угрозы

Лучше поздно, чем никогда. Выкладываю свою презентацию с CISO Forum-а. Вот и я уже дошел до повторного использования некоторых слайдов в своих презентациях... Все возможнее падение до недопустимого - повторного рассказа одного и того же, но будем оптимистами!




Наибольшая ценность начинается со слайда 11 (но, конечно, предыдущее тоже не бессмысленны). Где приведены реальные Карточки выявленных инцидентов, дающие понимание как работают атакующие и как их можно обнаружить.

Основная мысль всего доклада сосредоточена на слайде 21 "Послесловие". Здесь говорилось о том, что целевые атаки являются результатом эволюции "обычной малвары", что, в свою очередь, требует развития подходов безопасности:
- на смену AV приходят решения Anti-APT и Threat hunting
- вместо "продетектить точно и сразу" - "неточно (== зафиксировать аномалии) и спустя время (== предварительно понаблюдав, поскольку чтобы обнаружить атаки с использованием легальных инструментов нужно время)
- вместо полностью автоматически - с участием человека, как минимум, по причине необходимости анализа контекста (==situational awareness), - недостатки автоматики компенсируются преимуществами сервиса (работы людей)
- ну и наконец, надо сражаться не с применяемыми инструментами, коих великое множество и все чаще применяются лекальные, которые нельзя просто продетектить, а с конкретными шаблонами поведения, ТТР.

Огромную признательность выражаю моим коллегам по отделу SOC, которые, все это обнаружили и, где было необходимо, - скорректировали соответствующую автоматику для большего удобства работы в будущем :)


Поддержка с воздуха


Берясь за реагирование на инцидент ИБ, очень важно понимать последствия. Прежде чем удалять persistance, сбивать и зачищать инструменты, используемые атакующими, необходимо вычислить все C2, и, по возможности, одновременно их закрыть. Получив уверенность в том, что атакующий потерял удаленное управление, можно спокойно вычищаться.

Но и этого мало. Усиленный мониторинг, а точнее TH, должны сохраниться до окончания IR - чтобы проследить, что ни уже выявленные ТТР, ни какие-то новые не пытаются быть примененными, а также, что не осталось что-то, чего по какой-то причине не заметили, в рамках проводимого перед IR расследования, и что стало проявляться только в "экстренной ситуации", когда атакующий понял, что им занимаются.

Но есть еще момент, который всегда иногда выпадает из внимания: если вас уже ломали, скорее всего, поломают еще раз. Чтобы быть готовым к этому, TH и IR должны стать операционными процессами по выявлению, расследованию, устранению, корректировке политик превентивных и детектирующих инструментов и процедур. Примитивный таймлайн - на картинке :).


Именно поэтому, исключительно IR без поддержки TH представляется менее эффективным, верно и обратно - только TH - мало, ибо кто-то должен реагировать на выявленные инциденты. Что, в целом, и подтверждается практикой.

Wednesday, March 29, 2017

Threat hunting как процесс SOC

Сегодня на 7-ом собрании SOC Club-а "SOC в России" рассказывал о Threat hunting-e в рамках работы SOC. Вот презентация:


Технически получилось немного смазано, так как я не совсем уложился во время, поэтому в этом посте перечислю основные тезисы, которые я хотел донести:
1. Переход "защиты от ВПО" в "защиту от целевых атак" - очевидная эволюция ландшафта угроз.
2. Эволюции п.1 соответствует очевидное развитие подходов к защите: от Alerting-а, как реакции на предопределенные сигнатуры, до Hunting-а, как поиска новых угроз.
3. Современные атаки обладают рядом свойств, которые надо брать во внимание при планировании СЗИ (слайд 5)
3. История с Vault7 полностью добила веру в эффективность превентивных средств защиты и сместила приоритеты развития СЗИ именно в сторону своевременного обнаружения и быстрого восстановления (слайд 6)
7. Слайд 7 - концептуальные различия подходов. Слайд "пропал", так как я забыл его сделать видимым в pptx ;), однако, попереживав несколько секунд, решил, что в этом нет ничего страшного, так как уже неоднократно его показывал и рассказывал, например, здесь.
8. Threat hunting не исключает подходы классического мониторинга, а дополняет. На слайде 8 показано это взаимное дополнение, разложенное по процессу управления инцидентами.
9. Для TH нужны исходные данные и технологии. Это представлено на слайде 9. Расскажу по аббревиатурам - это наши внутренние подразделения-поставщики знаний для нас: Global Research and Analysis team (GReAT), Anti-Malware research (AMR), Targeted Attack Research Group (TARG), Security Operations Center (SOC) - имеется в виду наша внутренняя практика обнаружения, коей больше с каждым инцидентом, не являющемся фолсой, Security Services Research (SSR) - наш внутренний ИБ ресеч; сервисы расследования инцидентов - Incident response (IR), Digital forensics (DF), Malware analysis (MA); ну а поставщиком на сырых нотификаций на низком уровне выступает - Endpoint (EP).
Важным моментом в этом слайде является стрелочка "Постоянное совершенствование", означающая, что мы реализуем новые детектирующие и микрокорреляционные логики на уровне ЕР, - можно считать, аналогично, созданию сигнатур.
В качестве иллюстрации дана картинка все с той же презентации, где показана максимально упрощенно текущая процессная модель ТН.
10. Последний слайд - действительно последний, отражающий где в общем списке процессов SOC (список процессов взят из ГосСОПКИ) ТН и на что он в основном нацелен.

Надеюсь, что доклад (в совокупности с этим постом) будет полезен аудитории.








Wednesday, March 22, 2017

Оружие массового поражения для всех

- Безопасность - это когда стоимость взлома превышает стоимость выгод атакующего.
- Вы уверены?

Новости про ЦРУ уже не произвели такого фурора, как товарищ Сноуден, в свое время. Все привыкли, что за нами следят и вендоры бывают на госконтрактах и их терзают смутные сомнения. Очевидна нерентабельность усилий противостояния гражданина армии, что объясняет наличие соответствующих по возможностям подразделений

Но, тем не менее, лично мне эта публикация все равно расширила кругозор, цитаты:
1. "Securing such 'weapons' is particularly difficult since the same people who develop and use them have the skills to exfiltrate copies without leaving traces — sometimes by using the very same 'weapons' against the organizations that contain them. There are substantial price incentives for government hackers and consultants to obtain copies since there is a global "vulnerability market" that will pay hundreds of thousands to millions of dollars for copies of such 'weapons'. Similarly, contractors and companies who obtain such 'weapons' sometimes use them for their own purposes, obtaining advantage over their competitors in selling 'hacking' services."

2. "In what is surely one of the most astounding intelligence own goals in living memory, the CIA structured its classification regime such that for the most market valuable part of "Vault 7" — the CIA's weaponized malware (implants + zero days), Listening Posts (LP), and Command and Control (C2) systems — the agency has little legal recourse.

The CIA made these systems unclassified.

Why the CIA chose to make its cyberarsenal unclassified reveals how concepts developed for military use do not easily crossover to the 'battlefield' of cyber 'war'.

To attack its targets, the CIA usually requires that its implants communicate with their control programs over the internet. If CIA implants, Command & Control and Listening Post software were classified, then CIA officers could be prosecuted or dismissed for violating rules that prohibit placing classified information onto the Internet. Consequently the CIA has secretly made most of its cyber spying/war code unclassified. The U.S. government is not able to assert copyright either, due to restrictions in the U.S. Constitution. This means that cyber 'arms' manufactures and computer hackers can freely "pirate" these 'weapons' if they are obtained. The CIA has primarily had to rely on obfuscation to protect its malware secrets."

В целом, текст достаточно красноречив, и не нуждается в моих комментариях... Но вы только вдумайтесь: все мои инвестиции в проактивную безопасность - это повышение стоимости взлома, потому что, очевидно, взломать можно все и вопрос только в ресурсах на это потраченных. Но в сложившейся ситуации аксиома о том, что я могу чувствовать себя в безопасности, когда стоимость моей компрометации достаточно высока - уже не работает, потому что есть некоторая организация с бесконечными ресурсами, инвестирующая в технологии нападения и никак не ограничивающая и не контролирующая их использование! Даже, выкинув из внимания вопросы этики, морали и глобальной информационной безопасности, - ситуация выглядит аналогично, как если бы некая контора делала атомные бомбы (или оружие массового поражения (ОМП) вообще) и разбрасывала их по миру для всеобщего использования. Конечно же, оно при этом может попадать в руки террористов и прочего криминала, а пытаться что-то со всем этим делать приходится нам.
Вспоминается, как подозрение в наличии ОМП послужило причиной лишения государства суверенитета, как аргумента для спасения Человечества. Здесь же кибероружие разрабатывают и практически публикуют, и это "считается" нормальным, все по комплайенсу.
Так что, уважаемые коллеги, интерпрайзные безопасники, вот у нас с вами новое обстоятельство, которое надо брать во внимание.