metoder og verktøy i operativt sikkerhetsarbeid · mandiantm-trends rapport l i snitt tar det 99...
TRANSCRIPT
Metoder og verktøy i operativt sikkerhetsarbeid
IRT-kurs
UNINETT CERT
Tradisjonelt trusselbilde
Moderne trusselbilde
Eksempel fra USA
12 May 2017 SLIDE 4
Mandiant M-trends rapport
l I snitt tar det 99 dager før en organisasjon oppdager at den er kompromittert (2016)l 146 dager i 2015l 205 dager i 2014l 416 dager i 2012
l Mandiant’s Red Team:l admin-rettigheter i snitt oppnådd innen 3 dager etter
at de først har klart å kompromittere et nettverk
Mulige datakilder
IP-adresseoversikt
Netflow
DNS-logg
Mail-log
authlog
http.log
Syslog
12 May 2017 SLIDE 6
Suricata
Trusseldata
Sårbarhetsdata
Passiv DNS
Zabbix
NAV
Xymon
Informasjon fra AD
Tradisjonell graving i logger
Kommandolinje
• grep• awk• nfdump
12 May 2017 SLIDE 7
Støtteverktøy
• Gnuplot• Excel• SQL
Web-grensesnitt
• Nfsen• Zabbix• Xymon• NAV• Kibana
Fremdeles nyttig, men blirlogger analysert og brukteffektivt?
Hvorfor berikelse?
Alarm fra Sikkerhetsanalyse
alert ET trojan malware information leak 192.168.10.4:43666 -> 88.88.88.88:80• http.hostname: veryinnocentsite.com
• Payload_printable: fjasfjasfjasfjasfjasfjasfjas; file:random_file.doc; fjasfjasfjasfjasfjas
Ikke spesielt enkelt å si om dette er en reell hendelseeller om det er en falsk positiv!
12 May 2017 SLIDE 8
Hvorfor berikelse?
Alarm fra Sikkerhetsanalyse
alert ET trojan malware information leak 192.168.10.4:43666 -> 88.88.88.88:80
• http.hostname: veryinnocentsite.com
• Payload_printable: fjasfjasfjasfjasfjasfjasfjas; file:random_file.doc; fjasfjasfjasfjasfjas
Ikke spesielt enkelt å si om dette er en reell hendelse eller om det er en falsk positiv!
12 May 2017 SLIDE 9
Intern IP-adresse:- Sett i tidligere saker?- Hvilket nett?
(student/ansatt/server)- Fillagringsserver?- Økonomidirektør?- Verdensledende forsker?- Student?- ??- ??
Hvorfor berikelse?
Alarm fra Sikkerhetsanalyse
alert ET trojan malware information leak 192.168.10.4:43666 -> 88.88.88.88:80
• http.hostname: veryinnocentsite.com
• Payload_printable: fjasfjasfjasfjasfjasfjasfjas; file:random_file.doc; fjasfjasfjasfjasfjas
Ikke spesielt enkelt å si om dette er en reell hendelse eller om det er en falsk positiv!
12 May 2017 SLIDE 10
Ekstern IP-adresse:- Sett i tidligere saker?- Sett av andre UH-inst?- Sett i kjente
rapporter/trusselanalyser?- Hvilke domener har pekt til
denne adressen? (passivdns)
- ??
Hvorfor berikelse?
Alarm fra Sikkerhetsanalyse
alert ET trojan malware information leak 192.168.10.4:43666 -> 88.88.88.88:80• http.hostname: veryinnocentsite.com
• Payload_printable: fjasfjasfjasfjasfjasfjasfjas; file:random_file.doc; fjasfjasfjasfjasfjas
Ikke spesielt enkelt å si om dette er en reell hendelse ellerom det er en falsk positiv!
12 May 2017 SLIDE 11
Domene:- Sett i tidligere
saker?- Sett av andre UH-
inst?- Sett i kjente
rapporter/trusselanalyser?
- Fast-flux domene?- Passiv DNS- ??
Hvorfor berikelse?
Alarm fra Sikkerhetsanalyse
alert ET trojan malware information leak 192.168.10.4:43666 -> 88.88.88.88:80
• http.hostname: veryinnocentsite.com
• Payload_printable: fjasfjasfjasfjasfjasfjasfjas; file:random_file.doc; fjasfjasfjasfjasfjas
Ikke spesielt enkelt å si om dette er en reell hendelse eller om det er en falsk positiv!
12 May 2017 SLIDE 12
Innhold i pakker:- Hva om det hadde
ståttpassword_file.txt?
- ??
Hvorfor berikelse?Beriket alarm fra Sikkerhetsanalyse
alert ET trojan malware information leak <IP-adresse til Roger rakettforsker> -> <IP-adresse knyttet til Nord-koreansk etterretning, og har også resolvet til domenet notsoveryinnocentsite.com>
• http.hostname: veryinnocentsite.com (fast-flux, pekt på 30 ulike IP-adresser den siste uka.)
• Payload_printable: fjasfjasfjasfjasfjasfjasfjas; file:ultra-innovative-fancy-rocketengine.doc; fjasfjasfjasfjasfjas
Litt enklere å ta en beslutning på hva som bør gjøres!
12 May 2017 SLIDE 13
SIEM (Security Information and Event Management)
12 May 2017 SLIDE 14
Vi ser et stort behov for et såkalt SIEM
Relevante data/logger er tilgjengelig fra en plass
Korrelering av data
Setter oss i stand til å ta raskere og bedre beslutninger
Kan vi samarbeide om dette? (Felles berikelse?)
Dette er i utgangspunktet veldig komplekse system, og det erslettes ikke sikkert at det er mulig å få til et samarbeid? (viluansett kreve veldig klare definerte API)
Netflow innsamling og utnyttelseKritisk avhengig av netflow i analysearbeid
Samplet data fra kjernenett (1 av 100 eller 1 av 1000)
Full netflow på verktøykasser
Nfsen/Nfdump fungerer stort sett som det skal
• abandonware?Enkle script fanger opp en del scannere, spammere og DDoS
Kunne gjort mye mer med analyse og utnyttelse
• Vi har fått satt opp SiLK, og går snart over til det.
SLIDE 1512 May 2017
Sårbarhetsscanning
Vi har altfor mange åpne sårbare tjenester i sektoren. Vi må lukke de!
Finne sårbarheter før de blir utnyttet.
Aktiv scanning fra:
• sentral server
• prober internt på campus
Felles tjeneste for sektoren? (Vi kan fronte tjenestenog gjøre innkjøp på vegne av sektoren!)
12 May 2017 SLIDE 16
Sårbarhetsscanning - utfordringer
Mange tester skjer på versjonsnummerMange sikkerhetsoppdateringer skjer med backporting• Resultat: mange falske positiveScan på en høgskole:• Første rapport var på 1300 sider!• 2130 sårbarheterAutomatisk fjerning av sårbarheter som er fikset i Debian security feed• 70-80% blir fjernetMange sårbarheter blir ikke fikset!• F.eks. https://security-tracker.debian.org/tracker/CVE-2011-4718
12 May 2017 SLIDE 17
DDoS mitigering
Vi har etablert en enkel statisk filtrering og ratebegrensing som basisvern på utenlandslinker – en løsning for å stoppe de mest vanlige volumetriske og refleksive angrep – fungerer bra
NORDUnet på lag med oss, aktiv i å begrense effekt av angrep.
”Normalstørrelse” DDoS-angrep fyller ikke utenlandslinker lenger (10G->100G)
Kan bistå med ratebegrensning eller blackholing mot spesifikke mål for volumangrep
UNINETT dagpersonell og beredskapsvakt håndterer hendelser
18
SinkholingFikk på plass løsning nå i januar 2017Logger alt av web-oppkoblingerBrukt under årets torrentlocker kampanjer (posten/telenor-phish)• Ga oss innsikt i hvem (IP-adresser) som trykte på phishing-lenker• Rapporterte dette til de aktuelle kundene• Gir dere mulighet til brukeropplæring for konkrete brukereSinkholing/nullruting er en metode vi kun bruker i større hendelser for åbeskytte hele sektorenKan brukes til å finne allerede kompromitterte maskinerPga. skalering vil denne ikke bli brukt i enkelt-saker for enkelt-kunder!En utfordring dersom fast-flux er brukt. Da må vi hele tiden endrehvilke IP-adresser vi sinkholer.
12 May 2017 SLIDE 19
Sentral mail filtrering
NSM helhetlig IKT-risikobilde 2016: “NSM registrerer fortsatt at den vanligsteangreps-metoden i vellykkede, målrettede angrep er epost til brukere ivirksomheten som rammes.”
Disse brukerne fungerer videre som brohoder til annen infrastruktur.
I kraft av å være sektorCERT mottar vi ganske ofte informasjon om forskjelligetype angrep gjort per epost
• Målrettede angrep fra spesifikke avsendere
• Phishing fra spesifikke avsendere
• CEO-fraud fra spesifikke avsendere
• Cryptolocker fra spesifikke avsendere
Idag får vi ikke nyttiggjort oss denne informasjonen
SLIDE 2012 May 2017
Sentral mail filtrering (forts.)Hva om vi hadde en sentral koordinert måte å få sperra ned denneepost-flyten?
Nye angrep/adresser kan varsles inn sentralt og forløpendeanalyseres og sperres slik at andre i sektoren blir skjermet – itillegg til reputation feed
UiO og UNINETT starter nå å ser på et samarbeid om en sentral MX tjeneste for sektoren.
• Bare initielle samtaler foreløpig, men det ligger an til at UNINETT gjør detmerkantile, og UiO driver tjenesten. UiO CERT og UNINETT CERT samarbeiderom sperringer.
SLIDE 2112 May 2017
DNS RPZ
Stort sett alle oppkoblinger på internett starter med et DNS-oppslag
Hva om vi kunne stoppe oppslag til domener brukt tilslemvare via DNS?
SLIDE 2212 May 2017
SLIDE 2312 May 2017
SLIDE 2412 May 2017
DNS query logAnalysearbeid stopper opp fordi vi ikke kan finne ut hvilken klient somhar slått opp hvilket domeneSer dette veldig ofte fra tjenesten Sikkerhetsanalyse hvor rekursivenavnetjenere har slått opp domener vi vet er forbundet med slemvare. Men vi vet ikke hvilken klient som har spurtVi selv kjører DNS query log på våre rekursive navnetjenereVi oppfordrer flere kunder til å gjøre detteMen….Utfordring: Potensielt juridiske utfordringer? Potensielt sensitive data!Utfordring: Tilgang til dataene må begrenses og kontrolleres godtInteressant med en UNINETT fagspesifikasjon (UFS) for DNS query log ?
SLIDE 2512 May 2017
Passiv DNS dataLogging av DNS-svar som rekursive navnetjenere får fra andre DNS-servere
Altså en historisk oversikt/logg over hvilke IP-adresser oppslåtte domenerpeker til
Logger ikke hvilken klient som spurte
Passiv DNS data er ofte veldig nyttig i analysearbeid. (Berikelse av data)
Eksempler
• https://threatcrowd.org/
• https://passivedns.mnemonic.no/
SLIDE 2612 May 2017
Logganalyse
https://www.uninett.no/tjenester/logganalyse
12 May 2017 SLIDE 27
Sikkerhetsanalyse
https://www.uninett.no/sikkerhetsanalyse
12 May 2017 SLIDE 28
Kontaktinfo
http://cert.uninett.no
Arne Øslebø, [email protected]
Rune Sydskjør, [email protected]
UNINETT CERT
SLIDE 2912 May 2017