化被動防禦為主動偵測,阻斷可疑活動 · 2020. 8. 21. · netwalker mongolock ryuk...
TRANSCRIPT
化被動防禦為主動偵測,阻斷可疑活動
總覽至 全球與台灣內部威脅分析數據會說話,不論在疫情期、在常態上班、在遠距工作,在 架構下,以及內部與外部配合的竊取,需要從 角度建立細緻疆界管控與記錄。
挖掘出風險,需要快速且有效緊急響應將 的記錄巨量蒐集,輔以快速風險分析的戰情室,必須提出有效執行對策,這時候需要
結論沒有有效完整記錄,就無法建立風險戰情,更無法施以響應對策
風險在哪 風險戰情室不同企業文化與管控手段,都會仰賴好的資安稽核來挖掘出,企業隱性的風險與異常,是否有專業風險 ,協助加速釐清問題
AGENDA
總覽至 全球與台灣內部威脅分析數據會說話,不論在疫情期、在常態上班、在遠距工作,在 架構下,以及內部與外部配合的竊取,需要從 角度建立細緻疆界管控與記錄。
挖掘出風險,需要快速且有效緊急響應將 的記錄巨量蒐集,輔以快速風險分析的戰情室,必須提出有效執行對策,這時候需要
結論沒有有效完整記錄,就無法建立風險戰情,更無法施以響應對策
風險在哪 風險戰情室不同企業文化與管控手段,都會仰賴好的資安稽核來挖掘出,企業隱性的風險與異常,是否有專業風險 ,協助加速釐清問題
AGENDA
件 風險事件
事件發生後衍生出 成本
與內部過失事件有關
事件涉及內部人員犯罪
事件造成企業 損失
3類內部人員4,716次事件分析
員工或第三方承包商過失, 佔2,962次
內部惡意犯罪事件, 佔 1,105次
憑證竊盜(冒名事件), 佔 649次
Ponemon研究所2020年發佈的《內部威脅成本全球報告》指出:
2020 Cost of Insider Threats Global Report
工控裝置因管控缺失,被植
入惡意程式
因裝置遺失或隨身碟等裝置攜出,導致單位組織資料外洩
企業員工複製至隨身碟、硬碟,持原公司紙本資料跳槽,涉營業秘密,可再上訴
國內多家企業受害
疫情期遠距上班資安漏洞與釣魚攻擊行為
《台灣近期風險威脅事件與後續》勒索病毒影響企業運作
2020 Threats of Taiwan
總覽至 全球與台灣內部威脅分析數據會說話,不論在疫情期、在常態上班、在遠距工作,在 架構下,以及內部與外部配合的竊取,需要從 角度建立細緻疆界管控與記錄。
挖掘出風險,需要快速且有效緊急響應將 的記錄巨量蒐集,輔以快速風險分析的戰情室,必須提出有效執行對策,這時候需要
結論沒有有效完整記錄,就無法建立風險戰情,更無法施以響應對策
風險在哪 風險戰情室不同企業文化與管控手段,都會仰賴好的資安稽核來挖掘出,企業隱性的風險與異常,是否有專業風險 ,協助加速釐清問題
AGENDA
不同部門關注資料不同
行為風險亦不同
部門角度
需細膩深度的技術基礎,
才能找到風險 內部威脅行
為與駭客技術混用會越來
越廣泛
技術快速演變,導致再怎
樣精進也追趕不全,需要
專業素養持續精進
高階主管、上層主管、甚
至是 與 有些公司會
有 或 擔任資安角色
所關注的面向皆不同
缺乏專精於資安風險行為
與資料分析專家
海量記錄下風險在哪 該從哪些角度思考著手
組織規模與資源
技術基礎 角色差異
與 結構結合下
部分參考 https://threatpost.com/practical-guide-zero-trust-security/151912/
功能模組
Zero Trust Security
Device Trust User Trust Transport / Session Trust
ApplicationTrust
Data Trust
Visibility & Analytics (ex. Dashboard, UEBA)非線性分析
Endpoint Detection and Response (ex. Automation, Manual, Notification)
Cloud TrustNetwork Trust
End Point
▪ 172.16.0.0 – 172.31.255.255▪ 192.168.0.0 –192.168.255.255▪ 10.0.0.0 – 10.255.255.255
Dashboard 風險分析1:Risk Under Private IP (Network Trust)
Public IP (ex: Internet)
Dark Webe.g. Onion, Zeronet, Anarchy, Anonymous
None-general Webe.g. C&C, Adult, hostility,Steganography, …
General WebGoogle, yahoo, Gov WebSite, Facebook …
Deep WebNeed Login Systeme.g. government
RISK✓ Unauthorized VM✓ Unauthorized Network Device interconnection ✓ Unauthorized Tunnel✓ Unauthorized NAT
e.g.▪ Office1 172.16.1.1 /24 ▪ VPN 172.16.100.1 /24▪ Server Farm 192.168.1.1/24
Private IP
Dashboard 風險分析2:Who access unauthorized device
Wi-Fi AP border
Accessible & Unauthorized Wi-Fi AP
Accessible & Authorized Wi-Fi AP
Inaccessible & Unauthorized Wi-Fi AP
Trace endpoint to access Unauthorized Wi-Fi
Cloud App(tools)
要整合性思考使用者如何使用雲端服務上傳檔案?途徑? CMD to Cloud
(gdrive-windows-x64.exe)
Office save to google drive
Google Drive Web SITE(https://drive.google.com/)
Powershell upload file to Drive(ConnorGriffin/GDrive.Upload.ps1)
可行管道
https://olivermarshall.net/how-to-upload-a-file-to-google-drive-from-the-command-line/https://gist.github.com/ConnorGriffin/dc804357bb10ff7522d0e21ddfdf9398
思考與規劃 X-FORT 記錄
應用程式執行記錄
Command記錄
網址記錄
網頁記錄
Command記錄
Python, c# … upload to drive(Google API) Command記錄
Dashboard 風險分析3:Who access Cloud Storage (Cloud Trust )
Dashboard 風險分析4:CMD 環境下風險分析 (Command Trust)
能信任未被列入不知名程序指令 ex. 各類除錯程序指令
ngrok.exenc.exe
PowerShell 低風險指令集
PowerShell 高風險指令識別
PowerShell UAC繞過與提權
PowerShell 指令混淆識別
無風險OS CMD指令
中風險OS指令識別(4級)
ATT&CK 風險指令識別(5級)
LOLBAS風險指令識別(5級)
混淆指令風險識別(5級)
企業內一般放行指令程序集(for使用者)
企業內特殊放行指令程序集(for特權使用)
各類一般程序指令(Java, Pyhon, .Net, …)
風險疑慮程序指令(Java, Pyhon, .Net, …)
Sysinternals Suite 一般用途程序指令
Sysinternals Suite有風險疑慮程序指令
低風險特殊程序CMD 指令
有風險疑慮已知特殊程序CMD 指令
**找出未能信任高風險不知名程序指令
一般排程或批次指令
有風險疑慮批次指令
input
output
命令列長度 命令列中^的個數 管道符號的個數
命令列中空白片段 特殊字元片段 命令列中cmd和power字串出現的頻率
命令列(Windows DOS CMD)檢測與標註辨識
cmd.exe /c "echo InsiderThreats" cmd.exe /c "set O=Threats&set B=ider&&set D=echo Ins&&call %D%%B%%O%"
d=%windir:~ -4, -3% cm%windir:~ -4, -3%.e^Xe,;^,/^C",;,S^Et ^ ^o^=Th^re^ats&,;,^se^T ^ ^ ^B^=d^e^r&&,;,s^Et^ ^ d^=ec^ho I^n^s^i&&,;,C^Al^l,;,^%^D%^%B%^%o^%"
解兩次FOR /F "delims=il tokens=+4" %Z IN ('assoc .cdxml') DO %Z ,;^,/^C",;,S^Et ^ ^o^=e^at^s&,;,^se^T ^ ^ ^B^=d^erT^hr&&,;,s^Et^ ^ d^=ec^ho I^n^si&&,;,C^Al^l,;,^%^D%^%B%^%o%"
解兩次^F^oR , , , , , ; ; /^f ; ; ; ; ; , " delims=il tokens= +4 " ; ; ; , , , , %Z ; , , , , ^In , , ; ; , , , ( , ; ; ; ' , , , , , ; ^^a^^S^^s^^oC ; , , , , ; .c^^d^^xm^^l ' ; , , , , ) , , , , ; , ^d^o , , , , , , , %Z , ; ^ ,/^C" , ; , S^Et ^ ^o^=e^at^s& , ; , ^se^T ^ ^ ^B^=d^erT^r&& , ; , s^Et^ ^ d^=ec^ho I^ns^i&& , ; , C^Al^l , ; , ^ %^D%^%B%^%o%"
= = 摩托車載人
預設戰情室 Dashboard
Encrypting Ransomware
MBR / Bit lockerRansomware
IoT / CIIRansomware
Others
Mobile Device Ransomware
Locker Ransomware
檔案加密勒索
登入系統需要密碼
Boot 加密
Oracle
MySQL(NOSQL)
MongoDB
File (Data)
Postgres MS-SQL
Oracle
MySQLMongoDB(NOSQL)
File (Data)
Postgres MS-SQL
Encrypt database files
Using Web ApplicationsVulnerability to Destroy Databaseex. Mass SQL Injection
Use System Weak Password to Encrypt & Destroy Database Data
對Ransomware 有效預防對策
2019/7-2020/8 Ransomware 有效性驗證, DB 支持Cluster Netwalker Mongolock Ryuk Nefilran-A Avaddon WannaCry MegaCortex CrySiS WastedLocker
Sodinokibi Phobos try2cry Netwalker GandCrab Snatch Zeppelin LockerGoga Globelmposter
wannacrypt GandCrab Angus MZP Lord-EK-sends-Eris geometry dash cerber.bin GandCrab II Sekhmet
AKO DoppelPaymer Globelmposter2.0 Maze Nefilim Nemty Pysa
總覽至 全球與台灣內部威脅分析數據會說話,不論在疫情期、在常態上班、在遠距工作,在 架構下,以及內部與外部配合的竊取,需要從 角度建立細緻疆界管控與記錄。
挖掘出風險,需要快速且有效緊急響應將 的記錄巨量蒐集,輔以快速風險分析的戰情室,必須提出有效執行對策,這時候需要
結論沒有有效完整記錄,就無法建立風險戰情,更無法施以響應對策
風險在哪 風險戰情室不同企業文化與管控手段,都會仰賴好的資安稽核來挖掘出,企業隱性的風險與異常,是否有專業風險 ,協助加速釐清問題
AGENDA
EDR「警示與戰情」組成架構與要素
罐頭訊息
風險類別管理
訊息類型管理
風險行為
網路管制狀態
管制目的類型
離職處置
到職關懷
現有X-FORT記錄
未來數據分析
未來可蒐集記錄
通知對象
產業別思考
X-FORT記錄
對應行動
裝置狀態條件
行動裝置狀態
回復行動
異質服務整合
架構要素
API 介接
與SIEM 結合
自動或手動
EDR「警示與戰情」訊息類型管理
訊息類型管理模組
簡訊(多媒體訊息) 電腦警訊Dashboard戰情 Line/Skype/Teams Push Mail
資安 稽核 主管 高階 IT 使用者
極高 ● ● ●
高 ● ●
中 ● ●
低 ●
內控 ● ● ●
臨時 ● ● ● ●
簡訊SMS
電腦訊息
戰情資訊
APP訊息
極高 ● ● ● ●
高 ● ● ● ●
中 ● ● ●
低 ● ●
內控 ● ● ●
臨時 ● ●
EDR「警示與戰情」組成架構與要素之風險行為
風險行為
加密勒索
違反內控
駭客行為
失聯狀態
內部惡意
迴避監控
IT關注的行為
超量行為
設定異常
風險指令運行
自訂義
無授權存取
大規模副檔名變動
陷阱採點偵測
軟體異常變動
違規接取
(內)裝置遺失
裝置異常變動
內對外攻擊
內對內攻擊
黑名單軟體執行
記錄未傳回
(外)裝置遺失
網路設定異動
受控目錄異常
權限提升異常
受監控機碼異動
PowerShell 混淆
CMD 混淆
無痕模式
資源耗盡監控
ICMP
127.0.0.1
etc表被更動
MAC & IP 更動
上傳 刪除
下載列印
更名超量安裝
說明:相關惡意手法可以參照ATT&CK 192項分類
EDR「警示與戰情」組成基本架構之對應行動Automatic Manual
管控DVD/VCD
強制重啟 OS
管控WPD(smartphone)
管控應用程式執行
限制存取Internet
管控可攜儲存裝置
管制Office巨集使用
強制關機
內網白名單IP使用管控
回復瀏覽器到預設狀態
限制進入安全模式
管控 VSS管控列印
限制瀏覽器Plugin APP (e.g. Chrome, Firefox)
管控 EFS管控 Wi-Fi & 及掃瞄
控制端點IIS服務啟用
管控 CMD /PowerShell
管控BitLocker
強制登出
管控Windows Firewall
管控IPV4 / IPv6 管控相機鏡頭
機碼管控
限制Windows APP 安裝使用
強制備份檔案
管控分享資料夾
限制只安裝允許的Windows
管控 Local Security Policy
控制拖拉、複製、貼上檔案
禁止刪除passwords /
cookies
管控登入到Windows APP
Store
網路
禁用Microsoft accounts
禁止anonymous enumeration of SAM accounts
管控分享桌面
本機
系統管理 應用程式
總覽至 全球與台灣內部威脅分析數據會說話,不論在疫情期、在常態上班、在遠距工作,在 架構下,以及內部與外部配合的竊取,需要從 角度建立細緻疆界管控與記錄。
挖掘出風險,需要快速且有效緊急響應將 的記錄巨量蒐集,輔以快速風險分析的戰情室,必須提出有效執行對策,這時候需要
結論沒有有效完整記錄,就無法建立風險戰情,更無法施以響應對策
風險在哪 風險戰情室不同企業文化與管控手段,都會仰賴好的資安稽核來挖掘出,企業隱性的風險與異常,是否有專業風險 ,協助加速釐清問題
AGENDA
魔鬼藏在細節中,充足軌跡記錄,搭配管控手段有助益於降低企業面對越來越細膩 Insider Threats
⚫ 管控與EDR 並用相輔相成
⚫ 依各產業特性,建立普遍與特殊性戰情警示資訊
⚫ 協助各產業 IT、資安、稽核,快速呈現細膩深藏的風險
⚫ 更智慧區分內部風險或是外來風險
⚫ 快速建立起DLP與Zero Trust 整合應用