Il valore di un processo efficiente di Incident Response: un caso reale

Transcript

1 Il valore di un processo efficiente di Incident Response: un caso reale CyberSecurity Summit Milano 9 Aprile,2014 Angelo Colesanto, Pre-Sales System Engineer, RSA 1

2 Scenario iniziale Primario istituto bancario EMEA Cliente dotato di avanzate tecnologie di Firewall, proxy/content filtering, IDS/IPS, SIEM, Antivirus Il cliente non ha un SOC Il cliente sospetta di aver subito un incidente, testimoniato da alcuni dati noti come trafugati Il cliente ha già consultato delle aziende di primaria importanza, ma non è riuscito ad avere garanzie di conferma o di esclusione dell incidente Viene ingaggiato l RSA Incident Response Team 2

3 Piano d azione Giorno 1 Kick off con il cliente Viene attivata la componente di Network Forensic e Malware Analysis Giorno 2 A poche ore dall attivazione della componente di network forensic viene identificato del traffico sospetto in uscita Viene attivata la componente di EndPoint Forensic sui device sorgenti del traffico sospetto 3

4 Esempio di indicatori che hanno permesso di rilevare il traffico anomalo 4

5 Esempio di dettaglio del traffico anomalo 5

6 Scenario di investigazione Individuate workstation con traffico di rete anomalo. Connessioni di rete in uscita con cadenze regolari verso località insolite per il traffico aziendale ordinario Individuate le workstation l investigazione dell endpoint identifica il codice anomalo in esecuzione Ma come è arrivato qui? 1 2 PASSWORD 4 Analizzando il traffico di rete Si registra un traffico SMTP anomalo per i server e vengono ricostruiti dei messaggi di phishing (proposte di assunzione) 3 Analisi del malware - Determina che l attaco è operativo da 7 mesi - Ha compromesso oltre 30 sistemi - Simula una richiesta di CV con un allegato world che contiene un PE (fake) 6

7 Scenario di sottrazione dei dati (Data Ex-filtration) L utente infetta altri colleghi Non riuscenda ad aprire il template CV, chiede ad alcuni colleghi di farlo per lui, infettando anche loro Password hash Il malware colleziona password hash delle credenziali imputate sui sistemi. Su un sistema effettua un login un Amministratore di sistema 5 6 PASSWORD Attacco al domain controller L account Administrator trafugato viene utilizzato per creare account amministrativi di dominio 7 8 PASSWORD Data ex-filtration Con gli account amministrativi si può accedere ai dati cercati, comprimerli (ZIP con password) e trasferili via FTP 7

8 Esito dell analisi Oltre 7 mesi dall attacco alla sua identificazione 15 giorni tra l attacco e la sottrazione dei primi dati Sono stati sottratti 85 Mb di documenti riservati Infettati oltre 30 sistemi Compromessi circa 60 account Trasferiti i dati su un sistema in territorio statunitense Le attività successive hanno consentito di recuperare dal server (drop zone) i dati sottratti ed identificare ulteriori 60 vittime della stessa tipologia di attacco 8

9 La lezione: la sicurezza tradizionale non è sufficiente 99% of breaches led to compromise within days or less with 85% leading to data exfiltration in the same time 85% of breaches took weeks or more to discover Source: Verizon 2012 Data Breach Investigations Report 9

10 Obiettivo: ridurre il tempo a disposizione dell attaccante Attacker Surveillance Target Analysis Access Probe Attack Setup System Intrusion Attack Begins Discovery/ Persistence Cover-up Starts Leap Frog Attacks Complete Cover-up Complete Maintain foothold TIME ATTACKER FREE TIME Need to collapse free time TIME Physical Security Threat Analysis Attack Forecast Monitoring & Controls Defender Discovery Attack Identified Source: NERC HILF Report, June 2010 ( Containment & Eradication Incident Reporting Impact Analysis Damage Identification Response System Reaction Recovery 10

11 Strumenti e processi indispensabili RSA Security Management Compliance Vision 11

12 Benefici Riduzione dei rischi da minacce avanzate Riduce i tempi di investigazione da giorni a minuti Limita il tempo a disposizione dell attaccante Eleva il livello di efficienza del security team Aumenta il livello di competenza collettiva del team fornendo strumenti di analitica avanzata e fonti di informazioni sulle minacce Investigazioni più rapide, informazioni centralizzate ed allarmi e reportistica automatizzati. Implementa una intelligence driven security strategy Fonti di intelligence per difendersi con maggior consapevolezza Modello di sicurezza basato sul rischio, agile e contestuale 12

13 GRAZIE