Banche e Sicurezza Una grave minaccia Cyber: APT in Banca. Paolo Campobasso Senior Vice President Group Chief Security Officer

Transcript

1 Banche e Sicurezza 2012 Una grave minaccia Cyber: APT in Banca Paolo Campobasso Senior Vice President Group Chief Security Officer Roma 28 Maggio

2 Cos è un Advanced Persistent Threat Advanced Persistent Threat L Advanced Persintent Threat si diversifica rispe6o alle tradizionali azioni di hacking per le seguen3 cara6eris3che: ADVANCED PERSISTENT THREAT vengono u3lizzate tu6e le tecniche e tools di hacking tradizionali ma vengono anche proge6a3 e costrui3 tools di hacking dedica3 a6uata da gruppi organizza3 e diversifica3 rispe6o alle varie fasi dell a6acco a6raverso azioni pianificare, lente ma con3nue che possono durare anni minaccia riferita principalmente allo spionaggio via internet ma u3lizza anche tecniche di spionaggio tradizionale h"p://en.wikipedia.org/wiki/advanced_persistent_threat 2

3 Alcuni esempi di Advanced Persistent Threat RSA, la divisione di EMC 2 per la sicurezza, è il fornitore leader di soluzioni di sicurezza per accelerare il business aziendale. h"p://italy.rsa.com/ 10 Aprile PCWorld In una le6era aperta apparsa sul loro sito web, RSA rileva di essere stata ogge6o di un a6acco e che sono sta3 ruba> da> che potrebbero potenzialmente compromecere i loro token SecurID. h"p:// 3

4 Alcuni esempi di Advanced Persistent Threat 13 Marzo 2012 Il corriere della sera Gli hackers al servizio dell'esercito popolare cinese si sono impadronirsi di da> sul F- 35 (JSF), il caccia sviluppato dagli Usa in collaborazione con altri partner europei tra cui l Italia. h"p:// cinesi- rubano- l- aereo- invisibile- guido- olimpio_6907c74c- 6cdb- 11e1- b7b3-688dd29f4946.shtml 4

5 Simulazione Advanced Persistent Threat Per riuscire a percepire quanto possa essere devastante questo 3po di a6acco e quanto ogni organizzazione sia potenzialmente vulnerabile, proviamo a simulare l avvio e l esecuzione di un APT contro una grande Banca estera. 1 Selezioniamo il target Scegliamo un paese estero (PAKISTAN) e prendiamo una banca a caso, ricordando che questo 3po di tecnica potrebbe essere u3lizzata contro una qualsiasi delle grandi organizzazioni is3tuzionali, industriali o finanziaria italiane o internazionali. 5

6 Simulazione Advanced Persistent Threat 2 Ricerchiamo un punto debole: un dipendente dei sistemi informa>vi Ad esempio Malik X 6

7 Simulazione Advanced Persistent Threat 3 Ricerchiamo informazioni su Malik X Profilo Slideshare 7

8 Simulazione Advanced Persistent Threat 4 Ricerchiamo il profilo Facebook di Malik X Bacheca Informazioni Foto Diario Interessi Facebook Facebook 8

9 Simulazione Advanced Persistent Threat 5 Ricerchiamo la casella di posta aziendale di Malik X Mr. Malik X Malik.X@Askaribank.com.pk 9

10 Simulazione Advanced Persistent Threat û ü 6 Ricerchiamo un argomento che possa interessare a Malik X Università di Lahore Diario Facebook Interessi Facebook 10

11 Simulazione Advanced Persistent Threat Prendiamo Creo Aggiungiamo Aggiungo pdf il sito uno con di Malware l immagine Script Imran 0- Day Khan (programma) scelta ed estraiamo un immagini 11

12 Simulazione Advanced Persistent Threat 12 AIPndividuiamo rendiamo e creiamo na ail 13 lleghiamo uil n immagine pudf he abbiamo cnreato in dm pi recedenza 11 na cm ail ufficiale el suito Imran Khan 12

13 Simulazione Advanced Persistent Threat Malik A Spediamo Il malware questo crede punto la conta6a di mail aver prendiamo ricevuto un server il una controllo mail della dal compromesso Lo par3to macchina social.media@insaf.pk 0- day funziona Imran su internet Malik Khan a. e il e e server installa la Malik.X@Askaribank.com.pk apre ci il avverte malware dell esito con della il compromissione nostro pdf 16 ma non l ha spedita Imran Khan social.media@insaf.pk Malik.X@Askaribank.com.pk 13

14 Simulazione Advanced Persistent Threat A6endiamo A6raverso il malware ca6ura il che server altri le ponte sistemis3, credenziali e la macchina colleghi di Malik: infe6a di Malik accediamo si nomeutente auten3chino ai + server password su quei con server le credenziali di Malik e installiamo e il nome dei keylogger server che e rootkit Malik ges3sce: serv_1, serv_2 e o6eniamo altri username + password e l accesso ad altri server serv_3, serv_4 Serv_3 Serv_4 Serv_2 serv_1 14

15 Simulazione Advanced Persistent Threat Ma Da ora noi solo non pochi siamo di soli noi si occuperanno e i nostri colleghi di mantenere hanno o6enuto accesso opera3vi ad altri client i canali e di server controllo e di noi crearne siamo altri il Team A Serv_5 Serv_3 Serv_6 Serv_4 Serv_2 serv_1 15

16 Simulazione Advanced Persistent Threat 24 Team B Ora è il turno del Sono analis3 e specialis3 nelle tecnologie del nostro target compiono ricerche mirate di informazioni Serv_5 Serv _3 Serv_6 Serv_4 Serv_2 serv_1 16

17 Riassumendo Advanced Persistent social engineering 0- day script malware standard nuovi malware specifici Spearfishing keylogger rootkit scanning exploita3on furto di credenziali mantenimento dei canali di controllo (Command and Control) Threat ricerche mirate di informazioni u3lizzo di tecniche di spionaggio tradizionale 17

18 Riassumendo Pun> di forza dell APT furto d iden3tà di uten3 e amministratori u3lizzo dei servizi standard messi a disposizione dall infrastru6ura ICT target u3lizzo di mol3ssime tecniche e tools differen3 durante la stessa operazione azione di basso profilo (connessioni autorizzate) con bassa frequenza (low and slow) Pun> deboli dell APT le informazioni so6ra6e debbono uscire passando per i canali di interconnessione della rete a internet (non a6raverso chiave6e usb, paper, ) anche le sessioni C2 (Command and Control) passano a6raverso gli stessi canali nella fase di creazione della rete di infiltrazione vengono a6accate quasi esclusivamente macchine Windows I tools u3lizza3 durante un operazione cambiano ma debbono eseguire gli stessi compi3 no3: rubare credenziali, creare backdoors, cercare computer compromekbili, stabilire canali di comunicazione verso l esterno, cercare e spedire informazioni il modus operandi è prevedibile noi sappiamo quali sono e dove sono le informazioni maggiormente sensibili 18

19 Come ci si difende Prevenzione Controllo Reazione Aspe"o Legale Intelligence accurato risk assessment che consideri anche questo fenomeno adozione di sistemi di cifratura e data loss preven3on con3nuo patching dei sistemi opera3vi e delle applicazioni segmentazione delle re3 e separazione delle funzioni aziendali (uten3/amministratori) adozione di sistemi di strong authen?ca?on almeno per amministratori e servizi cri3ci monitoraggio di tu6o il traffico entrante e uscente dalle nostre re3 analisi dell u3lizzo dei sistemi informa3vi per evidenziare anomalie (correlazione even3) cos3tuzione di uno CSIRT (Computer Incident Response Team) con capacità di log analysis digital forensic reverse engineering proge6azione e a6uazione piani di rimedio Akvità di Cyber Intelligence per predire le possibili minacce 19

20 Il livello della minaccia nel mondo industriale Chengdu Aircram Industry Group 20

21 Il livello della minaccia nel mondo industriale Assomiglia molto ad un Eurofighter ma è il Chengdu J- 10 Chengdu J- 10 Eurofighter 21

22 Il livello della minaccia nel mondo industriale Ma anche ques3 si assomigliano. Forse è una coincidenza Shenyang J- 11 Sukhoi Su

23 Il livello della minaccia nel mondo industriale o forse no! Chengdu J- 22 F- 35 Joint Strike Fighter 23

24 L APT nel mondo bancario Lo scenario appena descri6o evidenzia come piccoli gruppi molto ben organizza3, con elevate competenze tecniche e con una totale copertura is3tuzionale, possano sfrucare le risorse stesse della viyma contro di essa sia nella fase di penetrazione sia nella fase di permanenza e controllo. Ogni forma di APT ed in par3colare quelle basate su a6acchi di Social Engineering, si basa sulla debolezza del facore umano che viene sfru6ata quando l a6accante interagisce so6o men3te spoglie dire6amente con il target prescelto, per riuscire ad o6enere dalla vikma le informazioni desiderate. Questa me3colosa preparazione diversifica l a6acco APT dal classico phishing che, pur sfru6ando nello stesso modo la vulnerabilità umana, u3lizza contenu3 meno personali e, generalmente, è volto a realizzare semplici truffe. L APT, invece, ha come obieyvo il furto di informazioni sensibili. Nel mondo bancario gli obiekvi non sono i singoli con3 corren3 dei clien3 ma le informazioni strategiche rela>ve alle grandi manovre finanziarie delle banche. 24

25 L APT nel mondo bancario Lo scenario appena descri6o evidenzia come piccoli gruppi molto ben organizza3, con elevate competenze tecniche e con una totale copertura is3tuzionale, possano sfrucare le risorse stesse della viyma contro di essa sia nella fase di penetrazione sia nella fase di permanenza e controllo. Ogni forma di APT ed in par3colare quelle basate su a6acchi di Social Engineering, si basa sulla debolezza del facore umano che viene sfru6ata quando l a6accante interagisce so6o men3te spoglie dire6amente con il target prescelto, per riuscire ad o6enere dalla vikma le informazioni desiderate. Questa me3colosa preparazione diversifica l a6acco APT dal classico phishing che, pur sfru6ando nello stesso modo la vulnerabilità umana, u3lizza contenu3 meno personali e, generalmente, è volto a realizzare semplici truffe. L APT, invece, ha come obieyvo il furto di informazioni sensibili. Nel mondo bancario gli obiekvi non sono i singoli con3 corren3 dei clien3 ma le informazioni strategiche rela>ve alle grandi manovre finanziarie delle banche. 25

26 Come affrontare l APT Trusted Execu>on Monitor Network Threat Detector Monitoring all the traffic on the network in order di identify the malware communications, its propagation and the enemy's command and control activities Monitoring all executable file on all the host (clients and servers) of the IT System in order to identify when an unknow program is runned Changing configurations on your prevention tools (firewall, proxy,...) and adding new rules on the nerwork monitor system Using an host-based agent which runs on each host in the IT System and it is able to remove a malware instantly from all the hosts To act a preven>on plan To act this strategy To Detect To Understand To define a remedia>on strategy Collecting all the alert from the network, from the hosts in a SIEM (Security Information and Event Management, i.e. Arcsight) in order to create a real time situation awareness picture Merging this picture with your own Dynamic risk management system, your asset invenctory System and Cyber-Intelligence information Basing on a Decision Support System 26

27 Come affrontare l APT Network Threat Detector Agenda Trusted Execu>on Monitor 27

28 e le Banche Italiane sono sicure di non avere il loro Malik? 28

29 Grazie per l a6enzione Paolo Campobasso Senior Vice President Group Chief Security Officer at Finmeccanica 29