Hackingens 5 faser. Kim Elgaard, Solution Engineer, Dubex A/S. 21. marts 2017

Transkript

1 Hackingens 5 faser Kim Elgaard, Solution Engineer, Dubex A/S 21. marts 2017

2 Agenda Angrebs vectorer Hackingens faser, samt beskyttelsen Hverdagseksempler Hvad kan vi gøre Praktiske anbefalinger Live demo

3 Angrebs Vectorer Virtualization and Cloud Computing Organized Cyber Crime Un-patched Software Targeted Malwares Social Networking Ransomware Insider Threats Information Systems Complexity of Computer Infrastructure Botnets Compliance to Govt. Laws and Regulations Mobile Device Security Inadequate Security Policies Network Applications Lack of Cyber Security Professionals

4 4 Hacking faser Der er forskellige faser, som hackeren går igennem, når de hacker et system.

5 Fase 1: Reconnaissance Reconnaissance Reconnaissance er den indledende fase, hvor hackeren forsøger at indsamle information omkring et mål inden et egentligt angreb Reconnaissance kan omfatte kunder, medarbejdere netværk og systemer Scanning Gaining Passiv Reconnaissance Reconnaissance Types Aktiv Reconnaissance Clearing Tracks Maintaining Med passive reconnaissance finder man oplysninger uden direkte at være i kontakt med målet For eksempel søgning på hjemmesider eller jobannoncer Aktiv reconnaissance involverer direkte kontakt med målet For eksempel, telefon opkald til reception eller brugere

6 Beskyttelse mod Reconaissance Reconnaissance Uddan brugerne i de tricks og risisi, som er forbundet med Social Engineering Krypter sensitive information Scanning Brug Footprinting teknologier til at se hvilken information, som er tilgængelig Gaining Brug en sikkerhedspolitik til at oplyse om hvilke oplysninger, som en burger må oplyse til 3. part Maintaining Som udgangspunkt svært at gardere sig imod. Clearing Tracks

7 Fase 2: Scanning Pre-Angrebs Fasen Reconnaissance Scannings fasen refererer til den fase hvor hackeren scanner målets netværk efter specifikke oplysninger, på grundlag af de oplysninger der er indsamlet under reconnaissance. Man mindsker angrebsfladen. Gaining Scanning Port Scanner Scanning kan omfatte brug af portscannere, network mappers, ping tools, vulnerability scanners, osv. Maintaining Udtræk af Information Hackeren kan udtrække oplysninger om systemer, som åbne porte operativsystem, opppetid osv. Clearing Tracks

8 Beskyttelse mod Scanning Reconnaissance Gaining Scanning Maintaining Firewalls i dag har flere teknikker, som bør benyttes for at kunne have en bedre beskyttelse, bla IPS. Alle websider fortæller hvilken webservice, som kører. Der kan man vise falsk information for at mislede en angriber Slå services fra, som ikke er nødvendige for driften Brug scannings teknikker til at kunne se, hvilke informationer man kan finde Jo flere lag en hacker skal igennem, så svære vil det være at komme ind, så brug flere firewalls til at give et flerlags sikkerhedsniveau Systemer som vender mod internettet bør beskyttes mere end andre systemer Clearing Tracks

9 Fase 3: Gaining Reconnaissance 1. Gaining access er den fase, hvor hackeren får adgang til operativsystemet, programmer på computeren eller netværket 2. Hackeren får adgang på operativsystem niveau, applikations niveau eller netværks niveau Scanning 3. Man sørger for at få rettighederne eskaleret til administrative rettigheder, for at få fuld control over systemet Gaining 4. Eksempler omfatter password cracking, buffer overflows, denial of service, session hijacking, etc. Maintaining Clearing Tracks

10 Beskyttelse mod Gaining Reconnaissance Hav en password policy, for at kunne beskytte sig mod password cracking Brug ikke default password Scanning Brug multifactor authentication Gaining Brugerne bør som udgangspunkt ikke have admin rettigheder Maintaining Antivirus er ikke nok, man bør bruge en complet endpoint løsning Man bør Ikke genbruge passwords Clearing Tracks Del ikke passwords

11 Fase 4: Maintaining Reconnaissance Maintaining access er den fase hvor hackeren forsøger at bevare sin adgang/ejerskab til det hackede system Ved at sikre denne adgang med bagdøre, trojanske heste, kan hackeren forhindre at andre kan overtage systemet. Scanning Hackeren kan på dette stadie uploade, manipulere med data, programmer og konfigurationer på det angrebne system Gaining Samtidig kan man bruge det kompromitterede system til at angribe videre ind i organisationen Maintaining Clearing Tracks

12 Beskyttelse mod Maintaining Slå features og services fra, som ikke er i brug Reconnaissance Opdater Applikationer og operativsystemer regelmæssigt Scanning Brug advanceret endpoint beskyttelse som Host baseret IPS for at kunne monitorer og forhindre installation af mistænkelig software Gaining Scan og monitorer for ændringer på systemer og netværk Maintaining Harden de kritiske systemer, for at være beskyttet mod diverse advancerede angreb Clearing Tracks

13 Fase 5: Clearing Tracks Reconnaissance Scanning Skjule sine spor Intentioner Overskrivning Gaining Maintaining Covering tracks dækker de aktiviter som hackeren udfører på det ramte system Hackerens intentioner er, at fortsat have adgang til systemer, slette beviser, som kan føre til at et angreb opdages. Der overskrives logfiler på det ramte system, for at undgå mistanke Clearing Tracks En hacker dækker altid sine spor, for at skjule sin identitet

14 Beskyttelse mod Clearing Tracks Reconnaissance Brug et SIEM værktøj til at monitorere log filer for sikkerheds hændelser Forhindrer brugerne i at slette/ændre i Windows event log Scanning Ændringer i registrering databasen bør forhindres eller som minimum overvåges Gaining Indsaml de nødvendige log filer fra alle nødvendige systemer Maintaining Clearing Tracks

15 15 Hverdags eksempler Eksempler på diverse fra hverdagen, samt hvad er faresignalerne.

16 16

17 17 Hvad kan vi gøre? Praktiske anbefalinger til brugere og virksomhed omkring IT sikkerhed Gode råd til at øge sikkerheds niveauet på arbejdspladsen og privat

18 Hvad kan vi gøre? Praktiske anbefalinger virksomhed Overvågning: Mange organisationer opdager først brug på sikkerheden, når de får opkald fra politiet eller en kunde. Overvågning af logfiler kan give en advarsel om sikkerhedsbrud Endpointbeskyttelse: Endpoints skal beskyttes af mere end antivirus husk opdateringer, begrænsede rettigheder, websikkerhed, device kontrol Patch straks: Angribere får ofte adgang ved hjælpe af simple angrebsmetoder, som man kan beskytte sig mod med et opdateret IT-miljø Multi-faktor-autentifikation: Dette vil ikke eliminere risikoen for, at passwords bliver stjålet, men det kan begrænse de skader, der kan ske med misbrug af stjålne oplysninger Mennesker: Awareness er stadig vigtigt. Undervis de ansatte i vigtigheden af sikkerhed, hvordan et angreb opdages, og hvad de skal gøre, når de ser noget mistænkeligt Husk fysisk sikkerhed: Ikke alle datatyveriet sker online. Kriminelle vil manipulere med computere, betalingsterminaler eller stjæle dokumenter Krypter følsomme data: Hvis data bliver tabt eller stjålet, er det meget sværere af misbruge Backup: Hvis alle andre foranstaltninger fejler, kan backup redde data. Husk beskyttelse af backup medierne Skab en IT-sikkerhedskultur: Få medarbejderne og ledelsen til at tænke på IT sikkerhed

19 Hvad kan vi gøre Praktiske anbefalinger brugere Brug din sunde fornuft: Oplys ikke fortrolige og personlige oplysninger på sociale medier, debatsider og chatrum, vær skeptisk hvis noget virker for godt til at være sandt Lås dine enheder: Når du forlader computer, tablet, smartphone m.m. så husk at låse dem, så andre ikke kan få adgang til dem Undlad at klikke på links i mails: Undersøg om links er ægte, inden der trykkes på dem Undgå ukrypterede trådløse netværk: Vær opmærksom på usikre trådløse netværk, huske at kryptere det Hvis du skal indtaste brugernavn og password uopfordret: vær ekstra opmærksom, som hovedregel vil bank, IT, Skat eller lignende aldrig bede om brugernavn og password Brug en Endpoint løsning: Beskyt altid dine enheder med Antivirus og firewall. De fleste producenter har i dag løsninger, som beskytter mod virus, identitetstyveri og målrettede angreb Brug stærke passwords: Genbrug aldrig passwords, brug forskellige password til forskellige systemer, brug fraser, overvej multi-faktor-authentikation Backup: Hvis alle andre foranstaltninger fejler, kan backup redde data. Husk beskyttelse af backup medierne Patch straks: Angribere får ofte adgang ved hjælpe af simple angrebsmetoder, som man kan beskytte sig mod med et opdateret IT-miljø

20 20 Demo

21 21 Kontaktinfo Kim Elgaard Regionschef Vest & Solution Engineer T M M [email protected]

22 Tak!