Sprawozdanie z konferencji SECURITY CASE STUDY 2014

gru 2, 2014, ZZOLD konferencje, ZZOLD wydarzenia FBC

SCS14 W dniach 26 i 27 listopada 2014r. w Warszawie odbyła się konferencja Security Case Study 2014, w trakcie której omówionych zostało wiele ważnych tematów związanych z cyberbezpieczeństwem, w tym ponad 20 przypadków incydentów, które miały istotne znaczenie dla funkcjonowania organizacji działających w sektorach publicznym i prywatnym, w tym w działających obszarze infrastruktury krytycznej.

ZAPRASZAMY DO UCZESTNICTWA W KONFERENCJI SCS 2015
www.securitycasestudy.pl

Ochrona cyberprzestrzeni oczami NIK

Gen. Marek Bieńkowski (Najwyższa Izba Kontroli) przedstawił uczestnikom konferencji wstępne wyniki kontroli przygotowanej przez Departament Bezpieczeństwa Wewnętrznego (oficjalna prezentacja planowana jest w I kwartale 2015r.), której celem było sprawdzenie jak podmioty państwowe realizują zadania w zakresie ochrony cyberprzestrzeni. Sprawozdanie NIK nie napawa optymizmem. Ustalenia kontroli wykazały, że:

Ministerstwo Spraw Wewnętrznych (MSW)

1. nie uczestniczyło w budowie systemu ochrony cyberprzestrzeni państwa,
2. dostrzega się, wśród pracowników, brak świadomości jakichkolwiek obowiązków związanych z bezpieczeństwem państwa w cyberprzestrzeni,
3. nie określono roli Ministra w ramach systemu ochrony cyberprzestrzeni,
4. Minister nie realizował żadnych zadań skierowanych do użytkowników i administratorów cyberprzestrzeni spoza resortu,
5. nie dokonano formalnego przekazania dokumentacji do Ministerstwa Administracji i Cyfryzacji,
6. nie wdrożono zapisów Polityki Ochrony Cyberprzestrzeni,
7. Ministerstwo nie realizowało obowiązków w zakresie kontroli systemów teleinformatycznych (np. policji),
8. Pracownicy nie dysponowali, w trakcie kontroli, wiedzą na temat własnych systemów – zasobów podlegających ochronie.

Komenda Główna Policji (KGP)

1. zostały powołane jednostki do zwalczania przestępczości komputerowej (jednak dostrzegalny jest problem komunikacyjny i merytoryczny na linii CERT – Policja),
2. prowadzi, na dużą skalę, działania edukacyjne i informacyjne na temat zagrożeń z korzystaniem z Internetu,
3. brak jest kompleksowego systemu reagowania na incydenty (kontrolerzy dostrzegli, że jedynie policja przekazuje informacje, nie podejmuje dalszych działań, nie pyta o przyczyny i sposób załatwienia danego zdarzenia),
4. nie ewidencjonuje się informacji o incydentach (w samym 2000r. CERT zgłosił ponad 2000 zagrożeń wewnątrz systemów policji),
5. nie ma powołanego zespołu CERT,
6. brak jest właściwej realizacji zadań wynikających z Polityki Ochrony Cyberprzestrzeni.

Ministerstwo Obrony Narodowej (MON)

1. aktywnie uczestniczyło i uczestniczy w budowie ochrony cyberprzestrzeni,
2. określono resortowe wymagania bezpieczeństwa IT,
3. prowadzona jest aktywna wymiana informacji z innymi podmiotami,
4. dokonuje się częstych zmian w swoich strukturach organizacyjnych,
5. cały resortowy system bezpieczeństwa IT podporządkowany jest Narodowemu Centrum Kryptologii oraz personalnie jednej osobie.

Agencja Bezpieczeństwa Wewnętrznego (ABW)

1. posiada CERT,
2. wdrożono system ARAKIS-GOV,
3. prowadzona jest wymiana informacji z innymi podmiotami,
4. przeprowadzane są okresowy testy bezpieczeństwa,
5. prowadzona jest aktywna działalność szkoleniowa i edukacyjna,
6. wdrażane są zapisy Polityki Ochrony Cyberprzestrzeni,
7. posiada ograniczone zasoby ludzkie i finansowe,
8. brak jest umocowania prawnego zespołu CERT.GOV.PL,
9. kontrowersyjne usytuowanie zespołu CERT.GOV.PL.

Naukowa Akademicka Sieć Komputerowa (NASK)

W zasadzie nie stwierdzono żadnych większych uchybień. Jest to bardzo uznany partner w kraju i za granicą, który prowadzi także działalność edukacyjną i szkoleniową. Podkreślono jednak, że jeśli od strony prawnej miałby pełnić rolę CERTU to musi być to uregulowane prawnie. Wskazano jedynie na ograniczenia działalności NASK wynikających z uwarunkowań biznesowych oraz tymczasowego i nieformalnego charakteru działań połączonego z niechęcią do potwierdzenia narodowego charakteru zespołu CERT Polska.

Rządowe Centrum Bezpieczeństwa (RCB)

1. zaproponowano ustanowienie 4 stopni alarmowych związanych ze zdarzeniami w cyberprzestrzeni,
2. wdrażane są zapisy Polityki Ochrony Cyberprzestrzeni,
3. publikowany jest informator o teleinformatycznej infrastrukturze krytycznej,
4. brak jest spójności systemów zarządzania kryzysowego i ochrony cyberprzestrzeni,
5. brak jest współpracy RCB i MAiC w zakresie analizy ryzyka i identyfikacji systemów
krytycznej infrastruktury IT.

Urząd Komunikacji Elektronicznej

W toku kontroli nie stwierdzono większych uchybień aniżeli brak informowania obywateli na temat incydentów, które zgłaszane są przez operatorów w ramach obowiązku notyfikacyjnego.

Ministerstwo Administracji i Cyfryzacji (MAiC)

1. wśród pracowników brak jest świadomości obowiązków w zakresie ochrony cyberprzestrzeni,
2. działania prowadzone są ad hoc – bez właściwego przygotowania,
3. nie zbudowano kapitału osobowego w zakresie utrzymania ciągłości bezpieczeństwa w cyberprzestrzeni (przykładowo od lutego 2014r. przypisano zadania do wydziału gdzie początkowo było 2 pracowników, a obecnie jest 4 przy czym kontrolerzy poddali pod wątpliwość kompetencje tych osób do pełnienia zadań).
4. nie rozpoczęto wdrażania zapisów Polityki Ochrony Cyberprzestrzeni (przyp. MAiC jest podmiotem odpowiedzialnym za koordynowanie Polityki Ochrony Cyberprzestrzeni). Dopiero po otrzymaniu pytań od kontrolerów NIK-u dotyczących realizacji zadań rozpoczęto wstępne prace nad realizację tego dokumentu.

Najważniejsze wnioski jakie płyną z kontroli dotyczą płaszczyzny prawnej i koordynacji procesów związanych z realizacją strategii ochrony cyberprzestrzeni.

Kwerenda aktów prawnych wykazała przede wszystkim brak kompleksowych regulacji prawnych (w zakresie relacji pomiędzy podmiotami państwowymi a prywatnymi). Jednocześnie w latach 2008 – 2011 mieliśmy 7 projektów narodowej strategii bezpieczeństwa w cyberprzestrzeni, w efekcie czego powstała Polityka Ochrony Cyberprzestrzeni (dokument ma duży poziom ogólnikowości, pisany jest w trybie przypuszczającym i jest słaby merytorycznie co dobitnie potwierdza fakt braku wdrażania jego zapisów przez organy państwowe). Gen. Marek Bieńkowski podkreślił, że podmioty państwowe nie są dobrze przygotowane i nie prowadzą spójnych zadań w zakresie ochrony cyberprzestrzeni RP co powoduje, że nie ma współpracy instytucji rządowych i państwowych jak i brak jest ośrodka decyzyjnego i koordynacyjnego. Podkreślił, że modyfikacji wymaga bierne czekanie na dyrektywę Network Information Security (NIS) oraz już teraz należy podjąć decyzję odnośnie strategii systemowej.

Temat ten kontynuowano w trakcie panelu dyskusyjnego, którego przesłanie i treść nie odbiegało od negatywnej oceny sytuacji wynikającej z prezentacji NIK. Panel poprowadził Andrzej Targosz z Fundacji Proidea, a wzięli w nim udział: Joanna Świątkowska z Instytutu Kościuszki, Maciej Groń reprezentujący Ministerstwo Administracji i Cyfryzacji , Krzysztof Liedel z Biura Bezpieczeństwa Narodowego, Andrzej Karpiński z Orange Polska oraz Tomasz Szewczyk reprezentujący Rządowe Centrum Bezpieczeństwa.

Botnety są wśród nas

Robert Kośla (Microsoft) przedstawił historie zamykania najgroźniejszych botnetów w sieci. Były to historie operacji:

1. Luty 2010: b49 (Waledac botnet) – pierwsza operacja do walki z sieciami botnetowymi, która pozwoliła zidentyfikować ponad 270 domen + ich fizyczne lokalizacje oraz „uwolnić“ ok. 90 000 komputerów zombie.
2. Marzec 2011: b107 (Rustock, który rozsyłał ok. 30 mld reklam dziennie) gdzie prowadzono współpracę na linii Microsoft – federalne organa ścigania – krajowe organa ścigania (np. policja holenderska) – inne organa (np. chiński CERT).
3. Wrzesień 2011: b79 (Kelihos) – udało się dotrzeć do sprawcy działającego na terenie Czech.
4. Marzec 2012: operacja b71 (ZeuS).
5. Wrzesień 2012: b70 (Nitol) – sprawcą był jeden z chińskich dostawców usług (skala botnetu liczyła 70 000 urządzeń).
6. Luty 2013r: b58 (Bamital).
7. Czerwiec 2013r: b54 (Citadel) – botnet udało się rozbić dzięki współpracy organów ścigania z sektorem prywatnym. Co ciekawe infekowały się komputery, które nie miały języka rosyjskiego/ukraińskiego ustawionego jako język systemowy.
8. Grudzień 2013r: b68 (Zero Access).
9. Czerwiec 2014: b157 (Game over Zeus).
10.Czerwiec 2014: b106 (Bladabindi and Jenxcus) – zainfekowanych było ponad 35 mln adresów IP, z czego najwięcej w Egipcie.
11. Lipiec 2014r: b93 (Caphaw) – działanie botnetu doprowadziło do straty rzędu 250 mln dolarów amerykańskich.

Robert Kośla wskazał także na globalne trendy w nowych podatnościach oraz nowe metody działań cyberprzestępców. Interesujące było także zestawienie metod, które prowadzą do infekcji urządzeń, z kótrych najbardziej popularnymi są techniki typu social engineering i infekcje poprzez pamięci USB. Co ciekawe ataki „0-day” stanowią niewielki ułamek procenta.

Warte uwagi było także przedstawienie struktur Digital Crime Unit i tego jak analizuje m.in. powiązania pomiędzy grupami przestępczymi. Dzisiaj już nie da się wykluczyć istnienia cyberprzestępców i jedną z dobrych metod do walki z nimi, którą proponuje Microsoft jest jest podniesienie kosztów utrzymania dla funkcjonowania grup przestępczych.

Wartym podkreślenia jest fakt, że we wrześniu uruchomiony został program pilotażowy przez Microsoft (dystrybucja poprzez FS AISAC) gdzie przesyłane są bezpłatne informacje na temat botnetów do instytucji finansowych.

APT : detekcja i przeciwdziałanie

Michał Ostrowski i Tomasz Pietrzyk (FireEye) przedstawili studium przypadku APT28 czyli cyberprzestępczej grupy monitorowanej od 2007r. Wskazali, że głównym kierunkiem ataków były rządy, NATO, OSCE, a także media (np. w celu manipulowania informacjami). Wskazali także, że np. malware mający związek z tą grupą zaatakował polskie organizacje rządowe (wykorzystano informacje na temat katastrofy nad Ukrainą malezyjskiego Boeinga, i co ważne fałszywe informacje były przygotowane profesjonalnie, co zwiększa prawdopodobieństwo skutecznej infekcji). Domeny jakich używano do rozsyłania spear phisingu pochodziły z Europy Wschodniej. Przestępcy wykrzystywali delikatne różnice w adresach mailowych (np. poczta.mon.g0v.pl – prawidłowy adres: poczta.mon.gov.pl).

Przeprowadzenie ataku wyglądało następująco:

1. Spearphishing mail (infekowanie następowało także ze strony webowej, najczęstszym exploitem był java script).
2. Dokument z exploitem.
3. Dropper malware (ściągnięcie następuje po zainstalowaniu exploita / analiza samego pliku jest praktycznie niemożliwa dla programów zabezpieczających bo nie ma wcześniej sygnatury na to przygotowanej).
4. Następnie jest uruchamiany malware i ściągane są następne moduły. Cała komunikacja jest szyfrowana.

Szczegółowy raport APT28.
O raporcie pisaliśmy również na stronie fundacji w artykule „APT28 – od 8:00 do 18:00” „

Marcin Siedlarz (Symantec Security Response) opowiedział więcej o kampanii cyber-szpiegowskiej Dragonfly, która prowadzona była w latach 2013-2014 i ukierunkowana na branżę energetyczną. Była to klasyczna grupa APT – posiadała stały dostęp do zaatakowanej infrastruktury. Do infekcji wykorzystywano 3 wektory ataku (spear phishing, strony webowe, zainfekowane oprogramowanie, które jest używane przez firmy z branży energetycznej). Kampania grupy ukierunkowana była na inżynierów i osoby z wyższym stanowiskiem (malware w .pdf gdzie wykorzystywali podatności Adobe, zaś w stronach webowych stosowali ukryte ramki w źródle strony, exploity pisane były na ISE i Javę). Przestępcy korzystali z głównego backdoora, który był typowym RAT (Remote Administration Tool) i posiadał różne moduły. Warto dodać, że wszystkie wektory ataków były współbieżne, a wszystkie wykradzione dane były szyfrowane (klucz 3DES) i wysyłane na serwer C&C. Klucz 3DES był zaszyfrowany RSA (badacze zrobili brute-force na klucz 3DES / przyjęli, że czas pomiędzy stworzeniem pliku YLS i wpisu XDATA jest mały – poniżej 5 min – a komponent, który wysyłał dane do C&C działał mniej niż 3 minuty, czas pracy pętli szyfrującej jest mniejszy niż 1ms). Przyjęcie poprawnych założeń pozwoliło przeprowadzić skuteczny atak i odszyfrować ok 90% danych.

Aktualnie brak jest aktywności ze strony Dargonfly. Nie udało się zidentyfikować sprawców, członków tej grupy. Jak podkreślił Marcin Siedlarz jest to dobrze wyposażona grupa, która nie ma zbyt dużej liczby członków, za to duże zdolności programistyczne. Znaczniki czasowe i tematyka (cel ataku) świadczyć może, że grupa mogła być wspierana/rozwijana przez państwo posiadające strefę czasową UTC+4 (czas moskiewski i czas dla Seszele).

Zbigniew Szmigiero (IBM) przedstawił liczne statyki związane z APT, a także podzielił się refleksją na temat tego jak można próbować przeciwdziałać tego rodzaju zagrożeniu. Wskazał, że budując bezpieczeństwo ulegliśmy podobnemu problemowi jak fortyfikacje francuskie zwane linią Maginota. Inwestujemy w firewalle, vps, dlp sieciowe czy końcówkę, tymczasem większość ataków może być wykonana z pominięciem tej linii. Podkreślił jak dużym zagrożeniem są system przed-produkcyjne bo nie są chronione tak jak systemy produkcyjne. Wskazał także, że każda organizacja powinna znaleźć swoją linię Maginota i słabe punkty pozwalające ją ominąć.

Zbigniew Szmigero przypomniał także, że przestępcy chętnie korzystają z social media (np. weryfikują profile na LinkedIN pod kątem tego czym dane osoby zajmują się w firmie, bądź nad czym aktualnie pracują).

Jednym z wektorów ataku może być udawanie headhuntera i przesłanie ciekawej oferty pracownikowi, którego pobrania spowoduje instalację malware na stacji roboczej gdy jest ona poza wewnętrzną, zabezpieczoną siecią (np. gdy pracownik wynosi komputer na weekend do domu).

Bezpieczeństwo musi być wielowarstwowe (skupianie się na brzegu sieci to za mało).

Valery Milman (CyberArk) wskazał z kolei jako główne problemy, które następnie omówił:

1. wspólne konta administracyjne,
2. dzielenie się uprawnieniami,
3. brak wiedzy co do ilości kont uprzywilejowanych,
4. brak wiedzy na temat tego jakie dane faktycznie mamy chronić .

Podatności wychodzą na jaw

Przemysław Dęba (Orange Polska) i Piotr Konieczny (Niebezpiecznik.pl) omówili przypadek błędu umożliwiającego wygenerowanie i pobranie backupu ustawień routera przez dowolnego internautę (nieuprawniony dostęp = podsłuch , ataki MITM, pharming czyli podmiana serwerów DNS). W trakcie prezentacji omówiono szczegółowo jakie działania podejmował operator. Na specjalnym portalu zostało umieszczone narzędzie do samonaprawy modemów + prosty skaner, który informował ile modemów jest podatnych, ile jest przejętych.

Piotr Konieczny uzupełniał temat wskazując jak na podatność patrzyli użytkownicy serwisu niebezpiecznik.pl oraz jakie wiadomości od nich przychodziły, a także jak wyglądało informowanie o tym incydencie.

Od 7 lutego do początku marca 2014r. udało się wyeliminować podatność prawie do 0. W sumie przejętych było ok. 50 000 modemów. Dla porównania botnet Conficker miał ok. 45 000 urządzeń. Obsługa incydentu kosztowała ok 182 000 zł. Jak podkreślił Przemysław Dęba te same metody techniczne i procesowe można stosować do walki z każdym botnetem dlatego z początkiem 2015 roku Orange wystawi dla klientów pomocne narzędzie.

O słabościach cyberprzestępców, które pozwoliły ich namierzyć a następnie złapać opowiedział Adam Haertle (ISACA Polska). Dzięki tej prezentacji można było zobaczyć na jakie elementy należy zwracać uwagę oraz jak może wyglądać współpraca z organami ścigania, a także jaki materiał można uznać za dowodowy. Jeżeli jesteś zainteresowany informacjami o najnowszych podatnościach możesz kliknąć tutaj.

Symulacje pomagają

Mariusz Stawowski (CLICO) przykuł uwagę case study jednej z firm. Pokazał jak symulacje ataków mogą doprowadzić do znalezienia słabych punktów w organizacji i przyczyny wycieku informacji. W przypadku, który przedstawił okazało się, że dział kadr nie informował informatyków o tym, że handlowcy opuszczają firmę. Informatycy nie usuwali im dostępu, a byli handlowcy wynosili informacje na zewnątrz. Warto dodać, że w Polityce Bezpieczeństwa był zapis zobowiązujący do tego by informować dział IT o zmianach.

O tym jak ważne jest przestudiowanie konkretnych ataków by potem skutecznie z nimi walczyć opowiedział Mauritis Lucas (inTELL Business Director, Fox-IT). Pokazał on jak dokładnie wygląda anatomia ataków MITB (na przykładzie ZeuSa i SpyEye).

Mirosław Maj (Fundacja Bezpieczna Cyberprzestrzeń) oraz Maciej Pyznar (Rządowe Centrum Bezpieczeństwa) pokazali wstępne wyniki ćwiczeń Cyber-Exe Polska 2014. (raport ukaże się 15 stycznia). Warto odnotować, że do tej pory odbyły się 3 edycje ćwiczeń (w 2012r. – ćwiczony był atak na system infrastruktury krytycznej, w 2013r. – edycja dedykowana była dla sektora finansowego, tegoroczne ćwiczenie skupiły operatorów telekomunikacyjnych).

Idea ćwiczeń jest taka, że biorący udział w szkoleniu obserwują efekty określonego ataku i próbują dotrzeć do jego przyczyn. W ten sposób przeprowadza się symulację konkretnego incydentu i ćwiczy procedury. W ramach ćwiczenia z boku testowany był wariant elementów technicznych – analiza złośliwego oprogramowania.

Uczestnikami ćwiczenia byli:

1. operatorzy telekomunikacyjni,
2. dostawcy sprzętu i oprogramowania, którzy nie uczestniczył aktywnie, ale jego udział zasymulowano podobnie jak udział , który był realizowany przez wydzielony portal i specjalnie zorganizowaną do tego celu grupę symulującą zachowania mediów,
3. administracja publiczna: UKE, GIODO, Policja, MAiC, RCB oraz CERT.GOV.PL, który w ćwiczeniu udziału nie brał bezpośrednio, ale pojawił się w komunikacji (tutaj nie było żadnej symulacji odpowiedzi),

Jeżeli ćwiczący chciałby się skontaktować z jakimkolwiek innym podmiotem to mógł, ale nikt nie skorzystał z takiej możliwości.

Po krótkiej prezentacji odbyła się debata na temat skutecznej odpowiedzi na ataki teleinformatyczne gdzie podkreślono m.in. jak ważne jest wdrożenie dobrych procedur. Debatę poprowadził Cezary Piekarski z firmy doradczej Deloitte Polska, a jej uczestnikami byli: Mariusz Stawowski z firmy CLICO, Paweł Weżgowiec z ComCERT SA, Przemysław Dęba z Orange Polska oraz Mariusz Szczęsny reprezentujący firmę Asseco

DDoS nie odpuszcza

Borys Łącki (Bothunters.pl) przedstawił przykładowe czynności, o których warto pamiętać by dobrze przygotować się do ataku DDoS, przeżyć go i szybko wrócić do formy.

Przed atakiem:

1. Monitoring nie może być tylko od wewnątrz, ale także z zewnątrz.
2. Należy być przygotowanym, że atak może być skierowany nie tylko na łącze, ale na konkretną usługę.
3. Serwery powinny mieć odpowiednie oprogramowanie.
4. Kluczowe jest posiadanie Planu Ciągłości Działania (zaktualizowanego, zawierającego przydatne dane kontaktowe).

Należy pamiętać o segmentacji usług (warto wypisać sobie wagę usług, np. diagram wskazujący hierarchię),

Kiedy dojdzie do ataku warto pamiętać, że:

– Analiza ruchu sieciowego jest niezbędna.
– Kontakt z zewnętrznymi firmami bardzo się przydaje (jednak brak aktualnej listy kontaktów to częsty problem).
– Dobrze jest korzystać z własnych zasobów czyli osób z różnych z działów (o ile są kompetentne) do tego by pomogły.
– Pracownicy powinni wiedzieć z kim się kontaktować, kto dowodzi i kto jest za co odpowiedzialny.
– Load balancer powinien działać prawidłowo (dobrze jest go przetestować gdy nie jesteśmy atakowani).
– Nowe pokolenie administratorów, które jest wychowane na środowiskach graficznych nie potrafi dodawać kilkuset linii kodu naraz, list ACL. W takim wypadku niezbędnym może okazać się pomoc z zewnątrz.
– W dokumentacji dobrze jest mieć spisane adresy IP biznesowych klientów (czyli, żeby np. wyciąć całych ruch, ale zostawić tych najważniejszych klientów).
– Czasem zbytnie ograniczanie pasma może doprowadzać do restartowania urządzeń.
– Serwery DNS nie powinny być w tej samej sieci bo podczas ataku może okazać się, że usługi przestaną działać.
– Komunikacja wewnętrzna powinna dobrze działać (np. informacji na zewnątrz może udzielać tylko PR, ale jednocześnie dział call center także powinien dostać wskazówki do rozmów z klientami).
– Sama komunikacja zewnętrzna jest bardzo istotna (nie można zbyt szybko wysyłać informacji, należy opracować jeden spójny komunikat, można korzystać z social media do kontaktu z klientami).

Czynności, o których należy pamiętać po wystąpieniu incydentu:

– Należy wydzielić miejsce do przechowywania danych zebranych po incydencie.
– Konieczne jest wyznaczenie osoby odpowiedzialnej do przekazywania informacji, do przechowywania ich oraz do zabezpieczania danych.
– Jeżeli będziemy przekazywać organom ścigania tylko zrzut ruchu sieciowego to może być problem z jego prawidłowym odczytem dlatego warto wyeksportować te dane do prostych informacji (np. adresów IP).
– Warto zaktualizować dane i przeprowadzić spotkanie podsumowujące (spotkanie w gronie nie tylko działu IT, ale także innych kierowników – np. call center).
– Koniecznie trzeba pamiętać o monitorowaniu infrastruktury.

Oğuz Yilmaz (Labris Networks) przedstawił case study trzech DDoSów, opowiedział o tym jak wygląda DDOS CERT oraz jakie są przewidywania na przyszłość dla tego typu zagrożenia (np. migracja do L7, naśladowanie zachowań prawdziwych użytkowników).

Filip Nowak (IBM) przedstawił w prezentacji „Główny Rekord. Elementy aktywności intruza” wnioski z badania, których celem było stworzenie metodologii analizowania zdarzeń bezpieczeństwa, która dostarcza holistyczne spojrzenie na postawę bezpieczeństwa, możliwość śledzenia progresu włamania, a także informacji o środowisku bronionym. Organizacja posługująca się nową metodologią szybciej identyfikuje dynamikę bronionego środowiska, jest w stanie śledzić powiązane zdarzenia i znajdować historyczne zależności. Retrospektywna analiza ataków ukierunkowanych (ang. targeted attacks), śledzenie testów penetracyjnych z perspektywy broniącego (ang. blue teaming), włamania typu smash-and-grab a także rekonstrukcja setek zdarzeń bezpieczeństwa dostarczyły dane do badania sposobu zarządzania zdarzeniami (ang. security event management). Ważnym elementem badania była szeroko prowadzona dokumentacja wzbogacona o obserwacje pozostałych składników obrony informatycznej. W metodologii posłużono się koncepcją intrusion chain, która wskazuje, że każdy atak informatyczny można podzielić na fazy, które są zależne od siebie.

Cyberataki mają swój odpowiednik w naturze

O analogiach pomiędzy bezpieczeństwem sieciowym a światem przyrody opowiedziała Elżbieta Rzeszutko (Politechnika Warszawska), a najważniejsze tezy z prezentacji to:
– Istota większości znanych ataków i mechanizmów obrony w sieci Internet w przyrodzie spotykana jest już od dawna (np. zwabić ofiarę i przekonać ją, że podróbka jest oryginałem).
– Zarówno w naturze jak i w Internecie obserwujemy ewolucję technik ofensywnych oraz odpowiadających im technik defensywnych (wyścig zbrojeń).
– Inspiracje dotyczące nowych technik ataków/sposobów obrony w świecie wirtualnym warto czerpać ze świata roślin i zwierząt.

Więcej na ten temat można przeczytać tutaj i tutaj.

Aplikacje mobilne przyjazne prywatności

Na koniec konferencji zaprezentowano i nagrodzono trzy aplikacje mobilne w konkursie GIODO i MAiC na aplikację mobilną przyjazną prywatności.

W imieniu organizatorów konkursu nagrody wręczyli Pan Minister Wojciech Wiewiórowski (GIODO) oraz Pan Dyrektor Maciej Groń (MAiC)

I miejsce zdobyła aplikacja SkyDe (Politechnika Warszawska),
Aplikacja ta przyczynia się do zwiększenia prywatności poprzez:

1. Ukrycie faktu komunikacji,
2. Niezapisywanie żadnych danych wewnątrz aplikacji,
3. Zabezpieczenie wszystkich interfejsów komunikacyjnych wewnątrz aplikacji.

II miejsce zostało przyznane aplikacji SecureWALLET (Wojskowa Akademia Techniczna),
III miejsce zajęła aplikacja UEP (Uniwersytet Ekonomiczny w Poznaniu).

Konferencja SCS14 przy okazji stała się źródłem zbierania materiałów do filmu dokumentalnego, pokazującego min. branżę IT security. https://hackit.tv/about.shtml , będziemy śledzić losy projektu z zainteresowaniem.

Dziękujemy wszystkim za udział w konferencji. Tegorocznych uczestników konferencji i wszystkich, którzy w tym roku do nas nie dotarli, już teraz zapraszamy na Security Case Study 2015. Wkrótce informacje na stronie : https://www.securitycasestudy.pl/pl/. Bardzo dziękujemy Pani Beacie Marek – współpracującej z naszą fundacją za pomoc w przygotowaniu sprawozdania z konferencji „SCS14″.