SlideShare ist ein Scribd-Unternehmen logo

Miten tietomurron voi havaita lokeista?

Nixu Corporation
Nixu Corporation

Miten tietomurron voi havaita lokeista? Esitetty Information Security SUMMIT! tapahtumassa 19.11.2013 (c) Nixu Oy, Pietari Sarjakivi Lue lisää tilannekuvasta ja verkkoturvallisuudesta Nixun kotisivuilta: http://www.nixu.com/fi/palvelualueet/tilannekuva-ja-verkkoturvallisuus

1 von 15
Miten tietomurron voi havaita lokeista? Pietari Sarjakivi 19.11.2013 © Nixu 2013 - Julkinen 1
Aiemmat esitykset Tilannekuvasta §  SIEM-tilannekuva yritykselle: Yhden casen anatomia Management Events 16.4.2013 §  Mittarit tietoturvan johtamiseen - Tilannekuva hallintaan Tietoturvatapahtuma 8.2.2012 §  Tietoturvan tilannekuva Energia-alan seminaari 14.12.2011 §  SIEM-projekti ketterästi vaatimukset huomioiden Tietoturvatasot-seminaari 21.9.2010 §  Lisäksi kirjoituksia Nixun blogissa… 19.11.2013 © Nixu 2013 - Julkinen 2
Esiteltävät tapaukset §  Verkkopalveluun tehty hyökkäys §  Kohdistettu hyökkäys Osataksesi puolustaa tulee sinun tietää kuinka hyökätä 19.11.2013 © Nixu 2013 - Julkinen 3
Verkkopalveluun tehty hyökkäys 19.11.2013 © Nixu 2013 - Julkinen 4
19.11.2013 © Nixu 2013 - Julkinen 5
Miten hyökkäys tapahtuu? SQL-injektio Hyökkääjä antaa tietokantapalvelimelle SQL-komentoja verkkosovelluksen läpi, joita hänen ei pitäisi pystyä antamaan. Edustapalvelin 1.1.1.1 - - [11/Nov/2013:10:37:46 -0500] "GET http://xxxx.xx.com/config/login? login=pietari&passwd=1‘ OR 1=1’ HTTP/1.0" 200 566 "-" "-" Sovellus -palvelin DBpalvelin t XSS-hyökkäys Hyökkääjä muokkaa (tai lisää) verkkosivun ohjelmakoodia ja siten ottaa sivuston haltuun. Usein hyökkääjä kaappaa muiden sivuston käyttäjien istunnot. 19.11.2013 © Nixu 2013 - Julkinen 1.1.1.1 - - [11/Nov/2013:22:46:48 -0100] "GET /store/agora.cgi? cart_id=<SCRIPT>alert(document.domain) </SCRIPT>&xm=on&product=HTML HTTP/ 1.1" 200 578 "-" "Mozilla/4.75 [en]" 6
Miten havaitaan? SQL-injektio RegExp esimerkit •  /(')|(%27)|(--)|(#)|(%23)/ix •  (‘ )([O-o][R-r])( ) 19.11.2013 © Nixu 2013 - Julkinen 1.1.1.1 - - [11/Nov/2013:10:37:46 -0500] "GET http://xxxx.xx.com/config/login? login=pietari&passwd=1‘ OR 1=1’ HTTP/1.0" 200 566 "-" "-" Ks. http://ckers.org/sqlinjection/ 7
Miten havaitaan? XSS-hyökkäys RegExp esimerkit •  /((%3C)|<)((%2F)|/)*[a-z0-9%]+((%3E)|>) •  ((%3C)|<)((%2F)|/)*([S-s][C-c][R-r][I-i][P-p][T-t])(>|%3E) 19.11.2013 © Nixu 2013 - Julkinen 1.1.1.1 - - [11/Nov/2013:22:46:48 -0100] "GET /store/agora.cgi? cart_id=<SCRIPT>alert(document.domain) </SCRIPT>&xm=on&product=HTML HTTP/ 1.1" 200 578 "-" "Mozilla/4.75 [en]" Ks. https://www.owasp.org/index.php/XSS_Filter_Evasion_Cheat_Sheet 8
Miten havaitaan? Epänormaali toiminta 19.11.2013 © Nixu 2013 - Julkinen 9
Miten havaitaan? Epänormaali toiminta 19.11.2013 © Nixu 2013 - Julkinen 10
Kohdistettu hyökkäys 19.11.2013 © Nixu 2013 - Julkinen 11
19.11.2013 © Nixu 2013 - Julkinen 12
Miten hyökkäys tapahtuu? Tiedon   kerääminen   Tiedon   siirtäminen   Tiedon   kerääminen   Tiedon   siirtäminen   Hitaas5  eteneminen   Tiedustelu   Hyökkäys   Piiloutuminen   Miten  havainnoidaan?     Tiedustelu   •  Por6skannit   •  DNS-­‐kyselyt   •  Puhelinvaihteen   5edustelut   •  Työpaikka-­‐ ilmoitukset   •  Roskisten  kaivelu   19.11.2013 Hyökkäys   •  Kohdistuu  käy@ä-­‐ jiin  (Spearfishing,   Whaling,  Drive-­‐by,   Watering  hole)   •  Tehostaminen   sosiaalisin  keinoin   •  Järjestelmävirheet   •  ATD  hälytykset   © Nixu 2013 - Julkinen Piiloutuminen   •  ”Ko5in  soi@o”   •  Käy@äjien  luon5   •  Salasanojen  vaihto   •  Pass-­‐the-­‐hash   •  Lokien  poisto   •  Krii6sten  5edos-­‐ tojen  muu@aminen   Eteneminen   •  Kerberos  on   “yleisavain”   •  AD:n  käy@öoikeus-­‐ muutokset   •  Uudet   järjestelmävirheet   Tiedon  kerääminen   ja  siirtäminen   •  Erikoiset  sisäver-­‐ kon  yhteydet   •  Ulospäin  suuntau-­‐ tuvan  liikenteen   seuranta   •  Isot  5edon  siirrot   13
Miten havaitaan? §  Klassiset palomuurit, IDS:t ja viruksentorjunta eivät riitä –  Ovat usein tunniste (signature) -pohjaisia eli etsivät vain tunnettua ”pahaa” –  Puutteellinen konteksti-ymmärrys –  Historiatietoon on vaikea palata, koska tallessa on enintään otsake-tiedot §  Tarvitaan syvällisempää havainnointia –  –  –  –  19.11.2013 Lokien pitkä taltiointi Kriittisten tiedostojen tarkkailu Maine-pohjainen tunnistus Reaali-aikainen analyysi: Advanced Threat Defence (ATD) §  Verkko ATD §  Host ATD © Nixu 2013 - Julkinen 14
Nixu Oy P.O. Box 39 (Keilaranta 15) FI-02150 Espoo Finland Tel +358 9 478 1011 Fax +358 9 478 1030 19.11.2013 © Nixu 2013 - Julkinen 15

Empfohlen

Kuinka toimitaan oikeammin kun havaitaan tietoturvapoikkeama
Kuinka toimitaan oikeammin kun havaitaan tietoturvapoikkeamaKuinka toimitaan oikeammin kun havaitaan tietoturvapoikkeama
Kuinka toimitaan oikeammin kun havaitaan tietoturvapoikkeamaNixu Corporation
 
Tekninen näkökulma: Lokienhallinta vai SIEM?
Tekninen näkökulma: Lokienhallinta vai SIEM?Tekninen näkökulma: Lokienhallinta vai SIEM?
Tekninen näkökulma: Lokienhallinta vai SIEM?Nixu Corporation
 
Cyber warfare in the context of major military innovations by mattias almeflo...
Cyber warfare in the context of major military innovations by mattias almeflo...Cyber warfare in the context of major military innovations by mattias almeflo...
Cyber warfare in the context of major military innovations by mattias almeflo...Nixu Corporation
 
oAuth presentation
oAuth presentationoAuth presentation
oAuth presentationNixu Corporation
 
Mitre ATT&CK by Mattias Almeflo Nixu
Mitre ATT&CK by Mattias Almeflo NixuMitre ATT&CK by Mattias Almeflo Nixu
Mitre ATT&CK by Mattias Almeflo NixuNixu Corporation
 
Infosec2018 NL IAM archeaology Presentation
Infosec2018 NL IAM archeaology PresentationInfosec2018 NL IAM archeaology Presentation
Infosec2018 NL IAM archeaology PresentationNixu Corporation
 
Cyber Defense in 2016
Cyber Defense in 2016Cyber Defense in 2016
Cyber Defense in 2016Nixu Corporation
 
Nixu Cyber Defense Center - You have one fear less.
Nixu Cyber Defense Center - You have one fear less.Nixu Cyber Defense Center - You have one fear less.
Nixu Cyber Defense Center - You have one fear less.Nixu Corporation
 

Empfohlen

Kuinka toimitaan oikeammin kun havaitaan tietoturvapoikkeama
Kuinka toimitaan oikeammin kun havaitaan tietoturvapoikkeamaKuinka toimitaan oikeammin kun havaitaan tietoturvapoikkeama
Kuinka toimitaan oikeammin kun havaitaan tietoturvapoikkeamaNixu Corporation
 
Tekninen näkökulma: Lokienhallinta vai SIEM?
Tekninen näkökulma: Lokienhallinta vai SIEM?Tekninen näkökulma: Lokienhallinta vai SIEM?
Tekninen näkökulma: Lokienhallinta vai SIEM?Nixu Corporation
 
Cyber warfare in the context of major military innovations by mattias almeflo...
Cyber warfare in the context of major military innovations by mattias almeflo...Cyber warfare in the context of major military innovations by mattias almeflo...
Cyber warfare in the context of major military innovations by mattias almeflo...Nixu Corporation
 
oAuth presentation
oAuth presentationoAuth presentation
oAuth presentationNixu Corporation
 
Mitre ATT&CK by Mattias Almeflo Nixu
Mitre ATT&CK by Mattias Almeflo NixuMitre ATT&CK by Mattias Almeflo Nixu
Mitre ATT&CK by Mattias Almeflo NixuNixu Corporation
 
Infosec2018 NL IAM archeaology Presentation
Infosec2018 NL IAM archeaology PresentationInfosec2018 NL IAM archeaology Presentation
Infosec2018 NL IAM archeaology PresentationNixu Corporation
 
Cyber Defense in 2016
Cyber Defense in 2016Cyber Defense in 2016
Cyber Defense in 2016Nixu Corporation
 
Nixu Cyber Defense Center - You have one fear less.
Nixu Cyber Defense Center - You have one fear less.Nixu Cyber Defense Center - You have one fear less.
Nixu Cyber Defense Center - You have one fear less.Nixu Corporation
 
Koko rahalla palomuureja?
Koko rahalla palomuureja? Koko rahalla palomuureja?
Koko rahalla palomuureja? Nixu Corporation
 
Digitaalinen identiteetti turvallisen verkkoliiketoiminnan mahdollistajana
Digitaalinen identiteetti turvallisen verkkoliiketoiminnan mahdollistajanaDigitaalinen identiteetti turvallisen verkkoliiketoiminnan mahdollistajana
Digitaalinen identiteetti turvallisen verkkoliiketoiminnan mahdollistajanaNixu Corporation
 
Office 365 integration using organizational identities
Office 365 integration using organizational identitiesOffice 365 integration using organizational identities
Office 365 integration using organizational identitiesNixu Corporation
 
Tietoturva teollisen internetin vauhdittajana
Tietoturva teollisen internetin vauhdittajanaTietoturva teollisen internetin vauhdittajana
Tietoturva teollisen internetin vauhdittajanaNixu Corporation
 
What has changed in Corporate Cybersecurity?
What has changed in Corporate Cybersecurity?What has changed in Corporate Cybersecurity?
What has changed in Corporate Cybersecurity?Nixu Corporation
 
Mittaristot kyberturvan tilannejohtamiseen
Mittaristot kyberturvan tilannejohtamiseenMittaristot kyberturvan tilannejohtamiseen
Mittaristot kyberturvan tilannejohtamiseenNixu Corporation
 
TIEKE IoT Business-treffit: Virusten Internet, Kairinen, Nixu 2014
TIEKE IoT Business-treffit: Virusten Internet, Kairinen, Nixu 2014TIEKE IoT Business-treffit: Virusten Internet, Kairinen, Nixu 2014
TIEKE IoT Business-treffit: Virusten Internet, Kairinen, Nixu 2014Nixu Corporation
 
PCI DSS 3.0 - Merkittävimmät muutokset
PCI DSS 3.0 - Merkittävimmät muutoksetPCI DSS 3.0 - Merkittävimmät muutokset
PCI DSS 3.0 - Merkittävimmät muutoksetNixu Corporation
 
PCI DSS 3.0 muutokset – “editor’s pick”
PCI DSS 3.0 muutokset – “editor’s pick”PCI DSS 3.0 muutokset – “editor’s pick”
PCI DSS 3.0 muutokset – “editor’s pick”Nixu Corporation
 
"Hakkerihyökkäys terveydenhoitoalan organisaatioon – näin se tapahtuisi”
"Hakkerihyökkäys terveydenhoitoalan organisaatioon – näin se tapahtuisi”"Hakkerihyökkäys terveydenhoitoalan organisaatioon – näin se tapahtuisi”
"Hakkerihyökkäys terveydenhoitoalan organisaatioon – näin se tapahtuisi”Nixu Corporation
 
Verkkopalveluiden tietoturva markkinointi- ja viestintäasiantuntijoille, kevä...
Verkkopalveluiden tietoturva markkinointi- ja viestintäasiantuntijoille, kevä...Verkkopalveluiden tietoturva markkinointi- ja viestintäasiantuntijoille, kevä...
Verkkopalveluiden tietoturva markkinointi- ja viestintäasiantuntijoille, kevä...Nixu Corporation
 
Kysely NSA-vakoilusta yrityspäättäjille
Kysely NSA-vakoilusta yrityspäättäjilleKysely NSA-vakoilusta yrityspäättäjille
Kysely NSA-vakoilusta yrityspäättäjilleNixu Corporation
 

Weitere ähnliche Inhalte

Mehr von Nixu Corporation

Koko rahalla palomuureja?
Koko rahalla palomuureja? Koko rahalla palomuureja?
Koko rahalla palomuureja? Nixu Corporation
 
Digitaalinen identiteetti turvallisen verkkoliiketoiminnan mahdollistajana
Digitaalinen identiteetti turvallisen verkkoliiketoiminnan mahdollistajanaDigitaalinen identiteetti turvallisen verkkoliiketoiminnan mahdollistajana
Digitaalinen identiteetti turvallisen verkkoliiketoiminnan mahdollistajanaNixu Corporation
 
Office 365 integration using organizational identities
Office 365 integration using organizational identitiesOffice 365 integration using organizational identities
Office 365 integration using organizational identitiesNixu Corporation
 
Tietoturva teollisen internetin vauhdittajana
Tietoturva teollisen internetin vauhdittajanaTietoturva teollisen internetin vauhdittajana
Tietoturva teollisen internetin vauhdittajanaNixu Corporation
 
What has changed in Corporate Cybersecurity?
What has changed in Corporate Cybersecurity?What has changed in Corporate Cybersecurity?
What has changed in Corporate Cybersecurity?Nixu Corporation
 
Mittaristot kyberturvan tilannejohtamiseen
Mittaristot kyberturvan tilannejohtamiseenMittaristot kyberturvan tilannejohtamiseen
Mittaristot kyberturvan tilannejohtamiseenNixu Corporation
 
TIEKE IoT Business-treffit: Virusten Internet, Kairinen, Nixu 2014
TIEKE IoT Business-treffit: Virusten Internet, Kairinen, Nixu 2014TIEKE IoT Business-treffit: Virusten Internet, Kairinen, Nixu 2014
TIEKE IoT Business-treffit: Virusten Internet, Kairinen, Nixu 2014Nixu Corporation
 
PCI DSS 3.0 - Merkittävimmät muutokset
PCI DSS 3.0 - Merkittävimmät muutoksetPCI DSS 3.0 - Merkittävimmät muutokset
PCI DSS 3.0 - Merkittävimmät muutoksetNixu Corporation
 
PCI DSS 3.0 muutokset – “editor’s pick”
PCI DSS 3.0 muutokset – “editor’s pick”PCI DSS 3.0 muutokset – “editor’s pick”
PCI DSS 3.0 muutokset – “editor’s pick”Nixu Corporation
 
"Hakkerihyökkäys terveydenhoitoalan organisaatioon – näin se tapahtuisi”
"Hakkerihyökkäys terveydenhoitoalan organisaatioon – näin se tapahtuisi”"Hakkerihyökkäys terveydenhoitoalan organisaatioon – näin se tapahtuisi”
"Hakkerihyökkäys terveydenhoitoalan organisaatioon – näin se tapahtuisi”Nixu Corporation
 
Verkkopalveluiden tietoturva markkinointi- ja viestintäasiantuntijoille, kevä...
Verkkopalveluiden tietoturva markkinointi- ja viestintäasiantuntijoille, kevä...Verkkopalveluiden tietoturva markkinointi- ja viestintäasiantuntijoille, kevä...
Verkkopalveluiden tietoturva markkinointi- ja viestintäasiantuntijoille, kevä...Nixu Corporation
 
Kysely NSA-vakoilusta yrityspäättäjille
Kysely NSA-vakoilusta yrityspäättäjilleKysely NSA-vakoilusta yrityspäättäjille
Kysely NSA-vakoilusta yrityspäättäjilleNixu Corporation
 

Mehr von Nixu Corporation (12)

Koko rahalla palomuureja?
Koko rahalla palomuureja? Koko rahalla palomuureja?
Koko rahalla palomuureja?
 
Digitaalinen identiteetti turvallisen verkkoliiketoiminnan mahdollistajana
Digitaalinen identiteetti turvallisen verkkoliiketoiminnan mahdollistajanaDigitaalinen identiteetti turvallisen verkkoliiketoiminnan mahdollistajana
Digitaalinen identiteetti turvallisen verkkoliiketoiminnan mahdollistajana
 
Office 365 integration using organizational identities
Office 365 integration using organizational identitiesOffice 365 integration using organizational identities
Office 365 integration using organizational identities
 
Tietoturva teollisen internetin vauhdittajana
Tietoturva teollisen internetin vauhdittajanaTietoturva teollisen internetin vauhdittajana
Tietoturva teollisen internetin vauhdittajana
 
What has changed in Corporate Cybersecurity?
What has changed in Corporate Cybersecurity?What has changed in Corporate Cybersecurity?
What has changed in Corporate Cybersecurity?
 
Mittaristot kyberturvan tilannejohtamiseen
Mittaristot kyberturvan tilannejohtamiseenMittaristot kyberturvan tilannejohtamiseen
Mittaristot kyberturvan tilannejohtamiseen
 
TIEKE IoT Business-treffit: Virusten Internet, Kairinen, Nixu 2014
TIEKE IoT Business-treffit: Virusten Internet, Kairinen, Nixu 2014TIEKE IoT Business-treffit: Virusten Internet, Kairinen, Nixu 2014
TIEKE IoT Business-treffit: Virusten Internet, Kairinen, Nixu 2014
 
PCI DSS 3.0 - Merkittävimmät muutokset
PCI DSS 3.0 - Merkittävimmät muutoksetPCI DSS 3.0 - Merkittävimmät muutokset
PCI DSS 3.0 - Merkittävimmät muutokset
 
PCI DSS 3.0 muutokset – “editor’s pick”
PCI DSS 3.0 muutokset – “editor’s pick”PCI DSS 3.0 muutokset – “editor’s pick”
PCI DSS 3.0 muutokset – “editor’s pick”
 
"Hakkerihyökkäys terveydenhoitoalan organisaatioon – näin se tapahtuisi”
"Hakkerihyökkäys terveydenhoitoalan organisaatioon – näin se tapahtuisi”"Hakkerihyökkäys terveydenhoitoalan organisaatioon – näin se tapahtuisi”
"Hakkerihyökkäys terveydenhoitoalan organisaatioon – näin se tapahtuisi”
 
Verkkopalveluiden tietoturva markkinointi- ja viestintäasiantuntijoille, kevä...
Verkkopalveluiden tietoturva markkinointi- ja viestintäasiantuntijoille, kevä...Verkkopalveluiden tietoturva markkinointi- ja viestintäasiantuntijoille, kevä...
Verkkopalveluiden tietoturva markkinointi- ja viestintäasiantuntijoille, kevä...
 
Kysely NSA-vakoilusta yrityspäättäjille
Kysely NSA-vakoilusta yrityspäättäjilleKysely NSA-vakoilusta yrityspäättäjille
Kysely NSA-vakoilusta yrityspäättäjille
 

Miten tietomurron voi havaita lokeista?

  • 1. Miten tietomurron voi havaita lokeista? Pietari Sarjakivi 19.11.2013 © Nixu 2013 - Julkinen 1
  • 2. Aiemmat esitykset Tilannekuvasta §  SIEM-tilannekuva yritykselle: Yhden casen anatomia Management Events 16.4.2013 §  Mittarit tietoturvan johtamiseen - Tilannekuva hallintaan Tietoturvatapahtuma 8.2.2012 §  Tietoturvan tilannekuva Energia-alan seminaari 14.12.2011 §  SIEM-projekti ketterästi vaatimukset huomioiden Tietoturvatasot-seminaari 21.9.2010 §  Lisäksi kirjoituksia Nixun blogissa… 19.11.2013 © Nixu 2013 - Julkinen 2
  • 3. Esiteltävät tapaukset §  Verkkopalveluun tehty hyökkäys §  Kohdistettu hyökkäys Osataksesi puolustaa tulee sinun tietää kuinka hyökätä 19.11.2013 © Nixu 2013 - Julkinen 3
  • 5. 19.11.2013 © Nixu 2013 - Julkinen 5
  • 6. Miten hyökkäys tapahtuu? SQL-injektio Hyökkääjä antaa tietokantapalvelimelle SQL-komentoja verkkosovelluksen läpi, joita hänen ei pitäisi pystyä antamaan. Edustapalvelin 1.1.1.1 - - [11/Nov/2013:10:37:46 -0500] "GET http://xxxx.xx.com/config/login? login=pietari&passwd=1‘ OR 1=1’ HTTP/1.0" 200 566 "-" "-" Sovellus -palvelin DBpalvelin t XSS-hyökkäys Hyökkääjä muokkaa (tai lisää) verkkosivun ohjelmakoodia ja siten ottaa sivuston haltuun. Usein hyökkääjä kaappaa muiden sivuston käyttäjien istunnot. 19.11.2013 © Nixu 2013 - Julkinen 1.1.1.1 - - [11/Nov/2013:22:46:48 -0100] "GET /store/agora.cgi? cart_id=<SCRIPT>alert(document.domain) </SCRIPT>&xm=on&product=HTML HTTP/ 1.1" 200 578 "-" "Mozilla/4.75 [en]" 6
  • 7. Miten havaitaan? SQL-injektio RegExp esimerkit •  /(')|(%27)|(--)|(#)|(%23)/ix •  (‘ )([O-o][R-r])( ) 19.11.2013 © Nixu 2013 - Julkinen 1.1.1.1 - - [11/Nov/2013:10:37:46 -0500] "GET http://xxxx.xx.com/config/login? login=pietari&passwd=1‘ OR 1=1’ HTTP/1.0" 200 566 "-" "-" Ks. http://ckers.org/sqlinjection/ 7
  • 8. Miten havaitaan? XSS-hyökkäys RegExp esimerkit •  /((%3C)|<)((%2F)|/)*[a-z0-9%]+((%3E)|>) •  ((%3C)|<)((%2F)|/)*([S-s][C-c][R-r][I-i][P-p][T-t])(>|%3E) 19.11.2013 © Nixu 2013 - Julkinen 1.1.1.1 - - [11/Nov/2013:22:46:48 -0100] "GET /store/agora.cgi? cart_id=<SCRIPT>alert(document.domain) </SCRIPT>&xm=on&product=HTML HTTP/ 1.1" 200 578 "-" "Mozilla/4.75 [en]" Ks. https://www.owasp.org/index.php/XSS_Filter_Evasion_Cheat_Sheet 8
  • 9. Miten havaitaan? Epänormaali toiminta 19.11.2013 © Nixu 2013 - Julkinen 9
  • 10. Miten havaitaan? Epänormaali toiminta 19.11.2013 © Nixu 2013 - Julkinen 10
  • 12. 19.11.2013 © Nixu 2013 - Julkinen 12
  • 13. Miten hyökkäys tapahtuu? Tiedon   kerääminen   Tiedon   siirtäminen   Tiedon   kerääminen   Tiedon   siirtäminen   Hitaas5  eteneminen   Tiedustelu   Hyökkäys   Piiloutuminen   Miten  havainnoidaan?     Tiedustelu   •  Por6skannit   •  DNS-­‐kyselyt   •  Puhelinvaihteen   5edustelut   •  Työpaikka-­‐ ilmoitukset   •  Roskisten  kaivelu   19.11.2013 Hyökkäys   •  Kohdistuu  käy@ä-­‐ jiin  (Spearfishing,   Whaling,  Drive-­‐by,   Watering  hole)   •  Tehostaminen   sosiaalisin  keinoin   •  Järjestelmävirheet   •  ATD  hälytykset   © Nixu 2013 - Julkinen Piiloutuminen   •  ”Ko5in  soi@o”   •  Käy@äjien  luon5   •  Salasanojen  vaihto   •  Pass-­‐the-­‐hash   •  Lokien  poisto   •  Krii6sten  5edos-­‐ tojen  muu@aminen   Eteneminen   •  Kerberos  on   “yleisavain”   •  AD:n  käy@öoikeus-­‐ muutokset   •  Uudet   järjestelmävirheet   Tiedon  kerääminen   ja  siirtäminen   •  Erikoiset  sisäver-­‐ kon  yhteydet   •  Ulospäin  suuntau-­‐ tuvan  liikenteen   seuranta   •  Isot  5edon  siirrot   13
  • 14. Miten havaitaan? §  Klassiset palomuurit, IDS:t ja viruksentorjunta eivät riitä –  Ovat usein tunniste (signature) -pohjaisia eli etsivät vain tunnettua ”pahaa” –  Puutteellinen konteksti-ymmärrys –  Historiatietoon on vaikea palata, koska tallessa on enintään otsake-tiedot §  Tarvitaan syvällisempää havainnointia –  –  –  –  19.11.2013 Lokien pitkä taltiointi Kriittisten tiedostojen tarkkailu Maine-pohjainen tunnistus Reaali-aikainen analyysi: Advanced Threat Defence (ATD) §  Verkko ATD §  Host ATD © Nixu 2013 - Julkinen 14
  • 15. Nixu Oy P.O. Box 39 (Keilaranta 15) FI-02150 Espoo Finland Tel +358 9 478 1011 Fax +358 9 478 1030 19.11.2013 © Nixu 2013 - Julkinen 15