Metoder og verktøy i operativt sikkerhetsarbeid · MandiantM-trends rapport l I snitt tar det 99...

Metoder og verktøy i operativt sikkerhetsarbeid

IRT-kurs

UNINETT CERT

Tradisjonelt trusselbilde

Moderne trusselbilde

Eksempel fra USA

12 May 2017 SLIDE 4

Mandiant M-trends rapport

l I snitt tar det 99 dager før en organisasjon oppdager at den er kompromittert (2016)l 146 dager i 2015l 205 dager i 2014l 416 dager i 2012

l Mandiant’s Red Team:l admin-rettigheter i snitt oppnådd innen 3 dager etter

at de først har klart å kompromittere et nettverk

Mulige datakilder

IP-adresseoversikt

Netflow

DNS-logg

Mail-log

authlog

http.log

Syslog

12 May 2017 SLIDE 6

Suricata

Trusseldata

Sårbarhetsdata

Passiv DNS

Zabbix

NAV

Xymon

Informasjon fra AD

Tradisjonell graving i logger

Kommandolinje

• grep• awk• nfdump

12 May 2017 SLIDE 7

Støtteverktøy

• Gnuplot• Excel• SQL

Web-grensesnitt

• Nfsen• Zabbix• Xymon• NAV• Kibana

Fremdeles nyttig, men blirlogger analysert og brukteffektivt?

Hvorfor berikelse?

Alarm fra Sikkerhetsanalyse

alert ET trojan malware information leak 192.168.10.4:43666 -> 88.88.88.88:80• http.hostname: veryinnocentsite.com

• Payload_printable: fjasfjasfjasfjasfjasfjasfjas; file:random_file.doc; fjasfjasfjasfjasfjas

Ikke spesielt enkelt å si om dette er en reell hendelseeller om det er en falsk positiv!

12 May 2017 SLIDE 8

Hvorfor berikelse?

Alarm fra Sikkerhetsanalyse

alert ET trojan malware information leak 192.168.10.4:43666 -> 88.88.88.88:80

• http.hostname: veryinnocentsite.com

• Payload_printable: fjasfjasfjasfjasfjasfjasfjas; file:random_file.doc; fjasfjasfjasfjasfjas

Ikke spesielt enkelt å si om dette er en reell hendelse eller om det er en falsk positiv!

12 May 2017 SLIDE 9

Intern IP-adresse:- Sett i tidligere saker?- Hvilket nett?

(student/ansatt/server)- Fillagringsserver?- Økonomidirektør?- Verdensledende forsker?- Student?- ??- ??

Hvorfor berikelse?

Alarm fra Sikkerhetsanalyse

alert ET trojan malware information leak 192.168.10.4:43666 -> 88.88.88.88:80

• http.hostname: veryinnocentsite.com

• Payload_printable: fjasfjasfjasfjasfjasfjasfjas; file:random_file.doc; fjasfjasfjasfjasfjas

Ikke spesielt enkelt å si om dette er en reell hendelse eller om det er en falsk positiv!

12 May 2017 SLIDE 10

Ekstern IP-adresse:- Sett i tidligere saker?- Sett av andre UH-inst?- Sett i kjente

rapporter/trusselanalyser?- Hvilke domener har pekt til

denne adressen? (passivdns)

- ??

Hvorfor berikelse?

Alarm fra Sikkerhetsanalyse

alert ET trojan malware information leak 192.168.10.4:43666 -> 88.88.88.88:80• http.hostname: veryinnocentsite.com

• Payload_printable: fjasfjasfjasfjasfjasfjasfjas; file:random_file.doc; fjasfjasfjasfjasfjas

Ikke spesielt enkelt å si om dette er en reell hendelse ellerom det er en falsk positiv!

12 May 2017 SLIDE 11

Domene:- Sett i tidligere

saker?- Sett av andre UH-

inst?- Sett i kjente

rapporter/trusselanalyser?

- Fast-flux domene?- Passiv DNS- ??

Hvorfor berikelse?

Alarm fra Sikkerhetsanalyse

alert ET trojan malware information leak 192.168.10.4:43666 -> 88.88.88.88:80

• http.hostname: veryinnocentsite.com

• Payload_printable: fjasfjasfjasfjasfjasfjasfjas; file:random_file.doc; fjasfjasfjasfjasfjas

Ikke spesielt enkelt å si om dette er en reell hendelse eller om det er en falsk positiv!

12 May 2017 SLIDE 12

Innhold i pakker:- Hva om det hadde

ståttpassword_file.txt?

- ??

Hvorfor berikelse?Beriket alarm fra Sikkerhetsanalyse

alert ET trojan malware information leak <IP-adresse til Roger rakettforsker> -> <IP-adresse knyttet til Nord-koreansk etterretning, og har også resolvet til domenet notsoveryinnocentsite.com>

• http.hostname: veryinnocentsite.com (fast-flux, pekt på 30 ulike IP-adresser den siste uka.)

• Payload_printable: fjasfjasfjasfjasfjasfjasfjas; file:ultra-innovative-fancy-rocketengine.doc; fjasfjasfjasfjasfjas

Litt enklere å ta en beslutning på hva som bør gjøres!

12 May 2017 SLIDE 13

SIEM (Security Information and Event Management)

12 May 2017 SLIDE 14

Vi ser et stort behov for et såkalt SIEM

Relevante data/logger er tilgjengelig fra en plass

Korrelering av data

Setter oss i stand til å ta raskere og bedre beslutninger

Kan vi samarbeide om dette? (Felles berikelse?)

Dette er i utgangspunktet veldig komplekse system, og det erslettes ikke sikkert at det er mulig å få til et samarbeid? (viluansett kreve veldig klare definerte API)

Netflow innsamling og utnyttelseKritisk avhengig av netflow i analysearbeid

Samplet data fra kjernenett (1 av 100 eller 1 av 1000)

Full netflow på verktøykasser

Nfsen/Nfdump fungerer stort sett som det skal

• abandonware?Enkle script fanger opp en del scannere, spammere og DDoS

Kunne gjort mye mer med analyse og utnyttelse

• Vi har fått satt opp SiLK, og går snart over til det.

SLIDE 1512 May 2017

Sårbarhetsscanning

Vi har altfor mange åpne sårbare tjenester i sektoren. Vi må lukke de!

Finne sårbarheter før de blir utnyttet.

Aktiv scanning fra:

• sentral server

• prober internt på campus

Felles tjeneste for sektoren? (Vi kan fronte tjenestenog gjøre innkjøp på vegne av sektoren!)

12 May 2017 SLIDE 16

Sårbarhetsscanning - utfordringer

Mange tester skjer på versjonsnummerMange sikkerhetsoppdateringer skjer med backporting• Resultat: mange falske positiveScan på en høgskole:• Første rapport var på 1300 sider!• 2130 sårbarheterAutomatisk fjerning av sårbarheter som er fikset i Debian security feed• 70-80% blir fjernetMange sårbarheter blir ikke fikset!• F.eks. https://security-tracker.debian.org/tracker/CVE-2011-4718

12 May 2017 SLIDE 17

DDoS mitigering

Vi har etablert en enkel statisk filtrering og ratebegrensing som basisvern på utenlandslinker – en løsning for å stoppe de mest vanlige volumetriske og refleksive angrep – fungerer bra

NORDUnet på lag med oss, aktiv i å begrense effekt av angrep.

”Normalstørrelse” DDoS-angrep fyller ikke utenlandslinker lenger (10G->100G)

Kan bistå med ratebegrensning eller blackholing mot spesifikke mål for volumangrep

UNINETT dagpersonell og beredskapsvakt håndterer hendelser

18

SinkholingFikk på plass løsning nå i januar 2017Logger alt av web-oppkoblingerBrukt under årets torrentlocker kampanjer (posten/telenor-phish)• Ga oss innsikt i hvem (IP-adresser) som trykte på phishing-lenker• Rapporterte dette til de aktuelle kundene• Gir dere mulighet til brukeropplæring for konkrete brukereSinkholing/nullruting er en metode vi kun bruker i større hendelser for åbeskytte hele sektorenKan brukes til å finne allerede kompromitterte maskinerPga. skalering vil denne ikke bli brukt i enkelt-saker for enkelt-kunder!En utfordring dersom fast-flux er brukt. Da må vi hele tiden endrehvilke IP-adresser vi sinkholer.

12 May 2017 SLIDE 19

Sentral mail filtrering

NSM helhetlig IKT-risikobilde 2016: “NSM registrerer fortsatt at den vanligsteangreps-metoden i vellykkede, målrettede angrep er epost til brukere ivirksomheten som rammes.”

Disse brukerne fungerer videre som brohoder til annen infrastruktur.

I kraft av å være sektorCERT mottar vi ganske ofte informasjon om forskjelligetype angrep gjort per epost

• Målrettede angrep fra spesifikke avsendere

• Phishing fra spesifikke avsendere

• CEO-fraud fra spesifikke avsendere

• Cryptolocker fra spesifikke avsendere

Idag får vi ikke nyttiggjort oss denne informasjonen

SLIDE 2012 May 2017

Sentral mail filtrering (forts.)Hva om vi hadde en sentral koordinert måte å få sperra ned denneepost-flyten?

Nye angrep/adresser kan varsles inn sentralt og forløpendeanalyseres og sperres slik at andre i sektoren blir skjermet – itillegg til reputation feed

UiO og UNINETT starter nå å ser på et samarbeid om en sentral MX tjeneste for sektoren.

• Bare initielle samtaler foreløpig, men det ligger an til at UNINETT gjør detmerkantile, og UiO driver tjenesten. UiO CERT og UNINETT CERT samarbeiderom sperringer.

SLIDE 2112 May 2017

DNS RPZ

Stort sett alle oppkoblinger på internett starter med et DNS-oppslag

Hva om vi kunne stoppe oppslag til domener brukt tilslemvare via DNS?

SLIDE 2212 May 2017

SLIDE 2312 May 2017

SLIDE 2412 May 2017

DNS query logAnalysearbeid stopper opp fordi vi ikke kan finne ut hvilken klient somhar slått opp hvilket domeneSer dette veldig ofte fra tjenesten Sikkerhetsanalyse hvor rekursivenavnetjenere har slått opp domener vi vet er forbundet med slemvare. Men vi vet ikke hvilken klient som har spurtVi selv kjører DNS query log på våre rekursive navnetjenereVi oppfordrer flere kunder til å gjøre detteMen….Utfordring: Potensielt juridiske utfordringer? Potensielt sensitive data!Utfordring: Tilgang til dataene må begrenses og kontrolleres godtInteressant med en UNINETT fagspesifikasjon (UFS) for DNS query log ?

SLIDE 2512 May 2017

Passiv DNS dataLogging av DNS-svar som rekursive navnetjenere får fra andre DNS-servere

Altså en historisk oversikt/logg over hvilke IP-adresser oppslåtte domenerpeker til

Logger ikke hvilken klient som spurte

Passiv DNS data er ofte veldig nyttig i analysearbeid. (Berikelse av data)

Eksempler

• https://threatcrowd.org/

• https://passivedns.mnemonic.no/

SLIDE 2612 May 2017

Logganalyse

https://www.uninett.no/tjenester/logganalyse

12 May 2017 SLIDE 27

Sikkerhetsanalyse

https://www.uninett.no/sikkerhetsanalyse

12 May 2017 SLIDE 28

Kontaktinfo

cert-info@uninett.no

http://cert.uninett.no

Arne Øslebø, arne.oslebo@uninett.no

Rune Sydskjør, rune.sydskjor@uninett.no

UNINETT CERT

SLIDE 2912 May 2017