Social Engineering: metoder, eksempler og funn
Download
Report
Transcript Social Engineering: metoder, eksempler og funn
Social Engineering:
metoder, eksempler og funn
Christian Jacobsen
[email protected]
Secode i siffror
•
•
•
•
•
# 1 inom IT-säkerhet i Norden (Test, Konsulting, MSS)
2 SOCar i Norden med verksamhet 24/7
27 års erfarenhet av IT-säkerhet
100+ dedikerade säkerhetsexperter
1/3 av organisationerna på Stockholms- och Oslobörsen
som kunder
• 7 orter Stockholm, Göteborg, Oslo, Arendal, Maastricth,
Helsingfors, Köpenhamn
• Del av Integralis Group och NTT Communication
Slide 2
First contact
Physical access
Local execution
Exploit
Unsolicited message
Establish presence
Malicious activity
Download malware
Propagation
Escalate privilege
Social Engineering
Malicious website
Network access
How the attacker first
crosses path with
target
Adware & scareware
Persist on system
Configuration error
How the attacker gets
code running first time
on target machine
Bot activities
Identity & fiancial
fraud
Self preservation
Tampering
How attacker persists
code on system, to
survive reboot and
stay hidden
The business logic,
what the attacker
wants to accomplish
© McAfee / http://blogs.mcafee.com/enterprise/the-four-phases-of-every-attack
Zero-day exploits get all the sexy headlines, but
social engineering gets most of the results
Myke mål
Soc
Eng
Lav deteksjonsrate
Høy kompleksitet
Troverdighet handler om
planlegging og å tilfredsstille
forventninger
Kompetanse handler om teknikk,
erfaring, metodebruk og
tilpasningsdyktighet
Tillit
Tillit
hva gjør tillit med sikkerhet?
Tillit
kan tillit svekke sikkerhet?
Metodene er åpne og kjente
Basert på kjente, og forutsigbare,
reaksjonsmønstre
Deltagelse i internasjonalt fagmiljø
Hva kan det brukes til?
Noen eksempler
på funn fra tester
vi har gjort
Resultater: alle resultater er verdifulle
Must
Can
None
Sikkerhet og sårbarhet 2011
Passord er enkle å høste
Gave their password
Did not give password
Exposed the test
Så passordene er ikke så trygge…?
Så passordene er ikke så trygge…?
Nei.
Så passordene er ikke så trygge…?
Nei.
…men:
Så passordene er ikke så trygge…?
En social engineering-test vil gi din virksomhet muligheten til å måle
sikkerhet. Testen vil identifisere høyrisikoområder, hjelpe å
planlegge relevant sikkerhetsopplæring og etableringen av
preventive, detekterende og korrigerende tiltak.
Så passordene er ikke så trygge…?
Husk:
Så passordene er ikke så trygge…?
Å gjennomføre en social engineering-test uten at det foreligger planer
om å følge opp resultatene med konstruktive, holdningsskapende
prosjekter er som å gjennomføre en pentest uten å være villig til å
patche i etterkant.
Case study
Erfaringer fra repeterende tester
Norsk bedrift
~ 400 ansatte
Unikt merkenavn
Primært to verdier:
store, lett omsettelige verdier
tyveri eller sabotasje av kildekode
Passordhøsting
100%
90%
80%
70%
60%
50%
Eksempel: passordhøsting
40%
30%
20%
10%
0%
2009
2010
2011
Passord
Passord
Passordhøsting
100%
90%
80%
Shipping
70%
IT
Finans
60%
Passord
50%
40%
Finans
IT
Offentlig
forvaltning
30%
20%
10%
0%
2009
2010
2011
Andre tester
Passordhøsting
100%
90%
80%
70%
60%
Passord
50%
Andre tester
40%
Avsløringer
30%
20%
10%
0%
2009
2010
2011
2012
100%
90%
80%
70%
Passord
60%
50%
40%
Avsløringer
30%
20%
10%
0%
2009
2010
2011
2012
Det vil alltid være mulig å høste passord.
Jeg tror det er urealistisk å forvente at samtlige ansatte i en ordinær
virksomhet av en viss størrelse til enhver tid forstår og etterlever
sikkerhetspolicy.
Kompensér!
Ved å ha kunnskap om social engineering og ved å gjennomføre
øvelser, øker sannsynligheten for deteksjon og påfølgende
korrigerende tiltak.
Dette vil gjøre risiko uakseptabel for angriperen; han vil risikere å bli
avslørt allerede ved første henvendelse, og vil ikke oppnå noe.
Vi har....
•
Fått tilgang til firmabil
•
Fått nøkkelen til hvelv
•
Hatt fri adgang til personalmapper
•
Blitt så godt kjent at vaktselskapet ga oss nøkler til bygget
•
Høstet brukernavn og passord fra 100% av de ansatte som ble testet
•
Blitt ringt tilbake i kjølvannet av webmailtester for ytterligere supportbistand
•
Fått tilgang til servere, printere, kablingsrom og klientmaskiner
•
Funnet uautorisert webserver med webkamera fra kontormiljøet – rett ut på
internett
•
Gjennomført DNS-endringer
•
Fått tilgang til personsensitive dokumenter markert ”Unntatt offentligheten”
•
Blitt ansatt!
....…og mye mer
Helhetsgrepp på säkerheten med Secode
Vill du veta hur vi kan hjälpa just dig?
Träffa oss i Secodes monter!
• Säkerhetstester
• Rådgivning IT och informationssäkerhet
• Övervaknings- och analystjänster 24/7
Slide 31
Takk for meg!-- spørsmål?
Questions
Discussion
Next steps
[email protected]
www.secode.com