O slideshow foi denunciado.
Utilizamos seu perfil e dados de atividades no LinkedIn para personalizar e exibir anúncios mais relevantes. Altere suas preferências de anúncios quando desejar.

Bsides threat hunting

2.505 visualizações

Publicada em

Threat Hunting – Como os frameworks podem te ajudar a criar cenários e detectar ameaças

Publicada em: Tecnologia
  • Entre para ver os comentários

Bsides threat hunting

  1. 1. Threat Hunting – Como os frameworks podem te ajudar a criar cenários e detectar ameaças Rodrigo ”Sp0oKeR” Montoro @spookerlabs
  2. 2. Quem sou eu ?
  3. 3. Agenda • Motivação • Threat Hunting • Cyber Kill Chain ™ • ATT&CK (Mitre) • Cenário / Caçando • Conclusão
  4. 4. Motivação • Conhecimento dos atacantes • Superfície de ataque • Dificuldade para mapear as ameaças • Demora detectar os invasores
  5. 5. O que é Threat Hunting ?
  6. 6. Primeiramente o que não é! • Utilizar Threat Intel • Resposta a incidentes • Instalar ferramentas e esperar alertas • Análise forense
  7. 7. Threat Hunting
  8. 8. Hipóteses • Indicadores de Comprometimentos (IoC) • Táticas, Técnicas e Procedimentos (TTP) • Time Ofensivo (Red Team) • Experiência / Maldade / Feelings
  9. 9. Fontes de dados • Netflow • Firewall • Eventos sistema (EventID, AuditD) • Logs Aplicações • Algo que gere informação interessante
  10. 10. Antes ...
  11. 11. Tudo junto e misturado ...
  12. 12. Em Fases
  13. 13. Aprofundando em uma fase
  14. 14. Cyber Kill Chain ™
  15. 15. Sobre Cyber Kill Chain ™ • Criado Lockheed Martin • Dividido em 7 etapas • Detecção fases iniciais é melhor • Reanalisar não detecção fases anteriores
  16. 16. Reconhecimento Municiamento Entrega Exploração Instalação Comando e Controle (c2) Ações Objetivos E-mails Domínios Usuários Vagas Serviços expostos Vazamentos Ferramentas Phishing Payloads Malwares E-mail Websites Wifi Dispositivos Móveis Humana Software Hardware Cliente/Servidor 0day Backdoors Webshells Serviços Covert Channels Updates Elevação privilégio Movimento lateral Roubo dados Destruir sistemas Modificar dados Coletar usuarios Cyber Kill Chain ™
  17. 17. ATT&CK (Adversarial Tactics, Techniques & Common Knowlodge )
  18. 18. ATT&CK
  19. 19. Sobre ATT&CK • Framework criado pelo Mitre • Técnicas usadas após exploração • 10 táticas / 130+ técnicas • Foco comportamento não em ferramentas • Pesquisa constante (último update abril)
  20. 20. Táticas Persistence Privilege Escalation Defense Evasion Credential Access Discovery Lateral Movement Execution Collection Exfiltration Command and Control
  21. 21. Técnicas
  22. 22. Cenário / Caçando
  23. 23. Exemplo cenário
  24. 24. ATT&CK
  25. 25. Algumas Análises Matrix
  26. 26. Auto Análise
  27. 27. Ofensivo (Teste de invasão)
  28. 28. Defesa (SIEM Octopus)
  29. 29. Ferramentas Perímetro
  30. 30. Conclusões • Frameworks facilitam a criação de cenários menores • Entenda os atacantes • Valide suas proteções • Não espera alguém te avisar da invasão • Sempre ache o Wally!
  31. 31. OBRIGADO! Rodrigo Montoro rodrigo@clavis.com.br @spookerlabs / @ClavisSecurity

×