Bsides threat hunting

•Télécharger en tant que PPTX, PDF•

3 j'aime•2,660 vues

Rodrigo Montoro

Threat Hunting – Como os frameworks podem te ajudar a criar cenários e detectar ameaças

Technologie

Agenda
• Motivação
• Threat Hunting
• Cyber Kill Chain ™
• ATT&CK (Mitre)
• Cenário / Caçando
• Conclusão

Motivação
• Conhecimento dos atacantes
• Superfície de ataque
• Dificuldade para mapear as ameaças
• Demora detectar os invasores

Primeiramente o que não é!
• Utilizar Threat Intel
• Resposta a incidentes
• Instalar ferramentas e esperar alertas
• Análise forense

Hipóteses
• Indicadores de Comprometimentos (IoC)
• Táticas, Técnicas e Procedimentos (TTP)
• Time Ofensivo (Red Team)
• Experiência / Maldade / Feelings

Fontes de dados
• Netflow
• Firewall
• Eventos sistema (EventID, AuditD)
• Logs Aplicações
• Algo que gere informação interessante

Sobre Cyber Kill Chain ™
• Criado Lockheed Martin
• Dividido em 7 etapas
• Detecção fases iniciais é melhor
• Reanalisar não detecção fases anteriores

Reconhecimento Municiamento Entrega Exploração Instalação
Comando
e
Controle (c2)
Ações
Objetivos
E-mails
Domínios
Usuários
Vagas
Serviços expostos
Vazamentos
Ferramentas
Phishing
Payloads
Malwares
E-mail
Websites
Wifi
Dispositivos
Móveis
Humana
Software
Hardware
Cliente/Servidor
0day
Backdoors
Webshells
Serviços
Covert
Channels
Updates
Elevação
privilégio
Movimento lateral
Roubo dados
Destruir sistemas
Modificar dados
Coletar usuarios
Cyber Kill Chain ™

ATT&CK (Adversarial Tactics,
Techniques & Common
Knowlodge )

Sobre ATT&CK
• Framework criado pelo Mitre
• Técnicas usadas após exploração
• 10 táticas / 130+ técnicas
• Foco comportamento não em ferramentas
• Pesquisa constante (último update abril)

Táticas
Persistence
Privilege
Escalation
Defense
Evasion
Credential
Access
Discovery
Lateral
Movement
Execution Collection Exfiltration
Command and
Control

Conclusões
• Frameworks facilitam a criação de cenários
menores
• Entenda os atacantes
• Valide suas proteções
• Não espera alguém te avisar da invasão
• Sempre ache o Wally!

OBRIGADO!
Rodrigo Montoro
rodrigo@clavis.com.br
@spookerlabs / @ClavisSecurity

Contenu connexe

En vedette

Zero to Hero: Getting started with DVCSAtlassian

Joomladagen 2015 Joomla PerformanceSimon Kloostra

Database2011 MySQL ShardingMoshe Kaplan

Santo Rosario Completoalejisslideshare

Wapenrustinglukaonline

Rez gateway (RezOS) innovate the futureindikaMaligaspe

How to Keep Students Motivated During WinterRobert Peters, Ed.D

Amazon Elastic Block Store for Application StorageAmazon Web Services

Application Development on MetapodCisco DevNet

OS17 BrochureDominic Vogel

Answers in environmental education @kayeCee Saliendrez

Dialogue AssessmentEmily Kissner

Setex Brochure by Matrax BulgariaВеселка Дамянова

Architecting your Splunk deploymentSplunk

Docker security introduction-task-2016Ricardo Gerardi

An Introduction to event sourcing and CQRSHaufe-Lexware GmbH & Co KG

Whats new in IBM MQ; V9 LTS, V9.0.1 CD and V9.0.2 CDDavid Ware

Logs Don't Lie Or Do They?Alan K'necht

Mohamed Ahmed AbdelkhalekMohamed A. Abdelkhalek

Monitoring & Analysis 101 - N00b to Ninja in 60 Minutes at ISSW on April 9, 2016grecsl

En vedette (20)

Zero to Hero: Getting started with DVCS

Joomladagen 2015 Joomla Performance

Database2011 MySQL Sharding

Santo Rosario Completo

Wapenrusting

Rez gateway (RezOS) innovate the future

How to Keep Students Motivated During Winter

Amazon Elastic Block Store for Application Storage

Application Development on Metapod

OS17 Brochure

Answers in environmental education @kaye

Dialogue Assessment

Setex Brochure by Matrax Bulgaria

Architecting your Splunk deployment

Docker security introduction-task-2016

An Introduction to event sourcing and CQRS

Whats new in IBM MQ; V9 LTS, V9.0.1 CD and V9.0.2 CD

Logs Don't Lie Or Do They?

Mohamed Ahmed Abdelkhalek

Monitoring & Analysis 101 - N00b to Ninja in 60 Minutes at ISSW on April 9, 2016

Similaire à Bsides threat hunting

CNASI Cyber, Forense e CISSPCarlos Eduardo Motta de Castro

Ii congresso de crimes eletrônicos e formas de proteção – 27 09-2010 – aprese...FecomercioSP

CsirtRenato Basante Borbolla

Segurança da informação - Forense ComputacionalJefferson Costa

Aula import segJorgewfAlves

eLearnSecurity Certified Threat Hunting Introduction PT 1.pdfMTalhaTayabani

Estratégias para Modelagem de AmeaçasSpark Security

Minicurso – Forense computacional “Análise de redes”Jefferson Costa

Mitre ATT&CK - Quando Risco, Ataque e Defesa falam a mesma linguagemRodrigo Montoro

Investigação de Crimes Digitais - Carreira em Computação ForenseVaine Luiz Barreira, MBA

Uma Introdução a Threat Intelligence e Threat Hunting para Empresas Sem Orçam...Alexandre Sieira

Cyber Educação para Jovens - Desenvolvendo suas habilidades em PenTestJoas Antonio dos Santos

Vulnerabilidade.pptAgostinho9

teste de invasãoClaudio Francisco Joaquim Joaquim

H2HC University 2014Joaquim Espinhara

Crimes Digitais e a Computacao ForenseVaine Luiz Barreira, MBA

Segurança de RedeMarcelo Piuma

Segurança de Rede na Era do Software LivreMarcelo Piuma

Segurança na Internet das Coisas Usando Aprendizado de Máquina para Detecção ...Marcos Felipe

Treta Hunting - Cris BarbosaTest Girls

Similaire à Bsides threat hunting (20)

CNASI Cyber, Forense e CISSP

Ii congresso de crimes eletrônicos e formas de proteção – 27 09-2010 – aprese...

Csirt

Segurança da informação - Forense Computacional

Aula import seg

eLearnSecurity Certified Threat Hunting Introduction PT 1.pdf

Estratégias para Modelagem de Ameaças

Minicurso – Forense computacional “Análise de redes”

Mitre ATT&CK - Quando Risco, Ataque e Defesa falam a mesma linguagem

Investigação de Crimes Digitais - Carreira em Computação Forense

Uma Introdução a Threat Intelligence e Threat Hunting para Empresas Sem Orçam...

Cyber Educação para Jovens - Desenvolvendo suas habilidades em PenTest

Vulnerabilidade.ppt

teste de invasão

H2HC University 2014

Crimes Digitais e a Computacao Forense

Segurança de Rede

Segurança de Rede na Era do Software Livre

Segurança na Internet das Coisas Usando Aprendizado de Máquina para Detecção ...

Treta Hunting - Cris Barbosa

Dernier

ATIVIDADE 1 - GCOM - GESTÃO DA INFORMAÇÃO - 54_2024.docx2m Assessoria

ATIVIDADE 1 - CUSTOS DE PRODUÇÃO - 52_2024.docx2m Assessoria

ATIVIDADE 1 - LOGÍSTICA EMPRESARIAL - 52_2024.docx2m Assessoria

Padrões de Projeto: Proxy e Command com exemploDanilo Pinotti

ATIVIDADE 1 - ESTRUTURA DE DADOS II - 52_2024.docx2m Assessoria

Programação Orientada a Objetos - 4 Pilares.pdfSamaraLunas

Boas práticas de programação com Object CalisthenicsDanilo Pinotti

Luís Kitota AWS Discovery Day Ka Solution.pdfLuisKitota

Dernier (8)

ATIVIDADE 1 - GCOM - GESTÃO DA INFORMAÇÃO - 54_2024.docx

ATIVIDADE 1 - CUSTOS DE PRODUÇÃO - 52_2024.docx

ATIVIDADE 1 - LOGÍSTICA EMPRESARIAL - 52_2024.docx

Padrões de Projeto: Proxy e Command com exemplo

ATIVIDADE 1 - ESTRUTURA DE DADOS II - 52_2024.docx

Programação Orientada a Objetos - 4 Pilares.pdf

Boas práticas de programação com Object Calisthenics

Luís Kitota AWS Discovery Day Ka Solution.pdf

Bsides threat hunting

1. Threat Hunting – Como os frameworks podem te ajudar a criar cenários e detectar ameaças Rodrigo ”Sp0oKeR” Montoro @spookerlabs

2. Quem sou eu ?

3. Agenda • Motivação • Threat Hunting • Cyber Kill Chain ™ • ATT&CK (Mitre) • Cenário / Caçando • Conclusão

4. Motivação • Conhecimento dos atacantes • Superfície de ataque • Dificuldade para mapear as ameaças • Demora detectar os invasores

5. O que é Threat Hunting ?

6. Primeiramente o que não é! • Utilizar Threat Intel • Resposta a incidentes • Instalar ferramentas e esperar alertas • Análise forense

7. Threat Hunting

8. Hipóteses • Indicadores de Comprometimentos (IoC) • Táticas, Técnicas e Procedimentos (TTP) • Time Ofensivo (Red Team) • Experiência / Maldade / Feelings

9. Fontes de dados • Netflow • Firewall • Eventos sistema (EventID, AuditD) • Logs Aplicações • Algo que gere informação interessante

10. Antes ...

11. Tudo junto e misturado ...

12. Em Fases

13. Aprofundando em uma fase

14. Cyber Kill Chain ™

15. Sobre Cyber Kill Chain ™ • Criado Lockheed Martin • Dividido em 7 etapas • Detecção fases iniciais é melhor • Reanalisar não detecção fases anteriores

16. Reconhecimento Municiamento Entrega Exploração Instalação Comando e Controle (c2) Ações Objetivos E-mails Domínios Usuários Vagas Serviços expostos Vazamentos Ferramentas Phishing Payloads Malwares E-mail Websites Wifi Dispositivos Móveis Humana Software Hardware Cliente/Servidor 0day Backdoors Webshells Serviços Covert Channels Updates Elevação privilégio Movimento lateral Roubo dados Destruir sistemas Modificar dados Coletar usuarios Cyber Kill Chain ™

17. ATT&CK (Adversarial Tactics, Techniques & Common Knowlodge )

18. ATT&CK

19. Sobre ATT&CK • Framework criado pelo Mitre • Técnicas usadas após exploração • 10 táticas / 130+ técnicas • Foco comportamento não em ferramentas • Pesquisa constante (último update abril)

20.

21. Táticas Persistence Privilege Escalation Defense Evasion Credential Access Discovery Lateral Movement Execution Collection Exfiltration Command and Control

22. Técnicas

23. Cenário / Caçando

24. Exemplo cenário

25. ATT&CK

26. Algumas Análises Matrix

27. Auto Análise

28. Ofensivo (Teste de invasão)

29. Defesa (SIEM Octopus)

30. Ferramentas Perímetro

31. Conclusões • Frameworks facilitam a criação de cenários menores • Entenda os atacantes • Valide suas proteções • Não espera alguém te avisar da invasão • Sempre ache o Wally!

32. OBRIGADO! Rodrigo Montoro rodrigo@clavis.com.br @spookerlabs / @ClavisSecurity

Bsides threat hunting

Recommandé

Recommandé

Contenu connexe

En vedette

En vedette (20)

Similaire à Bsides threat hunting

Similaire à Bsides threat hunting (20)

Dernier

Dernier (8)

Bsides threat hunting