Atak/Obrona - Zarządzanie incydentem bezpieczeństwa cz. 2: " Analiza incydentu/ów bezpieczeństwa z punktu widzenia defensywy”

Adam Mizerski 11-04-2017, 09:04

12.04.2017 równolegle na Uniwersytecie Ekonomicznym w Katowicach oraz w sali wideokonferencyjnej Polskiego Towarzystwa Informatycznego w Warszawie odbędzie się drugie seminarium z cyklu Atak/Obrona dotyczące zarządzaniem incydentem bezpieczeństwa.

Przełom roku 2016 i 2017 to okres najbardziej spektakularnego ataku na polską infrastrukturę krytyczną której elementem był sektor bankowy. Wiadomości z Polski nieczęsto trafiają na łamy The New York Times, tym bardziej te związane z bezpieczeństwem IT w naszym kraju, a tak się stało w tym przypadku gdy NYT przypisał autorstwo ataku na polską cyberprzestrzeń Korei Północnej.

Powszechnie atak na stronę internetową kojarzy się z tzw. „deface”, czyli podmianą strony lub dodaniem do zaatakowanej strony internetowej informacji, iż została ona „zhakowana”, swoistym podpisem crackerskiej chwały: „to ja złamałem wasze zabezpieczenia”. Owe skojarzenie ma się jednak nijak do współczesnych poczynań cyberprzestępców, którym zależy na jak najdłuższym okresie niewykrytej działalności. Taki cel mieli cyberprzestępcy którzy wykorzystali niezaktualizowaną podatność występującą na stronie Komisji Nadzoru Finansowego na której zamieścili szkodliwy kod, który przez długi okres (po mimo klasyfikacji jako szkodliwy przez VirusTotal i Hybrid Analysis), niezauważalnie infekował komputery stacjonarne pracowników banków którzy w swej codziennej pracy korzystali z informacji zawartych na stronach KNF. Ten typ ataku, tzw. „watering hole” (atak „Przy wodopoju”), nie jest niczym nowym, gdyż został zdefiniowany przez RSA Security LLC już w 2012 roku jako atak polegający na zaatakowaniu konkretnej grupy, organizacji, branży i składający się z trzech faz:

  1. identyfikacji z których stron internetowych często korzysta dana grupa użytkowników (potencjalnych ofiar),
  2. zainfekowaniu jednej lub więcej z tych stron szkodliwym oprogramowaniem,
  3. infekcji komputerów ofiar które są celem ataku.

Skuteczność tego typu ataku oparta jest zarówno na technologiach jak i socjotechnice, gdyż użytkownicy instynktownie ufają odwiedzanym prawdziwym stronom internetowym, a administratorzy często ułatwiają sobie życie definiując „białe listy” zaufanych stron.

Nie ma w tym nic dziwnego, wszak strona KNF jest stroną organu nadzorczego nakładającego na sektor bankowy i ubezpieczeniowy wymogi w zakresie bezpieczeństwa systemów teleinformatycznych, a inspektorzy KNF regularnie kontrolują banki przyjeżdżając na często trwające co najmniej miesiąc inspekcje obejmujące bezpieczeństwo systemów IT. KNF jest autorem jednej z najlepszych regulacji dotyczących bezpieczeństwa IT jaką opracowała polska administracja publiczna, czyli „Rekomendacji D KNF dotyczącej zarządzania obszarami technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego w bankach”, a inspektorzy KNF posiadają wysokie kompetencje merytoryczne i doświadczenie praktyczne wyniesione z inspekcji w wielu bankach mających duże i skomplikowane systemy IT. Dodatkowo 4 lipca 2016 w warszawskiej siedzibie Naukowej i Akademickiej Sieci Komputerowej odbyło się oficjalne otwarcie Narodowego Bankowego Centrum Bezpieczeństwa, którego celem jest wykrywanie cyberzagrożeń, ich analiza i operacyjne przeciwdziałanie skutkom ataków hakerskich na systemu informatyczne banków i innych instytucji publicznych.

Jak więc, po mimo kompetencji KNF i powołania Narodowego Bankowego Centrum Bezpieczeństwa, możliwe było aby przez kilka miesięcy strona KNF „atakowała” komputery banków ? Między innymi na te pytanie, i wiele innych postaramy się odpowiedzieć podczas naszego seminarium z cyklu Atak/Obrona Zarządzanie incydentem bezpieczeństwa  cz. 2: "Analiza incydentu/ów bezpieczeństwa z punktu widzenia defensywy”.

Atak/Obrona - Zarządzanie incydentem bezpieczeństwa cz. 2:

Spotkanie rozpocznie się wystąpieniem w Warszawie w multimedialnej sali Polskiego Towarzystwa Informatycznego Pani mecenas Agnieszki Wachowskiej, partnera i radcy prawnego w Kancelarii Traple Konarski Podrecki i Wspólnicy sp.j., która pełni funkcję szefa zespołu IT-Telco tej kancelarii. Tematem wystąpienia będzie jakże aktualna kwestia „Odpowiedzialności dostawcy usług IT za przypadki naruszenia cyberbezpieczeństwa”.  Prelegentka zreferuje odpowiedzialność dostawców usług IT w sytuacji kiedy dojdzie do naruszenia cyberbezpieczeństwa i postara się odpowiedzieć na pytania, w szczególności poprzez przedstawienie podstaw prawnych odpowiedzialności za naruszenie cyberbezpieczeństwa i ich możliwych modyfikacji umownych:

a)      czy pokrzywdzony może upatrywać jego przyczyn w niewystarczających zabezpieczeniach stosowanych przez dostawcę IT w dostarczanych rozwiązaniach?

b)      jak ustalić zakres odpowiedzialności dostawcy za cyberatak na podstawie przepisów prawa?

c)      w jaki sposób dostawca usług IT oraz jego pracownicy odpowiadają za przypadki naruszenia cyberbezpieczeństwa?

d)      czy dostawca usług IT odpowiada za ataki hakerskie, a jeśli tak to kiedy i na jakich zasadach?

e)      czy cyberatak może zostać potraktowany jako siła wyższa, która zwalnia strony z odpowiedzialności?

Kolejny prelegent Przemysław Skowron, założyciel zespołu White Cat Security koncentrującego się na odwracaniu niekorzystnego stosunku sił napastników do obrońców w największych polskich firmach, mający bogate doświadczenie w defensywie, który m. in. w latach 2008-2015 stworzył i rozwijał zespół CSIRT (Computer Security Incident Response Team) dla Grupy Alior Bank, a wcześniej był związany z portalem Interia.PL i Fundacją PROIDEA.

Prelekcja Przemysława Skowrona który wystąpi w Katowicach w auli Centrum Nowoczesnych

Technologii Informatycznych Uniwersytetu Ekonomicznego w Katowicach, dotyczyć będzie wspomnianego, najgłośniejszego a może i największego ataku na polski sektor finansowy. Wystąpienie p.t. „Studium przypadku: KNF - kiedy następna farsa” rozpocznie się od opisu kampanii zaczynającej się od naruszenia integralności serwisu KNF, przez infekcję komputerów, po działania wewnętrznych sieci zaatakowanych instytucji. Jak zapowiada Przemysław Skowron, w trakcie wystąpienia zostaną ujawnione fakty które nie były dotychczas publikowane, a które znajdą się w przygotowywanym przez White Cat Security szczegółowym raporcie dotyczącym tego incydentu. Prelegent jako „piewca defensywy”, nie tylko skoncentruje się na samej historii ataku, lecz posiadając kilkunastoletnie doświadczenie jako członek zespołów ofensywnych ("Red Team") i defensywnych ("Blue Team") zaproponuje mechanizmy, narzędzia, procedury i ludzie mogą powstrzymać sukces podobnej kampanii.

Seminarium jest organizowane we współpracy z Polskim Towarzystwem Informatycznym,  Polskim Oddziałem IEEE Computer Society oraz Instytutem Autostrada Technologii i Innowacji (IATI).

Patronat medialny - Dziennik Internautów.

Wykorzystując możliwości nowych technologii spotkanie odbędzie się równolegle w Katowicach i Warszawie (multimedialna sala wideokonferencyjna Polskiego Towarzystwa Informatycznego) połączonych mostem wideokonferencyjnym. Prelegenci będą prezentować swoje wystąpienie w Warszawie i Katowicach, a dwustronne połączenie wideokonferencyjne umożliwi uczestnictwo i zadawanie pytań obecnym zarówno w Warszawie i Katowicach.

Serdecznie zapraszamy - wstęp wolny, ze względu na ograniczoną ilość miejsc prosimy o bezpłatną rezerwację udziału w spotkaniu - http://www.isaca.org/chapters8/Katowice/Events/Pages/Page2.aspx  

Adam Mizerski


Tematy pokrewne:  

tag patronat DItag ISACAtag bezpieczeństwo
Komentarze
comments powered by Disqus
To warto przeczytać










  
znajdź w serwisie

RSS - Wywiad
Wywiad  
RSS - Interwencje
RSS - Porady
Porady  
RSS - Listy
Listy  
Jak czytać DI?
Newsletter

Podaj teraz tylko e-mail!



RSS
Copyright © 1998-2017 by Dziennik Internautów Sp. z o.o. (GRUPA INFOR PL) Wszelkie prawa zastrzeżone.