NAJNOWSZE ARTYKUŁY

Jade na Absolvent Talent Days… jako prelegent!

Kamil Kamiński
-
0
Jade na Absolvent Talent Days… jako prelegent!

29 października zapraszam na swoje warsztaty, które poprowadzę na targach pracy Absolvent Talent Days we Wrocławiu.

Opis szkolenia:

Udział w warsztacie pozwoli Ci zrozumieć jak działają dzisiejszy hakerzy oraz jak radzić sobie z coraz to podstępniejszymi cyberatakami. Warsztat demonstruje najnowsze oraz najpopularniejsze ataki skierowane w każdego z nas. Biorąc udział w szkoleniu dowiesz się jak „od kuchni” przestępcy przeprowadzają zaawansowane ataki.

Podczas warsztatów odbędzie się interaktywne ćwiczenie, w którym to spróbujemy zidentyfikować tzw. „phishing”. Aby wziąć udział w krótkim ćwiczeniu wymagany jest smartfon z dostępem do internetu.

Warsztat skierowany jest zarówno do osób nie mających dużej styczności z IT (pracownicy / studenci innych branż), jak i tych technicznych (programistów, administratorów, sieciowców), którzy chcą swoją wiedzę rozszerzyć o bezpieczeństwo IT.

A wszystko to poparte realnymi przykładami!

Warsztaty są bezpłatne, także zapraszam wszystkich chętnych (ilość miejsc ograniczona). Zapisy na stronie wydarzenia.

Będzie mięso!

Jadę na Advanced Threat Summit 2018!

Kamil Kamiński
-
0
Jadę na Advanced Threat Summit 2018!
Przed nami Advanced Threat Summit 2018 – poznajcie program oraz ekspertów konferencji!   Advanced Threat Summit 2018 to jedna z największych i najważniejszych konferencji cybersecurity w Polsce. To spotkanie dedykowane dla menedżerów cyberbezpieczeństwa i bezpieczeństwa informacji z dużych i średnich podmiotów działających w Polsce.  W tym roku spotykamy się 13-14 listopada w Warszawie! Program 5. edycji AT Summit będzie skoncentrowany na tematyce wpływu automatyzacji i sztucznej inteligencji na branżę cyberbezpieczeństwa, dbałości o bezpieczeństwo w całym procesie tworzenia systemów IT oraz cybercrime, i temu, skąd się bierze zło w sieci. Czekać na Was będzie kilkudziesięciu prelegentów, sesje równoległe i plenarne, 4 warsztaty do wyboru, ponad 20 różnych tematów dyskusji roundtable i wiele miejsca do networkingu. Goście specjalni AT Summit 2018 to m.in.:  Menny Barzilay (CTO, Cyber Research Center, Tel-Aviv University) – doskonały mówca i ekspert w obszarze mariażu cyberbezpieczeństwa i sztucznej inteligencji. Szef  technologiczny ośrodka badawczego Cyber Research na Tel-Aviv University  Mikko Hypponen  (Chief Research Officer, F-Secure) – żywa legenda i jeden z prawdziwych autorytetów branży cyberbezpieczeństwa  Martin Knobloch (Chairman of the Board, OWASP Foundation) – praktyk wykorzystania koncepcji Secure by Design  Alex Vaystikh – CTO i współzałożyciel, SecBI – Innowator stojący za rozwiązaniami SecBI. Ekspert wykorzystania Machine Learning i BigData w cyberbezpieczeństwie Swoim doświadczeniami podzielą się również m.in.: Jarosław Abramczyk, Centrum Informatyki Resortu Finansów; Grzegorz Długajczyk, ING Bank; Aleksander Ludynia, AC Project; Mec. Marcin Maruta, Kancelaria Maruta Wachta; Jacek Orzeł, Ministerstwo Inwestycji i Rozwoju; Jakub Pepłoński, Allegro.pl; Janusz Żmudziński, PTI. W programie znalazło się również miejsce na warsztaty:
  • Trudne rozmowy  z użytkownikami (i nie tylko)- czyli jak uzyskać maksimum potrzebnych informacji drogą rozmowy i obserwacji – przesłuchania metodą FBI – Wiesław Zyskowski
  • Zaawansowane ataki i ręczna manipulacja systemami – Konrad Antonowicz, Passus
  • Możliwości wykrywania i analizy bezpieczeństwa – na podstawie doświadczeń RSA Incident Response Team – Miha Mesojedec, RSA NetWitness, Marcin Filipiak, Arrow ECS
Zapraszamy do zapoznania się z pełnym programem wydarzenia. Uczestnicy uzyskają 13 punktów CPE! Z kodem promocyjnym „Shinsec” 10% rabatu do 31 października!  Zapraszam do udziału! Zgłoszenia na stronie wydarzenia.

Developerzy Laravel! Chrońcie pliki .env!

Kamil Kamiński
-
0
Developerzy Laravel! Chrońcie pliki .env!
Ciekawe wyniki można uzyskać wpisując w Google: 
filetype:env DB_PASSWORD
filetype:env APP_DEBUG
lub jeśli interesują Was konta pocztowe: 
filetype:env MAIL_PASSWORD

Problem?

Źle skonfigurowane prawa dostępu lub źle skonfigurowany hosting / serwer umożliwiający dostęp do zasobów, które nie powinny być publiczne. Przede wszystkim należy zadbać o prawa dostępu do pliku ’.env’ (oraz innych, które powinny być odpowiednio zabezpieczone). Pokazując na przykładzie nginxa możemy zablokować dostęp do wrażliwych plików dodając do pliku konfiguracyjnego: 
 location ~ /\. {
      deny all;
      access_log off;
      log_not_found off;
}
W przypadku hostingu upewnij się, że folder główny Twojej aplikacji Laravel nie jest dostępny z zewnątrz.

Narzędzia OSINT do śledztw internetowych

Kamil Kamiński
-
0
Narzędzia OSINT do śledztw internetowych
Opublikowana została bardzo pokaźna lista narzędzi wykorzystywanych do pozyskiwania ogólnodostępnych informacji. Zbiór ten wykorzystywany jest przez Bellingcat. Warto zerknąć również na tę kolekcję. Nowsza wersja umożliwia korzystanie z różnych wyszukiwarek bezpośrednio z poziomu jednej strony. Pentesterzy chętnie korzystają także z takich narzędzi jak: Maltego, Shodan, Zoomeye czy theHarvester. Standardem jest także OSINT Framework czy Google Dorks.

Jadę na Technology Risk Management Forum 2018!

Kamil Kamiński
-
0
Jadę na Technology Risk Management Forum 2018!
Jako patron medialny zapraszam na tegoroczną odsłonę Technology Risk Management Forum 2018, która odbędzie się 20-21 czerwca 2018 we Wrocławiu.

Konferencja Technology Risk Management Forum 2018 to najważniejsze spotkanie dotyczące tematyki bezpieczeństwa informacji i zarządzania ryzykiem technologicznym na Dolnym Śląsku.

Tematem przewodnim 3 edycji konferencji jest współczesny wymiar bezpieczeństwa technologicznego. Uwaga! Dla 150 pierwszych uczestników TechRisk 2018 specjalny bonus!

Bezpłatny dostęp do Ultimate C)VA Self Study Package!

W programie TechRisk 2018, m.in.:

  • Kultura cyberbezpieczeństwa i wartość człowieka w ochronie informacji i systemów informatycznych – Monika Adamczyk, Narodowe Centrum Badań Jądrowych
  • Jak skomponować właściwy zespół zarządzania kryzysowego do reagowania na cyber-zagrożenia – Marek Długosz, ING Bank Śląski
  • Czym jest dzisiaj DevSecOps czyli jak włączyć bezpieczeństwo w procesy tworzenia systemów IT – Alex Melis i Sourabh Khurana, EY
  • Wdrażanie procesu zarządzania ryzykiem – praktyczne doświadczenia – Sebastian Pikur, PGE Systemy
  • Polish(ed) API? Krytyczna recenzja regulacji i aktywności w dziedzinie Open Banking   Krzysztof Trojan, Consult Trojan Ltd. / Finmeer B.V. / ING NL
  • Aktualne zagrożenia i ryzyka dla systemów ICS – Jarosław Sordyl, PSE
  • Kryzys w organizacji – jak właściwie ocenić kryzys i jak się do niego przygotować? – Michał Szapiro, Szapiro Business Advisor

Zapraszam! Z kodem promocyjnym „Shinsec” 15% rabatu do 11 czerwca!

Więcej informacji oraz zgłoszenie udziału poprzez stronę www

Cyber Kill Chain Model

Kamil Kamiński
-
1
Cyber Kill Chain Model
Kill Chain Model to pojęcie mające swoje korzenie w militariach. Aktualnie wykorzystywane jest do opisywania faz ataku na systemy komputerowe. Termin został opisany przez Lockheed’a Martin’a. Jednym z zadań analityka bezpieczeństwa jest zrozumienie metodyki działań napastnika. Referencja do etapów Cyber Kill Chain ma za zadanie mu to ułatwić. Z definicji monitorowanie każdego z siedmiu etapów ma na celu powstrzymanie zagrożenia na dowolnym z nich.
Ważne: napastnik nie musi przestrzegać dokładnej sekwencji.
Atak nie będzie w pełni skuteczny, dopóki atakujący nie zakończy swoich działań na ostatnim etapie. Dlatego jeśli uda powstrzymać się go na jednej z faz przerwiemy łańcuch. Przykład z życia: jeśli złodziej był w stanie włamać się do sejfu, ale został zatrzymany zanim wyniósł pieniądze, wtedy jego cel nie zostałby osiągnięty.

1. Reconnaissance

Pierwszy etap to badanie, identyfikacja oraz selekcja celów. Rekonesans to po prostu zbieranie informacji. Faza ta powinna trwać najdłużej, ponieważ to do od niej zależy powodzenie ataku. W metodyce PTES jest to „Intelligence Gathering”.

2. Weaponization

Celem fazy uzbrojenia jest stworzenie „cyber broni” bazując na informacjach zebranych wcześniej. Tworzymy ładunek będący połączeniem RAT’a (remote access trojan) z odpowiednio dobranym exploitem. Może być to wirus, złośliwy kod, kampania phishingowa czy dowolny malware. Dobór odpowiedniego narzędzia może być tak prosty jak znalezienie „gotowca” w internecie oraz tak skomplikowany jak szukanie 0-day’a. Problemem dla atakującego jest to, że obrońcy również znają te popularne i często używane narzędzia. Z tego względu codziennie powstają nowe „bronie”.

3. Delivery

Musimy dostarczyć ofierze wcześniej przygotowany ładunek. Transmisja może przybierać różne formy, a większość technik dostarczania jest dostosowana do docelowej osoby lub systemu. Popularne wektory to: maile, nośniki USB oraz strony internetowe. Ważne: intruzi potrzebują tylko jednego, skutecznego wektora ataku / dostępu, aby naruszyć bezpieczeństwo organizacji. W przypadku testu penetracyjnego chodziłoby o znalezienie jak największej ilości dróg wejścia.

4. Exploitation

Po dostarczeniu broni faza eksploatacji opisuje, co dzieje się po wykonaniu złośliwego kodu. Chodzi o wykorzystanie błędu np. w systemie, sieci czy aplikacji. Przykład: SQL Injection.

5. Installation

Celem fazy instalacji jest podjęcie takich działań, aby umożliwić sobie stały oraz trwały dostęp do celu. Chodzi o stworzenie tylnych drzwi, czyli utrzymanie „przyczółka”. Dzięki takiemu dostępowi, napastnik może przez dłuższy czas skutecznie prowadzić operacje przeciwko docelowemu hostowi, osobie czy sieci. Taka komunikacja powinna być niewidoczna dla zespołów bezpieczeństwa oraz użytkowników. Ze względu na to, że organizacje często nie monitorują ruchu DNS atakujący mogą próbować ukryć ruch tunelując go w zapytaniach DNS.

6. Command-and-Control

Złośliwe oprogramowanie używane przy technikach APT (Advanced Persistent Threat) wymaga manualnej interakcji z celem, aby rozpocząć proces eksfiltracji danych lub innych działań (np. rozpoznawczych) wewnątrz sieci. Po ustanowieniu CnC, intruzi mają dostęp do systemu docelowego, a ostatecznie całej sieci. Kanały komunikacji umożliwiają wydawanie poleceń złośliwemu oprogramowaniu zainstalowanemu na docelowym lub wielu obiektach docelowych. W przypadku botnetów komunikacja CnC wysyłana jest do wielu obiektów jednocześnie (np. ustawienie wspólnego celu ataku DDoS). Faza CnC następuje wtedy, kiedy hosty łączą się z kontrolerem umieszczonym w Internecie. Stąd komunikacja hostów z serwerami / domenami znajdującymi się na czarnej liście może być IOC (Indicator of Compromise).

7. Actions on Objectives

Ostatni etap opisuje działania podejmowane przez intruzów, które mogą przybierać różne formy. Może to być kradzież własności intelektualnej, danych firmowych, wykorzystanie infrastruktury do ataków DDoS czy wysyłania spamu. Coraz częściej wykorzystuje się zainfekowane systemy do kopania krypto-walut. Proces często zaczyna się od nowa, ponieważ atakujący będzie szukać nowych celów. Wszystkie starania powinny doprowadzić właśnie do tego punktu. Gdy intruz osiągnie taki poziom dostępu, specjaliści od bezpieczeństwa staną przed poważnym wyzwaniem. Ważne: Napastnik będzie próbował rozszerzyć swoją obecność w sieci docelowej i wtopić się w normalne działania sieciowe, aby uniknąć wykrycia.

Advanced Persistent Threat

Korzystanie z modelu Cyber Kill Chain ma szczególne znaczenie przy zaawansowanych, długoterminowych atakach. Przykładem różnych ataków APT mogą być: Stuxnet, Energetic Bear, theshadowbrokers. Polecam zerknąć również na tę analizę ataków. FireEye opublikował także spis znanych grup. Więcej o atakach APT możecie dowiedzieć się tu.

Co nam to daje?

Więc w jaki sposób ten model może pomóc analitykom z SOC?

Zajmowanie się alertami o wyższym priorytecie

Gdyby systemy monitorujące wykryły przesył wewnętrznych danych do kraju, gdzie firma nie posiada swoich biur oznaczałoby, że atak osiągnął ostatnią fazę i tą sprawą należy zająć się w pierwszej kolejności.

Poziomy eskalacji problemu

Przykładowo, jeśli atak osiągnie fazę piątą, wtedy oficer bezpieczeństwa zostałby powiadomiony. Gdyby jednak atakujący przeszli do fazy szóstej czy siódmej, wtedy powinien zostać powiadomiony np. zarząd.

Zadbanie o monitorowanie każdej z faz

Na przykład, aby wykryć wyciek danych (7 faza) można wdrożyć monitorowanie ruchu DNS. Analiza zapytań DNS może zapobiec ustanowieniu kanału CnC (DNS Tunneling).

Mierzenie poziomu bezpieczeństwa

Czy kontrola bezpieczeństwa może zapobiec atakom na więcej niż jednym etapie? Bardzo ważnym aspektem jest zmniejszenie czasu od wystąpienia incydentu, do wykrycia, a także od wykrycia do wyeliminowania zagrożenia.

Cyber Kill Chain w praktyce

Na przykładzie działania ransomware zaprezentuje wam ten model w praktyce. Zarówno firmy jak i osoby prywatne mogą paść ofiarą ransomware. Ten typ zagrożenia wykorzystuje często tradycyjne wektory ataku takie jak emaile phishingowe czy exploit kits. Sposób działania jest prosty. Po infekcji, złośliwe oprogramowanie szyfruje dyski oraz inne nośniki kluczem znanym tylko atakującemu. Aby odzyskać dane należy zapłacić okup.
Ważne: Nie zawsze zapłata okupu oznacza odzyskanie danych. Z tego oraz innych względów nie polecam go płacić.
Żeby wykryć oraz zwalczyć ransomware należy skorzystać z Kill Chain Model. Przypominam, że „kill chain” odnosi się do możliwości zablokowania ataku na dowolnym z etapów, jeśli jest taka możliwość.

Reconnaissance

Skoro interesuje nas zarażenie sieci pewnej firmy ransomware, to atak powinien być zmasowany. Wystarczy, że zainfekujemy jedną osobę. Dlatego prześlemy wiadomość do wielu pracowników w firmie. W fazie rekonesansu korzystając z narzędzia theHarvester zbieramy adresy mailowe pracowników. Komenda, która przeszuka Google i wyświetli 50 wyników: 
theharvester -d domena.pl -l 50 -b google
Od razu rzuca się schemat nadawania nazw adresów pracowników: imie.nazwisko@domena.pl. Dzięki temu, znając imię oraz nazwisko pracownika, ale nie znajdując jego adresu w internecie możemy sami do niego dojść. Analizując działalność firmy w internecie tworzymy spersonalizowane wiadomości.

Weaponization

W scenariuszu ransomware faza uzbrojenia jest już w większości zakończona. Złośliwe oprogramowanie najprawdopodobniej jest już przygotowane do instalacji. Wystarczy przypomnieć sobie ostatnie infekcje, aby zrozumieć skalę problemu oraz ryzyko. Bad Rabbit, NotPetya czy WannaCry. Dla zainteresowanych tematyką ransomware: BleepingComputer publikuje wpisy z serii The Week in Ransomware. Wektorem ataku w tym scenariuszu będzie załącznik wysłany do pracowników firmy.

Delivery

Mamy przygotowany ładunek oraz bazę adresów pracowników. W fazie dostarczania napastnik wysyłamy spersonalizowaną kampanię do pracowników firmy licząc, że przynajmniej jeden z nich otworzy załącznik. Kluczem do sukcesu jest, aby ładunek nie został wykryty. Istnieją różne techniki minimalizujące prawdopodobieństwo wykrycia podczas procesu dostarczania, takie jak zaciemnianie kodu, szyfrowanie komunikacji lub stosowanie metod, które sprawiają, że ładunek wydaje się być niegroźnym kodem. Najlepszą obroną na tym etapie jest edukacja użytkowników. Umiejętność odróżnienia wiadomości phishingowych od prawdziwych jest konieczna, aby zminimalizować ryzyko zarażenia firmy.

Exploitation

W momencie pobrania załącznika rozpoczyna się faza eksploatacji. Pobrany / zainstalowany zostanie downloader lub stager. Zanim użytkownik zda sobie sprawę, że został zainfekowany będzie już najprawdopodobniej za późno.

Installation

Instalacja jest etapem, w której poprzedni downloader / stager łączy się z serwerem CnC (używając szyfrowanego kanału). Po nawiązaniu kontaktu, aktualny kod ransomware jest pobierany. Będzie on dostosowany do architektury oraz innych parametrów celu. Nie bez powodu faza ta nazywana jest „persistence phase”. Musimy utrzymać nasz przyczółek, dzięki trwałemu oraz ciągłemu dostępowi do systemu. Nasze oprogramowanie powinno przetrwać restarty, skanowanie oprogramowaniem antywirusowym czy anty-malware.

Command-and-Control

Złośliwe oprogramowanie jest teraz zainstalowane i gotowe do otrzymania instrukcji. Podczas fazy CnC ransomware kontaktuje się z serwerem CnC, od którego otrzyma klucze, które zostaną wykorzystane do zaszyfrowania danych.

Action on Objectives

W ostatniej fazie ransomware wykonuje właściwą, wcześniej zdefiniowaną akcję, czyli szyfruje nasze dane. Jeśli dojdzie do tego etapu, będzie już za późno dla użytkownika. Złośliwe oprogramowanie, po zaszyfrowaniu plików wyświetli okienko z informacją o konieczności zapłacenia okupu. Bardzo często istnieje limit czasowy na wniesienie opłaty, co dodaje psychologiczny aspekt. Tworzy poczucie pośpiechu, utrudniając użytkownikowi podjęcie racjonalnej decyzji.

Obrona, detekcja

Z perspektywy analityka kluczowe znaczenie ma zapobiegnięcie dalszej infekcji. Dlatego korzystając z modelu Cyber Kill Chain powinniśmy zablokować atak na możliwie najwcześniejszej z faz. Odpowiednio aplikując różne mechanizmy zwiększamy szansę na udaną obronę.

Reconnaissance

  • Next-Generation Firewall, Next-Generation IPS
Systemy te pozwolą na blokowanie prób skanowania sieci, urządzeń czy aplikacji. Zabezpieczą nas przed enumeracją hostów, systemów. Ograniczą także dostęp do wewnętrznej sieci czy zapewnią odpowiednie poziomy dostępu. Warto również przeszkolić pracowników, aby uczulić ich na to co umieszczają w Internecie. Powinni odróżniać informację poufną od publicznie dostępnej. Muszą wiedzieć jakich treści nie powinni publikować, aby utrudnić rekonesans napastnikom.

Weaponization

  • Threat Inteligence.
Dzięki analizie zagrożeń będziemy znali istniejące złośliwe oprogramowanie, wektory komunikacji oraz wiedzę na temat trendów nowych zagrożeń.

Delivery

  • Next-Generation IPS, Email Security, Web Security, DNS Security
Filtrowanie ruchu DNS pozwoli zablokować znane złośliwe domeny. Dbanie o bezpieczeństwo maili oraz ruchu HTTP zwiększy szanse na wykrycie złośliwych załączników, linków czy stron internetowych.

Exploitation

  • Next-Generation Firewall, Next-Generation IPS, Network Anty-Malware
Wdrożenie tych systemów powinno zablokować próbę uruchomienia złośliwego oprogramowania. Na tej warstwie warto stosować rozwiązania anty-malware na warstwie sieci, a nie hosta.

Installation

  • Host Anty-Malware
Systemy wykrywające malware skonfigurowane na urządzeniach końcowych powinny wykryć złośliwe oprogramowanie.

Command-and-Control

  • DNS Security, Web Security
Analiza ruchu DNS oraz HTTP konieczna jest, aby wykryć komunikację z serwerem CnC. Nie należy zapominać, że jest wiele różnych metod tunelowania ruchu (ICMP, SSH, IRC).

Action on Objectives

  • Flow Analytic
Monitorowanie ruchu w sieci pozwoli wykryć nietypowy przepływ ruchu. Jeśli firma działa wyłącznie w godzinach 8-16, a system analizy przepływu ruchu (np. NetFlow) wykryje wzrost przesyłu wewnętrznych danych do Azji, może być to IOC.

Jadę na CONFidence 2018!

Kamil Kamiński
-
0
Jadę na CONFidence 2018!

CONFidence to najstarsza, najbardziej rozpoznawalna i z pewnością najfajniejsza konferencja IT security w Polsce, dlatego nie mogło mnie tam zabraknąć! Objąłem wydarzenie patronatem medialnym.

Kraków: specjaliści IT security spotkają się na CONFidence

4 i 5 czerwca Muzeum Lotnictwa Polskiego zamieni się w centrum IT security. W Krakowie odbędzie się CONFidence 2018 – kolejna edycja jednej z najpopularniejszych konferencji dla specjalistów bezpieczeństwa IT w Polsce.

Świat IT security jest niesamowicie dynamiczny – codziennie słyszymy o kolejnych atakach, wciąż pojawiają się nowe zagrożenia, a ekspertów nadal jest zbyt mało. Konferencja CONFidence wychodzi naprzeciw rosnącym potrzebom środowiska, pomagając szkolić specjalistów i szerzyć świadomość na temat cyberbezpieczeństwa.

Techniczna wiedza prosto od ekspertów

Mario Heiderich, Adam Lange, Adam Haertle i Michał Purzyński to pierwsi z kilkudziesięciu specjalistów, którzy wystąpią na scenie podczas konferencji. Agenda tegorocznej edycji ma stanowić bezpośrednią odpowiedź na aktualne potrzeby rynku IT security w Polsce. Znajdą się w niej wykłady cenionych ekspertów i techniczne tematy wybrane na podstawie propozycji uczestników oraz bieżących trendów.

Jeszcze bardziej aktualny i ciekawszy program to również zasługa współpracy ze społecznościami i tworzona przez ich przedstawicieli dodatkowa ścieżka w Community Corner. Tutaj nie tylko można dowiedzieć się więcej o środowisku IT security, ale również posłuchać historii prawdziwych ataków, pomysłowych taktyk czy wdrożeń nowych rozwiązań.

Luźne spotkanie całej branży IT security

Co oprócz edukacji? Nowe znajomości w branży, spotkania ze specjalistami i nieograniczone możliwości rekrutacyjne. Do tego spora dawka praktycznych umiejętności podczas warsztatów i sesji live codingowych, a także rywalizacji i świetnej zabawy w konkursach takich jak Treasure Hunt.

CONFidence nie jest konferencją wyłącznie dla specjalistów bezpieczeństwa IT. Wartościowe tematy znajdą tu dla siebie także programiści, przedsiębiorcy, entuzjaści nowych technologii oraz przedstawiciele instytucji rządowych i banków. Nie zabraknie również prezentacji dla studentów, osób rozpoczynających karierę lub myślących o przebranżowieniu.

10% zniżki na wejściówki

Biorąc udział w tak dużym spotkaniu społeczności IT security można zdobyć nie tylko nowe umiejętności, ale i cenne kontakty. Z myślą o czytelnikach organizatorzy przygotowali specjalną promocję – bilety 10% taniej z kodem rabatowym: MP_shinsec10

Więcej informacji na 2018.confidence.org.pl

Weryfikacja dwuetapowa (2FA)

Kamil Kamiński
-
3
Weryfikacja dwuetapowa (2FA)
Generalnie korzystanie wyłącznie z haseł to zły pomysł. Zabezpieczenie w dzisiejszych czasach za pomocą hasła to zdecydowanie za mało, dlatego powinniśmy uruchomić na swoim koncie dwuskładnikowe uwierzytelnianie (2FA – Two-factor authentication). Jak nazwa sugeruje chodzi o potwierdzenie naszej tożsamości drugim składnikiem. Jeśli włączysz weryfikację dwuetapową dla swojego konta, za każdym razem, gdy będziesz się logować oprócz podania hasła będziesz musiał wykonać dodatkowy krok weryfikacyjny. Generalnie wyróżniamy 5 możliwych składników:
  • coś co wiemy – hasło
  • coś co mamy – token 
  • coś czym jesteśmy   faceID, tęczówka, skaner linii papilarnych 
  • coś gdzie jesteśmy – pozwalamy logować się wyłącznie z biura 
  • coś co robimy – musimy wykonać jakąś czynność
Najpopularniejszym rozwiązaniem jest połączenie hasła (coś co wiemy) oraz jednorazowych kodów (coś co mamy – np. telefon z aplikacją). Nawet jeśli przestępcy uda się wyłudzić nasze hasło, to bez drugiego składnika nie uda mu się zalogować na konto. A zdobycie go jest dużo trudniejsze. W ramach ciekawostki: 2FA możemy wykorzystać przeciwko właścicielowi konta. Jeśli nie miał on włączonego dwuskładnikowego uwierzytelnienia, a udało nam się przejąć jego konto to możemy mu je włączyć. Ale… podając nasz numer telefonu / podpinając nasz Yubikey. Wymusi to na nim konieczność kontaktu z supportem, co da nam trochę czasu na operacje na jego koncie.

Uwierzytelnianie dwuskładnikowe

Zasadniczo istnieją dwa najpopularniejsze rodzaje implementacji 2FA: oparte na czasie jednorazowe hasło (TOTP) i uniwersalny drugi czynnik (U2F). Time-based One-time Password (TOTP) jest tym popularniejszym wariantem. Jego działanie polega na konieczności potwierdzenia naszego logowania drugim składnikiem w postaci jednorazowego kodu. Zazwyczaj realizowane jest to poprzez wiadomości SMS, bądź aplikację, taką jak Google Autenthicator. Czyli wpisujemy login oraz hasło, a następnie musimy wpisać kod, który wygenerowaliśmy / otrzymaliśmy. Dopiero po takiej operacji zostaniemy uwierzytelnieni. Z definicji, poświadczenie TOTP jest ważne tylko dla jednego logowania, zanim stanie się nieważne.

Zasada działania

Hasło jednorazowe (TOTP) weryfikuje tożsamość na podstawie wspólnego sekretu. Posiada go zarówno użytkownik jak i usługodawca. Podczas logowania do witryny na podstawie wspólnego sekretu oraz aktualnego czasu generujemy unikalny kod. Serwer robi to samo, bazując na tym samym sekrecie, aby następnie porównać obie wartości. Niestety, ale rozwiązanie to ma pewne wady. Technologia wymaga przechowywania sekretów na serwerze, dodając ryzyko ataku. Atakujący, który wykradnie wspólny sekret może wygenerować kod w dowolnym momencie. Stanowi to poważny problem, jeśli przestępcy uda się wykraść bazę danych. Rozwiązaniem na problemy jednorazowych kodów jest U2F.

U2F (Universal 2nd Factor) – jak działa?

U2F to otwarty standard autentykacyjny, który zapewnia urządzeniom bezpieczny dostęp do serwisów. Działa na każdym systemie operacyjnym, nie wymaga sterowników ani dodatkowego oprogramowania. Twórcami U2F jest Google oraz Yubico. Całość działania opiera się na użyciu klucza PGP o szyfrowaniu RSA 4096. Urządzenie podczas logowania weryfikuje adres URL dzięki czemu nie będziemy mogli zalogować się w fałszywym serwisie. W przeciwieństwie do TOTP, użytkownik jest jedynym, który zna sekret (klucz prywatny).

Zasada działania

Nie będę zagłębiał się mocno w techniczne działanie tej technologii. Po szczegóły odsyłam do źródła [1],[2]. W artykule zamieściłem pomocne infografiki. Czyli logujemy się, wsadzamy klucz, naciskamy przycisk na obudowie i gotowe. Jesteśmy zalogowani. W momencie przyłożenia palca do klucza generowany jest ładunek elektrostatyczny, który aktywuje klucz. Kiedy przypisujemy urządzenie do konta generowana jest para kluczy, co pozwala nam korzystać z klucza z dowolną ilością usług. Klucz prywatny przechowywany jest na Yubikeyu, a klucz publiczny na serwerze. Dodatkowo podczas dodawania urządzenia generowany jest KeyHandle, który również wysyłany jest do usługodawcy. KeyHandle zawiera informacje o stronie internetowej (protokół, adres oraz port).

Logowanie

Gdy wejdziemy na stronę logowania, po przesłaniu loginu oraz hasła, przeglądarka od serwera otrzymuje KeyHandle dla danego użytkownika. W tym momencie wyświetli się komunikat z prośbą o naciśnięcie przycisku na urządzeniu. Po wciśnięciu, Yubikey sprawdza, czy ten KeyHandle odpowiada temu, który został zapisany dla tej nazwy strony (wysyłanej przez przeglądarkę). Gdyby się nie zgadzał, klucz po prostu nie odpowiada, a więc uwierzytelnienie nie powiedzie się. Właśnie w ten sposób jesteśmy chronieni przed phishingiem.

Zalety

U2F zapewnia wiele korzyści w kontekście bezpieczeństwa w porównaniu z jednorazowymi kodami. Tak jak wspomniałem wyżej, najważniejszą zaletą jest ochrona przed phishingiem. Jest on łatwy w użyciu, konfiguracji, szeroko wspierany oraz pozwala na obsługę nielimitowanej ilości usług obsługiwanych przez jedno urządzenie. Poza tym, ponieważ mamy dedykowane, bezpieczne urządzenie, nawet jeśli Twój komputer zostanie zainfekowany złośliwym oprogramowaniem, napastnik nie będzie mógł ukraść sekretu z urządzenia. Korzystanie z kryptografii asymetrycznej (klucz prywatny i publiczny) oznacza, że nawet jeśli atakujący w jakiś sposób zdołał wykraść twój klucz publiczny z serwera, nadal nie byłby w stanie użyć go do podpisania wyzwania i zalogowania się. U2F chroni również Twoją prywatność: nic nie identyfikuje do kogo należy klucz.

Wszystko ma wady

Niektóre przeglądarki oraz oprogramowanie nie wspiera standardu U2F. Aktualnie z klucza możecie skorzystać jedynie w Chrome, Firefoxie oraz Operze. Safari oraz pozostałe przeglądarki niestety nie są kompatybilne. Dla niektórych minusem może być konieczność noszenia urządzenia przy sobie. Ale wystarczy np. przypiąć go do kluczy od domu. Wadą może być również cena. W momencie pisania artykułu wynosi ona około 200 zł. Oczywiście możemy znaleźć tańsze alternatywy niż Yubikey (kosztujące od kilku do kilkunastu dolarów).

Co jeśli zgubię klucz?

Jeśli serwis wspiera alternatywne metody logowania problemu nie ma. Wystarczy, że wcześniej skonfigurowałeś np. kody SMS, bądź wydrukowałeś kody zapasowe. Jeśli jednak strona nie wspiera alternatywnych metod możesz podpiąć do konta drugi klucz, który odpowiednio zabezpieczysz fizycznie (chowając go w bezpieczne miejsce). Oczywiście generuje to dodatkowe koszty. Jeśli nie posiadasz ani kodów zapasowych ani drugiego klucza prawdopodobnie będziesz musiał zgłosić się do supportu. Naturalnie może być to czasochłonne.

Chcę wdrożyć U2F na swojej stronie

Yubico udostępnia dokumentację oraz API co pozwoli deweloperom na szybkie wdrożenie U2F. Więcej informacji znajdziesz tutaj.

Praktyka czyni mistrza, czyli Yubikey w akcji!

Pokażę na kilku przykładach jak wygląda procedura przypisania klucza do konta. U2F jest wspierany przez największe usługi, takie jak Facebook, Google, GitHub, Dropbox, OneLogin, Docker itp.

WordPress

Dostępny jest plugin, który wystarczy skonfigurować, aby połączyć WordPressa z kluczem. Wtyczkę dodajemy do naszej strony, a następnie konfigurujemy konto przypisując do niego klucz. Teraz po standardowym zalogowaniu się będziemy musieli użyć naszego klucza. Po wprowadzeniu loginu i hasła włóż klucz i przyłóż palec do złotego „przycisku”.

Facebook

Po podpięciu klucza następnym razem, kiedy będziemy chcieli się zalogować zostaniemy poproszeni o dotknięcie urządzenia.

Jak znaleźć (pierwszą) pracę?

Kamil Kamiński
-
6
Jak znaleźć (pierwszą) pracę?
Branża IT jest niezaprzeczalnie wyjątkowa. Głównie ze względu na to, że tutaj wszystko zmienia się szybko. Technologie się rozwijają, a my powinniśmy odpowiednio przewidzieć co będzie warte uwagi. Jeśli przestaniesz się rozwijać i zostaniesz w jednym miejscu zbyt długo, to możesz przestać być atrakcyjny na rynku pracy. Dlatego powinieneś wybrać swój zawód (im wcześniej – tym lepiej) i zaplanować odpowiednio rozwój.

Pierwsza praca w IT

Otrzymanie pierwszej pracy to czasami trudny proces. Niektórzy wysyłają dziesiątki CV i chodzą na rozmowy, które kończą się niczym. Dlatego na bazie własnych doświadczeń oraz rozmów z rekruterami chciałbym udzielić Ci kilku wskazówek.

Rozwój umięjętności (miękkich)

Idealnie byłoby, gdybyś miał dodatkową godzinę czy dwie w ciągu dnia, które mógłbyś poświęcić na rozwój. Nie tylko umiejętności technicznych, ale również tych miękkich. Dużo osób o nich zapomina, a są one niezwykle istotne w dzisiejszym świecie. Po co w firmie świetny programista, który nie jest w stanie się z nikim porozumieć? Twoim priorytetem są umiejętności techniczne, ale poświęć trochę czasu również na te miękkie.

Regularne przeglądanie ofert

Musisz wiedzieć, czego oczekują od Ciebie firmy. Przeglądaj oferty pracy i zobacz jakie są wymagania na dane stanowisko. Będziesz wiedział na czym się skupić i jak dużo Ci jeszcze brakuje. IT to branża, która zmienia się bardzo szybko. Wymagania, nawet na stanowiska juniorskie są coraz większe, dlatego warto śledzić rynek.

Odpowiednie CV

Twoje CV powinno być dostosowane do danej firmy. To Ty powinieneś pokazać, że jesteś odpowiedni na dane stanowisko. Dlatego dobrą praktyką jest każdorazowe modyfikowanie CV pod konkretną aplikacje. Nie powinieneś kłamać – to wyjdzie prawdopodobnie już na pierwszej rozmowie. Wiedz też dokładnie co masz wpisane w CV: powinieneś znać je na pamięć. Musisz umieć swobodnie rozmawiać o swoich projektach, realizacjach czy innych zajęciach.

Rozwój

Musisz wykazywać chęci do nauki. Jeśli już na początku dasz po sobie poznać, że nie jesteś zainteresowany rozwojem w danym kierunku to nie zostaniesz przyjęty. Pierwsza praca to głównie nauka. Na początku Twoja wartość dla pracodawcy jest bardzo mała. Dlatego musisz pokazać, że potrafisz się uczyć i z czasem Twoja wartość wzrośnie.

Znajdź plan na siebie

Sporo osób na pytanie o cele zawodowe czy planowany przebieg kariery odpowiada „nie wiem” czy „nie myślałem o tym”. Szczególnie młodzi mają z tym problem. Na początku powinieneś zaplanować przebieg swojej kariery. Szczególnie, jeśli myślisz o sukcesie. Nie możesz założyć, że „jakoś to będzie”. Dlatego warto skupić się na planowaniu oraz utrzymaniu odpowiedniego poziomu motywacji. Pamiętaj też, że w technologie bardzo szybko się zmieniają. Musisz być na czasie i umieć odpowiednio przewidzieć co będzie przyszłościowe, a co nie.

Mocne i słabe strony

Każdy z nas je ma. Masz problem z umiejętnościami miękkimi? Skup się na nich. Jesteś dobrym specjalistą od chmury publicznej? Pokaż to. Poznaj siebie, aby móc nakierunkować swój rozwój.

Przykłady działań

Unikaj określeń „jestem dobrym programistą”. Zastąp je sformułowaniami „na studiach wygrałem olimpiadę programistyczną”. Wszystko o czym mówisz staraj się pokazać na przykładach.

Nie rób spamu

Nie wypisuj w CV ogromnej ilości technologii. Wpisywanie każdego kursu, który obejrzałeś, technologii, o której jedynie słyszałeś czy godzinnym szkoleniu, w którym wziąłeś udział źle o Tobie świadczy.

Język angielski

Bez niego się nie obejdzie. Jeśli nie posiadasz go opanowanego na komunikatywnym poziomie może być naprawdę ciężko. Jeśli na tym polu jesteś słabszy – zacznij od niego. Kiedy zdobędziesz podstawowe umiejętności w danej dziedzinie musisz pokazać coś więcej. Pracodawcy często widzą w kimś potencjał. Ten potencjał to właśnie działania aktywne, które pokazują Twoje zaangażowanie.

Wyróżnij się

Szukasz pierwszej pracy, więc prawdopodobnie jesteś już po stażu. Jeśli była to firma bliska temu co chcesz robić – brawo. Jesteś o krok od dostania wymarzonej pracy. Ale nie mając dużego / żadnego doświadczenia musisz się wybić spośród tłumu.

Załóż bloga

Jest to Twoja karta przetargowa na rozmowie kwalifikacyjnej. Nie masz doświadczenia zawodowego, ale robisz coś w kierunku nauczenia się czegoś oraz dzielisz się tą wiedzą z innymi. Rekruterzy to dostrzegają.

Projekty

Skoro chcesz się wyróżnić musisz zrobić coś więcej niż inni. Na przykład projekt. Stronę, aplikację, usługę. Jeśli chcesz iść w kierunku ITSec może być to raport z przeprowadzonego testu penetracyjnego. Tworzysz sobie środowisko / korzystasz z gotowego i testujesz je tak, jakbyś to robił w prawdziwej pracy. Później taki raport pokażesz osobie technicznej. Po więcej wskazówek odsyłam Cię do artykułu jak zostać pentesterem. Przykładowe raporty z testów penetracyjnych znajdziesz tutaj: https://github.com/cure53/Publications

Wystąpienia publiczne

Jeśli masz możliwość wystąpienia publicznie to warto z tego skorzystać. Poprowadzenie zajęć, szkolenia, prelekcji (na lokalnym meetupie) to świetny pomysł na pokazanie się oraz ugruntowanie swojej wiedzy.

Wolontariat

Możesz zgłosić się jako wolontariusz na konferencji, w szkole czy w różnych organizacjach. Dzięki temu możesz na przykład wziąć udział w konferencji za darmo.

Gdzie szukać pracy?

Linkedin

Rekruterzy sami Cię tu znajdą. Kiedy dopiero stawiałem pierwsze kroki dostałem sporo zaproszeń na rozmowy. Zdecydowanie warto mieć tutaj profil.

Targi pracy

Organizowane przy głównie uczelniach. Warto przyjść, porozmawiać z rekruterami i innymi kandydatami.

Meetupy

Warto chodzić na lokalne spotkania różnych grup. Meetup.com to strona agregująca takie wydarzenia. Są one prowadzone często w luźniejszej formie przy piwie. We Wrocławiu polecam Ci spotkania Net::IP oraz Technology Risk & Information Security Wroclaw.

Pracodawca

Jeśli marzysz o pracy w konkretnej firmie możesz wysłać swoją kandydaturę bezpośrednio do danego pracodawcy. Nawet, jeśli nie prowadzi on aktualnie otwartej rekrutacji.

Nie czekaj, aż Cię znajdą

Sam musisz wysłać aplikacje –  to najlepsze wyjście. Wysyłaj CV do firm, w których chciałbyś pracować. Pamiętaj co wysyłasz danej firmie i odpowiednio przygotuj CV z osobna dla każdej z nich.
 Zrób zrzut oferty i razem z tym co wysłałeś do firmy zapisz w jednym miejscu. Kiedy zostaniesz zaproszony na rozmowę będziesz wiedział co, gdzie i komu wysłałeś.
Nie ma nic gorszego niż masowe wysyłanie aplikacji. Później kiedy rekruter dzwoni, a Ty nawet nie wiesz na jakie stanowisko aplikowałeś zbyt dobrze o Tobie nie świadczy.

Ideał nie istnieje

Nie przejmuj się, jeśli spełniasz tylko część z wymaganych umiejętności. Nie ma idealnego kandydata. Na początku Twojej kariery nikt nie będzie od Ciebie wymagał znajomości ogromnej ilości technologi. Pracodawcy rozumieją, że dopiero zaczynasz.

Dostałem zaproszenie na rozmowę i co dalej?

Brawo! Twoje starania zostały docenione zaproszeniem na rozmowę kwalifikacyjną. Czas na zadanie domowe.

Rekonesans

Jeśli nie zebrałeś informacji o pracodawcy – zrób to teraz. Dowiedz się jak najwięcej o firmie, jej produktach, usługach, o stanowisku na jakie aplikujesz, o rekruterze, z którym będziesz miał rozmowę itd. Tak samo jak w przypadku testów penetracyjnych na etap ten powinieneś poświęcić trochę więcej czasu.

Sprzedaż

Starając się o pracę sprzedajemy pracodawcy nasze umiejętności w zamian za wynagrodzenie. Musimy opowiedzieć odpowiednią historię, aby uwierzył, że zmienimy jego firmę oraz przyniesiemy mu zysk. Dlatego praca nad umiejętnościami miękkimi jest bardzo ważna. Uczenie się umiejętności tego typu wymaga czasu i praktyki, dlatego nie załamuj się po pierwszej rozmowie. Kolejne pójdą Ci lepiej.

Zadawaj pytania

Nie bój się pytać. Rozmowa to dialog, dlatego jeśli chcesz się czegoś dowiedzieć o przyszłej współpracy – pytaj. Przeszkadzają Ci nadgodziny? Chciałbyś dowiedzieć się, jak wygląda typowy dzień w pracy? Możliwości awansu? Warto przyjść na rozmowę z notesem z przygotowaną wcześniej listą pytań, jakie chcesz zadać rekruterowi. Dużo lepiej wygląda przygotowany kandydat, niż taki, którego nie interesuje, jak będzie wyglądała jego praca. Rozmowa kwalifikacyjna ma za zadanie pomóc Ci upewnić się, że chcesz tutaj pracować. Po rozmowie zadaj pytanie, kiedy możesz spodziewać się odpowiedzi. Jeśli nie dostaniesz tej pracy – trudno. Spróbuj wyciągnąć ze wszystkiego lekcje. Przeanalizuj swoją aplikacje, przypomnij sobie rozmowę oraz inne detale. Zdecydowanie warto spytać się, dlaczego nie zostałeś przyjęty.
Dowiedz się jak najwięcej o sobie, aby kolejne rekrutacje poszły lepiej!

Moja historia

W skrócie: będąc w technikum informatycznym, nie mając doświadczenia zawodowego, ani nawet skończonych 18 lat odzywały się do mnie międzynarodowe firmy z propozycją pracy oraz stażu.

Krok zero, czyli staż:

Jako DevOps (z naciskiem na tematy bezpieczeństwa). Ponieważ byłem wtedy w technikum informatycznym (trzecia klasa) musiałem odbyć miesięczne praktyki. Dostałem się na praktyki zagraniczne (Hiszpania lub Włochy), ale zrezygnowałem z nich. Zdecydowałem się na poświęcenie miesiąca wakacji inwestując w rozwój. Zwróciło mi się to z nawiązką. Złożyłem podanie na staż do międzynarodowego korpo (aplikacja online na stronie firmy), poszedłem na rozmowę i zostałem przyjęty. Aplikację dostosowałem konkretnie pod profil firmy. List motywacyjny oraz CV przygotowałem analizując ogłoszenie.

Pierwsza praca:

Po stażu zatrudniłem się jako redaktor. W największym polskim serwisie piszącym o bezpieczeństwie. Na co dzień miałem kontakt z ludźmi z branży. Siłą rzeczy nie masz wyjścia i musisz przyswoić masę informacji oraz regularnie śledzić bieżące wydarzenia. To ja znalazłem odpowiednią firmę, stanowisko, zadbałem o dostosowane CV oraz dobrze napisaną aplikację. Wiedziałem czego oczekuję od pracodawcy oraz miałem w głowie jak widzę naszą współpracę. Morał z tego? Musisz działać proaktywnie. Powinieneś wykazać inicjatywę oraz zainteresowanie.

Kiedy szukać pracy w młodym wieku?

Jeśli jesteś w szkole średniej lub na studiach to najprawdopodobniej masz sporo obowiązków. Wakacje to wolny czas, który warto zainwestować w swoją karierę. Wiele firm oferuje 2-3 miesięczne wakacyjne staże. Rekrutacja często otwarta jest już na wiosnę, dlatego warto zgłosić się odpowiednio wcześniej. Takie programy mogą przynieść Ci sporo wiedzy i… pierwszą pracę.

Diamond Model w analizie indydentów

Kamil Kamiński
-
1
Diamond Model w analizie indydentów
Diamond Model jest diagramem przydatnym przy analizie włamań. Diagram może być wykorzystany do szybkiego przekazywania informacji o zdarzeniu niezależnie od specyfiki infrastruktury. Artykuł jest jedynie ogólnym wstępem, po szczegóły odsyłam do opracowania. Model ten ma za zadanie reprezentować incydent, zwany również wydarzeniem. Składa się on z czterech części. Włamanie zaczyna się od przeciwnika (adversary), który atakuje ofiarę (victim). Aby przeprowadzić atak, napastnik użyje pewnych możliwości (capabilities) w różnych formach infrastruktury (infrastructure).

Adversary

Napastnik lub grupa odpowiedzialna za wykorzystanie możliwości przeciwko ofierze w celu osiągnięcia zamierzonego efektu.

Victim

Ofiara przeciwnika, przeciwko której wykorzystuje się luki oraz możliwości.

Capabilities

Narzędzia i / lub techniki przeciwnika, które są używane w wydarzeniu.

Infrastructure

Fizyczne i / lub logiczne struktury komunikacyjne, których używa przeciwnik, aby zapewnić możliwości, utrzymywać kontrolę nad możliwościami (na przykład CnC) oraz umożliwić działania na ofierze (na przykład kradzież danych).

Analytic pivoting

Linie łączące każdą część modelu przedstawiają mapowanie, w jaki sposób jeden punt osiągnął drugi. Na przykład, analityk może zobaczyć, w jaki sposób wykorzystywana jest taka możliwość, jak atak phishingowy na infrastrukturę, taką jak poczta elektroniczna, a następnie powiązać możliwości z powrotem do napastnika. Poruszanie się między każdą częścią ataku nazywa się „analytic pivoting” i jest kluczem do modelowania zdarzenia. Ważne jest, aby pamiętać, że nie ma właściwego, ani niewłaściwego sposobu na poruszanie się po danych. Na przykład, jeśli poszukiwania rozpocznę od znanego przeciwnika oznacza, że będę chciał przejść przez każdy z pozostałych wierzchołków w trójkącie. Kolejność, w której przechodzę przez każdy węzeł jest nieistotna. Ponieważ model ma cztery wierzchołki, istnieją 24 możliwe permutacje. Aby było to trochę lepiej zrozumiałe, pomyśl o tym w następujący sposób: mogę rozpocząć obrót znając przeciwnika, a podczas kolejnych kroków chciałbym zidentyfikować jego możliwości, infrastrukturę oraz ofiarę. I odwrotnie, mogę zacząć od znajomości ofiary ataku i przechodzić przez wierzchołki, aż dotrę do przeciwnika. Użycie tej metody daje pełniejszy obraz danego zagrożenia lub zdarzenia. Natkniesz się prawdopodobnie na sytuacje, w której przejście przez każdy węzeł nie będzie możliwe z powodu brakujących danych. To normalna sytuacja, która okazuje się świetnym sposobem na poznanie luk w inteligencji i da Ci feedback, gdzie powinieneś skupić swoje operacje.

Meta-Features

Diamond Model zawiera również dodatkowe meta-cechy zdarzenia, takie jak znacznik czasu, faza modelu Kill Chain, wynik ataku, kierunek ataku, metoda ataku oraz użyte zasoby. Przykładowo:
  • znacznik czasu – 13:07
  • faza Kill Chain – eksploatacja
  • wynik ataku – skuteczny
  • kierunek – napastnik do ofiary
  • metoda – spear phishing
  • zasoby – specyficzna luka w hoście ofiary
Meta-cechy zapewniają użyteczny kontekst, ale nie są kluczowe dla modelu. Dlatego w zależności od potrzeb można je zignorować lub rozszerzyć.
1234Strona 1 z 4