tirsdag den 2. august 2016

Security Analytics Consultant & Co-Founder


Sammen er man stærkest - www.cyberpilot.dk

Derfor er jeg gået under vingerne af CyberPilot hvor jeg kan få lov at koncentrere mig om det jeg er
bedst til, nemlig log analyse med et sikkerhedsmæssigt fokus.

Jeg ser frem til at hjælpe uanset om I er på bar bund og skal til at igang med logmangement/SIEM eller allerede har en løsning men ikke får nok/det rigtige ud af den.

Jeg ved, at implementering af analyse af logs med et sikkerhedsmæssigt fokus vil give enhver organisation meget i forhold til sikkerhed, awareness og netværksforståelse.

Men det kræver en erkendelse af, at det tager tid og bør projekteres. Der er så meget viden fra specialister på forskellige områder - både tekniske og ikke-tekniske, som skal være tilgængeligt i implementeringsfasen.

Nøglen til at kunne analysere logs med et sikkerhedsmæssigt fokus skal findes i forståelsen af hele processen, ikke blot den tekniske løsning, som anvendes. Dette er blandt andet spørgsmål som:

- hvilke audits skal der sættes?
- hvordan får man powershell log med?
- hvilke events/logs kan frasorteres?
- hvilke politikker og standarder har er implementeret?
- hvem skal reagere på alarmer?
- hvem skal behandle sager af personalemæssig karakterer?
- hvordan skal medarbejderne informeres?
- hvordan skal det tekniske skaleres?
- hvem leverer den bedste løsning til formålet?

og meget, meget mere...

Så tøv ikke med at ringe på 26982013

/Kenneth
Indsendt af kl. Ingen kommentarer:

mandag den 25. april 2016

Siem er ikke noget værd ...

... Uden de rette data og det rette fokus. 
Først og fremmest er siem blevet et pop-ord og er blot en kombination af begreberne Security event management og Security information management - med andre ord: analyse af logs med et sikkerhedsmæssigt fokus.

 Siem produkterne lover rigtig meget, men fakta er, at medmindre du har et netværk der er 100% efter bogen og alle brugere og administratorer gør nøjagtig som de skal, så vil du få et hav af falsk positiver og alarmer. 

 Jeg har i min karriere endnu ikke set et netværk der fulgte alle teorier og endnu mindre brugere der kun brugte it til det de skulle. 
"Du har ikke arbejdet nok med logs før du har set event id 4624 type 0"
Nøglen til at kunne analysere logs med et sikkerhedsmæssigt fokus skal findes i forståelsen af alt det der er udenom et siem produkt. Dette er blandt andet spørgsmål som: hvilke audits skal der sættes, hvordan får man powershell log med, hvilke events kan frasorteres, hvilke politikker og standarder har virksomheden, hvem skal reagere på alarmer, hvem skal behandle sager af personalemæssig karakterer, hvordan skal medarbejderne informeres, hvordan skal det tekniske skaleres, hvem leverer den bedste løsning til formålet og meget meget mere. 
"Event id 4624 er altså ikke white noise" 
Når det hele er sat op starter det virkelige seje men nødvendige træk, nemlig en periode hvor data skal analyseres og de ting på netværket der stikker uden for rammerne skal elimineres. Det er alt fra systemaccounts der hamrer på AD, brugere der har hola, devices der ikke burde være på netværket, errors, tidsfordkydninger der gør at kerberos anmodningen ikke lykkes og fejlparsedelogs der giver forkerte resultater. Dette arbejde kan tage 3-5 mdr. før man er klar til at lave sine første reelle alarmer. Desværre er der altså ikke noget siem produkt der kan gennemføre den proces for dig. Og endnu vigtigere - du bliver aldrig færdig med den proces. 
"Sikkerhedsmæssigt, netværksmæssigt og awareness mæssigt - får du MEGA meget ud af at begynde at arbejde med log analyse" 
Siem produkterne er ingenting i sig selv - og medmindre du rent faktisk gerne vil have en masse falsk positive alarmer og ikke opdage det du frygter eller logge det du burde, så kræver analyse af logs med et sikkerhedsmæssigt fokus, nogen der sidder på daglig basis og forholder sig til alarmer og analyserer på de logs der indhentes. Med andre ord skal der konstant stilles skarpt på den virkelighed der er på netværket før man kan opdage det der ikke bør være der.
"2x2 er ikke 5751"
Pointen er, at man skal kunne analysere sig frem til om der er åbenlyse fejl og det kræver et kendskab til hvad der er normalt. Jo mere man ved om det normale jo lettere er det at spotte det unormale. Desuden er det vigtigt, at få viden om hvad der er muligt og hvad der er nødvendigt at få af data fra alle de enheder der sender deres logs. Siem opdager ikke fejlparsede logs eller ændringer i log strukturen - du får bare falske resultater. 
"InvokeShellcode - av, av, av" 
Der kommer hele tiden nye metoder hvorpå nogen eller noget kan få adgang til dine data udenom alt perimetersikring. Derfor skal der løbende efterforskes i de sårbarheder/metoder der anvendes til at kompromitere data så man ved præcis hvilke indikatorer man skal kigge efter/alarmere på. Noget kan man ikke opdage med logs og i de tilfælde skal der gøres andre tiltag. Jeg har kun mødt et Siem produkt på markedet der rent faktisk kom med guidelines til hvad man burde kigge efter baseret på faglige analyser af metoder. Igen var det vejledninger og noget du selv skulle tilføre siem løsningen - men ros til dette siem produkt for at forstå SEM delen af siem.
"Ingen kigger der hvor det stort set altid starter" 
Jeg har aldrig helt forstået hvorfor man er så forhippet på at indsamle logs fra servere og netværksudstyr frem for klienterne. Langt de fleste kompromitteringer ville kunne være detekteret med en overvågning af logs fra klienterne. I skal ikke høre mig sige, at man ikke skal logge fra servere og netværksudstyr, men jeg vil gerne udfordre hvor det er smartest at starte med indsamlingen af logs, hvis man står og skal prioriterer sin indsats. 
"Hvad er det jeg prøver at sige?" 
Budskabet i dette indlæg er, at implementering af analyse af logs med et sikkerhedsmæssigt fokus vil give enhver virksomhed meget i forhold til sikkerhed, awareness og netværksforståelse. Men det kræver en erkendelse af, at det tager tid og bør projekteres. Der er så meget viden fra specialister på forskellige områder - både tekniske og ikke-tekniske, som skal være tilgængeligt i implementeringsfasen. Overvej derfor at få hjælp af eksperter til projektet. Vil du teste om dem du samarbejder med ved noget om analyse af logs med et sikkerhedsmæssigt fokus, så har jeg 5 gode spørgsmål du kan stille. Skriv til mig på info@wifitest.dk.
"Man kan ikke købe en boks der klarer det for en - beklager ..."
Indsendt af kl. Ingen kommentarer:

mandag den 11. januar 2016

Passwordcracker version 2 - du kan hjælpe :-)


Et eksempel på hvordan version 2
vil se ud
Jeg har som tidligere nænvt i denne blog "har du styr på dit password" arbejdet med offline bruteforce cracking af passwords ved hjælp af regnekraften fra grafikkort.

Jeg kunne nu godt tænke mig at tage min passwordcracker-version 1 til en ny og kraftfuld version 2 samtidig med, at der laves en online service hvor alle ville kunne få cracket password hashes.

Derfor er jeg kommet på indiegogo (crowdfounding) med projektet og håber, at alle der kunne have en interesse i offline passwordcracking vil bakke op om projektet (se sidst i dette indlæg hvem jeg tænker det kunne være).

For hver 10$ der bidrages med får man en voucher til et forsøg på at cracke 1 hash.

Projektet består af 2 dele:

  • Et online site indeholdende guides af hvordan man får fat i passwordhashes og hvilke garantier for cracking der stilles.
  • En passwordcracker (hardware - se billedeksempel).


Målet er at at 6 doble den nuværende performance hvilket vil betyde at en NTLM hash (windowspassword) kan crackes 6 gange som hurtigt som idag.

For et 1-8 karakter langt password vil det betyde en cracktid på ca. 3 timer hvis der vælges alle 96 tegn og 35 minutter hvis der f.eks. vælges store og små bogstaver samt tal og 4 specialtegn.

Projektet er ikke afhængig af at nå det økonomiske mål, men vil blive forlænget væsentligt inden en version 2 er klar. Du kan fra 1. februar få cracket passwords på "version 1" via passwordcrackingonline.com.


Hvem kunne være interresseret i at støtte projektet:

- virksomheder der ønsker at undersøge om anvendte passwords kompleksitet er tilstrækkelig
- sikkerhedsfirmaer der laver pentests
- dig - hvis du glemmer koden til din pc eller wifi
- alle der ønsker at råbe at 2 vejs authetification / biometri i forhold til logon er vejen frem









Indsendt af kl. 1 kommentar:
Abonner på: Opslag (Atom)