it-swarm-es.com

¿Cuánto dinero se necesita para equipar un equipo de sombrero negro totalmente financiado? ¿Cuánto dinero para defender contra un equipo así?

Richard Bejtlich escribió en julio de 2009 lo siguiente:

"Propongo que por $ 1 millón por año, un adversario podría financiar un equipo de sombrero negro asalariado en Occidente que podría penetrar y persistir en aproximadamente cualquier objetivo que eligiera atacar".
(de http://taosecurity.blogspot.com/2009/06/black-hat-budgeting.html )

Preguntas:

¿Han cambiado significativamente los costos? ¿Por qué?
¿Están subiendo o bajando los costos? ¿Por qué?
¿Cuáles son los costos para defenderse de un equipo de sombrero negro bien financiado que se enfoca en su negocio? ¿Solicitar ayuda del gobierno es la última línea de defensa contra un equipo bien financiado?

12
Tate Hansen

$ 2500 es todo lo que se necesita para comenzar una operación de sombrero negro

En 2009, se informó que los bancos estadounidenses perdieron más de $ 140 millones en robos de Internet, tan rápido como $ 10 millones en un período de 24 horas.

Creo que es posible iniciar una operación criminal con tan solo 2500 dólares estadounidenses.

  • Servidores en la nube: 300 dólares estadounidenses por 3 meses
  • Pila LAMP: 0 dólares estadounidenses

  • Malware que puede robar dinero de los bancos: 700 dólares estadounidenses (ZeuS, aunque sub Meterpreter)

  • Sistema de administración/entrega de exploits web: 800 dólares estadounidenses (Fragus, aunque sub Drivesploit)
  • Un sistema de afiliados que usa publicidad para atraer tráfico/ojos: 700 dólares estadounidenses (o una botnet Nice SQLi o RFI)

Total: 2500 dólares estadounidenses

Mi prueba

Brian Krebs publica artículos sobre Solución de seguridad centrada en el fraude . Hay innumerables ejemplos, pero permítanme elegir este sobre el condado de Kentucky , que perdió 415000 dólares estadounidenses en 2009 debido a la situación exacta que creé anteriormente. Este en particular involucró aproximadamente 45 transferencias bancarias por montos poco menos de 10000 dólares estadounidenses. Teniendo en cuenta que a las mulas se les pagaron alrededor de 500 dólares cada una, y toda la operación involucró a 2-4 estafadores de UKR, todavía está viendo una puntuación de 391k dividida de 2 a 4 maneras, sin casi ninguna inversión más que el tiempo para cuidar las mulas de dinero y la grasa. los afiliados (¡ah, y esos 2500 iniciales, no lo olvide!).

Las habilidades de estos estafadores también pueden ser muy, muy bajas. Esto ni siquiera es la administración del sistema a nivel universitario. Cualquiera que tenga un interés veraniego en Linux podría poner en marcha esta operación. Sí, también está la pieza de mula del dinero, que quizás requiera un buen estafador con algo de experiencia y un carisma muy por encima del promedio, pero suponemos que al menos uno de cada 3 criminales ya tiene estas habilidades.

Vuelve a cualquiera de esos artículos y aplica ingeniería inversa a lo que crees que necesitaron los delincuentes/estafadores para hacer su trabajo.

El costo de la defensa : 6-7 por ciento del presupuesto de TI

Ha visto el costo de PCI DSS números de cumplimiento sin duda; ignórelos por un segundo. Gartner dice que el presupuesto de seguridad debe estar entre el 6 y el 7 por ciento del presupuesto total de TI. UMD) Los profesores Lawrence Gordon y Martin Loeb dicen que no gaste más del 37 por ciento del activo que está tratando de proteger.

Proporcione a su organización controladores de incidentes según el número de incidentes

Digo que tenemos que contratar a los incidentes. Si tiene entre 1 y 400 incidentes al año, necesitará entre 1 y 400 controladores de incidentes de seguridad. Calcule el tiempo necesario para manejar los incidentes y contrate en consecuencia. Estoy perfectamente de acuerdo con que el personal se haga cargo de todo el presupuesto de seguridad de la información y también deberían hacerlo los responsables de la toma de decisiones de finanzas de TI. Las personas desempeñan el papel más importante en un programa de gestión de seguridad de la información.

Si no ha tenido ningún incidente, tal vez ahora sea un buen momento para contratar a una empresa de investigación forense/malware de respuesta a incidentes para que venga y determine si realmente ha tenido un incidente o no (digamos que esto es un 20k por única vez evaluación). Mientras eso sucede, manténgase en el lado seguro y contrate al menos un gerente de respuesta a incidentes FTE (100k/año), especialmente asumiendo que tiene al menos 250k de cosas para robar o daños a la marca por hacer.

Supervise sus aplicaciones, sistemas y redes

Entregue a su nuevo administrador de respuesta a incidentes un CDROM OSSIM para instalar en una instancia AMI o lo que sea. El correo electrónico se puede enviar a su cuenta de GMail/GApps para todo lo que me importa. El punto es que la mayoría de las empresas gastan demasiado en firewalls, VPN y "hardware de servidor de seguridad". Creo que la mayoría de las empresas estarían mejor atendidas con un firewall abierto y una política de lista de acceso, pero usando los filtros bogon y la lista negra de FATF como rutas nulas en cada enrutador o sistema con una IP pública (o NAT/PAT a uno). Déle al gerente al menos el presupuesto suficiente para cubrir el costo de TruArx para el año si ya no existe otro portal de administración de riesgos.

Brindar herramientas seguras y capacitación en concientización a los roles laborales riesgosos

Finalmente, equipa a cualquier trabajador que esté manejando información financiera, bancaria o de tarjetas de pago (o cualquier otra cosa con una clasificación de datos severa) con un maldito iMac o Mac Pro y la capacitación correspondiente. Asegúrese de que tengan que completar algún tipo de capacitación en concientización y políticas de seguridad basada en SaaS con proveedores como Cornerstone OnDemand. De hecho, esta puede ser la respuesta más barata al problema, pero esta es la CONFIANZA, no la VERIFICACIÓN. El administrador/equipo de incidentes proporciona la verificación. Ha habido informes de malware dirigido dentro de empresas centradas en Mac de gran instalación, aunque no se ven tan afectados por el ataque frontal drive-by-download. Si se requiere Win7, implemente una estrategia de reversión antes de cada transacción de VM-invitado.

El costo de la defensa de seguridad de aplicaciones

El gasto real se produce si su empresa u organización no compra COTS, sino que lanza su propio código (o subcontrata el desarrollo de aplicaciones). En esta situación, las cosas pueden volverse realmente caras a largo plazo si la organización no inicia un programa de appsec muy completo antes de que comience el diseño y la codificación. Incluso entonces, la mayor parte de la coordinación con las empresas de consultoría de seguridad de aplicaciones cuesta al menos entre 1 y 4 millones de dólares durante 2 o 3 años. Si tiene aplicaciones por valor de 10 millones de dólares estadounidenses para proteger, esto debería ser una obviedad; también aumentará la calidad de las aplicaciones y su inteligencia comercial. También es donde la estrategia de gastos de TI de Gartner tiende a fallar para los programas de administración de seguridad de la información, especialmente considerando que los firewalls todavía representan más del 50 por ciento (y algunos hasta el 90 por ciento) de los presupuestos de seguridad de Fortune/Global 2000.

17
atdre

Generalmente, depende del objetivo final: quién es el objetivo y cuáles son los términos. Supongo que nada ha cambiado drásticamente desde eso de lo que hablaba Richard Bejtlich. De todos modos, hay otra buena presentación de Charlie Miller sobre el ejército cibernético, la defensa y la investigación de ataques: https://www.defcon.org/html/links/dc-archives/dc-18-archive.html (Kim Jong-il y yo: cómo construir un ejército cibernético para derrotar a los EE. UU.).

6
anonymous

Curiosamente, según el equipo que dirigí durante los últimos años, un millón podría financiar felizmente un ataque razonablemente exitoso contra cualquier entidad corporativa, departamento o agencia gubernamental importante.

El atraco de 10 millones de dólares al que se hace referencia atdre les costó a los atacantes alrededor de 180.000 dólares, según algunas suposiciones razonables sobre las recompensas del equipo, incluidos técnicos, mulas, gruñidos, etc. habitual "labios sueltos se hunden ...", etc., pero eso fue un ataque a la fruta madura + un trabajo razonablemente inteligente alrededor de los límites de la cuenta.

Puedes atacar por mucho menos que eso, pero si quieres que tenga éxito, necesitas algo de inteligencia razonable. $ 750k a $ 1M es un buen estadio, que cubre una investigación decente de día cero, equipos de escaneo, ataque, movimiento de dinero, etc.

4
Rory Alsop