Ransomware I don t care! Endpoints wirksam schützen

Transkript

1 Ransomware I don t care! Endpoints wirksam schützen Clemens A. Schulz Product Owner (Browser in the Box) IT-Sicherheitstag Sachsen 2018

2 Bedrohungen I Cyber-Crime ı Rückgang bei Bankraub um 80% seit 1995 ı Cyber-Crime wird zu einem attraktivem Business-Modell: Bereits 2013 schätzte das BKA die Dimension in der Größenordnung des Drogenhandels ı Entwicklung eines kollaborativen Eco-Systems ı Professionalisierung mit erheblichen Ressourcen, Finanzmitteln und technischer Expertise Collateral Cyber- Damage Cyber- Crime Advanced Persistent Threats (APT) Ransomware I don t care! 2

3 Bedrohungen II Wirtschafts-/ Industriespionage ı NSA: Kein Anti-Spy Abkommen ı Auch US-Marktführer beteiligt (RSA, ) ı NSA kauft weiterhin Zero-Day-Exploits ı Andere Dienste sind ebenfalls aktiv Collateral Cyber- Damage Cyber- Crime Advanced Persistent Threats (APT) Ransomware I don t care! 3

4 Bedrohungen III Kollateralschäden ı Ein DAX-Konzern desinfiziert Rechner pro Monat und setzt sie neu auf ı 75% der Malware-Infektionen erfolgen über Browser/ Internet-Zugriff, nur 14 % über ı 2,5 % der deutschen Webseiten sind mit Malware infiziert (USA 1%, Japan 0,5%) Collateral Cyber- Damage Cyber- Crime Advanced Persistent Threats (APT) Ransomware I don t care! 4

5 Herausforderung Zero-Day-Exploits ı Systematische Entwicklung und Nutzung von Schwachstellen in bekannten Anwendungen: Lukrativer Schwarzmarkt Staaten schaffen zunehmend eigene Kapazitäten ı Natur der Zero-Day-Exploits: sie können selbst von aktuellen Antivirus-Scannern und Firewalls nicht erkannt werden Ransomware I don t care! 5

6 Eingeständnis der bisherigen Marktführer Antivirus is dead. So sayeth Brian Dye, Symantec's senior vice president for information security, in an interview with The Wall Street Journal Ransomware I don t care! 6

7 istockcom 3alexd istockcom mevans Paradigmenwechsel zu proaktiven Systemen Reaktive Ansätze ı Airbag-Methode : Wenn s passiert, soll s weniger weh tun. Proaktive IT-Sicherheit ı ESP-Strategie : Verhindern, dass man überhaupt ins Schleudern kommt Ransomware I don t care! 7

8 Browser-Unsicherheit Ransomware I don t care! 8

9 Risiko Internetzugriff Internet Windows Standard-PC Internetzugriff über Proxy mit AV-Scanner und Content-Filter DMZ-Technik kann Schadcode nur noch teilweise erkennen und nicht sicher aufhalten Ransomware I don t care! 9

10 Risiko Internetzugriff 1. Infektion des Desktop/Notebook Die Folgen: 1. Dauerhafte Einnistung der Trojaner 2. Absaugen von Daten 3. Einschränkung des IT-Betriebs 4. Neues Aufsetzen der Systeme erforderlich 2. Infektion des gesamten Netzwerkes/ Intranet Ransomware I don t care! 10

11 Surfen im Internet Geht das auch sicher? Browser in the Box Der neue Ansatz für sicheres Surfen Ransomware I don t care! 11

12 Zwei-Browser-Strategie mit Browser in the Box Intranet-Browser ı Produktbezogene Daten ı Produktentwicklungsunterlagen ı Strategische Konzepte ı Browserbasierte in-house Anwendungen ı s Browser in the Box ı Recherchen ı Nachrichten Ransomware I don t care! 12

13 Browser in the Box: Isolation auf Rechnerebene Anwenderkonto Anwendung 1 Anwendung n VirtualBox Gehärtetes Linux Webbrowser Browser in the Box-Konto VirtualBox internes Netzwerk VirtualBox Gehärtetes Linux VPN-VM Windows Browser in the Box-Service Intranet Internet Internet Ransomware I don t care! 13

14 Bedrohung Phishing Mail 1. mit Link auf Phishing Webseite 2. Social Engineering verleitet den Benutzer auf den Link zu klicken 3. Browser öffnet den Link auf eine infizierte Webseite 4. Infizierte Webseite nutzt Sicherheitslücke in Browser/Plug-In/ Betriebssystem aus und lädt Schadsoftware auf den Rechner 5. Schadsoftware richtet direkt Schaden an oder stiehlt Daten Browser in the Box verhindert Schritte 4 und 5 ı Link wird in Browser in the Box geöffnet. ı Schadsoftware gerät nur in die Browser-VM nicht auf den Rechner ı Schadwirkung verpufft, es können keine Daten abfließen ı Neustart von Browser in the Box reinigt Browser-VM durch zurücksetzen Ransomware I don t care! 14

15 Bedrohung Verschlüsselungstrojaner Infizierter Office Anhang in 1. mit infizierter Word-Datei im Anhang, z.b. Locky und Wanna Cry 2. Anhang wird vom Benutzer geöffnet 3. Word warnt dass Makros in der Datei sind (Makros sind standardmäßig deaktiviert für Dateien aus dem Internet) 4. Social Engineering in Datei verleitet den Benutzer Makros zu aktivieren 5. Makro lädt eigentlichen Trojaner aus dem Internet nach 6. Trojaner wird aktiv und verschlüsselt die Platte Browser in the Box verhindert Schritte 5 und 6 ı Der Rechner wird nicht infiziert ı Schadsoftware kann nicht nach Hause telefonieren ı Makro kann Trojaner nicht nachladen, da dieser nicht über das Webgateway ins Internet kommt. Trennung Internet / Intranet Ransomware I don t care! 15

16 Browser in the Box für Terminal Server und ThinClients? Anwenderkonto Anwendung 1 Anwendung n Browser in the Box-Konto VirtualBox Gehärtetes Linux Webbrowser Virtualisierung Browser in the Box-Services Windows Server Virtualisation z.b. VMware Ransomware I don t care! 16

17 Browser in the Box Terminal Server Für virtuelle Infrastrukturen Ransomware I don t care! 17

18 Browser in the Box ı Sicheres Surfen im Internet ı Trennung von Intranet und Internet ı Nachhaltiger Schutz gegen Zero-Day-Exploits und Advanced Persistant Threats ı Einfacher Roll-Out ı Zentrales Management ı Lösung für Workstations/Laptops und Terminal Server Umgebungen ı Schutz vor Datendiebstahl ı Erhöhung der Betriebssicherheit Ransomware I don t care! 18

19 Rohde & Schwarz Cybersecurity GmbH Mühldorfstraße München Rohde & Schwarz Cybersecurity GmbH Mühldorfstraße Mühldorfstrasse München Germany Tel.: Clemens A. Schulz Phone