Aktuelle IT-Bedrohungslage und Erfahrungen aus gezielten Angriffen auf Unternehmen und Behörden

Transkript

1 Aktuelle IT-Bedrohungslage und Erfahrungen aus gezielten Angriffen auf Unternehmen und Behörden Isabel Münch Fachbereichsleiterin Präventive Cyber-Sicherheit und Kritische Infrastrukturen Bundesamt für Sicherheit in der Informationstechnik

2 Bundesamt für Sicherheit in der Informationstechnik Seite 2

3 Das BSI vernetzte Kompetenzen in der Cyber-Sicherheit Bundesamt für Sicherheit in der Informationstechnik Seite 3

4 CERT-Bund Nationales & Regierungs-CERT (seit 1994) Zielgruppen: Bundesverwaltung, Wirtschaft, Bürger 16 Mitarbeiter Incident Handling Incident Management Incident Koordination (+Übungen / Nat. IT-KRZ, Relations) Teil des Fachbereiches Operative Cyber-Sicherheit Zentrale Meldestelle & Lagezentrum Technische Analyse Cyber-Sicherheit in Industrieanlagen Nationales Cyber-Abwehrzentrum Mobile Incident Response Team (MIRT) Bundesamt für Sicherheit in der Informationstechnik Seite 4

5 CERT-Bund Nationales & Regierungs-CERT (seit 1994) Zielgruppen: Bundesverwaltung, Wirtschaft, Bürger 16 Mitarbeiter Incident Handling Incident Management Incident Koordination (+Übungen / Nat. IT-KRZ, Relations) Teil des Fachbereiches Operative Cyber-Sicherheit Zentrale Meldestelle & Lagezentrum Technische Analyse Cyber-Sicherheit in Industrieanlagen Nationales Cyber-Abwehrzentrum Mobile Incident Response Team (MIRT) Bundesamt für Sicherheit in der Informationstechnik Seite 5

6 Computer Security Incident Response Team Prävention Informieren & Warnen Schwachstellen Vorfälle Analysen Schadsoftware Coordinated Vulnerabilty Disclosure Training Bundesamt für Sicherheit in der Informationstechnik Seite 6

7 Computer Security Incident Response Team Detektion Überwachung von Netzen / Systemen auf Schadsoftware Schwachstellen Anomalien Bundesamt für Sicherheit in der Informationstechnik Seite 7

8 Computer Security Incident Response Team Reaktion Unterstützung bei Sicherheitsvorfällen Koordination Analysen Forensik Beweissicherung Threat Intelligence Bundesamt für Sicherheit in der Informationstechnik Seite 8

9 MIRT Mobiles Incident Response Team Schwerpunkt der Vor-Ort-Unterstützung als Ergänzung der in CERT-Bund und im BSI vorhandenen IR Kapazitäten und Fähigkeiten für die gesetzlichen Zielgruppen des BSI bei herausgehobenen IT- Sicherheitsvorfällen (Vertraulichkeit + Verfügbarkeit) Zielgruppen: 1. Stellen des Bundes 2. KRITIS (im Sinne von BSIG / BSI-KritisV) 3. in begründeten Einzelfällen auch anderen Einrichtungen Voraussetzung: herausgehobener Fall 1. Angriff von besonderer technischer Qualität 2. zügige Wiederherstellung ist im besonderen öffentlichen Interesse Bundesamt für Sicherheit in der Informationstechnik Seite 9

10 Woher kommen Vorfälle? Meldestellen UP Bund 4 BSIG 8b BSIG Internationale Partner Bundesamt für Sicherheit in der Informationstechnik Seite 10

11 IT-Sicherheitslage Schadprogramme: neue Varianten pro Tag / > 600 Mio. Varianten Ransomware: Massenangriffe sowie zunehmend gezielt (auch Server), Crypto-Mineing SPAM: Rückgang ggü. Allzeithoch im Dezember 2016 DDoS: Reflektion Angriffe bis zu 1,7 Tbits/s (NTP, memchached) Identitätsdiebstahl: Fehlkonfigurierte Cloud-Speicher (von OwnCloud Amazon AWS) Schwachstellen: Prozessoren (Meltdown/Spectre), WebApplikationen (Drupalgeddon), Programmen (Adobe Acrobat) etc: CEO-Fraud, IoT, sowie gezielte Angriffe, Router... Notwendigkeit Viele Angriffe lassen sich durch geeignete (Basis-) Maßnahmen in den Kategorien Prävention, Detektion und Reaktion verhindern oder deren Auswirkungen beschränken Asssume Breach Bundesamt für Sicherheit in der Informationstechnik Seite 11

12 2. Erfahrungen aus APT-Fällen

13 Advanced Persistant Threat (APT) BSI-Definition Ein Advanced Persistent Threat (APT) liegt dann vor, wenn ein gut ausgebildeter Angreifer mit Rückgriff auf große Ressourcen sehr gezielt und ggf. mit großem Aufwand ein Netz oder System angreift, sich dann in dem System ausbreitet, weitere Hintertüren einbaut, und ggf. über längere Zeit Informationen sammelt oder Manipulationen vornimmt. Es geht um das Ziel, nicht um ein Ziel! Bundesamt für Sicherheit in der Informationstechnik Seite 13

14 Vorgehen der Täter Aufklären Ausbringen Schritt, an dem nicht-erfolgreiche gezielte Angriffe typischerweise erkannt werden Killchain Ausführen Ausbreiten Anmelden Agieren Schritt, an dem erfolgreiche gezielte Angriffe typischerweise nach Monaten erkannt werden (häufig nur, weil andere Opfer Mitbetroffene informieren) Bundesamt für Sicherheit in der Informationstechnik Seite 14

15 APT-Vorfall 2017, Organisation in Deutschland Ein Admin will Wartungsarbeiten am Mail-Server vornehmen Fehlermeldung beim Deaktivieren des Servers Ein Postfach ist durch ein laufendes Skript gesperrt Admin schaut Skript an Skript ist irgendwie komisch Meldung an IT-SiBe Fremdes Skript IT-SiBe meldet sich beim BSI Bundesamt für Sicherheit in der Informationstechnik Seite 15

16 APT-Vorfall Vorgehen Phase 1: Analyse Phase 2: Übergangsbetrieb Phase 3: Konzeption sicherer Neustart Betrieb neues Netz Bundesamt für Sicherheit in der Informationstechnik Seite 16

17 APT-Vorfall Goldene Regeln Bleiben Sie ruhig Die Angreifer sind eh schon LANGE in Ihrem Netz Unkoordiniertes Vorgehen erschwert Analyse und warnt Angreifer Spuren verwischen / Sabotage / Hidden Backdoor Binden Sie frühzeitig Experten ein Meistens wird externe Expertise benötigt Erstellen Sie grundsätzlich zuerst ein Image, bevor Sie ein System untersuchen Mögliche Beweise sind sonst ggf. für immer verloren. Prüfen Sie Ihr Logging und erhöhen Sie ggf. das Loglevel und die Speicherdauer BSI Erste-Hilfe-Papier zum Thema gibt weitere Empfehlungen Via UP KRITIS / ACS Bundesamt für Sicherheit in der Informationstechnik Seite 17

18 APT-Vorfall Rote Linien Beobachtung vs. Bereinigung Klärung im Rahmen der Vorfallsbearbeitung Was toleriert man? Wann zieht man den Stecker? Beispiel: Wenig kritische Datenexfiltration Aufklärung des Angreifers im Netz Presseveröffentlichung großer Datenabfluss Zugriff auf inhaltlich kritische Bereiche Sabotage Pläne müssen fertig in der Schublade liegen und sofort einsatzbereit sein Bundesamt für Sicherheit in der Informationstechnik Seite 18

19 Erfahrungen aus APT-Fällen Infektion Wie hätte man diese verhindern können? Top 1: Programme patchen Zeitnah! Top 2: Application (Directory) Whitelisting Verhindert das Starten nachgeladener Malware Top 3: Betriebssystem-Patches installieren Zusätzlich empfohlen: Erweiterte Security-Funktionen aktivieren - AV-Scanner Mehrwertdienste - Microsoft Enhanced Mitigation Experience Toolkit (EMET)! Programme sicherer konfiguriert - Adobe Reader: Enhanced Security, Java Script,... Bundesamt für Sicherheit in der Informationstechnik Seite 19

20 Erfahrungen aus APT-Fällen Ausbreitung Wie hätte man diese verhindern können? Top 4: Schutz administrativer (Domänen-)Konten Zugriff auf Admin Accounts radikal beschränken! - Den Usern (lokale) Admin Rechte wegnehmen! Spezielle Funktions-Adminaccounts!= Admin-Userkonto - Dedizierte, gemonitorte, Adminkonten nur für Admintätigkeiten - Admin-Tagesgeschäft ( s) mit Userkonto auf User-system Gruppenrichtlinien: Wer darf sich wo anmelden? - Anmeldung auf Domänencontroller nur von speziellem System - Unikes Local-Admin Passwort je System (LAPS) - Recht für Anmeldung über Netzwerk nur dort wo nötig - Standard-User: Login nur lokal von seinem Rechner Bundesamt für Sicherheit in der Informationstechnik Seite 20

21 Erfahrungen aus APT-Fällen Ausbreitung Wie hätte man diese verhindern können? Top 5: Netzwerk segmentieren Einzelne Segmente (und AD-Forests) für - Netz-Management, Adminnetz - Serverkommunikation, User-Gruppen Microsoft bietet Leitfäden/ Schulungen, wie man eine sichere AD-Struktur aufbaut: - Microsoft IT: Best Practices for Securing Active Directory - Stichwort: Enhanced Security Administrative Environment (ESAE) Top 5: Exkurs Es gibt multinationale Enterprise-Unternehmen mit > Nutzern mit ganz flachen Netzen. - Bei einzelner Kompromittierung fällt das gesamte Netz - und es rollen Köpfe! Bundesamt für Sicherheit in der Informationstechnik Seite 21

22 Erfahrungen aus APT-Fällen Ausbreitung verhindern und Analyse erleichtern Zusätzlich empfohlen: Ein User-System sollte nur mit Servern kommunizieren dürfen, Netzwerkpakete an andere User- Systeme sollten geblockt und protokolliert werden. Zentrales Logging - Was: - Client/ Server: Eventlogs - Netzwerk: Netflows, DHCP-Logs, Proxy-Logs - Wie lange - So lange wie möglich (mind. 6 Monate) - Logserver besonders sichern Firewall: Nur Syslog eingehend - Loglevel richtig konfigurieren. - Logs auch regelmäßig auswerten! - Allgemeines Logging vs. Logging im Vorfall Bundesamt für Sicherheit in der Informationstechnik Seite 22

23 Erfahrungen aus APT-Fällen zusammengefasst Eine Kompromittierung lässt sich nicht vollständig ausschließen ("Assume Breach") Abschalten ist keine Lösung Schutz gegen APT-Angriffe umsetzten Es gibt keine unwichtigen Randsysteme Investition in Personen, Technik und Prozesse Sicherheitsbeauftragte mit robustem Mandat Monitoring und Detektion Reaktionsprozesse Trotzdem: 100%-ige Sicherheit gibt es nicht Bundesamt für Sicherheit in der Informationstechnik Seite 23

24 Vielen Dank für Ihre Aufmerksamkeit! Kontakt Isabel Münch Bundesamt für Sicherheit in der Informationstechnik Fachbereich Präventive Cyber-Sicherheit und Kritische Infrastrukturen Godesberger Allee Bonn Bundesamt für Sicherheit in der Informationstechnik Seite 24