Using Threat Intelligence. Cyber Resilience

Größe: px

Ab Seite anzeigen:

Download "Using Threat Intelligence. Cyber Resilience"

Gerd Fuhrmann
vor 5 Jahren
Abrufe

1 Using Threat Intelligence to Improve Your Cyber Resilience Dirk Beste, Principal Sales Engineer/Technisches Gewissen Georg Ahbel, Sales Director Viktor Ziegler, Manager Channel Sales

2 Weltweit führende Sicherheitsexperten 4 der 11 führenden Professoren im Bereich Sicherheit Christopher Kruegel Über 15 Jahre Forschung im Bereich Malware-Erkennung und -verhalten Forschungsbereiche: Web Traffic Analyse Large-scale Netflow Analyse Erkennung von Evasive Malware Statische und dynamische Analyse Giovanni Vigna Engin Kirda Ranking COPYRIGHT 2019 LASTLINE, INC. ALL RIGHTS RESERVED. 2

Lastline Vergangenheit und Zukunft Angewandte Forschungsprojekte als Grundlage: Anubis Wepawet Erstklassige Sandbox, auch von vielen OEMs

Erkennung (ein und ausgehende E-Mail s und Web) funktioniert heute gut, weitgehend automatisiertes Blocken zumindest bei E-Mails gängig

3 Lastline Vergangenheit und Zukunft Angewandte Forschungsprojekte als Grundlage: Anubis Wepawet Erstklassige Sandbox, auch von vielen OEMs verwendet Heute Network Threat Analytics mit KI Unterstützung Der heilige Gral der IT-Security: voll automatisierte Systeme Nord-Süd Erkennung (ein und ausgehende s und Web) funktioniert heute gut, weitgehend automatisiertes Blocken zumindest bei s gängig Ost-West Erkennung, Lateral Movement (Ausbreitung im Kundennetzwerk) noch nicht Incident Response COPYRIGHT 2019 LASTLINE, INC. ALL RIGHTS RESERVED. 3

4 Was ist Threat Intelligence (TI)? Es gibt organisatorische und technisch erworbene TI Basiert auf IoC s Indicator of Compromise CART Complete - Komplett Accurate - Genau Relevant - Relevant Timely - Zeitnah COPYRIGHT 2019 LASTLINE, INC. ALL RIGHTS RESERVED. 4

5 Was ist Cyber Resilience (CR)? Cyber Resilience: Wenn Sicherheitskontrollen fehlschlagen, können Sie ungewöhnliches und unregelmäßiges Verhalten mit ausreichendem Kontext erkennen, um das Risiko für die Organisation zu verstehen? COPYRIGHT 2019 LASTLINE, INC. ALL RIGHTS RESERVED. 5

6 Cyber Resiliency heißt: Verlust von geistigem Eigentum vermeiden Verlust von regulatorisch kontrollierten Daten vermeiden Erhaltung der Einsatzfähigkeit COPYRIGHT 2019 LASTLINE, INC. ALL RIGHTS RESERVED. 6

ENGINEERING CODE SERVER ENGINEERING MACHINE

Angreifer LARGE FILE UPLOAD RDP PROTOCOL

7 Cyber Resilience benötigt vollständige Sichtbarkeit REDIRECT TO EXPLOIT URL DRIVE-BY EXPLOIT KIT C & C COMMUNICATION Data Exfiltration Mitarbeiter Maliziöser Download ENGINEERING CODE SERVER ENGINEERING MACHINE INTERNAL RECON PORT SCANS ASSET DISCOVERY Angreifer LARGE FILE UPLOAD RDP PROTOCOL PRIVILEGE ESCALATION COPYRIGHT 2019 LASTLINE, INC. ALL RIGHTS RESERVED. 7

Bitkom Angreifer und Schäden https://www.bitkom.

Die Wahrscheinlichkeit eines Data Breaches erhöht

Einführung bis Ende Januar 2019 SOURCE: PONEMON

13 Strategisch - Taktisch Extern - Intern

17 Meinungen aus der Branche Interne TI-Daten gewinnen an Bedeutung Mitarbeiter können mit den externen Daten nicht umgehen Nicht relevante IoCs Zu viel Volumen Triage Blindheit Tiefhängende Früchte COPYRIGHT 2019 LASTLINE, INC. ALL RIGHTS RESERVED. 17

Die allerwertvollste Intelligenz befindet sich im eigenen

Wozu noch externe TI? CISO Metriken What is the encounter rate for orgs of my size/industry/region? What is the expected resilience rate. vs normalized?

19 Wozu noch externe TI? CISO Metriken What is the encounter rate for orgs of my size/industry/region? What is the expected resilience rate. vs normalized? How do I encounter threats vs normalized? What is the capacity of the threats vs normalized? How do I compare? 2018 Malscape Monitor Report COPYRIGHT 2019 LASTLINE, INC. ALL RIGHTS RESERVED. 19

20 Global Malscape Findings Angreifer verwendeten über 40 Dateitypen, um Unternehmen anzugreifen 1 von 500 Angriffen infiltrieret die Unternehmen Sie sind Patient 0 in 65% der der Angriffe 1 von 12 Bedrohungen zeigten erweiterte Fähigkeiten 90% der Detektionen sind generisch und werden auch genauso generisch behoben Bedrohungskampagnen sind von Geographie zu Geographie sehr unterschiedlich COPYRIGHT 2019 LASTLINE, INC. ALL RIGHTS RESERVED. 20

25 Transformation zu interner Threat Intelligence zur taktischen Verwendung

30 Advanced Cyber Defence Delivery Exploitation CnC Credentials Discovery Lateral Collection Exfiltration Threat Intelligence Behavioral Intelligence Artificial Intelligence Modelling Countermeasure Integration COPYRIGHT 2019 LASTLINE, INC. ALL RIGHTS RESERVED. 30

AI Done Right - Last Line of Defence Künstliche Intelligenz

Verhalten Besiegt Advanced Threats Eliminiert False Positives Zeigt

Ungewöhnliche Aktivitäten & verdächtige Dateien Normale Aktivität &

31 AI Done Right - Last Line of Defence Künstliche Intelligenz Künstliche Intelligenz Mit Bewusstsein über gelerntes Malware Verhalten Besiegt Advanced Threats Eliminiert False Positives Zeigt die Angriffskette Zeigt die Verbreitung Netzwerk Verkehr Ungewöhnliche Aktivitäten & verdächtige Dateien Normale Aktivität & für gut befundene Dateien False Positives COPYRIGHT 2019 LASTLINE, INC. ALL RIGHTS RESERVED. 31

32 Zusammenfassung Wozu brauche ich diese Informationen? Informationsgewinnung, die CART ist Füttern von existierenden Drittsystemen Proxies, Firewall, Mailgateways, NAC etc Liefert wichtige Informationen für das eigene SOC Auch in Kombination mit Controlware CDC Cyber Defense Service => Erhöht die Cyber Resiliency COPYRIGHT 2019 LASTLINE, INC. ALL RIGHTS RESERVED. 32

33 Fragen? Danke für Ihre Aufmerksamkeit!

Ähnliche Dokumente

Ich sehe was, was Du nicht siehst Aufspüren von gezielten Angriffen mit der Symantec Unified Security Analytics Platform

Ich sehe was, was Du nicht siehst Aufspüren von gezielten Angriffen mit der Symantec Unified Security Analytics Platform Alexander Peters CISSP, CCSK Manager Office of the CTO DACH Alex_Peters@symantec.com