Antivierensoftware ist tot! Wie geht es weiter in der IT-Sicherheit?

Transkript

1 Antivierensoftware ist tot! Wie geht es weiter in der IT-Sicherheit? Prof. Dr. (TU NN) Norbert Pohlmann Institut für Internet-Sicherheit if(is) Westfälische Hochschule, Gelsenkirchen

2 Inhalt IT-Sicherheit (Situation, Bewertung, Herausforderungen) Malware (Definition, Schadfunktionen, APT, Erkennungsrate) Prinzipielle IT-Sicherheitsstrategien (Fokussierung, Vermeiden, Entgegenwirken, Erkennen) Wie können wir das Problem lösen? (Botnetz-Erkennung, Big Data Security, Vertrauenswürdige IT-Systeme) Fazit und Ausblick 2

3 Inhalt IT-Sicherheit (Situation, Bewertung, Herausforderungen) Malware (Definition, Schadfunktionen, APT, Erkennungsrate) Prinzipielle IT-Sicherheitsstrategien (Fokussierung, Vermeiden, Entgegenwirken, Erkennen) Wie können wir das Problem lösen? (Botnetz-Erkennung, Big Data Security, Vertrauenswürdige IT-Systeme) Fazit und Ausblick 3

4 IT-Sicherheit Situation VPN Bugs Professionelle Hacker greifen alles erfolgreich an! Wir haben zurzeit zu viele ungelöste IT-Sicherheitsprobleme NSA und Co. sammeln alle Daten und werten fleißig aus! 4

5 IT-Sicherheit Bewertung Wirtschaftsspionage 50 Milliarden Euro Schaden im Jahr Können wir uns als Wissensgesellschaft nicht leisten! Der Wert der Privatsphäre Eine Gesellschaft, die wirtschaftlich und politisch auf die Eigenverantwortlichkeit des Einzelnen setzt, muss umgekehrt das schützen, was den einzelnen als Sozialwesen und als Wirtschaftsfaktor ausmacht: einerseits seine persönliche Integrität, andererseits seinen materiellen Besitz. Cyber War Angriffe auf Kritische Infrastrukturen Umstieg auf alternative Energien prinzipielle höhere Angreifbarkeit 5

6 IT-Sicherheit Die größten Herausforderungen IT Sicherheitsprobleme heute Snowden Neue Gefahren durch mobile Geräte Manipulierte IT und IT Sicherheitstechnologie Zeit 6

7 Inhalt IT-Sicherheit (Situation, Bewertung, Herausforderungen) Malware (Definition, Schadfunktionen, APT, Erkennungsrate) Prinzipielle IT-Sicherheitsstrategien (Fokussierung, Vermeiden, Entgegenwirken, Erkennen) Wie können wir das Problem lösen? (Botnetz-Erkennung, Big Data Security, Vertrauenswürdige IT-Systeme) Fazit und Ausblick 7

8 Malware Definition Malware ist der Oberbegriff für "Schadsoftware" wie Viren, Würmer, Trojanische Pferde, usw. Angreifer (kriminelle Organisationen, Spione, Terroristen, ) nutzen Software-Schwachstellen, Social Engineering, aus, um Malware auf IT-Endgeräten zu installieren. Über -Anhänge oder unsichere Webseiten mit Hilfe von sogenannten Drive-by Downloads wird hauptsächlich Malware in IT- Endgeräte unbemerkt eingeschleust. Das Institut für Internet-Sicherheit geht zurzeit davon aus, dass auf jedem 20. IT-Endgerät in Deutschland ungewollte intelligente Malware vorhanden ist, die über ein Botnetz gesteuert wird. Ein Botnetz ist eine Gruppe von IT-Endgeräten, die unter zentraler Kontrolle eines Angreifers stehen und von ihm für Angriffe genutzt werden (Business-Konzept: Erstellen, verteilen und nutzen). 8

9 Malware Schadfunktionen Spreading (Verbeitung von Malware, ) Keylogger (Nutzername/Passwort, Kreditdaten, ) 18 Mio. in Drop-Zone gefunden (BSI) Webcamp (beobachten von Aktivitäten, ) Datendiebstahl/-manipulation (Trojanische Pferde, ) Spammen (80 bis 95 % von Malware, ) Distributed Denial of Service (Tendenz steigend, ) Klickbetrug (Click fraud Bezahlung für jeden Klick des Besuchers, ) Nutzung von Rechenleistung (Bitcoin schürfen, ) Datenverschlüsselung (Lösegeld, Denial of Working, ) (alles, was mit Software möglich ist) 9

10 Malware Advanced Persistent Threat (APT) Gezielter Angriff (direkter Anagriff) Aufwendige Hintergrundinformationen eines Opfer-IT-Systems und dessen Umgebung (IT-Intrastruktur, Technologien, Personen, ) Großer Aufwand (Advanced) Mit komplexen Angriffstechnologien und -taktiken sowie professionellen Angreifern (die besten der Welt virtuellen Zusammenarbeit) Social Engineering Möglichst lange (Persistent) unentdeckt bleiben Langfristiges Auslesen von wertvollen Daten Manipulation von IT-Systemen (Stuxnet) Wir haben heute im Prinzip keine passenden Abwehrtechnologien gegen APTs im Einsatz! 10

11 Malware Ungenügender Schutz vor Malware Schwache Erkennungsrate bei Anti-Malware Produkten nur 75 bis 95%! 100% Bei direkten Angriffen weniger als 27% 27% 0% Symantec erkennt nur noch 45 % der Malware! Security gaps 24h Day 3 Day 14 signature-based detection proactive detection 11

12 Inhalt IT-Sicherheit (Situation, Bewertung, Herausforderungen) Malware (Definition, Schadfunktionen, APT, Erkennungsrate) Prinzipielle IT-Sicherheitsstrategien (Fokussierung, Vermeiden, Entgegenwirken, Erkennen) Wie können wir das Problem lösen? (Botnetz-Erkennung, Big Data Security, Vertrauenswürdige IT-Systeme) Fazit und Ausblick 12

13 Prinzipielle IT Sicherheitsstrategien Fokussierung Im Schnitt sind nur ca. 5 % aller vorhandenen Daten in Unternehmen besonders schützenswert. Aber welche Daten sind besonders schützenswert und wie können diese angemessen geschützt werden? $ $ 13

14 Prinzipielle IT Sicherheitsstrategien Vermeiden von Angriffen (1) Nicht alle IT-Systeme ans Internet anschließen So wenig wie möglich Daten generieren Keine Technologie mit Schwachstellen verwenden (z.b. Browser, Betriebssysteme, Internet-Dienste, ) Schwachstellenampel vom BSI (siehe auch securitynews) weitere Reputationssysteme Bewertung der Vermeidung Vermeidung von Angriffen ist die beste IT-Sicherheitsstrategie! Ist nur begrenzt umsetzbar, wenn wir IT mit allen Vorteilen nutzen wollen! $ Assets 14

15 Prinzipielle IT Sicherheitsstrategien Entgegenwirken von Angriffen (2) Meist verwendete IT-Sicherheitsstrategie IT-Sicherheitstechnologien mit einer hohen Wirkung gegen Angriffe (NSA arbeitet dagegen, z.b. schlechte Zufallszahlengeneratoren) Beispiele, bei denen ein hoher Nachholbedarf besteht: Verschlüsselungssicherheitssysteme (Datei-, Festplatten-, -Verschlüsselung, VPN-Systeme, SSL,...), Authentikationsverfahren (Challenge-Response, globale Identität, Föderation, ), Vertrauenswürdige IT-Systeme (Security Kernel, Isolierung u. Separierung, ) Bewertung des Entgegenwirkens Eine naheliegende IT-Sicherheitsstrategie Direct Threat Leider sind zurzeit nicht genug wirkungsvolle und vertrauenswürdige IT-Sicherheitstechnologien im Einsatz $ Assets 15

16 Prinzipielle Sicherheitsstrategien Erkennen von Angriffen (3) Erkennen von Angriffen, denen nicht entgegengewirkt werden kann Angriffe erkennen und versuchen, den Schaden so schnell wie möglich zu minimieren. Generell IT-Sicherheitssysteme, die Warnungen erzeugen, wenn Angriffe mit Hilfe von Angriffssignaturen oder Anomalien erkannt werden. Bewertung des Erkennens Attack trial Monitoring $ Assets Monitoring Monitoring Die IT-Sicherheitsstrategie, erkennen von Angriffen, ist sehr hilfreich, hat aber definierte Grenzen. 16

17 Inhalt IT-Sicherheit (Situation, Bewertung, Herausforderungen) Malware (Definition, Schadfunktionen, APT, Erkennungsrate) Prinzipielle IT-Sicherheitsstrategien (Fokussierung, Vermeiden, Entgegenwirken, Erkennen) Wie können wir das Problem lösen? (Botnetz-Erkennung, Big Data Security, Vertrauenswürdige IT-Systeme) Fazit und Ausblick 17

18 Internet-Analyse-System (IAS) Botnetz-Erkennung Eigenes Netz Erweitert mit - Erkennen von Angriffs- und Gefahrensituationen - Experten-System - Kommunikations- und Technologielagebilder Angriffserkennung IAS Signaturerkennung Internet 18

19 Big Data Security (Erkennen) Grundsätzliche Idee Kontext-Daten Schwachstellen, Hintergrundinformationen, Big Data Security APT Lagebild 19

20 Wirkungsvolles Entgegenwirken Vertrauenswürdige Basis: Idee Robustness/Modularity Modularization Virtualization Trusted Plattform Trusted Computing Base App Policy Enforcement Isolation OS OS Security Kernel / Virtualization Hardware App Trusted Software Layer Trusted Process Security Management App OS Security Module Integrity Control App Trusted Virtual Domains Trusted Interaction Remote Attestation, Binding, Sealing Trusted Boot 20

21 Wirkungsvolles Entgegenwirken Vertrauenswürdige Basis: Konzept (1/5) 21

22 Wirkungsvolles Entgegenwirken Vertrauenswürdige Basis: Konzept (2/5) Aufteilung in verschiedene virtuelle Maschinen ( unterschiedliche Aufgaben und Sicherheitsbedarfe 1 ) 22

23 Wirkungsvolles Entgegenwirken Vertrauenswürdige Basis: Konzept (3/5) Aufteilung in verschiedene virtuelle Maschinen ( unterschiedliche Aufgaben und Sicherheitsbedarfe 2 ) 23

24 Wirkungsvolles Entgegenwirken Vertrauenswürdige Basis: Konzept (4/5) Wichtige Daten werden besonders in separaten, isolierten virtuellen Maschinen geschützt 24

25 Wirkungsvolles Entgegenwirken Vertrauenswürdige Basis: Konzept (5/5) Security Policies und ein Enforcement System sorgen für mehr Sicherheit und Vertrauenswürdigkeit 25

26 Wirkungsvolles Entgegenwirken Forschung 26

27 Inhalt IT-Sicherheit (Situation, Bewertung, Herausforderungen) Malware (Definition, Schadfunktionen, APT, Erkennungsrate) Prinzipielle IT-Sicherheitsstrategien (Fokussierung, Vermeiden, Entgegenwirken, Erkennen) Wie können wir das Problem lösen? (Botnetz-Erkennung, Big Data Security, Vertrauenswürdige IT-Systeme) Fazit und Ausblick 27

28 Wie geht es weiter in der IT-Sicherheit? Fazit und Ausblick Klar ist, dass wir uns zurzeit nicht angemessen gegen die professionellen Hacker schützen können! Die 5 % unserer wichtigen und wertvollen Daten müssen wir wirkungsvoll schützen (Vertrauenswürdige IT-Systeme, Verschlüsselungssicherheitssysteme, ), um Schaden zu verhindern! Botnetz-Erkennung / Big Data Security ist ein Ansatz, der uns helfen könnte, komplexe Sicherheitsprobleme zu identifizieren und damit Schäden zu vermeiden oder zu reduzieren. Vertrauenswürdige IT-Systeme (Security Kernel, Isolierung und Separierung, ) werden uns helfen, uns angemessen schützen zu können. Diese Systeme sollten aus Deutschland kommen, um vertrauenswürdig IT-Sicherheit erreichen zu können. Wir müssen etwas tun, um dieses Ziel zu erreichen! 28

29 Antivierensoftware ist tot! Wie geht es weiter in der IT-Sicherheit? Vielen Dank für Ihre Aufmerksamkeit Fragen? Prof. Dr. (TU NN) Norbert Pohlmann Institut für Internet-Sicherheit if(is) Westfälische Hochschule, Gelsenkirchen