IRR Incident Response Readiness

Transkript

1 IRR Incident Response Readiness Andreas Wagner Consultant IT-Security Experte SOC / CSIRT / IR andreas.wagner@datakom.de DATAKOM GmbH 1

2 Incident Response Readiness, wichtiger denn je! Wissen Sie, wie lange es dauert, > ein Unternehmen erfolgreich anzugreifen, > den Angriff zu entdecken und > die Folgen zu beseitigen? Quelle: Verizon s 2012 Data Breach Report. Komplexität, Qualität und Häufigkeit haben zugenommen sprach noch kaum jemand von APTs (Advanced Persistent Threats) 2

3 Fakt ist Es ist nicht die Frage, ob Sie angegriffen werden, sondern nur wann, mit welchem Ausmaß und Schaden!

4 Was passiert bei einem Incident ohne Vorbereitung? Das Problem besteht nicht darin, dass es vorkommt, vielmehr bereiten die ausgelösten Reaktionen Probleme Panik Unkoordinierter Ablauf Zu viele Köche verderben den Brei Kompetenzgerangel Schadensbegrenzung wird umgekehrt Falsche Informationen dringen nach aussen Zeitverschwendung Eindämmung schlägt fehl Notwendige Fachkompetenzen fehlen/sind nicht erreichbar Ein Berichtswesen findet nicht statt, Reports sind nicht aussagekräftig

5 Was passiert bei einem Incident mit Vorbereitung? Das Problem besteht nicht darin, dass es vorkommt, vielmehr bereiten die ausgelösten Reaktionen Probleme Mit korrektem Notfallmanagement Koordinierter Ablauf Leiter der Task Force ist ernannt Klare Verteilung der Kompetenzen Schadensbegrenzung findet statt Informationen werden gezielt herausgegeben Maximaler Erfolg bei minimalem Zeiteinsatz Eindämmung erfolgt Fachkompetenzen stehen bereit Klares Berichts- und Reportwesen

6 War das Unerwartete wirklich so unerwartet? Wir ertrinken an Informationen! Alle Hypes, Gadgets und Produkte installiert? Millionen von Events in Logfiles IPS/IDS sind schlecht getuned = zu viele False Positives Die SIEM-Korrelationen stimmen nicht, noch immer zu viele False Positives, Fehlinformationen, nicht übersichtlich ISMS und Awareness greifen nicht Schutzmechanismen sind veraltet Prozesse und Workflows sind nicht vorhanden oder veraltet Ignoranz/Inkompetenz Fachwissen ist nicht auf dem neuesten Stand Überlastung der Mitarbeiter

7 IR Readiness-Entwicklung mit und beim Kunden Phase 0 Incident Response Readiness - Vorbereitung Ausbildung des Kunden, wie er das Incident Response-Team optimal unterstützen kann Phase 1 Incident Response Programm-Entwicklung Prüfung der exisierenden Incident Response-Dokumentation beim Kunden Entwicklung eines Incident Response-Handbuchs Phase 2 Incident Response- und Forensics-Training Durchführen Technischer Incident Response-Trainings Fachkenntnisse für die Forensische Duplikation aufbauen Daten für die forensische Analyse z.b. durch Netzwerk-Monitoring aufzeichnen Assistenz in der Entwicklung von live response Toolkits Phase 3 Incident Response-Notfallübungen Unterstützung bei der Entwicklung und Ausführung von bis zu zwei Notfallübungen Phase 4 General Business Unit-Training > Unterstützung bei der Bekanntmachung des Incident Response-Programms gegenüber Abteilungen und Management 7

8 Was wir als Erstes empfehlen: Assessments! Incident Readiness Security Quick Check Überprüfung der vorhandenen IR- Workflows und -Prozesse Stresstests (wie schnell ist was in Erfahrung zu bringen, zu bewegen) Prüfen der für den IR-Fall notwendigen Up-To-Date-Informationen (Zeitdauer für deren Beschaffung und Bewertung von deren Qualität) Prüfen der vorbereiteten Go-Public - Szenarien im GAU Prüfen des notwendigen Environments für ein IR-Team Erstellen hochwertiger klarer Reports und Liste der Verbesserungsvorschläge Benotung der IR-Readiness Schritt IT-Security Infrastruktur Überprüfen des Firewall Regelwerks Vulnerability Scanning Manuelles Testen Verkettete Vulnerabilies Sicherheitsklassifizierung Ziel Sind die Kronjuwelen geschützt? Indentifizieren von Inbound / Outbound / DMZ Regeln etc. Identifizieren von Hosts, Ports und OS Identifizieren von Versionen, Accounts etc. Identifizieren bekannter Vulnerabilities Verifizieren von Vulnerabilities Idenfikation dieser Identifizieren des Risko s für Host s und Daten, basierend auf Daten Zugriff

9 Aktionsliste erstellen Prüfen/Begrenzen/Schützen Ihrer wichtigen Accounts (Segmentation / geringst mögliche Zugriffrechte) Vulnerability-Scans durchführen und Deltas vergleichen Firewall-Regelwerk prüfen Two-factor Authentication für den Zugriff aus nicht-vertrauenwürdigen Umgebungen Sicherheit für Remote Access-Systeme erhöhen Kontext und Sichtbarkeit für Netzwerk Ereignisse sicherstellen Darüber nachdenken ob Windows Shares überhaupt notwendig sind Die Benutzung von Management Protokollen prüfen (RDP, Citrix, Telnet, R daemons, SSH) Sicherheits-Kontrollen erhöhen/erweitern Web-Proxies implementieren und überwachen Endpoint-Kontrollen prüfen (AV, HIPS, Management console, Bluetooth, USB, CD etc.) Die derzeitige Notfallvorsorge und Gefahrenabwehr überprüfen DR-/BCP-Prozesse und Workflows überprüfen 9

10 So kann DATAKOM Sie unterstützen Bereitstellung eines Trusted Advisors IT-Security Infrastruktur-Beratung Vulnerability Scans, -Auswertungen und Bewertungen Change Management-KnowHow und -Optimierung Bewertung von Firewall-Regeln ATP- und DLP-Systeme: Beratung und Konzepte sowie Analyse und Optimierung Seminare und Workshops zu strategischen IT- Security-Themen Aufbau, Revision, Optimierung von Incident Readiness-Programmen Incident Response Management-Systemen Workflows, Policies und Procedures in Ihrer IT Security-Abteilung und umgebenden Abteilungen SOCs, CSIRTs und Digitale Forensik (NwF, CF, MF) Cyberthreat Intelligence Awareness Programme uvam. 10

11 Vielen Dank für Ihre Aufmerksamkeit und viel Spaß auf der CeBIT! 11