Advanced Threat Investigation, Detection und Automatic Removal

Transkript

1 Cyber-Sicherheit Advanced Threat Investigation, Detection und Automatic Removal 27. August 2014 Rukhsar Khan CEO / CTO AIRNET Information Security Services GmbH Copyright c Alle Rechte vorbehalten. rkhan@airnet.de Internet

2 Inhaltsverzeichnis 1 Executive Summary 2 2 Aktuelle Sicherheitslandschaft mit ihren Schwächen und Problemen 3 3 Mögliche Lösungsansätze 3 4 Fazit 5 1 Executive Summary Angesichts der exponentiell steigenden Bedrohungslage im Cyberspace, die viele von uns tagtäglich am eigenen Leibe erleben oder vielleicht durch die Presse erfahren, wird der Evolutionsprozess in der IT-Sicherheit derzeit auf Hochtouren vorangetrieben. Angefangen bei kommerziellen Unternehmen über Wissenschaftler und Forscher von Hochschulen und unabhängigen Marktforschungsinstituten bis hin zu Verbänden, Allianzen sowie politischen Vereinigungen werden derzeit viele Kräfte gebündelt, um den neuen Herausforderungen in den Bereichen Cybercrime und Cyberwar gerecht zu werden und Antworten sowie Lösungen zu den aktuellen Problemen zu nden. Trotz der vielen Sicherheitssysteme und -anwendungen, die heute in einem Netzwerk und auf Endstationen eingesetzt werden, dringen Advanced Persistent Threats 1 und Targeted Threats 2 nach wie vor problemlos durch und Angreifer exltrieren Daten, stehlen Intellectual Property oder beschädigen Infrastrukturen aus der Ferne. Im jährlichen Bericht 2013 Data Breach Investigations Report von Verizon heiÿt es: The security industry has long been overly focused on prevention. Let's keep preventing, but enhance our ability to detect threats that slip through our defenses (which they will inevitably do). Obiges wird ebenfalls im Bericht 2013 Magic Quadrant for Security Information and Event Management (SIEM) 3 durch das Marktforschungsunternehmen Gartner bekräftigt: The greatest area of unmet need is eective targeted attack and breach detection. Organizations are failing at early breach detection, with more than 92% of breaches undetected by the breached organization. The situation can be improved with better threat intelligence, the addition of behavior proling and better analytics. Most companies expand their initial SIEM deployments over a three-year period to include more event sources and greater use of real-time monitoring. 1 Advanced Persistent Threats, kurz APT, ist eine relativ neue Angrisform. Hierbei werden spezische Systeme eines gezielten Opfers angegrien und manipuliert bzw. sabotiert. Eines der ersten bekannt gewordenen APTs war der Angri gegen Siemens-Anlagen in iranischen Uranwerken im Jahr Seitdem wurden unzählige Fälle von APT-Angrien aufgedeckt. 2 APTs sind immer ganz gezielt ausgerichtet. Daher kann man sagen, dass es sich bei diesen meist um Targeted Threats handelt. 3 System zur Zentralisierung von Audit- bzw. Log-Daten der unterschiedlichsten Systeme und Anwendungen mit dem Ziel, Korrelationen und komplexe Analytik zu ermöglichen, damit Threats erkannt werden. c 2014, AIRNET 2

3 Aufgrund der vielen erfolgreichen Cyber-Angrie herrscht in der Sicherheitsbranche derzeit die allgemeine Auassung assume you're breached. Nachfolgend gilt es, die aktuelle Sicherheitslandschaft mit ihren Schwächen und Problemen darzustellen und mögliche Lösungsansätze aufzuzeigen. 2 Aktuelle Sicherheitslandschaft mit ihren Schwächen und Problemen Einer der Gründe, warum Cyberangrie heute sehr oft unbemerkt bleiben, ist, dass nicht genügend Kontext-basierende Untersuchungen vorgenommen werden. Es gibt viele Point Solutions, die Kommunikationsüsse, Netzwerkaktivitäten, verdächtige Bitmuster und Anhänge, verdächtige Dateien oder Prozesse - um mal einige zu erwähnen - nur isoliert voneinander betrachten. Weiterhin konzentrieren sich viele dieser Lösungen fast ausschlieÿlich darauf, Malware von auÿen nicht in das Netzwerk eindringen zu lassen. Sie sind nicht in der Lage, Malware, welche bereits in das Netzwerk eingedrungen ist, davon abzuhalten, Daten zu exltrieren. Um die Audit- bzw. Log-Daten dieser Lösungen in einer einzigen Plattform zu vereinigen und die Möglichkeit zu bieten, alles im Kontext zu untersuchen, haben Unternehmen in den letzten Jahren oft SIEM-Systeme eingeführt. Das Ziel mit SIEM war, Korrelationen und komplexe Analytik für die unterschiedlichsten Systeme, Anwendungen und Datenbanken zu ermöglichen, damit Advanced Threats erkannt werden, also die Nadel im Heuhaufen gefunden wird. Doch dies ist bei vielen Unternehmen gescheitert. SIEM- Systeme generieren heute entweder zu viele unspezische Ereignisse und die menschlichen Ressourcen reichen nicht aus, diese auch annähernd weiter zu verfolgen oder gar abzuarbeiten, oder sie sind system-seitig nicht in der Lage, die heutigen Big Data Anforderungen zu bedienen, da die tägliche Menge an Auditdaten über einen längeren Zeitraum hinweg die Kapazitäten eines SIEM-Systems meist sprengt. Können durch die eingesetzten Sicherheitssysteme dennoch bösartige Aktivitäten oder das Vorhandensein von Malware nachgewiesen werden, muss ein sehr ressourcenintensiver und zeitaufwendiger, manueller Incident Response Prozess angestoÿen werden, um die inzierten Systeme von der Schadsoftware zu bereinigen und sicherzustellen, dass die Malware wirklich komplett entfernt wurde und nicht aufgrund eines weiteren inzierten Systems wieder auftaucht. 3 Mögliche Lösungsansätze Ein möglicher Ansatz für Unternehmen, welche ein SIEM-System nutzen, wäre, dass sie ein Workow um ihr SIEM-System herum aufbauen, damit das System einen wirklichen Mehrwert bietet und somit Advanced Threat Investigation und Detection ermöglicht. Das SIEM-System sollte darüber hinaus aus einem sehr ezienten Event Data c 2014, AIRNET 3

4 Warehouse (EDW) bestehen, das zum Speichern und Abfragen von riesigen Datenmengen, also Big Data, geeignet ist. Es sollte insbesondere um die folgenden Funktionen erweitert werden: Dynamische und Echtzeit (Real-Time) Visualisierungen mit ständigen Indikatoren zu verdächtigem Verhalten Denieren von einem normalen Zustand (Baselining). Alles was zu einem bestimmten Grad von diesem normalen Zustand abweicht, löst ein Alarm aus und gilt als Sicherheitshinweis für den Security Analysten Behaviour Proling 4 Einbinden von Threat Intelligence 5, um Advanced Persistent Threats bzw. Targeted Threats zu erkennen Situational Awareness (Situationsbewusstsein, Lagebewusstsein) mit Indikatoren zur Netzauslastung und zu Verkehrsbeziehungen Protokollstatistiken grasch darstellen und auswerten Datei- und Datenbankzugrie protokollieren und aussagekräftig visualisieren Bestimmten rohen Netzwerkverkehr in die Datenbank aufnehmen (Full Packet Capture) und gezielt auf bösartige Aktivität analysieren können Korrelierungen über verschiedene Systeme, Anwendungen, Datenbanken, Prozessen, Dateizugrien sowie Netzwerkverbindungen und -aktivitäten durchführen und analysieren. Auch sollte der Investigation-Prozess zunehmend automatisiert 6 werden, d.h. die Analytik muss sich im Vergleich zu heute stark verbessern, damit das Problem der derzeit zu vielen unspezischen Ereignisse, die manuell abgearbeitet werden müssten, gelöst wird. Automatic Threat Investigation muss so gut funktionieren, dass Abfragen in riesigen Datenmengen innerhalb eines akzeptablen Zeitraums - am besten sogar mit garantierten Antwortzeiten - beantwortet werden und derart akkurat, prägnant und präzise Ergebnisse liefern, dass ein Security Analyst auf Anhieb damit etwas anfangen kann. Des Weiteren sollte heute ein Aspekt berücksichtigt werden, der in den letzten Jahren kaum Beachtung fand. Im Bericht 2013 Verizon Data Breach Investigations Report heiÿt es, While it may be dicult to detect and respond to an intrusion within seconds or minutes, we see this phase as a giant opportunity for improvement in our industry. Bisher wurde auf Intrusions nur mit sehr ressourcenintensiven und zeitaufwendigen, manuellen Incident Response Prozessen reagiert. Auch hier sollte in Zukunft immer mehr automatisiert werden, sodass Malware unverzüglich, also innerhalb von Sekunden oder maximal in ein paar Minuten, nachdem sie erkannt wurde, automatisch vollständig von allen befallenen Systemen entfernt wird. 4 Hierbei handelt es sich um das Erstellen von Verhaltensprolen von beispielsweise Servern und Systemen. Ist zu einem gegebenen Zeitpunkt eine Abweichung zum normalen Verhaltensprol zu erkennen, dient es als Hinweis zu möglichem verdächtigen Verhalten. 5 Genauso wie Cyberkriminelle sich zusammentun und groÿe bösartige Ökosysteme bilden, um Hacking- Informationen auszutauschen, gehen Hersteller und Dienstleister der Sicherheitsbranche hin und bilden ebenfalls groÿe Ökosysteme, um den Cyberkriminellen mindestens eine Nasenlänge voraus zu sein. Die Ökosysteme der guten Seite sehen so aus, dass weltweit hunderte bzw. tausende Sicherheitssysteme installiert werden, um globale sicherheitsrelevante Informationen über die Gefahrenlage zu sammeln, durch Experten zu analysieren und diese allen angeschlossenen Teilnehmern des Ökosystems in Form von Threat Intelligence zur Verfügung zu stellen, damit sie Präventivmaÿnahmen ergreifen können. Insbesondere geht es hier darum, durch sogenannte Zero-Day Attacken nicht bloÿgestellt zu werden. Hierbei handelt es sich um Angrie, die zu einem gegebenen Zeitpunkt noch nicht bekannt waren und daher durch Signaturen von Sicherheitssystemen nicht abgefangen werden konnten und somit das Eindringen in unsere Netzwerke und Systeme problemlos möglich war. 6 Automatic Threat Investigation als Teil von Advanced Threat Investigation c 2014, AIRNET 4

5 4 Fazit In einer Zeit, in der Geheimdienste hunderttausende Hacker beschäftigen, Cyberkriminelle gezielt beauftragt werden, Wirtschaftsspionage zu betreiben und groÿe Hersteller von Software und Hardware per Gesetz verpichtet sind, Hintertüren (Backdoors) in ihren Systemen einzubauen, ist höchste Zeit, dass wir uns ausgiebig schützen, um der Willkür nicht bloÿgestellt zu werden. c 2014, AIRNET 5