Cyber Defence: die neuen Herausforderungen durch Angriffe im Internet Prof. Dr. Gabi Dreo Rodosek Fakultät für Informatik

Transkript

1 Cyber Defence: die neuen Herausforderungen durch Angriffe im Internet Prof. Dr. Gabi Dreo Rodosek Fakultät für Informatik Gabi Dreo Rodosek 1

2 Agenda 1. Einleitung 2. Cyber Defense und der Paradigmenwechsel 3. Bedrohungen und Abwehr im heutigen Internet 4. Future Internet 5. Abschließende Bemerkungen 2011 Gabi Dreo Rodosek 2

3 1. Einleitung (1) Unser Leben spielt sich zunehmend in der virtuellen Welt ab (E-Health, E-Identity, soziale Netze, online games, E-Entertainment, E- Education, ) Leben in der virtuellen Welt muss geschützt werden What needs to be done to prevent them in the future? Personen (digitale Identitäten) Dienste, Inhalte (Content), Kritische Infrastrukturen, ABER Immense Anzahl von Geräten, Sensoren, hohen Bandbreiten von 40 Gbit/s und mehr, Heterogenität, Technologien wie Cloud Computing und Virtualisierung, Gabi Dreo Rodosek 3

4 1. Einleitung (2) Unterschiedliche Begriffe Cyber Attacks? Cyber Terrorism? Cyber Crime? What needs to be done to prevent them in the future? Cyber Threats? Cyber Warfare? Cyber Defense? Internet + Mobile + Wireless + Sensor Networks +... = Kritische Kommunikationsinfrastrukturen! 2011 Gabi Dreo Rodosek 4

5 1. Einleitung (3) Die meisten Cyber-Attacken haben eine kriminelle Komponente Globale Zusammenarbeit zwischen unterschiedlichen Institutionen notwendig Cyber Crime Cyber Terrorism Cyber Threat Cyber Warfare Cyber Defense eines virtuellen Netzes mit unterschiedlichen Angriffsvektoren und Zielen (Organisationen, Länder, SCADA-Systeme,...) 2011 Gabi Dreo Rodosek 5

6 2. Cyber Defence (1) Cyber Attacken: Schwierig zwischen militärischen und zivilen Cyber-Attacken zu unterscheiden Schwierig sie zu erkennen bzw. den Ausgangspunkt zu identifizieren Beispiele von Incidents: DDoS-Angriff auf die Kommunikationsinfrastruktur von Estland 2007 Cyber-Attacke auf Web-Seiten in Georgien 2008 Hacker-Angriffe gegen Sony, Adidas, Gema, IWF, usw Gabi Dreo Rodosek 6

7 2. Cyber Defense (2): Aktivitäten Nationales Abwehrzentrum (BSI) ENISA (European Network and Information Security Agency) EDA (European Defense Agency) CYBERCOM US Military (2009): Cyber Defence and Attack Capabilities Department of Homeland Security: 155 million US$ in 2008 for Cyber Security NATO Co-operative Cyber Defence Centre of Excellence (CCD CoE, 2007) NATO Cyber Defence Programme: NATO Computer Incident Response Capability (NCIRC) 2011 Gabi Dreo Rodosek 7

8 2. Cyber Defence (2): Dienste Cyber Defense -Dienste, die von der NATO durch NCIRC angeboten werden Präventive Dienste wie u. a. Anti-malware support, vulnerability assessments, security configuration settings, information sharing and support, awareness, training, exercises Reagierende Dienste wie u. a. Incident management services, intrusion detection, prevention and centralized event management, computer forensics, content verification 2011 Gabi Dreo Rodosek 8

9 2. Cyber Defense (3) Cyber Sicherheitsstrategie für Deutschland (BMI) Die Verfügbarkeit des Cyber-Raums und die Integrität, Authentizität und Vertraulichkeit der darin vorhandenen Daten sind zu einer existenziellen Frage des 21. Jahrhunderts geworden Die Gewährleistung von Cyber-Sicherheit wird damit zur zentralen gemeinsamen Herausforderung für Staat, Wirtschaft und Gesellschaft im nationalen und internationalen Kontext 2011 Gabi Dreo Rodosek 9

10 2. Der Paradigmenwechsel (1) Neue Angriffsziele für IT-Sicherheitsbedrohungen Internet GSM/UMTS/LTE Home Automation Military SatCom Car2X Software Defined Radio WSN Smart Grid SCADA All-over-IP and IP-over-All Problemstellung: neue Angriffsziele sind nicht ausreichend geschützt! 2011 Gabi Dreo Rodosek 10

11 2. Der Paradigmenwechsel (2) IKT-Unterstützung in immer mehr Bereichen (z.b. Energieversorgung, Industriekomplexe, Automobilindustrie) Potenzielle Gefährdungen aus den klassischen Rechnernetzen finden Einzug in neuen Bereiche Missbrauch des Internets für einen Cyber Angriff stellt ein hohes Risiko dar, da damit fast jedes mit dem Internet verbundene System angegriffen werden kann 2011 Gabi Dreo Rodosek 11

12 2. Der Paradigmenwechsel (3) Beispiel: Smart Grid / Smart Meter Manipulation der Sensoren im Grid sowie der WAMSs selbst Manipulation der Steuerung der Verteilung des Stroms Manipulation/ Mitlesen der Datenerfassung, -übermittlung Ausführung von Schadcode auf Smart Metern WAMS - Wide Area Management System Stromnetz Datennetz Erfassung und Analyse von Nutzungsprofilen 2011 Gabi Dreo Rodosek 12

13 3. Internet Heute: Angriffsarten Einbruchsversuch Masquerade Attack Penetration durch Manipulation des Sicherheitssystems Leckage DDoS (Distributed Denial of Service) Angriffsklassen lassen sich anhand verschiedener Detektionsmerkmale und Werkzeugen erkennen Intrusion Detection Systeme (IDS) oder Intrusion Prevention Systeme Schutz der Systeme Extrusion Prevention (innere Bedrohung, Innentäter!) Schutz der Daten 2011 Gabi Dreo Rodosek 13

14 3. Internet Heute: Datensammlung Sehr schwierig, richtige Positionierung von Sensoren Flow Analyse: Internet Telescopes NetFlow / IPFIX / sflow CAIDA, ATLAS, NICTER, IUCC, etc. Austausch von Log-Dateien etc. Internet Storm Center, MyNet Watchman, Talisker Verteilte Honey-Pot-Architekturen Collapser, NoAH, isink, ARAKIS, etc. Packet Inspection Snort, etc Gabi Dreo Rodosek 14

15 3. Internet Heute: Datenauswertung Schwierig, fast unmöglich Inhalts- bzw. kontentbasierte (signaturbasierte) Ansätze - Muster von bekannten Angriffen werden in einer Datenbank gespeichert; der Datenstrom wird auf das Vorhandensein eines entsprechenden Musters geprüft - Negatives Netzverhalten Kontextbasierte (verhaltensbasierte) Verfahren - Positives Netzverhalten, Anomalieerkennung 2011 Gabi Dreo Rodosek 15

16 3. Internet Heute Zu globalen Frühwarnsystemen (1) Early Warning Systeme (EWS) Basieren auf Honeypots im Dark-IP Analyse von Logs Flow-basiert Zählen von Paketen Notwendigkeit von Personal, Automatisierung sehr eingeschränkt 2011 Gabi Dreo Rodosek 16

17 3. Internet Heute Zu globalen Frühwarnsystemen (2) Latest Vulnerabilities Latest Vulnerabilities IBM Alert Con Internet Storm Center Internet Traffic Report Source: Gabi Dreo Rodosek 17

18 3. Internet Heute: Übersicht Charakteristiken - Heterogene, verteilte Netze - Verschlüsselung (keine oder teilweise) Technologie - Signatur-basierte IDS - Early Warning Systeme Log-basiert, Flow-basiert, Packet-Zählung 2011 Gabi Dreo Rodosek 18

19 3. Internet Heute Sicherheitsherausforderungen Stand der Technik ist nicht ausreichend! Sensorik im Dark-IP vs. zielgerichtete Attacken Deep Packet Inspection vs. hohe Bandbreiten Verschlüsselung Anomalie-Erkennung noch am Anfang Hohe Fehleralarm-Raten Intelligente, autonome und verteilte Malware wachsenden Bereich der Smart- und Mobilgeräte Größe Signaturdatenbanken, hohe Bandbreiten,... und dabei sind kritische Infrastrukturen immer Ziel von permanenten Attacken 2011 Gabi Dreo Rodosek 19

20 3. Internet Heute: Tendenzen Gezielte und spezialisierte Angriffe haben einen starken Zuwachs Signaturbasierter Verfahren können das nicht erkennen Verstärkender Einsatz von Verschlüsselung Analyse der Nutzdaten nicht mehr möglich Angriffe auf Anwendungsebene Können durch auf der Netzebene arbeitende IDS und IPS nicht erkannt werden Ausnutzung sozialer Netze, um gezielt menschliche Schwächen auszunutzen 2011 Gabi Dreo Rodosek 20

21 4. Future Internet Große Herausforderung: ubiquitäre Interkonnektivität und Austausch von Daten 2011 Gabi Dreo Rodosek 21

22 4. Future Internet: Nutzer Anforderungen aus Sicht der Nutzer (Firmen, Dienstanbieter, Privatpersonen,...) Schutz vor zu vielen oder nicht gewollten Diensten/Inhalten Trust! Security! Privacy! Qualität Robustheit Einfachheit Kosteneffektivität 2011 Gabi Dreo Rodosek 22

23 4. Future Internet: Dienste Future Internet = Dienste + Content + Management Neue Arten von (immer mehr) personalisierten Diensten, u. a. für Gesundheitswesen Überwachung des Gesundheitszustands durch Sensoren ( versteckt in alltäglichen Dingen), Online-Diagnose, personalisierte Dienste Personalisiertes Entertainment (Online-Spiele) Smart Homes Privacy-Dienste! Storage und Compute Dienste in der Cloud Gabi Dreo Rodosek 23

24 4. Future Internet: Übersicht Charakteristiken: - Virtualizierte Umgebungen (Clouds) - IPv6 - Verschlüsselte Dateninhalte - Zuwachs von P2P-Verkehr - Immense Anzahl von Geräten/Diensten - Hohe Mobilität, Heterogenität Technologie - Netz-Virtualisierung - Early Warning Systeme -Virtuelle Sensoren - Schließen, - Lernen (Self-Mgmt), - Ausgeklügelte Korrelation von Daten - Umfassende Analyse, Gabi Dreo Rodosek 24

25 4. Future Internet: Infrastruktur Unterschiedliche Angriffsarten Counter overflow attack, routing table manipulation, sybil attack, sinkhole attack, blackhole and grayhole attack, wormhole attack, sleep attack,... Unterschiedliche Geräte (Smartphones, Tablet-PCs...) Neue Technologien, neue Dienste, neue Bedrohungen aber alte Konzepte wie DHCP, IP, DNS... und All-over-IP und IP-over-All, und Patching, Gabi Dreo Rodosek 25

26 4. Future Internet: Cyber Defense Herausforderungen Future Internet NEUE BEDROHUNGEN! Noch mehr Daten Noch mehr Abhängigkeiten Neue Einsatzgebiete (IKT als Basis für alles ) Viele Daten Internet Heute... Abhängigkeiten Ubiquitäre Interkonnektivitä t Neue Technologien Neue Dienste Verändertes Verhalten der Nutzer Gabi Dreo Rodosek 26

27 4. Future Internet Neue Herausforderungen Virtualisierung Cloud Computing (Nicht kontrollierter) Austausch und Sammlung von Daten zwischen unterschiedlichsten Geräten Mobilität und Sensoren Context, Location and Situation Awareness von Diensten/Content Ein nicht endendes Patchen kann nicht die Antwort sein Security by Design, Management by Design! Ubiquitäre Interkonnektivität = weit verbreiterte Angreifbarkeit(!) Daten sind Zahlungsmittel 2011 Gabi Dreo Rodosek 27

28 5. Abschließende Bemerkungen (1) IT-Sicherheit bzw. Cyber Security/ Cyber Defense/ Cyber Operation Damals: Austausch von Web-Seiten Heute: Stuxnet und andere digitale Waffen Erster bewusster Sicherheitsvorfall am 1. April Gabi Dreo Rodosek 28

29 5. Abschließende Bemerkungen (2) Bedrohungen sind mannigfaltig Cyber-Attacken sind anonym, werden immer komplexer und zielgerichteter Internet of Things / Data / Services: Future Internet Neue Technologien = Neue Bedrohungen! Cyber-Abwehr kostet Eine nicht adäquate Cyber-Abwehr kostet mehr! 2011 Gabi Dreo Rodosek 29

30 Cyber Veränderte Rahmenbedingungen, neue Herausforderungen benötigen neue Lösungsansätze Von signatur-basierend zu behavior -basierend von Human-in-the-loop zu Self-Protecting/Self-healing bzw. Self-*-Systemen, usw Gabi Dreo Rodosek 30