Deep Sight - Bedrohungen frühzeitig erkennen

Transkript

1 CERT Services Deep Sight - Bedrohungen frühzeitig erkennen Markus Grüneberg

2 Symantec Gegründet im Jahr 1982, an der Börse seit 1989 > Mitarbeiter davon mehr als in EMEA 6,2 Milliarden US$ Umsatz im GJ % des Umsatzes fließen in F&E Präsenz in 48 Ländern 2

3 Unsere Schwerpunkte Verfügbarkeit Sicherheit 3

4 Der Einsatz meiner Sicherheitsmaßnahmen hat sich bewährt! 4

5 Ich möchte sehr sicher sein, aber nur so sicher, dass mein iphone/ipad noch funktioniert! 5

6 Angriffe: Nur aus Spaß? 6

7 Wer greift an? Cyber Criminals Cyber Spies Hactivists 7

8 Threat Landscape in Zahlen 7.1 Mio AV erkannt pro Tag ~1.6 Mio Neuer Schadcode pro Tag(different hash) Erkennungen pro Tag eines WebToolkit s > statische Signaturen Gründe für die Flut: Toolkits zur Erstellung Runtime Packers Profit als Motivation Zunehmende Vernetzung 8

9 Evolution der Attack Toolkits 9

10 Heutige Gefahren Zukünftige Gefahren

11 Es gibt eine Idee für alles 11

12 Es gibt ein Programm für alles 12

13 Es gibt einen Angriff für alles 13

14 Komplexität heutiger Angriffe Szenarien 14

15 Mehr Mac Focus: MacProtector/MacDefender Fake AV wird schlecht erkannt von echter AV 15

16 Wie findet man Zeus? Google hilft bei der Suche Angebote von $ Viele der verkauften Versionen enhalten eine zusätzliche Backdoor 16

17 17

18 Blackhole Verkauft für ca $ / Jahr oder vermietet für 100$/Woche Traffic filter (Spezielle IPs/Länder weiterleiten) z.t. tägliche Updates der verwendeten Exploit Encoder Lädt meistens FakeAV und Trojan.Carberp Blackhole IDS Detektionen 18

19 Typische DriveBy Download Infektion browse Legitime Web seite «geknackte» Seite Fehler im Server Schwaches Passwort Werbebanner Bösartiges Script Keine Benutzerinteraktion Notwenig für den Exploit Das Betrachten der Webseite reicht aus! Browser wird untersucht: 346 Schwachstellen in Plug-ins (2011) 500 Schwachstellen in Browsern (2011)

20 Infizierte Webseiten in Top10 Suchergebnissen Webseiten werden nach vorn gepusht Blackhat Search Engine Optimization (SEO) mit Hot Topics Angreifer ändern schnell zu aktuellen Themen (e.g. Gaddafi) Für Text & Bild Ergebnisse in unterschiedlichen Suchmaschinen 20

21 Stuxnet - Refresher Stuxnet war ein gezielter Angriff auf fünf Organisationen; 12,000 Infektionen konnten zu fünf Organisationen zurückverfolgt werden Drei Organisationen waren einmal angegriffen worden, eine zwei Mal und die andere drei Mal Ziel der Angriffe Organisationen wurden angegriffen in Juni 2009, Juli 2009, März 2010, April 2010 und Mai 2010 Alle Organisationen waren im Iran präsent. Note: Original infected organisations were not the ultimate target, but had connections to it 21

22 Stuxnet- Ziel monitors frequency converters operating between 807Hz and 1210Hz (at minimum 13 days) monitors frequency converters operating between 807Hz and 1210Hz (at minimum 27 days) sets frequency converters to 1064Hz sets frequency converters to 1410Hz for 15 minutes monitors frequency converters operating between 807Hz and 1210Hz (at minimum 27 days) sets frequency converters to 2Hz for 50 minutes 22

23 Immer komplexere Szenarien Nutzen von Sozialen Netzwerken (Schwarmverhalten) Bundesminister zu Guttenberg innerhalb von 12 Tagen von allen Ämtern zurückgetreten Einführung eines GuttenPlagWIKI Umfangreiche Investition an Zeit in diese Plattform durch Freiwillige Nutzen virtueller social media Accounts zur Meinungsverstärkung Im September 2008 bewarb sich die hundertprozentige Post-Tochter DHL als Logistikdienstleister der Bundeswehr. Aktivisten nutzen das Internet um, aktiv eine Kampagne zu starten Kosten der Kampagne relativ gering dhl.blogsport.de 23

24 Nicht alle Angriffe dienen wirtschaftlichen Zwecken Operation Payback Low Orbit Ion Cannon Symbolische Aktion von Bürgern Netzdemonstration Niederlande verhaftet Jugendlichen Geständnis wg. Verhaftung Assange Kein Hacker, keine Versuche sich unkenntlich zu machen Nach Bekanntwerden Solidaritätsbekundungen im Netz Angriff richtete sich jetzt auch auf niederländische Behörden 24

25 Immer komplexere Szenarien, und was wäre wenn Demonstrationen zukünftig durch Internetaktivisten unterstützt werden? Nutzen virtueller Identitäten um Massen zu steuern Unterstützende Hetzkampagnen Evtl. resultierende zunehmende Unterstützung in der Bevölkerung Ausnutzen von Schwächen moderner Infrastrukturen Stören des Kommunikationsverbundes Erschweren der Fehleranalyse Einspeisen von Fehlinformationen in Führungs- und Leitsysteme es dem gezielten Stören der Infrastruktur dient. 25

26 1 DeepSight Information Intelligence 2 Möglichkeiten für Kommunen

27 Symantec Global Intelligence Network Identifies more threats, takes action faster & prevents impact Calgary, Alberta Dublin, Ireland San Francisco, CA Mountain View, CA Culver City, CA Austin, TX Pune, India Chengdu, China Chennai, India Taipei, Taiwan Tokyo, Japan Worldwide Coverage Global Scope and Scale Rapid Detection 24x7 Event Logging Attack Activity 240,000 sensors 200+ countries Malware Intelligence 133M client, server, gateways monitored Global coverage Vulnerabilities 50,000+ vulnerabilities 15,000 vendors 105,000 technologies Spam/Phishing 5M decoy accounts 8B+ messages/day 1B+ web requests/day Preemptive Security Alerts Information Protection Threat Triggered Actions 27

28 Mit Weltmarktführer in Threat Intelligence Source: IDC, Worldwide and U.S. Security Services Threat Intelligence Forecast: Out of the Basement and into the Clouds. Christian A. Christiansen, Charles J. Kolodgy, Chris Liebert 28

29 DeepSight Intelligence Datenquellen Risk Activity Fraud Activity Malicious Code Vulnerabilities SPAM data Target Attacks Threat Trends Phish Data DeepSight Databases 29

30 Symantec Security Response Weltweite Abdeckung 24 x 7 x 365 Calgary DeepSight Toronto.Cloud Anti-Malware Gloucester.Cloud anti-malware Tokyo Response Operations Anti-Virus Anti-Spyware Calgary, Canada Dublin, Ireland Gloucester, UK San Francisco Anti-Spam Anti-Fraud San Francisco, USA Mountain View, USA Culver City, USA Toronto, Canada Montreal, Canada Dublin Response Operations Anti-Virus Anti-Spyware Advanced Threat Research Zurich, Switzerland Chengdu Anti-Virus Pune, India Chengdu, China Chennai, India Taipei, Taiwan Tokyo, Japan Taipei Anti-Spam Anti-Fraud Mountain View Intrusion Prevention Advanced Threat Research Culver City Response Operations Anti-Virus Anti-Spyware Advanced Threat Research Pune Anti-Virus Anti-Spam Anti-Fraud URL Filtering Chennai Anti-Spam Anti-Fraud URL Filtering DeepSight Sydney, Aus 30

31 DeepSight Intelligence Informationen DeepSight Databases DeepSight DataFeeds Vulnerability DataFeed Security Risk DataFeed IP Reputation DataFeed Malicious Code Alerts Security Risk Alerts Vulnerability Alerts Automated Attack Alerts DeepSight Early Warning Services Symantec Threat Analysis Detaillierte Analysten Meldungen 31

32 IP/URL Reputation IP Reputation Datafeed Symantec s Security Intelligence Group sammelt Informationen vom GIN, unseren Sensoren, Endgeräten und verschiedenen Services Diese Informationen sind kategorisiert in verschiedene Aktivitätstypen Angreifer Schadcode Spreaders Phishers Spammers Botnet Mitglieder Command and Control Server Wir benutzen unseren eigens entwickelten Algorithmus um Vertrauenswürdiges und Gefährliches zu unterscheiden, durch das Vergleichen und wiegen von historischen Aktivitäten, Erscheinungen und Typifizierung aus unserem Sensoren <ip address="x " consecutive_listings="2" listing_ratio="2" reputation="10"> <attacks hostility="4" confidence="5" /> <malware hostility="3" confidence="4" /> </ip> <ip address="x " consecutive_listings="2" listing_ratio="2" reputation="9"> <attacks hostility="4" confidence="5" /> <malware hostility="3" confidence="3" /> </ip> <ip address="x " consecutive_listings="6" listing_ratio="6" reputation="9"> <attacks hostility="5" confidence="4" /> <malware hostility="5" confidence="1" /> </ip> <ip address="x " consecutive_listings="2" listing_ratio="2" reputation="8"> <attacks hostility="2" confidence="4" /> <bot confidence="4" /> </ip> 32

33 Brand & Domain Monitoring Marken und Domänen Überwachung ist geeignet zur zeitnahen Alarmierung über aufkommende Angriffe Dies wird erreicht durch nutzen unterschiedlichster Technologien: scanning: Milliarden s werden jeden Tag gescannt um schadhaftes Verhalten zu verhindern Web crawling: geklonte Webseiten werden erkannt mit Suchtechnologien, ähnlich wie Suchanbieter diese Verwenden Domain monitoring: Domänen ähnlich zu betreffenden Organisationen werden oft genutzt um Host-Phishing zu betreiben Intelligence: Security Analysten sind in Chats und Foren passiv aktiv Bei erkennen eines neuen Angriffes, betroffene Kunden werden sofort informiert um entsprechende Prozesse einleiten zu können. 33

34 Symantec DeepSight (GIN) Information Services Präventive Informationsbereitstellung zur Abwehr moderner Bedrohungen Symantec DeepSight (GIN) Datafeeds Symantec Threat Analysen 34

35 2 Möglichkeiten für Kommunen

36 Evolutionsstufen eines CERT Sichtbarkeit erzeugen 36

37 Menschen, Prozesse & Technologien MENSCHEN PROZESSE TECHNOLOGIEN Man benötigt Training, Incident Response und entsprechende, moderne Ansätze in allen Bereichen 37

38 Die Ansätze müssen Menschen, Prozesse & Technologien berücksichtigen BUSINESS IT Risk Mitigation Integrieren der Security in das operative Geschäft 38

39 Ein (möglicher) Schritt Information & Content Feeds Security Operations Grundschutz ISO 2700x PCI, etc. Symantec Security Content (Rep. Daten, etc.) CERT / SOC Threat HelpDesk Warnmeldungen Incident Handling DeepSight Threat Intelligence Eigene Informationen Analysen und Reports Weitere Informationen Agent-based Scanning Dissolving Agent Scanning Network VA Scanners Network VA Scanners Web App / DB Scanners 39

40 Weiterer (möglicher) Schritt Information & Content Feeds Security Operations Grundschutz ISO 2700x PCI, etc. Symantec Security Content (Rep. Daten, etc.) CERT / SOC Threat HelpDesk Warnmeldungen Incident Handling DeepSight Threat Intelligence Eigene Informationen Security Prozess Integration Analysen und Reports Weitere Informationen IT Compliance Scan Ergebnisse Agentless Scanning Agent-based Scanning Dissolving Agent Scanning Scaninformationen API/SDK Optional Scanner Mgt (2-Way; Command & Control) VA Scanning Patch Scanning Configuration Scanning weitere Scanner Network VA Scanners Network VA Scanners Web App / DB Scanners Web Services SYMC CCS VM Nessus,OpenVAS, Cenzic, etc. 40

41 Orchestrated Analytical Security 41

42 Orchestrated Analytical Security 42

43 Orchestrated Analytical Security Ganzheitliche Korrelation erzeugt Sichtbarkeit der Sicherheit, erlaubt eine bessere, beweisbare Priorisierung für IT-Risk 43

44 CERT Modell DeepSight Platinum Remote Expert Analyst Service (365/24/7) Symantec Deutschland (220/8/5) Legende: Alerts via Mail Anrufe Tickets/Incidents CERT Standort 1 Standort 2 Standort 3 Standort Standort (n+1) Stan 44

45 CERT Modell mit Orchestrated Analytical Security DeepSight Platinum Remote Expert Analyst Service (365/24/7) Symantec Deutschland (220/8/5) CERT Standort 1 Standort 2 Standort 3 Standort Standort (n+1) Stan 45

46 Information Security Alarmierung, wenn Handlungsbedarf besteht CERT/SOC 46

47 47

48 Punkt. Markus Grüneberg Copyright 2012 Symantec Corporation. All rights reserved. Symantec and the Symantec Logo are trademarks or registered trademarks of Symantec Corporation or its affiliates in the U.S. and other countries. Other names may be trademarks of their respective owners. This document is provided for informational purposes only and is not intended as advertising. All warranties relating to the information in this document, either express or implied, are disclaimed to the maximum extent allowed by law. The information in this document is subject to change without notice.