Cyber Risk Resilience Detection is the new Prevention

Transkript

1 Cyber Risk Resilience Detection is the new Prevention Nichts auf der Welt ist so mächtig wie eine Idee, deren Zeit gekommen ist. Victor Hugo ( ) Lagebild Bring it to the Light Wie sieht die Cyberbedrohungslage in meinem Netzwerk aus? Diese Frage können heute die allerwenigsten Firmen beantworten. Cyber Situational Awareness zu besitzen ist weit mehr, als nur über ein rein technisches Lagebild zu verfügen. Aber dieses Lagebild ist ein absolutes Muss und stellt ein bedeutendes Element der Cyber Risk Resilience Initiative der ISPIN dar. Dieses entsprechend visualisierte Lagebild soll Bestandteil eines Decision Enabling System werden, welches Entscheidungsträger befähigt, bewusste, nachvollziehbare und sauber dokumentierte Entscheide zu fällen. Im Folgenden werden grundlegende Bausteine erläutert, die zum Bau dieses Lagebildes nötig sind, namentlich verschiedene Sensortypen zur Erfassung der Netzwerkdaten sowie die Visualisierung. Detection Um Anomalien im Netzwerk zur detektieren brauche ich Sensoren, die beispielsweise verdächtige Verkehrsmuster, Inhalte oder Empfänger/Sender kennzeichnen und aufzeichnen. Beim Ansatz der ISPIN geht es letztendlich um Multivendor- und Multisensor-Fusion und darum, mehrere Dimensionen von abgreifbaren Daten in einem Unternehmensnetzwerk zu analysieren und zu bewerten. Die Sensoren erfassen dabei jeweils unterschiedliche Dimensionen oder Eigenschaften von Netzwerkdaten: Flowbasierte (Paketfluss) Erfassung und Auswertung Protokollbasierte Auswertung (z. B. signaturbasiertes Intrusion Detection System, IDS) Logbasierte Auswertung von Daten (z. B. SIEM) Inhaltsbasierte Auswertung, Advanced Persistent Threats (APT) Prevention Die verschiedenen Sensoren interpretieren die allenfalls gleichen Daten jeweils in Bezug auf bestimmte Eigenschaften und liefern damit zumeist bereits eine erste gute Aussage. Es ist aufgrund eines intelligenten und hochperformanten Filters zwischen dem Netzwerkabgriff und den Sensoren möglich, die Daten schon vorverarbeitet (de-duplication of data, filtering) den Sensoren zukommen zu lassen. So macht es beispielsweise keinen Sinn, wenn ein IDS-System verschlüsselte Paketdaten (z.b. ESP) bekommt und diese aufwändig verwerfen muss, ohne eine einzige relevante Aussage machen zu können.

2 Die meisten dieser Sensoren resp. die entsprechenden Produkte bieten bereits als eigenständige Lösungen und mit Hilfe der entsprechenden Plug-Ins oder Apps sehr gute Resultate, Auswertungen und Dashboards. Beispiele hierzu sind Lancope (Netflow-Analysis), Cisco Sourcefire IDS (signaturbasiert) oder Splunk (SIEM). Korrelation/Aggregation von Multisensordaten Richtig interessant wird es, wenn die verschiedenen Sensordatenauswertungen, die alle bereits sehr gute Resultate liefern können, aggregiert, korreliert und verdichtet werden. Falls es zusätzlich gelingt, ein Umbrella -Dashbord zu entwerfen, welches ausgesuchte und wirklich für den Kunden/Usecase relevante Werte (KPIs) darstellt sowie mittels Inferenz-Algorithmen neue Aussagen über eine gesammelte Datenbasis zulässt, sind wir dem Ziel eines Cyber Situational Dashboards schon recht nahe. Damit betreten wir die Domänen der Data Driven Security und Big Data Analysis, welche Thema in einem kommenden Newsletter/Security Wake Up sein werden. Vorderhand beschränken wir uns mit einer etwas vertieften Sicht der drei Dimensionen flowbasierte, protokollbasierte und logbasierte Netzwerkdaten, die wir mit drei konkreten Sensor-Beispielen vorstellen. Nachfolgend eine kurze Unterscheidung der analysierten Daten/Dimensionen: Flowbasierte Analyse (z. B. Lancope) Bei der paketbasierten Auswertung werden NetFlow und andere flowbasierte Daten analysiert, um verteilte Netzwerke vollständig transparent zu machen und Bedrohungen rasch zu erkennen. Es handelt es sich bei diesem Sensortyp um ein so genanntes Network Behaviour Anomaly Detection - System. Im Unterschied zu einem IDS kommt das System im Prinzip ohne Signaturen aus, es analysiert den Netzverkehr auf Anomalien. Anhand einer vorangegangenen Lernphase kennt das System den normalen Verkehr und kann anhand von Policies entscheiden, was bei anomalem Verkehr geschehen soll. Protokollbasierte Analyse (z. B. Snort) Dieser Sensortyp kann eingesetzt werden, um bekannte Angriffe auf die Schwachstellen von Netzwerksoftware zu entdecken. Der Sensor führt Protokollanalysen durch, sucht und vergleicht Inhalte, um passiv verschiedene Formen eines Angriffs wie zum Beispiel einen Pufferüberlauf, Portscans, Angriffe auf Web-Anwendungen oder SMB-Probes zu erkennen. Möglichkeiten für Angriffe sind gegeben durch sogenannte Exploits oder eigens dafür bestimmte Programme wie etwa Internet-Würmer (z. B. Sasser oder W32.Blaster), die ihrerseits wiederum ein Backdoor-Programm (ursprünglich des Administrators Hintertür bzw. der Wartungszugang) beinhalten können, durch das der eigentliche Angriff schlussendlich erfolgt. Bei einem erkannten Angriff kann zum Beispiel ein Alarm ausgelöst und die Netzwerkpakete zur späteren Analyse oder Beweissicherung mitgeschrieben werden. Logbasierte Analyse (z. B. SPLUNK) Mit der logbasierten Analyse sind Log-, Monitoring- und Reporting-Tools wie beispielsweise Splunk oder andere Security Information and Event (SIEM) Systeme gemeint. Diese Systeme durchsuchen Logs, Metriken und weitere Daten von Applikationen, Servern und Netzwerkgeräten und indizieren sie in ein durchsuchbares Repository. Dort lassen sich Grafiken, SQL-Reports und Warnmeldungen generieren. Solche Systeme helfen, Störfälle zu erkennen und zu analysieren. Logdaten verschiedenster Systeme und Softwarekomponenten können zueinander korreliert werden. Neu sind auch leistungsstarke Plugins wie beispielsweise das Splunk App for Enterprise Security verfügbar.

3 Abschliessend ist zu sagen, dass die meisten Sensoren heute nicht mehr nur einen Datentyp analysieren können, sondern mit Hilfe von Erweiterungen, Apps und Cloud-Intelligenz ihre Core Domänen beträchtlich erweitert haben. Damit ist noch kein Multivendor- resp. best-of-bread -Ansatz gegeben, den ISPIN anstrebt. Aber es ist ein guter Anfang there s more to come. Beispiel #1: Sensor für flowbasierte Netzwerkdaten (DDoS, APT, Malware Protection) Das StealthWatch-System von Lancope nutzt NetFlow-, IPFIX- und andere flowbasierte Daten, um verteilte Netzwerke vollständig transparent zu machen und Bedrohungen rasch zu erkennen. Die kontinuierliche Überwachung der System- und Netzwerkkommunikation, ergänzt durch genaue sicherheitsrelevante Informationen, ermöglicht es Unternehmen, die sprichwörtliche Nadel im Heuhaufen zu finden. So lassen sich Sicherheits- und Performanceprobleme beseitigen, bevor sie das Tagesgeschäft beeinträchtigen. Das Netzwerk liefert die Daten via Netflow Quelle: Funktionsweise Herkömmliche Intrusion Detection- und Intrusion Prevention-Systeme arbeiten mit Signaturen, um Bedrohungen erkennen zu können. Lancope hat einen anderen Ansatz gewählt und setzt mittels der StealthWatch Appliance das so genannte NBAD Network Behaviour Anomaly Detection -System ein. Versucht ein neu entwickelter Wurm sich im Netzwerk zu verbreiten, werden keinerlei Signaturen benötigt, da Anomalien festgestellt und dementsprechende Massnahmen eingeleitet werden können. Mit einem NBAD- Verfahren ist eine Zero Day Protection somit möglich. Ein solcher Sensor (hier eine Lancope StealthWatch Appliance) wird ins Netzwerk eingebunden und analysiert via sflow oder Netflow die gesamte Netzwerk-Kommunikation von jedem Router/Switch-Port und erkennt so Abweichungen und Anomalien, anstatt mit IDS-/IPS-Systemen die unterschiedlichen Bereiche eines Netzwerks (DMZ, Data Center, LAN, Intranet, Internet,...) abzusichern. Um Auffälligkeiten im Netzwerk feststellen zu können ist es notwendig, das Netzwerk und das Verkehrsverhalten eines jeden Users (Hosts) zu kennen. Dazu wird in diesem Fall StealthWatch für 2 bis 4 Wochen in einen Lernmodus versetzt. Bei Anomalien, die z.b. durch Viren, Würmer, Trojaner oder Netzmissbrauch hervorgerufen werden können, wird ein Index für jeden einzelnen Netzwerkteilnehmer gerechnet (Compromise Index). Werden die voreingestellten

4 Schwellwerte überschritten, erfolgt eine Alarmierung und es können entsprechende Massnahmen wie sofortiges Blocking oder eine Meldung an den System-Administrator abgesetzt werden. Die Administration und Konfiguration einer StealthWatch Appliance wird über das Web-Interface via HTTPS durchgeführt. Die XML-basierten Anzeigen enthalten Informationen wie Source/Destination IP, Dienste, Zeitspannen, Netzwerkprotokolle und Bandbreiten, die durch sflow resp. NetFlow gewonnen werden. Lancope Cyber Threat Dashboard Quelle: Beispiel #2: Sensor für protokollbasierte Netzwerkdaten (IDS) Sourcefire wurde im Jahr 2001 von Martin Roesch gegründet, dem Entwickler von Snort, der Open Source Technologie, die zum De-facto-Standard für Intrusion Detection und Prevention geworden ist. Sourcefire bemüht sich um Weiterentwicklung und pflegt eine enge Beziehung zur Snort-Benutzergemeinschaft. Mitte 2013 wurde Sourcefire durch Cisco übernommen. Das Sourcefire-Angebot ergänzt eine Lücke bei Cisco, die im Bereich der aktuellen Cybercrime-Tendenzen und auch beim Schutz vor Datendiebstahl sowie -verlust bestand. Die Integration schreitet aktuell gut voran und ISPIN als Cisco Security Partner of the Year 2014 kennt sowohl die neuen wie auch die alten IDS-Plattformen wie kein zweiter Integrator in der Schweiz. Die Sourcefire Next-Generation IDS/IPS setzt dabei neue Massstäbe für fortschrittlichen Bedrohungsschutz, einschliesslich Echtzeit-Kontexterkennung, vollständiger Stack-Transparenz sowie intelligenter Sicherheitsautomatisierung für branchenweit führende Effizienz und Leistung bei geringen Gesamtbetriebskosten. Der passive IDS-Modus warnt vor verdächtigem Netzwerkverkehr und Verhalten. Die NGIPS-Lösung kann mit optionalen Abonnementlizenzen um Applikationskontrolle, URL Filtering und Advanced Malware Protection (AMP) erweitert werden. Über das Sourcefire FireSIGHT Management Center können hunderte Appliances zentral verwaltet werden. Das Zusammenspiel mit den Sourcefire FirePOWER-Appliances ermöglicht innovative und einmalige Funktionen, die Sourcefire-Sicherheitslösungen gegenüber anderen Lösungen hervorheben.

5 Beispiel #3: Sensor für logbasierte Netzwerkdaten (SIEM) Splunk nutzt als Basistechnologie MapReduce, um die relevanten Daten, Events und Logdateien zu erfassen, zu indexieren und durchsuchbar zu machen (ähnlich der Technologie, die auch Frameworks wie Hadoop einsetzen). Splunk ist eine horizontale Technologie, mit der Verfügbarkeitskontrolle, Server- und Netzwerk-Management, E- Mail-Administration, Transaktionsmanagement, Informationssicherheit und Compliance unterstützt wird. Der Begriff Splunk bezieht sich auf Datenanalyse in Anlehnung an den englischen Begriff spelunking (Höhlenforschung). Die Splunk App für Enterprise Security ist eine gute Erweiterung der Basisfunktionalität um folgende Punkte: Situational Awareness Dashboards liefern Ansichten für Risiken pro Domäne, Asset oder Identität. Incident Review liefert Analysis Workflows, welche die Priorität des Vorfalls (Incident), den Kontext des Vorfalls und die erwarteten Auswirkungen auf Werte und Identitäten aufzeigen. Analysis Centers liefert Indikatoren für unbekannte Bedrohungen, abgeleitet aus Verkehrsanomalien. Korrelationstools ermöglichen das Monitoring neuer Angreifer durch die Korrelation von neuen Domänen-Registrierungen mit Web-Zugriffen. More to come Die Cyber Risk Resilience Story steht erst am Anfang. Im nächsten Newsletter werden wir die Aspekte Data Driven Security sowie Multi Sensor Fusion vertiefen. Diese Aspekte sind ebenfalls integrale Bestandteile einer Lösung für Cyber Risk Resilience. ISPIN arbeitet nicht alleine an dieser Initiative, sondern ist im Gespräch mit grossen Marktbegleitern, die den einen oder anderen Lösungsbaustein (beispielsweise die Big Data Plattform) für diese Lösung beisteuern könnten. FAZIT Detection is the new Prevention! Davon sind wir überzeugt. Es reicht beim Thema Cyber Risk Resilience heute nicht mehr, nur die klassischen Gebiete und den Quadranten der bekannten Gefahren (die Known Knowns beispielsweise bekannte Signaturen, Angriffsvektoren oder Malware) sauber zu implementieren. Wir brauchen heute Instrumente und Möglichkeiten, um in den Gebieten (Quadranten) der bekannten Unbekannten sowie der unbekannten Bekannten zu forschen und vorbereitet zu sein. Genau daran arbeiten wir mit unserer strategischen Initiative Cyber Risk Resilience ISPIN arbeitet aktuell an verschiedenen Grundlagen für eine Lösung, welche Unterstützung bei der Entscheidungsfindung, aber auch während des gesamten Attack Continuums before, during and after an attack bietet. Wir freuen uns, den Dialog mit Ihnen zu führen, um diese Lösung gemeinsam auszugestalten. Autor: Andreas Rieder, Senior Security Architect (CISSP) / Senior Project Manager