Full Managed Incident Response. 9. BSI Cyber-Sicherheits-Tag.

Transkript

1 Full Managed Incident Response 9. BSI Cyber-Sicherheits-Tag.

2 Full Managed Incident Response. Ihr Referent Name: Funktion: Frank Melber Head of Business Development, Experte für Cyber-Security und Computer Forensik Kontakt: T: M: TÜV Rheinland i-sec GmbH

3 Auf allen Kontinenten zuhause. Kennzahlen 2014 Umsatz in Mio Auslandsanteil (in %) 49,0 EBIT (in %) 6,4 Mitarbeiter (-innen) Auslandsanteil (in %) 60,0 Standorte: Über 500 in 69Ländern ICT & Business Solutions

4 Umsatz nach Geschäftsbereichen. Academy & Life Care ICT & Business Solutions Systeme 10% 8% 6% 29% Industrie Service Mobilität 24% 23% Produkte ICT & Business Solutions

5 Die Welt von ICT & Business Solutions. Umsatz 2015: Circa 133 Mio. Geschäftsfelder IT Services & Cyber Security Telco Solutions, Business & Engineering Services Management Consulting R&D Management Weltweite Standorte ICT & Business Solutions

6 Full Managed Incident Response. Agenda Bedrohungsszenario Klassische Post Breach Incident Response Full Managed Incident Response Vorteile von Incident Response as a Service Vorstellung TÜV Rheinland SIRT / CSIRT Optionen zur Detektion On-Premise APT Sensor TÜV Rheinland Hosted APT Sensor 6

7 Bedrohungsszenario. Motivation der Angreifer. Warum es auch ihr Unternehmen betrifft Die Motivationen für Cyberangriffe sind vielfältig: Spionage Wettbewerbsvorteile, Verkauf von Forschungsdaten, Profilinformationen, etc. Sabotage Stören von industriellen Produktionsabläufen und kritischen Infrastrukturen Professionalisierte Services Infizierte Systeme werden von Angreifern als Service angeboten z.b. mieten kompletter Bot-Netze für kriminelle Aktivitäten (DDoS, Ablenkung) Infiltration as a Service Politische Hintergründe 7

8 Bedrohungsszenario. Unternehmenssicht. Von welcher Form von Cyber-Angriffen wird in den kommenden zwei Jahren die größte Bedrohung ausgehen? Antwort (D)DoS-Angriffe auf Internetauftritte (D)DoS-Angriffe auf andere Netzinfrastrukturen Hacking / unbefugtes Eindringen in Systeme zur langfristig angelegten Infiltration (APT) Hacking / unbefugtes Eindringen in Systeme mit anschließendem Datenabfluss z.b. von Kundendatenbanken Hacking / unbefugtes Eindringen in Systeme mit anschließendem Missbrauch der Systeme z.b. als Botnet-Client Malware-Infektion durch ungezielte Verteilung (Drive-by-Download / Spam) Malware-Infektion durch genzielten Angriff (Social Engineering per o.ä.) Defacement von Webseiten Andere Anzahl der Nennungen Quelle: BSI - Allianz für Cybersicherheit 8

9 Bedrohungsszenario. Exploit. Exploits: Der Einstieg Exploit Server Exploit-Objekte können sich auf jeder Webseite befinden (Flash, JavaScript, Java, PDF, ) Vorgehen: Exploit-Objekt (z.b. ein eingebettetes Objekt) wird von Software mit Schwachstelle geöffnet Exploit fügt ausführbaren Code (Shell-Code) in Speicher der Software ein Über die Ausnutzung einer Schwachstelle geht die Steuerung an den Exploit-Code über TÜV Rheinland i-sec GmbH

10 Bedrohungsszenario. Exploit. Ich habe bereits AntiVirus, Proxy und IDS / IDP im Einsatz. Warum erkennen und blockieren diese Technologien die Angriffe nicht? 2-Komponenten Malware Flash Webseite JavaScript Flash Exploit Exploits werden getarnt und die Komponenten erst auf dem Zielsystem zusammengeführt Analogie: Das Klebstoff-Prinzip mit Harz und Härter Warum? Angreifer wissen um die Sicherheitseinrichtungen und haben zuverlässige Mittel und Wege gefunden diese zu umgehen. Beispiel: JavaScript enthält obfuskierten Flash Exploit JavaScript übergibt die Exploit-Daten an Flash bei der Ausführung im Browser Flash de-obfuskiert den Exploit Code und führt diesen auf dem System aus 10

11 Bedrohungsszenario. Infektionskette. Exploit Server Callback Server Obfuskierte Malware Command & Control Server Exploit detoniert Exploit Callback Malware Download (obfuskiert) Data Leakage (obfuskiert) TÜV Rheinland i-sec GmbH

12 Bedrohungsszenario. Prognose. Prognose Eher selten werden tatsächlich Zero-Day Exploits für die Infektion von Systemen genutzt In den meisten Fällen sind diese auch nicht notwendig Wenn Sicherheitslücken veröffentlich werden ist der Zeitpunkt zwischen Bekanntheit und großflächiger Ausnutzung meist auf wenige Stunden begrenzt Die Infektionen durch Malware oder Ransomware wird ebenfalls zunehmen Polymorphe Binaries sind mittlerweile üblich und nicht die Ausnahme Über 90% der Malware Prüfsummen haben eine TTL von wenigen Stunden! Der kontinuierliche Incident-Response Fall wird zum Daily-Business und nicht zur seltenen Ausnahme! 12

13 Full Managed Incident Response. Agenda Bedrohungsszenario Klassische Post Breach Incident Response Full Managed Incident Response Vorteile von Incident Response as a Service Vorstellung TÜV Rheinland SIRT / CSIRT Optionen zur Detektion On-Premise APT Sensor TÜV Rheinland Hosted APT Sensor 13

14 Post Breach Incident Response. 14

15 Post Breach Incident Response. Post Breach Incident Response Post Breach Incident Response kann notwendig werden wenn Security Incidents nicht kontinuierlich detektiert und verfolgt werden Es wird das Resultat eines oder mehrerer unbemerkter Sicherheitsvorfälle Post Mortem analysiert Während der Analyse bis die Ergebnisse vorliegen und Maßnahmen umgesetzt wurden sind die Unternehmen teilweise offline oder können nicht wertschöpfend arbeiten Post Breach Incident Response verursacht exorbitante Kosten und damit zusätzliche finanzielle Schäden Post Breach Incident Response hilft punktuell, löst ein latentes Problem aber nicht nachhaltig und kontinuierlich! Die Kernfrage: Was passiert danach? 15

16 Post Breach Incident Response.! Wenn Sie ein Angriffsziel sind, sind Sie ein Angriffsziel und werden es auch bleiben! 16

17 Full Managed Incident Response. Agenda Bedrohungsszenario Klassische Post Breach Incident Response Full Managed Incident Response Vorteile von Incident Response as a Service Vorstellung TÜV Rheinland SIRT / CSIRT Optionen zur Detektion On-Premise APT Sensor TÜV Rheinland Hosted APT Sensor 17

18 Full Managed Incident Response. Full Managed Incident Response Full Managed Incident Response adressiert das Problem nachhaltig und kontinuierlich. Analog zum Vorgehen der Angreifer welche ebenfalls kontinuierlich und nachhaltig versuchen Unternehmen und Organisiationen zu infiltrieren Prinzip: CSIRT / CERT / SOC as a Service Vorteile: Es besteht eine permanente Überwachung der IT infrastruktur im Unternehmen Anomalien / Angriffe werden direkt detektiert und behandelt Infiltrationsversuche werden aufgedeckt und nachhaltig verhindert Im Rahmen des Incident Response Prozesses verbessern sich die IT Security relevanten Prozesse in der Kundenorganisation! Ziel: Kontinuierliche, nachhaltige Sicherheit 18

19 Full Managed Incident Response. Bestandteile. Bestandteile Verpflichtend: APT Sensor Systeme Optional: SIEM Vulnerability Scanning GRC / Asset Management Riskomanagement-Systeme Forensik Agent 19

20 Full Managed Incident Response. Agenda Bedrohungsszenario Klassische Post Breach Incident Response Full Managed Incident Response Vorteile von Incident Response as a Service Vorstellung TÜV Rheinland SIRT / CSIRT Optionen zur Detektion On-Premise APT Sensor TÜV Rheinland Hosted APT Sensor 20

21 TÜV Rheinland SIRT / CSIRT. S.I.R.T. = Security Incident Response Team Start: seit Q1/2013 Staffing: Hochqualifizierte Mitarbeiter mit jahrelanger Erfahrung in den Bereichen Netzwerk & Endpoint Security, Kryptographie, Reverse Engineering, Computer Forensik Ziel: Trusted Incident Response Service für Unternehmenskunden Warum TÜV Rheinland S.I.R.T.? Kompromittierungsketten sind heute komplex Die eingesetzten Techniken und (Detail-) Absichten der Angreifer sind unterschiedlich Es gibt derzeit keinen zuverlässigen technischen Automatismus zur Behebung von Security Incidents Das IT Personal in Unternehmen ist i.d.r. nicht ausreichend qualifiziert und es fehlen die Prozesse Das S.I.R.T. agiert für Kunden wie ein externes CSIRT / CERT / SOC im Rahmen von SLA s TÜV Rheinland i-sec GmbH

22 TÜV Rheinland SIRT / CSIRT. Qualifizierung Die vorliegenden Daten und Meldungen werden überprüft und bewertet Handelt es sich hierbei um einen Fehlalarm? Handelt es sich hierbei um einen gezielten Angriff? Welche Datenquellen stehen zu Verfügung? APT-Sensor Firewall / IDS Proxy Client AntiVirus GRC / Asset Informationen Wie kritisch ist das betroffene System aus der Sicht des Business? Wie gestalten sind die Abhängigkeiten zu anderen Systemen? Vergabe der Incident Priorität TÜV Rheinland i-sec GmbH

23 TÜV Rheinland SIRT / CSIRT. Schadensanalyse Korrelation der verfügbaren Datenquellen um das Big Picture zu erhalten Bewertung des Events unter Berücksichtigung der Kundeninfrastruktur wie z.b. Perimeterschutz, Zielsystem, AntiVirus, etc. Mapping gegen das TÜV Rheinland Threat-Intel Ist der Incident bereits bei anderen Kunden aufgetreten Ist der Infektionsvektor im SIRT bekannt? Gibt es bereits eine genauere Analyse Evtl. Anforderung weiterer Daten Einbeziehung weiterer Systeme nach Verfügbarkeit z.b. SIEM, IDP / IDS, Firewall, Proxy, AntiVirus, etc. Evtl. Einbinden eines dedizierten Incident Managers Bewertung der Sachlage Evtl. Anpassen der Priorität Statusmeldung an den Kunden Einleiten der nächsten Schritte TÜV Rheinland i-sec GmbH

24 TÜV Rheinland SIRT / CSIRT. Schadensbekämpfung Ist man in dieser Phase angelangt, liegt ein ernsthafter Sicherheitsvorfall oder ein gezielter Angriff vor. Abstimmung mit dem Incident Manager (wird vom SIRT oder vom Kunden gestellt) Handlungsempfehlung an den Kunden Isolierung der betroffenen Systeme Sperren von Accounts Sammeln und Auswerten weiterer Daten Empfehlungen zur Anpassung der Sicherheitssysteme Erarbeitung eines Workarounds falls nötig Aktive nachhaltige Bekämpfung der Infektion Detektion und Extraktion der Malware Binaries und Indicators of Compromise Überprüfung der Wirksamkeit der umgesetzten Maßnahmen Weitere Abstimmung mit dem Kunden Genaue Überwachung der Kundensysteme TÜV Rheinland i-sec GmbH

25 TÜV Rheinland SIRT / CSIRT. Forensik / Reporting Erstellen einer Zeitleiste der Attacke basierend auf den korrelierten Daten Detaillierte Analyse des Malware-Verhaltens Evtl. Reverse Engineering (primär bei gezieltem Angriff) Schwachstellenanalyse der betroffenen Systeme falls nicht bereits vorhanden Klare Empfehlungen zur präventiven Verhinderung weiterer Angriffe mit analogem Angriffsvektor Anfertigen eines ausführlichen Reports TÜV Rheinland i-sec GmbH

26 TÜV Rheinland SIRT / CSIRT. Monitoring Überwachung der Kundensysteme Überwachung der generellen Bedrohungslage Anfertigen von Health-Reports der Systeme Periodische Speicherung der Auslastung Anpassen und Verwenden der neuen Erkenntnisse TÜV Rheinland i-sec GmbH

27 Cyber Security Maturity. 27

28 Cyber Security Maturity. Compliance Awareness Next Gen Firewalls... Penetration Testing Security Architekturdesign BCM (Risiko, Bedeutung für das Operative Geschäft des Unternehmens) Konzeption APT Sensoren Vulnerability scanning ISMS GRC (Transparenz über Assets und Regulatorien) Log-Management/SIEM/Use-Cases SOC Operations SIRT (Operative Incident Response) Reifegrad Level 1: Reaktiv Level 2: Proaktiv Level 3: Prediktiv CSRP. Was ist Cyber Security.

29 Full Managed Incident Response. Agenda Bedrohungsszenario Klassische Post Breach Incident Response Full Managed Incident Response Vorteile von Incident Response as a Service Vorstellung TÜV Rheinland SIRT / CSIRT Optionen zur Detektion On-Premise APT Sensor TÜV Rheinland Hosted APT Sensor 29

30 Optionen zur Detektion. On-Premise. Internet Proxy APT Korrelation APT Sensor 30

31 Optionen zur Detektion. TÜV Rheinland Hosted. Internet Proxy APT Sensor APT Korrelation 31

32 Optionen zur Detektion. Die nachhaltige Lösung Kontinuierliche Überwachung der Infrastruktur durch Sensor-Systeme Kontinuierliche und schnelle Incident Response durch das TÜV Rheinland S.I.R.T. Kontinuierliche Sicherheit als Flat-Rate Service APT Sensor 32

33 VIELEN DANK FÜR IHRE AUFMERKSAMKEIT! Regelmäßig aktuelle Informationen im Newsletter und unter TÜV Rheinland i-sec GmbH