Erkennen und Abwehren von Cyberattacken und dynamischen Angriffen mit IBM QRadar

Transkript

1 Erkennen und Abwehren von Cyberattacken und dynamischen Angriffen mit IBM QRadar Prevent. Detect. Respond. Arnold Erbslöh Senior IT Consultant 4. November 2014

2 Reale Bedrohung Es ist keine Frage ob, sondern vielmehr wann und mit welcher Energie ein Unternehmen angegriffen wird. Reinhard Vesper, Abteilung Spionageabwehr, Verfassungsschutz NRW 2014 IBM Corporation 2

3 Industrie 4.0 Die IT-Sicherheit hat eine strategische Bedeutung für die vierte Industrielle Revolution Prof. Dr. Johanna Wanka, Bundesministerin für Forschung und Bildung, Interview WiWo Nr. 23, IBM Corporation 3

4 Gezielte Angriffe Betriebliche Raffinesse IBM X-Force erklärte das Jahr der Sicherheitsvorfälle Täglicher Verlust von sensiblen Daten 40% Steigerung in aufgezeichneten Sicherheitsvorfällen Verwendung vielfältiger Methoden Datensätze sind verloren gegangen. Die Zukunft zeigt keine Veränderung 2014 IBM Corporation 4

5 Klassische Schutzmechanismen 2014 IBM Corporation 5

6 Das Post-AV Zeitalter :32 Symantec erklärt Antivirus-Software für tot Symantec verdient zwar noch 40 Prozent seines Geldes mit Norton Antivirus, will sich in Zukunft aber eher auf Schadensbegrenzung konzentrieren. Es sei ohnehin nicht zu verhindern, dass Hacker den Weg ins System finden IBM Corporation 6

7 Kunden sind oftmals ahnungslos 63% der Betroffenen von Angriffen wurden von externen Organsiationen auf einen Einbruch in das Netzwerk aufmerksam gemacht. Anzahl an Tagen, die ein Angreifer im Netzwerk seines Opfers verbringt, bis der Angreifer erkannt wurde IBM Corporation 7

8 Kosten von Datenverlusten steigen Key take-away: The cost of a data breach is on the rise and affecting customer retention. From the 2014 Ponemon Institute Cost of Data Breach Study: United States, sponsored by IBM, available at IBM Corporation 8

9 Statische Verteidigung 2014 IBM Corporation 9

10 Dynamische Angriffe 2014 IBM Corporation 10

11 Dynamische Gefahren Nationale Sicherheit Nation-state actors Stuxnet Spionage, Aktivismus Monetären Nutzen Wettbewerber und Hacktivisten Aurora Organisiertes Verbrechen Zeus Rache, Neugierde Insider und Script-kiddies I love you 2014 IBM Corporation 11

12 Dynamischer Angriff Nutzt unbekannte ( Zero-Day ) Schwachstellen aus Angriffe dauern Monate oder Jahre (durchschnittlich: 1 Jahr) Visiert spezielle Personen oder Gruppen einer Organisation an 2014 IBM Corporation 12

13 Mangelndes Sicherheitsbewusstsein Pressefoto mit Luiz Cravo Dorea, dem Verantwortlichen des WM-Sicherheitszentrums der FIFA 2014 IBM Corporation 13

14 5-Phasen Angriffskette 1 Zugang verschaffen Spear Phishing und Remote-Exploits um Zugriff zu erlangen 2 Command & Control (CnC) Festsetzen Schadsoftware und Hintertüren werden installiert 3 Sichten Ausspähung und Ausbreitung um Präsenz zu erhöhen 4 Sammeln Beschaffung und Aggregation von wertvollen Daten 5 Command & Control (CnC) Herausbefördern Datenübertragung nach Extern und Spuren verwischen 2014 IBM Corporation 14

15 Die Frage im Falle des Falles Können Sie die Angriffskette ( Kill-Chain ) unterbrechen? 2014 IBM Corporation 15

16 Die Welt ist unser Security Labor Forscher, Entwickler und Sicherheitsexperten arbeiten weltweit in der IBM im Bereich Security 2014 IBM Corporation 16

17 Die Welt ist unser Security Labor Verteilte Teams der IBM überwachen und analysieren die neusten Sicherheitsvorfälle weltweit 13 Mrd.+ Ereignisse pro Tag 133 überwachte Länder (MSS) 1,000+ Security relevante Patente 19 Mrd. Analysierte Webseiten u. Bilder 40 Mio. Spam & Phishing Attacken 64 K dokumentierte Schwachstellen IBM X-Force 2014 IBM Corporation 17

18 IBM Threat Protection System Ein dynamisches, integriertes System um fortschrittliche Angriffe zu unterbrechen und vor Datendiebstahl zu schützen Prevent. Detect. Respond. Detect Prevent Respond Threat Intelligence Network Dynamischer Schutz & Analytische Platform Security Partner Ecosystem Die Roadmap von Morgen Bedeutende Investitionen in 10 Entwicklungslabore um Schutz vor fortschrittlichen Bedrohungen zu liefern Einzigartige Integration Strategischer Fokus auf der Integration und der intelligenten Verbindung der IBM Security Produkte Neue Partnerschaften Industrieübergreifender Koordination zur Produktzusammenführung 2014 IBM Corporation 18

19 Detect. Priorisieren und Prognostizieren von Sicherheitslücken bevor die Gegner eindringen IBM QRadar Security Intelligence Platform Erkennen von Aktivitäten und anormalem Verhalten abgesehen vom normalen Verhalten Vor dem Angriff Echtzeit Analyse IBM Security QRadar Vulnerability Manager IBM Security QRadar SIEM Detect 2014 IBM Corporation 19

20 IBM Security Systems Intelligence: Embedded intelligence to find true offenses Extensive Data Sources Suspected Incidents Security devices Servers and mainframes Network and virtual activity Data activity Application activity Configuration information Vulnerabilities and threats Embedded Intelligence Automated data collection, asset discovery and profiling Automated, real-time, and integrated analytics Massive data reduction Activity baselining and anomaly detection Out-of-the box rules and templates True Offenses Automated Offense Identification Users and identities Global threat intelligence IBM Corporation

21 QRadar Incident Forensics Incident Forensics Funktionalitäten Technologie einer Google-like Suche Erzeugt einen Eindruck von zusammenhängenden Daten Erfasst die gesamten Paketinhalte aus dem Netzwerk und fügt diese Daten in das SIEM System Vorteil Reduziert die Zeit der Untersuchung von Sicherheitsvorfällen um Tage und Stunden Bestimmt die Grundursache von Einbrüchen Kann Diebstahl oder Löschen von sensiblen Daten widerlegen 2014 IBM Corporation 21

22 Sind noch Fragen?