Ransomware I don t care! Endpoints wirksam schützen

Transkript

1 Ransomware I don t care! Endpoints wirksam schützen Der sichere Weg ins Internet Dr. Norbert Schirmer, VP Endpoint Security Tel norbert.schirmer@sirrix.com

2 Rohde & Schwarz Unabhängiger Konzern im Familienbesitz Gegründet 1933 in München Globale Präsenz in über 70 Ländern Umsatz EUR 1.83 Milliarden (FY 14/15) 90 % Exportanteil 9900 Mitarbeiter weltweit davon ca in Deutschland

3 Rohde & Schwarz Cybersecurity Zugelassene und mehrfach ausgezeichnete Sicherheitslösungen Über 20 Jahre Erfahrung in IT Sicherheit 7 Kompetenzcenter in Deutschland Etwa 400 Mitarbeiter Auf dynamischem Wachstumskurs Ein Zusammenschluss von 4 deutschen Sicherheitsunternehmen Berlin

4 Bedrohungen I Cyber-Crime Rückgang bei Bankraub um 80% seit 1995 Cyber-Crime wird zu einem attraktivem Business-Modell: Bereits 2013 schätzte das BKA die Dimension in der Größenordnung des Drogenhandels Entwicklung eines kollaborativen Eco- Systems Collateral Cyber- Damage Cyber- Crime Advanced Persistent Threats (APT) Professionalisierung mit erheblichen Ressourcen, Finanzmitteln und technischer Expertise

5 Bedrohungen II - Wirtschafts-/ Industriespionage NSA: Kein Anti-Spy Abkommen Auch US-Marktführer beteiligt (RSA, ) NSA kauft weiterhin Zero-Day Exploits Andere Dienste sind ebenfalls aktiv Collateral Cyber- Damage Cyber- Crime Advanced Persistent Threats (APT)

6 Bedrohungen III - Kollateralschäden Ein DAX-Konzern desinfiziert Rechner pro Monat und setzt sie neu auf 75% der Malware-Infektionen erfolgen über Browser/ Internet- Zugriff, nur 14 % über 2,5 % der deutschen Webseiten sind mit Malware infiziert (USA 1%, Japan 0,5%) Collateral Cyber- Damage Cyber- Crime Advanced Persistent Threats (APT)

7 Herausforderung - Zero-Day Schwachstellen Systematische Entwicklung und Nutzung von Schwachstellen in bekannten Anwendungen: Lukrativer Schwarzmarkt Staaten schaffen zunehmend eigene Kapazitäten Natur der Zero-Day Schwachstellen: sie können selbst von aktuellen Antivirus-Scannern und Firewalls nicht erkannt werden

8 Eingeständnis der bisherigen Marktführer Anti-Virus is dead Brian Dye, Symantec's senior vice president for information security

9 Paradigmenwechsel zu proaktiven Systemen Reaktive Ansätze: Airbag-Methode : Wenn es passiert, soll es weniger weh tun Proaktive IT-Sicherheit: ESP-Strategie : Verhindern, dass man überhaupt ins Schleudern kommt

10 Browser-Unsicherheit

11 Risiko Internetzugriff Windows Standard-PC Internetzugriff über Proxy mit AV-Scanner und Content-Filter DMZ-Technik kann Schadcode nur noch teilweise erkennen und nicht sicher aufhalten.

12 Risiko Internetzugriff 1. Infektion des Desktop/Notebook Die Folgen: 1. Dauerhafte Einnistung der Trojaner 2. Absaugen von Daten 3. Einschränkung des IT-Betriebs 4. Neues Aufsetzen der Systeme erforderlich 2. Infektion des gesamten Netzwerkes/ Intranet

13 Surfen im Internet - Geht das auch sicher? Browser-in-the-Box Der neue Ansatz für sicheres Surfen

14 Zwei-Browser Strategie mit Browser in the Box INTRANET- BROWSER Produktbezogene Daten Produktentwicklungsunterlagen Strategische Konzepte Browserbasierte in-house Anwendungen s BROWSER IN THE BOX Recherchen, Nachrichten...

15 Browser-in-the-Box: Isolation auf Netzwerkebene Rechnerebene Anwenderkonto ANWENDUNG ANWENDUNG BitBox Konto VirtualBox GEHÄRTETES SE- LINUX WEB- BROWSER Windows BitBox Services VirtualBox GEHÄRTETES SE-LINUX IPse c DMZ Intranet

16 Bedrohung Phishing Mail 1. mit Link auf Phishing Webseite 2. Social Engineering verleitet den Benutzer auf den Link zu klicken 3. Browser öffnet den Link auf eine infizierte Webseite 4. Infizierte Webseite nutzt Sicherheitslücke in Browser / Plugin / Betriebssystem aus und lädt Schadsoftware auf den Rechner 5. Schadsoftware richtet direkt schaden an oder stiehlt Daten Browser in the Box verhindert Schritte 4 und 5. Link wird in Browser in the Box geöffnet. Schadsoftware gerät nur in die Browser-VM nicht auf den Rechner Schadwirkung verpufft, es können keine Daten abfließen Neustart von Browser in the Box reinigt Browser-VM durch zurücksetzen 16

17 Bedrohung Verschlüsselungstrojaner - Infizierter Office Anhang in 1. mit infizierter Word-Datei im Anhang, z.b. Locky 2. Anhang wird vom Benutzer geöffnet 3. Word warnt dass Makros in der Datei sind (Makros sind standardmäßig deaktiviert für Dateien aus dem Internet) 4. Social Engineering in Datei verleitet den Benutzer Makros zu aktivieren 5. Makro lädt eigentlichen Trojaner aus dem Internet nach 6. Trojaner wird aktiv und verschlüsselt die Platte Browser in the Box verhindert Schritte 5 und 6 Der Rechner wird nicht infiziert Schadsoftware kann nicht nach Hause telefonieren Makro kann Trojaner nicht nachladen, da dieser nicht über das Webgateway ins Internet kommt. Trennung Internet / Intranet 17

18 BitBox for Terminal Servers and ThinClients? Useraccount Application Application BitBox Account VirtualBox Hardened SE-LINUX WEB- BROWSER Nested Virtualisation BitBox Services Windows Server Virtualisation z.b. VMWare

19 Browser in the Box TS - für virtuelle Infrastrukturen

20 Sicheres Surfen im Internet Trennung von Intranet und Internet Nachhaltiger Schutz gegen ZeroDay Exploits und Advanced persistant threats Einfacher RollOut Zentrales Management Schutz vor Datendiebstahl Erhöhung der Betriebssicherheit Download Testversion unter:

21 Vielen Dank Mehr Informationen auf unserem Stand:

22 Vielen Dank Dr. Norbert Schirmer Tel