tiri.soc Threat-Intelligence

Transkript

1 tiri.soc Threat-Intelligence tiri.pot - Honeypot Lösung Stand: Sep 2016 Mit Sicherheit sicher.

2 tiri.soc #>WOZU einen Honeypot? Mit Sicherheit sicher.

3 tiri.pot Frühzeitige Erkennung von gängigen Angriffsmustern, wie Schwachstellenscans (manuelle Scans vs. Auto-Bots). Passwort Brute-Force Versuche (SSH, FTP, VPN, Webportale). gezielte Webserver Angriffe (CMS, CGI-Skripte, XSS, Drive-by-Trojaner). Spear-Phishing Versuche (Office-Makros, Webseitenumleitung, PDF) Verschlüsselung von Fileserver-Dateien (Crypto-Trojaner) Bewertung der eigenen Sicherheitsinfrastruktur haben meine Monitoring-Tools gegriffen? wurden die Angriffe durch den Betrieb erkannt? hat meine Firewall, IDS/IPS, WAF, Antiviren-/Anti-Spam Lösung funktioniert? 3

4 tiri.soc #>WAS tun wir für Sie? Mit Sicherheit sicher.

5 tiri.pot Unsere Sicherheitsexperten stellen ein full-managed Honeypot System zur Verfügung inkl. automatisierten Schwachstellenscanner. übernehmen die zentrale Auswertung über eine gesicherte VPN-Verbindung. helfen bei der Integration in bestehende Logmanagement-Lösungen. passende Integration in IHRE Infrastruktur bauen mit Ihnen gemeinsam eine professionelle In-House Lösung auf. kontaktieren Sie proaktiv bei Auffälligkeiten. helfen bei der Härtung Ihrer Sicherheitsinfrastruktur. helfen Ihnen bei Malware-/Ransomware- Vorfällen. 5

6 tiri.soc #>WARUM tiri.pot als Lösung? Mit Sicherheit sicher.

7 tiri.pot Unsere Honeypot Lösung ist ein gehärtetes Linux System. wird je nach Einsatzzweck individuell aufgebaut (Intern LAN, DMZ/WAN oder ICS/SCADA). arbeitet mit anerkannten Open Source Honeypot Komponenten. wird durch tiri regelmäßig gewartet (Patches, Erweiterungen). wird für jeden Kunden individuell angepasst ( , Webserver, Logging & Alerting). kann in unser IBM QRadar SIEM-Tool integriert werden. kann In-House aufgebaut werden, auf Basis von Elasticsearch & Kibana. professionelle Visualisierungen, Reporting & Alarmierungen besteht aus virtuellen Containern, die jederzeit neu initialisiert werden können. erfordert keine Software- oder sonstige Lizenzgebühren. 7

8 Docker tiri.pot Architektur Kunden SIEM/Logger tiri.soc Threat Intelligence Beats Host-Intrusion Detection Schwachstellen -Scanner OpenVPN Dionaea Malware Capture TCP/21, 42, 135, 443, 445, 1433, 3306, 5060, 5061,8081 UDP/69, 5060 WAN/DMZ Honeytrap Network Services TCP/25, 110, 139, 3389, 4444, 4899, 5900, Glastopf Web Application TCP/80 Fake Elasticsearch Intrusion Detection Suricata ElasticPot TCP/9200 LAN Responder NBT-NS Poisoner TCP/139,389,445 UDP/137,138,389 Cowrie Fake SSHd TCP/22 WAN/DMZ/ICS Conpot Fake ICS TCP/81,102,502 UDP161 emobility Fake Transport TCP/8080 tiri.linux Installer (immer aktuellste Version) Je nach Kundenanforderungen - Aktivierung der Basisinstallation 8

9 Docker tiri.pot Honeypot Installationsablauf Vorbereitung der virtuellen Hostvorlage (VMware, XEN, Hyper-V) -4-8GB RAM, 15GB HDD, 2CPU tiri.linux Installer -Ubuntu Installation from Scratch auf Basis tiri Vorlagen -Download, Konfiguration Basisdienste und Docker s tiri.pot Buildserver: Erstellung Kunden ISO basierend auf Kundenvorgaben tiri.soc (optional) -Starte Docker-s basierend auf Installer-Profil -Aktivierung der OpenVPN Verbindung & Eventlogging an Logserver/SIEM OpenVPN Logweiterleitungen Kunden SIEM 9

10 tiri.soc #>tiri.pot Optionen? Mit Sicherheit sicher.

11 tiri.pot Option #1: full-managed - tiri.pot Services: Zentraler Helpdesk für Security Incident Management Vorfälle (Werktags von 08:00-18:00h) Kunden-Honeypot Monitoring im tiri.soc SIEM tiri.pot Wartung und Aktualisierung Monatlicher Security Honeypot Basis-Report Kosten: Einmalig (Setup & Implementierung): 1.180,00 (max. 4 Honeypot Systeme) Per Honeypot System (monatlich): 250,00 Mehr als 5 tiri.pot Honeypot Systeme? Preise auf Anfrage 11

12 tiri.pot Option #2: in-house managed - tiri.pot Services: Zentraler Helpdesk für Security Incident Management Vorfälle (Werktags von 08:00-18:00h) Kunden-Honeypot Monitoring auf Basis der lokal installierten tiri.pot Komponenten Anpassungen Visualisierungen, Reporting, Alarmierungen & Integration Helpdesk tiri.pot Wartung und Aktualisierung Kosten: Einmalig (Setup & Implementierung): auf Anfrage (je nach Anzahl & Integrationsvorgaben) Per Honeypot System (monatliche Wartung): auf Anfrage (je nach Anzahl) 12

13 tiri.soc Smarte Logdatensammlung & Visualsierung Schwachstellenscans (Netzwerk, Webdienste) Managed Security Operation Center SOC Managed Threat Management SIEM Forensic Honeypot 13

14 tiri.pot Security für den Mittelstand! 14

15 Merci! Vielen Dank! Thank you!