Warum ist Frühwarnung interessant?

Größe: px

Ab Seite anzeigen:

Download "Warum ist Frühwarnung interessant?"

Florian Schräder
vor 8 Jahren
Abrufe

1 Warum ist Frühwarnung interessant? Dr. Klaus-Peter Kossakowski DFN-CERT

2 Wir Menschen sind einfach zu langsam... SAGE (54-65)... linked hundreds of radar stations in the United States and Canada in the first largescale computer communications network. Slide 2 / CarmentiS Frühe Warnung im deutschen Internet

and Canada in the first largescale computer communications

3 IP Spoofing im Frühling 1994 erstes Tool / Anfang 1994 Slide 3 / CarmentiS Frühe Warnung im deutschen Internet

4 Theorie und Praxis... erstes Tool / Anfang 1994 Theorie Slide 4 / CarmentiS Frühe Warnung im deutschen Internet

5 Sinnvolle Definition einer Frühwarnung Definition: Aufgrund eindeutiger Erkenntnisse, die noch möglichst wenige betreffen, sind Informationen zu verteilen, die vielen (noch nicht Betroffenen) helfen, und (insgesamt) Schlimmeres vermeiden! Slide 5 / CarmentiS Frühe Warnung im deutschen Internet

verteilen, die vielen (noch nicht Betroffenen) helfen, und (insgesamt)

6 Ableitung möglicher Bedrohungen Verfügbare Vorwarnindikatoren Neue Schwachstellen Neue Angriffsverfahren Neues Angriffsprogramm Neuer Patch Betonung der menschlichen Analyse Politisch leider nicht wirksam! Slide 6 / CarmentiS Frühe Warnung im deutschen Internet

Neuer Patch Betonung der menschlichen Analyse Politisch leider

7 Konservative Herangehensweise Frühwarnung ist ein Buzzword inflationärer Gebrauch macht die Konzepte aber nicht besser Übertragung von Konzepten aus dem Bereich der Naturkatastrophen passt nicht ganz der menschliche Faktor stellt eine unbekannte Größe dar Wirksamkeit nur in begrenzten Bereichen, bei denen quasi vorausgesetzt wird, dass niemand mehr Viren oder Würmer kontrolliert Slide 7 / CarmentiS Frühe Warnung im deutschen Internet

Faktor stellt eine unbekannte Größe dar Wirksamkeit nur in begrenzten Bereichen, bei denen quasi

8 Warum ist das alles wichtig? Was wollen wir?

9 Zielvorgaben Mehr verfügbare Informationen für: Erstellung und Verbesserung von Lagebildern Trendanalysen, vergleichende Auswertungen Neue Möglichkeiten bei der Analyse von Sicherheitslücken schneller Informationen und Analyseergebnisse bereitstellen auch Informationen über Angriffe nutzen Hypothesen überprüfen Slide 9 / CarmentiS Frühe Warnung im deutschen Internet

Sicherheitslücken schneller Informationen und Analyseergebnisse bereitstellen auch

10 Zielvorgaben (2) Möglichst frühe Erkennung von Angriffe Warnung der jeweiligen Zielgruppen Koordinierung der Unterstützung der Betroffenen innerhalb der jeweiligen Zielgruppe Initiierung geeigneter Gegenmaßnahmen Automatisierung der Incident Response Zuordnung von aufgezeichneten Angriffen Information der Verantwortlichen Slide 10 / CarmentiS Frühe Warnung im deutschen Internet

Initiierung geeigneter Gegenmaßnahmen Automatisierung der Incident Response Zuordnung von

11 Alarmierung ist CERT-Sache Der Kontakt zu der Zielgruppe besteht bereits, ein Übersteuern ist irritierend, Die Kommunikationsinfrastruktur ist bereits vorhanden und aufgebaut, Die Anforderungen und spezifischen Bedürfnisse der Zielgruppe sind in den jeweiligen CERTs bereits bestens bekannt. Hoffentlich sehen das andere auch so :) Slide 11 / CarmentiS Frühe Warnung im deutschen Internet

Anforderungen und spezifischen Bedürfnisse der Zielgruppe sind in den jeweiligen CERTs bereits

12 Prinzipien für eine sinnvolle Frühwarnung Nutzung der dezentralen CERTs und CERT- Infrastrukturen Datensammlung Ansprache der Zielgruppen Entscheidung für Zielgruppen Wissen über Angriffstechniken und Schwachstellen Keine doppelte Versorgung! Keine Zentralisierung der Funktion! Slide 12 / CarmentiS Frühe Warnung im deutschen Internet

Zielgruppen Wissen über Angriffstechniken und Schwachstellen Keine doppelte

13 Prinzipien (2) Keine eng-gekoppelten Infrastrukturen Automatisierung weitestgehend für Datensammlung Vorauswertung Interne Alarmierungssysteme der Teams Externe Alarmierung muss vorbereitet sein Aber immer menschliche Kontrolle Abgestimmt auf die Zielgruppe Wer einmal lügt, dem glaubt man nicht! Slide 13 / CarmentiS Frühe Warnung im deutschen Internet

muss vorbereitet sein Aber immer menschliche Kontrolle Abgestimmt auf die Zielgruppe Wer

14 Die Gretchen-Frage Woher kommen die Daten?

15 Verschiedene Arten der Überwachung Anwendungen Signaturbasierte Angriffserkennung Policybasierte Angriffserkennung Statistische Angriffserkennung bei Nutzung Netzwerk-Verbindungen Signaturbasierte Angriffserkennung Policybasierte Angriffserkennung Statistische Angriffserkennung Slide 15 / CarmentiS Frühe Warnung im deutschen Internet

Netzwerk-Verbindungen Signaturbasierte Angriffserkennung Policybasierte

16 Verschiedene Arten der Überwachung (2) Infrastruktur Routing Network Management Backbone-Verbindungen Sondersysteme Honey-Pots Schwarze Netze Slide 16 / CarmentiS Frühe Warnung im deutschen Internet

17 Technische Einschätzung Überwachung von Anwendungen Schlechte Skalierung Nur Angriffe auf unterstützte Anwendungen Vorliegende Informationen sind aufzubereiten Sehr genaue Informationen Netzwerk-Verbindungen Ausreichende Informationen Auch Angriffe auf nicht unterstützte Anwendungen (initiale Pakete) Vorliegende Informationen sind aufzubereiten Gute Skalierung Slide 17 / CarmentiS Frühe Warnung im deutschen Internet

Ausreichende Informationen Auch Angriffe auf nicht unterstützte Anwendungen (initiale Pakete)

18 Technische Einschätzung (2) Infrastruktur Ausreichende Informationen Vorliegende Informationen sind aufzubereiten Gute Skalierung Auch Angriffe auf Netzwerke als solches Sondersysteme Schlechte Skalierung Aufwände für nicht operative Systeme Sehr genaue Informationen Auch Angriffe auf nicht unterstützte Anwendungen Slide 18 / CarmentiS Frühe Warnung im deutschen Internet

Sondersysteme Schlechte Skalierung Aufwände für nicht operative Systeme Sehr genaue

19 Beispiel A Quell IP-Adressen: 135/tcp, 137/udp, 445/tcp Slide 19 / data/highportnos-all-08-all.png CarmentiS Frühe Warnung im deutschen Internet

20 Beispiel A Quell IP-Adressen: 135/tcp, 137/udp, 445/tcp No ICMP Packets ICMP Packets Slide 20 / Data{-icmp,-no-icmp}/highportnos-all-08-all.png CarmentiS Frühe Warnung im deutschen Internet

21 Bewertung Keine Unterstützung von Anwendungsspezifischen Ansätzen Schlechte Skalierung Vielfältige Eingriffe in operative Anwendungen Detaillierte Einsichten in unternehmensspezifische Daten Integration der übrigen Ansätze Slide 21 / CarmentiS Frühe Warnung im deutschen Internet

22 Wie können Sie uns helfen? Betreiben Sie einen Sensor!

23 Möglichkeiten der Kooperation Wir suchen Freiwillige... Übermittlung von Angriffsdaten Pseudonymisierung interner Adressen Verwendung von abgestimmten Verfahren Betrieb von speziellen Sensoren Keine operative Nutzung Keine High-Interactive Honeypots Abschottung dennoch empfohlen Noch keine Dienstleistung! Aber wer weiss :) Slide 23 / CarmentiS Frühe Warnung im deutschen Internet

24 Thus, what enables the wise sovereign and the good general to strike and conquer, and achieve things beyond the reach of ordinary men, is foreknowledge. Sun Tzu Danke!

25 Ansprechpartner Dr. Klaus-Peter Kossakowski WWW: Mobil: (+49) 0171 / Slide 25 / CarmentiS Frühe Warnung im deutschen Internet

Ähnliche Dokumente

Stand der CERT-Dienste im D-Grid. Security Workshop Göttingen 27.-28. März 2007

Stand der CERT-Dienste im D-Grid Security Workshop Göttingen 27.-28. März 2007 Aufgaben des Grid-CERT Praktische Hilfe (Beratung) und Unterstützung bei Angriffen (Reaktion) Verhinderung von Angriffen und