Sicherung unternehmenskritischer Werte mit Intrusion Prevention der nächsten Generation

Transkript

1 Sicherung unternehmenskritischer Werte mit Intrusion Prevention der nächsten Generation Volker Marschner CISSP, Security Consultant Sourcefire GmbH, now part of Cisco

2 Alle waren wurden smart sicher gehackt

3 Warum ist das so? Brute Force Heimtücke Social Engineering

4 Klassifizierung Störende Angriffe Spionage Organisierte Kriminalität Hacktivists Motiv Beeinträchtigungen, Störungen Wirtschaftliche Vorteile Finanzieller Vorteil Diffamierung, öffentlicher Grundsatz Beispiel Botnets, Spam APT s Kreditkarten-Klau Anonymous, LulzSec Charakt eristik Weder gezielt noch persistent Gezielt, Persistent Gezielt, Persistent Gezielt Ziele Jeder Alle Industriezweige Finanzinstitute, Clearing Gesellschaften, Retail Jedes Unternehmen

5 Die Industrialisierung des Hackings? APT S MALWARE VIRUSES MACRO VIRUSES WORMS HACKERS SPYWARE ROOTKIT ANGREIFER & VERTEIDIGER TREIBEN EINANDER ZUR INNOVATION

6 Bedrohungslage heute - Exploit Kits EXPLOIT KITS Blackhole V2 CrimeBoss Cool RedKit Phoenix BlackHole V1 Sweet Orange CritX Styx KaiXin 1% 2% 3% 3% 5% 7% 36% 10% 12% 20% DATA PROVIDED BY

7 BlackHole (v2)

8 Vorgehensweisen von Angreifern

9 1) Kartographierung Lautlose Erkennung der Endpoints Server Bertiebssysteme Datenbanken Applikationen Netzwerk Geräten Sicherheitssoftware

10 2) Entwicklung Massgeschneiderte Malware Gezielt Einzigartig Kontext-Bewusst Evasive

11 3) Qualitätscheck Abgleich mit dem Ziel Tarnung sichern Validierung der Hacks Spuren löschen

12 4) Ausführung Datenbanken durchsuchen Logins erfassen Informationen sammeln Abwehr-Mechanismen ausweichen

13 Gezielte Malware Entwicklung Tool Auswahl EXE Erstellung Binder Crypter Test /QA Deployment

14 Malware: Die Spitze des Eisbergs C&C Click

15 Gefährdungs-Indikatoren (IOC) Drive-by-Download Erkennung Abgehende Verbindung an Blacklist-Site Selbstständiger Download von In-Memory Prozessen Ungewöhnliche Zugriffe auf DMZ Ressourcen Visibilität und Kontext DMZ abgehende Verbindungen Grosse Archiv-Dateien auf dem Fileserver, welche nach aussen transportiert werden Finding a way in

16 Lösungsansätze

17 Es gibt keine Silver Bullet! AC NAC Fix the Firewall FW/VPN IDS/IPS, UTM PKI AV It matches the pattern Block or Allow Self defending network No false positives, no false negatives No key, no access

18 Eine Angriffs-orientierte Herangehensweise BEFORE DURING AFTER REGELWERK & KONTROLLEN ERFASSEN IMPLEMENTIEREN HÄRTEN IDENTIFIZIERUNG & BLOCKIEREN ERKENNEN VERHINDERN ANALYSE & ABHILFE EINGRENZEN EINDÄMMEN BESEITIGEN ATTACK-KONTINUUM

19 BEFORE - Präventive Sicherheit Erfassen des gesamten Netzwerkes und aller Endpoints Umgebung härten Regelwerk implementieren zum Reduzieren der Angriffsfläche Threats# Devices# Applica3ons# Network# Vulnerabili3es# OS# Users# Files#

20 DURING - Intelligente Sicherheit Erkennen & Verhindern Automatisierte Korrelation & Tuning Im Netzwerk & am Endpoint

21 AFTER - Retrospektive Sicherheit 100% Sicherheit existiert nicht Über den Event Horizon hinaus analysieren Alle Dateien verfolgen Ausdehnung ermitteln, eindämmen, beseitigen

22 Trusted seit über10 Jahren Security vom Netzwerk bis zum Endpunkt Schützt Organisationen in über 180 Ländern mehr als 52 Patenet erhalten bzw. pending Forschung auf Weltklasseniveau Open source Projekte IPS MQ Leader America s Fastest-Growing Tech Companies 2012

23 Cisco Security Products Mapped to New Security Model A T T A C K C O N T I N U U M Firewall NGFW NAC + Identity Services VPN UTM NGIPS Web Security Security Advanced Malware Protection Network Behavior Analysis

24 Fazit

25 Angreifer werden durchkommen Es ist nur eine Frage der Zeit

26 Deshalb: Beginnen Sie zu denken wie ein Angreifer! Bedrohungs-Zentrisch

27 Verstehen des Attack- Kontinuums Vor, Während & Nach

28 Information-Superiority Lassen Sie nicht zu, dass Angreifer Ihr Netzwerk besser kennen als Sie selbst!

29 Agiler Ansatz Sehen, Lernen, Anpassen, Agieren

30 Vielen Dank!