Einfache und zuverlässige Erkennung von Angriffen mit der honeybox

Größe: px

Ab Seite anzeigen:

Download "Einfache und zuverlässige Erkennung von Angriffen mit der honeybox"

Gitta Salzmann
vor 6 Jahren
Abrufe

1 Einfache und zuverlässige Erkennung von Angriffen mit der honeybox in Office- und Industrieumgebungen secxtreme GmbH Christian M. Scheucher Kiefernstraße 38, D Brunnthal-Hofolding Tel: +49 (0) Fax: +49 (0)

2 Unsere Leistungen Penetrationstests und Security-Audits auf Netzwerk- und Anwendungsebene Angriffe erkennen und darauf reagieren Angriffserkennung mit Honeypots, IPS und (Net-)Flow Log-Management und SIEM Verfolgung und Analyse von Angriffen (Incident Response, CERT und Forensik) Linux-Entwicklungen im Security-Umfeld

3 Was ist ein Honeypot? Honeypot A honeypot is a system who's value is being probed, attacked or compromised, you want the bad guys to interact with your honeypot aus The Honeynet Project FAQ

4 Angriffe mit Honeypots erkennen: Wie es funktioniert 1. Footprinting 2. Scanning (ARP, ICMP, Ports, Betriebssysteme) 3. Enumeration (Connects, User, Software) 4. Gaining Access 5. Escalating Privilege 6. Pilfering (Vertrauensbeziehungen, Passwörter) 7. Backdoors 8. Spuren verwischen 9. Denial of Service honeybox

5 Anwendungs-Szenarien Erkennung von manuellen Angriffen Erkennung von automatisierten Angriffen Erkennung, Dokumentation (und Verlangsamung) von Wurmausbrüchen Erkennung von Wurmfreiheit

6 honeybox Hardware-Appliance Stellt virtuelle Honeypots zur Verfügung 4 Modelle Je nach Modell Honeypots möglich Schnelle Inbetriebnahme Zuverlässige Erkennung

7 Ausgezeichnete Sicherheit Bayerischer Sicherheitspreis 2009 Innovationspreis Mittelstand 2009 Top 20 Kategorie IT-Security 2010 Bestenliste IT-Sicherheit 2011 Bestenliste IT-Sicherheit 2013 Bestenliste IT-Sicherheit

8 Was können Sie mit den honeybox -Appliances erreichen? Angriffe einfach und zuverlässig erkennen Endlich das interne Netzwerk flächendeckend überwachen Gegnerische Kräfte binden Angreifer von produktiven Systemen auf Honeypots ziehen Und damit mehr Zeit für Gegenmaßnahmen gewinnen

9 Positionierung im Netzwerk Im LAN, idealerweise in der Fläche in möglichst vielen Subnetzen In besonders sensiblen Netzsegmenten In DMZs

10 Honeypots im LAN

11 Funktionsweise Prinzip Rauchmelder Emulation einer großen Anzahl von Systemen Gleiche Betriebssysteme, nur schlechterer Patchstand oder ältere Versionen Für den Angreifer interessante Systeme

12 Alternativen zur honeybox? Man nehme eine Lösung, die man bisher kennt, baut Räder darunter und überträgt ihr eine Aufgabe, für die sie nicht gemacht wurde P.S.: Das Auto, das die Lösung ziehen muss, ist nicht auf dem Bild.

13 Warum Sie mit der honeybox Geld sparen können Die Honeypots müssen nicht mit der Bandbreite der Netze, die sie überwachen, skalieren Sie sind deutlich günstiger als IDS/IPS Systeme Auf einer Appliance lassen sich je nach Modell mehrere zehntausend virtuelle Honeypots emulieren, daher ist kein eigenes System je Honeypot notwendig Wo bisher IDS Systeme im Einsatz waren, kann deren Erkennungspotential u. U. auf Honeypots verlagert werden

14 Warum Sie mit der honeybox Zeit sparen können Der Rollout ist sehr einfach, es sind keine Infrastrukturänderungen im Netzwerk notwendig Die Konfiguration ist schnell und einfach (kein langwieriges Tuning von Regeln) Es gibt sehr wenig Fehlalarme Sie benötigen wenig Betriebsaufwand

15 Wer setzt die honeybox ein? Unternehmen und Organisationen mit überdurchschnittlichen Sicherheitsanforderungen (z. B. Behörden, Rüstung) Betreiber kritischer Infrastrukturen (z. B. Energieversorger) Anlagenbauer RZ-Dienstleister

16 Warum Sie die honeybox einsetzen sollten Sie haben die Grenzen von IPS und Virenschutz erkannt Sie wollen zusätzlich zu Systemen am Perimeter eine flächendeckende Überwachung Bisher im Einsatz befindliche Systeme erzeugen eine Meldungsflut, die für Sie nicht mehr für die Erkennung von Angriffen beherrschbar ist Sie wollen die Investitions- und Betriebskosten von IT- Sicherheit reduzieren Sie wollen wenige, aber dafür verlässliche Meldungen

Scheucher Kiefernstraße 38, D-85649 Brunnthal OT Hofolding Tel: +49

17 Vielen Dank für Ihre Aufmerksamkeit Wir freuen uns auf Ihren Besuch am Stand secxtreme GmbH Christian M. Scheucher Kiefernstraße 38, D Brunnthal OT Hofolding Tel: +49 (0) Fax: +49 (0)

Ähnliche Dokumente

Stuxnet zum Frühstück Industrielle Netzwerksicherheit 2.0 Stuttgart und München

Stuxnet zum Frühstück Industrielle Netzwerksicherheit 2.0 Stuttgart und München Angriffe und Schadsoftware zuverlässig erkennen Christian Scheucher secxtreme GmbH Kiefernstraße 38, D-85649 Brunnthal-Hofolding