Neues aus dem DFN-CERT. 65. DFN-Betriebstagung - Forum Sicherheit 28. September 2016 Christine Kahl

Größe: px

Ab Seite anzeigen:

Download "Neues aus dem DFN-CERT. 65. DFN-Betriebstagung - Forum Sicherheit 28. September 2016 Christine Kahl"

Martin Stieber
vor 6 Jahren
Abrufe

1 Neues aus dem DFN-CERT 65. DFN-Betriebstagung - Forum Sicherheit 28. September 2016 Christine Kahl

2 Agenda Neues aus dem DFN-CERT Advisories Schwachstellen 65. DFN Betriebstagung Vorfälle Verbünde & Re-Zertifizierung 65. DFN-Betriebstagung, 28. September 2016 / Christine Kahl Folie 2

3 Advisories 65. DFN-Betriebstagung, 28. September 2016 / Christine Kahl Folie 3

Aktuelle Advisory Zahlen 4000 Gesamtzahl ADVs 3500 3000 2500 2000 1500 Neu ADVs

Update:1296) 1000 500 0 2013 2014 2015 2016 (Jan-Aug) Anstieg: 2013 2014: 26,6% 2014

4 Aktuelle Advisory Zahlen 4000 Gesamtzahl ADVs Neu ADVs Updates Insgesamt 2013 = = = (Jan-Aug) = 2593 (neu: 1297, Update:1296) (Jan-Aug) Anstieg: : 26,6% : 27,0% : < 10% 65. DFN-Betriebstagung, 28. September 2016 / Christine Kahl Folie 4

ADVs nach Schweregrad Jan Aug 2015 und 2016 im Vergleich 1200 1000 800 600 400 very low low medium high very high very high: Anzahl verdoppelt im

5 ADVs nach Schweregrad Jan Aug 2015 und 2016 im Vergleich very low low medium high very high very high: Anzahl verdoppelt im Vergleichszeitraum low high Jan - Aug 2015 Jan - Aug 2016 Verschiebung des Schwerpunktes 65. DFN-Betriebstagung, 28. September 2016 / Christine Kahl Folie 5

6 Neu Fortinet Produkte (seit April) Abonnement: Netzwerk Primäre Unterstützung für FortiGate und FortiOS Die FortiGate-Firewall ist eine integrierte Netzwerksicherheitslösung, die eine Firewall, Unified Threat Management und verschiedene Next- Generation-Firewall-Technologien wie VPN, Anwendungskontrolle, Anti-Malware, Intrusion Prevention... beinhaltet. Damit hängen eng zusammen: FortiClient Endpunktsicherheit FortiManager Kontrolle der Sicherheitsrichtlinien, Sicherheitsupdates FortiAnalyser Logging, Reporting und Analysieren von FortiGate- Geräten 65. DFN-Betriebstagung, 28. September 2016 / Christine Kahl Folie 6

7 Neu Anwendung (seit August) Abonnement: Unix, Windows AIX, Linux, Solaris, IBM WebSphere Application Server (WAS) Der IBM WAS ist ein Software-Framework und eine Middleware, die dazu dient, auf Java basierende Webanwendungen zu hosten. IBM WAS wurde unter Verwendung offener Standards wie Java EE und XML entwickelt. Nur die 'Core'-Version wird unterstützt. Für Produkte wie den WebSphere Application Server for Bluemix (Bluemix ist eine Cloud-Plattform) erstellen wir keine Advisories. 65. DFN-Betriebstagung, 28. September 2016 / Christine Kahl Folie 7

8 ADVs allgemein Distributionen werden vollständig unterstützt, aber: Keine Spiele Keine absoluten Spezialanwendungen z.b. Navigationsanwendung für Piloten Sicherheitshinweise erstellen wir nur, wenn es sich wirklich (erkennbar) um Sicherheitsupdates handelt Manchmal werden Updates als 'Security' klassifiziert, es lässt sich aber nicht erkennen, dass mit dem Update wirklich Schwachstellen behoben wurden. Mittels Bug Fix Releases oder Feature Enhancements werden zuweilen Schwachstellen adressiert. 65. DFN-Betriebstagung, 28. September 2016 / Christine Kahl Folie 8

9 Schwachstellen 65. DFN-Betriebstagung, 28. September 2016 / Christine Kahl Folie 9

10 Schwachstellen Jan bis Aug 2016 Neu erstellt: 5398 Genutzt 2015 gesamt: 7962 Genutzt 2016: 7351 Neu erstellt und genutzt: Neu erstellt Genutzt Neu erstellt und genutzt Januar Februar März April Mai Juni Juli August 65. DFN-Betriebstagung, 28. September 2016 / Christine Kahl Folie 10

1400 1200 1000 800 600 ADVs Genutzte Schwachstellen Neu erstellte, genutzte

11 Vergleich: ADVs und Schwachstellen 2015: ca. 2,2 CVEs pro ADV. 2016: ca. 2,8 CVEs pro ADV ADVs Genutzte Schwachstellen Neu erstellte, genutzte Schwachstellen Januar Februar März April Mai Juni Juli August 65. DFN-Betriebstagung, 28. September 2016 / Christine Kahl Folie 11

12 Spezielle Schwachstellen - httpoxy CVE (PHP, Skriptsprache), CVE (Go, kompilierbare Programmiersprache), CVE (Apache HTTP-Server), CVE (Apache Tomcat), CVE (lighttpd Webserver), CVE , CVE (nicht spez. nach NVD), CVE (Apache HTTP-Server, mod_fcgi) Eigentlich keine Schwachstelle, Verhalten konform zu RFC 3875 Sektion (The Common Gateway Interface, CGI). Durch einen präparierten Proxy-Header in einem HTTP- Request kann der ausgehenden HTTP-Verkehr einer Anwendung auf einen beliebigen, schädlichen Proxy- Server umgeleitet werden. 65. DFN-Betriebstagung, 28. September 2016 / Christine Kahl Folie 12

13 Vorfälle 65. DFN-Betriebstagung, 28. September 2016 / Christine Kahl Folie 13

35000 30000 AW-Events total 25000 20000 15000 10000 5000 0 Jul Aug Sept Okt Nov Dez Jan

14 AW-Dienst, Gesamtzahl der Events Anzahl Meldungen: seit Juli rückläufig Verschiebung: bisher Bot bei 90%, im August Bot und Konfig-Probleme fast gleich gewichtet AW-Events total Jul Aug Sept Okt Nov Dez Jan Feb Mar Apr Mai Jun Jul Aug 65. DFN-Betriebstagung, 28. September 2016 / Christine Kahl Folie 14

15 Kleine Erfolgsgeschichte DDoS-Reflektor-Angriffe, die auf Multicast DNS (mdns) Anfragen beruhen 65. DFN-Betriebstagung, 28. September 2016 / Christine Kahl Folie 15

16 Verbünde & Re-Zertifizierung 65. DFN-Betriebstagung, 28. September 2016 / Christine Kahl Folie 16

17 DFN-CERT ist Mitglied im CERT-Verbund Allianz deutscher Sicherheits- und Computer-Notfallteams, bzw. deutschsprachiger Teams Teams aus der öffentlichen Verwaltung (Bund, Land), von Großunternehmen und Mittelständlern und aus der Forschung Keine kommerziellen Interessen, sondern Verbesserung der operativen Sicherheit Prüfung der fachlichen Qualifikation im Rahmen des Aufnahmeprozesses NDA und gute Vertrauensbeziehung, um offen kommunizieren zu können Zweimal jährlich Arbeitstreffen (im November in Hamburg) Lebt durch das Engagement der Mitglieder Wer sich mehr engagieren möchte und den Code of Conduct unterschreibt, kann im Lenkungskreis mitarbeiten 65. DFN-Betriebstagung, 28. September 2016 / Christine Kahl Folie 17

18 DFN-CERT ist Mitglied bei FIRST Forum for Incident Response and Security Teams Globaler Verbund mit mehr als 300 Mitgliedern 1x jährlich FIRST-Konferenz (General Meeting) + sehr viele weitere Konferenzen und Meetings bei TF-CSIRT Trusted Introducer Europäischer Verbund (plus Ausnahmen aus dem asiatischen Raum) Wie die beiden anderen Verbände nimmt TI eine Basisüberprüfung der Teams vor, die aufgenommen werden möchten, aber zusätzlich gibt es ein Akkreditierungs- und Zertifizierungs-Schema, das etwas über den Reifegrad eines Teams aussagt i.d.r. 3x jährliche Arbeitsmeetings Wichtiger Aspekt: Weiterbildung 65. DFN-Betriebstagung, 28. September 2016 / Christine Kahl Folie 18

19 DFN-CERT wird Re-Zertifiziert Erstmalig zertifiziert 2012 Prüft die Reife des Security Incident Managements (SIM) SIM3 Maturity Parameters, Quadrants und Levels 45 Parameter aus den Bereichen 'Organisation', 'Human', 'Tools' und 'Processes' 5 Bewertungslevel von 'not available' 'implicit' (bekannt aber nicht aufgeschrieben) 'explicit internal' (aufgeschrieben aber nicht formalisiert) 'explicit formalised' (veröffentlicht) 'subject to control process' 65. DFN-Betriebstagung, 28. September 2016 / Christine Kahl Folie 19

20 DFN-CERT wird Re-Zertifiziert 'Organisation' Rückhalt im Management Auftrag von welchem Kundenkreis Dienstbeschreibung Incident Klassifikationsschema Vernetzung Sicherheitsrichtlinie 'Human' Code of Conduct Vertretungsregelungen Skillset Trainings intern und extern 65. DFN-Betriebstagung, 28. September 2016 / Christine Kahl Folie 20

21 DFN-CERT wird Re-Zertifiziert 'Tools' Eingesetze Werkzeuge Insbesondere Tracking von Incidents Quellen seit Ende August: OTRS Erreichbarkeiten per und Telefon (das wird auch geprüft) 'Processes' Eskalationsprozesse Prävention Detektion Lösungsprozess Verbesserungsprozesse Umgang mit vertraulichen Informationen Status aktuell: 'all is fine now for re-certification' 65. DFN-Betriebstagung, 28. September 2016 / Christine Kahl Folie 21

22 Vielen Dank für Ihre Aufmerksamkeit! DFN-CERT Hotline: 040 / Weitere Informationen unter:

Ähnliche Dokumente

Neues aus dem DFN-CERT. 62. DFN-Betriebstagung - Forum Sicherheit 02. März 2015 Christine Kahl

Neues aus dem DFN-CERT. 62. DFN-Betriebstagung - Forum Sicherheit 02. März 2015 Christine Kahl Neues aus dem DFN-CERT 62. DFN-Betriebstagung - Forum Sicherheit 02. März 2015 Christine Kahl Agenda Neues aus dem DFN-CERT Advisories Schwerpunkte aktueller Vorfälle 62. DFN Betriebstagung 02.03.2015