13. ISACA Trend Talk Cybercrime - Cybersecurity. Aktuelle Bedrohungssituation Wie schützt man sich in der Praxis? Wie reagieren wenn es passiert?

Transkript

1 13. ISACA Trend Talk Cybercrime - Cybersecurity Aktuelle Bedrohungssituation Wie schützt man sich in der Praxis? Wie reagieren wenn es passiert? October 2 nd, 2013 DI(FH) Stefan Deutinger Security Officer Sony DADC International stefan.deutinger@sonydadc.com

2 Kurzportait Name: DI(FH) Stefan Deutinger Beruf: Information Security Officer für Sony DADC International Abgeschlossene Projekte: Aufbau eines ISO konformen Informationssicherheitsmanagementsystems für Sony DADC International und Americas ISO Zertifizierung der Regional Headquaters von Sony DADC International und Sony DADC Americas Rollout der Konzernsicherheitsrichtlinien auf alle internationalen Standorte von Sony DADC International Rollout der erforderlichen Prozesse zur Zertifizierung aller Produktionsstandorte von Sony DADC International nach CDSA CPS Diverse Technologieprojekte aus Bereichen wie Verschlüsselungstechnologien Intrusion Detection Systeme Automatisierte Logauswertung Vulnerability Management Webapplication Firewalls Abgeschlossene Projekte aus dem Bereich Ethical Hacking Ethical Hacking Projekt im Auftrag eines Automobilkonzerns Ethical Hacking Projekt im Auftrag eines Konzerns der Beleuchtungsindustrie Ethical Hacking Projekt im Auftrag eines Pharma Großhandels Lehrtätigkeit an der FH Salzburg zum Thema Diverse Vorträge CONFIDENTIAL

3 3 REALITÄTSCHECK

4 Die Realität

5 Die Realität

6 Die Realität

7 Die Realität

8 Die Realität

9 Die Realität 9

10 Die Realität 10

11 Die Bedrohungslandschaft ist riesig und ändert sich täglich 11 Quelle: Sophos

12 Unstrukturiertes Security Management ist. Teuer Ineffizient Nicht zielgerichtet Und adressiert häufig nur unzureichend die existentiellen Bedrohungen und Risiken für ein Unternehmen. 12

13 Ein Security Incident Readiness Framework aus der Praxis Was will ich schützen? Welchen Bedrohungen ist mein Unternehmen ausgesetzt? Wie entwickeln sich Bedrohungen? Finden derzeit Ereignisse statt, die zu einem Incident werden können? Hat ein Incident stattgefunden? Threat Awareness Security Monitoring & Incident Detection Services Risk Management & BIA Security Incident Readiness Wie würde sich ein Incident auf mein Unternehmen auswirken? Security Controls Forensic Readiness Wie schütze ich meine Assets? Wie effektiv ist der Schutz? Sind ausreichend Logdateien und Systeminformationen vorhanden, um den Incident nachvollziehen und den Schaden ermitteln zu können? Wie können diese extrahiert werden? Incident Response Plan & Countermeassures Was sind die richtigen Schritte, die gesetzt werden müssen? Werden diese trainiert? 13 Welche Maßnahmen sind zu setzen, um ein wiederholtes Auftreten zu verhindern? Werden diese Korrekturmaßnahmen auch gesetzt?

14 14 RISK MANAGEMENT

15 Risk Management / Business Impact Analysis Das Unternehmen Mission Vision Strategy Business Plan / Business Processes Assets Zentrale Fragestellungen Was sind meine kritischen Geschäftsprozesse? Welche Assets benötige ich um diese zu erbringen? Welchen Bedrohungen sind diese Assets ausgesetzt? Wie gut sind sie derzeit geschützt? Wie lange kann ich auf einzelne Assets verzichten? Welche Daten haben einen besonderen Schutzbedarf? 15

16 Geschäftsprozess Modellierung Business Process A Process Owner A Ein Unternehmen besteht aus mehreren Geschäftsprozessen, die Produkte und Dienstleistungen für interne und externe Kunden schaffen Definierten Anforderungen entsprechen müssen Die gegen diese definierten Anforderungen gemessen werden Von einem Process Owner verantwortet werden. Asset 1 Asset 2 Asset 3 Ein Geschäftsprozess verwendet ein oder mehrere Assets, die Benötigt werden um den Prozess durchzuführen Gemeinsam in der Lage sind die Geschäftserfordernisse zu bedienen Asset Owner I Asset Owner II Asset Owner III Assets werden von Asset Ownern bereitgestellt, die.. die Geschäftserfordernisse verstehen müssen An operative Rahmenbedingungen wie rechtliche Rahmenbedingungen, Spezifikationen oder operative Limitierungen (bspw. Infrastrukturelle Kapazitätsgrenzen gebunden sind) Der ISO Standard hilft dabei die kritischen Assets und ihre Asset Owner zu identifizieren und bietet einen strukturierten Ansatz zur Risikoanalyse. 16

17 Geschäftsprozess Modellierung Business Requirements Contractual Requirements, Service Level Agreements, Business Impact Analysis Business Process A Process Owner A Business Process B Process Owner B Business Process C Process Owner C Risk Management Internal Audits Asset 1 Asset 2 Asset 3 Asset 5 Asset 6 Asset 7 Asset 8 Asset 9 Compliance Training Mgmt. Review Cont. Improvement Asset Owner I Asset Owner II Asset Owner III Asset Owner IV Business Continuity Mgmt. Operational Risks Operational Requirements/Boundaries Legal Requirements, Policy Requirements, Standard Requirements, Infrastructure- and Ressource Boundaries ISO beschreibt ein Management System, dass aufgrund der Eigenschaften Confidentiality, Integrity and Availability Company Assets klassifiziert und den Good decision making process unterstützt. 17

18 Risk = Threat(Business Impact) x Likelihood Assets Risk Treatment Options: Avoid, Accept. Reduce, Transfer 18

19 19 THREAT AWARENESS / THREAT INTELLIGENCE

20 Es gibt verschiedene Arten von Bedrohungen Technisches Versagen Menschliches Versagen Desaster Organisatorische Mängel Vorsätzliche Handlung Organisatorische Mängel wie fehlende Richtlinien, SOPs, Prozesse und Trainings Menschliches Versagen wie fehlendes Sicherheitsbewusstsein und Nichteinhaltung der definierten Regeln und Richtlinien Technisches Versagen wie Stromausfälle, Computerstörungen, Server-, Netzwerkstörungen Desaster wie Brände, Wassereintritt, Vorsätzliche Handlungen im Bereich der Wirtschaftskriminalität, Diebstähle, Cybercrime, Viren und Würmer 20

21 Cybercrime Bedrohungen Scanbots shared Worms Vulnerability Scanning Password Stealers Cyber Crime Spear Phishing Social Engineering Botnets Trojans Google Hacking drive by targeted DDoS APTs Reverse Engineering Injection Attacks Web application Hacking Brute Forcing Ransomware State Developed Malware 21

22 Cybercrime Bedrohungen und Detektierbarkeit HIGH DoS / DDoS Defacements Bruteforcing Vulnerability Scans /Exploit attempts Webapplication Hacking Scanbots Worms SPAM HOAX Detectability Preventability LOW APTs Social Engineering Spear Phishing Leaked Passwords Insider Attacks Botnet Infections Personallized Malware Password Stealers Mobile Device Exloits 0 day vulnerabilities TARGETED DRIVE BY SHARED 22

23 Anatomie eines Angriffs Reconnaissance Phase Probe and Attack Initial Access Privilege Escalation Backdoor Implementation Remove Evidence Recon Infiltration Privilege Escalation Exfiltration 23

24 Anatomie eines Angriffs gegen IT Infrastrukturen IT Fernangriff gegen Systeme Grundlegende Vorgehensweise: - Auffinden angreifbarer Ziele (Server, Gateways) - Auffinden angreifbarer Dienste - Versionsbestimmung dieser Dienste - Suche nach bekannten Schwachstellen - Analyse der Konfiguration - Analyse verfübarer Exploits - Anwendung verfügbarer Exploits Toolunterstützung: - DNS / Ripe tools - nmap - nc - Fingerprinting Tools - Vulnerability Scanner - Exploit Frameworks 24

25 Anatomie eines Angriffs gegen IT Infrastrukturen Reconnaissance - Internet - DNS Reverse Lookups - RIPE Analyse - Google Hacking - Port Scanning - Banner Grabbing - Application Mapping - OS Fingerprinting - Vulnerability Scanning - Webvulnerability Scanning / Crawling - WLAN Hot Spot Maps Probe and Attack Reconnaissance PSTN, Vor Ort - Password Bruteforcing / Dictionary Attacks - Remote Exploits - Command Injection - SQL Injection - Reverse Engineering - Parameter Manipulation - War Dialing - War Driving 25

26 Anatomie eines Angriffs gegen User IT Fernangriff gegen User Grundlegende Vorgehensweise: - Auffinden angreifbarer User - Analyse der Organisationshierachien - Analyse der Stakeholder - Suche nach Themen / Anknüpfungspunkten - Vertrauen aufbauen / Grundvertrauen nutzen - Protokoll Headeranalysen - Schadsoftware erstellen - Schadsoftware imunisieren - Trojanisieren von Nutzprogrammen - Trojanisiertes Nutzprogramm zustellen Toolunterstützung: - Web Scriptsprachen, Makrotools - Binder Programme - Encoder - Reverse Shell - TinyApps 26

27 Anatomie eines Angriffs gegen User Reconnaissance - Internet - USENET / Foren - Firmenhomepage - Börsenberichte - Presse Aussendungen - Facebook, Xing, Twitter - Jobbörse - Mailverkehr - Probe and Attack Reconnaissance PSTN, Vor Ort - Mailsystem Analyse - Phishing Sites - Proxy Analyse - Trojanisierte Programme / Dokumente - Telefonische Kontaktaufnahme 27

28 Threat Awareness FAIL 28

29 Threat Awareness Bsp.: Insider Threats Quelle: 29

30 Security Monitoring - Pastebin Beispiele: Usernames & Passwords SQL Injection Vulnerabilities 30

31 31 INCIDENT MANAGEMENT

32 Eigentlich weiß jeder wie es geht Ein Evakuierungsplan für den Brandfall ist ein Incident Response Plan für einen Fall. Aufgrund gesetzlicher Verpflichtungen und behördlicher Auflagen ist dieser Fall in der Mehrheit aller Institutionen ausreichend umgesetzt. Vergleichbare Anweisungen müssen für das Eintreten aller relevanten kritischen Bedrohungsszenarien definiert und trainiert werden. 32

33 Example Incident Response Process Wichtige Rollen im Incident Response Team: Incident Handler / Security Officer Top Management Public Relations Officer Legal Representative HR Manager Head of IT Process- / System Specialist External Professionals - Forensic Professionals - Takedown Service Providers - Legal Professionals - DDoS Protection Services 33

34 THANK YOU ANY QUESTIONS? 34 V 1.0