APT Defense Service. by TÜV Rheinland.

Transkript

1 APT Defense Service. by TÜV Rheinland.

2 Referent. Ihr Referent Name: Funktion: Frank Melber Head of Business Development, Experte für Cyber Security APT Defense Service

3 Agenda. 1 2 Das Bedrohungsszenario Die klassische Infektionskette 3 Die Lösung: APT Defense Service 4 Cyber Security Maturity 3

4 Bedrohungsszenario. Unternehmenssicht. Von welcher Form von Cyber-Angriffen wird in den kommenden zwei Jahren die größte Bedrohung ausgehen (beantwortet von 256 Unternehmen)? Antwort (D)DoS-Angriffe auf Internetauftritte (D)DoS-Angriffe auf andere Netzinfrastrukturen Hacking / unbefugtes Eindringen in Systeme zur langfristig angelegten Infiltration (APT) Hacking / unbefugtes Eindringen in Systeme mit anschließendem Datenabfluss z.b. von Kundendatenbanken Hacking / unbefugtes Eindringen in Systeme mit anschließendem Missbrauch der Systeme, z.b. als Botnet-Client Malware-Infektion durch ungezielte Verteilung (Drive-by-Download / Spam) Malware-Infektion durch gezielten Angriff (Social Engineering per o.ä.) Defacement von Webseiten Andere Anzahl der Nennungen Quelle: BSI - Allianz für Cybersicherheit 4

5 Bedrohungsszenario. Motivation der Angreifer. Herkömmliche Cyberkriminalität Opportunistisches Vorgehen Nicht auf ein bestimmtes Ziel / Unternehmen aus Möglichst viele Opfer infizieren (Zombies für Botnetze etc.) Kampagnen Phishing Verbreitete Malwareund Exploit-Kits Organisierte Cyberkriminalität Gut organisierte Gruppen mit signifikanten finanziellen Ressourcen Hohe Arbeitsteilung-/ spezialisierung Sehr gut ausgebildet Gezielte Angriffe Spear Phishing Custom Malware DDoS Attacken Zero-Day Exploits Nachrichtendienste Große finanzielle Ressourcen Von staatlicher Ebene geleitet und koordiniert IT-Spionage auf Regierungsebene Sabotage kritischer Infrastrukturen Zero-Day Exploits Physische Infiltration Implants 5

6 Bedrohungsszenario. Exploit. Die meisten Unternehmen haben bereits AntiVirus und IDS / IPS im Einsatz. Warum erkennen und blockieren diese Technologien die Angriffe nicht? 2-Komponenten Malware Exploits werden getarnt und die Komponenten erst auf dem Zielsystem zusammengeführt. Analogie: Das Klebstoff-Prinzip mit Harz und Härter Warum? Angreifer wissen um die Sicherheitseinrichtungen in Unternehmen und haben zuverlässige Mittel und Wege gefunden, diese zu umgehen. Beispiel Drive by Download: JavaScript enthält obfuskierten Flash Exploit. JavaScript übergibt die Exploit-Daten an Flash bei der Ausführung im Browser. Flash de-obfuskiert den Exploit Code und führt diesen auf dem System aus. 6

7 Bedrohungsszenario. Infektionskette. Exploit Server Callback Server Obfuskierte Malware Command & Control Server Exploit detoniert Exploit Callback Malware Download Data Leakage (obfuskiert) (obfuskiert) 7

8 Bedrohungsszenario. Prognose. Prognose Bei Sicherheitslücken ist das Zeitfenster zwischen Bekanntwerden und großflächiger Ausnutzung meist auf wenige Stunden begrenzt. Infektionen durch Malware oder Ransomware werden weiter zunehmen. Polymorphe Binaries sind mittlerweile üblich und nicht mehr die Ausnahme. Über 90% der Malware Prüfsummen haben eine TTL (Time To Live) von wenigen Stunden.! Der kontinuierliche Incident-Response-Fall wird zum Daily Business und nicht zur seltenen Ausnahme! 8

9 Die Lösung: APT Defense Service. APT Defense Service Der APT Defense Service adressiert das Problem nachhaltig und kontinuierlich. Analog zum Vorgehen der Angreifer Prinzip: CSIRT / CERT as a Service Vorteile: Es besteht eine permanente Überwachung der IT-Infrastruktur im Unternehmen. Anomalien / Angriffe werden direkt detektiert und behandelt. Infiltrationsversuche werden aufgedeckt und nachhaltig verhindert. Im Rahmen des Incident Response-Prozesses verbessern sich die IT Security-relevanten Prozesse in der Kundenorganisation.! Ziel: Kontinuierliche, nachhaltige Sicherheit 9

10 APT Defense Service. Ein Überblick. 10

11 APT Defense Service. Die nachhaltige Lösung. Kontinuierliche Überwachung der Infrastruktur durch Sensor-Systeme Kontinuierliche und schnelle Incident Response durch das TÜV Rheinland C.S.I.R.T. Kontinuierliche Sicherheit als Flat-Rate Service APT Detection 11

12 Cyber Security Maturity. 12

13 Cyber Security Maturity. Compliance Awareness Next Gen Firewalls... Penetration Testing Security Architekturdesign BCM (Risiko, Bedeutung für das Operative Geschäft des Unternehmens) Konzeption APT Sensoren Vulnerability scanning ISMS GRC (Transparenz über Assets und Regulatorien) Log-Management/SIEM/Threat-Intel SOC Operations CSIRT (Operative Incident Response) Reifegrad Level 1: Reaktiv Level 2: Proaktiv Level 3: Prediktiv APT Defense Service

14 VIELEN DANK FÜR IHRE AUFMERKSAMKEIT! Regelmäßig aktuelle Informationen im Newsletter und unter APT Defense Service

15 Kontakt. Frank Melber Head of Business Development TÜV Rheinland i-sec GmbH Freigerichter Straße Gelnhausen Tel: Mobil: Fax:

16 Auf allen Kontinenten zuhause. Kennzahlen 2014 Umsatz in Mio Auslandsanteil (in %) 49,0 EBIT (in %) 6,4 Mitarbeiter (-innen) Auslandsanteil (in %) 60,0 Standorte: Über 500in 69Ländern APT Defense Service

17 Umsatz nach Geschäftsbereichen. Academy & Life Care Systeme 11% ICT & Business Solutions 7% 7% Industrie Service 29% Mobilität 24% 22% Produkte APT Defense Service

18 Die Welt von ICT & Business Solutions. Weltweite Standorte Umsatz 2014: Circa 123 Mio. Geschäftsfelder IT Services & Cyber Security Telco Solutions, Business & Engineering Services Management Consulting R&D Management APT Defense Service