IBM Security Systems Live Hacking Demo

Transkript

1 IBM Security Systems Live Hacking Demo Christian Meßmer Client Technical Professional IBM Security Systems Division Phone: +49-(0)

2 IBM Threat Protection System Ein dynamisches, integriertes System um fortschrittliche Angriffe zu unterbrechen und vor Datendiebstahl zu schützen Prevent. Detect. Respond. Die Roadmap von Morgen Bedeutende Investitionen in 10 Entwicklungslabore um Schutz vor fortschrittlichen Bedrohungen zu liefern Einzigartige Integration Strategischer Fokus auf der Integration und der intelligenten Verbindung der IBM Security Produkte Neue Partnerschaft Industrieübergreifender Koordination zur Produktzusammenführung für unsere Kunden 2

3 Die Motivation für Angriffe ist vielfältig Nationale Sicherheit Spionage, Aktivismus Monetärer Nutzen Rache, Neugierde Wettbewerber und Hacktivisten Aurora Organisiertes Verbrechen Zeus Insider und Script-kiddies I love you Staatliche Akteure Stuxnet 3

4 Was sehen wir heute? IBM X-Force Threat Intelligence 2Q 2014 Report Angriffe auf Anwendungen Ergebnis einer Umfrage unter 1 Mio Trusteer Kunden, Dezember % 15% 22% 50% Oracle Java Adobe Reader Webbrowser Andere Quelle: IBM X-Force Research & Development

5 Was sehen wir heute? IBM X-Force Threat Intelligence 2Q 2014 Report 5 am meisten angegriffene Branchen Produktion Finanzen & Versicherung Informationstechnologie Gesundheit & Soziale Dienste Einzel- & Großhandel 26.5 % 20.9 % 18.7 % 7.3 % 6.6 % Advanced Persistent Threat ist die verbreiteste Methode der professionellen Hacker Quelle: IBM X-Force Research & Development

6 Was ist ein Advanced Persistent Threat? Nutzt unbekannte ( Zero-Day ) Schwachstellen aus Angriffe dauern Monate oder Jahre (durchschnittlich: 1 Jahr, höchstens 4,8 Jahre) Visiert spezielle Personen oder Gruppen einer Organisation an 6

7 Angreifer verfolgen eine 5-Phasen Attacke 1 Zugang verschaffen Spear Phishing und Remote-Exploits um Zugriff zu erlangen 2 Command & Control (CnC) Festsetzen Schadsoftware und Hintertüren werden installiert 3 Sichten Ausspähung und Ausbreitung um Präsenz zu erhöhen 4 Sammeln Beschaffung und Aggregation von wertvollen Daten 5 Command & Control (CnC) Herausbefördern Datenübertragung nach Extern 7

8 Vorbereitende Recherchen Identifizierung Social Media zur Informationsgewinnung Gläserne Identität Verhaltensweisen Bekanntschaften Kommunikationspräferenzen Profiling Erstellung von Personen-Profilen auf Basis der Social Media Informationen Kontaktaufnahme Individuelle Kontaktaufnahme, die eine Malware Falle beinhaltet 8

9 Angriffsszenario Phase 1: Zugang verschaffen 1 Identity Manager 2 Guardium 3 QRadar 4 Trusteer Network IPS 5 Unternehmensnetzwerk DMZ Internet 9

10 IBM QRadar Security Intelligence Platform Umfangreiche Datenquellen Sicherheitskomponenten Server und Mainframes Netzwerk- und virtuelle Aktivitäten Datenaktivitäten Anwendungsaktivitäten Automatische Offense Identifikation Automatisierte Datensammlung, Asset Erkennung und Profilierung Automatisiert, Echtzeit und Integrierte Analytik Echter Sicherheitsvorfall Verdächtiger Sicherheitsvorfall Konfigurationsinformationen Massive Datenreduktion Anomalie Erkennung Sicherheitslücken und -risiken Benutzer und Identitäten Out-of-the Box Regeln und Vorlagen Intelligenz IBM QRadar Security Intelligence Platform Global Threat Intelligence

11 Live Demo Ablauf des Angriffs 11

12 Gegenmaßnahmen für Phase 1 Mailverkehr IBM Mail Protector URL-Analysen für Phishingund Spyware-Erkennung Aufruf des Links IBM Security Network Protection, XGS Überwachung und mögliche Unterdrückung der Kommunikation IBM QRadar Überwachung der Netzwerkkommunikation über Flow Analysis IBM Trusteer Apex Anwendungsüberwachung Vorbeugung & Reaktion Awareness Etablierung vorbeugender Security- Policies im Unternehmen IBM Endpoint Manager Systems Management 13

13 QRadar Security Intelligence Platform Offenses 14

14 Angriffsszenario Phase 2: Festsetzen Unternehmensnetzwerk DMZ Internet 15

15 Anlegen weiterer Accounts 16

16 Gegenmaßnahmen für Phase 2 Netzwerkverkehr Systemen Vorbeugung & Reaktion IBM Security Network IPS IBM QRadar Flow Analysis Erkennen von anomalem Verhalten und Vorgehen auf den Netzwerken IBM Identity Management Überwachung von Benutzern und unerlaubten Berechtigungsänderungen IBM Endpoint Manager Patch Management Virenscanner Erkennen von kompromittierten Maschinen Schwachstellen Management Absicherung unternehmensinterner Anwendungen 17

17 Angriffsszenario Phase 3: Sichten Unternehmensnetzwerk DMZ Internet 18

18 Scannen eines Servers nach aktivierten Diensten 19

19 Gegenmaßnahmen für Phase 3 Netzwerkverkehr Systeme Vorbeugung & Reaktion Netzwerksegmentierung Verhindert das Scannen großer Teile des Unternehmensnetzwerks IBM Access Management Blockieren von unerlaubtem Abspeichern von Dateien auf den Endgeräten IBM Endpoint Manager Patch Management Policies Eingeschränkte Nutzung von Ports und Kommunikations- Protokollen 20

20 Angriffsszenario Phase 4: Sammeln Unternehmensnetzwerk DMZ Internet 21

21 Datenbank-Abfragen mittels gestohlener Zugangsdaten 22

22 Gegenmaßnahmen für Phase 4 Datenbanken Systeme Vorbeugung & Reaktion IBM Guardium Entdecken und Unterbinden von unberechtigten SQL- Abfragen Logging, Terminierung und Quarantäne der SQL- Kommunikation IBM QRadar Anomalie-Erkennung für direkte Dateizugriffe Überwachung des Netzwerk-Datenverkehrs Anomale File-Transfers 23

23 Was passiert bei aktiver, gezielter Blockierung durch Guardium? Angreifer hat keine Chance auf sensitive Objekte zuzugreifen 24

24 Angriffsszenario Phase 5: Herausbefördern Unternehmensnetzwerk DMZ Internet 25

25 Datenexfiltration 26

26 Gegenmaßnahmen für Phase 5 Netzwerkverkehr Systemen Vorbeugung & Reaktion IBM QRadar Verdeckte Datenströme anzeigen mit QFlow Analyse Data-Loss-Prevention (DLP) Systeme IBM Trusteer Apex Verhindert unerwünschten Kommunikationsaufbau nach Außen Vorbeugende Kommunikations-Regeln 27

27 IBM QRadar Security Intelligence Platform Echter Sicherheitsvorfall Direkte, forensische Untersuchung Zeitreduktion für das Lösen von Angriffen durch einen intuitiven, forensischen Workflow Intuition größer als technisches Training Herausfinden der Hauptursache und Schutz vor einem Wiederholungsvorfall IBM QRadar Incident Forensics

28 IBM QRadar Incident Forensics 29

29 IBM Threat Protection System Ein dynamisches, integriertes System um fortschrittliche Angriffe zu unterbrechen und vor Datendiebstahl zu schützen Prevent. Detect. Respond. Die Roadmap von Morgen Bedeutende Investitionen in 10 Entwicklungslabore um Schutz vor fortschrittlichen Bedrohungen zu liefern Einzigartige Integration Strategischer Fokus auf der Integration und der intelligenten Verbindung der IBM Security Produkte Neue Partnerschaft Industrieübergreifender Koordination zur Produktzusammenführung für unsere Kunden 31

30 IBM Security Systems Portfolio Security Intelligence and Analytics QRadar SIEM QRadar Log Manager QRadar Risk Manager QRadar Vulnerability Manager QRadar Incident Forensics Advanced Fraud Protection Trusteer Rapport Trusteer Pinpoint Malware Detection Trusteer Pinpoint ATO Detection Trusteer Mobile Risk Engine People Data Applications Network Infrastructure Endpoint Identity Management Access Management Guardium Data Security Guardium Database Security AppScan Source AppScan Dynamic Network Intrusion Prevention Next Generation Network Protection Trusteer Apex Mobile & Endpoint Management Privileged Identity Manager Guardium / Optim Data Masking DataPower Web Security Gateway SiteProtector Threat Management Virtualization and Server Security Federated Access and SSO Key Lifecycle Manager Security Policy Manager Network Anomaly Detection Mainframe Security IBM X-Force Research 32

31 IBMs Keep in Mind 1. Motivation für Angriffe hat sich geändert Security Intelligence. Think Integrated. 2. Advanced Persistent Threat ist die am meisten verbreitete Methode der professionellen Hacker 3. IBM QRadar & Trusteer Apex 33

32 Vielen Dank Christian Meßmer Client Technical Professional IBM Security Systems Division Phone: +49-(0)