Aufdecken versteckter Fouls - SIEM Intelligenz gegen APT

Transkript

1 Aufdecken versteckter Fouls - SIEM Intelligenz gegen APT Uwe Maurer

2 Advanced Persistent Threats Gefährliche Angreifer well-funded stufenweise andauernd gezielt

3 Modell von mehrstufigen Angriffen Erkundigung Exploit Zugang / Zugriff Aufräumen Schaden

4 Modell von mehrstufigen Angriffen Erkundigung Exploit Zugang / Zugriff Aufräumen Schaden Network, systems Server lists Functional- and Default-Accounts User-Accounts Software Passwords Configuration Applications Processes Login Privilege Escalation Resources (network, system) Control Channel New Account New Systems, Services Backdoor Patching DOS (System, Account) DOS (Encryption) Data Leakage Manipulation Publication

5 Security Intelligence Service Aufbaustruktur Analyse Team Analyse Team Solution Packages Virtual Research Center Threat Intelligence Analyse Team Analyse Team WideAngle SOCs

6 Security Monitoring SIEM Windows Logs Syslogs Alarmierung SAP Logs DB-Server Web-Server Tripwire Firewalls IDS/IPS Vulnerabilities Anti-Virus Flat Files SIEM Incident- Analyse Security-Reports/ Kennzahlen

7 Managed Security Intelligence Services Wir monitoren und managen die Plattformen für das SIEM-System Wir übernehmen die SIEM-Alarme und filtern irrelevante aus Wir analysieren Sicherheitsvorfälle und empfehlen adäquate Responses Aus Dispatching und Analyse erarbeiten wir kontinuierliche Verbesserungen Wir entwickeln -zweckgebundene - Regeln, Reports, Metriken und Devices Plattform-Management Alarm-Dispatching Security-Incident-Analyse Rules & Reports Refinement Solution-Packs

8 Security Monitoring Konsolidierte Alarmierung und Auswertung mit SIEM Proxy Firewall Router Any Server Network Internal Client Active Directory Antivirus Database

9 Security Monitoring Konsolidierte Alarmierung und Auswertung mit SIEM 1 Network Scan Proxy Firewall Router Any Server Network Internal Client Active Directory Antivirus Database SIEM: Alert with low Criticality (Network Scan) Destination

10 Security Monitoring Konsolidierte Alarmierung und Auswertung mit SIEM 1 Network Scan 2 Account Scan / Brute force Proxy Firewall Router Any Server Network Internal Client Active Directory Antivirus Database SIEM: Alert with low Criticality (Network Scan) SIEM: Alert grows (Network Scan followed by Brute force Destination Account

11 Security Monitoring Konsolidierte Alarmierung und Auswertung mit SIEM 1 Network Scan 2 Account Scan / Brute force 3 Exploit / Malware Proxy Firewall Router Any Server Network Internal Client Active Directory Antivirus Database SIEM: Alert with low Criticality (Network Scan) SIEM: Alert grows (Network Scan followed by Brute force SIEM: Alert grows ( followed by Brute force followed by Exploit) Destination Account Destination

12 Security Monitoring Konsolidierte Alarmierung und Auswertung mit SIEM 1 Network Scan 2 Account Scan / Brute force 3 Exploit / Malware Proxy Firewall Router Any Server 4 Direct Database Access and Direct Query from compromised server Network Internal Client Active Directory Antivirus Database SIEM: Alert with low Criticality (Network Scan) SIEM: Alert grows (Network Scan followed by Brute force SIEM: Alert grows ( followed by Brute force followed by Exploit) SIEM: Alert grows ( followed by Exploit followed by Direct DB access) Destination Account Destination Source

13 Security Monitoring Korrelation von Alarmen! 1 Network Scan 2 Account Scan / Brute force 3 Exploit / Malware Proxy Firewall Router Any Server 4 5 Direct Database Access and Direct Query from compromised server Covert Channel / Data Leakage Network Internal Client Active Directory Antivirus Database SIEM: Alert with low Criticality (Network Scan) SIEM: Alert grows (Network Scan followed by Brute force SIEM: Alert grows ( followed by Brute force followed by Exploit) SIEM: Alert grows ( followed by Exploit followed by Direct DB access) SIEM: Alert grows ( Direct DB access followed by High Vol. Transfer) Destination Account Destination Source Source Multi-Alarm-Korrelation über unterschiedliche Kriterien erzeugt einen Alarm.

14 Security Monitoring Ohne Alarm-Korrelation Network Scan Account Scan / Brute force Exploit / Malware Proxy Firewall Router Any Server Direct Database Access and Direct Query from compromised server Covert Channel / Data Leakage Network Internal Client Active Directory Antivirus Database SIEM: Alert - Network Scan SIEM: Alert - Brute force SIEM: Alert - Exploit SIEM: Alert - Direct DB access SIEM: Alert - High Vol. Transfer Low Criticality Low Criticality Mid. Criticality Mid. Criticality Mid. Criticality Viele einzelne Alarme werden erkannt und verworfen. Und die Kompromittierung läuft derweil weiter

15 Verbindungen zwischen den Angriffen erkennen! Angriffe erfolgen Auf mehreren Ebenen Nacheinander oder gleichzeitig Verdeckt (Tunnel, Polymorph, Resilient) Ferngesteuert Andauernd (low and slow) Gezielt und leider auch erfolgreich Einzelne Indikatoren oder Security Events können missverstanden werden. Wenn die einzelnen Angriffs-Schritte nicht als Teil eines Angriffs erkannt werden, wird ein kombinierter Angriff nicht früh genug identifiziert.

16 Use-Cases / Solution Packs Use-Case Compromised Client Network Security Perimeter Security Admins & Developer Application Security Datensicherheit Partner & Cloud Cyber-Threat VIP Security Fokus des Monitorings Malware-Protection & 0-Day-Detection, Client-Security Netzwerk-Segmentierung, Netzwerksicherheit Wifi, DMZ Internet-Nutzung Botnets, Tunneling, Missbrauch Admin-Richtlinie, PxM, Technische Accounts, Suspekte HPUA Webapp- und Datenbanksicherheit Data-Leakage, Jumping, Datenexports, Datenschutz IT-Partner, Sourcing, Cloud-Nutzung, Fernwartung, Hopping Threat-Intelligence-Systeme, Behavior-Anomaly-Detection Vorstände, kritische Accounts, Mails und kritische Assets

17 Inhalt eines Solution Packs Attack Detection Breach Detection Security Failure Alerts Critical Threats Security Reports 62 Detection- Regeln Für bekannte Angriffsschritte 56 Korrelationsund Anomalieregeln für Policy Verstöße 75 Korrelationsregeln für Wirkungs- Ausfall 15 Templates zur Erkennung von akuten Bedrohungen 26 Templates für Security Reports

18 Incident Response? Oder HCM? Virusbefall an mehreren Stellen Standortsicherheit, Ausnahmen, Wifi- Zugang als Ursachen? IT-Management nimmt Einfluss Standorte abklemmen! Re-Imaging Headless Chicken Mode

19 Incident Response Plan Incident-Typ identifizieren Severity Level Impact und Kritikalität Response-Aktivität initiieren Information, Kommunikation Shutdown Response Impact Alle Incident-Aktivitäten protokollieren Effektivität der Responses überwachen Request rewrite Asset Value Incident Type Severity Level Target(s) Asset Value Response Response impact Investigation Mitigation Who to Call (Role) Owner (Group) Privilege Escalation / Rootkit Critical File server High 1. Quarantine file server 2. Switch to alternative file server High System forensics. Source analysis, network analysis. Account activities. Post-exploitactivities. Impact analysis. Re-image server (once infected with a rootkit, the entire system is suspect) Server owner, CERT (forensics) CERT

20 Incident Response Teams und Module

21 Incident Response Teams und Module

22 Intelligenter Einsatz von SIEM Alle notwendigen Log-Sources einbeziehen SIEM mit ausgereifter Event- Taxonomie Auswahl treffender Überwachungsregeln Laufende Verbesserung Korrelation der Alarme über (Source, Destination, Account, ) Aufbau von Anomalie-Regeln Gezielte Erweiterung (Solution Packs) Bestimmung der adäquaten Response Wirkungs- Überwachung

23 Intelligenter Einsatz des Security Monitorings 1. Intelligente Überwachung von Multi-Stage-Attacks 2. Kontinuierliche Anpassung und Verbesserung 3. Stufenweise Erweiterung 4. Sie müssen nicht alles selber machen

24 Vielen Dank! Uwe Maurer