How to hack your critical infrastructure

Transkript

1 How to hack your critical infrastructure Was kann man aus den Angriffen der Vergangenheit lernen? IT-SecX Thomas Bleier [email protected] B-SEC better secure KG [email protected]

2 Agenda Fast schon wöchentlich hört man von neuen Angriffen auf die kritischen IT-Infrastrukturen von Unternehmen oder Organisationen Oft aber nur sehr oberflächlich und ohne Details Aber wie laufen solche Angriffe tatsächlich ab? Und was kann man daraus für die Verbesserung der eigenen Sicherheitskonzepte lernen? [PUBLIC] Thomas Bleier, B-SEC better secure KG 2

3 Sony Pictures Entertainment, [PUBLIC] Thomas Bleier, B-SEC better secure KG 3

4 Ausgangslage Daten Server Mail Server Management Server Angreifer Internet Firewall Office-PC s Office-PC s Internes Netzwerk [PUBLIC] Thomas Bleier, B-SEC better secure KG 4

5 Der Angriff Terabytes an Datendiebstahl Daten Server s gelöscht Mail Server Clients Infiziert + gelöscht Management Server Lateral Movement Angreifer Internet Firewall Phishing-Mail mit Schadsoftware Office-PC s Office-PC s Internes Netzwerk [PUBLIC] Thomas Bleier, B-SEC better secure KG 5

6 Target (USA) [PUBLIC] Thomas Bleier, B-SEC better secure KG 6

7 Ausgangslage POS (Point-of-Sale) Systeme (Registrierkassen) Angreifer Internet Backend-Server Lieferanten- Portal Lieferanten-Netzwerk Unternehmensnetzwerk [PUBLIC] Thomas Bleier, B-SEC better secure KG 7

8 Der Angriff Angreifer Stehlen von Kreditkartendaten POS (Point-of-Sale) Systeme (Registrierkassen) Installation POS Malware Phishing-Mail mit Schadsoftware Internet Backend-Server Trojaner stiehlt Zugangsdaten für Lieferantenportal Mit Zugang: suchen einer Sicherheitslücke Im Lieferantenportal Lieferanten- Portal Zugang zu Backend-Servern Lieferanten-Netzwerk Unternehmensnetzwerk [PUBLIC] Thomas Bleier, B-SEC better secure KG 8

9 Anunak/Carbanak 2013/ [PUBLIC] Thomas Bleier, B-SEC better secure KG 9

10 Ausgangslage Angreifer Client- Administrator Backend-Server Internet Server Bankomat Office-PC s Backend- Administrator Banknetzwerk [PUBLIC] Thomas Bleier, B-SEC better secure KG 10

11 Der Angriff Angreifer Client- Administrator Backend-Server spezielle Schadsoftware Internet Lateral Movement Admin Credentials Übernahme Backend-Server Mailserver! Server Phishing-Mail o. Drive-By Download Bankomat Office-PC s Backend- Administrator Banknetzwerk [PUBLIC] Thomas Bleier, B-SEC better secure KG 11

12 Stahlwerk Deutschland [PUBLIC] Thomas Bleier, B-SEC better secure KG 12

13 Ausgangslage Angreifer Automatisierungs- Technik (PLC s, etc.) Office-PC s Internet SCADA Systeme Bedienpersonal IT (Office-Netzwerke) OT (Automatisierungsnetzwerke) [PUBLIC] Thomas Bleier, B-SEC better secure KG 13

14 Der Angriff Angreifer Phishing-Mail Automatisierungs- Technik (PLC s, etc.) Office-PC s Lateral movement Remote Control Tunnel Sabotage der Anlage Internet SCADA Systeme Bedienpersonal Zugang Automatisierungssystem IT (Office-Netzwerke) OT (Automatisierungsnetzwerke) [PUBLIC] Thomas Bleier, B-SEC better secure KG 14

15 Verteilnetzbetreiber - Ukraine Dez [PUBLIC] Thomas Bleier, B-SEC better secure KG 15

16 Ausgangslage Automatisierungs- Technik (PLC s, etc.) Angreifer Umsetzer, Konverter Internet SCADA Systeme Office-PC s VPN-Tunnel IT (Office-Netzwerk) OT (Operational Technology) [PUBLIC] Thomas Bleier, B-SEC better secure KG 16

17 Der Angriff Automatisierungs- Technik (PLC s, etc.) Angreifer Manipuliertes Word-Dokument Manipulierte Firmware Umsetzer, Konverter Internet Schadsoftware (RAT) Office-PC s Zugangsdaten VPN-Tunnel HMI Client Systeme gelöscht SCADA Systeme IT (Office-Netzwerk) OT (Operational Technology) [PUBLIC] Thomas Bleier, B-SEC better secure KG 17

18 Demo [PUBLIC] Thomas Bleier, B-SEC better secure KG 18

19 Fazit: Die wichtigsten Angriffsvektoren Spear Phishing Konfigurationsdaten Software- Schwachstellen Zugangs daten [PUBLIC] Thomas Bleier, B-SEC better secure KG 19

20 Also was tun? Bedrohungs- und Risikoanalyse Sicherheitsaspekte im gesamten Systemlebenszyklus Organisatorische Maßnahmen und Sicherheitsprozesse Technische Sicherheitsmaßnahmen bei Installation und Betrieb Erkennung und Behandlung von Sicherheitsvorfällen [PUBLIC] Thomas Bleier, B-SEC better secure KG 20

21 Konkret - The Cyber Kill Chain 1. Reconnaisance 2. Weaponization 3. Delivery 4. Exploitation 5. Installation 6. Command & Control 7. Actions on Objectives Öffentlich verfügbare Infos, Social Engineering Security by Obscurity als zusätzliche Schicht Erkennung bekannter Angriffstools Threat Intelligence Filtern am Perimeter (Mail, Web, USB) Abschottung/Hardening der Systeme Vulnerability- und Patch-Management Die eigene Angriffsfläche kennen Least Privilege Konfigurationsmanagement Baseline Detektive & Reaktive Maßnahmen Intrusion Detection, SIEM, etc. Reduktion des Risikos - Defense in Depth AAA, Separation of Privileges, etc. Quelle Cyber Kill Chain: Lockheed Martin [PUBLIC] Thomas Bleier, B-SEC better secure KG 21

22 Thank You! Questions? Contact Thomas Bleier DI MSc CISSP CISA CISM CEH zpm Chief Security Improvement Officer, Managing Director Phone: B-SEC better secure KG