CONTROLWARE IT-SECURITY ROADSHOW 2016

Transkript

1 CONTROLWARE IT-SECURITY ROADSHOW 2016 Herausforderungen und Lösungsansätze für Security Verantwortliche Christine Schoenig Technical Manager, Germany 23. Februar Check Point Software Technologies Ltd. [Restricted] ONLY for designated groups and individuals 1

2 Beginnen wir mit einer wahren Geschichte Ein deutsches Stahlwerk Tausende von Mitarbeitern 2016 Check Point Software Technologies Ltd. 2

3 Phase 1: Infiltration Spear-Phishing Angreifer versenden eine gezielte , die aus einer vertrauenswürdigen Quelle zu stammen scheint mit dem Ziel Mitarbeiter den bösartigen Anhang öffnen zu lasssen. Schätzungsweise 91 Prozent der Hacker-Angriffe beginnen mit Phishing oder Spear-Phishing-E- Mails. Phishing-Attacken sind so erfolgreich, weil Mitarbeiter sie in einem alarmierenden Tempo bestätigen, auch wenn s offensichtlich verdächtig erscheinen Check Point Software Technologies Ltd. 3

4 Phase 2: Distribution Verbreiten der Schadsoftware im Netzwerk Check Point Software Technologies Ltd. 4

5 Phase 3: Übernahme der Hochofen-Steuerungssysteme Ausfälle einzelner Steuerungssysteme provozieren und folgend der kompletten Anlage Check Point Software Technologies Ltd. 5

6 Phase 4: Der Hochofen kann nicht mehr kontrolliert vom Netz genommen werden Das Stahlwerk erleidet massive Schäden Check Point Software Technologies Ltd. [Restricted] ONLY for designated groups and individuals 6

7 BSI Bewertung des Angriffs Die technischen Fähigkeiten der Angreifer sind als sehr fortgeschritten zu bewerten. Die Kompromittierung erstreckte sich auf eine Vielzahl unterschiedlicher interner Systeme bis hin zu industriellen Komponenten. Das Know-how der Angreifer war nicht nur im Bereich der klassischen IT-Sicherheit sehr ausgeprägt, sondern erstreckte sich auch auf detailliertes Fachwissen zu den eingesetzten Industriesteuerungen und Produktionsprozessen Check Point Software Technologies Ltd. 7

8 Schätzungsweise 91 Prozent der Hacker-Angriffe beginnen mit einer Phishing oder Speer-Phishing Filtersysteme können einige Phishing-Versuche abfangen, aber nicht alle. Phishing-Attacken sind so erfolgreich, weil die Mitarbeiter mit einer alarmierenden Geschwindigkeit auf sie klicken, auch wenn E- Mails offensichtlich verdächtig sind. Warum? 2015 Check Point Software Technologies Ltd. 8

9 2016 Check Point Software Technologies Ltd. 9

10 Quelle: Check Point Software Technologies Ltd. 10

11 Locky Check Point Software Technologies Ltd. 11

12 WAS KÖNNEN WIR DAGEGEN TUN? 5 Empfehlungen 2016 Check Point Software Technologies Ltd.

13 1. Der traditionelle Ansatz Viren Arglistige Webseiten Netzwerk Angriffe Botnetze Riskante Anwendungen Anti -Virus URL Filtering IPS Anti-Bot Application Control 2016 Check Point Software Technologies Ltd. 13

14 2. Sicherheitslücken schließen IPS, ANTI-VIRUS & ANTI-BOT ADRESSIERT BEKANNTE ODER ALTE MALWARE Aber: 71 von 1000 werden nicht erkannt OS- UND CPU-LEVEL ZERO-DAY SCHUTZ THREAT EXTRACTION ENTDECKT NEUE ODER UNBEKANNTE MALWARE Mit Hilfe von OS- und CPU-Level Schutz VOLLSTÄNDIGE BEDROHUNGSENTFERNUNG Rekonstruiert und liefert malwarefreie Dokumente 2016 Check Point Software Technologies Ltd. 14

15 Check Point Threat Extraction - Rekonstruktion basierend auf Risikolevel Umwandeln in PDF Im Anhang befindet sich ein Office- Dokument mit Makro-Code, durch den der Trojaner ladybi.exe geladen wird Originaldatei beibehalten Entfernen des kritischen Inhalts 2015 Check Point Software Technologies Ltd. [Restricted] ONLY for designated groups and individuals 15

16 Was ist Threat Extraction? Entfernt eingebettete Verknüpfungen Entfernt eingebetteten Inhalt wie Objekte, Makros & Skripte. Gesäuberte Datei wird dem Anweder übermittelt 2015 Check Point Software Technologies Ltd. [Protected] Non-confidential content 16

17 Entfernen des interaktiven Dokumenteninhalts Der Administrator erstellt die Sicherheitsregeln: Macros oder JavaScript Embedded Objects External Links Document Properties 2015 Check Point Software Technologies Ltd. [Restricted] ONLY for designated groups and individuals 17

18 Check Point SandBlast ZERO-DAY Schutz Beispiellose Echtzeit-Prävention vor unbekannter Schadsoftware und gezielten Zero-Day-Angriffen Threat Emulation mit CPU-Level-Erkennung Adressiert sicherheitssensible Schadsoftware Threat Extraction Liefert sichere, rekonstruierte Dateien 2016 Check Point Software Technologies Ltd. 18

19 Sandbox: Schutz vor dem Unbekannten Verhaltensbasierte Schadsoftware-Erkennung mit Hilfe von Sandbox-Verfahren (CPU & OS basierend) Schaffen einer isolierten Umgebung, um den Endpoint zu simulieren Öffnen der Datei/URL wie vorgesehen Überwachen des Betriebssystems auf regelwidrige Aktionen Änderungen der Registry Starten von Prozessen Dateisystem-Aktivitäten Netzwerk-Aktivitäten Abnormale Aktivitäten = Verdächtig 2015 Check Point Software Technologies Ltd. 19

20 wird Locky möglicherweise über das Exploit-Kit Neutrino verteilt. Neutrino versucht unter anderem Malware über Sicherheitslücken im Browser und den installierten Plug-ins wie Flash zu verbreiten. Im Anhang dieser liegt eine Zip-Datei, in der sich die Javascript- Schadsoftware versteckt. OS-Level Threat Emulation + CPU-Level Threat Emulation CHECK POINT NEXT GENERATION THREAT EMULATION HÖCHSTE ERKENNUNGSRATE EINZIGARTIGE UND INNOVATIVE ERKENNUNG 2015 Check Point Software Technologies Ltd. [Restricted] ONLY for designated groups and individuals 20

21 Sandbox-Umgehungs-Techniken Ziel: Aktivieren der Schadsoftware nur auf dem Endpoint und nicht in der Sandboxumgebung Verzögerte Aktivierung Sandbox entdecken Menschliches Interface Die Sandbox kann nicht unbegrenzt warten Sandbox ist nicht gleichzusetzen mit dem Endpoint Die Sandbox ist maschinengesteuert Schadsoftware setzt für bestimmte Zeit aus Schadsoftware überprüft Umgebung auf Sandboxmerkmale Schadsoftware wartet auf menschliche Interaktion 2015 Check Point Software Technologies Ltd. 21

22 Return Oriented Programming in Action from the CPU Perspective Normal Execution ROP Execution F2 eip F0 F1 push ebp mov ebp, esp mov eax, ebx pop ebp retn 4 db cc push ebp mov ebp, esp mov ebx,[var1] lea eax,[var2] call ebx --- mov eax,0xc pop ebp ret --- push ebp mov ebp, esp push 0xC359 call F2 add eax, eax inc eax inc eax inc eax pop ebp ret var1 var2 esp Data F1_ptr Data1 Stack F1_ptr F0_ptr Addr0 Addr1 Addr2 Addr3 Addr4 Addr5 eip push ebp mov ebp, esp mov eax, ebx pop ebp retn 4 db cc push ebp mov ebp, esp mov ebx,[var1] lea eax,[var2] call ebx --- mov xchg eax,0xc394 esp, --- pop ebp ret --- push ebp mov ebp, esp push 0xC359 call F2 add eax, eax inc eax inc eax inc eax pop ebp ret Shellcode Data F1_ptr G0_ptr Data1 Stack2 Stack F0_ptr Addr0 Addr1 Addr2 Addr3 Addr4 Addr Check Point Software Technologies Ltd. 22 G2 F0 G0 ret G1 SH var1 var2 esp Stack2 G1_ptr G2_ptr SH_ptr Addr0 Addr1 Addr2

23 Check Point SandBlast Zero-Day Schutz CPU-level Exploit-Erkennung Konzentiert sich auf komplexe Schadsoftware bevor diese wirksam wird Threat Extraction Kombiniert Sicherheit und Performance in einer Dateirekonstruktion OS-level Sandboxing Stoppt Zero-Day und unbekannte Schadsoftware in vielen Dateiformaten 2016 Check Point Software Technologies Ltd. [Restricted] ONLY for designated groups and individuals 24

24 3. Check Point Anti-Bot Blockiert Bot Kommunikation ERKENNT BOT Infizierungen Mehrstufige Entdeckung Reputation Muster SPAM VERHINDERT BOT Schaden Stoppt Datenverkehr zum Command & Control Server Möglicherweise schlummerte Locky eine Weile auf den inifzierten Rechnern, ehe es zentral den Befehl bekam, das digitale Hab und Gut der Opfer zu verschlüsseln. Einer der eingesetzten Command-and-Control-Server, mit denen Locky kommuniziert, wird auf der Infrastruktur des russischen Hosters Makhost (Макхост) betrieben. Dokument mit Makro, das den Trojaner mit dem Dateinamen "ladybi.exe" herunterlädt. Sobald ausgeführt generiert die Schadsoftware einen Private Key mit dem das System verschlüsselt wird, um diesen danach zum C&C Server zu senden und vom System selbst zu löschen Check Point Software Technologies Ltd. [Protected] Non-confidential content 25

25 Flexibler Netzwerkzugriff Verschlüsselte Informationen Externe Speichermedien 4. Endgeräte erfordern erweiterten Zero-Day Schutz Verteilung im Netzwerk [Restricted] ONLY for designated groups and 2016 Check Point Software Technologies Ltd. 26 individuals

26 SANDBLAST AGENT Z e r o - D a y S c h u t z f ü r E n d g e r ä t e Vorbeugen von Zero-Day Angriffen Identifizieren von Infektionen Effektive Antwort & Remediation THREAT EXTRACTION & EMULATION FÜR ENDGERÄTE ANTI-BOT FÜR ENDGERÄTE & ENDGERÄT-QUARANTÄNE AUTOMATISCHE FORENSISCHE ANALYSE & ANGRIFF SANIERUNG Zustellung kontrollierter Inhalte Emulation der Orginaldateien Schützt Web-Downloads und das Kopieren von Dateien Entdeckt & Blockiert C&C Verbindungen Identifiziert infizierte Systeme Isoliert infizierte Systeme (Quarantäne) Ereignisanalyse spart Zeit & Kosten Leitet Informationen in Aktionen um Verstehen der AV Analyse Systemsäuberung [Restricted] ONLY for designated groups and 2016 Check Point Software Technologies Ltd. 27 individuals

27 5. Sicherheits-Segmentierung Reduziert die Größe der Herausforderung Begrenzt die Reichweite des Cyberangriffs 2016 Check Point Software Technologies Ltd. 28

28 Mögliches Design Public App WAF 2 1 DDOS External Internal Externe Gateways blockieren inbound Netzwerkverkehr und outbound C&C Interne Gateways segmentieren und setzen Sicherheitsregeln um DLP Threat Emulation Internal 1 Internal APP 1 Sensitive APP 1 2 Capabilities: Ø Identity awareness Ø IPS Ø FW Capabilities: Ø Application control Ø URL filtering Ø Anti Bot Ø IPS Check Point Sandblast und multi-layer Datenschutz konzentrieren sich auf Kill Chain Events 2016 Check Point Software Technologies Ltd. [Protected] Non-confidential content 29

29 Was wäre wenn die IT SICHERHEIT EINEN SCHRITT VORRAUS WÄRE? 2016 Check Point Software Technologies Ltd. 30

30 Check Point Sandblast trifft Locky 2016 Check Point Software Technologies Ltd. [Restricted] ONLY for designated groups and individuals 31

31 CHECK POINT DER BESTE SCHUTZ FÜR DAS WAS WIR NICHT KENNEN DER BESTE SCHUTZ FÜR DAS WAS WIR NICHT KONTROLLIEREN 2016 Check Point Software Technologies Ltd. 32

32 WE SECURE THE FUTURE Vielen Dank für Ihre Aufmerksamkeit! 2016 Check Point Software Technologies Ltd. 33