Controlware Lösungen zum Schutz kritischer Infrastrukturen (KRITIS) - Risiken sicher erkennen und beseitigen

Transkript

1 Controlware Lösungen zum Schutz kritischer Infrastrukturen (KRITIS) - Risiken sicher erkennen und beseitigen Christian Bohr / Nicolas Marben Controlware GmbH Thomas Kirsten RadarServices GmbH Controlware Security Roadshow

2 KRITIS Secure Kritische Infrastrukturen Definition nach BMI (Bundesministerium des Innern): Kritische Infrastrukturen ( KRITIS ) sind Organisationen oder Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden. Diese Unternehmen sind nach dem IT-Sicherheitsgesetz verpflichtet ein ITSM einzuführen, um Sicherheitsvorfälle in ihrer technischen Infrastruktur zu erkennen und zu melden. Zur qualifizierten Erkennung sind die Unternehmen meist selbst nicht in der Lage.

3 Was ist KRITIS Secure? KRITIS Secure bietet die Erkennung, Bewertung und Behandlung von IT- Risiken und Sicherheitsvorfällen in Form eines Managed Services für Kunden aus dem Bereich Kritische Infrastrukturen und basiert auf einer exklusiven Zusammenarbeit zwischen RadarServices und Controlware. Unterzeichnung des KRITIS Secure Partnervertrages am in Wien

4 Schematischer Aufbau KRITIS Secure IT-Infrastruktur des Kunden Security Information & Event Management (SIEM) Risk Detection Automated Identification of Risk through Correlation Vulnerability Assessment (VAS) Network-based Intrusion Detection (NIDS) Host-based Intrusion Detection (HIDS) Advanced Persistent Threat Detection (ATD) Risk Detection Automatische Risiko- Erkennung durch Korrelation Risk Intelligence Risiko- Analyse und -Bewertung Incident Response Risiko- Bearbeitung und -Beseitigung Software Compliance Management (SOCO)

5 Security Monitoring & Assessment

6 Erfolgskriterium: Mit System an die entscheidenden Information Schwachstellenausnützung Protokollfremde Datenübertragung Kommunikation zu blacklisted IPs/URLs Unübliche Fehlermeldungen Veränderungen in der Konfiguration s mit Malware Angriffsmeldungen v. IPS/Firewall/ Anti-Virus Fehlerhafte Anmeldeversuche Command & Control Verkehr Gespiegelter Netzwerkverkehr Inventar Informationen

7 Erfolgskriterium: Mit System an die entscheidenden Information Schwachstellenausnützung Protokollfremde Datenübertragung Kommunikation zu blacklisted IPs/URLs Unübliche Fehlermeldungen Veränderungen in der Konfiguration s mit Malware Angriffsmeldungen v. IPS/Firewall/ Anti-Virus Fehlerhafte Anmeldeversuche Command & Control Verkehr Gespiegelter Netzwerkverkehr Inventar Informationen

8 Erfolgskriterium: Mit System an die entscheidenden Information Schwachstellenausnützung Protokollfremde Datenübertragung Kommunikation zu blacklisted IPs/URLs Unübliche Fehlermeldungen Veränderungen in der Konfiguration s mit Malware Angriffsmeldungen v. IPS/Firewall/ Anti-Virus Fehlerhafte Anmeldeversuche Command & Control Verkehr Gespiegelter Netzwerkverkehr Inventar Informationen

9 Erfolgskriterium: Mit System an die entscheidenden Information Schwachstellenausnützung Protokollfremde Datenübertragung Kommunikation zu blacklisted IPs/URLs Unübliche Fehlermeldungen Veränderungen in der Konfiguration s mit Malware Angriffsmeldungen v. IPS/Firewall/ Anti-Virus Fehlerhafte Anmeldeversuche Command & Control Verkehr Gespiegelter Netzwerkverkehr Inventar Informationen

10 Erfolgskriterium: Mit System an die entscheidenden Information Schwachstellenausnützung Protokollfremde Datenübertragung Kommunikation zu blacklisted IPs/URLs Unübliche Fehlermeldungen Veränderungen in der Konfiguration s mit Malware Angriffsmeldungen v. IPS/Firewall/ Anti-Virus Fehlerhafte Anmeldeversuche Command & Control Verkehr Gespiegelter Netzwerkverkehr Inventar Informationen

11 Beispiele für Use Cases 1. Use Case: Abweichung vom Kommunikationsmuster Die Netzwerkanalyse liefert die Kommunikationsbeziehungen Bei Abweichungen erfolgt eine Alarmierung In der weiteren Analyse wird die Art der Abweichung ermittelt (extern/intern, Ziel/Quelle, Art der Kommunikation) Anschließend wird eine Handlungsempfehlung erstellt oder ein Emergency Response Einsatz veranlasst 2. Use Case: Virus-Ausbruch Auswertung der Logs der Virenscanner und IDS-Systeme In der weiteren Analyse wird die Art, Ausmaß und Verteilung der Schadsoftware ermittelt Anschließend wird eine Handlungsempfehlung erstellt oder ein Emergency Response Einsatz veranlasst 3. Use Case : Daten-Exfiltration Die Netzwerkanalyse liefert die betroffenen Sessions Die Analyse überprüft Quelle und Ziel (Backup-> harmlos, Dropbox, Private Cloud, blacklistet IP oder ungewöhnliche Geo-Region ->verdächtig) Bei Verdacht auf Exfiltration von intern kann vorab der CISO/CIO informiert werden

12 IT-Security Monitoring, vereinfachte Darstellung 1 Analyse der Log-Daten SOC Korrelation SIEM VAS 2 Analyse der Schwachstellen Firewall Firewall NIDS APT 3 Analyse des Datenstroms durch Spezialisten bewertet tatsächlich relevant priorisiert false positive frei beschrieben & sofort umsetzbar 4 Analyse von Inhalten & Web Downloads

13 Das Risiko Cockpit

14 Security Incident Response

15 Schematischer Aufbau KRITIS Secure IT-Infrastruktur des Kunden Security Information & Event Management (SIEM) Risk Detection Automated Identification of Risk through Correlation Vulnerability Assessment (VAS) Network-based Intrusion Detection (NIDS) Host-based Intrusion Detection (HIDS) Advanced Persistent Threat Detection (APT-D) Risk Detection Automatische Risiko- Erkennung durch Korrelation Risk Intelligence Risiko- Analyse und -Bewertung Incident Response Risiko- Bearbeitung und -Beseitigung Software Compliance Management (SOCO)

16 ATD NIDS VAS Security Monitoring & Analyse SIEM Security Operating & Incident Response im Detail Reports & Risk- Score CIO / CISO Risiko-Bewertung Kunde Security Incident Management Risk Cockpit Run Book Incident Response Logdaten Emergency Response Controlware SOC Risk DB Security Consulting

17 Aufgaben und Rollen im Incident Response Team 1. Tier-2 Incident Analyst Kundenspezifische Informationen berücksichtigen Incidents qualifizieren und zu IT-Sicherheitsvorfällen zusammenfassen Handlungsempfehlungen erstellen 2. Incident Handler Koordination der Incident Bearbeitung mit dem Kunden Ausarbeitung von Maßnahmen und Handlungsempfehlungen vor und während eines IT-Sicherheitsvorfalls Sicherheitsvorfälle verifizieren und Einschätzen (remote) Falls erforderlich Einschaltung CERT Dokumentation der Vorfälle 3. Cybersecurity Expert (CERT) Konkrete Gefahrenabwehr Remote oder vor Ort

18 KRITIS Secure-Pakete Die angebotenen Pakete unterscheiden sich hauptsächlich durch die eingesetzten Analyse- Module: SIEM NIDS VAS HIDS Security Information & Event Management Network-based Intrusion Detection Vulnerability Management and Assessment Host-based Intrusion Detection KRITIS Secure KRITIS Secure plus KRITIS Secure & HIDS SOCO ATD Software Compliance Advanced Cyber Threat Detection KRITIS Add-On

19 Qualität statt Quantität 1. Die umfassende Risikoerkennung Insgesamt 6 verschiedene Risiko-Erkennungsmodule in einer Lösung 2. Spezifische Incident Response Leistungen Incident Response & Mitigation Emergency Response Security Consulting (nachgelagert) 3. Security Made in EU Eigenes SOC in Dietzenbach und Berlin (im Aufbau) + Wien Security Monitoring und Incident Response aus einer Hand Datenverarbeitung nach EU-Datenschutzrichtlinien Fällt nicht unter den U.S. Patriot Act, kein externer Zugriff auf Kundendaten möglich 4. Anti Cloud Keine Nutzung von Cloud-Diensten zur Analyse Daten verlassen grundsätzlich nicht das Unternehmen des Kunden

20 Vielen Dank für Ihre Aufmerksamkeit! Thank you very much for your attention! Merci beaucoup pour votre attention! Gracias por su atención!

21 Schematische Darstellung des technischen Konzepts Internet Internet Professional Streams Software Kein direkter Internetzugriff für Radar Appliance Test Preprod. Radar Appliance interne Scans/ Logsammlung SOC Pilot Master RadarServices B.Braun Datenstrom Local Backup (ca. 6 x pro Tag) SOC Controlware