Erkennung von Angriffen auf Industrieanlagen Alternative Ansätze vs. Methoden der Office-IT

Ähnliche Dokumente
Stuxnet zum Frühstück Industrielle Netzwerksicherheit 2.0 Stuttgart und München

Einfache und zuverlässige Erkennung von Angriffen mit der honeybox

DECUS IT-Symposium 2004

MIT SPECK FÄNGT MAN MÄUSE!

ELIT2012: Security. Security: Potentielle Gefahren und Gegenmaßnahmen

GESCHÜTZT MIT HL SECURE 4.0

Methoden zur Umgehung von IPS-Systemen und deren Abwehr

Intrusion Detection and Prevention

Automation meets IT. Industrial Security Heinrich Homann Security Specialist Plant Security Services

Was Sie schon immer über IPS wissen wollten, aber Ihren Hersteller nicht zu fragen wagten

Präsentation IKS. Desktop Personal Firewall (DPF) Virenscanner

Neues aus dem DFN-CERT. 48. DFN-Betriebstagung - Forum Sicherheit 26. Februar 2008 Andreas Bunten, DFN-CERT

Erste Hilfe für die IT - Incident Response

Intrusion Detection Systeme. Definition (BSI) Alternative Definition IDS

Integriertes Management von Sicherheitsvorfällen

Herausforderungen bei der Sicherung von Automatisierungssystemen gegen netzwerkbasierte Angriffe

- Design hochverfügbarer Server- und Storage-Umgebungen - Server- und Storage-Assessments Datenanalyse und -klassifizierung

CYBER SECURITY SICHERN, WAS VERBINDET. Dr. Rüdiger Peusquens it-sa Nürnberg,

Jan-Peter Hashagen (04INF) Anwendung Rechnernetze Hochschule Merseburg WS 2007 SNORT

IT-Sicherheit heute (Teil 7) Diesen und andere Vorträge bieten wir Ihnen als kostenlose Downloads an.

tiri.soc Threat-Intelligence

EINE AN DIE BEDÜRFNISSE DER BETRIEBSTECHNIK ANGEPASSTE GESAMTLÖSUNG INDUSTRIESICHERHEIT NETWORK SECURITY I ENDPOINT SECURITY I DATA SECURITY

scope7 Open Source Appliances Leistungsstarke Appliances vorinstalliert mit Proxmox

Reaktion auf Sicherheitsvorfälle

IT- und Medientechnik

Schutz vor Cyberbedrohungen Schutzmassnahmen MUM

Was sind die größten IT-Sicherheitsherausforderungen?

IT-Sicherheit im Gesundheitswesen aus Sicht der Hersteller

Integrierte Sicherheitslösungen

Janotta und Partner. Projekt DEFENSE

STATUS QUO IT-SICHERHEIT IN DEUTSCHEN UNTERNEHMEN

16. egovernment-wettbewerb Leistungsfähige Partner GESTALTEN ihre Zukunft:

Internet, Browser, , Firewall, Antivirus

WIE SICHER IST DER INHALT IHRER S? Sicher mit Secure -as-a-Service

10 IT-Gebote. Burkhard Kirschenberger Tel: Fax: Version Okt.

IT Security in der Praxis. Datensicherheit, Einbruchssicherheit, Rechtssicherheit. Carsten Fischer (Produkt Management)

Rolle eines Threat Management Centers im Rahmen des Risikomanagements nach ISO 27001

Moderne APT-Erkennung: Die Tricks der Angreifer

The information security provider

Wie erfolgt die Aktualisierung der Geräte Firmware eines SENTRON PAC3100?

Cybersicherheit in der Smart Factory

Installieren von GFI EventsManager

Dr. Bruteforce Oder wie ich lernte SSH-Angriffe zu lieben

Technische Voraussetzungen

tiri.soc Threat-Intelligence

Hacking und die rechtlichen Folgen für die Geschäftsleitung

Die praktische Umsetzung der EU-Datenschutz-Grundverordnung IT-Sicherheitslösungen zum Schutz Ihrer Daten und Infrastruktur

KASPERSKY INTERNET SECURITY 2011 UND KASPERSKY ANTI-VIRUS 2011 COPY POINTS

Grenzen eines Antivirenprogramms

IT-Security in der Automation: Verdrängen hilft nicht!

Thema IT-basierte Innovationen. IT-Sicherheit ist absolut unnütz, so lange bis etwas passiert Dirk Czepluch 21. November 2016

Ralph Zinser Business Development Manager Industrie 4.0

Schutz vor moderner Malware

Cyber Security 4.0. Aktuelle Angriffs- Methoden & Gegenmaßnahmen

BSI IT-Grundschutz in der Praxis

KASPERSKY SECURITY FOR VIRTUALIZATION 2015

Entdecken Sie neue Wege im Kampf gegen Cyberkriminelle! Mario Winter Senior Sales Engineer

HÄRTUNG VON WEB-APPLIKATIONEN MIT OPEN-SOURCE-SOFTWARE. Münchener Open-Source-Treffen, Florian Maier,

Hacking for your security - Penetration Testing

W32Lovsan Vorfall. Ursachen Lehren Maßnahmen , Dietrich Mönkemeyer, D4

Penetrationtests: Praxisnahe IT-Sicherheit

Intrusion Detection & Intrusion Prevention. Tobias Marx Gastvorlesung Sicherheit in Netzen 14. April 2005

Aktuelle Bedrohungen im Umfeld von Industrie 4.0

Enzo Sabbattini. Presales Engineer

Magenta Daimler EDM Forum

Cyber Crime. Podiumsdiskussion Erste Bank 27. September 2016

IP-COP The bad packets stop here

scope7 Open Source Appliances

Florian Gewecke - REMIND IT - Wie man seine IT-Landschaft mit gutem Rat und ein bißchen IT-Management besser aufstellt

Die Herausforderungen in der Logfileanalyse zur Angriffserkennung

Host Card Emulation Wie sicher ist das Bezahlen ohne Secure Element?

Sicherung der logistischen Abläufe bei der HHLA durch Schutz der IT gegen aktuelle Sicherheitsbedrohungen

LogApp - Security Information und Event Management leicht gemacht!

Schützen Sie Ihre Fertigung

CYBER TELEKOM DR. MARKUS SCHMALL

Deep Security. Die optimale Sicherheitsplattform für VMware Umgebungen. Thomas Enns -Westcon

Sicherheit im Internet

Cyberrisiken bei kritischen Infrastrukturen Herausforderungen für einen Netzbetreiber. Rainer Mühlberger, CIO Mitglied der Geschäftsleitung

Live Hacking auf eine Citrix Umgebung

Inhaltsverzeichnis. 1 Einleitung 1

Komplette Website Sicherheit. Sicherheit von A bis Z.

Informationen zum. LANCOM Advanced VPN Client 3.10

Intrusion Detection Systeme

System i Monitoring & Automation

Audits und Penetrationstests

ENTERPRISE SECURITY. POWERED BY INTELLIGENCE

Controlware Lösungen zum Schutz kritischer Infrastrukturen (KRITIS) - Risiken sicher erkennen und beseitigen

46. DFN-Betriebstagung - Forum Sicherheit

Intrusion Detection / Intrusion Prevention. Technologie zwischen Anspruch und Wirklichkeit

IT-Security für Autonomik. Dr. Carsten Rudolph Abteilungsleitung Trust and Compliance

Die Kunst des Krieges Parallelen zu Cybercrime. Michael Simon, Security Consultant

IGEL UMS. Universal Management Suite. Oktober Florian Spatz Product Marketing Manager

ERPRESSERSOFTWARE. Kriminelle zocken ab! Zyxel schützt Sie!

Recording Server Version SP A

Informationen zum. LANCOM Advanced VPN Client 3.10

MC100 GERMAN ENGINEERING QUALITY. INNOVATIVE VPN-LÖSUNGEN Home & Business.

Honeypots und Honeywall in der Praxis DFN-CERT Workshop,

Transkript:

Erkennung von Angriffen auf Industrieanlagen Alternative Ansätze vs. Methoden der Office-IT secxtreme GmbH Kiefernstraße 38, D-85649 Brunnthal-Hofolding Tel: +49 (0)89-18 90 80 68-0 Fax: +49 (0)89-18 90 80 68-77 E-Mail: info@sec-xtreme.com www.sec-xtreme.com

Über secxtreme Penetrationstests und Security-Audits auf Netzwerk- und Anwendungsebene Angriffe erkennen und darauf reagieren Angriffserkennung mit Honeypots, IPS und Netflow Log-Management und SIEM Verfolgung und Analyse von Angriffen (Incident Response, CERT und Forensik) Linux-Entwicklungen im Security-Umfeld

Aktuelle Situation Industrielle Systeme und Embedded Systeme nutzen immer mehr TCP/IP Feldbusse nutzen immer mehr Ethernet und TCP/IP Es werden dort immer mehr Windows und *NIX- Systeme verwendet Verwundbarkeiten aus Office-Umgebungen haben damit die industriellen Netzwerke erreicht Stuxnet hat viele Verwundbarkeiten davon ausgenutzt.

Aktuelle Schutzmaßnahmen Manchmal Firewalls Sehr oft ungepatchte Betriebssysteme und Anwendungen Anti-Virus selten genutzt und nur unregelmäßig oder nie aktualisiert Ungehärtete Betriebssysteme Systeme für einen Betriebszeitraum von 10 und mehr Jahren ausgelegt IT-Sicherheit 10 Jahre im Vergleich zur Office-IT zurück

Offensichtliche, aber nicht funktionierende Lösungen Nutzung von bekannten Technologien aus dem Office-Umfeld Patch-Management Anti-Virus Intrusion Detection und Intrusion Prevention

Warum Anti-Virus nicht funktioniert Anti-Virus verändert das Systemverhalten (wird langsamer, schlechtere Verfügbarkeit, ) Signaturen müssen mindestens alle drei Stunden aktualisiert werden Signaturen müssen vorab getestet werden Auf einer Reihe von Systemen kann kein Anti-Virus installiert werden (Gewährleistungsverlust durch Hersteller, Zertifizierung oder Abnahme) Erkennt nur bekannte Schadsoftware (Stuxnet wurde nicht erkannt) Zunehmend schlechterer Wirkungsgrad bei der Erkennung

Warum regelmäßiges Patchen nicht funktioniert Patche verändern das Systemverhalten (Timing, Inkompatibilitäten) Patche müssen mindestens alle 4-8 Wochen eingespielt werden Manchmal sind Systeme nicht patchbar (es gibt keine Patche mehr, Gewährleistungsverlust, ) Gerade für industrielle IT-Komponenten sind Patche oder neue Firmware-Versionen nicht zeitnah verfügbar Immenser Aufwand bei größeren Netzen

Warum Firewalls nicht die einzige Lösung sind In den Firewalls müssen die benötigten Ports geöffnet werden. Schadsoftware nutzt dieselben Ports für die Verbreitung (z. B. TCP/445) Firewalls verringern die Verfügbarkeit. Sie müssen daher redundant ausgelegt werden (höhere Komplexität und trotzdem geringerer Verfügbarkeit). Firewalls werden mit der Zeit immer offener (Regeln werden eingetragen aber selten wieder entfernt).

Warum kein IDS und IPS? Erkennt nur bekannte Angriffe Unterwanderung ist möglich Sehr hoher Aufwand für den Betrieb Viel zu teuer, um im gesamten Netzwerk installiert zu werden Brauchen regelmäßige Updates der Signaturen IPS muss meist hochverfügbar ausgelegt werden (Bandbreite, niedrigere Verfügbarkeit) False positives haben direkte Auswirkungen auf die Produktion Im Auslieferungszustand sind nur 30%-50% der Signaturen aktiv

Spannungsfeld Office-IT industrielle IT Zwei Welten treffen aufeinander Unterschiedliche Sprache Unterschiedliche Anforderungen Unterschiedliche Protokolle Office-IT versucht, die Prozess-IT zu erobern, bekehren,

Fazit Klassische Ansätze der IT-Sicherheit sind in industriellen Umgebungen meistens unbrauchbar Stuxnet wurde durch keinen dieser Ansätze erkannt

Innovative Lösung durch Honeypots Ein Honeypot ist ein System, dessen Wert darin besteht, von Angreifern attackiert zu werden. Angreifer sollen sich mit ihnen beschäftigen. Die Honeypot-Technologie wird seit vielen Jahren im Internet von IT-Sicherheitsforschern erfolgreich genutzt. secxtreme treibt die Nutzung von Honeypots in internen Netzwerken seit 5 Jahren voran und bietet die Technologie out of the box als Appliances an.

Angriffe mit Honeypots erkennen: Wie es funktioniert 1. Informationsrecherche (im Internet) 2. Scannen (Ping, Ports, Betriebssysteme) 3. Erkunden (Dienste, Benutzer, Software) 4. Auf Systeme zugreifen 5. Privilegien ausbauen 6. Suche nach Vertrauensbeziehungen, Passwörtern 7. Hintertüren einbauen 8. Spuren verwischen

honeybox Hardware- oder Software-Appliance 1 oder 4 Ports Stellt virtuelle Honeypots zur Verfügung Bis zu 1.000 virtuelle Honeypots je Port möglich Einfache Inbetriebnahme Zuverlässige Erkennung

Funktionsweise Vergleichbar mit einem Rauchmelder (geringer Stückpreis, einfach, zuverlässig) Emulation einer großen Anzahl von Systemen Gleiche Betriebssysteme, nur schlechterer Patchstand oder ältere Versionen Für den Angreifer interessante Systeme

Honeypots im LAN

Vorteile von Honeypots Unabhängig von der Netzwerkbandbreite Passiv Keine Verringerung der Verfügbarkeit Geringe Wartungs- und Betriebsaufwände Sehr wenig Fehlalarme Kein IT-Security-Expertenwissen notwendig

Event-Häufigkeit

Was können Sie mit Honeypots erreichen? Angriffe einfach und zuverlässig erkennen Flächendeckende Überwachung Unbekannte Angriffe erkennen Angreifer von produktiven Systemen auf Honeypots ziehen Zeit für Gegenmaßnahmen gewinnen

Zusammenfassung Klassische Ansätze der Office-IT sind oft problematisch oder unbrauchbar Firewalls sind sinnvoll, aber nicht die alleinige Lösung Honeypots eröffnen neue Möglichkeiten Wir sehen die Zukunft in Kombination von Honeypots und Firewalls

Vielen Dank für Ihre Aufmerksamkeit secxtreme GmbH Kiefernstraße 38, D-85649 Brunnthal-Hofolding Tel: +49 (0)89-18 90 80 68-0 Fax: +49 (0)89-18 90 80 68-77 E-Mail: info@sec-xtreme.com www.sec-xtreme.com

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback