IBM Security Systems Live Hacking Demo Christian Meßmer Client Technical Professional IBM Security Systems Division Phone: +49-(0)172-6226165 E-Mail: christian.messmer@de.ibm.com
IBM Threat Protection System Ein dynamisches, integriertes System um fortschrittliche Angriffe zu unterbrechen und vor Datendiebstahl zu schützen Prevent. Detect. Respond. Die Roadmap von Morgen Bedeutende Investitionen in 10 Entwicklungslabore um Schutz vor fortschrittlichen Bedrohungen zu liefern Einzigartige Integration Strategischer Fokus auf der Integration und der intelligenten Verbindung der IBM Security Produkte Neue Partnerschaft Industrieübergreifender Koordination zur Produktzusammenführung für unsere Kunden 2
Die Motivation für Angriffe ist vielfältig Nationale Sicherheit Spionage, Aktivismus Monetärer Nutzen Rache, Neugierde Wettbewerber und Hacktivisten Aurora Organisiertes Verbrechen Zeus Insider und Script-kiddies I love you Staatliche Akteure Stuxnet 3
Was sehen wir heute? IBM X-Force Threat Intelligence 2Q 2014 Report Angriffe auf Anwendungen Ergebnis einer Umfrage unter 1 Mio Trusteer Kunden, Dezember 2013 13% 15% 22% 50% Oracle Java Adobe Reader Webbrowser Andere Quelle: IBM X-Force Research & Development
Was sehen wir heute? IBM X-Force Threat Intelligence 2Q 2014 Report 5 am meisten angegriffene Branchen Produktion Finanzen & Versicherung Informationstechnologie Gesundheit & Soziale Dienste Einzel- & Großhandel 26.5 % 20.9 % 18.7 % 7.3 % 6.6 % Advanced Persistent Threat ist die verbreiteste Methode der professionellen Hacker Quelle: IBM X-Force Research & Development
Was ist ein Advanced Persistent Threat? 1. 2. 3. Nutzt unbekannte ( Zero-Day ) Schwachstellen aus Angriffe dauern Monate oder Jahre (durchschnittlich: 1 Jahr, höchstens 4,8 Jahre) Visiert spezielle Personen oder Gruppen einer Organisation an 6
Angreifer verfolgen eine 5-Phasen Attacke 1 Zugang verschaffen Spear Phishing und Remote-Exploits um Zugriff zu erlangen 2 Command & Control (CnC) Festsetzen Schadsoftware und Hintertüren werden installiert 3 Sichten Ausspähung und Ausbreitung um Präsenz zu erhöhen 4 Sammeln Beschaffung und Aggregation von wertvollen Daten 5 Command & Control (CnC) Herausbefördern Datenübertragung nach Extern 7
Vorbereitende Recherchen Identifizierung Social Media zur Informationsgewinnung Gläserne Identität Verhaltensweisen Bekanntschaften Kommunikationspräferenzen Profiling Erstellung von Personen-Profilen auf Basis der Social Media Informationen Kontaktaufnahme Individuelle Kontaktaufnahme, die eine Malware Falle beinhaltet 8
Angriffsszenario Phase 1: Zugang verschaffen 1 Identity Manager 2 Guardium 3 QRadar 4 Trusteer Network IPS 5 Unternehmensnetzwerk DMZ Internet 9
IBM QRadar Security Intelligence Platform Umfangreiche Datenquellen Sicherheitskomponenten Server und Mainframes Netzwerk- und virtuelle Aktivitäten Datenaktivitäten Anwendungsaktivitäten Automatische Offense Identifikation Automatisierte Datensammlung, Asset Erkennung und Profilierung Automatisiert, Echtzeit und Integrierte Analytik Echter Sicherheitsvorfall Verdächtiger Sicherheitsvorfall Konfigurationsinformationen Massive Datenreduktion Anomalie Erkennung Sicherheitslücken und -risiken Benutzer und Identitäten Out-of-the Box Regeln und Vorlagen Intelligenz IBM QRadar Security Intelligence Platform Global Threat Intelligence
Live Demo Ablauf des Angriffs 11
Gegenmaßnahmen für Phase 1 Mailverkehr IBM Mail Protector URL-Analysen für Phishingund Spyware-Erkennung Aufruf des Links IBM Security Network Protection, XGS Überwachung und mögliche Unterdrückung der Kommunikation IBM QRadar Überwachung der Netzwerkkommunikation über Flow Analysis IBM Trusteer Apex Anwendungsüberwachung Vorbeugung & Reaktion Awareness Etablierung vorbeugender Security- Policies im Unternehmen IBM Endpoint Manager Systems Management 13
QRadar Security Intelligence Platform Offenses 14
Angriffsszenario Phase 2: Festsetzen 1 2 3 4 5 Unternehmensnetzwerk DMZ Internet 15
Anlegen weiterer Accounts 16
Gegenmaßnahmen für Phase 2 Netzwerkverkehr Systemen Vorbeugung & Reaktion IBM Security Network IPS IBM QRadar Flow Analysis Erkennen von anomalem Verhalten und Vorgehen auf den Netzwerken IBM Identity Management Überwachung von Benutzern und unerlaubten Berechtigungsänderungen IBM Endpoint Manager Patch Management Virenscanner Erkennen von kompromittierten Maschinen Schwachstellen Management Absicherung unternehmensinterner Anwendungen 17
Angriffsszenario Phase 3: Sichten 1 2 3 4 5 Unternehmensnetzwerk DMZ Internet 18
Scannen eines Servers nach aktivierten Diensten 19
Gegenmaßnahmen für Phase 3 Netzwerkverkehr Systeme Vorbeugung & Reaktion Netzwerksegmentierung Verhindert das Scannen großer Teile des Unternehmensnetzwerks IBM Access Management Blockieren von unerlaubtem Abspeichern von Dateien auf den Endgeräten IBM Endpoint Manager Patch Management Policies Eingeschränkte Nutzung von Ports und Kommunikations- Protokollen 20
Angriffsszenario Phase 4: Sammeln 1 2 3 4 5 Unternehmensnetzwerk DMZ Internet 21
Datenbank-Abfragen mittels gestohlener Zugangsdaten 22
Gegenmaßnahmen für Phase 4 Datenbanken Systeme Vorbeugung & Reaktion IBM Guardium Entdecken und Unterbinden von unberechtigten SQL- Abfragen Logging, Terminierung und Quarantäne der SQL- Kommunikation IBM QRadar Anomalie-Erkennung für direkte Dateizugriffe Überwachung des Netzwerk-Datenverkehrs Anomale File-Transfers 23
Was passiert bei aktiver, gezielter Blockierung durch Guardium? Angreifer hat keine Chance auf sensitive Objekte zuzugreifen 24
Angriffsszenario Phase 5: Herausbefördern 1 2 3 4 5 Unternehmensnetzwerk DMZ Internet 25
Datenexfiltration 26
Gegenmaßnahmen für Phase 5 Netzwerkverkehr Systemen Vorbeugung & Reaktion IBM QRadar Verdeckte Datenströme anzeigen mit QFlow Analyse Data-Loss-Prevention (DLP) Systeme IBM Trusteer Apex Verhindert unerwünschten Kommunikationsaufbau nach Außen Vorbeugende Kommunikations-Regeln 27
IBM QRadar Security Intelligence Platform Echter Sicherheitsvorfall Direkte, forensische Untersuchung Zeitreduktion für das Lösen von Angriffen durch einen intuitiven, forensischen Workflow Intuition größer als technisches Training Herausfinden der Hauptursache und Schutz vor einem Wiederholungsvorfall IBM QRadar Incident Forensics
IBM QRadar Incident Forensics 29
IBM Threat Protection System Ein dynamisches, integriertes System um fortschrittliche Angriffe zu unterbrechen und vor Datendiebstahl zu schützen Prevent. Detect. Respond. Die Roadmap von Morgen Bedeutende Investitionen in 10 Entwicklungslabore um Schutz vor fortschrittlichen Bedrohungen zu liefern Einzigartige Integration Strategischer Fokus auf der Integration und der intelligenten Verbindung der IBM Security Produkte Neue Partnerschaft Industrieübergreifender Koordination zur Produktzusammenführung für unsere Kunden 31
IBM Security Systems Portfolio Security Intelligence and Analytics QRadar SIEM QRadar Log Manager QRadar Risk Manager QRadar Vulnerability Manager QRadar Incident Forensics Advanced Fraud Protection Trusteer Rapport Trusteer Pinpoint Malware Detection Trusteer Pinpoint ATO Detection Trusteer Mobile Risk Engine People Data Applications Network Infrastructure Endpoint Identity Management Access Management Guardium Data Security Guardium Database Security AppScan Source AppScan Dynamic Network Intrusion Prevention Next Generation Network Protection Trusteer Apex Mobile & Endpoint Management Privileged Identity Manager Guardium / Optim Data Masking DataPower Web Security Gateway SiteProtector Threat Management Virtualization and Server Security Federated Access and SSO Key Lifecycle Manager Security Policy Manager Network Anomaly Detection Mainframe Security IBM X-Force Research 32
IBMs Keep in Mind 1. Motivation für Angriffe hat sich geändert Security Intelligence. Think Integrated. 2. Advanced Persistent Threat ist die am meisten verbreitete Methode der professionellen Hacker 3. IBM QRadar & Trusteer Apex 33
Vielen Dank Christian Meßmer Client Technical Professional IBM Security Systems Division Phone: +49-(0)172-6226165 E-Mail: christian.messmer@de.ibm.com 34