IT-Sicherheit heute - Angriffe, Schutzmechanismen, Umsetzung Reale Angriffsszenarien Advanced Persistent Threats Jochen.schlichting@secorvo.de Seite 1
APT Ausgangslage Ablauf Abwehr Seite 2
Ausgangslage APT Was ist es? - Definition Advanced Persistent Threat (APT) Fortgeschrittene, andauernde Bedrohung Bedrohungen für IKT- Infrastrukturen (Wikipedia) A group of sophisticated, determined and coordinated attackers that have been systematically compromising U.S. government and commercial computer networks for years (Mandiant) Ziel ist Spionage und -sabotage (wirtschaftlich, national-strategisch) durch Cyber-Angriffe Was bedeutet es? Ein APT kompromittiert erfolgreich jedes angestrebte (vernetzte) Ziel Konventionelle Maßnahmen der Informationssicherheit greifen nicht Angreifer unterlaufen erfolgreich bestehende Anti-Virus-, Netzwerk- Intrusion Detection- und andere Best-Practise-Maßnahmen Warum APT? Überaus eindrucksvolle Erfolgsquote! Seite 3
Ausgangslage APT Wer greift an? Organisierte Gruppen von Angreifern mit viel finanziellen Ressourcen und Arbeitsteilung Angreifer sind professionell ausgebildet und werden geführt (keine Hacker a la Anonymous) Wer ist betroffen? Unternehmen (Google, Verteidigungssektor, RSA, ) Staaten (Staaten weltweit - Operation Aurora) KRITIS-Infrastrukturen Womit? Netzwerkzugang / -erreichbarkeit fast immer erforderlich Stuxnet, Duqu, andere noch unbekannte Trägersysteme Seite 4
Ausgangslage APT Wer steht hinter den Angreifern? Zumeist unklar, wird sog. nation states zugeschrieben; ABER auch die organisierte Kriminalität und Sicherheitsunternehmen sind Mitspieler (z. B. HBGary Email-Exposure in Anfang 2011 mit Project Magenta - non detectable Windows-Root-Kit) Positionsbestimmung Die vernetzte Welt befindet sich in einem digitalen Wettrüsten. Seite 5
APT in Planung (HBGary( HBGary) Seite 6
APT in Planung (HBGary( HBGary) Seite 7
Ablaufschritte eins APT 1. Aufklärung des Ziels 2. Initiales Eindringen in das Netzwerk 3. Etablierung einer Backdoor innerhalb des Netzwerks 4. Erlangung von Benutzeranmeldeinformationen 5. Installation unterschiedlichster Werkzeuge 6. Privilegien-Eskalation / Data-Exfiltration (Datenabfluß) 7. Beibehaltung der Festsetzung in der Infrastruktur (Persistence) Seite 8
Ablauf APT Detailablauf: 1: Targeted individuals range from senior leadership to researchers to administrative assistants 2: Use of social engineering combined with e-mail. This is known as spear phishing uses ZIP files will contain one of several different intrusion techniques: CHM file containing malware / Microsoft Office document exploit / other client software exploit, like an Adobe Reader exploit. 3: Pass-the-hash for priviledge escalation or stealthy malware that routinely avoids detection with system level privileges 4. Often credentials of domain administrators 5. Use tools to install backdoors, dump passwords, obtain e-mail from servers, list running processes, and many other tasks 6. Data Exfiltration over staging servers; encryption and compression of stolen data, 7. Update of malware do avoid detection and preserve foothold Seite 9
Abwehrmaßnahmen APT Intensivierung der Erfassung und Auswertung von Informationen Einsatz von intelligenter Überwachung im Netz Angepasst auf die Angreifer Angepasste Zugriffskontrolle Wenig privilegierte Benutzerzugriffsrechte Durchführung effektiver Nutzertrainings Erkennung von Social Engineering-Techniken Steuern der Erwartungshaltung der Unternehmensleitung Kommunikation der Natur von APT Änderung der IT-Architektur Segmentierte, filternde Netzwerkstrukturen Informationsaustausch pflegen Seite 10
www.secorvo-college.de Seite 11