BDO 360 CYBERSECURITY ANALYSE 2015 Global Forensics & FTS Annual Conferences, 15-17 October, Oslo - Presentation Page 0 title
DERZEITIGE SITUATION Internet Cyber Attack Angriffe erfolgen immer häufiger spezifisch auf ausgewählte Targets Angriffe werden technisch aufwändiger Hinter Angreifern stecken z.t. Staaten oder firmenartige Organisationen mit beachtlichen Budgets Lokales Netz Security Technologies schützen vor bekannten Szenarien und bekannter Malware Schutz vor unbekannten Angriffen nur eingeschränkt möglich Geringe Änderungen an Malware unterwandert Schutzschild Threat Besonders gefährdet sind KnowHow-Träger (sensible Technologien) und Institutionen wie Banken Besonders gefährlich sind Advanced Persistent Threats (APTs), die über einen längeren Zeitraum auch nach Entdeckung in veränderter Form weitergeführt werden Aktuelle Fälle in Österreich zeigen, wie verwundbar IT Infrastrukturen für Hacker-Angriffe sind
360 CYBERSECURITY ANALYSE Angreifer Aufnahme von übernimmt Benachrichtigung Mitarbeiterdetails Adminrolle von BDO Nachhaltige Schutzvorkehrung gegen Angriffe Mitarbeiteiter erhält Email mit Schadprogramm Mitarbeiter öffnet Anhang Das Ausspionieren der Daten beginnt Benutzerrechte werden nach Möglichkeit eskaliert Angreifer erhält Adminrechte BDO sammelt Daten Die gesammelten Daten werden nach Angriffsmustern ausgewertet Um ein Wiederkehren der Angreifer zu erkennen, werden Netzwerkdaten von BDO über einen Zeitraum überwacht Infektion des Rechners Weitere Rechner werden infiziert Untersuchung verdächtiger Vorfälle Angriffsmusters werden rekonstruiert
WARUM 360 Weil bei CyberAttacken häufig neue und damit noch unbekannte Angriffsszenarien angewendet werden, die einen ganzheitlichen Untersuchungsansatz erfordern Wir bereits bei der Planung davon ausgehen, dass von verschiedenen Medien und Systemen Daten z.t. in Echtzeit gesammelt werden müssen Aufgrund der Vielzahl eingesetzter Datenformate der Anspruch für die Auswertung hoch ist, diese Formate schnell sammeln, verarbeiten und untersuchen zu können Die zu untersuchenden Datenmengen sehr groß sein können und entsprechend performante Systeme bei der Auswertung erforderlich sind Komplexe Angriffsszenarien z.t. aufwendige Analyseverfahren erfordern Für die Sammlung der Daten ein weltweites Netzwerk erforderlich sein kann Auch hier datenschutzrechtliche Gegebenheiten Beachtung finden müssen Erfahrung in diesem Bereich die Grundlage zur erfolgreichen Analyse bildet
PROZESS DER 360 ANALYSE Wesentliche Erfolgsfaktoren 1. Proof Of Concept Counter POC Aufnahme der Netzwerklandschaft sowie measures etwaiger Schwachstellen und Aufstellung möglicher Analyseschritte 2. Collection of Data and Search Für das Verfahren relevante Daten werden forensisch gesichert Attack screening Analyse of colleted data Data Collection 3. Analysis of data and Malware screening Gesammelte Daten werden nach Auffälligkeiten gescreent 4. Study of actions of attackers Bei der Feststellung eines Angriffs wird der Angreifer beobachtet 5. Counter Measures Kritische Unternehmensdaten werden abgesichert
ELECTRONICALLY STORED INFORMATION (ESI) Netzwerklogs Einzelplatzrechner Webserver (wie Apache, IIS) Lokal gespeicherte Malware Firewall-Logs Switch-Logs Anmeldelogs, Exchange, VPN, ISA, Forefront Lokale Logfiles des Filesystems Lokale Logfiles und Windows Events Netzwerkverkehr Capture des Netzwerktraffics Nachvollziehen des Netflows Einmalig oder nach einem definierten Zeitplan Serversysteme Lokal gespeicherte Malware Lokale Logfiles, Logfiles des Filesystems und Server Events Service-Logfiles Konfiguration der Domänen
SAMMLUNG ELEKTRONISCHER DATEN Forensisches Image Sicherung wird lokal durchgeführt Wo technisch möglich und vertretbar, werden forensische Sicherungskopien, sog. Images, generiert Vom Original wird eine eins-zu-eins Kopie erstellt Auswertung aller Daten, inklusive gelöschter Bereiche möglich NUIX Workstation und NUIX Collector SUITE Sicherung wird zentral organisiert oder über das Netz ausgeführt Network Collector (No Shadow Copies) Portable Collector (Including Shadow Copies) Sharepoint Collector Add Network Connection (Mailstores, IMAP, POP, Groupwise)
ANALYSE GESAMMELTER DATEN Der modulare Aufbau von BDO s Analyse Plattform bietet umfassende Funktionen, die zur Durchführung von CyberSecurity Analysen erforderlich sind: Traffic Files + Filesystem Logfiles Untersuchung von nicht-strukturierten Daten fast unbegrenzter Größe Indexierung der Daten Decoding von obfuscated Strings, z.b. zur SQL Injection aus Webserver Logs File + Filesystem Analysis Virtualisierung von Systemen zur Feststellung von Malware und deren Wirkungsweise Auffinden von ungewöhnlichen Funktionen in Software durch Textstripping NearDuplicates zur Feststellung bekannter, aber abgeänderter Malware Netzwerk Traffic Sammlung und Auswertung von laufendem Datenverkehr Feststellung von Entities, wie angesteuerter URLs Zeitreihenanalyse über wiederkehrende Datensammlungen
DERZEITIGE THREATS (BEISPIELE) Intellectual Property Theft Faked President Golden Ticket Attack Essentielle Unternehmens- Über gefälschte Emails Der Angreifer setzt eigenes daten werden häufig von Mitarbeitern des Unternehmens entwendet wird versucht, Mitarbeiter zur Transaktion von Kerberos key distrubution center auf Als single sign on Firmengeldern zu bewegen Dies könnte APT Hintergrund haben technology kann der Angreifer alle Netzwerkressourcen nutzen, die seinem Profil entsprechen 2015 Global Forensics & FTS Annual Conferences, 15-17 October, Oslo - Presentation Page 8 title
IHRE ANSPRECHPARTNER Markus Trettnak Partner Leiter Forensic, Risk & Compliance Stephan Halder Senior Manager Leiter Forensic Technology Services BDO Austria GmbH Kohlmarkt 8-10 1010 Wien Tel.: +43 1 537 37-222 markus.trettnak@bdo.at BDO Austria GmbH Kohlmarkt 8-10 1010 Wien Tel.: +43 1 537 37-260 stephan.halder@bdo.at