Anatomie eines Cyberspionage Angriffs Michael Hochenrieder Senior Information Security Consultant HvS Consulting AG Beispiele bekannter Fälle 25. Februar 2013 Cyber Spionage: Chinesische Hacker greifen EADS und ThyssenKrupp an Auch deutsche Konzerne sind im Visier chinesischer Hacker: Nach SPIEGEL Informationen zielten die Unbekannten auf den Luft und Raumfahrtkonzern EADS. ThyssenKrupp, Bayer und IBM wurden ebenfalls angegriffen. Künftig sollen Unternehmen solche Vorfälle melden müssen. HvS Consulting AG FOXBORO Cyber Security Workshop Folie 2 Genehmigung der HvS Consulting AG erlaubt! Seite 1
Historie von Cyberspionage Angriffen HvS Consulting AG FOXBORO Cyber Security Workshop Folie 3 Definition Advanced Persistent Threats (APT) Advanced (fortgeschritten) erhebliche technische Kenntnisse der Angreifer straff organisierter Angriff auf spezifische Ziele unauffällig Persistent (andauernd) Kombination von mehreren Angriffsvektoren langfristig angelegt, um Ziel zu erreichen Threat (Bedrohung) Abfluss von vertraulichen Informationen Angriffe auf kritische Infrastrukturen HvS Consulting AG FOXBORO Cyber Security Workshop Folie 4 Genehmigung der HvS Consulting AG erlaubt! Seite 2
APT Angriffsvektoren Angreifer Advanced Persistent Threat Systeme Menschen Ausnutzen von Schwachstellen Automatisierte Angriffe Schadsoftware DoS Attacken Social Engineering Spear Phishing HvS Consulting AG FOXBORO Cyber Security Workshop Folie 5 Angriffsziel Systeme Zentrale Niederlassung A Niederlassung B HvS Consulting AG FOXBORO Cyber Security Workshop Folie 6 Genehmigung der HvS Consulting AG erlaubt! Seite 3
Woran fehlt es häufig? Security Basics: Patching Hardening Vulnerability Scanning HvS Consulting AG FOXBORO Cyber Security Workshop Folie 7 Die Spuren eines Angriffs HvS Consulting AG FOXBORO Cyber Security Workshop Folie 8 Genehmigung der HvS Consulting AG erlaubt! Seite 4
Die Folgen wenn man nicht vorbereitet ist Unentdeckter Angriff Wiederherstellung Initialer Angriff 229 Tage Durchschn. Anzahl Tage, bevor ein Angreifer in einem Netz entdeckt wurde. 3 Monate 6 Monate 9 Monate der Unternehmen wurden von Extern über den Vorfall informiert. hatten aktuelle Anti Viren Signaturen. Source: Mandiant Threat Report 2014 Beyond the Breach HvS Consulting AG FOXBORO Cyber Security Workshop Folie 9 Rechte erweitern: APT Lateral movement HvS Consulting AG FOXBORO Cyber Security Workshop Folie 10 Genehmigung der HvS Consulting AG erlaubt! Seite 5
APT Angriffsvektoren Angreifer Advanced Persistent Threat Systeme Menschen Ausnutzen von Schwachstellen Automatisierte Angriffe Schadsoftware DoS Attacken Social Engineering Spear Phishing HvS Consulting AG FOXBORO Cyber Security Workshop Folie 11 Angriffsszenario Menschen: Social Engineering Erlangen vertraulicher Informationen mittels sozialer Kontakte Synonym Social Hacking Durch psychologische Tricks Erschleichung von Vertrauen Ohne Wissen des Opfers (Manipulation) Berühmtester Social Engineer: Kevin Mitnick Social Engineering ist umso erfolgreicher, je mehr sichtbarer technischer Schutz existiert. HvS Consulting AG FOXBORO Cyber Security Workshop Folie 12 Genehmigung der HvS Consulting AG erlaubt! Seite 6
Ausnutzung der Schwachstelle Mensch HvS Consulting AG FOXBORO Cyber Security Workshop Folie 13 Ausnutzung der Schwachstelle Mensch Spear Phishing ist verfeinertes Phishing mit einem gezielteren persönlichen Ansatz. Das englische Wort Spear steht für Speer. Bei diesem Phishing Ansatz kann der Spear Phisher das Vertrauen zu seiner Zielperson aufbauen. Der E Mail Verkehr kommt scheinbar vom Arbeitgeber oder von einem Kollegen. Quelle: Wikipedia HvS Consulting AG FOXBORO Cyber Security Workshop Folie 14 Genehmigung der HvS Consulting AG erlaubt! Seite 7
Angriffsszenario Menschen: Spear Phishing HvS Consulting AG FOXBORO Cyber Security Workshop Folie 15 Live Demo: HvS Trojaner in PDF mit Keylogger Http/Https Infizierter Rechner Firewall Internet HvS Server (Sv Hack) HvS Consulting AG FOXBORO Cyber Security Workshop Folie 16 Genehmigung der HvS Consulting AG erlaubt! Seite 8
Was sagen andere? Highlights aus Security for Business Innovation Council New paradigm in computer security: Assume compromise Quelle: http://de.slideshare.net/sigindia/when advanced persistent threats go mainstream HvS Consulting AG FOXBORO Cyber Security Workshop Folie 17 Was sagen andere? Highlights aus Security for Business Innovation Council APTs have moved from the realm of the military to the mainstream. The definition of successful defense has to change from keeping attackers out to sometimes attackers are going to get in; detect them as early as possible and minimize the damage. Consider that no organization is impenetrable. Assume that your organization might already be compromised and go from there. Is our security monitoring actually looking for the right things? Would attackers be able to hijack administrative accounts? How many of our users would fall prey to a spear phishing attack? Does executive leadership truly understand the nature of fighting a digital arms race? Quelle: http://www.rsa.com/innovation/docs/sbic_rpt_0711.pdf HvS Consulting AG FOXBORO Cyber Security Workshop Folie 18 Genehmigung der HvS Consulting AG erlaubt! Seite 9
Ganzheitliche Betrachtung des Themas Sicherheit Zielerreichung ~ 60 % IT Security Physische Sicherheit Security Richtlinien, Security Prozesse Risiko Management Zielerreichung ~ 70 % Security Awareness Sensibilisierung von Mitarbeitern und Führungskräften Zielerreichung?? % HvS Consulting AG FOXBORO Cyber Security Workshop Folie 19 Die Zukunft: Defense in Depth Informationen Klassifizierung Verschlüsselung Rights Management Anwendungen Sichere Entwicklung Harening / Patching Vulnerability Management Systeme Hardening / Patching Vulnerability Management Identität Starke Authentisierung Rollenbasierter Zugriff Privileged Identity Management Menschen Sensibilisierung Schulung Zugang Firewalls, Virenscanner Monitoring SIEM, Traffic Analyse, APT Scanner Netzwerk Segmentierung Network Access Control, Advanced Threat Prevention HvS Consulting AG FOXBORO Cyber Security Workshop Folie 20 Genehmigung der HvS Consulting AG erlaubt! Seite 10
Beispiel: Technologien SIEM (Security Incident & Event Management) Realtime Überwachung von Security Events Alarmierung Enhanced Threat Prevention / Netzwerk & Egress Monitoring E Mail / Content Netzwerk APT Forensic Scanner Identifiziert APT Angriffsspuren (IoC Indicators of compromise) Logfiles, APT Tools, PUAs, etc. Priviledged Identity Management (PIM) Zentrales Logging administrativer Zugänge 2 Faktor Authentisierung Information Classification / Rights Managament Klassifizierung von Informationen nach Vertraulichkeit Technische Maßnahmen je Sensitivitätsstufe HvS Consulting AG FOXBORO Cyber Security Workshop Folie 21 Beispiel: Prozesse Information Security Incident Management Vordefinierte Sofortmaßnahmen (z.b. Netz Trennung) Klärung von Abhängigkeiten/Schnittstellen (z.b. Datenschutz) Kommunikation (z.b. Outage, Hintergründe) Notfall / Krisenstabsübungen & APT Pentests Simulation des Tag X Technisches Assessment Tabletop Excercise Security Governance Kein neues System ohne Pentest Verbindliches Patching & Hardening Regelmäßige Überprüfung durch Vulnerability Management (2nd line of defense) Aufbau eines SOC / CERT HvS Consulting AG FOXBORO Cyber Security Workshop Folie 22 Genehmigung der HvS Consulting AG erlaubt! Seite 11
Beispiel: Menschen Führungskräfte Trainings Betroffenheit erzeugen Wissen vermitteln FKs als Multiplikatoren gewinnen Intranet Zentrales Informationssystem News & Archiv Richtlinien Testvirus (Wachrüttler und Messinstrument) Gefälschte E Mail, Anhang simuliert Virus Auflösung mit Link auf Online Training Admin Trainings Verständnis schaffen Know how Transfer Online Training für Mitarbeiter Grundlagen Training Mit Zertifikat, Immer verfügbar Video Tutorials Wissensvermittlung für spezielle Themen (z.b. E Mail Verschlüsselung) Umrahmende Maßnahmen (in Abstimmung mit UK) Signet, Post Ist, Poster, Flyer, Newsletter Tools Zur Umsetzung im Alltag (z.b. Verschlüsselung, Klassifizierung) Weitere Infos unter https://www.is fox.de/security awareness.aspx HvS Consulting AG FOXBORO Cyber Security Workshop Folie 23 Zusammenfassung Deutschland: Rohstoff KnowHow Hochprofessionelle Angriffe laufen bereits Bestehende Security Maßnahmen sind NICHT mehr ausreichend Mittelfristig: Umsetzung des Defense in Depth Strategie Kurzfristig: Quick Wins durch Awareness für Mitarbeiter Awareness für Admins Alarmierungstechniken (SIEM / APT Scanner) HvS Consulting AG FOXBORO Cyber Security Workshop Folie 24 Genehmigung der HvS Consulting AG erlaubt! Seite 12
Herzlichen Dank! August 2014 Michael Hochenrieder Senior Information Security Consultant HvS Consulting AG hochenrieder@hvs consulting.de Genehmigung der HvS Consulting AG erlaubt! Seite 13