Neue Herausforderungen für die Abwehr von Cyber-Angriffen Thomas Bleier Dipl.-Ing. MSc zpm CISSP CEH CISM Thematic Coordinator ICT Security Safety & Security Department AIT Austrian Institute of Technology GmbH
Das Problem Die Komplexität der IKT-Systeme steigt ständig Mondlandung mit 7.500 Lines of Code Heute: F-35 Kampfflugzeug: 5,7 Mio; Boeing 787: 6,5 Mio; Mercedes S-Klasse: 20 Mio; Chevrolet Volt: 100 Mio. Die Systeme werden immer weiter vernetzt Internet-of-Things, Always-on, Pervasive Computing M2M (Machine-to-Machine) Communication Virtual Infrastrucutures (Cloud), etc. Industrie-Trend hin zu offenen Netzwerkarchitekturen Offene, standardisierte Protokolle (e.g. IP) für viele Anwendungen Steigende Anzahl von third parties Die Abhängigkeit von den IKT-Systemen steigt Smart Grid, Smart Home, Smart City, Smart Phone egovernment, ecommerce, ehealth, emobility 3
ICT Security Research @ AIT Main Application Areas Smart Grid & SCADA Security Fundamental Technologies High Assurance Clouds (National) Cyber Security Info Sharing & Event Correlation Risk Management Privacy & Identities Next Gen Crypto 4
Motivation für National Cyber Defense Die Gesellschaft ist von IKT abhängig Cyber Crime ist inzwischen ein profitables Geschäft Cyber Terrorism und Cyber War sind Realität! Large-scale distributed denial of service attacks (DoS) APT Advanced Persistent Threats (z.b. Stuxnet) Oft private Betreiber für kritische Infrastrukturen Unterschiedliche Sicherheitsstandards Viele (neue) Angriffsvektoren Infrastrukturen werden immer mehr vernetzt, dadurch kommt es zu Abhängigkeiten und der Möglichkeit von Kaskadeneffekten Steigende Nutzung von IKT für kritische Infrastrukturen Die Sicherheit der IKT innerhalb von Organisationen wird von nationaler Bedeutung! 5
Source: Wikipedia, Licensed under Creative Commons. Beispiele für Angriffe Large-scale Traffic Hijacking (April 2) A Chinese telecom provider hijacked 15% of the world s internet traffic through Chinese servers for 20 min (rerouting traffic incl..mil and.gov domains). Internet communication of millions of users were exposed to eavesdropping. DigiNotar Breach (August 2011) The Dutch certificate authority experienced a security breach, allowing attackers to generate fake PKI certificates. The fake certificates, the result of the breach, were used to wiretap the online communication of around half a million Iranian citizens. Following the breach many Dutch e-government websites were offline or declared unsafe to visit. Stolen Passwords on LinkedIn (June 2012) 6.5 million (SHA-1) hashed passwords appeared on public hacker forums. Personal data could be used for social engineering and phishing attacks towards service provider staff. Source: Cyber Incident Reporting in the EU, Aug. 27th, 2012 http://www.enisa.europa.eu/activities/resilience-and-ciip/incidents-reporting/cyber-incident-reporting-in-the-eu 6
Koordinierte Abwehr von Cyber-Angriffen Forschungsfragen Wie kann man gemeinsam Betriebe die kritische Infrastrukturen betreiben dabei unterstützen, ihre Systeme abzusichern? Ein effektives Early Warning System auf nationaler Ebene etablieren? Verteilte und koordinierte Angriffe auf verschiedene Organisationen rechtzeitig erkennen? Kritische Infrastrukturen durch besseren Informationsaustausch über Angriffe effizienter schützen? Auswirkungen von Angriffen auf nationaler Ebene analysieren und Gegenmaßnahmen entwickeln? 7
National Situational Awareness Understand Netzwerkstrukturen und Abhängigkeiten Verfügbarkeiten von Services Laufender Betrieb Detect and predict Ungewöhnliche Aktivitäten Auswirkungen jetzt und in Zukunft Kaskadeneffekte Observe and analyze Abwehrmaßnahmen effektiv planen, Erfolgsaussichten abschätzen Wiederherstellungsmaßnahmen gather, filter, process, assess, analyze, interpret, comprehend, visualize, predict, inform, share 8
Effizienter Informationsaustausch Hybride Modelle sind notwending peer-to-peer und hierarchisch Erhöhtes Vertrauen zwischen Organisationen Eigene Entscheidungsbefugnis welche Daten mit wem geteilt werden Trotzdem müssen nationale Organisationen den Überblick haben Security Operation Centers (SOCs) Organizational Level Sectoral Level Cross-Sectoral Level National and European Level Aufgaben von Trusted SOC s Informationen über Vorfälle sammeln, aufbereiten, verteilen Kontakt mit lokalen Behörden Kontakt mit anderen Organisationen 9
Frühzeitige Erkennung von Angriffen (Zukünftige) Angriffe sind komplex und koordiniert Einzelne Teile des Angriffs oft unter der Erkennungsschwelle Die Überwachung von einzelnen Systemen reicht nicht aus Angriffe nicht rein technisch Zusätzliche Mechanismen sind notwendig um Koordinierte Angriffe auf mehrere Ziele zu erkennen Angriffe die mehrere Angriffsvektoren verwenden zu erkennen Advanced Persistent Threats (APT s) zu entdecken Distributed Anomaly Detection Engine Firewall Logs IDS/IPS Logs Application Server Logs Performance Logs 10
Referenzprojekte CAIS KIRAS (national - Coordinator) Cyber Attack Information System for Austria ECOSSIAN EU FP7 SECURITY (Partner) European Control System Security Incident Analysis Network CIIS KIRAS (national - Coordinator) Cyber Incident Information Sharing PRECYSE EU FP7 SECURITY (Partner) Prevention, protection and reaction of cyberattacks to critical infrastructures 11
AIT Austrian Institute of Technology your ingenious partner Thomas Bleier Dipl.-Ing. MSc zpm CISSP CEH CISM Senior Engineer, Thematic Coordinator ICT Security Research Area Future Networks and Services Safety & Security Department thomas.bleier@ait.ac.at +43 664 8251279 www.ait.ac.at/ict-security