Karl Otto Feger. Honey-Sense in Sachsen

Ähnliche Dokumente
Softwarequalität im Datenbankumfeld Datenbankstammtisch am 06. Mai 2015

EXCHANGE Neuerungen und Praxis

tiri.soc Threat-Intelligence

Software Defined Networks - der Weg zu flexiblen Netzwerken

Mobiles Arbeiten in Verwaltungsnetzen

SSH-Angreifern mit Honeypots über die Schulter schauen

DIMVA 2004 Session 5: Honeypots. Ermittlung von Verwundbarkeiten mit elektronischen Ködern

Sichere Freigabe und Kommunikation

Systemanforderungen für MuseumPlus und emuseumplus

Erfolgreicher Umgang mit heutigen und zukünftigen Bedrohungen

Die elektronische Aktenführung im Freistaat Sachsen vor dem Hintergrund der Strategie des SID

Compliance oder wie wir lernten, unsere Logs zu lieben! Autor: Martin Grossberger, MSc

HL-Monitoring Module

Neues aus dem DFN-CERT. 57. DFN-Betriebstagung - Forum Sicherheit 16. Oktober 2012 Tilmann Haak

IBM Security Systems: Intelligente Sicherheit für die Cloud

Docker. Eine Einführung

Heute. Morgen. Sicher. Dreamlab Technologies AG Was ist sicherer, Open Source oder Closed Source Software?

LogApp Compliance oder wie wir lernten, unsere Logs zu lieben! Autor: Martin Grossberger, MSc

HoneypotMe Flexible Auslagerung von Honeypot-Sensorik auf gefährdete Endgeräte

Wie man SSH-Angreifern mit Linux Honeypots nachstellt

Hacking für Deutschland!? Aufgaben und Herausforderungen der Cyberabwehr im BSI

tiri.soc Threat-Intelligence

Dr. Uwe Jasnoch Intergraph SG&I Deutschland GmbH

LINUX Schulung. FrauenComputerZentrum Berlin. Jutta Horstmann, Mai 2006

MALWARE AM BEISPIEL VON STUXNET

(Distributed) Denial of Service

Stuxnet zum Frühstück Industrielle Netzwerksicherheit 2.0 Stuttgart und München

Sicherheit auf dem Weg in die Microsoft Office365 Cloud Hybrider Exchange Schutz. Philipp Behmer Technical Consultant

KASPERSKY SECURITY FOR VIRTUALIZATION 2015

Smart Energy für NRW FuE-Initiativen auf Landesebene

Migration einer bestehenden Umgebung in eine private Cloud mit OpenStack

Alternativen für asynchrones Messaging als Teil der "Converging Infrastructure"

Linux Eine Alternative?

LogApp - Security Information und Event Management leicht gemacht!

OpenSource Business Strategien. Thomas Uhl Topalis AG

WebFlow. Prozesse werden Realität.

Neuigkeiten in Microsoft Windows Codename Longhorn Egon Pramstrahler - egon@pramstrahler.it

NG-NAC, Auf der Weg zu kontinuierlichem

Customer Day 2009 Windows Patch Management

Informationssicherheit

Versteckte und komplexe Angriffe schnell erkennen, analysieren und reagieren

DIE NEUE LÖSUNG KASPERSKY SECURITY FOR VIRTUALIZATION FÜR VIRTUALISIERTE VMWARE-, MICROSOFT- UND CITRIX- UMGEBUNGEN

HP Asset LiVe. Carsten Bernhardt, HP Software Presales

Vom Körper zum Server: Mobile und drahtlose Datenerfassung und -Übertragung in Gesundheitspflege-, Notfall- und AAL-Szenarien

Reale Angriffsszenarien Advanced Persistent Threats

Systemanforderungen für MuseumPlus und emuseumplus

Für alle Unternehmensgrößen das perfekte WLAN-Management Cloud NetManager

Desktopvirtualisierung. mit Vmware View 4

APEX DESKTOP APPS. Interaktion mit dem Client System

Nagios. Jens Link September Jens Link () Nagios September / 1

Autodesk GIS Workshop Oldenburg

Security 2.0: Tipps und Trends rund um das Security Information und Event Management (SIEM)

CyPhyControl. Virtualisierte Ausführungsplattform für die zuverlässige Steuerung cyber-physikalischer Systeme

Cloud Computing Teil 2

System i Monitoring & Automation

IaaS jenseits der Buzz-Words On Demand Compute im Fokus

Linux & Security. Andreas Haumer xs+s. Einsatz von Linux in sicherheitsrelevanten Umgebungen

Sugar innovatives und flexibles CRM. weburi.com CRM Experten seit über 15 Jahren

Aufbau eigener Cloud-Infrastrukturen mit Eucalyptus Hochschule Mannheim

Grid-Systeme. Betrachtung verschiedener Softwareplattformen zur Realisierung von Grids und Vorstellung des Globus Toolkit Grid Systeme 1

Deep Discovery. Udo Schneider Trend Micro Copyright 2012 Trend Micro Inc.

rdige Netzwerk- verbindungen mit TNC

Desktop Virtualisierung

Günter Kraemer. Adobe Acrobat Connect Die Plattform für Kollaboration und Rapid Training. Business Development Manager Adobe Systems

TÜV Rheinland. Security Intelligence: Die Schlagkraft eines GRC nutzen. It-sa 2016, 18. Oktober 2016

HÄRTUNG VON WEB-APPLIKATIONEN MIT OPEN-SOURCE-SOFTWARE. Münchener Open-Source-Treffen, Florian Maier,

SECURITY INTELLIGENCE KONTINUIERLICHES LAGEBILD UND INTELLIGENTE DETEKTION SELBSTLERNEND INTUITIV NUTZBAR EINFACH INTEGRIERBAR

Business Breakfast im Café Landtmann. 22. November 2016

Enzo Sabbattini. Presales Engineer

Sicherheits- & Management Aspekte im mobilen Umfeld

Beehive, Oracles neue Kommunikationslösung Patrick Joss. Consultant. 12. Juni 2009

Cloud Computing Technologische Ansätze, Plattformen und Lösungen für die öffentliche Hand

Netzwerke für Einsteiger

Verwendung von Open Source Software

Eclipse und EclipseLink

SIEM Wenn Sie wüssten, was Ihre Systeme wissen. Marcus Hock, Consultant, CISSP

Betrieb von QGIS in einer heterogenen Client-Server-Umgebung

You can start right now!

Software Ecosystems. Tobias Schrade

STRATO ProNet VLAN Produktbeschreibung Stand: Mai 2015

Administration von großen Ubuntu Linux Desktop Umgebungen mit Univention Corporate Client

Open Source Einsatz in der Stadt Wien

X2Go in Theorie und Praxis. LIT 2015 Augsburg Richard Albrecht, LUG-Ottobrunn Stefan Baur, Heinz Gräsing, X2Go

Carsten Eilers Der erste Cyberwar hat begonnen

TFS 2013 Upgrade. Thomas Trotzki - artiso AG

Installieren von GFI EventsManager

Clusterinstallation mit FAI

Data Center Automa-on for the Cloud. Pascal Petsch

VirtualBox im Auswärtigen Amt

Virtualisierung unter GNU/Linux für Einsteiger

Diplomarbeit: GOMMA: Eine Plattform zur flexiblen Verwaltung und Analyse von Ontologie Mappings in der Bio-/Medizininformatik

Planung und Aufbau eines virtuellen Honeynetzwerkes p.1/30

Complete User Protection


IBM NOTES/DOMINO 9 EUGEN HEIDEBRECHT SENIOR SOFTWARE BERATER

Architekturen. Von der DB basierten zur Multi-Tier Anwendung. DB/CRM (C) J.M.Joller

Digitale Transformation

Inhaltsverzeichnis IBM SOFTWARE PRESS

Data Management mit UNICORE 6

Transkript:

Karl Otto Feger Honey-Sense in Sachsen

Angriffserkennung im Netz Projekt HoneySens

Meine Agenda für heute Wurden Sie heute schon gehackt? Anatomie eines Angriffs HoneySens Schlussbetrachtungen 2 Januar 2017 CISO Sachsen

Anteil Schadsoftware Wurden Sie heute schon gehackt? oder haben Sie es (noch) gar nicht bemerkt? Zeit von Infektion bis Erkennung 3 Mai 2017 CISO Sachsen Quelle: Verizon Data Breach Report 2013

Wer greift an? 4 29. Juni 2012 CISO Sachsen Quelle: IBM

Anatomie eines Angriffs gebt her Eure Daten Nutzer infizieren Trojaner über C&C- Server nachladen Netzwerk erkunden Ziel oder Datenquelle finden Daten auf C&C- Server/ Dropzone ausleiten

Klassischer AV- Anatomie Schutz wird eines Angriffs immer unwirksamer gebt her Eure Daten IDS bindet masssiv Fachpersonal Statische Blocking-Listen sind unzuverlässig Nutzer infizieren Trojaner über C&C- Server nachladen Netzwerk erkunden Ziel oder Datenquelle finden Daten auf C&C- Server/ Dropzone ausleiten Statische Blocking-Listen sind unzuverlässig Access Control ist eine organisatorische Herausforderung

APT-Schutz Klassischer durch AV- Sandboxing, Mikro- Anatomie Schutz wird eines Angriffs virtualisierung immer unwirksamer gebt her Eure Daten IDS bindet masssiv Fachpersonal Statische Automatisches Blocking-Listen Blacklisting aus sind APT-Schutz unzuverlässig Nutzer infizieren Trojaner über C&C- Server nachladen Netzwerk erkunden Ziel oder Datenquelle finden Daten auf C&C- Server/ Dropzone ausleiten Statische Automatisches Blocking-Listen Blacklisting aus sind APT-Schutz unzuverlässig Access Control bleibt ist eine eine organisatorische Herausforderung

HoneySens Ziele Angreifer und Angriffsmethoden durch Täuschung eines Angreifers im Netzwerk schnell erkennen. Sei dies ein Innentäter oder ein Eindringling im Netzwerk (Trojaner, RAT) Ablenkung des Angreifers von Produktivsystemen Zero-Day-Angriffe erkennen Benutzerfreundlich, einfache Wartbarkeit, hohe Vertraulichkeit etc. Vermeiden bisherige Nachteile wie Hoher Installations- und Wartungsaufwand Aufwändiges Monitoring Hohe Kosten HoneySens as a Service -Modell soll möglich sein 8 Mai 2017 CISO Sachsen

HoneySens Projektpartner Projektidee und Auftraggeber des Forschungsprojekts: Sächsisches Staatsministerium des Innern Referat 65 Informationssicherheit in der Landesverwaltung, Cybersicherheit Wissenschaftlicher Partner: Technische Universität Dresden Lehrstuhl für Datenschutz und Datensicherheit Praxispartner: SAX.CERT im Staatsbetrieb Sächsische Informatik Dienste Umsetzung: Dipl. Inf. Pascal Brückner im Rahmen seiner Diplomarbeit als Proof Of Concept und in der Fortsetzung zum produktionsreifen System als wissenschaftlicher Mitarbeiter der TU Dresden 9 Mai 2017 CISO Sachsen

HoneySens Architektur 10 Mai 2017 CISO Sachsen

HoneySens Architektur 11 Mai 2017 CISO Sachsen

HoneySens Die Sensoren Hardwareplattform: Einplatinen-Computer BeagleBone Black (ARM) Preiswert, geringer Stromverbrauch, Formfaktor, integrierter persistenter Festspeicher, optionales PoE Softwareplattform: Debian GNU/Linux Hochwertig gesicherte Client-/Server- Kommunikation Remote-Installation und Remote-Update Low-Interaction-Honeypot-Dienste: kippo (SSH), dionaea (SMB/CIFS) Passive Scan Mode zur Aufzeichnung aller übrigen Verbindungsversuche Portscan-Erkennungsroutine 12 Mai 2017 CISO Sachsen

HoneySens Der Server Linux-System mit geringer bis mittlerer Leistung Betrieb als virtuelles System möglich Einsatz von Docker für den vereinfachten Roll-Out und aufwandsarme Updates Mandaten-fähiges System z.b. Land Ressorts Kommunen auf gleichem Server bei beibehaltener Eigenverantwortung E-Mail-Alarmierung der jeweils zuständigen Administratoren 13 Mai 2017 CISO Sachsen

HoneySens Web-Frontend (1) 14 Mai 2017 CISO Sachsen

HoneySens Web-Frontend (2) 15 Mai 2017 CISO Sachsen

Evaluation Erste Testumgebung SMI: ein Sensor im Produktivnetz SID: vier Sensoren im Produktivnetz Fakultät Informatik: ein Sensor für drei Wochen Auswertung: SMI: ein Vorfall eines falsch konfigurierten Servers Fakultät Informatik: 523 Ereignisse, davon 503 harmlose DHCP-Pakete Funktionalität und Transparenz sind gegeben Weitere Planung Einsatz in allen Unternetzen des Sächsischen Verwaltungsnetzes sowie bei den Kommunen (auf freiwilliger Basis) 16 Mai 2017 CISO Sachsen

Schlussbetrachtung HoneySens ist als kostengünstiges, leicht managebares Sensornetzwerk zur Erkennung von Netzwerkschnüfflern realisiert Das System wird den gestellten Anforderungen gerecht Fortsetzung der Zusammenarbeit mit der Technischen Universität Dresden zur weiteren Verbesserung und Härtung des Systems HoneySens, z.b. Sensor als virtuelle x86-maschine (interessant für Rechenzentren) Integration in SIEM Übergang vom Forschungsprojekt zum käuflichen Produkt ist erfolgt Entwicklung von Geschäftsmodellen, z.b. HoneySens as a Service Open Source-Version via GitHub wird auch verfügbar sein 17 Mai 2017 CISO Sachsen

So ganz nebenbei Warum konnten Sie eigentlich gehackt werden? 900 800 Top 10 der Hersteller mit den meisten Verwundbarkeiten 2016 700 600 500 400 300 200 100 0 Oracle Google Adobe Microsoft Novell IBM Cisco Debian Apple Canonical 18 Mai 2017 CISO Sachsen Quelle: Top 10 aus https://www.cvedetails.com/top-50-vendors.php?year=2016

Warum konnten Sie eigentlich gehackt werden? 800 700 Anzahl der Verwundbarkeiten pro Jahr 600 500 400 300 200 Hersteller 2 100 0 Hersteller 1 19 Mai 2017 CISO Sachsen Quelle: https://www.cvedetails.com/

Schlussbetrachtung zum Zweiten Software ist mittlerweile zu einer der wichtigsten Plattformen unserer modernen Zivilisation geworden. Denn mittlerweile kommt ohne Software kein Wasser, kein Gas und kein Strom mehr bei uns an. Es bremst kein normales Auto mehr ohne Software, Motoren belasten ohne (oder mit der falschen) Software die Umwelt weit stärker als nötig. Software-Produktion ist immer noch recht weit entfernt vom ingenieurmäßgen Arbeiten. Standards in der Softwareentwicklung sind (wenn es sie überhaupt gibt) weit von den Standards beispielsweise des Maschinenbaus entfernt. Time to Market tut ein Übriges Wir müssen uns sehr intensiv über die grundlegende Verbesserung von Softwarequalität unterhalten. Wir werden uns ernsthaft über Fragen der Produkthaftung für Software-Hersteller unterhalten müssen. Es ist in diesem Zusammenhang unerheblich, ob wir über Closed Source oder Open Source sprechen. 20 Mai 2017 CISO Sachsen

21 Mai 2017 BfIS Land

Karl-Otto Feger Referatsleiter 65 CISO Sachsen Sächsisches Staatsministerium des Innern karl-otto.feger@smi.sachsen 22 März 2015 CISO Sachsen

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback