Aktuelle Bedrohungssituation in Österreich und Europa Vortragender: Christian Proschinger Security Analyst CERT.at / GovCERT Austria CISO nic.at GmbH 1
Wer sind wir? CERT.at das nationale Computer Emergency Response Team Ansprechpartner für IT-Sicherheit im nationalen Umfeld Zielgruppe: österreichische IT-Security-Teams und lokale CERTs Vernetzung von und mit anderen CERTs, Sicherheitsteams (weltweit) Koordinationsstelle Initiative von nic.at (österreichische Domain Registry.at ) GovCERT das Government Computer Emergency Response Team Zielgruppe: öffentliche Verwaltung und kritische Informationsinfrastruktur (CIIP) Kooperation zwischen Bundeskanzleramt und CERT.at 18.11.2013 2
Entwicklung der Bedrohungen Bedrohung 2012 Mitte 2013 Drive-by exploits Worms / Trojans Code Injection Exploit kits Botnets DenialofService!!! Phishing Compromising Confidential Information Rogueware/ Scareware!!! Quelle: ENISA Threat Landscape Mid-year 2013 18.11.2013 3
Entwicklung der Bedrohungen Bedrohung 2012 Mitte 2013 Spam Targeted Attacks Physical Theft/Loss/Damage Identity Theft AbuseofInformation Leakage Search Engine Poisoning? Rogue Certificates Quelle: ENISA Threat Landscape Mid-year 2013 18.11.2013 4
Aspekte der Entwicklung Drive-by exploits vom Botnet zur Malicious URLs schwierigerer Takedown Werbe-Server zur Verteilung Code-Injection CMS Schwachstellen Botnets Botnets für Bit-Coin Mining P2P Botnets höhere Resilienz TOR basierend Denial of Service DNS reflection attacks Up to 300 Gbps 18.11.2013 5
Aspekte der Entwicklung Rogueware/Scareware Mobile Plattformen z.b. Android Win32/Urausy Ausbruch in Österreich 2Q13 (MS SIR Report 15) Targeted Attacks Cyber Spionage! Mobile Devices als Angriffsvektor Spear-Phishing Identity Theft SMS als 2 Faktor ist gebrochen 18.11.2013 6
Sonstige Bedrohungen / Beobachtungen Mangelnde Zusammenarbeit bzw. Informationsaustausch im Kontext Informationssicherheit und Sicherheitsvorfälle Zunehmend Angriffe auf Dienstleistungskette z.b. DNS Registry/Registrar/Reseller, SW Lieferanten, Industrial Control System - Branche am Stand wie IKT vor 10-15 Jahren Die Qualität der Produkte wird durch die Konsumenten mitbestimmt Gebrochene kryptographische Verfahren oder Implemtierungen 18.11.2013 7
Entwurf zur Network Security Information (NIS) Richtlinie MS müssen eine Strategie für Network Information Security erstellen Definitionen, Prozesse, Verantwortlichkeiten MS müssen eine competent authority installieren MS müssen ein nationales/government CERT (Computer-Notfallsteam) betreiben Betrieber kritischer Informationsinfrastruktur müssen schwere Sicherheitsvorfälle melden 18.11.2013 8
Wichtigsten Punkte der NIS Richtlinie MS have to implement a Strategy for Network Information Security Definitions, Processes, Responsibilities MS have to create competent authority MS have to operate a CERT Operators of Critical Information Infrastructure have to report large scale security incidents 9
Member States shall ensure that public administrations and market operators notify to the competent authorityincidents having a significant impacton the security of the core services they provide 10
Member States shall ensure that the competent authorities have the power to require market operators and public administrations to: (a) provide information needed to assess the security of their networks and information systems, including documented security policies; (b) undergo a security audit carried out by a qualified independent body or national authority and make the results thereof available to the competent authority. Member States shall ensure that competent authorities have the power to issue binding instructions to market operators and public administrations. 11
NIS platform WG 1: Cybersecurity risk management WG 2: Information exchange and incident coordination WG 3: Secure ICT Research and Innovation 12
Austrian Trust Circle - Idee Brauchbare Kontakte in die wichtigsten Unternehmen Österreichs Vertrauen schaffen wenn Zeit ist Strukturierter und formeller Rahmen für informellen Kommunikationsaustausch Wissen was sicherheitstechnisch los ist in Österreich in einem Sektor im eigenen Unternehmen 11/18/2013 13
Austrian Trust Circle - Ziele Security Information Exchange Runden für die Betreiber strategischer Infrastruktur in Österreichs Initiative von CERT.at gemeinsam mit dem österreichischen Bundeskanzleramt Selbsthilfe in den Sektoren im Bereich Sicherheit Operative Kontakte für CERT.at Information über Sicherheitsvorfälle und Themen Behandlung von Sicherheitsvorfällen Operative Experten im Krisenfall Kontakte für und zu Behörden/Ministerien Vernetzung und Informationsaustausch in den Sektoren zwischen den Sektoren Im Unternehmen 11/18/2013 14
Aktuell adressierte Sektoren Energy ISPs Austrian Trust Circle Finance Transportation Industry Health
Verhaltenskodex Jeder trägt zur Diskussion bei Keine reinen Zuhörer Fachlicher Beitrag ist Minimum Wenn nicht Fachgebiet, wird Information eingeholt Einhalten des Traffic Light Protokolls Gemeinsame Lösung von Sicherheitsproblemen Persönliches Vorstellen in der Runde des Sektors Es gibt keine dummen Fragen, sondern nur blöde Antworten und diese sind unerwünscht.
Traffic Light Protocol Der Urheber vergibt die Klassifikation Im Zweifelsfall bei Urheber nachfragen RED NUR persönliche oder namentlich genannte Empfänger AMBER Need-to-Know in der eigenen Organisation GREEN WHITE Verwendung in der Community Uneingeschränkt öffentlich Community Austrian Trust Circle je Sektor
Notfallübungen International Länderübergreifende Koordination / Kommunikation National Koordination Zuständigkeiten Kontakte Öffentliche Hand Kritische Infrastruktur Kommunikationswege Unternehmensebene Kommunikation Business Continuity Management Erkennung Sicherheitsvorfälle Reaktion Sicherheitsvorfälle 18.11.2013 18
Conclusio Risikobasierend aber Basissicherheit nicht vergessen Kryptographische Module müssen zu tauschen sein auch bei ICS Auch wenn die Vorstellung unangenehm ist es passiert trotzdem Austausch über Sicherheitsvorfälle hilft Versäumnisse durch Betreiber der kritischen Infrastruktur werden vermutlich reguliert werden. Es hilft das eigene Unternehmen zu kennen und die REAKTION auf Sicherheitsvorfälle zu üben. 19
Fragen? Kontakt: Christian Proschinger Karlsplatz 1, 1010 Vienna, Austria email: proschinger@cert.at www.cert.at 20