aptdefenseservicepodcastvideo PDF
Werbung
Podcast Audio APT Defense Service Kurzfassung Statements: Frank Melber, Head of Business Development Cyber Security TÜV Rheinland Fassung vom: 01.03.2016 Länge: 10:00 min. Was sind APT? 00:07 APT steht für Advanced Persistent Threats, damit sind gezielte komplexe Angriffe in der Regel auf Unternehmen oder andere Organisationen gemeint. Was sind die Herausforderungen? 0:17 Die Herausforderungen im Konkreten sind, dass diese Angriffe eben gezielt sind, das heißt, die Schadsoftware, die zur Infiltration der Unternehmen genutzt wird, ist in der Regel genau für diesen Zweck entwickelt, das heißt, unbekannt im klassischen Sinne, was letztendlich dafür sorgt, dass die klassische Unternehmenssicherheit wie Antivirussysteme, Firewalls, Proxys, klassische Schutzmechanismen, die in der Regel im Einsatz sind, eben nicht in der Lage sind diese Bedrohung zu erkennen. Wer sind die Angreifer? 00:54 Es gibt hier unterschiedliche Interessenslagen, das heißt, man hat es in vielen Fällen, gerade um Weihnachten oder besonderen Ereignissen mit sogenannten Kampagnen zu tun. Das ist das Schrot unter den Angriffen. Man hat aber auch in der Regel gezieltere Angreifer, die dediziert Branchen oder einzelne Unternehmen und Branchen angreifen und man hat natürlich das, was man so im klassischen Sinne als Nation State Attack bezeichnet, das heißt, Angriffe, die von Regierungen auf Unternehmen oder andere Regierungen ausgeübt werden. Neben den ganz gewöhnlichen CyberKriminellen, aber es gibt, wie gesagt generell diese drei Kategorien, das heißt klassische CyberKriminelle, die versuchen in die breite Masse zu gehen, viele Systeme zu kompromittieren, diese dann beispielsweise als Botnet zu verwenden oder Zugänge auf diese Systeme eben in entsprechenden Kanälen wie dem Darknet weiterzuverkaufen. Das ist aber eher, wie gesagt, die harmlosere Situation. Gefährlicher wird es dann, wenn man einen gezielten Angreifer mit einem dedizierten Interesse detektiert mit dem Hintergrund, wenn man ihn detektiert, er wird wiederkommen, wenn man ihn aussperrt. Er hat ja ein gezieltes Interesse, meistens auf Auftrag und dementsprechend ist das eigentlich eine höhere Form der Bedrohung, wenn auch seltener als jetzt die auf klassischen Kampagnen basierten Angriffe. Wer sind die Opfer? 2:23 Jeder muss damit rechnen und man kann auch pauschal sagen, dass wir in den vergangenen fünf, sechs Jahren, wo wir uns mit dem Thema beschäftigen, in jeder Branche schon sogenannte Compromise Assessments durchgeführt haben und eigentlich in jeder Branche kompromittierte Unternehmen gesehen haben. Die Opfer sind in der Regel alle, die in irgendeiner Form Daten haben oder ein Geschäft betreiben, an dem andere Organisationen oder Unternehmen oder Staaten ein Interesse haben könnten. Wie kann man sich vor APT schützen? 2:59 Generell gibt es mehrere Methoden sich vor diesem Problem zu schützen. Wir haben jetzt einen recht interessanten Service ins Leben gerufen, den APT Defense Service. Hier liefern wir sozusagen Detektionslösungen, das heißt eine technische Lösungskomponente als auch einen Incident Response Service in die Unternehmen hinein, das heißt, wir vereinen technische Lösungen im Sinne der Detektierbarkeit von solchen Angriffen und aber auch die entsprechende Manpower, das heißt, den Service zur Qualifizierung von diesen Angriffen. Wir haben in der Vergangenheit festgestellt, in mehreren Jahren, wo wir uns mit dem Thema auseinandersetzen, dass in den klassischen IT-Abteilungen das Incident Response Know-How, das man benötigt, um eben genau hier die Spreu vom Weizen zu trennen, ist es ein normales Dokument oder ist es ein legitimes Stück Software, das hier gerade heruntergeladen wird oder ist es eben Schadsoftware - Das ist nicht so einfach für einen klassischen Netzwerkadministrator oder ITAdministrator zu detektieren oder festzustellen oder zu bewerten und in diesem Kontext eben haben wir über unser CSIRT, in dem hochqualifizierte Kollegen arbeiten, die seit Jahren in dem Bereich Incident Response tätig sind, in der Lage sind, eben genau diese Unterschiede festzustellen, dann letztendlich tiefergehende Analysen durchzuführen und im Angriffsfall zum einen diesen Angriff zu erkennen, zum anderen eine entsprechende Verteidigungsstrategie zu entwickeln und zum dritten dem Unternehmen konkrete Handlungsempfehlungen zu geben, wie mit diesem Angriff umzugehen ist. Für wen eignet sich der APT Defense Service besonders? 4:46 Der APT Defense Service ist prinzipiell für jedes Unternehmen jeder Größe interessant. Was wir jetzt historisch festgestellt haben ist, dass gerade im gehobenen Mittelstand oder auch im klassischen deutschen Mittelstand ein, ich sag mal, größeres Problem vorherrscht, das heißt, diese Unternehmen, diese Organisationen sind in der Regel nicht in der Lage, das, was man in großen Großkonzernen findet, Cyber-Defense-Centers oder wie auch immer diese Abteilungen dann letztendlich heißen, selbstständig aufzubauen. Aus diesem Grund werden diese Unternehmen verstärkt auf Managed Security Services in diesem Bereich zurückgreifen und eigentlich haben wir diesen Service auch mit einem gewissen Fokus auf genau dieses Klientel, das heißt Mittelstand, gehobener Mittelstand entsprechend gebaut, weil hier, gerade auch bedingt durch die deutsche Wirtschaftssituation, es gibt sehr viele Unternehmen, die so klassische Hidden Champions sind, die irgendwelche Kerntechnologien entwickeln, die nur dieses eine Unternehmen baut, das heißt, die Gefährdungslage des Bedrohungspotenziales ist sehr hoch und genau für dieses Kundensegment unter anderem haben wir genau diesen Service entwickelt, damit diese Unternehmen, die Incident Response, die Detektion, den gesamten Kreislauf sozusagen im Rahmen eines Managed Security Services outsourcen können. Typischer Ablauf des APT DS 06:12 Die Pfeiler des APT Defense Services sind zum einen eine technische Lösungskomponente, zum anderen unser Experten-Know-How, das wir im CSIRT in den vergangen Jahren aufgebaut haben. In diesem ganzen Kontext nutzen wir die technische Lösung als sogenanntes Reporting System bzw. auch Trigger-System, das heißt, über diese verhaltensbasierte Analysesysteme werden mögliche Incidents erstmal detektiert und dann, wenn die eigentliche Arbeit anfängt, das heißt Angriffsvektoren verstehen, eine Verteidungsstrategie entwickeln, entsprechend eine Umsetzungsplanung in der Kunden-IT dann letztendlich durchführen, das übernimmt dann unser CSIRT, das in diesem Bereich, wie gesagt, seit mehreren Jahren tätig ist, eine ganze Reihe von Experten mit unterschiedlichem Fach Know-How beschäftigt und so dem Kunden dann letztendlich von einem Problem seine Lösung verhilft. Im Rahmen des APT Defense Service bzw. auch im Rahmen des CSIRTs starten wir in der Regel, wie hier oben dargestellt mit einer Qualifizierungsphase, das heißt, in dieser Qualifizierungsphase schauen wir uns den von einem Sensorsystem reporteten Benachrichtigungen letztendlich an und schauen erstmal, was ist das für ein Incident, durch was für eine Form von möglichem Schadcode wurde der hervorgerufen? Wir gehen dann in die Schadensanalyse, das heißt, wir sammeln Daten von möglicherweise im Unternehmen weiteren vorhandenen Sicherheitssystemen, wie Proxysysteme, Firewallsysteme, falls Kunden SIEM-Systeme im Einsatz haben, verschaffen wir uns hier in der Schadensanalysephase letztendlich ein breiteres Bild. Hier ist auch besonders wichtig, Asset Management-Systeme des Kunden, das heißt, nutzt der Kunde Themen im Bereich GRC Asset-Management-Risikobewertung um festzustellen, ist das möglicherweise kompromittierte Asset für den Geschäftsbetrieb hochkritisch oder eben weniger kritisch. In der Schadensbekämpfungsphase gehen wir dann her und entwickeln sozusagen für den Kunden für diese Infrastruktur eine konkrete Verteidigungsstrategie, das heißt, wir setzen dann in Kombination mit dem Kunden entsprechende präventive Sicherheitsmaßnahmen um, um diesen Angriffsvektor, den wir eben gerade in den ersten beiden Phasen verstanden und qualifiziert haben, für die Zukunft sozusagen zu verhindern. Im Bereich Forensik und Reporting, wenn wir in diesem Bereich angelangt sind, dann haben wir es in der Regel mit einem wirklich gezielten Angriff zu tun, das heißt, es ist völlig unbekannte Malware, es ist ein unbekannter Angriffsvektor, es ist eine noch unbekannte Intention, das heißt, wir gehen dann hier wirklich in das Thema teilweise Reverse Engineering hinein, schauen uns an, was ist das für eine Schadenssoftware, die wir da sozusagen in dem Unternehmen haben aufschlagen sehen und versuchen, uns ein besseres Bild einfach von diesem Angriff zu machen, auch mit dem Hintergrund, wenn wir hier sind wirklich, dann haben wir es halt wirklich mit einem gezielten Angriff, also mit einem Advanced Persistent Threat zu tun und wenn wir die Angreifer nicht verstehen, die Motivation der Angreifer nicht verstehen, wird es schwierig sie bei ihrem nächsten Versuch, und der wird sicher kommen, entsprechend wieder abzublocken. In der Monitoring-Phase untersuchen wir letztendlich kontinuierlich die entsprechenden Informationen, die wir aus einem Unternehmen bekommen mit dem Hintergrund, wir wollen sehen, dass die von uns vorgeschlagenen Schadensbekämpfungsmaßnahmen, das heißt, Verhinderungen dieses Angriffsvektors dementsprechend wirksam sind. Ende: 10:00