IBM Security Systems Advanced Persistent Threat Demo © 2014 IBM © 2012 IBMCorporation Corporation Die Motivation für Angriffe wächst stetig Nationale Sicherheit Spionage, Aktivismus Monetärer Nutzen Rache, Neugierde 2 Staatliche Akteure Stuxnet Wettbewerber und Hacktivisten Aurora Organisiertes Verbrechen Zeus Insider und Script-kiddies “I love you” © 2014 IBM © 2012 IBMCorporation Corporation Was sehen wir heute? 2013 X-Force Mid-Year Trend & Risk Report Threats and Activity Operational Security Emerging Trends 3 40% Wachstum der Angriffe in 2012 Raffinesse ist keine Frage der Technologie SQL Injection, DDoS, Phishing Aktivitäten gegenüber 2012 gestiegen Java bedeutet: Infiziere so viele Systeme wie möglich Software vulnerability disclosures in 2012 gestiegen Web Application vulnerabilities steigen XSS vulnerabilities highest ever seen mit 53% Plug-Ins für Content Management Systeme bieten ein leichtes Ziel Social Media werden für ausgefeilte Spear-Phishing Techniken genutzt Trend 2014: Mobile Devices sicherer als traditionelle Computer Angriffe werden immer komplexer und gezielter © 2014 IBM © 2012 IBMCorporation Corporation Umgehung von Schutzmechanismen durch raffinierte Techniken Motivation Standard Programme und Techniken Cyber Kriminalität Vandalismus Existierende Exploitund Malware-Kits Botnet Baukasten Spam und DDoS Cyber Kriminalität Hacktivismus Wirtschaftlich motivierte, gezielte Attacken DDoS Attacken Hochentwickelte Methoden und Techniken Cyber Spionage Cyber Krieg Cyber Kriminalität Cyber Spionage Advanced Persistent Threat Staatlich geförderte, gut organisierte Teams Advanced Persistent Threat ist die meist genutzte Vorgehensweise von professionellen Hackern 5 © 2014 IBM © 2012 IBMCorporation Corporation Was ist ein „Advanced Persistent Threat“? Advanced Persistent Threat Nutzt unbekannte (“Zero-Day”) Schwachstellen aus Angriffe dauern Monate oder Jahre (durchschnittlich: 1 Jahr, höchstens: 4,8 Jahre) Visiert spezielle Personen und Gruppen einer Organisation an Angreifer haben ihr Ziel fest im Auge – und werden es erreichen Darauf ausgerichtet, vertrauliche Informationen zu kompromittieren Fortschrittliche, angepasste Schadsoftware wird nicht von Anti-Viren Programmen erkannt Koordinierte, recherchierte Angriffe nutzen mehrere Vektoren 6 Keine wahllosen Angriffe – „Sie sind das Ziel“ © 2014 IBM © 2012 IBMCorporation Corporation Angreifer verfolgen eine 5-Phasen Strategie Zugang verschaffen “Spear Phishing” und “Remote-Exploits” um Zugriff zu erlangen Festsetzen Schadsoftware und “Hintertüren” werden installiert Sichten Ausspähung und Ausbreitung um Präsenz zu erhöhen 4 Sammeln Beschaffung und Aggregation von wertvollen Daten 5 Herausbefördern Datenübertragung nach Extern 1 2 Command & Control (CnC) 3 7 Command & Control (CnC) © 2014 IBM © 2012 IBMCorporation Corporation Vorbereitende Recherchen Identifizierung Profiling Social Media zur Informationsgewinnung Gläserne Identität Verhaltensweisen Bekanntschaften Kommunikationspräferenzen 9 Kontaktaufnahme Erstellung von Personen-Profilen auf Basis der Social Media Informationen Individuelle Kontaktaufnahme, die eine Malware Falle beinhaltet © 2014 IBM © 2012 IBMCorporation Corporation Live Demo Ablauf des Angriffs 10 © 2014 IBM © 2012 IBMCorporation Corporation Angriffsszenario – Phase 1: Zugang verschaffen 1 Identity Manager Guardium 2 3 QRadar Network IPS 4 5 Unternehmensnetzwerk 11 DMZ Internet © 2014 IBM © 2012 IBMCorporation Corporation Gegenmaßnahmen für Phase 1 Mailverkehr IBM Protector URL-Analysen für Phishingund Spyware-Erkennung Aufruf des Links Vorbeugung & Reaktion IBM Security Network Protection, XGS Awareness Etablierung vorbeugender SecurityPolicies im Unternehmen Überwachung und mögliche Unterdrückung der Kommunikation IBM QRadar Überwachung der Netzwerkkommunikation über Flow Analysis IBM Endpoint Manager Systems Management IBM Trusteer Apex 15 Anwendungsüberwachung © 2014 IBM © 2012 IBMCorporation Corporation Angriffsszenario – Phase 2: Festsetzen 1 2 3 4 5 22 Unternehmensnetzwerk DMZ Internet © 2014 IBM © 2012 IBMCorporation Corporation Gegenmaßnahmen für Phase 2 Netzwerkverkehr IBM Security Network IPS IBM Trusteer Apex IBM Endpoint Manager IBM Security Network Protection IBM QRadar QFlow Analysis 24 Erkennen von anomalem Verhalten und Vorgehen auf den Netzwerken Vorbeugung & Reaktion Systemen Blockieren von unerlaubtem Abspeichern von Dateien auf den Endgeräten Virenscanner IBM Identity Management Überwachung von Benutzern und unerlaubten Berechtigungsänderungen Patch Management Erkennen von kompromittierten Maschinen Vulnerability Management Absicherung unternehmensinterner Anwendungen © 2014 IBM © 2012 IBMCorporation Corporation Angriffsszenario – Phase 3: Sichten 1 2 3 4 5 29 Unternehmensnetzwerk DMZ Internet © 2014 IBM © 2012 IBMCorporation Corporation Gegenmaßnahmen für Phase 3 Netzwerkverkehr Vorbeugung & Reaktion Systeme Netzwerksegmentierung IBM Access Management IBM Endpoint Manager Verhindert das Scannen großer Teile des Unternehmensnetzwerks Blockieren von unerlaubtem Abspeichern von Dateien auf den Endgeräten Policies IBM Guardium 31 Sicherung von Datenbanken gegen unberechtigte Zugriffe Patch Management Eingeschränkte Nutzung von Ports und KommunikationsProtokollen © 2014 IBM © 2012 IBMCorporation Corporation Angriffsszenario – Phase 4: Sammeln 1 2 3 4 5 Unternehmensnetzwerk 33 DMZ Internet © 2014 IBM © 2012 IBMCorporation Corporation Gegenmaßnahmen für Phase 4 Datenbanken IBM Guardium IBM QRadar Entdecken und Unterbinden von unberechtigten SQLAbfragen Logging, Terminierung und Quarantäne der SQLKommunikation Vorbeugung & Reaktion Systeme Anomalie-Erkennung für direkte Dateizugriffe Überwachung des Netzwerk-Datenverkehrs Anomale File-Transfers „Separation of Duties“ 35 © 2014 IBM © 2012 IBMCorporation Corporation Was passiert bei aktiver, gezielter Blockierung durch Guardium? Angreifer hat keine Chance auf sensitive Objekte zuzugreifen 38 © 2014 IBM © 2012 IBMCorporation Corporation Angriffsszenario – Phase 5: Herausbefördern 1 2 3 4 5 Unternehmensnetzwerk 40 DMZ Internet © 2014 IBM © 2012 IBMCorporation Corporation Gegenmaßnahmen für Phase 5 Netzwerkverkehr Systemen IBM QRadar IBM Trusteer Apex Verdeckte Datenströme anzeigen mit QFlow Analyse Verhindert unerwünschten Kommunikationsaufbau nach Außen Vorbeugung & Reaktion Vorbeugende Kommunikations-Regeln Data-Loss-Prevention (DLP) Systeme 41 © 2014 IBM © 2012 IBMCorporation Corporation Schutz vor Daten-Exfiltration Blockieren von verdächtigen ausführbaren Dateien, die bösartige Kommunikationskanäle öffnen mit Trusteer Apex Bereits Direkter User bestehende Download Infektion Trusteer Apex Schutz vor Exfiltration Externes Netzwerk Schutz vor Exfiltration 42 Direkte Kommunikation ist gut sichtbar Verschleiert als legitime Kommunikation © 2014 IBM © 2012 IBMCorporation Corporation IBMs Ansatz zur Abwehr vor Advanced Persistent Threats 1 2 43 Zugang verschaffen Festsetzen 3 Sichten 4 Sammeln 5 Herausbefördern Network and Endpoint Security Nutzt adaptiven Angriffsschutz und Endgeräte-Management, um Risiken zu reduzieren und Angriffe abzuwehren Network Security Nutzt SIEM und adaptiven Angriffsschutz zur Identifizierung sowie Hinderung der Angreifer, Schadsoftware zu installieren Secure Users Sicheres Identitätsmanagement erzwingt Zugriffsrichtlinien & Überwachungen, um verdächtiges Verhalten aufzudecken Data Security Tief integrierte Sicherheitsschranken im Datenarchiv und Datenaktivitäten-Überwachung Security Analytics Durch “Security Intelligence” werden Aktivitäten im gesamten Unternehmen geprüft, analysiert und korreliert Erweiterung um Big Data Kapazitäten, um unstrukturierte Daten zu analysieren Klare Anweisungen und Hinweise im Falle eines Angriffs oder versuchten Datendiebstahls Network and System Security Proaktive Überwachung des Netzwerks; Echtzeit-Blockaden © 2014 IBM © 2012 IBMCorporation Corporation IBM Security Systems Portfolio Security Intelligence and Analytics QRadar Log Manager QRadar SIEM QRadar Vulnerability Manager QRadar Risk Manager Advanced Fraud Protection Trusteer Rapport People Data Trusteer Mobile Risk Engine Trusteer Pinpoint ATO Detection Trusteer Pinpoint Malware Detection Applications Network Infrastructure Endpoint AppScan Source Network Intrusion Prevention Trusteer Apex Access Management Guardium Database Security Guardium Database Security AppScan Dynamic Next Generation Network Protection Mobile & Endpoint Management Privileged Identity Manager Guardium / Optim Data Masking DataPower Web Security Gateway SiteProtector Threat Management Virtualization and Server Security Federated Access and SSO Key Lifecycle Manager Security Policy Manager Network Anomaly Detection Mainframe Security Identity Management IBM X-Force Research 44 © 2014 IBM © 2012 IBMCorporation Corporation IBM Lösungen bieten die Bausteine zur Behebung von Sicherheitsproblemen Security Intelligence People Data Security Intelligence. Think Integrated. Applications Infrastructure 48 © 2014 IBM © 2012 IBMCorporation Corporation Vielen Dank Kontaktdaten Matthias Lehmann Manager Technical Sales and Solutions Software Middleware Group Phone: +49-175-2668883 E-Mail: [email protected] Frank Sommer Christian Meßmer Certified Client Technical Professional IBM Security Systems Division Phone: +49-160-8810179 E-Mail: [email protected] Technical Sales IBM Security Systems Division Phone: +49-(0)172-6226165 E-Mail: [email protected] 49 © 2014 IBM © 2012 IBMCorporation Corporation