13. TT - 3. Vortrag - Wie reagieren - Wenn was passiert

Werbung
13. ISACA Trend Talk – Cybercrime - Cybersecurity
October 2nd , 2013
Aktuelle Bedrohungssituation
Wie schützt man sich in der Praxis ?
Wie reagieren – wenn es passiert ?
DI(FH) Stefan Deutinger | Security Officer Sony DADC International
[email protected]
Kurzportait
•
Name:
DI(FH) Stefan Deutinger
•
Beruf:
Information Security Officer für Sony DADC International
•
Abgeschlossene Projekte:
–
–
–
–
Aufbau eines ISO 27001 konformen Informationssicherheitsmanagementsystems für Sony DADC International und Americas
ISO 27001 Zertifizierung der Regional Headquaters von Sony DADC International und Sony DADC Americas
Rollout der Konzernsicherheitsrichtlinien auf alle internationalen Standorte von Sony DADC International
Rollout der erforderlichen Prozesse zur Zertifizierung aller Produktionsstandorte von Sony DADC International nach CDSA CPS
–
Diverse Technologieprojekte aus Bereichen wie
•
•
•
•
•
•
Verschlüsselungstechnologien
Intrusion Detection Systeme
Automatisierte Logauswertung
Vulnerability Management
Webapplication Firewalls
Abgeschlossene Projekte aus dem Bereich Ethical Hacking
–
–
–
–
–
Ethical Hacking Projekt im Auftrag eines Automobilkonzerns
Ethical Hacking Projekt im Auftrag eines Konzerns der Beleuchtungsindustrie
Ethical Hacking Projekt im Auftrag eines Pharma Großhandels
Lehrtätigkeit an der FH Salzburg zum Thema
Diverse Vorträge
CONFIDENTIAL
REALITÄTSCHECK
3
Die Realität …
Die Realität …
Die Realität …
Die Realität …
http://www.darkreading.com
Die Realität …
Die Realität …
9
Die Realität …
10
Die Bedrohungslandschaft ist riesig und ändert sich täglich
Quelle: Sophos
11
Unstrukturiertes Security Management ist ….
• Teuer
• Ineffizient
• Nicht zielgerichtet
Und adressiert häufig nur unzureichend die existentiellen
Bedrohungen und Risiken für ein Unternehmen.
12
Ein Security Incident Readiness Framework aus der Praxis
–
Welchen Bedrohungen ist mein
Unternehmen ausgesetzt ?
–
Wie entwickeln sich
Bedrohungen ?
–
–
Finden derzeit Ereignisse statt,
die zu einem Incident werden
können ?
Hat ein Incident stattgefunden ?
13
–
Was will ich schützen ?
–
Wie würde sich ein Incident auf mein
Unternehmen auswirken ?
Risk
Management
&
BIA
Threat
Awareness
Security
Monitoring
&
Incident
Detection
Services
Security
Controls
Security
Incident
Readiness
Wie schütze ich meine Assets ?
–
Wie effektiv ist der Schutz ?
–
Sind ausreichend Logdateien
und Systeminformationen
vorhanden, um den Incident
nachvollziehen und den
Schaden ermitteln zu können ?
–
Wie können diese extrahiert
werden ?
Forensic
Readiness
Incident
Response Plan
&
Countermeassures
–
–
Was sind die richtigen Schritte, die gesetzt werden
müssen ? Werden diese trainiert ?
–
Welche Maßnahmen sind zu setzen, um ein
wiederholtes Auftreten zu verhindern ?
–
Werden diese Korrekturmaßnahmen auch gesetzt ?
RISK MANAGEMENT
14
Risk Management / Business Impact Analysis
Das Unternehmen
•
•
•
•
•
Mission
Vision
Strategy
Business Plan / Business Processes
Assets
Zentrale Fragestellungen
• Was sind meine kritischen Geschäftsprozesse ?
• Welche “Assets” benötige ich um diese zu erbringen ?
• Welchen Bedrohungen sind diese Assets ausgesetzt ?
• Wie gut sind sie derzeit geschützt ?
• Wie lange kann ich auf einzelne „Assets“ verzichten ?
• Welche Daten haben einen besonderen Schutzbedarf ?
15
Geschäftsprozess Modellierung
Ein Unternehmen besteht aus mehreren Geschäftsprozessen, die …
•
•
•
•
Business Process A
Process Owner A
Produkte und Dienstleistungen für interne und externe Kunden schaffen
Definierten Anforderungen entsprechen müssen
Die gegen diese definierten Anforderungen gemessen werden
Von einem “Process Owner” verantwortet werden.
Ein Geschäftsprozess verwendet ein oder mehrere Assets, die
Asset 1
Asset 2
Asset 3
• Benötigt werden um den Prozess durchzuführen
• Gemeinsam in der Lage sind die Geschäftserfordernisse zu bedienen
Assets werden von Asset Ownern bereitgestellt, die ..
Asset Owner I
Asset Owner II
Asset Owner III
• die Geschäftserfordernisse verstehen müssen
• An operative Rahmenbedingungen wie rechtliche
Rahmenbedingungen, Spezifikationen oder operative Limitierungen
(bspw. Infrastrukturelle Kapazitätsgrenzen gebunden sind)
Der ISO 27001 Standard hilft dabei die kritischen Assets und ihre Asset Owner zu identifizieren
und bietet einen strukturierten Ansatz zur Risikoanalyse.
16
Geschäftsprozess Modellierung
Business Requirements
Contractual Requirements, Service Level Agreements,
Business Impact Analysis
Business Process A
Process Owner A
Business Process B
Process Owner B
Business Process C
Process Owner C
Risk Management
Internal Audits
Asset 1
Asset 2
Asset 3
Asset 5
Asset 6
Asset 7
Asset 8
Compliance
Asset 9
Training
Mgmt. Review
Cont. Improvement
Asset Owner I
Asset Owner II
Asset Owner III
Business Continuity Mgmt.
Asset Owner IV
Operational Risks
Operational Requirements/Boundaries
Legal Requirements, Policy Requirements, Standard Requirements, Infrastructure- and Ressource Boundaries
ISO 27001 beschreibt ein Management System, dass aufgrund der Eigenschaften Confidentiality, Integrity
and Availability Company Assets klassifiziert und den „Good decision making process“ unterstützt.
17
Risk = Threat(Business Impact) x Likelihood
Assets
Risk Treatment Options:
18
Avoid, Accept. Reduce, Transfer
THREAT AWARENESS / THREAT INTELLIGENCE
19
Es gibt verschiedene Arten von Bedrohungen
Technisches Versagen
Menschliches Versagen
Organisatorische Mängel





Desaster
Vorsätzliche Handlung
Organisatorische Mängel wie fehlende Richtlinien, SOPs, Prozesse und Trainings
Menschliches Versagen wie fehlendes Sicherheitsbewusstsein und Nichteinhaltung der definierten Regeln und
Richtlinien
Technisches Versagen wie Stromausfälle, Computerstörungen, Server-, Netzwerkstörungen
Desaster wie Brände, Wassereintritt, …
Vorsätzliche Handlungen im Bereich der Wirtschaftskriminalität, Diebstähle, Cybercrime, Viren und Würmer
20
Cybercrime Bedrohungen
shared









Vulnerability Scanning
Password Stealers
Botnets
Trojans
Google Hacking
Injection Attacks
Brute Forcing
Ransomware
…
21



Scanbots
Worms
…
Cyber
Crime
drive by
targeted








Spear Phishing
Social Engineering
DDoS
APTs
Reverse Engineering
Web application Hacking
State Developed Malware
…
Cybercrime Bedrohungen und Detektierbarkeit
HIGH
DoS / DDoS
Defacements
Bruteforcing
Vulnerability Scans /Exploit
attempts
Webapplication Hacking
…
Scanbots
Worms
SPAM
HOAX
…
APTs
Social Engineering
Spear Phishing
Leaked Passwords
Insider Attacks
Botnet Infections
Personallized Malware
Password Stealers
Mobile Device Exloits
0 day vulnerabilities
…
Detectability
Preventability
LOW
TARGETED
22
DRIVE BY
SHARED
Anatomie eines Angriffs
Reconnaissance Phase
Recon
Probe and Attack
Initial Access
Privilege Escalation
Backdoor Implementation
Remove Evidence
23
Infiltration
Privilege
Escalation
Exfiltration
Anatomie eines Angriffs – gegen IT Infrastrukturen
“IT Fernangriff – gegen Systeme”
Grundlegende Vorgehensweise:
- Auffinden angreifbarer Ziele (Server, Gateways)
- Auffinden angreifbarer Dienste
- Versionsbestimmung dieser Dienste
- Suche nach bekannten Schwachstellen
- Analyse der Konfiguration
- Analyse verfübarer Exploits
- Anwendung verfügbarer Exploits
Toolunterstützung:
- DNS / Ripe tools
- nmap
- nc
- Fingerprinting Tools
- Vulnerability Scanner
- Exploit Frameworks
24
Anatomie eines Angriffs – gegen IT Infrastrukturen
Reconnaissance - Internet
- DNS Reverse Lookups
- RIPE Analyse
- Google Hacking
- Port Scanning
- Banner Grabbing
- Application Mapping
- OS Fingerprinting
- Vulnerability Scanning
- Webvulnerability Scanning / Crawling
- WLAN Hot Spot Maps
Probe and Attack
Reconnaissance – PSTN, Vor Ort
- Password Bruteforcing / Dictionary Attacks
- Remote Exploits
- Command Injection
- SQL Injection
- Reverse Engineering
- Parameter Manipulation
- War Dialing
- War Driving
25
Anatomie eines Angriffs – gegen User
“IT Fernangriff – gegen User”
Grundlegende Vorgehensweise:
- Auffinden angreifbarer “User”
- Analyse der Organisationshierachien
- Analyse der “Stakeholder”
- Suche nach Themen / Anknüpfungspunkten
- Vertrauen aufbauen / Grundvertrauen nutzen
- Protokoll Headeranalysen
- Schadsoftware erstellen
- Schadsoftware imunisieren
- Trojanisieren von Nutzprogrammen
- Trojanisiertes Nutzprogramm zustellen
Toolunterstützung:
- Web 2.0
- Scriptsprachen, Makrotools
- Binder Programme
- Encoder
- Reverse Shell
- TinyApps
26
Anatomie eines Angriffs – gegen User
Reconnaissance - Internet
- USENET / Foren
- Firmenhomepage
- Börsenberichte
- Presse Aussendungen
- Facebook, Xing, Twitter …
- Jobbörse
- Mailverkehr
-…
Probe and Attack
Reconnaissance – PSTN, Vor Ort
- Mailsystem Analyse
- Phishing Sites
- Proxy Analyse
- Trojanisierte Programme / Dokumente
- Telefonische Kontaktaufnahme
27
Threat Awareness – FAIL
28
Threat Awareness – Bsp.: Insider Threats
Quelle: www.heise.de/security
29
Security Monitoring - Pastebin
Beispiele:
http://pastebin.com/amHGVgUv
http://pastebin.com/EdBJYPHX
http://pastebin.com/v9bnV9eu
Usernames & Passwords
30
SQL Injection Vulnerabilities
INCIDENT MANAGEMENT
31
Eigentlich weiß jeder wie es geht …
Ein Evakuierungsplan für den Brandfall ist ein
Incident Response Plan für einen Fall.
Aufgrund gesetzlicher Verpflichtungen und
behördlicher Auflagen ist dieser Fall in der
Mehrheit aller Institutionen ausreichend
umgesetzt.
Vergleichbare Anweisungen müssen für das
Eintreten aller relevanten kritischen
Bedrohungsszenarien definiert und trainiert
werden .
32
Example Incident Response Process
Wichtige Rollen im Incident Response Team:
Incident Handler / Security Officer
Top Management
Public Relations Officer
Legal Representative
HR Manager
Head of IT
Process- / System Specialist
External Professionals
- Forensic Professionals
- Takedown Service Providers
- Legal Professionals
- DDoS Protection Services
33
THANK YOU
ANY QUESTIONS ?
34
V 1.0
Herunterladen