13. ISACA Trend Talk – Cybercrime - Cybersecurity October 2nd , 2013 Aktuelle Bedrohungssituation Wie schützt man sich in der Praxis ? Wie reagieren – wenn es passiert ? DI(FH) Stefan Deutinger | Security Officer Sony DADC International [email protected] Kurzportait • Name: DI(FH) Stefan Deutinger • Beruf: Information Security Officer für Sony DADC International • Abgeschlossene Projekte: – – – – Aufbau eines ISO 27001 konformen Informationssicherheitsmanagementsystems für Sony DADC International und Americas ISO 27001 Zertifizierung der Regional Headquaters von Sony DADC International und Sony DADC Americas Rollout der Konzernsicherheitsrichtlinien auf alle internationalen Standorte von Sony DADC International Rollout der erforderlichen Prozesse zur Zertifizierung aller Produktionsstandorte von Sony DADC International nach CDSA CPS – Diverse Technologieprojekte aus Bereichen wie • • • • • • Verschlüsselungstechnologien Intrusion Detection Systeme Automatisierte Logauswertung Vulnerability Management Webapplication Firewalls Abgeschlossene Projekte aus dem Bereich Ethical Hacking – – – – – Ethical Hacking Projekt im Auftrag eines Automobilkonzerns Ethical Hacking Projekt im Auftrag eines Konzerns der Beleuchtungsindustrie Ethical Hacking Projekt im Auftrag eines Pharma Großhandels Lehrtätigkeit an der FH Salzburg zum Thema Diverse Vorträge CONFIDENTIAL REALITÄTSCHECK 3 Die Realität … Die Realität … Die Realität … Die Realität … http://www.darkreading.com Die Realität … Die Realität … 9 Die Realität … 10 Die Bedrohungslandschaft ist riesig und ändert sich täglich Quelle: Sophos 11 Unstrukturiertes Security Management ist …. • Teuer • Ineffizient • Nicht zielgerichtet Und adressiert häufig nur unzureichend die existentiellen Bedrohungen und Risiken für ein Unternehmen. 12 Ein Security Incident Readiness Framework aus der Praxis – Welchen Bedrohungen ist mein Unternehmen ausgesetzt ? – Wie entwickeln sich Bedrohungen ? – – Finden derzeit Ereignisse statt, die zu einem Incident werden können ? Hat ein Incident stattgefunden ? 13 – Was will ich schützen ? – Wie würde sich ein Incident auf mein Unternehmen auswirken ? Risk Management & BIA Threat Awareness Security Monitoring & Incident Detection Services Security Controls Security Incident Readiness Wie schütze ich meine Assets ? – Wie effektiv ist der Schutz ? – Sind ausreichend Logdateien und Systeminformationen vorhanden, um den Incident nachvollziehen und den Schaden ermitteln zu können ? – Wie können diese extrahiert werden ? Forensic Readiness Incident Response Plan & Countermeassures – – Was sind die richtigen Schritte, die gesetzt werden müssen ? Werden diese trainiert ? – Welche Maßnahmen sind zu setzen, um ein wiederholtes Auftreten zu verhindern ? – Werden diese Korrekturmaßnahmen auch gesetzt ? RISK MANAGEMENT 14 Risk Management / Business Impact Analysis Das Unternehmen • • • • • Mission Vision Strategy Business Plan / Business Processes Assets Zentrale Fragestellungen • Was sind meine kritischen Geschäftsprozesse ? • Welche “Assets” benötige ich um diese zu erbringen ? • Welchen Bedrohungen sind diese Assets ausgesetzt ? • Wie gut sind sie derzeit geschützt ? • Wie lange kann ich auf einzelne „Assets“ verzichten ? • Welche Daten haben einen besonderen Schutzbedarf ? 15 Geschäftsprozess Modellierung Ein Unternehmen besteht aus mehreren Geschäftsprozessen, die … • • • • Business Process A Process Owner A Produkte und Dienstleistungen für interne und externe Kunden schaffen Definierten Anforderungen entsprechen müssen Die gegen diese definierten Anforderungen gemessen werden Von einem “Process Owner” verantwortet werden. Ein Geschäftsprozess verwendet ein oder mehrere Assets, die Asset 1 Asset 2 Asset 3 • Benötigt werden um den Prozess durchzuführen • Gemeinsam in der Lage sind die Geschäftserfordernisse zu bedienen Assets werden von Asset Ownern bereitgestellt, die .. Asset Owner I Asset Owner II Asset Owner III • die Geschäftserfordernisse verstehen müssen • An operative Rahmenbedingungen wie rechtliche Rahmenbedingungen, Spezifikationen oder operative Limitierungen (bspw. Infrastrukturelle Kapazitätsgrenzen gebunden sind) Der ISO 27001 Standard hilft dabei die kritischen Assets und ihre Asset Owner zu identifizieren und bietet einen strukturierten Ansatz zur Risikoanalyse. 16 Geschäftsprozess Modellierung Business Requirements Contractual Requirements, Service Level Agreements, Business Impact Analysis Business Process A Process Owner A Business Process B Process Owner B Business Process C Process Owner C Risk Management Internal Audits Asset 1 Asset 2 Asset 3 Asset 5 Asset 6 Asset 7 Asset 8 Compliance Asset 9 Training Mgmt. Review Cont. Improvement Asset Owner I Asset Owner II Asset Owner III Business Continuity Mgmt. Asset Owner IV Operational Risks Operational Requirements/Boundaries Legal Requirements, Policy Requirements, Standard Requirements, Infrastructure- and Ressource Boundaries ISO 27001 beschreibt ein Management System, dass aufgrund der Eigenschaften Confidentiality, Integrity and Availability Company Assets klassifiziert und den „Good decision making process“ unterstützt. 17 Risk = Threat(Business Impact) x Likelihood Assets Risk Treatment Options: 18 Avoid, Accept. Reduce, Transfer THREAT AWARENESS / THREAT INTELLIGENCE 19 Es gibt verschiedene Arten von Bedrohungen Technisches Versagen Menschliches Versagen Organisatorische Mängel Desaster Vorsätzliche Handlung Organisatorische Mängel wie fehlende Richtlinien, SOPs, Prozesse und Trainings Menschliches Versagen wie fehlendes Sicherheitsbewusstsein und Nichteinhaltung der definierten Regeln und Richtlinien Technisches Versagen wie Stromausfälle, Computerstörungen, Server-, Netzwerkstörungen Desaster wie Brände, Wassereintritt, … Vorsätzliche Handlungen im Bereich der Wirtschaftskriminalität, Diebstähle, Cybercrime, Viren und Würmer 20 Cybercrime Bedrohungen shared Vulnerability Scanning Password Stealers Botnets Trojans Google Hacking Injection Attacks Brute Forcing Ransomware … 21 Scanbots Worms … Cyber Crime drive by targeted Spear Phishing Social Engineering DDoS APTs Reverse Engineering Web application Hacking State Developed Malware … Cybercrime Bedrohungen und Detektierbarkeit HIGH DoS / DDoS Defacements Bruteforcing Vulnerability Scans /Exploit attempts Webapplication Hacking … Scanbots Worms SPAM HOAX … APTs Social Engineering Spear Phishing Leaked Passwords Insider Attacks Botnet Infections Personallized Malware Password Stealers Mobile Device Exloits 0 day vulnerabilities … Detectability Preventability LOW TARGETED 22 DRIVE BY SHARED Anatomie eines Angriffs Reconnaissance Phase Recon Probe and Attack Initial Access Privilege Escalation Backdoor Implementation Remove Evidence 23 Infiltration Privilege Escalation Exfiltration Anatomie eines Angriffs – gegen IT Infrastrukturen “IT Fernangriff – gegen Systeme” Grundlegende Vorgehensweise: - Auffinden angreifbarer Ziele (Server, Gateways) - Auffinden angreifbarer Dienste - Versionsbestimmung dieser Dienste - Suche nach bekannten Schwachstellen - Analyse der Konfiguration - Analyse verfübarer Exploits - Anwendung verfügbarer Exploits Toolunterstützung: - DNS / Ripe tools - nmap - nc - Fingerprinting Tools - Vulnerability Scanner - Exploit Frameworks 24 Anatomie eines Angriffs – gegen IT Infrastrukturen Reconnaissance - Internet - DNS Reverse Lookups - RIPE Analyse - Google Hacking - Port Scanning - Banner Grabbing - Application Mapping - OS Fingerprinting - Vulnerability Scanning - Webvulnerability Scanning / Crawling - WLAN Hot Spot Maps Probe and Attack Reconnaissance – PSTN, Vor Ort - Password Bruteforcing / Dictionary Attacks - Remote Exploits - Command Injection - SQL Injection - Reverse Engineering - Parameter Manipulation - War Dialing - War Driving 25 Anatomie eines Angriffs – gegen User “IT Fernangriff – gegen User” Grundlegende Vorgehensweise: - Auffinden angreifbarer “User” - Analyse der Organisationshierachien - Analyse der “Stakeholder” - Suche nach Themen / Anknüpfungspunkten - Vertrauen aufbauen / Grundvertrauen nutzen - Protokoll Headeranalysen - Schadsoftware erstellen - Schadsoftware imunisieren - Trojanisieren von Nutzprogrammen - Trojanisiertes Nutzprogramm zustellen Toolunterstützung: - Web 2.0 - Scriptsprachen, Makrotools - Binder Programme - Encoder - Reverse Shell - TinyApps 26 Anatomie eines Angriffs – gegen User Reconnaissance - Internet - USENET / Foren - Firmenhomepage - Börsenberichte - Presse Aussendungen - Facebook, Xing, Twitter … - Jobbörse - Mailverkehr -… Probe and Attack Reconnaissance – PSTN, Vor Ort - Mailsystem Analyse - Phishing Sites - Proxy Analyse - Trojanisierte Programme / Dokumente - Telefonische Kontaktaufnahme 27 Threat Awareness – FAIL 28 Threat Awareness – Bsp.: Insider Threats Quelle: www.heise.de/security 29 Security Monitoring - Pastebin Beispiele: http://pastebin.com/amHGVgUv http://pastebin.com/EdBJYPHX http://pastebin.com/v9bnV9eu Usernames & Passwords 30 SQL Injection Vulnerabilities INCIDENT MANAGEMENT 31 Eigentlich weiß jeder wie es geht … Ein Evakuierungsplan für den Brandfall ist ein Incident Response Plan für einen Fall. Aufgrund gesetzlicher Verpflichtungen und behördlicher Auflagen ist dieser Fall in der Mehrheit aller Institutionen ausreichend umgesetzt. Vergleichbare Anweisungen müssen für das Eintreten aller relevanten kritischen Bedrohungsszenarien definiert und trainiert werden . 32 Example Incident Response Process Wichtige Rollen im Incident Response Team: Incident Handler / Security Officer Top Management Public Relations Officer Legal Representative HR Manager Head of IT Process- / System Specialist External Professionals - Forensic Professionals - Takedown Service Providers - Legal Professionals - DDoS Protection Services 33 THANK YOU ANY QUESTIONS ? 34 V 1.0