13. ISACA Trend Talk Cybercrime - Cybersecurity. TT - 3. Vortrag - Wie reagieren... · 13. ISACA...
Transcript of 13. ISACA Trend Talk Cybercrime - Cybersecurity. TT - 3. Vortrag - Wie reagieren... · 13. ISACA...
13. ISACA Trend Talk – Cybercrime - Cybersecurity
October 2nd , 2013
Aktuelle Bedrohungssituation
Wie schützt man sich in der Praxis ?
Wie reagieren – wenn es passiert ?
DI(FH) Stefan Deutinger | Security Officer Sony DADC International
Kurzportait
CONFIDENTIAL
• Name: DI(FH) Stefan Deutinger
• Beruf: Information Security Officer für Sony DADC International
• Abgeschlossene Projekte:
– Aufbau eines ISO 27001 konformen Informationssicherheitsmanagementsystems für Sony DADC International und Americas
– ISO 27001 Zertifizierung der Regional Headquaters von Sony DADC International und Sony DADC Americas
– Rollout der Konzernsicherheitsrichtlinien auf alle internationalen Standorte von Sony DADC International
– Rollout der erforderlichen Prozesse zur Zertifizierung aller Produktionsstandorte von Sony DADC International nach CDSA CPS
– Diverse Technologieprojekte aus Bereichen wie
• Verschlüsselungstechnologien
• Intrusion Detection Systeme
• Automatisierte Logauswertung
• Vulnerability Management
• Webapplication Firewalls
• Abgeschlossene Projekte aus dem Bereich Ethical Hacking
– Ethical Hacking Projekt im Auftrag eines Automobilkonzerns
– Ethical Hacking Projekt im Auftrag eines Konzerns der Beleuchtungsindustrie
– Ethical Hacking Projekt im Auftrag eines Pharma Großhandels
– Lehrtätigkeit an der FH Salzburg zum Thema
– Diverse Vorträge
REALITÄTSCHECK
3
Die Realität …
Die Realität …
Die Realität …
Die Realität …
http://www.darkreading.com
Die Realität …
Die Realität …
9
Die Realität …
10
Die Bedrohungslandschaft ist riesig und ändert sich täglich
11
Quelle: Sophos
Unstrukturiertes Security Management ist ….
12
• Teuer
• Ineffizient
• Nicht zielgerichtet
Und adressiert häufig nur unzureichend die existentiellen
Bedrohungen und Risiken für ein Unternehmen.
Ein Security Incident Readiness Framework aus der Praxis
13
Security Incident
Readiness
– Was will ich schützen ?
– Wie würde sich ein Incident auf mein
Unternehmen auswirken ?
Risk Management
& BIA
ForensicReadiness
– Sind ausreichend Logdateien
und Systeminformationen
vorhanden, um den Incident
nachvollziehen und den
Schaden ermitteln zu können ?
– Wie können diese extrahiert
werden ? Incident
Response Plan &
Counter-meassures – Was sind die richtigen Schritte, die gesetzt werden
müssen ? Werden diese trainiert ?
– Welche Maßnahmen sind zu setzen, um ein
wiederholtes Auftreten zu verhindern ?
– Werden diese Korrekturmaßnahmen auch gesetzt ?
Threat Awareness
– Welchen Bedrohungen ist mein
Unternehmen ausgesetzt ?
– Wie entwickeln sich
Bedrohungen ?
Security Monitoring
&Incident
DetectionServices
– Finden derzeit Ereignisse statt,
die zu einem Incident werden
können ?
– Hat ein Incident stattgefunden ?
Security Controls
– Wie schütze ich meine Assets ?
– Wie effektiv ist der Schutz ?
RISK MANAGEMENT
14
Risk Management / Business Impact Analysis
15
Das Unternehmen
• Mission
• Vision
• Strategy
• Business Plan / Business Processes
• Assets
Zentrale Fragestellungen
• Was sind meine kritischen Geschäftsprozesse ?
• Welche “Assets” benötige ich um diese zu erbringen ?
• Welchen Bedrohungen sind diese Assets ausgesetzt ?
• Wie gut sind sie derzeit geschützt ?
• Wie lange kann ich auf einzelne „Assets“ verzichten ?
• Welche Daten haben einen besonderen Schutzbedarf ?
Geschäftsprozess Modellierung
16
Business Process AProcess Owner A
Business Process AProcess Owner A
Asset 1Asset 1 Asset 2Asset 2 Asset 3Asset 3
Asset Owner IAsset Owner I Asset Owner IIAsset Owner II Asset Owner IIIAsset Owner III
Ein Unternehmen besteht aus mehreren Geschäftsprozessen, die …• Produkte und Dienstleistungen für interne und externe Kunden schaffen
• Definierten Anforderungen entsprechen müssen
• Die gegen diese definierten Anforderungen gemessen werden
• Von einem “Process Owner” verantwortet werden.
Ein Geschäftsprozess verwendet ein oder mehrere Assets, die • Benötigt werden um den Prozess durchzuführen
• Gemeinsam in der Lage sind die Geschäftserfordernisse zu bedienen
Assets werden von Asset Ownern bereitgestellt, die ..• die Geschäftserfordernisse verstehen müssen
• An operative Rahmenbedingungen wie rechtliche
Rahmenbedingungen, Spezifikationen oder operative Limitierungen
(bspw. Infrastrukturelle Kapazitätsgrenzen gebunden sind)
Der ISO 27001 Standard hilft dabei die kritischen Assets und ihre Asset Owner zu identifizieren
und bietet einen strukturierten Ansatz zur Risikoanalyse.
Geschäftsprozess Modellierung
17
Business Process AProcess Owner A
Business Process AProcess Owner A
Business Process BProcess Owner B
Business Process BProcess Owner B
Business Process CProcess Owner C
Business Process CProcess Owner C
Asset 1Asset 1 Asset 2Asset 2 Asset 3Asset 3 Asset 5Asset 5 Asset 6Asset 6 Asset 7Asset 7 Asset 8Asset 8 Asset 9Asset 9
Asset Owner IAsset Owner I Asset Owner IIAsset Owner II Asset Owner IIIAsset Owner III Asset Owner IVAsset Owner IV
Business Impact Analysis
Operational Risks
Risk Management
Internal Audits
Compliance
Training
Mgmt. Review
Cont. Improvement
Business Continuity Mgmt.
Business RequirementsContractual Requirements, Service Level Agreements,
Operational Requirements/BoundariesLegal Requirements, Policy Requirements, Standard Requirements, Infrastructure- and Ressource Boundaries
ISO 27001 beschreibt ein Management System, dass aufgrund der Eigenschaften Confidentiality, Integrity
and Availability Company Assets klassifiziert und den „Good decision making process“ unterstützt.
Risk = Threat(Business Impact) x Likelihood
18
Assets
Risk Treatment Options: Avoid, Accept. Reduce, Transfer
THREAT AWARENESS / THREAT INTELLIGENCE
19
Es gibt verschiedene Arten von Bedrohungen
20
Organisatorische Mängel wie fehlende Richtlinien, SOPs, Prozesse und Trainings
Menschliches Versagen wie fehlendes Sicherheitsbewusstsein und Nichteinhaltung der definierten Regeln und Richtlinien
Technisches Versagen wie Stromausfälle, Computerstörungen, Server-, Netzwerkstörungen
Desaster wie Brände, Wassereintritt, …
Vorsätzliche Handlungen im Bereich der Wirtschaftskriminalität, Diebstähle, Cybercrime, Viren und Würmer
Organisatorische Mängel
Menschliches Versagen
Technisches Versagen
Desaster
Vorsätzliche Handlung
Cybercrime Bedrohungen
21
CyberCrime
shared
targeteddrive by
Scanbots
Worms
…
Spear Phishing
Social Engineering
DDoS
APTs
Reverse Engineering
Web application Hacking
State Developed Malware
…
Vulnerability Scanning
Password Stealers
Botnets
Trojans
Google Hacking
Injection Attacks
Brute Forcing
Ransomware
…
Cybercrime Bedrohungen und Detektierbarkeit
22
DoS / DDoSDefacementsBruteforcing
Vulnerability Scans /Exploitattempts
Webapplication Hacking…
DoS / DDoSDefacementsBruteforcing
Vulnerability Scans /Exploitattempts
Webapplication Hacking…
ScanbotsWormsSPAMHOAX
…
ScanbotsWormsSPAMHOAX
…
APTsSocial Engineering
Spear PhishingLeaked Passwords
Insider Attacks
APTsSocial Engineering
Spear PhishingLeaked Passwords
Insider Attacks
Botnet InfectionsPersonallized Malware
Password StealersMobile Device Exloits0 day vulnerabilities
…
Botnet InfectionsPersonallized Malware
Password StealersMobile Device Exloits0 day vulnerabilities
…
DetectabilityPreventability
HIGH
LOW
TARGETED DRIVE BY SHARED
APTsSocial Engineering
Spear PhishingLeaked Passwords
Insider Attacks
APTsSocial Engineering
Spear PhishingLeaked Passwords
Insider Attacks
Anatomie eines Angriffs
23
Reconnaissance Phase
Probe and Attack
Initial Access
Privilege Escalation
Backdoor Implementation
Remove Evidence
Recon
Infiltration
PrivilegeEscalation
Exfiltration
Anatomie eines Angriffs – gegen IT Infrastrukturen
24
“IT Fernangriff – gegen Systeme”
Grundlegende Vorgehensweise:
- Auffinden angreifbarer Ziele (Server, Gateways)
- Auffinden angreifbarer Dienste
- Versionsbestimmung dieser Dienste
- Suche nach bekannten Schwachstellen
- Analyse der Konfiguration
- Analyse verfübarer Exploits
- Anwendung verfügbarer Exploits
Toolunterstützung:
- DNS / Ripe tools
- nmap
- nc
- Fingerprinting Tools
- Vulnerability Scanner
- Exploit Frameworks
Anatomie eines Angriffs – gegen IT Infrastrukturen
25
Reconnaissance - Internet
- DNS Reverse Lookups- RIPE Analyse- Google Hacking- Port Scanning- Banner Grabbing- Application Mapping- OS Fingerprinting- Vulnerability Scanning- Webvulnerability Scanning / Crawling- WLAN Hot Spot Maps
Reconnaissance – PSTN, Vor Ort
- War Dialing- War Driving
Probe and Attack
- Password Bruteforcing / Dictionary Attacks- Remote Exploits- Command Injection- SQL Injection- Reverse Engineering- Parameter Manipulation
Anatomie eines Angriffs – gegen User
26
“IT Fernangriff – gegen User”
Grundlegende Vorgehensweise:
- Auffinden angreifbarer “User”
- Analyse der Organisationshierachien
- Analyse der “Stakeholder”
- Suche nach Themen / Anknüpfungspunkten
- Vertrauen aufbauen / Grundvertrauen nutzen
- Protokoll Headeranalysen
- Schadsoftware erstellen
- Schadsoftware imunisieren
- Trojanisieren von Nutzprogrammen
- Trojanisiertes Nutzprogramm zustellen
Toolunterstützung:
- Web 2.0
- Scriptsprachen, Makrotools
- Binder Programme
- Encoder
- Reverse Shell
- TinyApps
Anatomie eines Angriffs – gegen User
27
Reconnaissance - Internet
- USENET / Foren- Firmenhomepage- Börsenberichte- Presse Aussendungen- Facebook, Xing, Twitter …- Jobbörse- Mailverkehr- …
Reconnaissance – PSTN, Vor Ort
- Telefonische Kontaktaufnahme
Probe and Attack
- Mailsystem Analyse- Phishing Sites- Proxy Analyse- Trojanisierte Programme / Dokumente
Threat Awareness – FAIL
28
Threat Awareness – Bsp.: Insider Threats
29
Quelle: www.heise.de/security
Security Monitoring - Pastebin
30
Beispiele:
http://pastebin.com/amHGVgUv
http://pastebin.com/EdBJYPHX
http://pastebin.com/v9bnV9eu
Usernames & Passwords SQL Injection Vulnerabilities
31
INCIDENT MANAGEMENT
Eigentlich weiß jeder wie es geht …
32
Ein Evakuierungsplan für den Brandfall ist ein
Incident Response Plan für einen Fall.
Aufgrund gesetzlicher Verpflichtungen und
behördlicher Auflagen ist dieser Fall in der
Mehrheit aller Institutionen ausreichend
umgesetzt.
Vergleichbare Anweisungen müssen für das
Eintreten aller relevanten kritischen
Bedrohungsszenarien definiert und trainiert
werden .
Example Incident Response Process
33
Wichtige Rollen im Incident Response Team:
Incident Handler / Security Officer
Top Management
Public Relations Officer
Legal Representative
HR Manager
Head of IT
Process- / System Specialist
External Professionals
- Forensic Professionals
- Takedown Service Providers
- Legal Professionals
- DDoS Protection Services
THANK YOU
34 V 1.0
ANY QUESTIONS ?