Rethinking Visibility: Shrink your attack surface,reduceincidents using Indicators of Exposure, and become compliant

30 March 2016

Carlos Heller Technical Director DACH

skyboxsecurity.com 2

28/04 /16 07:56Indust r ie 4.0: BSI gibt grünes Licht | heise online

Page 1 of 2ht tp:/ /www.heise.de/newst icker/meldung/Indus t rie- 4 - 0- BSI- gibt- gruenes- Li cht - 3186603.html

Industrie 4 .0: BSI gibt grünes Licht

Laut dem Bundesamt für Sicherheit in der Informationstechnik besteht kein

Anlass, an der Sicherheit der Kommunikation zwischen Maschinen zu zweifeln.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat im Rahmen der

Hannover Messe eine Sicherheitsanalyse des Kommunikationsprotokolls OPC UA

veröffentlicht. Dieser Industriestandard gilt als essenziell für eine sichere

Kommunikation zwischen Maschinen (M2M). Laut BSI hat OPC UA keine

systematischen Sicherheitslücken – zumindest auf dem Papier.

Eine im Rahmen der Studie geprüfte Referenzimplementierung der OPC Foundation

wies jedoch eine Schwachstelle auf, die sich bei ausgeschalteten

Sicherheitsfunktionen ausnutzen lässt. Die OPC Foundation will die Lücke mit dem

nächsten Update schließen. Laut dem BSI handelt es sich bei OPC U A um "einen der

wichtigsten modernen Standards zur sicheren, herstellerübergreifenden Vernetzung

für industrielle Anlagen". Die unter Federführung des TÜV Süd Rail erstellte Studie

trage dazu bei, die Digitalisierung und Vernetzung industrieller Prozesse von Anfang an

sicher zu gestalten.

Passend zur Einschätzung des BSI hat Microsoft heute – ebenfalls anlässlich der

Hannover Messe – angekündigt, zukünftig noch enger mit der OPC Foundation

zusammenzuarbeiten. Die "Unterstützung von OPC UA mit Azure IoT und Windows IoT

28/04 /16 07:56Sicherheits- Repor t : Unternehmen setzen selbst simple Schutzmechanismen nich t um | heise online

Page 1 of 3ht tp:/ /www.heise.de/newst icker/meldung/Sicherhei ts- Repor t- Untern…en- setzen- selbst- simple- Schutzmechanismen- nicht - um- 3184485.html

26.04.2016 10:55 Uhr Uli Ries

Sicherheits- Report: Unternehmen setzen selbst simple

Schutzmechanismen nicht um

heise Security

(Bild: Verizon Business)

Forensische Analysen von mehr als 3000 nachweislichen Datenlecks zeigen,

dass sich Angreifer wenig Neues einfallen lassen - weil Unternehmensnetze

immer noch nicht gegen die ewig gleichen Angriffsmuster geschützt sind.

Der zum neunten Mal erschienene Verizon Data Breach Investigations Report (DBIR) ist

die wohl umfassendste Untersuchung von weltweiten Datenlecks. Das Fazit der

Autoren des aktuellen Reports: Es hat sich wenig getan in den letzten Jahren.

Weiterhin stehen sämtliche Industriesektoren im Visier von Angreifern – wenngleich der

Löwenanteil der Attacken Organisationen im Finanzsektor aufs Korn nimmt – und auch

Behörden werden im gleichen Maß attack iert. Gut 90 Prozent aller untersuchten

Datenpannen hatten eine finanzielle Motivation. Zudem räumt der DBIR mit dem

Mythos auf, dass ein respektabler Teil der Attacken von Innentätern ausgeht: Den

Daten zufolge sind es in über 80 Prozent der Fälle externe Angreifer.

Beliebte Angriffsmethoden

skyboxsecurity.com 3

28/04 /16 07:56Schadsof tware im Atomkraf twerk Gundremmingen | h eise online

Page 1 of 3ht tp:/ /www.heise.de/newst icker/meldung/Schadsof tware- im- Atomkraf twerk- Gundremmingen- 3186 045.html

Schadsoftware im Atomkraftwerk Gundremmingen

Das Kernkraftwerk Gundremmingen: Block A (links vorn), Blöcke B und C (rechts) mit beiden Kühltürmen

(hinten)

(Bild: Felix König, Lizenz CC BY- SA 3.0)

Im Block B des bayerischen Atomkraftwerks Gundremmingen wurde offenbar

eine Schadsoftware eingeschleust, die ein IT-System mit dem Internet verbinden

wollte.

In das bayerische Atomkraftwerk Gundremmingen wurde Schadsoftware

eingeschleust, teilte der Betreiber des Atomkraftwerks mit. So sei im Block B das IT-

System betroffen gewesen, das für die Brennelement-Lademaschine des Kraftwerks

verantwortlich ist, heißt es im Bayerischen Rundfunk. Diese hebt unter anderem alte

Brennelemente aus dem Reaktorkern und transportiert sie zum Lagerbecken. Wie die

FAZ schreibt, ist dieses Computersystem erst 2008 nachgerüstet worden.

Mit dem Internet verbinden

"Einen Einfluss auf die Steuerung dieser Lademaschine hat das IT-System nach

Angaben des Betreibers aber nicht", so der BR. Allerdings soll der Schädling versucht

haben, eine "ungewollte Verbindung zum Internet" herzustellen. Die im Kraftwerk

eingesetzten Rechner, die für die Steuerung von technischen Geräten genutzt werden,

seien aber nicht mit dem Int ernet verbunden.

skyboxsecurity.com 4

28/04 /16 07:57Apple vs. FBI: Behörde zahlt e mehr als 1,3 Millionen US- Dollar für iPhone- Hack | heise online

Page 1 of 2ht tp:/ /www.heise.de/newst icker/meldung/Apple- vs- FBI- Behoerde- zahlte- mehr- als- 1- 3- M illionen- US- Dollar- fuer- iPhone- Hack- 3179525.html

22.04.2016 08:09 Uhr Kristina Beer

Apple vs. FBI: Behörde zahlte mehr als 1,3 Millionen US-Dollar für

iPhone- Hack

heise online

James Comey weiß ziemlich genau, wann er in Rente geht.

(Bild: The Aspen Inst itute)

Rechnen mit dem FBI-Chef: James Comey erzählte freimütig, dass für die

Methode zum Hacken des iPhone 5c mehr als sieben seiner Jahreseinkommen

bezahlt wurden. Da die Gehälter öffentlich sind, konnte daraus leicht ein

Mindestpreis errechnet werden.

Das FBI hat sich die Methode, mit der das iPhone in einem vielbeachteten Verfahren in

Kalifornien entsperrt wurde, mehr als 1,3 Millionen US-Dollar (1,15 Millionen Euro)

kosten lassen. FBI-Chef James Comey nannte am Donnerstag zwar keinen konkreten

Preis – gab aber einen Hinweis auf die Größenordnung als eine Art Rechenaufgabe. Es

sei mehr gewesen, als er in seiner verbleibenden Amtszeit von sieben Jahren und vier

Monaten verdienen werde, sagte Comey bei einem Auftritt in London.

Teuer war's

Da bekannt ist, dass das Gehalt des FBI- Direktors bei rund 180.000 US-Dollar pro Jahr

Did it get any easier ???

skyboxsecurity.com 5

skyboxsecurity.com 6

skyboxsecurity.com 7

Discovering an HTTP Command and Control Spambot

Modern Battlefield

skyboxsecurity.com 8

The attack surface is the cyber battlefield

Attack Surface = sum or all exploitable attack vectors

What does your attack surface look like?

Situational awareness needed

skyboxsecurity.com 9

HQ in Silicon Valley,

Growing at 60% YoY last 2 years

Trusted solution for Global 5000 organisations – 500+ enterprise &government customers in 50 countries

More than 1M network devices, 10Mnetwork assets modelled with Skybox

skyboxsecurity.com 10

Skybox focuses on your attack surface

Dedicated to providing total visibility and intelligence to prevent and contain attacks

What we doSecurity software provider

HQ in Silicon Valley, offices in Europe and Asia

Common platform scalable to the largest networks

Each module addresses a piece of the attack surface

Integrated with 90+ security tools

Built-in vulnerability intelligence feed

skyboxsecurity.com 11

TechnologyEnergy &Utilities

HealthcareGovernment &

DefenseService

ProvidersFinancialServices

Consumer

Different customers, common challenges

skyboxsecurity.com 12

Prevent attacks from potential threatsContain and remediate attacks

Maintain compliance

Limited resourcesIncreasingly complex infrastructure

Less direct control and insight

Obstacle: Sheer Scale and Complexity

Myriad network and security vendors

Sheer size of network

Huge numbers of vulnerabilities

Complex interactions of devices and policies

Obstacle: Data Silos

Endpoint protection

Vulnerability assessment

Configuration management

Patch management

Network management

Incident management

skyboxsecurity.com 14

Obstacle: Lack of Systematic Approach

Source: June 2015, Neil MacDonald, Gartner’s Adaptive Security Architecture: New Approaches for Advanced and Insider Threats”

Obstacle : visibility

skyboxsecurity.com 16

Automatically created, interactive, normalized model of your network

192.170.33.1Prod FW

192.169.1.1Main FW

200.160.1.3Partner 1 FW

200.160.3.0 / 24Partner 1 VPN

192.170.1.65Finance FW

192.170.1.64IPS

192.170.8.1Main Router

192.170.8.4Core Router

192.170.27.1Core Router

192.170.27.254BigIP Load Balancer

200.160.1.0 / 24Partner 1

0.0.0.0 / 0Internet

200.160.2.0 / 24Partner 2

192.170.34.0 / 24db

192.170.33.0 / 24

dmz 192.170.35.0 / 24

app0 192.170.36.0 / 24

app1

192.170.8.0 / 24Backbone

192.169.1.0 / 28GatewayEastA

192.170.1.64 / 28

GatewayNorth

192.170.1.80 / 28

GatewaySouth

192.170.25.0 / 24

financeWindows

192.170.27.0 / 24

financeServers

192.170.26.0 / 24

financeUnix

Obstacle: Visualising the attack surface

skyboxsecurity.com 17

SECURITY CONTROLS

FirewallsIPSVPNs

NETWORK TOPOLOGY

RoutersLoad BalancersSwitches

ASSETS

ServersWorkstationsNetworks

VULNERABILITIES

LocationCriticality

THREATS

HackersInsidersWorms

Check Point

Obstacle: Compliance Monitoring

Automated policy compliance checks

PCI DSS, NIST, FISMA NERC, Custom Policies

View access policy violations

Track exceptions

skyboxsecurity.com 18

Compliance Assessment

Obstacle: Monitor firewalls and network devices for security gaps

skyboxsecurity.com 19

Complete visibility of

− Hosts, devices, zones

− Firewall rules(ACLs)

− Routing, NAT, VPN

Analysis

− Risky access paths

− Access policy compliance

− Rule usage

− Platform configuration

Obstacle: change management workflow

Monitor changes

Risk assessment before change is made

Identify devices involved

Deliver access path information immediately

Handle exceptions

Reconcile changes

skyboxsecurity.com 20

Automate the change management process Change Request

Technical Details

Risk Assessment

Change Implementation

Reconcile and Verify

Obstacle: Risk Assesement

skyboxsecurity.com 21

Skybox Analytics Engine

RequestTechnical

DetailsRisk

AssessmentImplementation Verification

Capture business and/or technical details

Translate

Path identification

Rule analysis

Identify policy violations &

Vulnerability exposures

Accept/Reject

Assign to team for provisioning

Reconcile against observed changes

Verify Access

Validate requestApprovalDeprovision rule, IP, object or serviceReconciliation

Deprovision Workflow

Path analysisRisk analysisProvisioning with metadataReconciliation

Obstacle: Rule lifecycle management

skyboxsecurity.com 22

CreationWorkflow

Auto Ticket Generation

Recertify or Reject

Rule or Object Usage?

Policy Violations?

Recertification Date?

Recertification Workflow

Obstacle: lost focus

Skybox delivers a systematic process to minimize vulnerabilities and attack vectors

skyboxsecurity.com 23

Vulnerabilities Identified

How do we prioritize for remediation?

Is the data complete and up to date?

How do we prioritize for remediation?

Are critical assets at risk?

Attack simulation: finding exploitable attack vectors

skyboxsecurity.com 24

Finance Servers

Connectivity Path

BusinessImpact

Attack Vector

How to Block Potential Attack?

Probable attack vector to finance servers asset group.This attack is a “multi-step”

attack, crossing several network zones.

Management view: dashboards to monitor and track progress

skyboxsecurity.com 25

Check Impact of Remediation

Activity

Filter Vulnerabilities

by Threat Origin

View by Context-Aware

Risk Level

Indicators of Compromise vs. Indicators of Exposure

Source: SecurityIntelligence.com graphic and SANS/John Pescatore, analyst

Malware detected

Unusual activity

IOC’s• Something

happened• Is it

important?

IOE’s• Something is

exposed • Is it part of an

attack vector?Zoning issue

Rule violation

Exploitable vulnerabilities

Exfiltration risk

Representing the Attack Surface and indicators of exposure

Indicators of Exposure

Exploitable attack vectors

Violating firewall rules

Directly exposed vulnerabilities

Vulnerability hot spots

New vulnerabilities

Platform violations

Unauthorised changes

Network zoning violations

Strategic Organisational Benefits

Gain visibility

skyboxsecurity.com 29

Respond quickly

Improve processes / ROI Extract insights

Thank you!

Carlos Heller

+49 151 50 39 0000

Carlos.Heller@SkyboxSecurity.com

30