Shrink your attack surface,reduce incidents using ... · ... heise online 28/04 ... Data Silos...
Transcript of Shrink your attack surface,reduce incidents using ... · ... heise online 28/04 ... Data Silos...
Rethinking Visibility: Shrink your attack surface,reduceincidents using Indicators of Exposure, and become compliant
30 March 2016
Carlos Heller Technical Director DACH
skyboxsecurity.com 2
28/04 /16 07:56Indust r ie 4.0: BSI gibt grünes Licht | heise online
Page 1 of 2ht tp:/ /www.heise.de/newst icker/meldung/Indus t rie- 4 - 0- BSI- gibt- gruenes- Li cht - 3186603.html
Industrie 4 .0: BSI gibt grünes Licht
Laut dem Bundesamt für Sicherheit in der Informationstechnik besteht kein
Anlass, an der Sicherheit der Kommunikation zwischen Maschinen zu zweifeln.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat im Rahmen der
Hannover Messe eine Sicherheitsanalyse des Kommunikationsprotokolls OPC UA
veröffentlicht. Dieser Industriestandard gilt als essenziell für eine sichere
Kommunikation zwischen Maschinen (M2M). Laut BSI hat OPC UA keine
systematischen Sicherheitslücken – zumindest auf dem Papier.
Eine im Rahmen der Studie geprüfte Referenzimplementierung der OPC Foundation
wies jedoch eine Schwachstelle auf, die sich bei ausgeschalteten
Sicherheitsfunktionen ausnutzen lässt. Die OPC Foundation will die Lücke mit dem
nächsten Update schließen. Laut dem BSI handelt es sich bei OPC U A um "einen der
wichtigsten modernen Standards zur sicheren, herstellerübergreifenden Vernetzung
für industrielle Anlagen". Die unter Federführung des TÜV Süd Rail erstellte Studie
trage dazu bei, die Digitalisierung und Vernetzung industrieller Prozesse von Anfang an
sicher zu gestalten.
Passend zur Einschätzung des BSI hat Microsoft heute – ebenfalls anlässlich der
Hannover Messe – angekündigt, zukünftig noch enger mit der OPC Foundation
zusammenzuarbeiten. Die "Unterstützung von OPC UA mit Azure IoT und Windows IoT
28/04 /16 07:56Sicherheits- Repor t : Unternehmen setzen selbst simple Schutzmechanismen nich t um | heise online
Page 1 of 3ht tp:/ /www.heise.de/newst icker/meldung/Sicherhei ts- Repor t- Untern…en- setzen- selbst- simple- Schutzmechanismen- nicht - um- 3184485.html
26.04.2016 10:55 Uhr Uli Ries
Sicherheits- Report: Unternehmen setzen selbst simple
Schutzmechanismen nicht um
heise Security
(Bild: Verizon Business)
Forensische Analysen von mehr als 3000 nachweislichen Datenlecks zeigen,
dass sich Angreifer wenig Neues einfallen lassen - weil Unternehmensnetze
immer noch nicht gegen die ewig gleichen Angriffsmuster geschützt sind.
Der zum neunten Mal erschienene Verizon Data Breach Investigations Report (DBIR) ist
die wohl umfassendste Untersuchung von weltweiten Datenlecks. Das Fazit der
Autoren des aktuellen Reports: Es hat sich wenig getan in den letzten Jahren.
Weiterhin stehen sämtliche Industriesektoren im Visier von Angreifern – wenngleich der
Löwenanteil der Attacken Organisationen im Finanzsektor aufs Korn nimmt – und auch
Behörden werden im gleichen Maß attack iert. Gut 90 Prozent aller untersuchten
Datenpannen hatten eine finanzielle Motivation. Zudem räumt der DBIR mit dem
Mythos auf, dass ein respektabler Teil der Attacken von Innentätern ausgeht: Den
Daten zufolge sind es in über 80 Prozent der Fälle externe Angreifer.
Beliebte Angriffsmethoden
skyboxsecurity.com 3
28/04 /16 07:56Schadsof tware im Atomkraf twerk Gundremmingen | h eise online
Page 1 of 3ht tp:/ /www.heise.de/newst icker/meldung/Schadsof tware- im- Atomkraf twerk- Gundremmingen- 3186 045.html
Schadsoftware im Atomkraftwerk Gundremmingen
Das Kernkraftwerk Gundremmingen: Block A (links vorn), Blöcke B und C (rechts) mit beiden Kühltürmen
(hinten)
(Bild: Felix König, Lizenz CC BY- SA 3.0)
Im Block B des bayerischen Atomkraftwerks Gundremmingen wurde offenbar
eine Schadsoftware eingeschleust, die ein IT-System mit dem Internet verbinden
wollte.
In das bayerische Atomkraftwerk Gundremmingen wurde Schadsoftware
eingeschleust, teilte der Betreiber des Atomkraftwerks mit. So sei im Block B das IT-
System betroffen gewesen, das für die Brennelement-Lademaschine des Kraftwerks
verantwortlich ist, heißt es im Bayerischen Rundfunk. Diese hebt unter anderem alte
Brennelemente aus dem Reaktorkern und transportiert sie zum Lagerbecken. Wie die
FAZ schreibt, ist dieses Computersystem erst 2008 nachgerüstet worden.
Mit dem Internet verbinden
"Einen Einfluss auf die Steuerung dieser Lademaschine hat das IT-System nach
Angaben des Betreibers aber nicht", so der BR. Allerdings soll der Schädling versucht
haben, eine "ungewollte Verbindung zum Internet" herzustellen. Die im Kraftwerk
eingesetzten Rechner, die für die Steuerung von technischen Geräten genutzt werden,
seien aber nicht mit dem Int ernet verbunden.
skyboxsecurity.com 4
28/04 /16 07:57Apple vs. FBI: Behörde zahlt e mehr als 1,3 Millionen US- Dollar für iPhone- Hack | heise online
Page 1 of 2ht tp:/ /www.heise.de/newst icker/meldung/Apple- vs- FBI- Behoerde- zahlte- mehr- als- 1- 3- M illionen- US- Dollar- fuer- iPhone- Hack- 3179525.html
22.04.2016 08:09 Uhr Kristina Beer
Apple vs. FBI: Behörde zahlte mehr als 1,3 Millionen US-Dollar für
iPhone- Hack
heise online
James Comey weiß ziemlich genau, wann er in Rente geht.
(Bild: The Aspen Inst itute)
Rechnen mit dem FBI-Chef: James Comey erzählte freimütig, dass für die
Methode zum Hacken des iPhone 5c mehr als sieben seiner Jahreseinkommen
bezahlt wurden. Da die Gehälter öffentlich sind, konnte daraus leicht ein
Mindestpreis errechnet werden.
Das FBI hat sich die Methode, mit der das iPhone in einem vielbeachteten Verfahren in
Kalifornien entsperrt wurde, mehr als 1,3 Millionen US-Dollar (1,15 Millionen Euro)
kosten lassen. FBI-Chef James Comey nannte am Donnerstag zwar keinen konkreten
Preis – gab aber einen Hinweis auf die Größenordnung als eine Art Rechenaufgabe. Es
sei mehr gewesen, als er in seiner verbleibenden Amtszeit von sieben Jahren und vier
Monaten verdienen werde, sagte Comey bei einem Auftritt in London.
Teuer war's
Da bekannt ist, dass das Gehalt des FBI- Direktors bei rund 180.000 US-Dollar pro Jahr
Did it get any easier ???
skyboxsecurity.com 5
skyboxsecurity.com 6
skyboxsecurity.com 7
Discovering an HTTP Command and Control Spambot
The attack surface is the cyber battlefield
Attack Surface = sum or all exploitable attack vectors
What does your attack surface look like?
Situational awareness needed
skyboxsecurity.com 9
HQ in Silicon Valley,
Growing at 60% YoY last 2 years
Trusted solution for Global 5000 organisations – 500+ enterprise &government customers in 50 countries
More than 1M network devices, 10Mnetwork assets modelled with Skybox
skyboxsecurity.com 10
Skybox focuses on your attack surface
Dedicated to providing total visibility and intelligence to prevent and contain attacks
What we doSecurity software provider
HQ in Silicon Valley, offices in Europe and Asia
Common platform scalable to the largest networks
Each module addresses a piece of the attack surface
Integrated with 90+ security tools
Built-in vulnerability intelligence feed
skyboxsecurity.com 11
TechnologyEnergy &Utilities
HealthcareGovernment &
DefenseService
ProvidersFinancialServices
Consumer
Different customers, common challenges
skyboxsecurity.com 12
Prevent attacks from potential threatsContain and remediate attacks
Maintain compliance
Limited resourcesIncreasingly complex infrastructure
Less direct control and insight
Obstacle: Sheer Scale and Complexity
Myriad network and security vendors
Sheer size of network
Huge numbers of vulnerabilities
Complex interactions of devices and policies
Obstacle: Data Silos
Endpoint protection
Vulnerability assessment
Configuration management
Patch management
Network management
Incident management
skyboxsecurity.com 14
Obstacle: Lack of Systematic Approach
Source: June 2015, Neil MacDonald, Gartner’s Adaptive Security Architecture: New Approaches for Advanced and Insider Threats”
Obstacle : visibility
skyboxsecurity.com 16
Automatically created, interactive, normalized model of your network
192.170.33.1Prod FW
192.169.1.1Main FW
200.160.1.3Partner 1 FW
200.160.3.0 / 24Partner 1 VPN
192.170.1.65Finance FW
192.170.1.64IPS
192.170.8.1Main Router
192.170.8.4Core Router
192.170.27.1Core Router
192.170.27.254BigIP Load Balancer
200.160.1.0 / 24Partner 1
0.0.0.0 / 0Internet
200.160.2.0 / 24Partner 2
192.170.34.0 / 24db
192.170.33.0 / 24
dmz 192.170.35.0 / 24
app0 192.170.36.0 / 24
app1
192.170.8.0 / 24Backbone
192.169.1.0 / 28GatewayEastA
192.170.1.64 / 28
GatewayNorth
192.170.1.80 / 28
GatewaySouth
192.170.25.0 / 24
financeWindows
192.170.27.0 / 24
financeServers
192.170.26.0 / 24
financeUnix
Obstacle: Visualising the attack surface
skyboxsecurity.com 17
SECURITY CONTROLS
FirewallsIPSVPNs
NETWORK TOPOLOGY
RoutersLoad BalancersSwitches
ASSETS
ServersWorkstationsNetworks
VULNERABILITIES
LocationCriticality
THREATS
HackersInsidersWorms
Check Point
Obstacle: Compliance Monitoring
Automated policy compliance checks
PCI DSS, NIST, FISMA NERC, Custom Policies
View access policy violations
Track exceptions
skyboxsecurity.com 18
Compliance Assessment
Obstacle: Monitor firewalls and network devices for security gaps
skyboxsecurity.com 19
Complete visibility of
− Hosts, devices, zones
− Firewall rules(ACLs)
− Routing, NAT, VPN
Analysis
− Risky access paths
− Access policy compliance
− Rule usage
− Platform configuration
Obstacle: change management workflow
Monitor changes
Risk assessment before change is made
Identify devices involved
Deliver access path information immediately
Handle exceptions
Reconcile changes
skyboxsecurity.com 20
Automate the change management process Change Request
Technical Details
Risk Assessment
Change Implementation
Reconcile and Verify
Obstacle: Risk Assesement
skyboxsecurity.com 21
Skybox Analytics Engine
RequestTechnical
DetailsRisk
AssessmentImplementation Verification
Capture business and/or technical details
Translate
Path identification
Rule analysis
Identify policy violations &
Vulnerability exposures
Accept/Reject
Assign to team for provisioning
Reconcile against observed changes
Verify Access
Validate requestApprovalDeprovision rule, IP, object or serviceReconciliation
Deprovision Workflow
Path analysisRisk analysisProvisioning with metadataReconciliation
Obstacle: Rule lifecycle management
skyboxsecurity.com 22
CreationWorkflow
Auto Ticket Generation
Recertify or Reject
Rule or Object Usage?
Policy Violations?
Recertification Date?
Recertification Workflow
Obstacle: lost focus
Skybox delivers a systematic process to minimize vulnerabilities and attack vectors
skyboxsecurity.com 23
Vulnerabilities Identified
How do we prioritize for remediation?
Is the data complete and up to date?
How do we prioritize for remediation?
Are critical assets at risk?
Attack simulation: finding exploitable attack vectors
skyboxsecurity.com 24
Finance Servers
Connectivity Path
BusinessImpact
Attack Vector
How to Block Potential Attack?
Probable attack vector to finance servers asset group.This attack is a “multi-step”
attack, crossing several network zones.
Management view: dashboards to monitor and track progress
skyboxsecurity.com 25
Check Impact of Remediation
Activity
Filter Vulnerabilities
by Threat Origin
View by Context-Aware
Risk Level
Indicators of Compromise vs. Indicators of Exposure
Source: SecurityIntelligence.com graphic and SANS/John Pescatore, analyst
Malware detected
Unusual activity
IOC’s• Something
happened• Is it
important?
IOE’s• Something is
exposed • Is it part of an
attack vector?Zoning issue
Rule violation
Exploitable vulnerabilities
Exfiltration risk
Representing the Attack Surface and indicators of exposure
Indicators of Exposure
Exploitable attack vectors
Violating firewall rules
Directly exposed vulnerabilities
Vulnerability hot spots
New vulnerabilities
Platform violations
Unauthorised changes
Network zoning violations
Strategic Organisational Benefits
Gain visibility
skyboxsecurity.com 29
Respond quickly
Improve processes / ROI Extract insights