Operationales Geschäftsrisiko Cyber-Attacken · • Beispiele: CryptoLocker / CTB-Locker • „Ransomware 2.0“: Transparente Verschlüsselung von Webserver-DBs über längeren

IT-Sicherheitsrisiken 2015

Operationales Geschäftsrisiko

Cyber-Attacken

Relevante IT-Sicherheitsrisiken für Unternehmen

1


Vorstellung

PROFI Netzwerk & Security

2

BEDROHUNGEN

3 IT-Sicherheitsrisiken 2015

Bedrohungen – 2014


Bedrohungen – Malware und Exploits

RansomwareErpressen von Lösegeld für verschlüsselte Daten

Vorgehensweise

• Infektion via Phishing / Driveby / P2P / IRC / Newsgroups

• Verschlüsselung aller erreichbarer Laufwerke• Löschen von VSS-Backups

• Schlüsselspeicherung im TOR Netz

• Bezahlung via Bitcoins• „Partnerprogramm“ für die Verbreitung• Beispiele: CryptoLocker / CTB-Locker

• „Ransomware 2.0“: Transparente Verschlüsselung von Webserver-DBs über längeren Zeitraum hinweg

Schaden

• Datenverlust gemäß RPO• „2.0“: Ggfs. auch wesentlich längere Zeiträume• Zeit (Downtime, Cleanup, Restore)

Schutz

• Infektionswege kontrollieren: Mail, Web, Anwendungen, Schnittstellen

• Backup- / Restore-Konzept• Berechtigungskonzept gemäß Need-To-Know• User Awareness• WAF



Fortgeschrittene Malware Beispiel: Equation Group

Vorgehensweise

• Infektion von Festplatten-Firmware

• Übersteht Formatierung, teilweise sogarFirmware Flashing

• Infektionsweg meist via DriveBy / WateringHole Attack

• Gezielte Anwendung

• Staatlicher Hintergrund vermutet (Auftauchen in Snowden-Dokumenten)

Schaden

• Abfluss von Informationen• Gezielte Manipulation• Langfristige Infektion

Schutz

• Infektionswege kontrollieren: Mail, Web, Anwendungen, Schnittstellen

• Datenexfiltration vermeiden• User Awareness



Exploits 2014Top Ten: In The Wild



Exploits 2014Top Ten: Neueinsteiger

Schutz

• Patchmanagement• Software-Inventarisierung• Malwareschutz im Perimeter: Mail, Web, Firewall• IPS im Netz und auf dem Endpoint• Endpoint Security mit Heuristik• User Awareness


Bedrohungen – Web Server Security

SQL Injection

Vorgehensweise

• Zugriff auf Datenbanken über öffentliche Eingabefelder

Schaden

• Abfluss von Informationen• Abfluss von Zugangsdaten• Weiterführende Infektionen

Schutz

• Sauberes Programmieren• Security in die Anwendungsentwicklung

integrieren• Nachträgliche regelmäßige Prüfungen• Web Application Firewalls• DB-Security

(D)DoS

Vorgehensweise

• Fluten von Leitungen und Servern mit sinnlosen Anfragen

Schaden

• Nicht-Erreichbarkeit von Shops / Portalen• Kommunikations-Unfähigkeit• Downtimes

Schutz

• DDoS Protection Appliances• Scrubbing-Datacenter• Firewalls / Application Delivery Controller


Bedrohungen – Schwachstellen

SchwachstellenHeartbleed | POODLE | GOTOFail | Shellshock

Problematik

• Schwachstellen in elementaren (Verschlüsselungs-)Modulen

• Potenziell betroffen sind jegliche Arten von Client- und Server-Betriebssystemen

• Betrifft Webseiten, Anwendungen und VPN

• Ermöglichen das Aufbrechen von Verschlüsselung, auch nachträglich

• Lange unentdeckt – zumindest öffentlich

Schaden

• Abfluss von Informationen durch gebrochene Verschlüsselung

• Abfluss von Zugangsdaten• Übernahme von Systemen

Schutz

• Agiles Patch Management• IPS• WAF

"Catastrophic" is the right word. On the scale of 1 to 10, this is an 11.Bruce Schneier, Cypto-Experte, über Heartbleed


Bedrohungen – Mobile Security

Risiken durch mobile EndgeräteTrends 2015

Schwachstellen

Schwachstellen in Apps, z.B. • Apache Cordova: Apps werden unbrauchbar,

möglicher Datenabfluss• Testing Framework legt MitM-Anfälligkeit in

tausenden Android Apps offen• „Certifigate“

Schwachstellen im Betriebssystem• XARA Lücke Apple MacOS und iOS ermöglicht

Zugriff auf lokale Schlüssel – von iTunes, Mail und Social Networks bis zu Anwendungen wie OnePass und Banking

• XcodeGhost

Schutz

• Umfassende Mobile Strategie• Das Ende der Sandbox:• Entweder massive Abschottung oder dedizierter

Schutz mobiler Unternehmensdaten (Container)• User Awareness

Malware

• Oft auch in Appstores, trotz angeblicher Kontrolle

• Infektionswege außerdem „Trusted Pairing“ und App-Repacking

• Mobile Malware Zahlen sind oft plakativ, Trend ist aber real


Bedrohungen – Active Directory

Moderne AD-AngriffePass-the-Hash | Pass-The-Ticket | Kerberos | PowerShell

Problematik

• Übernahme von Passwort-Hashes oder Kerberos Tickets: Ausweisen, ohne das Passwort zu kennen

• Abwärtskompatibilität zu alten Authentifizierungs-Mechanismen lässt Lücken offen

• PowerShell um sich im Netz zu bewegen

Schaden

• Privilege Escalation: Ein normaler User-Account wird kompromittiert, das gesamte AD (und alle die darüber authentifizieren) werden übernommen

• Innentäter: User kann alle anderen User impersonifizieren

Schutz

• Agiles Patch Management / Moderne OSs• AD-Lockdown• Segmentierung• SIEM• HIPS


Bedrohungen – woher?W

ahrs

chei

nlic

hke

it

ABC

(Dienste)

Professionelles gezieltes Cybercrime

/ Hacktivism

Ungezieltes Cybercrime / Vandalismus / Versehen

Bu

dge

t

Einschub: Hacking Team…hacked

• Hacking Team ist ein Dienstleister für Spionage-Werkzeuge. Beliebtes Produkt ist das Überwachungstool „DaVinci“ und das Remote Access Toolkit „RCS Galileo“ (Remote Controlled System)

• Kunden sind u.a. die verschiedensten Regierungen und Behörden – darunter auch Ägypten, Sudan, Äthiopien und andere Staaten, gegen die teilweise entsprechende Embargos bestehen

• 400 GB Daten wurden veröffentlicht: Emails, Exploits, Strukturen und Vorgehensweisen, Passwörter der Mitarbeiter. Darunter Browser-gespeicherte Passwörter wie „Pa$$w0rd“

• Angegriffene können über eine ID ihre Angreifer identifizieren

• Zero-Day Exploits für Flash und Windows wurden inzwischen gepatcht


Vorstellung

PROFI Netzwerk & Security

13

IS-ORGANISATION


IS-Organisation: Warum?

…ohne adäquate Organisation:

Entwicklung und Regelung „Bottom-Up“

IT als Verantwortliche für Regeln und Maßnahmen

Produkt-Checklisten

„historisch gewachsen“ führt in technologische Sackgassen

„Was schütze ich hier eigentlich?“

Mangelnde Reaktionsfähigkeit auf aktuelle Entwicklungen und Bedrohungen

Problematische Compliance-Audits

Schwierige Budget Diskussionen

Strukturierte IS-Organisation:

Entwicklung verfolgt klar definierte Ziele

Management steht hinter allen Regularien

Verantwortlichkeiten sind klar definiert

Schutzbedarfs-orientierte Gestaltung

Aktuelle Risiko-Analysen

Schnelle, strukturierte Reaktion auf aktuelle Bedrohungen

Konsequentes Hinterfragen des Status Quo

Effiziente Auditierung

Budgetierung folgt den Zielen


IS-Organisation: Wie?

Verschiedenste Standards:

• ISO 27001• BSI Grundschutz• PCI DSS• IDW PS330• CobiT• VdS 3473• …

Pragmatische Umsetzung

• „Low Hanging Fruits“ zuerst• Selektive Umsetzung der Elemente

verschiedener Frameworks:• Prozesse oder Maßnahmen• Freie Gestaltung oder klare Richtlinien

• Individuelle Risikoanalyse als Grundlage• Entwicklung einer Management-gestützten

Leitlinie, aus der sich konkretere Richtlinien ergebenSelf Assessments

• Heise Security Bilanz Deutschland• Deutschland sicher im Netz• VdS 3473 Quick Check

16 Praxiserprobte Implementierungen

Übersicht Kompetenzteam

Netzwerk & Security Kompetenz Team

Berater und Systemingenieure

IT-Security

BeratungKonzeptionierung

Compliance

LAN-Infrastruktur

Datacenter Networks

Campus NetworksWLANSDN

Management / Monitoring

SIEMFirewall-

ManagementVulnerability Mgmt

Endpoint-Sicherheit

AV-LösungenVerschlüsselung

Mobility

Perimeter-Sicherheit

Firewall / VPN / IPSApplication

DeliveryWeb/Mail Security

Strategie-Beratung Planung und Design Implementierung Betrieb / Managed Service

17 Kompetenzteam Netzwerk & Security

Security Checks mit PROFI

Network VulnerabilityScan

Schwachstellen-Scan auf Netzwerkebene

Aufdecken fehlerhafter Policies, veralteter Dienste, vergessener Server

Manuelle Auswertung und Handlungs-Empfehlung

Web ApplicationSecurity Scan

Untersucht Web-Applikationen auf

Schwachstellen

Findet z.B. Programmier-Fehler

wie SQL-Injection, XSS

Als einmaliger Scan oder eingebunden in

den Entwicklungsprozess

IT Risk Compact Check

Untersuchung von IT Prozessen, Dokumentation und Technik

Aufdecken der wichtigsten Risiken

Praktische Handlungs-Empfehlungen zu den Funden

Penetration Test

Testet, wie gut die IT tatsächlich gegen Angreifer geschützt ist

Erfahrene „Whitehats“ versuchen, Systeme zu kompromittieren bzw. an Daten zu gelangen

Scope von White- bis Blackbox

Security Checkup

Deckt Lücken und Verbesserungs-Potenzial in der Perimeter-Firewall auf

Scannt den tatsächlichen Internet-Traffic, listet Angriffe, Botnetze, besuchte URL-Kategorien etc. auf

Keine Veränderung der Infrastruktur

Technisch Auditiv

SAP Security

Untersuchung von Custom ABAP Code auf Schwachstellen und Optimierungspotenzial

Prüfung der Systemkonfiguration auf Schwachstellen, Fehlkonfigruationenund Verbesserungs-Potenzial hinsichtlich Sicherheit, Compliance und Qualität

Marcus Hock

Leiter Kompetenzteam Netzwerk & Security

Tel: 06151 8290-7728

Email: [email protected]

Christian Hantrop

Bereichsleiter Geschäftsbereich

System Infrastruktur Lösungen

Tel: 06151 8290-7753

Email: [email protected]


IHRE ANSPRECHPARTNER

Documents

Operationales Geschäftsrisiko Cyber-Attacken · • Beispiele: CryptoLocker / CTB-Locker • „Ransomware 2.0“: Transparente Verschlüsselung von Webserver-DBs über längeren