View
7
Download
0
Category
Preview:
Citation preview
Cyber Range
Mehr Praxis in der IT-Sicherheit
Wolfgang Fritsche & Martin Herrmann, IABG
© IABG 2018 2
Inhalt
Steigende Bedeutung der IT-Sicherheit
Training und Awareness
Überblick Cyber Range
Demo Cyber Range
06.02.2018
Steigende Bedeutung der
IT-Sicherheit
© IABG 2018
BSI Lagebericht
Schadsoftware Täglich mehr als 380.000 neue Varianten von Schadprogrammen, v. a.
Email-Anhänge
Nach wie vor eine der größten Bedrohungen
Ransomware Nutzerdaten werden verschlüsselt und nur gegen Lösegeld entschlüsselt
(z. B. Locky, TeslaCrypt, Petya, …)
Seit 2016 starker Anstieg beobachtbar
Advanced Persistent Threats (APT) Gezielter, strategischer und längerfristiger Cyberangriff (z. B.
Stromausfälle in der Ukraine Ende 2015)
Stagnieren, tendenziell leichter Rückgang beobachtbar
Botnetze Infizierung zahlreicher Fremdsysteme mit Schadsoftware zum
Missbrauch für Angriff, Spam, …
Immer mehr IoT werden für Botnetze missbraucht (z. B. Mirai)
4
Quelle: BSI
06.02.2018
© IABG 2018
Angriffe erreichen neue Bereiche (Internet of Things, SCADA, …)
5
Quelle:
https://krebsonsecurity.com/2016/10/who-makes-the-iot-things-under-attack/
Quelle: https://www.hackread.com/mirai-botnet-linked-to-dyn-dns-ddos-attacks/
Source code: https://github.com/jgamblin/Mirai-Source-Code
Quelle:
https://www.bishopfox.com/resources/tools/google-hacking-diggity/attack-tools/
Quelle:
https://de.slideshare.net/JoanFiguerasTugasCIS/cybersecurity-in-industrial-control-systems-ics
06.02.2018
© IABG 2018
Angreifer und deren Motivation sind vielfältig …
6 06.02.2018
© IABG 2018
… genau wie die Kategorien von Bedrohungen
Spoofing Vorgeben, jemand anders zu sein
Schutzmaßnahme: Authentication
Tampering Modifizieren von Daten oder Code
Schutzmaßnahme: Integrity protection
Repudiation Vorgeben, etwas getan zu haben
Schutzmaßnahme: Non-repudiation
Information disclosure Unauthorisierter Zugang zu Informationen
Schutzmaßnahme: Confidentiality
Denial of service Verhinderung oder Degradierung eines Services
Schutzmaßnahme: Availability
Eleviation of privilege Unauthorisiertes Erlangen von Rechten
Schutzmaßnahme: Authorisierung
7
S
T
R
I
D
E 06.02.2018
Training und Awareness
© IABG 2018
Relevanz von Cyber Training und Awareness
Vielfalt und Anzahl an Cyberangriffen nimmt kontinuierlich zu
Möglichkeiten zur Abwehr von Cyberangriffen nehmen zu bzw. ändern sich
Steigende Bedeutung von Erkennen und Verteidigen von Cyberangriffen (Gezielte
Angriffe werden erst nach ca. 8 Monaten entdeckt!)
Anzahl der durch Cyberangriffe betroffener Bereiche steigt
Autonomes Fahren, Industrie 4.0, Smart Home, Energienetze, …
Cyberangriffe betreffen unterschiedlichste Personengruppen
Entwickler, IT-Administratoren, Betreiber von IT-Infrastrukturen, Beschaffer,
Entscheider (C-Level), Nutzer, …
Bedarf für kontinuierliches und zielgruppenorientiertes Training
9 06.02.2018
© IABG 2018
Training als Bestandteil des Informationssicherheitsmanagements
10
Übernahme der Verantwortung für IT-Sicherheit
durch das Management
Vorgaben, Leitlinien, Policies
Konkretisierung der IT-Sicherheitsziele
Organisationsstrukturen und Rollen
Vorgehensweisen und Methoden
zur Risikoermittlung
zur Maßnahmenauswahl und Priorisierung
Management der Risiken
Management von Abweichungen
Sicherheitsprozess (Plan-Do-Check-Act Zyklus)
Ermittlung und Analyse der Risiken
Auswahl von Sicherheitsmaßnahmen (inkl.
Training und Awareness)
Umsetzung der Maßnahmen
Kontrolle der Wirksamkeit
Kontinuierliche Verbesserung
10
Unternehmensweites Managementsystem
zur Organisation der IT- und Informationssicherheit
Unternehmensweites Managementsystem
zur Organisation der IT- und Informationssicherheit
IT-Sicherheitsziele:
Verfügbarkeit
Integrität
Authentizität
Vertraulichkeit
IT-Sicherheitsziele:
Verfügbarkeit
Integrität
Authentizität
Vertraulichkeit
06.02.2018
© IABG 2018
Training und Awareness als fester Bestandteil des BSI Grundschutz
M2 „Organisation“
M 2.198 Sensibilisierung der Mitarbeiter für Informationssicherheit
M 2.557 Konzeption eines Schulungsprogramms zur Informationssicherheit
M3 „Personal“ (> 40 Maßnahmen zu Training und Awareness)
M 3.93 Analyse der Zielgruppen für Sensibilisierungs- und Schulungsprogramme
M 3.44 Sensibilisierung des Managements für Informationssicherheit
M 3.96 Unterstützung des Managements für Sensibilisierung und Schulung
M 3.45 Planung von Schulungsinhalten zur Informationssicherheit
M 3.48 Auswahl von Trainern oder externen Schulungsanbietern
M 3.13 Sensibilisierung der Mitarbeiter für mögliche TK-Gefährdungen
M 3.4 Schulung vor Programmnutzung
M 3.5 Schulung zu Sicherheitsmaßnahmen
M 3.11 Schulung des Wartungs- und Administrationspersonals
Zahlreiche Schulungsmaßnahmen zu diversen Diensten, Anwendungen und
Komponenten (Cloud, Router/Switches, Sicherheitsgateways, WLAN, DNS, VoIP,
TK-Anlagen, Windows, SAP, Outlook, Apache, …)
11 06.02.2018
© IABG 2018
Training und Awareness betrifft unterschiedlichste Gruppen
12 06.02.2018
IT-Admins
Sicherheits-
verantwortliche
Management
Personal
Anwender
Recht
Kommunikation
Finanz/Einkauf
Sichere Benutzung der IT
Achtsamkeit ggü. Anomalien
….
Kommunikation von Vorfällen
…
Personalentwicklung (Informationssich.)
Disziplinarische Maßnahmen (Innentäter)
…
Gesamtverantwortung für Informationssicherheit
Budget
….
Beschaffung sicherer Lösungen
Bezahlung von „Lösegeld“
…
Jur. Bewertung von Vorfällen u. Vorschr.
Abschluss von Cyberversicherungen
…
Betrieb der Informations-
sicherheit
…
Verantwortung für
Informationssicherheit
Umsetzung von Vorgaben
Spezifikation von Organisation,
Rollen, Prozesse, …
© IABG 2018
Ein Cyber Training hat viele Facetten
Klassische Kurse
Online-Kurse
Fachliteratur (Internet, Fachliteratur, Newsletter, …)
Konferenzen und Messen
Praxisnahes Training auf einer Cyber Range
Nachhaltige Erhöhung der Security-Awareness
Training bzgl. Erkennen, Bewerten und Verteidigen von Angriffen
Vertiefung der technischen Expertise sowie Optimierung von Organisation und
Prozessen
Interaktives Training durch Arbeit im Team und Feedback
13 06.02.2018
© IABG 2018
Planung und Umsetzung von Cyber Trainingsmaßnahmen
Anfor-derungen
Anfor-derungen
• Festlegung der Zielgruppen
• Ausbildungsziele (insb. Herleitung aus Soll-Ist-Vergleich)
• Randbedingungen (Budget, gesetzl. Vorgaben, …)
Konzept Konzept
• Spezifikation der Ausbildungs- und Trainingsinhalte
• Organisation des Trainings (z.B. Kooperation mit externen Partnern)
• Technik (z.B. Cyber Range)
Umsetzung Umsetzung
• Durchführung der Maßnahmen
• Fortlaufende Überprüfung und Anpassung
14 05.02.2018
Überblick Cyber Range
© IABG 2018
Was ist eine Cyber Range?
Mögliche Definition
Virtuelle Umgebung für
Cyber Security Training (Angriffe und Verteidigung)
(Weiter)entwicklung von Cyber Security Lösungen
Unterscheidung verschiedener Teams
Red Team: Angreifer
Blue Team: Verteidiger (z.B. SOC, NOC, …)
Green Team: Nutzer, die Endgeräte an
Infrastruktur des Blue Teams betreiben
(Yellow Team): Nutzer des Green Teams, die Opfer
von Angriffen werden
White Team: Betreiber der Cyber Range
(Trainer)
16 06.02.2018
@paloalto
@Cyberbit
@Boeing
© IABG 2018
Vorteile eines Cyber Range Trainings
Praxisnahes Trainieren und Vertiefen technischer
Kenntnisse zur IT-Sicherheit
Insbesondere Fähigkeiten zur Erkennung, Bewertung
und Verteidigung von Cyberangriffen
Sicheres Training im nicht-operativen Umfeld
Training und Optimierung des Arbeitens im Team
Optimierung von Organisation, Prozesse und Rollen
Sensibilisierung durch Veranschaulichung der
Auswirkungen von Cyberangriffen
Weiterentwicklung von Angriffen und Lösungen zu
deren Verteidigung
Test von Sicherheitslösungen
…
17 06.02.2018
© IABG 2018
Zahlreiche Nutzergruppen einer Cyber Range (1)
Management
Sensibilisierung für Auswirkung von Angriffen
Sensibilisierung für unternehmensw. Bedeutung der Informationssicherheit
Sensibilisierung für eigene Rolle (Verantwortung)
Anwender
Sensibilisierung für Angriffe und Anomalien
Sensibilisierung für Auswirkung von Angriffen
Sensibilisierung für eigene Rolle (Anwender)
IT-Administratoren
Training des Betriebs von Sicherheitslösungen
Training von Erkennen, Bewerten und Verteidigen von Angriffen
18 06.02.2018
© IABG 2018
Zahlreiche Nutzergruppen einer Cyber Range (2)
Sicherheitsverantwortliche
Sensibilisierung für Auswirkung von Angriffen
Optimierung von Organisation, Rollen und Prozesse
SOC/CERT
Optimierung von Organisation, Rollen und Prozesse
Optimierung von Erkennen, Bewerten und Verteidigen von Angriffen
Forensik
Training der Merkmale / Charakteristiken von Angriffen
Training der Beweissicherung nach Angriffen
Angreifer
Training neuer Angriffstechniken in sicherer Umgebung
19 06.02.2018
© IABG 2018
Beispiel für Ablauf eines Cyber Range Training
TAG 1 TAG 2 TAG 3
9:00 Empfang Empfang Empfang
Detaillierung Trainingsziele
Cyber Range Szenar #2
Cyber Range Szenar #4
10:00
Einführung Cyber Range
11:00
12:00 Pause Pause
13:00
Cyber Range Szenar #1
Schulung Organisation und
Prozesse
14:00
Cyber Range Szenar #3
15:00 Pause
Schulung Organisation und
Prozesse
Pause 16:00
Wrap-Up
17:00
Wrap-Up Wrap-Up
18:00
20 06.02.2018
© IABG 2018
Einleitung zur Demo – Überblick Cyber Range
Virtuelle Schulungsumgebung für Trainingsszenarien im Bereich IT-
Sicherheit
Simulation von Angriffen auf ein Netzwerk mit verschiedenen
Infrastrukturkomponenten (sowohl aus dem Office- als auch aus dem
SCADA-Bereich)
Aufgabe der Trainees: Erkennen und Beheben von laufenden Angriffen;
Identifizieren von präventiven Maßnahmen
21 06.02.2018
© IABG 2018
Einleitung zur Demo - Netzwerkumgebung
Realistische, heterogene Netzwerkumgebung
Alle IT-Systeme wirklich vorhanden und benutzbar
Nachbau von Kundennetzwerken auf Wunsch möglich
SIEM Segment:192.168.66.0/24
DB
Se
gme
nt:
192.
168.
214.
0/24
CNT-FW CNT-FW-DMZ CNT-RT-DMZ
www.bbc.co.ukCNT-DMZ-Apache2
172.16.100.22
www.cnn.comCNT-DMZ-Apache3
172.16.100.23
www.foxnews.comCNT-DMZ-Apache1
172.16.100.21
CNT-DMZ-DNS172.16.100.6
CNT-MailRelay172.16.100.7
www.tech.comCNT-DMZ-IIS172.16.100.4
DMZ Segment:172.16.100.0/24
Firewall Segment:192.168.254.240/29
Web
Se
gme
nt:
192.
168.
213.
0/24
CNT-WEB-Apache192.168.213.4
CNT-WEB-IIS192.168.213.5
CNT-Web-ProFTPd192.168.213.3
Trainee Rechner10.72.51.0/24
Trai
nee
VP
N-C
onn
ecti
on
Internet
ArcSight192.168.66.1
CNT-Mail192.168.200.3
CNT-DC192.168.200.1
CNT-BBX192.168.200.52
CNT-FMS192.168.200.51
CNT-DHCP192.168.200.100
CNT-MySQL192.168.200.13
CNT-Snort192.168.200.50
CNT-Centrify192.168.200.40
CNT-Zenoss-NMS192.168.200.133
CNT-EPO192.168.200.30
CNT-Files192.168.200.6
CNT-SQL192.168.200.23
ArcSight-Col192.168.66.3
WS-Ubuntu-Cnt1192.168.100.9
WS-Win7-Cnt2192.168.100.11
WS-Win7-Cnt1192.168.100.10
WS-Ubuntu-Cnt2192.168.100.24
CNT-DB-SQL192.168.214.4
CNT-DB-PostGre1192.168.214.5
CNT-DB-PostGre2192.168.214.6
CNT-DB-MySQL192.168.214.13
CNT-DMZ-FTP2172.16.100.32
CNT-DMZ-FTP1172.16.100.31
CNT-DMZ-Proxy172.16.100.18
22 06.02.2018
© IABG 2018
Einleitung zur Demo - Beispiele für Angriffsszenare
Verschiedene Angriffsszenare
Phishing
SQL Injection
Ransomware
Privilege Escalation
SCADA
…
Kontinuierliche Weiter- und Neuentwicklung von Szenaren mit
Bezug zur aktuellen Cybergefahrenlage
23 06.02.2018
Kontakt
© IABG 2018 25
Kontakt
Wolfgang Fritsche Leiter Competence Center
Telefon: +49 89 6088-2897
Email: fritsche@iabg.de
Wolfgang Fritsche Leiter Competence Center
Telefon: +49 89 6088-2897
Email: fritsche@iabg.de
Recommended