CYBER DEFENSE

Dr. Sebastian Schmerl

Sebastian.Schmerl@Computacenter.comSolution Manager Cyber DefenseComputacenterCeBIT, 20.03.2017

Herausforderungen und Krankheiten von modernen Security Operation Center (SOCs)

2

CDC - CYBER DEFENSE CENTER

• Schnelle Erkennung und Behandlung von Sicherheitsvorfällen

• eigene Organisationseinheit

• Bündelung des IT-Security Know-Hows

• Log-Daten-Auswertung

• Anomalieerkennung und Verhaltensanalysen

• Malware Analysen & Maßnahmenplanung

• Security Intelligence & Intelligence Sharing

Schutz, Erkennung und Behandlung von Sicherheitsvorfällen

Computacenter 2016

© Computacenter 20163

Angriffe

• Werden ausgefeilter

• Adaptiv und automatisiert

• Dauern meist nur Sekunden

• Nutzen einer sich stets vergrößernden Angriffsfläche

Cyber Response

• Langsam

• Nicht adaptiv

• Oft manuell

WAS IST DAS PROBLEM BEI DER CYBER-DEFENSE?SCHNELLIGKEIT UND AUTOMATISMUS IN DER RESPONSE FEHLT

Angriffe Response

43 %

29 %

4 %

11 %

7 %

7 %

0 %

Sekunden

Minuten

Stunden

Tage

Wochen

Monate

Jahre

72 %

72 %

© Computacenter 20164

REIFEGRADE VON SOC UND ENTWICKLUNGSKURVE

• Reine Reaktion auf Alarme

• Fokus auf dem schnellen Schließen von Vorfällen

• Abarbeiten ohne Verstehen

• Alarm-Zentrisches Arbeiten

• Angreifer sind lange ungestört

• Hohe Mitarbeiter-Fluktuation

• wenig zusammenhängende Prozesse

• Wenig ROI

• Wenig Orchestration

• Wenig Automation

• Kein Hunting

BEISPIELE VON KRANKEN SOCS

Log AnalyseOn-Demand CIRT-Services

Network

Forensik

Incident

Response Hunting

Threat Intelligence

Subscriptions

Threat Detection and Reponse

Advanced Threat Protection

SIEMIR Retrainer

Firewalls

Antivirus IPS

NG

Firewalls

SIEM

Monitoring

Response Fähigkeiten

TI &

Data-Analytics

CYBER-DEFENSE BEI COMPUTACENTERDrei Welten, drei Sichtweisen, aber ein Ziel

IT-WeltReale Welt

Sicherung der

Geschäftskontinuität

Daten

Menschen

Risiko

Netzwerke

Kommunikation

Partner

Services

Standorte

Prozesse

Betriebliche-Welt

Computacenter 20165

ÜBERGEORDNETE CDC-ZIELE: Widerstands- & Reaktionsfähigkeit bei Vorfällen

Kritisch

Normal

Reduktion der Anzahl von

kritischen Zuständen

Verkürzung der

kritischen Zustände

Tatsächliches

Sicherheitslevel

RisikobasierterSchutz

Echtzeitlagebild

Vorfalls-management

Intelligence

Unterbrechung

Geschäftskontinuität

Erforderliches

Sicherheitslevelfür Business-Continuity

Erkennung

Computacenter 20166

KERN-SERVICES EINES CDC

Geschäftsprozesse Zusammenhänge und Auswirkungen

Cyber Security Wissen und Kenntnisse

Infrastruktur Wissen und Kenntnisse

Threat Intelligence externe o. interne IoCs & Analytics Services

Startpunkt

CDC Aufbaurichtungen

Silo-übergreifende

Zusammenarbeiterforderlich

z.B. durch Konfigurationsänderungen, neue Security-Controls

Risikobasierter Schutz

Schutz- und System-Adaption bei Risikoänderungen

• Re-Konfiguration von Netzwerken, Systemen oder Schutzmechanismen

• Umsetzung von neuen Schutzmaßnahmen zum Erkennen, Verzögern, Abschrecken

z.B. durch Ursache/Auswirkungs-Analysen

Vorfalls-Management

Reaktion und Schadensminimierung bei Vorfällen

• Empfehlung von Maßnahmen

• Informationsbereitstellung zur Auswirkungsabschätzung

• Umsetzung der Maßnahmen (ggf. automatisiert)

z.B. durch Kenntnis über neue Angriffe, Verwundbarkeiten, Angreifer-Kampanien

Intelligence

Erkennen von Risikoänderungen:

• Intern: der eigenen Installationen und des Umfelds

• Extern: der Angreifer-Szene, der Bedrohungen,…

Bewertung von Risiken und Auswirkungen auf Geschäft und Betrieb. Erstellung eines holistischen Risiko-Lagebildes.

Echtzeitlagebild

Überwachung von Geräten, Services und Netzwerken z.B. durch:

• Log-Zentralisierung

• Präsenserkennung

• Einbruchserkennung

• Anomalieerkennung

• Netzwerk-Monitoring

z.B. durch automatisierte & kontinuierliche Überwachung

Erkenntnisse

Rückkopplung

Wis

sen

sd

om

än

en

Computacenter 20167

CDC: BETRIEBSMODI, ROLLEN UND PERSONAL

Tier 2 AnalystKoordinator /Security Manager

Tier 1 Analyst Resolver(CDC-extern aus Fachabteilung)

Verantwortlich für einen eskalierten Vorfall

• Tiefen-Analyse & Detail-Klassifikation

• Feststellung der Auswirkungen und verbundenen Risiken

• Zuteilung von Aufgaben auf Tier 1 und Resolver und Überwachung (Ergebnisse & Fortschritt)

• Krisen-Eskalationenbasierend auf Resolver-Informationen und eigene Analysen

Verantwortlich für die Gesamtlage

• Grob-Klassifikation und Zuteilung kritischer Vorfälle auf Analysten

• Koordinierung des Reportings zur Information der CDC-Kunden und Stakeholder

• Überwachung des Verlaufs Entscheidet über Reaktionen und die Eskalation von Vorfällen basierend auf den Informationen, welche vom Analyst zur Verfügung gestellt werden

Verantwortlich für einen Vorfall

• Analyse & Klassifikation

• Auswahl der geeigneten Vorfallsbehandlung (SOP)

• Zuteilung von Aufgaben auf Resolverund Überwachung (Ergebnisse & Fortschritt)

• Vorfalls-Eskalationenbasierend auf Resolver-Informationen und eigene Analysen

Verantwortlich für lokale oder ferngesteuerte Umsetzung der einzelnen Reaktionen z.B.:

• Netzwerk-Isolierung & -Anpassungen

• Host-, System- und Service-Änderungen

• Manueller Betrieb von Ressourcen im Krisenfall

Vo

rfa

llsb

eh

an

dlu

ng

Normal: 95 %Vorfall: 5 %Z

eit Normal: 60 %

Vorfall: 40 %Normal: 10 %

Vorfall: 90 %Normal: 95 %Vorfall: 5 %

pro Vorfall: 60 min

pro Vorfall: 15 min

pro Vorfall: SLAs, Kosten

No

rm

alb

etr

ieb

• Überwachung, Verfolgung, Analyse und Dokumentation von Ereignissen zur Sicherstellung des

Schutzes vor allen potentialen Gefahren

• Ursachen-Analysen

• Security-Engineering zur Steigerung der Widerstandsfähigkeit der gesamten Infrastruktur

• Ausarbeitung und Definition von SOP

• Verbesserung der verwendeten

Überwachungs- und Analysemethoden

• Evaluierung & Verbesserung von Anweisungen und Abläufen

• Überwachung & Reporting der Sicherheitsperformanz

• Koordinierung von Aktivitäten zur Bedrohungsanalyse & Schutzanpassung

• Management und Schnittstelle für CDC-Aktivitäten

• Tagesgeschäft in seiner Fachabteilung (CDC-extern)

• Umsetzung der Anpassungen und Verbesserungenin der Infrastruktur

• Pflege von SOPs

• Optimierung und Fine-tuning der verwendeten Korrelationsregeln

Erarbeitet Runbooks

Identifiziert Schwachstellen Verbessert RunbooksAufgaben in seiner externen Fachabteilung

Richtet das CDC im Unternehmen aus

Bearbeitet komplexe VorfälleBearbeitet einfache Vorfälle nach Runbook

Führt IR-Aufgaben ausVerantwortlich für die Gesamtlage

Computacenter 20168

CYBER DEFENSE CENTER

CDC Missionsdefinition:

• Mission und Aufgaben des CDCs sollten sich an den Wertschöpfungskette und der Geschäftszielen orientieren.

• Ein anvisiertes Sicherheitslevel und Erwartungen sollten spezifiziert werden.

• KPIs und Erfolgsfaktoren sollten für das Messen der CDC Performanz und Relevanz definiert werden.

• CDC Missionen sind sehr vielfältig, genauso wie der Scope, und das anvisierte Sicherheitslevel

Schlüsselfragen sind:

• Was sind die internen Kunden der CDC Services?

• Welche Infrastrukturteile sollen geschützt werden?

• Welche Angreifergruppen und welches Skill-Level sollen durch das CDC abgewehrt werden?

• Was sind anvisierte Response-Times?

Tipps:

Der CDC Beitrag sollte von Anfang an messbar sein!

Kontinuierliches Review der definierten KPIs und Missionsziele in allen Ausbaustufen des CDCs.

9

Mission, Aufträge und Aufgaben

Computacenter 2016

10

• Das CDC kennt

• die Bedrohungen,

• die Angriffe und

• die eigene Angriffsfläche.

Ausrichtung der Schutzmaßnahmen

CDC IST MEHR ALS ERKENNUNG UND BEHANDLUNG

Mittel- und langfriste Schutzausrichtung

Angriffe

Eigene Angriffsfläche

Schutzbedarf

Derzeitiger

Schutz

Verschwendetes

Budget

Ungeschützt

Computacenter 2016

Angriffsfläche

Angreifer

Monitoring-Fähigkeiten

Detektion-Fähigkeiten

Angriffe

Ausnutzung

CDC AUFGABEN – ZWEI OPTIMIERUNGSSCHLEIFEN

11

Kleines und großes Potential

SIE

M

UE

BA

Analy

tics

Erkennung

Analyse

Eingrenzung

Beseitigen

Wiederherstellen

IR-P

roze

sse

Computacenter 2016

Angriffsfläche

Angreifer

Monitoring-Fähigkeiten

Detektion-Fähigkeiten

Angriffe

Ausnutzung

CDC AUFGABEN – ZWEI OPTIMIERUNGSSCHLEIFEN

12

Kleines und großes Potential

Ganzheitlicher Ansatzgroße Optimierungsschleife

Unstrukturierte Daten:

• Malicious IPs

• URls,

• Malware

• IPs

• Analyse-Ergebnisse

Informationen:

• Hashes,

• IoC,

• Malware Typen

• Nutzergruppen

• Häufigkeiten

Wissen:

• Angriffsstrategien

• Verwundbarkeiten

• Angriffsziele

• Monetarisierung

• AngreiferS

IEM

UE

BA

Analy

tics

Erkennung

Analyse

Eingrenzung

Beseitigen

Wiederherstellen

IR-P

roze

sse

Vorfallsbehandlungkleine Optimierungsschleife

Vor

auss

etzu

ng:

CD

C H

ohei

ten

& S

tärk

e

CDC Ziele:

Verbessern

Ausrichten

Verhindern

Reduzieren

Vorhersagen

Identifizieren

Voraussetzungen:

Know-How & Überblick

Computacenter 2016

CC-LÖSUNG: CYBER DEFENSE PORTFOLIO SÄULEN

13

Consulting

• Aufbau von CDCs

• Organisation & Prozesse

• Technology Consulting

• Transition & Transformation

• CDC Consultants

Services

• Security Analysen

• Vorfallsbehandlungen

• Krisenmanagement

• Threat Intelligence

• Cyber Security Analysten

• Krisenmanager

Technologies

• SIEM

• Behavior Analytics

• Case Management Tools

• Forensic & Incident Response Tools

• SIEM Consultants

Sensorik:

Infrastructure Security, Endpoint Security, IAM

Advanced Malware Protection, Vulnerability Management, Net Flows

Computacenter 2016

VIELEN DANK

SECURITY IST KEIN LUXUS,SONDERN EINE NOTWENDIGKEIT.

14 Computacenter 2016