CYBER SECURITY CHALLENGES VON HEUTE –WIE REAGIERT DIE INDUSTRIE DARAUF?

Cyber Security

Bernhard Kammerstetter, Client Technical Professional

IT Future challenges im FLL Wien, 2017-12-11

2 IBM Security

Bereits 2016 gab es eine noch nie dagewesene Anzahl von verlorengegangenen Datensätzen bzw. unstrukturierten Daten

average time to identify data breach: 201 days

2014

1,000,000,000 recordsbreached, while CISOs cite increasing

risks from external threats

2015

Healthcare mega-breachesset the trend for high value targets of

sensitive information

2016

Larger than life breachesas over four billion records and entire

digital footprints of many companies

were exposed

3 IBM Security

Folgende Themen stehen bei C(I)SOs auf der Agenda:

Manage Risks and Vulnerabilities

InsiderThreats

IncidentResponse

Securethe Cloud

Critical DataProtection

Advanced andPersistent Threats

Compliance

4

Security-Herausforderungen steigen exponentiell*

* Die Anzahl der entdeckten Schwachstellen pro Jahr ist seit 2010 um das 20-fache gestiegen!

5

Die entscheidenden Fragen stellen …

Welche Auswirkungenhat das auf unser

Unternehmen?

Welche Angriffepassieren jetzt gerade?

Ist unsere Konfiguration zur Abwehr neuartigerAPT-Angriffe bereit?

Wo sind die größten Risiken und

Schwachstellen?

Security Intelligence... liefert handlungsorientierte Informationen durch Analyse sicherheitsrelevanter Daten eines Unternehmens

• Durchgängiger Überblick über gesamten Sicherheitsstatus und Schwachstellen des Unternehmens

• Abweichungen vom Normalverhalten erkennen, um APT-Angriffe abzuwehren

• Schwachstellen priorisieren, um Wartungsprozess zu optimieren und kritische Lücken schnell zu schließen

• Bedrohungen erkennen und priorisieren, um Workflow für Analyse der Auswirkungen zu beschleunigen

• Automatische Sicherheitsanalysen, um vollen Überblick über die Angriffssituation zu verschaffen

• Forensische Untersuchungen, um Details zu ermitteln und Ursache zeitnah und lückenlos zu beheben

Exploit Remediation

REACTION / REMEDIATION PHASE

Post-ExploitVulnerability Pre-Exploit

PREDICTION / PREVENTION PHASE

VulnerabilityManager

RiskManager

SIEM IncidentForensics

IncidentResponse

6 IBM Security

Threat Intelligence

Security Analytics

Cloud

Identityand

Access

Dataand

Apps

MobileAdvanced

Fraud

NetworkEndpoint

Security Ecosystem

Criminal detection

Fraud protection

Workloadprotection

Cloud accesssecurity broker

Access management

Entitlements and roles

Privileged identity management

Identity management

Data access control

Application security management

Application scanning

Data monitoring

Device Management

Transaction protection

Content security

Malware protection

Antivirus

Endpoint patching and management

Virtual patching

Firewalls

Incident and threat management

Sandboxing

Network visibility

Vulnerability management Incident response

Log, flow, data analysis Anomaly detection

Indicators of compromise

IP reputation Threat sharing

Erweiterung der Security durch Intelligence und Integration

7

Was haben folgende Vorgänge gemeinsam?

>99% of cyber attacks

traverse the network in

some way

Only insider attacks

collecting local system

data and posting it to

removable media do

not

- Enterprise

Management

Associates

8

The good news:

Im Netzwerk finden sich die Daten,

die man für die Erkennung benötigt

… wenn man genau genug hinsieht

IBM AND BP INTERNAL USE ONLY

9

Network-Traffic lügt nicht! Angreifer können zwar Logging deaktivieren und Spuren verwischen, sind jedoch auf das Netzwerk angewiesen (flow data)

• Deep packet inspection für Layer 7 flow data

• Pivoting, drill-down und data mining für Flow-Sourcen für erweiterte Erkennung oder Forensics

Hilft beim Erkennen von Anomalien, die ansonsten im Verborgenen bleiben

Macht die Netzwerk-Aktivitäten von Angreifern sichtbar

QRadar Network Insight – leuchtet auch tote Winkel aus

10

SuspectedIncidents

Offense SIEM

Integrierte Intelligenz bietet automatisierte Identifikation von Angriffen mittelsSIEM (Security Information and Event Management) wie z. B. IBM QRadar

Servers and mainframes

Virtual Network Activity

Application activity

Security Device Activity

Users and identities

Vulnerabilities and threats

Global threat intelligence

Network Activity

Access & Authentication

Log Records

Flow Records

https://exchange.xforce.ibmcloud.com/STIX: Structured Threat Information Expression (STIX™) is a

structured language for describing cyber threat information so it

can be shared, stored, and analyzed in a consistent manner.

11

Beispiel aus der Praxis:Nach dem Konfigurieren der 1901 hat diese begonnen fleissig Flows zu schicken und darauf basierend Offenses zu

generieren.

Über Nacht kam eine Offense "Connection using insecure Protocol" - da hat ein Zugriff aus Asien via Telnet (Port 23) auf einen

xxxxxxx-Server zugegriffen. Das wurde wunderschön in der Pulse-App mit Source -> Dest-Ip grafisch dargestellt.

Zuerst hat's geheißen: Das muss ein False-Positive sein, der ‚Japaner‘ kann das bestenfalls versucht haben - denn die ASA

würde den Zugriff nie erlauben. Doch der Q-Flow hat Source- und Dest-Bytes angezeigt. Also hat es eine Session gegeben

und der Telnet-Service hat geantwortet.

Da wir keine Deny's auf der ASA für die IP des ‚Japaners ‚gefunden haben, haben wir einfach mal selbst ein Telnet auf den

xxxxxxxx-Server versucht -> und siehe da: Es kommt ein "Login" Prompt von Telnet.

Und sowas geht natürlich gar nicht.

Das haben wir dann mit dem Screenshot von der Pulse-App dem Hrn. xxxxx präsentiert - und der hat sofort den Owner des

Servers aufgfordert den Telnet Service umgehend zu beenden.

Man muss hier auch festhalten, dass die QNI diesesn Security Breach ohne aufwändige Konfiguration, nur mit den Default-

Regeln erkannt hat. (Das war ja auch eine Zielsetzung die mir Christoph bei Projekt-Beginn erklärt hat)

Und - ebenfalls gut - wir waren sofort in einer Opty-Situation: Denn Kunde hat gefragt "Kann ich eigentlich auch sehen, was

genau ‚der Japaner‘ via Telnet auf unserem Server gemacht hat?"

Und ich konnte im sagen "Ja - könnt ihr in Zukunft - wenn ihr die Lösung um Forensics erweitert".

12

COGNITIVE, CLOUD,and COLLABORATION

Die nächste Security-Ära

INTELLIGENCE, INTEGRATION,and ORCHESTRATION

PERIMETER CONTROLS

13

IBM Watson for Cyber Security bildet die Basis für Cognitive Security

Updated every week Updated every hourUpdated every 5 minutes

StructuredSecurity Data

X-Force Exchange

Virus total

Open source

Paid data- Indicators

- Vulnerabilities

- Malware names, …

- New actors

- Campaigns

- Malware outbreaks

- Indicators, …

- Course of action

- Actors

- Trends

- Indicators, …

Crawl of CriticalUnstructured Security Data

Massive Crawl of all SecurityRelated Data on Web

Breach replies

Attack write-ups

Best practices

Blogs

Websites

News, …

Filtering + Machine LearningRemoves Unnecessary Information

Machine Learning / Natural Language Processing

Extracts and Annotates Collected Data

Billions ofData Elements

Millions of Documents

5-10 updates / hour! 100K updates / week!

Refinement

Massive Security Knowledge GraphBillions of Nodes / Edges

14

QRadar Advisor with Watson nutzt Watson for Cyber Security für die Analyse von erkannten Offenses

• Manage alerts

• Research security events and anomalies

• Evaluate user activity and vulnerabilities

• Configuration

• Other

• Data correlation

• Pattern identification

• Thresholds

• Policies

• Anomaly detection

• Prioritization

Security Analytics

Security Analysts Watson for Cyber Security

• Security knowledge

• Threat identification

• Reveal additional indicators

• Surface or derive relationships

• Evidence

• Local data mining

• Perform threat research using Watson for Cyber Security

• Qualify and relate threat research to security incidents

• Present findings

QRadar Advisor with Watson

SECURITY

ANALYSTS

SECURITY

ANALYTICS

QRadar

Advisor with

Watson

Watson

for Cyber

Security

15

Reduziert den Aufwand für die Untersuchung von Alarmenwesentlich

RemediationInvestigation and Impact AssessmentIncident TriageDays

to Weeks

Manual threat analysis

RemediationInvestigation and

Impact Assessment

Incident

Triage

Minutes

to Hours

QRadar Watson Advisor assisted threat analysis

Quick and accurate analysis of security threats, saving precious time and resources

• Accelerates incident triage with more

automation

• Alleviates pressure of skills gap

• Augments contributions of security teams

• Empowers security analysts in clearing

backlog

Security

Knowledge

!!!

https://www.youtube.com/watch?v=MYZOIdK4o1M

© Copyright IBM Corporation 2016. All rights reserved. The information contained in these materials is provided for informational purposes only, and is provided AS IS without warranty of any kind, express or implied.

IBM shall not be responsible for any damages arising out of the use of, or otherwise related to, these materials. Nothing contained in these materials is intended to, nor shall have the effect of, creating any warranties or

representations from IBM or its suppliers or licensors, or altering the terms and conditions of the applicable license agreement governing the use of IBM software. References in these materials to IBM products, programs,

or services do not imply that they will be available in all countries in which IBM operates. Product release dates and / or capabilities referenced in these materials may change at any time at IBM’s sole discretion based on

market opportunities or other factors, and are not intended to be a commitment to future product or feature availability in any way. IBM, the IBM logo, and other IBM products and services are trademarks of the International

Business Machines Corporation, in the United States, other countries or both. Other company, product, or service names may be trademarks or service marks of others.

Statement of Good Security Practices: IT system security involves protecting systems and information through prevention, detection and response to improper access from within and outside your enterprise.

Improper access can result in information being altered, destroyed, misappropriated or misused or can result in damage to or misuse of your systems, including for use in attacks on others. No IT system or product

should be considered completely secure and no single product, service or security measure can be completely effective in preventing improper use or access. IBM systems, products and services are designed

to be part of a lawful, comprehensive security approach, which will necessarily involve additional operational procedures, and may require other systems, products or services to be most effective. IBM DOES NOT

WARRANT THAT ANYSYSTEMS, PRODUCTS OR SERVICES ARE IMMUNE FROM, OR WILL MAKE YOUR ENTERPRISE IMMUNE FROM, THE MALICIOUS OR ILLEGAL CONDUCT OF ANY PARTY.