Markus Grüneberg

CERT Services

„Deep Sight - Bedrohungen frühzeitig erkennen“

Symantec

2

Gegründet im Jahr 1982, an der Börse seit 1989

> 20.000 Mitarbeiter davon mehr als 3.500 in EMEA

6,2 Milliarden US$ Umsatz im GJ 2011

13% des Umsatzes fließen in F&E

Präsenz in 48 Ländern

Unsere Schwerpunkte

3

Sicherheit

Verfügbarkeit

“Der Einsatz meiner

Sicherheitsmaßnahmen

hat sich bewährt!”

4

“Ich möchte sehr sicher sein,

aber nur so sicher, dass mein

iPhone/iPad noch funktioniert!”

5

Angriffe: Nur aus Spaß?

6

Wer greift an?

7

Cyber Criminals Cyber Spies

Hactivists

Threat Landscape in Zahlen

• 7.1 Mio AV erkannt pro Tag

• ~1.6 Mio Neuer Schadcode pro Tag(different hash)

• 110‘000 Erkennungen pro Tag eines WebToolkit’s

• >15‘000 statische Signaturen

Gründe für die Flut:

• Toolkits zur Erstellung

• Runtime Packers

• Profit als Motivation

• Zunehmende Vernetzung

8

Evolution der Attack Toolkits

9

Heutige Gefahren Zukünftige Gefahren

Es gibt eine Idee für alles …

11

Es gibt ein Programm für alles …

12

Es gibt einen Angriff für alles …

13

Komplexität heutiger Angriffe „Szenarien“

14

Mehr Mac Focus: MacProtector/MacDefender

• Fake AV wird schlecht erkannt von echter AV

15

Wie findet man Zeus?

• Google hilft bei der Suche

• Angebote von $ 0-1000

• Viele der verkauften Versionen enhalten eine zusätzliche Backdoor

16

17

Blackhole

• Verkauft für ca. 1‘500$ / Jahr oder vermietet für 100$/Woche

• Traffic filter (Spezielle IPs/Länder weiterleiten)

• z.T. tägliche Updates der verwendeten Exploit Encoder

• Lädt meistens FakeAV und Trojan.Carberp

18

Blackhole IDS Detektionen

browse Legitime

Web seite

Typische DriveBy Download Infektion

Browser wird untersucht:

346 Schwachstellen in Plug-ins (2011)

500 Schwachstellen in Browsern (2011)

Bösartiges Script

«geknackte» Seite • Fehler im Server • Schwaches Passwort • Werbebanner • …

Keine Benutzerinteraktion

Notwenig für den Exploit

Das Betrachten

der Webseite reicht aus!

Infizierte Webseiten in Top10 Suchergebnissen

• Webseiten werden nach vorn gepusht

• Blackhat Search Engine Optimization (SEO) mit “Hot Topics”

• Angreifer ändern schnell zu aktuellen Themen (e.g. Gaddafi)

• Für Text & Bild Ergebnisse in unterschiedlichen Suchmaschinen

20

Stuxnet - Refresher • Stuxnet war ein gezielter Angriff auf fünf Organisationen; 12,000 Infektionen

konnten zu fünf Organisationen zurückverfolgt werden

• Drei Organisationen waren einmal angegriffen worden, eine zwei Mal und die andere drei Mal Ziel der Angriffe

• Organisationen wurden angegriffen in Juni 2009, Juli 2009, März 2010, April 2010 und Mai 2010

• Alle Organisationen waren im Iran präsent.

21

Note:

Original infected organisations were

not the ultimate target, but had

connections to it

Stuxnet- Ziel

22

monitors frequency converters operating between 807Hz and 1210Hz (at minimum 27 days)

sets frequency converters to 1064Hz

sets frequency converters to 2Hz for 50 minutes

monitors frequency converters operating between 807Hz and 1210Hz (at minimum 27 days)

sets frequency converters to 1410Hz for 15 minutes

monitors frequency converters operating between 807Hz and 1210Hz (at minimum 13 days)

Immer komplexere Szenarien

23

• Nutzen von Sozialen Netzwerken (Schwarmverhalten)

– Bundesminister zu Guttenberg innerhalb von 12 Tagen von allen Ämtern zurückgetreten

• Einführung eines GuttenPlagWIKI

• Umfangreiche Investition an Zeit in diese Plattform durch Freiwillige

• Nutzen „virtueller social media“ Accounts zur Meinungsverstärkung

– Im September 2008 bewarb sich die hundertprozentige Post-Tochter DHL als Logistikdienstleister der Bundeswehr.

• Aktivisten nutzen das Internet um, aktiv eine Kampagne zu starten

• Kosten der Kampagne relativ gering

• dhl.blogsport.de

Nicht alle Angriffe dienen wirtschaftlichen Zwecken

• Operation „Payback“

– „Low Orbit Ion Cannon“

– Symbolische Aktion von Bürgern

– Netzdemonstration

• Niederlande verhaftet Jugendlichen

– Geständnis wg. Verhaftung Assange

– Kein Hacker, keine Versuche sich unkenntlich zu machen

– Nach Bekanntwerden Solidaritätsbekundungen im Netz

– Angriff richtete sich jetzt auch auf niederländische Behörden

24

Immer komplexere Szenarien, und was wäre wenn …

25

• Demonstrationen zukünftig durch Internetaktivisten unterstützt werden?

– Nutzen virtueller Identitäten um Massen zu „steuern“

– Unterstützende Hetzkampagnen • Evtl. resultierende zunehmende Unterstützung in der Bevölkerung

– Ausnutzen von Schwächen moderner Infrastrukturen • Stören des Kommunikationsverbundes

• Erschweren der Fehleranalyse

• Einspeisen von Fehlinformationen in Führungs- und Leitsysteme

… es dem gezielten Stören der Infrastruktur dient.

DeepSight Information Intelligence 1

Möglichkeiten für Kommunen 2

Symantec™ Global Intelligence Network Identifies more threats, takes action faster & prevents impact

Information Protection Preemptive Security Alerts Threat Triggered Actions

Global Scope and Scale Worldwide Coverage 24x7 Event Logging

Rapid Detection

Attack Activity • 240,000 sensors

• 200+ countries

Malware Intelligence • 133M client, server,

gateways monitored

• Global coverage

Vulnerabilities • 50,000+ vulnerabilities

• 15,000 vendors

• 105,000 technologies

Spam/Phishing • 5M decoy accounts

• 8B+ email messages/day

• 1B+ web requests/day

Austin, TX Mountain View, CA

Culver City, CA

San Francisco, CA

Taipei, Taiwan

Tokyo, Japan

Dublin, Ireland Calgary, Alberta

Chengdu, China

Chennai, India

Pune, India

27

Mit Weltmarktführer in Threat Intelligence

28

Source: IDC, Worldwide and U.S. Security

Services Threat Intelligence 2011-2014

Forecast: Out of the Basement and into the

Clouds. Christian A. Christiansen, Charles

J. Kolodgy, Chris Liebert

DeepSight Intelligence Datenquellen

29

SPAM data

Phish Data

DeepSight Databases

Target Attacks Threat Trends

Vulnerabilities

Malicious Code

Fraud Activity Risk Activity

Sydney, Aus

Chennai, India

Dublin, Ireland

Mountain View, USA

San Francisco, USA

Pune, India

Taipei, Taiwan Culver City, USA

Calgary, Canada

Chengdu, China Tokyo, Japan

Gloucester, UK

Zurich, Switzerland

Montreal,

Canada Toronto, Canada

Symantec Security Response Weltweite Abdeckung – 24 x 7 x 365

Calgary • DeepSight

San Francisco • Anti-Spam •Anti-Fraud

Mountain View • Intrusion Prevention • Advanced Threat Research

Culver City • Response Operations •Anti-Virus • Anti-Spyware • Advanced Threat Research

Dublin • Response Operations •Anti-Virus •Anti-Spyware •Advanced Threat Research

Pune • Anti-Virus • Anti-Spam • Anti-Fraud • URL Filtering

Chennai • Anti-Spam • Anti-Fraud • URL Filtering •DeepSight

Tokyo •Response Operations •Anti-Virus • Anti-Spyware

Taipei • Anti-Spam • Anti-Fraud

Chengdu • Anti-Virus

30

Gloucester • .Cloud anti-Malware

Toronto • .Cloud Anti-Malware

DeepSight Intelligence Informationen

31

Symantec Threat

Analysis

Automated

Attack Alerts

Detaillierte

Analysten

Meldungen

Vulnerability

Alerts Malicious Code

Alerts

Security Risk

Alerts

De

ep

Sig

ht E

arly

Wa

rnin

g S

erv

ice

s

Vulnerability DataFeed

Security Risk DataFeed

IP Reputation DataFeed

DeepSight DataFeeds

DeepSight Databases

IP/URL Reputation

• Symantec’s Security Intelligence Group sammelt Informationen vom GIN, unseren Sensoren, Endgeräten und verschiedenen Services

– Diese Informationen sind kategorisiert in verschiedene Aktivitätstypen

• Angreifer

• Schadcode Spreaders

• Phishers

• Spammers

• Botnet Mitglieder

• Command and Control Server

– Wir benutzen unseren eigens entwickelten Algorithmus um „Vertrauenswürdiges“ und „Gefährliches“ zu unterscheiden, durch das Vergleichen und wiegen von historischen Aktivitäten, Erscheinungen und Typifizierung aus unserem Sensoren

32

IP Reputation Datafeed <ip address="x.149.5.169" consecutive_listings="2" listing_ratio="2" reputation="10">

<attacks hostility="4" confidence="5" />

<malware hostility="3" confidence="4" />

</ip>

<ip address="x.185.252.100" consecutive_listings="2" listing_ratio="2" reputation="9">

<attacks hostility="4" confidence="5" />

<malware hostility="3" confidence="3" />

</ip>

<ip address="x.178.145.238" consecutive_listings="6" listing_ratio="6" reputation="9">

<attacks hostility="5" confidence="4" />

<malware hostility="5" confidence="1" />

</ip>

<ip address="x.52.110.51" consecutive_listings="2" listing_ratio="2" reputation="8">

<attacks hostility="2" confidence="4" />

<bot confidence="4" />

</ip>

Brand & Domain Monitoring

• Marken und Domänen Überwachung ist geeignet zur zeitnahen Alarmierung über aufkommende Angriffe

• Dies wird erreicht durch nutzen unterschiedlichster Technologien:

– Email scanning: Milliarden E-Mails werden jeden Tag gescannt um schadhaftes Verhalten zu verhindern

– Web crawling: geklonte Webseiten werden erkannt mit Suchtechnologien, ähnlich wie Suchanbieter diese Verwenden

– Domain monitoring: Domänen ähnlich zu betreffenden Organisationen werden oft genutzt um „Host-Phishing“ zu betreiben

– Intelligence: Security Analysten sind in Chats und Foren „passiv aktiv“

• Bei erkennen eines neuen Angriffes, betroffene Kunden werden sofort informiert um entsprechende Prozesse einleiten zu können.

33

Symantec DeepSight (GIN) Information Services

34

Präventive Informationsbereitstellung zur Abwehr moderner Bedrohungen

Symantec DeepSight (GIN)

Datafeeds

Symantec Threat Analysen

Möglichkeiten für Kommunen 2

Evolutionsstufen eines CERT

36

Sichtbarkeit erzeugen

Menschen, Prozesse & Technologien

37

MENSCHEN PROZESSE TECHNOLOGIEN

Man benötigt Training, “Incident Response” und entsprechende, moderne Ansätze in allen Bereichen

BUSINESS

Die Ansätze müssen Menschen, Prozesse & Technologien berücksichtigen

38

IT Risk Mitigation

Integrieren der Security in das operative Geschäft

39

Grundschutz

ISO 2700x

PCI, etc. …

DeepSight

Threat

Intelligence

Eigene

Informationen

Web App / DB

Scanners

Symantec

Security

Content (Rep.

Daten, etc.)

Network VA

Scanners

Network VA

Scanners

Information &

“Content Feeds”

Threat HelpDesk

Warnmeldungen

Incident

Handling

Dissolving

Agent Scanning

Agent-based

Scanning

CERT / SOC

Analysen und

Reports

Security Operations

Ein (möglicher) Schritt …

Weitere

Informationen

Grundschutz

ISO 2700x

PCI, etc. …

DeepSight

Threat

Intelligence

Eigene

Informationen

Symantec

Security

Content (Rep.

Daten, etc.)

Information &

“Content Feeds”

Threat HelpDesk

Warnmeldungen

Incident

Handling

Security Prozess

Integration

CERT / SOC

40

Optional Scanner Mgt (2-Way; Command & Control)

SYMC CCS VM

Web App / DB

Scanners

Nessus ,OpenVAS, … Cenzic, etc.

Network VA

Scanners

Network VA

Scanners

weitere

Scanner

API/SDK

Web Services

Analysen und

Reports

Security Operations

Weiterer (möglicher) Schritt …

Weitere

Informationen

IT – Compliance Scan Ergebnisse

Agentless

Scanning Dissolving

Agent Scanning

Agent-based

Scanning

Scaninformationen

VA Scanning

Patch Scanning

Configuration

Scanning

41

Orchestrated Analytical Security

42

Orchestrated Analytical Security

Orchestrated Analytical Security

• Ganzheitliche Korrelation erzeugt Sichtbarkeit der Sicherheit, erlaubt eine bessere, beweisbare Priorisierung für IT-Risk

43

44

Deutschland (220/8/5)

DeepSight Platinum Remote

Expert Analyst Service

(365/24/7)

Symantec

CERT

CERT Modell

Alerts via Mail

Anrufe

Tickets/Incidents

Legende:

Standort 2 Standort 3 Standort … Standort (n+1) Standort 1 Stan…

45

Deutschland (220/8/5)

DeepSight Platinum Remote

Expert Analyst Service

(365/24/7)

Symantec

CERT

CERT Modell mit Orchestrated Analytical Security

Standort 2 Standort 3 Standort … Standort (n+1) Standort 1 Stan…

46

CERT/SOC

Information Security Alarmierung, wenn Handlungsbedarf besteht

47

…

Copyright © 2012 Symantec Corporation. All rights reserved. Symantec and the Symantec Logo are trademarks or registered trademarks of Symantec Corporation or its affiliates in the U.S. and other countries. Other names may be trademarks of their respective owners. This document is provided for informational purposes only and is not intended as advertising. All warranties relating to the information in this document, either express or implied, are disclaimed to the maximum extent allowed by law. The information in this document is subject to change without notice.

Markus Grüneberg

Markus_Grueneberg@Symantec.com

+49 172 219 7043

Punkt.