Upload
others
View
0
Download
0
Embed Size (px)
Citation preview
Markus Grüneberg
CERT Services
„Deep Sight - Bedrohungen frühzeitig erkennen“
Symantec
2
Gegründet im Jahr 1982, an der Börse seit 1989
> 20.000 Mitarbeiter davon mehr als 3.500 in EMEA
6,2 Milliarden US$ Umsatz im GJ 2011
13% des Umsatzes fließen in F&E
Präsenz in 48 Ländern
Unsere Schwerpunkte
3
Sicherheit
Verfügbarkeit
“Der Einsatz meiner
Sicherheitsmaßnahmen
hat sich bewährt!”
4
“Ich möchte sehr sicher sein,
aber nur so sicher, dass mein
iPhone/iPad noch funktioniert!”
5
Angriffe: Nur aus Spaß?
6
Wer greift an?
7
Cyber Criminals Cyber Spies
Hactivists
Threat Landscape in Zahlen
• 7.1 Mio AV erkannt pro Tag
• ~1.6 Mio Neuer Schadcode pro Tag(different hash)
• 110‘000 Erkennungen pro Tag eines WebToolkit’s
• >15‘000 statische Signaturen
Gründe für die Flut:
• Toolkits zur Erstellung
• Runtime Packers
• Profit als Motivation
• Zunehmende Vernetzung
8
Evolution der Attack Toolkits
9
Heutige Gefahren Zukünftige Gefahren
Es gibt eine Idee für alles …
11
Es gibt ein Programm für alles …
12
Es gibt einen Angriff für alles …
13
Komplexität heutiger Angriffe „Szenarien“
14
Mehr Mac Focus: MacProtector/MacDefender
• Fake AV wird schlecht erkannt von echter AV
15
Wie findet man Zeus?
• Google hilft bei der Suche
• Angebote von $ 0-1000
• Viele der verkauften Versionen enhalten eine zusätzliche Backdoor
16
17
Blackhole
• Verkauft für ca. 1‘500$ / Jahr oder vermietet für 100$/Woche
• Traffic filter (Spezielle IPs/Länder weiterleiten)
• z.T. tägliche Updates der verwendeten Exploit Encoder
• Lädt meistens FakeAV und Trojan.Carberp
18
Blackhole IDS Detektionen
browse Legitime
Web seite
Typische DriveBy Download Infektion
Browser wird untersucht:
346 Schwachstellen in Plug-ins (2011)
500 Schwachstellen in Browsern (2011)
Bösartiges Script
«geknackte» Seite • Fehler im Server • Schwaches Passwort • Werbebanner • …
Keine Benutzerinteraktion
Notwenig für den Exploit
Das Betrachten
der Webseite reicht aus!
Infizierte Webseiten in Top10 Suchergebnissen
• Webseiten werden nach vorn gepusht
• Blackhat Search Engine Optimization (SEO) mit “Hot Topics”
• Angreifer ändern schnell zu aktuellen Themen (e.g. Gaddafi)
• Für Text & Bild Ergebnisse in unterschiedlichen Suchmaschinen
20
Stuxnet - Refresher • Stuxnet war ein gezielter Angriff auf fünf Organisationen; 12,000 Infektionen
konnten zu fünf Organisationen zurückverfolgt werden
• Drei Organisationen waren einmal angegriffen worden, eine zwei Mal und die andere drei Mal Ziel der Angriffe
• Organisationen wurden angegriffen in Juni 2009, Juli 2009, März 2010, April 2010 und Mai 2010
• Alle Organisationen waren im Iran präsent.
21
Note:
Original infected organisations were
not the ultimate target, but had
connections to it
Stuxnet- Ziel
22
monitors frequency converters operating between 807Hz and 1210Hz (at minimum 27 days)
sets frequency converters to 1064Hz
sets frequency converters to 2Hz for 50 minutes
monitors frequency converters operating between 807Hz and 1210Hz (at minimum 27 days)
sets frequency converters to 1410Hz for 15 minutes
monitors frequency converters operating between 807Hz and 1210Hz (at minimum 13 days)
Immer komplexere Szenarien
23
• Nutzen von Sozialen Netzwerken (Schwarmverhalten)
– Bundesminister zu Guttenberg innerhalb von 12 Tagen von allen Ämtern zurückgetreten
• Einführung eines GuttenPlagWIKI
• Umfangreiche Investition an Zeit in diese Plattform durch Freiwillige
• Nutzen „virtueller social media“ Accounts zur Meinungsverstärkung
– Im September 2008 bewarb sich die hundertprozentige Post-Tochter DHL als Logistikdienstleister der Bundeswehr.
• Aktivisten nutzen das Internet um, aktiv eine Kampagne zu starten
• Kosten der Kampagne relativ gering
• dhl.blogsport.de
Nicht alle Angriffe dienen wirtschaftlichen Zwecken
• Operation „Payback“
– „Low Orbit Ion Cannon“
– Symbolische Aktion von Bürgern
– Netzdemonstration
• Niederlande verhaftet Jugendlichen
– Geständnis wg. Verhaftung Assange
– Kein Hacker, keine Versuche sich unkenntlich zu machen
– Nach Bekanntwerden Solidaritätsbekundungen im Netz
– Angriff richtete sich jetzt auch auf niederländische Behörden
24
Immer komplexere Szenarien, und was wäre wenn …
25
• Demonstrationen zukünftig durch Internetaktivisten unterstützt werden?
– Nutzen virtueller Identitäten um Massen zu „steuern“
– Unterstützende Hetzkampagnen • Evtl. resultierende zunehmende Unterstützung in der Bevölkerung
– Ausnutzen von Schwächen moderner Infrastrukturen • Stören des Kommunikationsverbundes
• Erschweren der Fehleranalyse
• Einspeisen von Fehlinformationen in Führungs- und Leitsysteme
… es dem gezielten Stören der Infrastruktur dient.
DeepSight Information Intelligence 1
Möglichkeiten für Kommunen 2
Symantec™ Global Intelligence Network Identifies more threats, takes action faster & prevents impact
Information Protection Preemptive Security Alerts Threat Triggered Actions
Global Scope and Scale Worldwide Coverage 24x7 Event Logging
Rapid Detection
Attack Activity • 240,000 sensors
• 200+ countries
Malware Intelligence • 133M client, server,
gateways monitored
• Global coverage
Vulnerabilities • 50,000+ vulnerabilities
• 15,000 vendors
• 105,000 technologies
Spam/Phishing • 5M decoy accounts
• 8B+ email messages/day
• 1B+ web requests/day
Austin, TX Mountain View, CA
Culver City, CA
San Francisco, CA
Taipei, Taiwan
Tokyo, Japan
Dublin, Ireland Calgary, Alberta
Chengdu, China
Chennai, India
Pune, India
27
Mit Weltmarktführer in Threat Intelligence
28
Source: IDC, Worldwide and U.S. Security
Services Threat Intelligence 2011-2014
Forecast: Out of the Basement and into the
Clouds. Christian A. Christiansen, Charles
J. Kolodgy, Chris Liebert
DeepSight Intelligence Datenquellen
29
SPAM data
Phish Data
DeepSight Databases
Target Attacks Threat Trends
Vulnerabilities
Malicious Code
Fraud Activity Risk Activity
Sydney, Aus
Chennai, India
Dublin, Ireland
Mountain View, USA
San Francisco, USA
Pune, India
Taipei, Taiwan Culver City, USA
Calgary, Canada
Chengdu, China Tokyo, Japan
Gloucester, UK
Zurich, Switzerland
Montreal,
Canada Toronto, Canada
Symantec Security Response Weltweite Abdeckung – 24 x 7 x 365
Calgary • DeepSight
San Francisco • Anti-Spam •Anti-Fraud
Mountain View • Intrusion Prevention • Advanced Threat Research
Culver City • Response Operations •Anti-Virus • Anti-Spyware • Advanced Threat Research
Dublin • Response Operations •Anti-Virus •Anti-Spyware •Advanced Threat Research
Pune • Anti-Virus • Anti-Spam • Anti-Fraud • URL Filtering
Chennai • Anti-Spam • Anti-Fraud • URL Filtering •DeepSight
Tokyo •Response Operations •Anti-Virus • Anti-Spyware
Taipei • Anti-Spam • Anti-Fraud
Chengdu • Anti-Virus
30
Gloucester • .Cloud anti-Malware
Toronto • .Cloud Anti-Malware
DeepSight Intelligence Informationen
31
Symantec Threat
Analysis
Automated
Attack Alerts
Detaillierte
Analysten
Meldungen
Vulnerability
Alerts Malicious Code
Alerts
Security Risk
Alerts
De
ep
Sig
ht E
arly
Wa
rnin
g S
erv
ice
s
Vulnerability DataFeed
Security Risk DataFeed
IP Reputation DataFeed
DeepSight DataFeeds
DeepSight Databases
IP/URL Reputation
• Symantec’s Security Intelligence Group sammelt Informationen vom GIN, unseren Sensoren, Endgeräten und verschiedenen Services
– Diese Informationen sind kategorisiert in verschiedene Aktivitätstypen
• Angreifer
• Schadcode Spreaders
• Phishers
• Spammers
• Botnet Mitglieder
• Command and Control Server
– Wir benutzen unseren eigens entwickelten Algorithmus um „Vertrauenswürdiges“ und „Gefährliches“ zu unterscheiden, durch das Vergleichen und wiegen von historischen Aktivitäten, Erscheinungen und Typifizierung aus unserem Sensoren
32
IP Reputation Datafeed <ip address="x.149.5.169" consecutive_listings="2" listing_ratio="2" reputation="10">
<attacks hostility="4" confidence="5" />
<malware hostility="3" confidence="4" />
</ip>
<ip address="x.185.252.100" consecutive_listings="2" listing_ratio="2" reputation="9">
<attacks hostility="4" confidence="5" />
<malware hostility="3" confidence="3" />
</ip>
<ip address="x.178.145.238" consecutive_listings="6" listing_ratio="6" reputation="9">
<attacks hostility="5" confidence="4" />
<malware hostility="5" confidence="1" />
</ip>
<ip address="x.52.110.51" consecutive_listings="2" listing_ratio="2" reputation="8">
<attacks hostility="2" confidence="4" />
<bot confidence="4" />
</ip>
Brand & Domain Monitoring
• Marken und Domänen Überwachung ist geeignet zur zeitnahen Alarmierung über aufkommende Angriffe
• Dies wird erreicht durch nutzen unterschiedlichster Technologien:
– Email scanning: Milliarden E-Mails werden jeden Tag gescannt um schadhaftes Verhalten zu verhindern
– Web crawling: geklonte Webseiten werden erkannt mit Suchtechnologien, ähnlich wie Suchanbieter diese Verwenden
– Domain monitoring: Domänen ähnlich zu betreffenden Organisationen werden oft genutzt um „Host-Phishing“ zu betreiben
– Intelligence: Security Analysten sind in Chats und Foren „passiv aktiv“
• Bei erkennen eines neuen Angriffes, betroffene Kunden werden sofort informiert um entsprechende Prozesse einleiten zu können.
33
Symantec DeepSight (GIN) Information Services
34
Präventive Informationsbereitstellung zur Abwehr moderner Bedrohungen
Symantec DeepSight (GIN)
Datafeeds
Symantec Threat Analysen
Möglichkeiten für Kommunen 2
Evolutionsstufen eines CERT
36
Sichtbarkeit erzeugen
Menschen, Prozesse & Technologien
37
MENSCHEN PROZESSE TECHNOLOGIEN
Man benötigt Training, “Incident Response” und entsprechende, moderne Ansätze in allen Bereichen
BUSINESS
Die Ansätze müssen Menschen, Prozesse & Technologien berücksichtigen
38
IT Risk Mitigation
Integrieren der Security in das operative Geschäft
39
Grundschutz
ISO 2700x
PCI, etc. …
DeepSight
Threat
Intelligence
Eigene
Informationen
Web App / DB
Scanners
Symantec
Security
Content (Rep.
Daten, etc.)
Network VA
Scanners
Network VA
Scanners
Information &
“Content Feeds”
Threat HelpDesk
Warnmeldungen
Incident
Handling
Dissolving
Agent Scanning
Agent-based
Scanning
CERT / SOC
Analysen und
Reports
Security Operations
Ein (möglicher) Schritt …
Weitere
Informationen
Grundschutz
ISO 2700x
PCI, etc. …
DeepSight
Threat
Intelligence
Eigene
Informationen
Symantec
Security
Content (Rep.
Daten, etc.)
Information &
“Content Feeds”
Threat HelpDesk
Warnmeldungen
Incident
Handling
Security Prozess
Integration
CERT / SOC
40
Optional Scanner Mgt (2-Way; Command & Control)
SYMC CCS VM
Web App / DB
Scanners
Nessus ,OpenVAS, … Cenzic, etc.
Network VA
Scanners
Network VA
Scanners
weitere
Scanner
API/SDK
Web Services
Analysen und
Reports
Security Operations
Weiterer (möglicher) Schritt …
Weitere
Informationen
IT – Compliance Scan Ergebnisse
Agentless
Scanning Dissolving
Agent Scanning
Agent-based
Scanning
Scaninformationen
VA Scanning
Patch Scanning
Configuration
Scanning
41
Orchestrated Analytical Security
42
Orchestrated Analytical Security
Orchestrated Analytical Security
• Ganzheitliche Korrelation erzeugt Sichtbarkeit der Sicherheit, erlaubt eine bessere, beweisbare Priorisierung für IT-Risk
43
44
Deutschland (220/8/5)
DeepSight Platinum Remote
Expert Analyst Service
(365/24/7)
Symantec
CERT
CERT Modell
Alerts via Mail
Anrufe
Tickets/Incidents
Legende:
Standort 2 Standort 3 Standort … Standort (n+1) Standort 1 Stan…
45
Deutschland (220/8/5)
DeepSight Platinum Remote
Expert Analyst Service
(365/24/7)
Symantec
CERT
CERT Modell mit Orchestrated Analytical Security
Standort 2 Standort 3 Standort … Standort (n+1) Standort 1 Stan…
46
CERT/SOC
Information Security Alarmierung, wenn Handlungsbedarf besteht
47
…
Copyright © 2012 Symantec Corporation. All rights reserved. Symantec and the Symantec Logo are trademarks or registered trademarks of Symantec Corporation or its affiliates in the U.S. and other countries. Other names may be trademarks of their respective owners. This document is provided for informational purposes only and is not intended as advertising. All warranties relating to the information in this document, either express or implied, are disclaimed to the maximum extent allowed by law. The information in this document is subject to change without notice.
Markus Grüneberg
+49 172 219 7043
Punkt.