Internet-Analyse-System (IAS) Technische Sensorik für das nationale IT-Frühwarnsystem Martin Bierwirth Bundesamt für Sicherheit in der Informationstechnik

Internet-Analyse-System (IAS)

Technische Sensorik für das nationale IT-Frühwarnsystem

Martin Bierwirth

Bundesamt für Sicherheit in der Informationstechnik

AFCEA Bonn, 16.02.2009

BSI, 122, Bierwirth 16.02.2009 Folie 2

Agenda

Motivation Konzept und Zielsetzung IAS Realisierung, Status Beispiel-Auswertungen Anomalieerkennung Zusammenfassung


Warum IAS?

Konzeption und Entwicklung des Internet-Analyse-Systems als Beitrag zur IT-Krisenreaktion.

Hintergrund: Nationaler Plan zum Schutz der Informationsinfrastrukturen (2005), UP Bund (2007)

Nationales IT-Frühwarnsystem im BSI:

”Aufgrund belastbarer Erkenntnisse über drohende oder bereits eingetretene IT-Vorfälle, die noch möglichst wenige betreffen, wird ein nationales IT-Sicherheitslagebild fortgeschrieben und bei ausreichender Relevanz eine qualifizierte Warnung an potenziell betroffene Bereiche verteilt, um dort zu erwartende Schäden zu vermeiden oder zu verringern.“


Datenschutzrechtlich unbe-denkliche Sensorik bereitstellen.

Zustandsbeobachtung durch verteilte Sensorik durchführen.

Vergleichbarkeit der Messungen zahlreicher Standorte u. Partner.

Konzept und Ziel des IAS

Entwicklungspartner: Institut für Internetsicherheit

Zeitraum: 2005-2008


Fokus der Sensorik

Headerinformationen aus TCP/IP und aus wichtigen Anwendungsprotokollen:

D1: |||||||||||||||||||D2: |||||||||||||D3: |||D4: |||||||D5: ||||||||||||(„Deskriptoren“)


Die Sensorik des IAS erfasst keine IP-Adressen, setzt TCP-Flows nicht zusammen, verwirft nach Abarbeitung eines Paketes seinen Kontext, prüft nicht auf Signaturen bzw. macht kein Pattern-Matching, arbeitet passiv, d.h. sie verändert den Datenstrom nicht, wird nicht geroutet, d.h. keine eigene IP-Adresse, kein Ziel.

Damit grenzt sich die Sensorik ab von reinen Paketsniffern oder NetFlow, Firewalls, Application-Level-Gateways, IDS / IPS, Honeypots.

Abgrenzung zu anderen Systemen


Realisierung: Einbindung der Sensoren 1/2

Einbindung z. B. per Netzwerk-TAP oder Mirror-Port eines Switches

Internet-Anbindung eines Netzbetreibers

Verschlüsseltes Protokoll, nur Kommunikation in Richtung Transfersystem

Internet / ISPBehörde / Unternehmen


Einbindung der Sensoren 2/2

Zwei (passive) Varianten: Switch mit Mirror-Port oder Netzwerk-TAP.


Sensor-Netzwerk, zentrale Auswertung

Zentrale Auswertung der Daten: Normalzustand, Trends, Anomalien, Einzelfallanalyse...

BSI kann Daten mehrerer Standorte miteinander vergleichen und erhält einen „erweiterten Horizont“.

„Wer ist noch betroffen?“


Derzeitiger Status

Sechs Sensoren senden Daten an das BSI, Fokus vor allem bei den Regierungsnetzen.

Hardware in BSI-Labor: drei Server, Datenbank mit rund 2 TB Storage-Unit, SINA-Gateway.

Daten werden über Zeitraum von 13 Monaten vorgehalten. Zugriff auf IAS-Server aus dem BSI-Lagezentrum sowie

aus Fachreferaten. IAS als Bestandteil der täglichen Lagebeobachtung.


Auswertung

Allein mengenmäßig sind die Daten eine Herausforderung! Garbage in – garbage out?

In der Regel werden nur Deskriptoren der wichtigsten Dienste und Protokolle (automatisch) analysiert.

In Einzelfällen müssen zahlreiche weitere Deskriptoren zur Analyse herangezogen werden.

D1: |||||||||||||||||||D2: |||||||||||||D3: |||D4: |||||||D5: ||||||||||||(„Deskriptoren“) ?




„Lifecycle“ der IAS-Messdaten

Erfassung und Anonymisierung des Netzwerk-Datenflusses. Aggregation der Zählerstände im 5-Minuten-Intervall. Übertragung an IAS-Server mit Identifizierung des Standortes. Speicherung, Schwellenwert-Vergleich, manuelle Recherche usw.

01011

tcp.port=80

IIII II

deskriptor.counter=927

Δ=3,4

σ=7,3

Langzeit-Datenbank

N e tz w e rk -D a te n flu s s

Vergleich mit Schwellenwert

Neuberechnung der Schwellenwerte

Zählerstand-Übertragung (Deskriptoren) an IAS-Server

Datenabgriff, Anonymisierung, Aggregation als Zählerstände

Kurzzeit-Datenbank

IAS-Sensor

IAS-Serverund Datenbank


Beispiel: Scans auf 445/TCP

Korrelierender Trend an unabhängigen Standorten.


Beispiel: Spam-Entwicklung

E-Mail-Zustellversuche an einem Standort: September bis Dezember 2007: ca. 10 – 20 Mio. pro Tag. Januar bis April 2008: bis zu 40 Mio. pro Tag. Juni bis Oktober 2008: bis zu 60 Mio. pro Tag.


Beispiel: Browseranteile

Anteile der verschiedenen Firefox-Versionen, 3.0.X im Detail

In diesem Netzbereich überwiegend noch 2.0.X. Februar 2009: Patch von Version 3.0.5 auf 3.0.6 (Grün).


Beispiel: Mail-Attachments

Top 5 der angehängten Dateitypen, 6. bis 13. Oktober 2008IMAGE/GIFIMAGE/JPEGAPPL/OCTET-STREAMAPPL/MSWORDAPPL/PDF


Potenzial der manuellen Recherche

Das IAS ermöglicht umfassende Übersichten wichtiger Internetdienste: DNS, HTTP, SMTP...

Es können viele Aussagen getroffen werden: Kurzfristige Antworten, z.B. bei Schwachstellen wichtig:

Zu welchem Anteil wird Browser XYZ eingesetzt? Langzeittrends: Spam, VoIP, HTTP gegenüber HTTPS usw. Zusammenhänge der Protokolle untereinander. Nahezu Echtzeit-Analyse bei Vorfällen (mit klaren Grenzen).

Die Analysten brauchen „verständliche“ Zusammenhänge, daher Fokus auf einfachen Auswertungen. [...]


Anomalieerkennung mit dem IAS

Für ausgewählte Deskriptoren, basierend auf Messwerten der letzten Wochen, Unterscheidung von Tagen / Stunden

Schwellenwert = Durchschnittswert + Toleranz Eher „pragmatischer“ Ansatz, weniger wissenschaftlich. Liefert ggf. Indizien für sicherheitskritischen Vorfall.


IAS-Lagebild mit Nagios

Automatische Überwachung ausgewählter Deskriptoren Auswertung der aktuellen Daten (fast Echtzeit) Visualisierung von Schwellenwert-Überschreitungen Dadurch: kompakte Zustandsdarstellung


Warnung bei Anomalie

E-Mail mit Link auf automatisch generierte Informationen:


Handlung bei Anomalie

Bei überschrittenem Schwellenwert: Detailierte Recherche in IAS-Daten Suche nach korrespondierenden

Ereignissen und Zusammenhängen Bewertung der Erkenntnisse (Erfahrung) Reaktion sowie ggf. Anpassung der Metriken


Info-Pyramide

Signale010011, Licht

DatenZählerstände

Beobachten,Messen

Informationen Trends, Anomalien

OrganisierenWissen, Kenntnis

Analysen, Korrelationen

Verstehen

Volumen beachten!

Weisheit, ErfahrungWeisheit, Erfahrung

Lagebild Anwenden


TCP-SYN- und ICMP-Flooding, „zufällige“ gleichbleibende TCP-Highports, 1000-fach gestiegener Traffic.

Beispiel: Großer DDoS-Angriff

Abwehrmaß-nahmen

TCP-SYN

Port 26876

Port 27269

Ende des Angriffs


Beispiel: DNS-Anomalie

Überschreitung des Schwellenwerts am 16.12.2008

Korrelation an mehreren unabhängigen Standorten. Analyse: Versuchter DNS-Amplification-Attack (→ ISC).


Beispiel: Schwachstelle MS08-067

12

3

4

23.10.2008: Schwachstelle in Windows-RPC-Dienst, Exploit über Port 445/TCP möglich. → CERT-Bund Warnung (1)

03.11.2008: Wurm zu MS08-067 „in the wild“ gesichtet. (2) 27.11.2008: Microsoft beobachtet zunehmende Verbreitung. (3) Januar 2009: Wurm-Infektionen in Kärntner

Regierung sowie bei britischer Armee. 19.01.2009: F-Secure berichtet von etwa neun

Millionen befallenen W32-Systemen. (4)


Zusammenfassung

Die IAS-Sensorik arbeitet datenschutzrechtl. unbedenklich. Mit Anomalieerkennung und manueller Recherche lässt

sich – trotz abstrakter Daten – erstaunlich viel herausfinden. Je mehr „interessante“ Sensoren, desto aussagekräftiger die

Analysen, Erfahrungen und Bewertungen. Die zentrale Datenbasis mit diversen Auswertungen liefert im

BSI eine wichtige Ergänzung zum Sicherheitslagebild, zur Vorfallsanalyse sowie zur Krisenreaktion.


BSI Lagezentrum


Vielen Dank - Fragen ???

Bundesamt für Sicherheit in der Informationstechnik (BSI)

Martin BierwirthGodesberger Allee 185-18953175 Bonn

Tel: +49 (0)22899-9582-5119Fax: +49 (0)22899-10-9582-5119

martin.bierwirth@bsi.bund.dewww.bsi.bund.dewww.bsi-fuer-buerger.de

Documents

Internet-Analyse-System (IAS) Technische Sensorik für das nationale IT-Frühwarnsystem Martin Bierwirth Bundesamt für Sicherheit in der Informationstechnik