Upload
tranhanh
View
234
Download
1
Embed Size (px)
Citation preview
Notfallmanagement (Incident Response)was tun nach einer Cyberattacke?
15. Juni 2017
6. Fachtagung Datenschutz & IT-Sicherheit: Cybersicherheit, Braunschweig
Martin WundramVon der IHK zu Köln öffentlich bestellter und vereidigter Sachverständiger
für Systeme und Anwendungen der Informationsverarbeitung,
insbesondere IT-Sicherheit und IT-Forensik
Agenda
15. Juni 2017 Notfallmanagement (Incident Response) 2
1 Die Bedrohung ist real
2 Herausforderung Incident Response
3 Success Story?
4 Grundüberlegungen
5 Typische Fehler und Baustellen
6 Leitfaden
7 Fazit und Fragen
Kurzvorstellung
14. April 2016 Ins Netz gegangen - Reale Risiken aus der virtuellen Welt 3
PERSON
▪
▪ Martin Wundram
▪ Jahrgang 1982
▪ Diplom Wirtschafts-informatik,Uni Köln
ERFAHRUNG (AUSWAHL)
Von der IHK zu Köln öffentlich bestellter und vereidigter Sachverständiger für Systeme und Anwendungen der Informationsverarbeitung, insbesondere IT-Sicherheit und IT-Forensik
Geschäftsführer DigiTrace GmbH sowie TronicGuard GmbH
Kunden von KMU bis DAX + Behörden
Alle Branchen
Präventive Projekte: Audits, Penetrationstests, IT-Sicherheitskonzepte, strategische Beratung zu IT-Sicherheit, …
Reaktive Projekte: IT-Forensik, Incident Response, eDiscovery, …
Sachverständigentätigkeit / Gutachten zu allen Themen der IT
15. Juni 2017 4
Die Bedrohung ist real
Notfallmanagement (Incident Response)
Wir leben in einer vernetzten Welt
• 2015 haben bereits 81 Prozent der EU-Bürger das Internet genutzt
• Industrie 4.0, Internet der Dienste, Internet der Dinge, Smart Factory, Soziale Netzwerke, Intelligente Infrastrukturen, Cloud Computing, Car-to-X, Smarthome, ...
• Zugleich gibt es immer neue Bedrohungen: Samy, Zeus, „GVU-Trojaner“, Locky, …
15. Juni 2017 5
Die Bedrohung ist real
Notfallmanagement (Incident Response)
PricewaterhouseCoopers, 2015, Studie mit 400 Mittelständlern bzgl. Cyber-Kriminalität
Jedes zehnte Unternehmen wurde 2014 mindestens einmal Opfer eines Angriffes über das Internet
Durchschnittlicher wirtschaftlicher Schaden: 80.000 Euro
Angegebener durchschnittlicher Schaden ein Jahr zuvor: 10.000 EUR
Einschätzung PwC: viele Mittelständler haben die Situation noch nicht verstanden und sind schlecht vorbereitet
Nur jedes fünfte Unternehmen gegen Cyber-Schäden versichert
500 bis 750 Mrd. Euro Schäden durch Cyber-Kriminalität weltweit (Cyber-Kriminalität – das unterschätzte Risiko, GDV, 10.03.2014)
Dazu kommen Schäden durch allgemeine Ausfälle wie Festplattendefekte
Die Gefahr von Cyber-Schäden in Zahlen
Quelle: http://www.heise.de/newsticker/meldung/Studie-Mittelstand-unterschaetzt-Gefahr-durch-Cyber-Kriminalitaet-3067640.html
15. Juni 2017 6
Die Bedrohung ist real
Notfallmanagement (Incident Response)
Suizid einer Schülerin (2012, Kanada) nach Mobbing mit Nacktbildern
• Extremfall
• Symbolisiert den Wert der Daten in einer vernetzten Welt
• „Spannende“ Inhalte haben im Internet eine sehr lange Lebensdauer und eine hürdenlose Verbreitung
https://de.wikipedia.org/wiki/Amanda_Todd
Wert der Daten – Digitaler Schatten
15. Juni 2017 7
Die Bedrohung ist real
Notfallmanagement (Incident Response)
1. Alltäglicher Defekt an einem wichtigen Server inkl. Datenverlust
2. Das Backup wurde falsch konfiguriert – es wurde täglich nur ein leerer Ordner gesichert …
3. Aufgrund eines bestehenden Versicherungsschutzes wurde eine extrem teure Datenrettung beauftragt (x00.000 EUR)
Ergebnis:
Versicherung möchte nicht bezahlen (verständlich),
Unternehmen wird in Regress genommen (x00.000 EUR, verständlich),
Unternehmen ist insolvent
In 3 einfachen Schritten zur Katastrophe
Unmittelbares menschliches Versagen ist und bleibt TOP-Risiko Nr. 1
8
Die Bedrohung ist real
15. Juni 2017 Notfallmanagement (Incident Response)
Beispiele
Software und integrierte Systeme mit Sicherheitslücken sind alltäglich
9
Die Bedrohung ist real
15. Juni 2017 Notfallmanagement (Incident Response)
Informationsabfluss/Exfiltration trifft Kleine wie Große
• Sony-Hack, Ende 2014– Tätergruppe "Guardians of Peace" (“GOP”) verlangte Stopp der Veröffentlichung des Films “The
Interview”
– Angebliche Angriffsdauer im Vorfeld: 1 Jahr, angeblich 100 TB Daten abgegriffen
– Fakt: Veröffentlichung persönlicher Daten von Sony-Mitarbeitern, neuen Filmen, vertraulichen E-Mails, …
– Rückstellung für 2015Q1: 15 Millionen USD
– Einige Mitarbeiter verklagten Sony aufgrund der public gewordenen persönlichen Daten
• Ashley Madison-Hack, Mitte 2015– Tätergruppe „The Impact Team“ hat über 25 GB interner Daten einer Dating-Plattform erbeutet
und veröffentlicht (inkl. ca. 40 Millionen Kundendatensätzen)
– Ein Erpressungsversuch der Täter blieb erfolglos – Ashley Madison ging an die Öffentlichkeit
– Folgen: unter anderem mindestens ein Suizid
• Panama Papers, Mossack Fonseca, 2016
• Cellebrite Leak (900 GB Daten, Hersteller von Produkten für IT-Forensik), 2017
Konkrete Konfigurationsschwächen gepaart mit „Datenbergen“ sind brandgefährlich
Katastrophen finden wie am Fließband für Jedermann mit Shodan
10
Die Bedrohung ist real
• Shodan ist eine Suchmaschine (vergleichbar mit Google, bing, duckduckgo, …)
• Schwerpunkt liegt hier jedoch auf der systematischen Suche nach abgreifbaren Informationen von (möglichst) allen mit dem Internet verbundenen Geräten
• Beispiel: Frei abrufbare Webcams
• Kostenfreie „Basisfunktionalität“, kostenpflichtige „Profifunktionen“
• http://shodan.io
15. Juni 2017 Notfallmanagement (Incident Response)
Katastrophen finden wie am Fließband für Jedermann mit Shodan
12
Die Bedrohung ist real
• Einige geeignete, vorformulierte Suchanfragen für Shodan (Achtung: Ausspähen von Daten / Manipulation von Systemen / etc. kann illegal sein!)– Set-Cookie: iomega=
• Liefert NAS-Speicher ohne Passwort
– AKCP Embedded Web Server country:de• Liefert Embedded-Systeme am Standort Deutschland
– Jetty 3.1.8 (Windows 2000 5.0 x86) country:de• Liefert ebenfalls Embedded-Systeme in Deutschland
– port:554 has_screenshot:true country:de• Liefert Video-Streaming-Server in Deutschland, für die direkter Abgriff möglich ist (mit Streamingclient,
etwa vlc)
– polycom command shell country:de• Liefert Polycom-Telefonkonferenzsysteme, die per Telnet ohne Passwort erreichbar sind
– RFB 003.008 authentication disabled country:ch• Liefert VNC-Remotesysteme in der Schweiz, die kein VNC-Passwort erfordern
– has_screenshot:true country:de• Liefert alle Geräte/Systeme in Deutschland, für die Shodan einen Screenshot abgreifen konnte (Webcams,
VNC, Streaming, …)
24. März 2016 Informationssicherheit und Cyberkriminalität
Meine Einschätzung
15. Juni 2017 Notfallmanagement (Incident Response) 13
Herausforderung Incident Response
Meine Einschätzung
Incident Response:
– Zu fast jedem Vorfall lassen sich sinnvolle Untersuchungen durchführen. Meist lassen sich dadurch Angriffswege/Hergänge nachvollziehen. Täter und betroffene Daten bleiben dabei jedoch häufig im Dunkeln. Beteiligte IT-Systeme müssen zeitnah (oft sofort) angemessen berücksichtigt werden.
– Es reicht heute nicht mehr, „befallene“ PC einfach nur zu „säubern“
15. Juni 2017 Notfallmanagement (Incident Response) 14
Herausforderung Incident Response
Abfluss vertraulicher Daten: Mitarbeiter wechseln mit Daten
15. Juni 2017 Notfallmanagement (Incident Response) 15
Herausforderung Incident Response
• Finanzieller Schaden: unbezifferbar, > 25.000 EUR
Wen es besonders trifft
• IT-Sicherheitsvorfälle können Alle ereilen: Privatpersonen, Kleinstunternehmen, KMU, Konzerne, Behörden, …
• Besonders trifft es Privatpersonen und KMU
– Begrenzte finanzielle Mittel
– Begrenzte personelle und sonstige Ressourcen
– Schlecht oder überhaupt nicht vorbereitet
– Keine geeigneten Ansprechpartner in Reichweite
• Aber auch große Organisationen haben z.T. die gleichen Probleme
15. Juni 2017 Notfallmanagement (Incident Response) 16
Herausforderung Incident Response
Cryptotrojaner in einem medizinischen Großlabor
Zunächst extreme Gefahr, weil Patientendaten (tausende einzelne Dateien) verschlüsselt sind. Funktionstüchtigkeit unklar.
Selbstanalyse der eigenen IT: Backup funktionsfähig und vollständig.
Analyse der IT-Forensiker: Standardschadsoftwareeinfacher Machart, kein zielgerichteter Angriff, vermutlich kein Folgerisiko. Täter können nicht gefunden werden.
15. Juni 2017 Notfallmanagement (Incident Response) 17
Success Story?
Grundüberlegungen
Mögliche Definitionen
– Ereignis: Auftreten eines beobachtbaren Geschehens, typischerweise zeitpunktbezogen und Differenz von Vorher/Nachher
– Störfall: Störung des bestimmungsgemäßen Betriebes einer technischen Anlage (Verweis auf „Fehler“)
– IT-Sicherheitsvorfall: ungesetzliche, nicht autorisierte oder einfach unerwünschte Handlung unter Beteiligung eines IT-Systems
Störfall? Sicherheitsvorfall?– Festplatte geht durch Verschleiß kaputt– Innentäter sabotiert die IT und tritt gegen das Rack
15. Juni 2017 Notfallmanagement (Incident Response) 19
Grundüberlegungen
Was ist Incident Response?
– Strukturierte und koordinierte Vorgehensweise ausgehend von der Vorfallerkennung bis zur Lösung
Kernaktivitäten:
– Untersuchen und Einschätzen, ob Incident oder nicht– Details zum Incident herausfinden, Schadenseinschätzung– Schadenminimierung, Notfallmaßnahmen– Übergang zu Normalbetrieb– PR– Lessons Learned, Systemhärtung
15. Juni 2017 Notfallmanagement (Incident Response) 20
Grundüberlegungen
Ziele können sich ergänzen, oder gegenseitig behindern
– Angriff stoppen? Laufen lassen?– Zukünftige Angriffe verhindern?– Täter finden?– Hergang aufklären?– Mitarbeiter einbeziehen oder auslassen?– Ermittlung/Strafverfolgung einbeziehen?– Priorisierung?– Systeme abschalten?– Offen ermitteln? Verdeckt ermitteln?
Verantworten muss letztlich der Geschäftsführer
15. Juni 2017 Notfallmanagement (Incident Response) 21
Grundüberlegungen
Herausforderungen aus Sicht des Geschäftsführers
15. Juni 2017 Notfallmanagement (Incident Response) 22
Juristische Herausforderungen
Technische Herausforderungen
Interne / taktischeHerausforderungen
FinanzielleHerausforderungen
Grundüberlegungen
Weitere Schlüsselbegriffe
– Incident Response
– Notfallhandbuch und Leitlinie
– Computer Security Incident Management
– Computer Emergency Response Team (CERT)
– Computer Security Incident Response Team (CSIRT)
– Security Information and Event Management (SIEM)
– …
15. Juni 2017 Notfallmanagement (Incident Response) 24
Grundüberlegungen
W-Fragen
– Wo ist etwas passiert?– Was ist geschehen?– Wann ist es passiert?– Welche Daten sind betroffen?– Welche Systeme sind betroffen?– Welche Mitarbeiter/Kunden sind betroffen?– Wer hilft mir als GF wie, wann, wo?– Welche Priorität gebe ich dem Fall?– Welche Maßnahmen müssen unmittelbar umgesetzt werden?– …
15. Juni 2017 Notfallmanagement (Incident Response) 25
Handlungsanweisungen erfolgen zu unpräzise
„Bitte sichern Sie vorab unsere Protokolldateien, damit die externen Experten diese untersuchen können, wenn sie bei uns sind“
Beweise/Daten werden vorschnell vernichtet
„Als Ihr IT-Dienstleister machen wir jetzt folgendes: Wir lassen über alle Rechner einen Virenscanner laufen und löschen alle Funde. Danach ist Ihr System wieder sauber.“
Es geht zu viel Zeit verloren
„Ihr Sicherheitsvorfall liegt nun 4 Wochen zurück. Leider rufen Sie uns erst jetzt. Die Spuren X, Y und Z sind nun definitiv nicht mehr verfügbar.“
Generell zu wenig Zeit/Ressourcen
„Wie, Sie können den Täter nicht innerhalb von 2 Tagen finden? Aber Sie sind doch IT-Experte! Dann lasse ich den Fall lieber doch nicht untersuchen“
15. Juni 2017 Notfallmanagement (Incident Response) 26
Typische Fehler und Baustellen
Nicht ausreichend im Team gearbeitet„Oh, diesen Sachverhalt habe ich im Eifer des Gefechts übersehen. Ich wusste gar nicht, dass Windows XY diese Artefakte erzeugt“
Komplexität der Zielsysteme unterschätzt„Oh weh, Herr Geschäftsführer, Sie hatten uns von Bring Your Own Device und Ihren vielen Auslandsstandorten überhaupt nicht berichtet“
Daten werden falsch interpretiert, inkl. fehlerhafter Folgeaktionen
„Wie, die Zeitstempel sind auf System 2 in UTC+4, nicht wie bei System 1 in UTC+1?“
15. Juni 2017 Notfallmanagement (Incident Response) 27
Typische Fehler und Baustellen
• Was kostet mich das?
• Was darf ich? Was darf ich nicht? Was muss ich tun?
• Ich habe keine Ahnung von Technik. Fragen sie den IT-Leiter.
• Wie kann ich Aufregung vermeiden?
• Wie geben wir uns keine Blöße?
• Wem kann man trauen? Mit wem soll ich reden?
• Was interessieren mich Recht und Gesetz? Einfach machen - Ich will den Täter kriegen!
• Warum soll der IT-Sachverständige besser sein als mein IT-Dienstleister, der obendrein günstiger ist?
15. Juni 2017 Notfallmanagement (Incident Response) 29
Typische Fehler und Baustellen
• Der IT-Forensiker soll nicht alle schmutzige Wäsche finden!
• Heftig, ich wusste gar nicht, dass wir so ein hohes Risiko haben!
• Oh, das wurde aber teuer!
• Mein IT-Mitarbeiter ist verdächtig. Was nun?
• Ich habe selber schon mal in den Daten geguckt. Das erzähle ich aber nicht dem Forensiker.
• Ich habe zu viel CSI geguckt. Bestimmt geht das alles viel schneller.
15. Juni 2017 Notfallmanagement (Incident Response) 30
Typische Fehler und Baustellen
Leitfaden
15. Juni 2017 Notfallmanagement (Incident Response) 31
Prüfen Sie, wer vertrauenswürdig ist
Priorisieren Sie das weitere Vorgehen
Stellen Sie Geräte und Backups sicher
Arbeiten Sie mit forensischen Kopien
Dokumentieren Sie den Vorfall genau
Binden Sie relevante Personen ein
Stellen Sie ein Krisenteam zusammen
Entwickeln Sie verschiedene Szenarien
Tipps zum Verhalten im Ernstfall
Leitfaden
15. Juni 2017 Notfallmanagement (Incident Response) 33
https://www.ihk-koeln.de/upload/IHK_Leitfaden_Incident_Response_DINA4_05_54030.pdf
• Better safe than sorry – ein Fehlalarm ist besser als ein übersehener IT-Sicherheitsvorfall
• Es reicht heute nicht mehr, „befallene“ PC einfach nur zu „säubern“
• Insbesondere KMU und Privatpersonen sind nach unserer Erfahrung oft kaum informiert, schlecht vorbereitet und verfügen oft über zu knappe Ressourcen
• Nach unserer Einschätzung daher notwendig:
– „verdichtete“ Information, die im Ernstfall „zur Hand“ ist und so einen Startpunkt für ein koordiniertes, geeignetes Vorgehen liefert
– Prävention und detailliertere Informationen
– Individuelle Erstellung eines Incident Response-Plans (Notfallhandbuch)
• „Erste Hilfe“: Betroffene selbst und allgemeine ITler
• Professionelle Reaktion: Experten (IT-Forensiker)
15. Juni 2017 Notfallmanagement (Incident Response) 34
Fazit
Fragen & Antworten
15. Juni 2017 Notfallmanagement (Incident Response) 35
FRAGENGerne auch im Nachgang an
ANTWORTEN