Operationales Geschäftsrisiko Cyber-Attacken · 10 IT-Sicherheitsrisiken 2015 Bedrohungen –Mobile Security Risiken durch mobile Endgeräte Trends 2015 Schwachstellen Schwachstellen

IT-Sicherheitsrisiken 2015

Operationales Geschäftsrisiko

Cyber-Attacken

Relevante IT-Sicherheitsrisiken für Unternehmen

1


Vorstellung

PROFI Netzwerk & Security

2

BEDROHUNGEN

3 IT-Sicherheitsrisiken 2015

Bedrohungen – 2014


Bedrohungen – Malware und Exploits

RansomwareErpressen von Lösegeld für verschlüsselte Daten

Vorgehensweise

• Infektion via Phishing / Driveby / P2P / IRC / Newsgroups

• Verschlüsselung aller erreichbarer Laufwerke

• Löschen von VSS-Backups

• Schlüsselspeicherung im TOR Netz

• Bezahlung via Bitcoins

• „Partnerprogramm“ für die Verbreitung

• Beispiele: CryptoLocker / CTB-Locker

Schaden

• Datenverlust gemäß RPO• Zeit (Downtime, Cleanup, Restore)

Schutz

• Infektionswege kontrollieren: Mail, Web, Anwendungen, Schnittstellen

• Backup- / Restore-Konzept• Berechtigungskonzept gemäß Need-To-Know• User Awareness



Fortgeschrittene Malware Beispiel: Equation Group

Vorgehensweise

• Infektion von Festplatten-Firmware

• Übersteht Formatierung, teilweise sogarFirmware Flashing

• Infektionsweg meist via DriveBy / WateringHole Attack

• Gezielte Anwendung

• Staatlicher Hintergrund vermutet (Auftauchen in Snowden-Dokumenten)

Schaden

• Abfluss von Informationen• Gezielte Manipulation• Langfristige Infektion

Schutz

• Infektionswege kontrollieren: Mail, Web, Anwendungen, Schnittstellen

• Datenexfiltration vermeiden• User Awareness



Exploits 2014Top Ten: In The Wild



Exploits 2014Top Ten: Neueinsteiger

Schutz

• Patchmanagement• Software-Inventarisierung• Malwareschutz im Perimeter: Mail, Web, Firewall• IPS im Netz und auf dem Endpoint• Endpoint Security mit Heuristik• User Awareness


Bedrohungen – Web Server Security

SQL Injection

Vorgehensweise

• Zugriff auf Datenbanken über öffentliche Eingabefelder

Schaden

• Abfluss von Informationen• Abfluss von Zugangsdaten• Weiterführende Infektionen

Schutz

• Sauberes Programmieren• Security in die Anwendungsentwicklung

integrieren• Nachträgliche regelmäßige Prüfungen• Web Application Firewalls• DB-Security

(D)DoS

Vorgehensweise

• Fluten von Leitungen und Servern mit sinnlosen Anfragen

Schaden

• Nicht-Erreichbarkeit von Shops / Portalen• Kommunikations-Unfähigkeit• Downtimes

Schutz

• DDoS Protection Appliances• Scrubbing-Datacenter• Firewalls / Application Delivery Controller


Bedrohungen – Schwachstellen

SchwachstellenHeartbleed | POODLE | GOTOFail | Shellshock

Problematik

• Schwachstellen in elementaren (Verschlüsselungs-)Modulen

• Potenziell betroffen sind jegliche Arten von Client- und Server-Betriebssystemen

• Betrifft Webseiten, Anwendungen und VPN

• Ermöglichen das Aufbrechen von Verschlüsselung, auch nachträglich

• Lange unentdeckt – zumindest öffentlich

Schaden

• Abfluss von Informationen durch gebrochene Verschlüsselung

• Abfluss von Zugangsdaten• Übernahme von Systemen

Schutz

• Agiles Patch Management• IPS• WAF

"Catastrophic" is the right word. On the scale of 1 to 10, this is an 11.Bruce Schneier, Cypto-Experte, über Heartbleed


Bedrohungen – Mobile Security

Risiken durch mobile EndgeräteTrends 2015

Schwachstellen

Schwachstellen in Apps, z.B. • Apache Cordova: Apps werden unbrauchbar,

möglicher Datenabfluss• Testing Framework legt MitM-Anfälligkeit in

tausenden Android Apps offen

Schwachstellen im Betriebssystem• XARA Lücke Apple MacOS und iOS ermöglicht

Zugriff auf lokale Schlüssel – von iTunes, Mail und Social Networks bis zu Anwendungen wie OnePass und Banking

Schutz

• Umfassende Mobile Strategie• Das Ende der Sandbox:• Entweder massive Abschottung oder dedizierter

Schutz mobiler Unternehmensdaten (Container)• User Awareness

Malware

• Oft auch in Appstores, trotz angeblicher Kontrolle

• Infektionswege außerdem „Trusted Pairing“ und App-Repacking

• Mobile Malware Zahlen sind oft plakativ, Trend ist aber real


Bedrohungen – woher?W

ahrs

chei

nlic

hke

it

ABC

(Dienste)

Professionelles gezieltes Cybercrime

/ Hacktivism

Ungezieltes Cybercrime / Vandalismus / Versehen

Bu

dge

t

Einschub: Hacking Team…hacked

• Hacking Team ist ein Dienstleister für Spionage-Werkzeuge. Beliebtes Produkt ist das Überwachungstool „DaVinci“ und das Remote Access Toolkit „RCS Galileo“ (Remote Controlled System)

• Kunden sind u.a. die verschiedensten Regierungen und Behörden – darunter auch Ägypten, Sudan, Äthiopien und andere Staaten, gegen die teilweise entsprechende Embargos bestehen

• 400 GB Daten wurden veröffentlicht: Emails, Exploits, Strukturen und Vorgehensweisen, Passwörter der Mitarbeiter. Darunter Browser-gespeicherte Passwörter wie „Pa$$w0rd“

• Angegriffene können über eine ID ihre Angreifer identifizieren

• Zero-Day Exploits für Flash und Windows wurden inzwischen gepatcht


Vorstellung

PROFI Netzwerk & Security

12

IS-ORGANISATION


IS-Organisation: Warum?

…ohne adäquate Organisation:

Entwicklung und Regelung „Bottom-Up“

IT als Verantwortliche für Regeln und Maßnahmen

Produkt-Checklisten

„historisch gewachsen“ führt in technologische Sackgassen

„Was schütze ich hier eigentlich?“

Mangelnde Reaktionsfähigkeit auf aktuelle Entwicklungen und Bedrohungen

Problematische Compliance-Audits

Schwierige Budget Diskussionen

Strukturierte IS-Organisation:

Entwicklung verfolgt klar definierte Ziele

Management steht hinter allen Regularien

Verantwortlichkeiten sind klar definiert

Schutzbedarfs-orientierte Gestaltung

Aktuelle Risiko-Analysen

Schnelle, strukturierte Reaktion auf aktuelle Bedrohungen

Konsequentes Hinterfragen des Status Quo

Effiziente Auditierung

Budgetierung folgt den Zielen


IS-Organisation: Wie?

Verschiedenste Standards:

• ISO 27001• BSI Grundschutz• PCI DSS• IDW PS330• CobiT• VdS 3473• …

Pragmatische Umsetzung

• „Low Hanging Fruits“ zuerst• Selektive Umsetzung der Elemente

verschiedener Frameworks:• Prozesse oder Maßnahmen• Freie Gestaltung oder klare Richtlinien

• Individuelle Risikoanalyse als Grundlage• Entwicklung einer Management-gestützten

Leitlinie, aus der sich konkretere Richtlinien ergebenSelf Assessments

• Heise Security Bilanz Deutschland• Deutschland sicher im Netz• VdS 3473 Quick Check

Marcus Hock

Leiter Kompetenzteam Netzwerk & Security

Tel: 06151 8290-7728

Email: [email protected]

Christian Hantrop

Bereichsleiter Geschäftsbereich

System Infrastruktur Lösungen

Tel: 06151 8290-7753

Email: [email protected]


IHRE ANSPRECHPARTNER

Documents

Operationales Geschäftsrisiko Cyber-Attacken · 10 IT-Sicherheitsrisiken 2015 Bedrohungen –Mobile Security Risiken durch mobile Endgeräte Trends 2015 Schwachstellen Schwachstellen