Upload
others
View
7
Download
0
Embed Size (px)
Citation preview
RANSOMWAREVERTEIDIGUNGSSTRATEGIENWenn Offence auf Defence trifft
Christian Nowitzki - Principal Consultant Cyber Security & Business Security Strategy, 17. März 2021
Agenda
2NTT DATA Deutschland
Kurzvorstellung IT-Security Services @ NTT Data1. 3
Attackers Toolbox - Review 2018/19/202. 4
Ein typischer Angriffsverlauf und geeignete Schutzmaßnahmen3. 5
Under Attack4. 6
Lessons learned5. 7
Agenda
3NTT DATA Deutschland
Kurzvorstellung IT-Security Services @ NTT Data1. 3
Attackers Toolbox - Review 2018/19/202. 4
Ein typischer Angriffsverlauf und geeignete Schutzmaßnahmen3. 5
Under Attack4. 6
Lessons learned5. 7
IT and Consulting for the World.
4
85% of the Fortune
100 are customers
#1operator of
Data Centres
109 Bn $ turnover
Top Employer
Germany2020
#5 IT Consultancy
in Germany
#1 Service
Delivery Quality IT Outsourcing
NTT DATA Deutschland
IT Security Services im Detail
6
Strategie-Beratung
• Risikoanalysen• Advisory Services• Transformation Services• Architecture Services
Managed Security Services
• Enterprise Security Program Services• Enterprise Security Monitoring• Security Device Management• Vulnerability Management• SecureCall
Technologie-Beratung
• Incident Response und Forensik• Engineering• Compliance• Assessment
NTT DATA Deutschland
IT Security – unsere Kompetenzen
7
Business Applications & Big Data
Cloud & Virtual IT/DC Security
Enterprise Security Architecture
Cyber Defense
• ERP systems (SAP, JDE, Dynamics)
• CRM systems (SAP, Oracle, Microsoft, Salesforce)
• Collaboration systems (Microsoft, Windchill)
• Identity Federation• CASB• Encryption• DevSecOps
• Risk Assessments• Incident Readiness• ISO27001 Compliance• Merger & Acquisitions• Enterprise Architecture Cons.• Consulting for CIO/CTO• Security Program Dev.
• SOC Consulting• LogManagement / SIEM• Vulnerability Management• Config Management• Incident Response
Ethical Hacking
Identity & Key Management
Digital Workforce & Mobility
GRC & IIoT/OT
• Standardized, global Methodology
• Pentesting Management System
• Agency Benchmarking• Reduced Time To Market
• Authentication• Identity Management• Identity Governance• Focus on User-Experience • Passwordless, SSO
• Protecting Device & Data outside classic security perimeter
• Seamless User-Experience at the desk and mobile
• Security Reporting/Scoring• DS-GVO (GDPR)• Tool based Realization • Securing Industrial Machines• After Sales Processes• Service Design
</> §
NTT DATA Deutschland
Strategic Cybersecurity Consulting
Agenda
8NTT DATA Deutschland
Kurzvorstellung IT-Security Services @ NTT Data1. 3
Attackers Toolbox - Review 2018/19/202. 4
Ein typischer Angriffsverlauf und geeignete Schutzmaßnahmen3. 5
Under Attack4. 6
Lessons learned5. 7
Attackers Toolbox – Review 2019/20
Emotet Trickbot Ryuk
Malware Typ Trojaner (banking) Trojaner Ransomware
Risiko Sehr hoch Sehr hoch Extrem hoch
Verbreitung Weltweit, alle Branchen Weltweit, alle Branchen Weltweit, alle Branchen
Verteilmechanismus E-Mail, Attachements, Links
E-Mail-Attachement, download grab
Meistens nachgeladen von Emotet
Besonderheiten PolymorphErkennt SandboxenInhaltserkennung (Mails)Besteht aus untersch. Malware Programmen
Verwendet diverse C&C Server, verwendet MS-Task Scheduler Standards, Code wird öfter neu geschrieben
Löscht Backup Kopien
Gegenmaßnahmen Layered Defense Layered Defense Layered Defense
Agenda
10NTT DATA Deutschland
Kurzvorstellung IT-Security Services @ NTT Data1. 3
Attackers Toolbox - Review 2018/19/202. 4
Ein typischer Angriffsverlauf und geeignete Schutzmaßnahmen3. 5
Under Attack4. 6
Lessons learned5. 7
Ofence – Die Theorie
Erstinfektion
Ausspähen von Daten/Sabotage von Systemen
Übernahme weiterer Rechte
Verwischen von Spurenund/oder Lösegelderpressung
Kontinuierliche Beobachtung
Vorbereitende/ ablenkende Angriffe
Auskundschaften des Opfers
Ausspähen des Netzwerks
VORGEHEN BEI EINEM
APT-ANGRIFF
Ofence – Ein beispielhafter Verlauf aus der Praxis
Phishing oder Spear Phishing E-Mail
Macro weaponizeddocument
>_Command line
PowerShellDownloadEmotet
Emotet Trickbot
Emotet lädt zusätzliche Tools, z.B. Trickbot, nach
Reconnaissance / Aufklärung
Analyse des Opfers
Deakt. AVDatensammlungZugangsdaten stehlenAccounts übernehmen RYUK
Nachladen weiterer Tools
Daten-verschlüsselung
Datendiebstahl
C&C
Datenverkauf Erpressung
Defence – Die Abwehrkette
Phishing or SpearPhishing Mail
Macro weaponizeddocument
>_Command line
PowerShellDownloadEmotet
Emotet Trickbot
Emotet grabsadditional Payload like Trickbot
Reconnaissance
Analyze the victim
Disable AVHarvest DataSteals Credentials RYUK
Grabs additional Payload(s)
Encode DataStealing Data
C&C
Selling Data Ransom extortion
Scan-Erkennung
Foren-Überwachung
Extern verfügbare Informationen überwachen
E-Mail-AntiVirus
E-Mail-Sandbox
Aufmerksame Mitarbeiter
Endpoint Security
User Access Controls high
Deaktivierung oder Einschränkung von Office Macros
Least privilege
EternalBluepatches
Endpoint Security (EDR am IOC)
User Access Controls high
EternalBlue patches
Ereigniserkennung & -korrelation/ SIEM(Server & Perimeter)
Strikter URL Filter
Effektives Firewall Ruleset
Webfilter / Sandbox
Multi Factor Authentication /MFA
Ereigniserkennung & -korrelation/ SIEM(Server & Perimeter)
Strikter URL Filter
Effektives Firewall Ruleset
Event detection / SIEMNo saved PW in BrowserSeparated Networks / Micro SegmentationZero Trust / ESAE / MFA / PAMLeast Privilege
Ereigniserkennung am Perimeter, inkl. source, target, data flow and quantityKombiniertes DLP & DRM SIEM
Monitoring illegaler Daten-Handelsplätze
Perimeter Sicherheit (Policy) mit Anomalie-erkennung
Perimeter Security mit Web-Filter & ATP Sandbox, strikte policy und Anomalie-erkennung
Event Detection
File integrity checks
Offline BackupsEmergency & Recovery PlanMarketing PlanCrisis Management
Defence in depth is layered Defence – Am Beispiel Hafnium
NTT DATA Deutschland 14
1. Patchen
• Am 02.03. hat MS Patches bereit gestellt• Am 03.03. hat das BSI eine Warnmeldung heraus gegeben• Seit dem 03.03, werden die Schwachstellen massiv von min. 10 Hackergruppen
ausgenutzt• Die meisten Systeme wurde erst ab dem 04.03. aktiv angegriffen!
2. Absichern• Bereits am 02.03. standen EndPoint- und IPS-Signaturen zur Verfügung• http/s Zugriff auf Exchange blockieren
3. Prüfen
• Seit dem 02.03. stehen IoCs für das Thread Hunting zur Verfügung• Überprüfen auf Webshells, unerlaubte Nutzung von Systemtools,
Anmeldeversuche, …• Achtung: Keine Webshells zu finden, bedeutet nicht, dass sie nicht existierten!
4. Incident Response• Solange ein manipulativer Eingriff (Backdoor, Privilege Escalation) nicht
ausgeschlossen werden kann, bleiben Sie im Modus der „Incident Response!• Kein Anmeldung mit Admin-Privilegien an einem potentiell infizierten System!
Agenda
15NTT DATA Deutschland
Kurzvorstellung IT-Security Services @ NTT Data1. 3
Attackers Toolbox - Review 2018/19/202. 4
Ein typischer Angriffsverlauf und geeignete Schutzmaßnahmen3. 5
Under Attack4. 6
Lessons learned5. 7
Tag 1 – Impact (Ryuk)Einige Wochen nachdem Emotet implantiert wurde:• Trickbot wurde im Unternehmensnetzwerk entdeckt, hat aber bereits Domänenadminrechte und
scant seit Wochen die internen Datenbestände ab, überträgt Daten an den Angreifer und infiziertkritische Systeme
• Der Angreifer bemerkt seine bevorstehende Entdeckung und aktiviert die massive Reproduktionvon Emotet, z.B. mittels Mails aus allen infizierten Office-Systemen
• Der Firewall-Admin versucht die Kommunikation mit dem C&C-Server zu stoppen, kommt abernicht hinterher und trennt daraufhin die Internetverbindung
• Die MS Admins empfehlen einen kompletten Shutdown, das Management verlangt jedoch die Bereinigung der Systeme im laufenden Betrieb, um die Produktion nicht zu gefährden
• Schon vor Tagen hat der Angreifer RYUK nachgeladen und über Nacht werden nun alle aktivverwendeten Daten verschlüsselt (automatisiert, in Reihenfolge der Wichtigkeit) und die seitTagen bereits verschlüsselten Backups sind plötzlich nicht mehr transparent
• Bis zum nächsten Morgen sind alle Datenbestände verschlüsselt und es wird Lösegeld gefordert
Tag 2 – Catch the headless chickens
• Welche Daten und Systeme sind betroffen?• Von welchen Systemen und Daten existieren “saubere” Backups?• Zahlen oder nicht zahlen? Umgebung bereinigen oder alles neu aufbauen?• Neu aufbauen! Jedes einzelne System? Alles? Die Directory Services auch?• Welche Partner (Insitute, Lieferanten, Kunden, …) sind zu informieren?• Existieren behördliche Meldepflichten? Wer hat wen, wann zu informieren?• Warum sind wir schon in der Presse? Wer hat das bei Twitter gepostet??• Wir haben einen Notfallplan! Haben wir einen Notfallplan? Ist der noch aktuell?
1. Regel: Ruhe bewahren!2. Regel: Melden Sie sich niemals mit einem Admin-Account an einem infizierten System an,
während es noch mit dem Netzwerk verbunden ist!3. Wenn Sie nicht vorbereitet sind, holen Sie sich einen erfahrenen Partner an Ihre Seite!
Tag 3 – Start (der Wiederherstellung) nach Plan (falls es einen gibt)
Egal ob Lösegeld gezahlt wurde oder nicht:
• Das Netzwerk, alle Systeme, alle Accounts sind als infiziert einzustufen und nichtvertrauenswürdig
• Ob neben dem laufenden Betrieb oder harter Schnitt: Alle Systeme müssen neu installiert und alle Accounts neu erstellt werden. Alle Daten müssen entschlüsselt oder aus Backups wieder hergestellt werden. Dabei ist sicher zu stellen, dass nur saubere Backups wieder hergestellt werden. Einige Schutz-Systeme werden ausgetauscht werden müssen Wiederholen Sie in der Wiederherstellungsphase keine Fehler: Nutzen Sie die Gelegenheit und implementieren Sie ein Zero trust Model Segmentieren Sie das Netzwerk und prüfen Sie den Einsatz von Microsegmentierung Erhöhen Sie die Überwachungsfunktionen auf Ihre kritischen Systemen Überprüfen Sie Ihre Backup-Strategie
Day X – Welcome back (or not)
• Herzlichen Glückwunsch, Sie sind zurück aus der Hölle!• Jetzt ist Zeit für einen Review im Rahmen eines Lessons learned• Analysieren Sie was geschehen ist und alle Fehler die Sie gemacht haben• Zeigen Sie nicht mit dem Finger auf Kollegen die Fehler gemacht haben! Sie haben Ihnen nur
Ihre Schwächen (fehlende Trainings, Planung, Übungen, Technologien, …)• Aber am wichtigsten von allem: Ergreifen Sie die Chance und holen Sie Ihr Management an Bord.
Optimieren Sie Ihre Cybersecurity-Fähigkeiten. Reduzieren Sie die Wiederherstellungszeiten. Erstellen Sie mit dem gelernten einen besseren Notfallplan. Etablieren Sie ein CybersecurityMindeststandard in Ihrem Unternehmen, Behörde, Institut, …
• Holen Sie Ihr Management an Bord!
Agenda
20NTT DATA Deutschland
Kurzvorstellung IT-Security Services @ NTT Data1. 3
Attackers Toolbox - Review 2018/19/202. 4
Ein typischer Angriffsverlauf und geeignete Schutzmaßnahmen3. 5
Under Attack4. 6
Lessons learned5. 7
Erwarten Sie das schlimmste und seien Sie vorbereitet
• Seien Sie kein Opfer. Bereiten Sie sich vor!• Optimieren Sie Ihre cyber resilience (technologisch, organisatorisch und prozessual)• Sensibilisieren und trainieren Sie Ihre Administratoren• Erstellen Sie Notfallpläne, für den Notbetrieb und die Wiederherstellung• Installieren Sie Software-Updates• Verwenden Sie Multi-Factor-Authentication• Trennen Sie (mindestens) Ihr Office- und Admin-/Technik-Netz• Beschäftigen Sie sich mit Zero-Trust und Layered Defense
• Spielen Sie Angriffe & Datenflüsse am Infrastrukturschaubild oder am Whiteboard durch• Setzen Sie SIEM- und PAM-Systeme ein• Halten Sie Notfallrufnummern bereit• Beziehen Sie Ihr Management ein!• Bereiten Sie sich auf die nächste Angriffswelle vor!
Bleiben Sie vorbereitet
• Überprüfen und aktualisieren Sie regelmäßig die Sicherheitskonzepte, (für alle Systeme und Netzwerke in Ihrem Unternehmen in Zusammenarbeit mit dem IT-Betrieb.)
• Lassen Sie regelmäßig Netzwerkprüfungen und Penetrationstests durchführen, (um potenzielle Schwachstellen in Ihrem Netzwerk zu ermitteln.)
• Hinterfragen Sie Ihre Backup-Strategie (offline backups!),• Erstellen Sie Notfallpläne und halten Sie diese aktuell,• sensibilisieren Sie Ihre Mitarbeiter regelmäßig (insbesondere für den sorgfältigen Umgang mit
Dateianhängen und Links in E-Mails - auch von vermeintlich bekannten Absendern - sowie für die möglichen Gefahren von Makros in Bürodokumenten)
• und üben Sie den Notfall.
Vielen Dank für Ihre Aufmerksamkeit!
• NTT Data Incident Response & Forensics: [email protected]
• Strategic Cybersecurity Consulting: [email protected]