Embed Size (px)
Citation preview
Agenda
• Motivation
• Einordnung
• Penetration Testing
• Schwachstellen-Management
• Patch Management
• Fazit
Motivation
BedrohungslandschaftAbschnitte eines Angriffs
• Auskundschaften des Ziels und Erstellen von Exploits und Malware für
einen Angriff
• Kontakt zum Ziel aufbaunen und angreifen
• C&C (command & control) Zugang zur Brückenkopf-Malware bekommen
• Im Ziel-Netzwerk bewegen
• zu Geld machen
• so lange wie möglich bleiben
© F-Secure 4
BedrohungslandschaftAngriffsvektoren von Malware
A legitimate website is
compromised by an attacker
and consequently
contaminated by inserting
malicious content into it,
which then infects every
visitor going to the site.
CONTAMINATED
WEBSITE
An otherwise legitimate
website is infected though
hostile advertisements
originating from non-website
related independent 3rd
party ad-agencies, which
then contaminates visitors
by exploiting software
vulnerabilities.
INFECTED
ADVERTISEMENT
An authentic looking email
deceives the end-user to
open a seemingly genuine
attachment, which
contains an integrated
malware. Which through
software vulnerability or
exploit gains access to the
system.
CONTAMINATED
ATTACHMENT
An email from a seemingly
trusted or legitimate source
deceives the end-user to
follow a link to an external
website which contains
malicious software that
infects every visitor going
to the site.
MALICIOUS LINK
TO MALWARE
BedrohungslandschaftMalware-Angriff – Wie geht es weiter?
BACKDOOR
Malware contacts remote
server and deploys
additional malware,
ensuring multiple
backdoor and remote
access.
ACCESS
With access secured, the
attacker aims to escalate
privileges in order to gain
further access in the
network.
VULNERABILITY
But due to a vulnerability
from outdated software,
an integrated malware
payload is installed.
DATA
With access to most
confidential parts and files of
the network, the criminal
identifies most valuable data
and starts sending it to
external staging servers.
ESCAPE
Valuable data is then
extracted and send
forward. Attacker destroys
evidence and hides tracks,
but might leave a backdoor
for further access.
BedrohungslandschaftMalware-Angriff – Wie geht es weiter?
BedrohungslandschaftLaterale Bewegung
In order to find interesting stuff, attackers need to move
within the system.
• This means they need to be able to take over other
hosts
• Thus they need to crack the user or admin password
hash
• Once the attacker has the password he can use the
psexec or at command to execute files on remote
systems
• Another typical method is via remote login products
commonly used by IT
© F-Secure
BedrohungslandschaftAngriff "über die Bande"
Wenn mir gar nicht einfällt, warum
jemand mich angreifen sollte:
Manche Organisationen können nicht so
einfach angegriffen werden ...
... also werden zuerst schlechter
geschützte Partner angegriffen.
Überblick
EinordnungVorhersage – Prävention – Erkennung - Reaktion
Backup einspielen
Protokolle auswerten
Schwachstellen suchen
Anti-Virus IDS
Patchen Konfigurieren
Verschlüsseln
Segmentieren (Firewalls)
Segmentieren (Firewalls)
Normalbetrieb
Panik
Personalsituation
Es wird heute doppelt so
viel Personal mit
Kenntnissen in der
IT-Sicherheit gebraucht,
wie zur Verfügung steht.
Penetration Testing
Zertifikat Aussteller Beschreibung
CSEG CHECK Communications-Electronics Security
Group
Computer IT Health Check Service
ISC² CISSP International Information Systems
Security Certification Consortium
Certified Internet Security Systems
Professional
SANS GIAC System Administration, Networking
and Security Institute
Global Information Assurance
Certification
ISACA CISA Information Systems Audit and
Control Association
Certified Information Systems Auditor
CEH EC-Council Certified Ethical Hacker
OSCP Offensive Security Offensive Security Certified
Professional
... ... ...
CeLS Pentester Certified by Professionals Penetration Tester (IP) / (Web)
Zertifikationen im Bereich Penetrationstests
CeLS Pentester
• Zertifizierungs-Standard der IT-Community
• offen und herstellerunabhängig
• von IT-Experten und Unternehmen für IT-Experten und Unternehmen
• ganzheitlicher Nachweis
• fachliche Eigenschaften
• persönliche Eigenschaften
• Penetration Tester
• Themengebiete (fachliche Eigenschaften)
• Grundlagen
• Organisation
• Technik
CeLS PentesterSoft-Skills
für Penetration Testing als förderliche bewertete persönliche Eigenschaften
• Gewissenhaftigkeit
• Leistungsmotivation
• Problemlösefähigkeit
• Konzeptionelles Denken
• Lernbereitschaft
• Offenheit für neue Erfahrungen
PentestingAblauf nach BSI
1. Umsetzung IT-Grundschutzmaßnahmen
2. Qualitätssicherung
3. IS-Kurzrevision
4. ggf. IS-Webcheck
5. IS-Pentest
1. Vorbereitung
2. Einarbeitung
3. Testphase
1. Sicherheitsaudit
2. ggf. nicht-invasiver Schwachstellenscan
3. ggf. Einsetzen von Exploits
4. Berichtsphase
IS = IT-Sicherheit; IT = Informationstechnik
Pentestingpro/con
pro
• unbekannte Schwachstellen können gefunden werden
• sicherer Zustand wird ggf. bestätigt
contra
• Störung des Betriebs möglich
• Momentaufnahme
• Umgang mit den Ergebnissen nicht unproblematisch
Störung des Betriebs möglichBeispiel Fotokopierer
Schwachstellen-Management
Schwachstellen-ManagementAngriffsvektor - Soll
Schwachstellen-ManagementAngriffsvektor - Ist
Wie funktioniert es?
• Das Herz von
F-Secure Radar ist das
Radar Security Center, On-
Site oder Cloud-basiert.
• Das Radar Security Center
kommuniziert mit einem
oder mehreren Radar Scan
Nodes, die die
Schwachstellen-Scans
durchführen.
• Administratoren können
24/7 auf das Radar Security
Center zugreifen und von
überall über einen Web-
Browser Scans anstoßen.
© F-Secure
Radarüblicher Arbeitsablauf
Schwachstellen-ManagementFunktionen - Verwaltung
• hohes Maß an Automatisierung
• zentralisierte, einheitliche Schwachstellenberichte
• Schwachstellenmanagement und Ticketing
• API Schnittstelle für 3rd-Party-Integration
• manuelles Hinzufügen von Schwachstellen
Schwachstellen-ManagementFunktionen - Discovery-Scan
identifiziert Assets für Schwachstellenscans und überwacht Änderungen im
Netzwerk
• schneller, verlässlicher Port Scanner
• Service- und OS-Erkennung
• anpassbare Scangeschwindigkeit
Schwachstellen-ManagementFunktionen - System Scan
identifiziert Sicherheitsschwachstellen in Zusammenhang mit
Konfigurationsfehlern, fehlerhaften Patch-Management etc.
• scannt jedes IP-Netzwerkgerät
• identifiziert möglichst alle bekannten Schwachstellen
• wenige False Positives und False Negatives
• immer aktuell
• basierend auf öffentlichen Schwachstellen(-datenbanken)
Schwachstellen-ManagementFunktionen – Web Scan
Test für Web-Anwendungsschwachstellen
• scannt und entdeckt Schwachstellen innerhalb kommerzieller und
benutzerdefinierten Web-Anwendungen
• Tests für eine Vielzahl von Schwachstellen, einschließlich der OWASP Top10
• formular-basierte Authentifizierung
• Crawling von Web-Anwendungen
• Skalierbarkeit
Schwachstellen-ManagementFunktionen – Internet Asset Discovery
Entdecken externer, verletzbarer oder falsch konfigurierter Systeme
• verlassene oder Shadow IT-Systeme
• Malware-infizierte Webseiten
• Assets, die durch Hosts eng einer Website verbunden sind
• Überwachen von Phishing und Brand-Verstößen, um Marken und geistiges
Eigentum zu schützen
• Auditieren der Praktiken von Service Providern
Radar Security Center
Patch-Management
Warum Patch-Management?
75% der
Angriffe auf
Anwendungs-
EbeneGartner Research
Warum Patch-Management?
4 von 5 Cyber-Angriffen auf
Unternehmen erfolgen mittels
Bugs in veralteter Software.
Die meiste Malware könnte
mit aktueller Software
vermieden werden.
• Viele Angreifer arbeiten mit Exploit-Kits
• Ein Exploit-Kit ist ein fertiges Angriffswerkzeig, das verbreitete,
verwundbare Programme angreift und Kompromittiert
• Flash
• Java
• Silverlight
• Acrobat PDF
• Über das Exploit-Kit wird der
Browser übernommen und Malware
auf dem Computer platziert
F-Secure
Exploiting The Browser(Threat Landscape)
© F-Secure
Hersteller mit Patches für Sicherheitslücken
7-Zip - Acro Software - Adobe - AIMP DevTeam - AOL Inc - Apache Software Foundation - Apple - Arduino LLC - AT&T - Atlassian - Audacity - Autodesk -Bandicam Company - Blue Jeans Network, Inc. - Bluebeam Software, Inc. -
Botkind, Inc. - Box.com - CDBurnerXP - Cisco - Citrix - Classic Shell -Code4ward.net - CoreFTP - dotPDN LLC - Dropbox - EMC - Evernote Corporation - FileZilla - Foxit Corporation - Gimp.org - GlavSoft - Google - Greenshot - Gretech
Corp - Hewlett-Packard - Inkscape - IrfanView - JAM Software - Juraj Šimlovič -KeePass - LibreOffice - Lightning UK - LogMeIn, Inc. - Malwarebytes Corporation -Microsoft - Mozilla Foundation - Neevia Technology - Nitro Software, Inc. - Nmap
Project - Notepad++ - Nullsoft - NVIDIA Corporation - Opera Software ASA -Oracle - PDFForge - PeaZip - Pidgin - Piriform - Plex, Inc - Prezi Inc -
Programmer's Notepad - PSPad - Quest Software, Inc. - Rarlab - Real - RealVNC- Research In Motion - Salesforce.com, inc. - Scooter Software, Inc. - Shavlik -
Siber Systems - Simon Tatham - Skype Technologies S.A. - Slack Technologies -SlySoft - Splunk - Sublime HQ Pty Ltd - Sun Microsystems - TeamViewer GmbH -TechSmith - Telerik - Thingamahoochie - TortoiseGit - TortoiseHg - TortoiseSVN -
Tracker - UltraVNC - VideoLAN - VMware - WinSCP - WinZip - WiresharkFoundation - XMind Ltd - XnSoft - Yahoo
Zeitnahes Ausnutzen von Sicherheitslücken
• Bekannte Schwachstellen in Software werden kurz nachdem ein Update
zur Verfügung steht im großen Stil ausgenutzt (Reverse Engineering)
• 85% aller Schwachstellen werden in Fremdprodukten angegriffen und sind
somit außerhalb des Einflussbereichs eines WSUS-Servers
Software UpdaterEinsatzmöglichkeiten
• vollautomatisch
• Monitoring
• Monitoring + einzelne Maßnahmen
• schnelle Reaktion auf Malware etc.
• Sicherheits-Updates automatisch
+ Monitoring
+ einzelne Maßnahmen
Software UpdaterEinsatzmöglichkeiten
zentrales
Monitoring
automatische
Installationzentrale Installation
Installation durch Dritte
manuell automatisch
Monito
ring
Insta
llatio
n
Software UpdaterHauptfunktionen
• Automatische Durchführung von Sicherheits-Updates
• Möglichkeit, Ausnahmen zu definieren (z.B. Java Installationen)
• Installation von fehlenden Updates
• Verwaltung auch von Nicht-Microsoft-Produkten
• zentrale Verwaltung
• Integration in Client Protection und Server Protection
Software-UpdaterAnforderungen
• Scannt und berichtet fehlende Updates für Software von Drittanbietern und implementiert Sicherheits-Updates automatisch
• Installation fehlender Updates und Patch-Management für Windows und Produkte von Drittanbietern
• Regelmäßiger Download von Definitionsdateien, einschließlich Informationen zu Software-Updates
• Gleicht diese mit der installierten Software ab und identifiziert fehlende Updates
• Gibt Ihnen die Möglichkeit, Ausnahmen für den automatischen Modus auf der Grundlage von Software-Namen oder Bulletin-IDs zu definieren
• Usability: Z.B. Ausnahmen können über die Konsolenoberfläche gefiltert werden, um Chaos zu vermeiden
• Performance: Mit einem Proxy wird der Internet-Traffic verringert, indem Software-Updates zwischengespeichert werden
Fazit
PersonalsituationKonsequenz
• Personal-Sharing
• SaaS
• Security as a Service
Fazit
• Jeder wird angegriffen.
• Je besser Sie sich vorbereiten, desto weniger müssen Sie aufräumen.
perComp empfiehlt, vorzubeugen:
• Sichern
• Rechte einschränken
• Schützen
• Schwachstellen minimieren
• Protokollieren
• Benutzer sensibilisieren
Fragen?
Danke!
