UsingThreat Intelligence to ImproveYour Cyber Resilience · Cyber Resilience Dirk Beste, Principal Sales Engineer/Technisches Gewissen Georg Ahbel, Sales Director ... Large-scale

Using Threat Intelligence

to Improve Your

Cyber Resilience

Dirk Beste, Principal Sales Engineer/Technisches Gewissen

Georg Ahbel, Sales Director

Viktor Ziegler, Manager Channel Sales

COPYRIGHT © 2019 LASTLINE, INC. ALL RIGHTS RESERVED. 22

Weltweit führende Sicherheitsexperten

4 der 11 führenden Professoren im

Bereich Sicherheit

Über 15 Jahre Forschung im Bereich

Malware-Erkennung und -verhalten

Forschungsbereiche:

Web Traffic Analyse

Large-scale Netflow Analyse

Erkennung von Evasive Malware

Statische und dynamische Analyse

Ranking http://s3.eurecom.fr/~balzarot/notes/top4/index.html

Christopher

Kruegel

Giovanni

Vigna

Engin

Kirda

http://s3.eurecom.fr/~balzarot/notes/top4/index.html


Lastline – Vergangenheit und Zukunft

Angewandte Forschungsprojekte als Grundlage: Anubis

Wepawet

Erstklassige Sandbox, auch von vielen OEMs verwendet

Heute Network Threat Analytics mit KI Unterstützung

Der heilige Gral der IT-Security: voll automatisierte Systeme Nord-Süd Erkennung (ein und ausgehende E-Mail‘s und Web) funktioniert

heute gut, weitgehend automatisiertes Blocken zumindest bei E-Mails gängig

Ost-West Erkennung, Lateral Movement (Ausbreitung im Kundennetzwerk) noch nicht

Incident Response


Was ist Threat Intelligence (TI) ?

Es gibt organisatorische und technisch erworbene TI

Basiert auf IoC’s – Indicator of Compromise

CART

Complete - Komplett

Accurate - Genau

Relevant - Relevant

Timely - Zeitnah


Was ist Cyber Resilience (CR) ?

Cyber Resilience: Wenn Sicherheitskontrollen

fehlschlagen, können Sie ungewöhnliches und

unregelmäßiges Verhalten mit ausreichendem Kontext

erkennen, um das Risiko für die Organisation zu

verstehen?

https://en.wikipedia.org/wiki/Cyber_resilience

https://en.wikipedia.org/wiki/Cyber_resilience


Cyber Resiliency heißt:

Verlust von geistigem Eigentum vermeiden

Verlust von regulatorisch kontrollierten Daten vermeiden

Erhaltung der Einsatzfähigkeit


Cyber Resilience benötigt vollständige Sichtbarkeit

C & C

COMMUNICATION

REDIRECT TO

EXPLOIT URL

Data

Exfiltration

DRIVE-BY

EXPLOIT KIT

AngreiferMitarbeiter

INTERNAL RECON

PORT SCANS

ASSET

DISCOVERY

PRIVILEGE

ESCALATION

RDP

PROTOCOLLARGE

FILE

UPLOAD

ENGINEERING

MACHINE

ENGINEERING

CODE SERVER

Maliziöser

Download


Bitkom - Angriffehttps://www.bitkom.org/Bitkom/Publikationen/Wirtschaftsschutzstudie-2018.html


Bitkom –Angreifer und Schädenhttps://www.bitkom.org/Bitkom/Publikationen/Wirtschaftsschutzstudie-2018.html


Die Wahrscheinlichkeit eines Data Breaches erhöht sich

SOURCE: PONEMON

Über 12000 Data Breach Notifications seit Einführung

bis Ende Januar 2019


Wohin geht die Reise?


Suche in der Lastline Intelligence und Ergebnisse

Strategisch - Taktisch

Extern - Intern


Negative Erfahrungen mit externer TI






Meinungen aus der Branche

Interne TI-Daten

gewinnen an

Bedeutung

Mitarbeiter können mit

den externen Daten

nicht umgehen

Nicht relevante IoCs

Zu viel Volumen

Triage Blindheit

Tiefhängende Früchte


Die allerwertvollste

Intelligenz befindet sich im

eigenen Netzwerk


Wozu noch externe TI? CISO Metriken

What is the encounter rate for orgs of my size/industry/region?

What is the expected resilience rate. vs normalized?

How do I encounter threats vs normalized?

What is the capacity of the threats vs normalized?

How do I compare?

2018 MalscapeMonitor Report


Global Malscape Findings

Angreifer verwendeten über 40 Dateitypen, um Unternehmen anzugreifen

1 von 500 Angriffen infiltrieret die Unternehmen

Sie sind Patient 0 in 65% der der Angriffe

1 von 12 Bedrohungen zeigten erweiterte Fähigkeiten

90% der Detektionen sind generisch und werden auch genauso generisch behoben

Bedrohungskampagnen sind von Geographie zu Geographie sehr unterschiedlich


Kundenvergleich


Maliziöse Ergebnisse anhand des Payload Typs

NE3 NE5


Namensgebung von Malware


Unclassified und Undetected

Transformation zu

interner Threat

Intelligence zur

taktischen Verwendung


Analyse auf VirusTotal Tag 1


Analyse auf VirusTotal Tag 12


Magchris.ga


Interne und externe Intelligenz


Advanced Cyber Defence

Delivery Exploitation CnC Credentials Discovery Lateral Collection Exfiltration

Artificial Intelligence

Behavioral Intelligence

Threat Intelligence

Modelling Countermeasure

Integration


AI Done Right - Last Line of Defence

Netzwerk Verkehr

Künstliche

Intelligenz

Normale Aktivität

& für gut befundene Dateien

Ungewöhnliche

Aktivitäten

& verdächtige

Dateien

Besiegt Advanced Threats

Eliminiert False Positives

Zeigt die Angriffskette

Zeigt die Verbreitung

False Positives

Künstliche Intelligenz

Mit Bewusstsein über gelerntes

Malware Verhalten


Zusammenfassung

Wozu brauche ich diese Informationen?

Informationsgewinnung, die CART ist

Füttern von existierenden Drittsystemen

Proxies, Firewall, Mailgateways, NAC etc

Liefert wichtige Informationen für das eigene SOC

Auch in Kombination mit Controlware CDC

Cyber Defense Service

=> Erhöht die Cyber Resiliency

Fragen?

Danke für Ihre

Aufmerksamkeit!

Documents

UsingThreat Intelligence to ImproveYour Cyber Resilience · Cyber Resilience Dirk Beste, Principal Sales Engineer/Technisches Gewissen Georg Ahbel, Sales Director ... Large-scale