Vom “Need-to-Know” zum “Need-to-Share”itsecx.fhstp.ac.at/wp-content/uploads/2013/11/Kiesling-Tobias_Keynote.pdf© 2013 Cassidian Cybersecurity - All rights reserved Einleitung

@

© 2013 Cassidian Cybersecurity – All rights reserved

Cyber-IntelligenceVom “Need -to-Know” zum “Need -to-Share”

ITSecX, St. Pölten, 08.11.2013

Dr. Tobias Kiesling, Cassidian CyberSecurity<[email protected]>

© 2013 Cassidian Cybersecurity - All rights reserved

EinleitungWandel im Bereich der Cyber-Sicherheit

� Erhöhung der öffentlichen Wahrnehmung zum Thema Cyber-Sicherheit� Vielzahl von Vorfällen� Politische Initiativen auf EU- und nationaler Ebene� NSA-Skandal!

� Deutlicher Wandel der Bedrohungslage in den letzten Jahren� Früher: Viele ungezielte Angriffe mittels Viren und Würmern� Jetzt: Bedrohungen gehen mehr von organisierten Akteuren aus

� Notwendigkeit für eine umfassende und übergreifende Behandlung des Themas Cyber-Sicherheit

08.11.2013Cyber-Intelligence // Dr. Tobias Kiesling

// Page 3


EinleitungDominanz organisierter Akteure

� Organisierte Kriminalität und Staaten als Hauptakteure� Verfügbarkeit von Ressourcen� Zeithorizonte� Professionalität

// Page 4Cyber-Intelligence // Dr. Tobias Kiesling

08.11.2013

Quelle der Daten: Verizon – 2013 Data Breach Investigations ReportQuelle der Daten: Mandiant – M-Trends Report 2013 sowie eigene Daten CCS

0 20 40 60

Sonstige/Unbekannt

Einzeltäter

Staatlichgesponsort

OrganisierteKriminalität

Finanziell

Spionage

Sonstige

317

243

CCS Mandiant

Ent

deck

ungs

daue

r in

Tag

en


37%

42%

15%

2%

Quelle der Entdeckung von Einbrüchen

Intern erkannt

Von Strafverfolgung

Von Lieferanten

Von Kunden

EinleitungEntdeckung von Einbrüchen

� Rund zwei Drittel der Einbrüche auf Grund von externen Hinweisen erkannt


08.11.2013

Quelle der Daten: Mandiant – M-Trends Report 2013


EinleitungProfessionalisierung


08.11.2013


Gliederung

� Einleitung� Advanced Persistent Threats� Cyber Intelligence� Threat-Indikatoren� Strategische Lagebilder� Fazit


08.11.2013


Advanced Persistent Threats

• Nutzung ausgeklügelter Technologien und VorgehensweisenAdvancedAdvanced

• Missions-Orientierung des Angreifers; Langfristige Zielverfolgung; Infektion und Re-Infektion

PersistentPersistent

• Zielgerichtete und kontrollierte Bedrohung; kein wildes Verbreiten von Malware

ThreatThreat


08.11.2013

Begriff


Advanced PersistentThreatsVorgehensmodell


08.11.2013

Quelle: http://www.secureworks.com/cyber-threat-intelligence/advanced-persistent-threats/understand-threat/(Veröffentlicht unter Creative Commons Public License (CCPL) Attribution-ShareAlike -- siehe http://creativecommons.org/licenses/by-sa/3.0/legalcode)


Advanced Persistent ThreatsKonsequenzen für den Verteidiger

� Ganzheitliche Cyber-Sicherheit als kontinuierlicher zyklischer Prozess mit Einbindung in unternehmerisches Risikomanagement und Enterprise-Architekturen

� Kenntnis gegnerischer Strategie, Technik und Taktik notwendig


08.11.2013

Wenn du deinen Gegner und dich selbst kennst, brauchst du dich vor einhundert Kämpfen nicht zu fürchten.

Wenn du dich selbst kennst, nicht aber deinen Gegner, wirst du zu jedem Sieg auch eine Niederlage erfahren.

Wenn du weder dich selbst noch deinen Gegner kennst, wirst du jede Schlacht verlieren.

-- Sun Tzu, „Die Kunst des Krieges“


Gliederung



08.11.2013


Cyber IntelligenceBegriffsbestimmung

� Definition nach CMU-SEI1

„The acquisition and analysis of information to identify, track, and predict cyber capabilities, intentions, and activities that offer courses of action to enhance decision making.“

� Verbesserung der Entscheidungsfindung [in Bezug auf Handlungsoptionen im Bereich Cyber-Sicherheit]

� durch Identifikation, Verfolgung, Vorhersage von [gegnerischen]Fähigkeiten, Absichten und Aktivitäten im Cyber-Bereich

� mittels Sammlung und Analyse von Informationen


08.11.2013

1 T. Townsend, M. Ludwick, J. McAllister, A. O. Mellinger, K. Ambrose Sereno: SEI Emerging Technology Center: Cyber Intelligence Tradecraft Project – Summary of Key Findings. CarnegieMellon Software Engineering Institute. 2013.

Auch als Threat Intelligence bezeichnet


Cyber IntelligenceEinteilung der Nutzung


08.11.2013

Threat Intelligence

Management

Security Operations

Environment

Strategic Analysis

Functional Analysis

Data Gathering


Cyber IntelligenceNeed-to-Share

� Funktionale und strategische Analyse� Aufwand, Know-How, Analysefähigkeiten� Von einzelnen Organisationen i.d.R. nicht leistbar

� Datensammlung� Global agierende Bedrohungen � isolierte

Datenbasis ungenügend� Organisationsübergreifender Datenabgleich nötig

� Aber Realisierung des Austausches schwierig� Rechtliche Regelungen, Datenschutz� Vertraulichkeit firmeninterner Daten� Wirtschaftlicher Wert von Daten


08.11.2013

Need-to-Share

Need-to-Know

?


Cyber IntelligenceKategorisierung


08.11.2013

Funktional/Taktisch: Threat-Indikatoren

Funktional/Taktisch: Threat-Indikatoren

• Detailcharakteristiken von Threats für Detektion & Analyse auftretender Bedrohungen

• Manuell oder (teil-) automatisiert

• Bei vielen Tool-Herstellern Teil des Geschäftsmodells

Strategisch: Lagebilder

Strategisch: Lagebilder

• Unternehmen: Nutzung im Rahmen des Risiko-Managements

• Politik: Grundlage für politische Entscheidungen

• Aggregation einer größeren Datenbasis

• Qualitative und v.a. quantitative Aspekte


Gliederung



08.11.2013


Threat-IndikatorenEin Angriffsmodell: Die Cyber Kill Chain


08.11.2013

Steigendes Risiko und Kosten für Response


� Ist-Stand: Bedrohung meist erst spät erkannt

� Besser: frühere Erkennung und einfachere Response

Threat-IndikatorenDie Cyber Kill Chain attackieren


08.11.2013

DetektionAnalyse

DetektionAnalyse Synthese


Threat-IndikatorenThreat Indicators

� Charakteristiken von Bedrohungen

� Zuordnung zu einzelnen Phasen der Kill Chain

� Nutzung für spätere Detektion und Analyse

� Beispiel� Spear Phishing Attacke� E-Mail mit maliziösem

PDF-Dokument im Anhang

� Mehrere Empfänger

Phase Indikator

Reconnaissance [Empfängerliste]Datei: tcnom.pdf

Weaponization Verschlüsselungsalgorithmusund Schlüssel

Delivery dn…[email protected]: 60.abc.xyz.215Betreff: AIAA Technical Com[Email body]

Exploitation CVE-2009-0658[shellcode]

Installation C:\...\fssm32.exeC:\...\IEUpd.exeC:\...\IEXPLORE.hlp

C2 C2-Server-IP: 202.abc.xyz.7

Actions N/A


08.11.2013

Beispiel aus: E.M. Hutchins, M.J. Cloppert, R.M. Amin: Intelligence-Driven Computer Network Defense – Informed by Analysis of Adversary Campaigns and Intrusion Kill Chains; Lockheed Martin Corporation, 2009.


Threat-IndikatorenVergleich von Indikatoren


08.11.2013

Ang

riff 1

Ang

riff 2

Zie

l AZ

iel B

Ver

schl

üs-

selu

ng

Que

ll-IP

She

llcod

e-H

ash

Dat

eina

me

Pro

toko

ll

Pas

swor

t-D

iebs

tahl


Threat-IndikatorenThreat-Indikatoren: Need -to-Share

� Ansatz des Indikatoren-Vergleichs funktioniert v.a. bei ausreichender Datenbasis� Austausch bringt direkten Mehrwert� Indikatoren alleine nicht sehr nützlich � Kontext!

� Aber: Vertraulichkeit und Datenschutz� Beispiel: E-Mail-Body, Attachments, E-Mail-Adressen, aber auch:

IP-Adressen und evtl. Dateipfade� Manueller vs. automatisierter Austausch

� Reichen aktuelle Anreize für Informationsaustausch aus?


08.11.2013


Threat-IndikatorenIndicators of Compromise: Need -to-Know

� Beispiele derzeitiger Nutzung� Bsp.: Indicators of Compromise von Mandiant, Snort-Regeln� Hauptsächlich proprietäre-Ansätze – allenfalls Pseudo-Standards

� Anreize durch Einbindung des Austausches in Geschäftsmodelle

� Probleme in aktuellen Ansätzen� Keine ausreichende inhärente Berücksichtigung des Datenschutzes� Länderspezifische rechtliche Regelungen und komplexe

Vertrauensbeziehungen erlauben keine „One-size fits all“-Lösung


08.11.2013

Aufbrechen proprietärer Ansätze essentiell notwendig


Gliederung



08.11.2013


Strategische LagebilderGrundlagen und Einsatzbereiche

� Strategische Entscheidungsgrundlage� Wirtschaftlich: Investitionsentscheidungen

und Risk-Management� Politisch: politische Inititiativen,

Gesetzgebung, Förderung

� Meist unter großem Aufwand manuell erstellt� Lagebild Cybercrime des deutschen BKA� Diverse Studien und Berichte zur Cyber-

Sicherheit (z.B. Verizon DBIR, IBM X-Force-Report, uvm.)

� Wünschenswert wäre stärkere Automatisierung


08.11.2013


Strategische LagebilderBsp.: Sicherheitstacho der Deutschen Telekom


08.11.2013

Que

lle: h

ttp://

ww

w.s

iche

rhei

tsta

cho.

eu/


Strategische LagebilderNeed-to-Share

� Ausreichende Datenbasis notwendig� Sammeln der Daten über Organisationsgrenzen hinweg� Vertrauen als Grundlage für den Datenaustausch� Anreize für Datenbereitstellung?

� Gesetzliche Meldepflichten in der EU� Verpflichtung zur Meldung von Vorfällen� Angestoßen auf EU-Ebene durch NIS-Direktive des EU-

Parlamentes vom Februar 2013� Umsetzung in Gesetzen der Mitgliedsländer wird folgen� Aber: Details der technisch/organisatorischen Umsetzung offen

� Umsetzung sollte wirtschaftliche Interessen der Unternehmen berücksichtigen


08.11.2013


Strategische LagebilderBeispiel: Cyber-Sicherheitslagebild des BSI

� Aufgabenbereich laut BSI� Nationales, dynamisches, neutrales, objektives und

belastbares Lagebild� Info-Quellen: BSI-intern, Hersteller, Dienstleister, CERTs, offene Quellen� Bereitstellung von Analysen, Maßnahmen und Handlungsempfehlungen an

Teilnehmer der Allianz für Cybersicherheit

� Status� Durchführung Proof-of-Concept� Anforderungserhebung und Entwurf des Lagebildes

� Hoher Anspruch des Lagebildes als „One-Size Fits All“-Lösung –Realistisch oder nicht?


08.11.2013

Alternativ: Schaffung eines Ökosystems durch Öffnun g von Schnittstellen


Gliederung



08.11.2013


FazitZusammenfassung und Schlussfolgerungen

� Veränderung der Cyber-Bedrohungslage: langfristig angelegte, zielgerichtete, und finanziell gut ausgestattete Bedrohungen

� Erfolgreiche Verteidigung benötigt Verständnis des Angreifers in Strategie, Taktik und Techniken

� Cyber Intelligence: Informationsgewinnung zu Bedrohungen� Nutzung auf strategischer und taktischer Ebene erfordert

Austausch von Daten über Organisationsgrenzen hinweg

� Dies ist inhärent in aktuellen technischen, wirtschaftlichen und politischen Entwicklungen zu berücksichtigen


08.11.2013

„Need-to-Share“ muss mit „Need-to-Know“ vereinbart werden – insbesondere in Bezug auf Vertraulichkeit und Datenschutz

Documents

Vom “Need-to-Know” zum “Need-to-Share”itsecx.fhstp.ac.at/wp-content/uploads/2013/11/Kiesling-Tobias_Keynote.pdf© 2013 Cassidian Cybersecurity - All rights reserved Einleitung