Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

© 2012 IBM Corporation © 2014 IBM Corporation IBM Security Systems Advanced Persistent Threat Demo.

Ähnliche Präsentationen


Präsentation zum Thema: "© 2012 IBM Corporation © 2014 IBM Corporation IBM Security Systems Advanced Persistent Threat Demo."—  Präsentation transkript:

1 © 2012 IBM Corporation © 2014 IBM Corporation IBM Security Systems Advanced Persistent Threat Demo

2 © 2012 IBM Corporation © 2014 IBM Corporation Spionage, Aktivismus Wettbewerber und Hacktivisten Aurora Die Motivation für Angriffe wächst stetig Monetärer Nutzen Organisiertes Verbrechen Zeus Rache, Neugierde Insider und Script-kiddies “I love you” Nationale Sicherheit Staatliche Akteure Stuxnet 2

3 © 2012 IBM Corporation © 2014 IBM Corporation Was sehen wir heute? 2013 X-Force Mid-Year Trend & Risk Report Threats and Activity Operational Security Emerging Trends  40% Wachstum der Angriffe in 2012  Raffinesse ist keine Frage der Technologie  SQL Injection, DDoS, Phishing Aktivitäten gegenüber 2012 gestiegen  Java bedeutet: Infiziere so viele Systeme wie möglich  Software vulnerability disclosures in 2012 gestiegen  Web Application vulnerabilities steigen  XSS vulnerabilities highest ever seen mit 53%  Plug-Ins für Content Management Systeme bieten ein leichtes Ziel  Social Media werden für ausgefeilte Spear-Phishing Techniken genutzt  Trend 2014: Mobile Devices sicherer als traditionelle Computer  Angriffe werden immer komplexer und gezielter 3

4 © 2012 IBM Corporation © 2014 IBM Corporation Welche Aussagen treffen andere Trend-Reports? Integralis „Advanced Persistent Threats stellt in Zukunft eine der größten Gefahren für Unternehmen und staatliche Einrichtungen dar.“ Fraunhofer SIT Darmstadt „Wichtige IT Trends: Cybersecurity – Angreifer sind organisiert, finanziell und politisch motiviert und ressourcen-mächtig.“ ISACA „Weltweite Erhebung zur Internet-Sicherheit“ „...meinen 94 Prozent, dass APTs eine ernste Gefahr für die nationale Sicherheit und wirtschaftliche Stabilität darstellen. Dennoch setzen die meisten Unternehmen ineffiziente Technologie zu ihrem Schutz ein.“ 4

5 © 2012 IBM Corporation © 2014 IBM Corporation Umgehung von Schutzmechanismen durch raffinierte Techniken Advanced Persistent Threat ist die meist genutzte Vorgehensweise von professionellen Hackern Motivation Standard Programme und TechnikenHochentwickelte Methoden und Techniken Cyber Kriminalität Vandalismus  Existierende Exploit- und Malware-Kits  Botnet Baukasten  Spam und DDoS Cyber Kriminalität Hacktivismus  Wirtschaftlich motivierte, gezielte Attacken  DDoS Attacken Cyber Spionage Cyber Krieg Cyber Kriminalität Cyber Spionage  Advanced Persistent Threat  Staatlich geförderte, gut organisierte Teams 5

6 © 2012 IBM Corporation © 2014 IBM Corporation Was ist ein „Advanced Persistent Threat“? Advanced Persistent Threat Nutzt unbekannte (“Zero-Day”) Schwachstellen aus Fortschrittliche, angepasste Schadsoftware wird nicht von Anti-Viren Programmen erkannt Koordinierte, recherchierte Angriffe nutzen mehrere Vektoren Angriffe dauern Monate oder Jahre (durchschnittlich: 1 Jahr, höchstens: 4,8 Jahre) Angreifer haben ihr Ziel fest im Auge – und werden es erreichen Visiert spezielle Personen und Gruppen einer Organisation an Darauf ausgerichtet, vertrauliche Informationen zu kompromittieren Keine wahllosen Angriffe – „Sie sind das Ziel“ 6

7 © 2012 IBM Corporation © 2014 IBM Corporation Angreifer verfolgen eine 5-Phasen Strategie Zugang verschaffen Festsetzen Command & Control (CnC) Sichten Sammeln Herausbefördern Command & Control (CnC) “Spear Phishing” und “Remote-Exploits” um Zugriff zu erlangen Schadsoftware und “Hintertüren” werden installiert Ausspähung und Ausbreitung um Präsenz zu erhöhen Beschaffung und Aggregation von wertvollen Daten Datenübertragung nach Extern 7

8 © 2012 IBM Corporation © 2014 IBM Corporation Phase 1: Zugang verschaffen Ziel Mechanismen Durchführung Identifikation, über welche Schwachstelle und Person man sich in das Zielnetzwerk Zugang beschafft  Spear Phishing  Watering Hole Attacks  Drive-By Attacks  Informationsbeschaffung über Social Media  Profilerstellung zur Identifikation des Angriffs-Opfers  Einbruch über eine vermeintlich vertraute Kommunikation 8

9 © 2012 IBM Corporation © 2014 IBM Corporation Vorbereitende Recherchen Identifizierung Profiling Kontaktaufnahme Social Media zur Informationsgewinnung Gläserne Identität  Verhaltensweisen  Bekanntschaften  Kommunikations- präferenzen Erstellung von Personen-Profilen auf Basis der Social Media Informationen Individuelle Kontaktaufnahme, die eine Malware Falle beinhaltet 9

10 © 2012 IBM Corporation © 2014 IBM Corporation Live Demo Ablauf des Angriffs 10

11 © 2012 IBM Corporation © 2014 IBM Corporation Angriffsszenario – Phase 1: Zugang verschaffen Unternehmensnetzwerk DMZ Internet 11 Network IPS Guardium Identity Manager QRadar

12 © 2012 IBM Corporation © 2014 IBM Corporation Mail an das identifizierte Opfer  Bekannter Absender  Möglichst allgemeingültige Aussage  Kommunikationsstil möglichst angenähert an die normale Verhaltensweise  Maskierte Links oder Anhänge Demo 12

13 © 2012 IBM Corporation © 2014 IBM Corporation Getarnter Kommunikationsaufbau von Innen  Auf Basis des „Social Engineering“ wird durch Vortäuschung glaubwürdiger und harmloser Absender- Informationen der Kommunikationsaufba u initiiert  Nur schwer erkennbare Fake- Situation Demo 13

14 © 2012 IBM Corporation © 2014 IBM Corporation Getarnter Kommunikationsaufbau von Innen  Durch die von Innen aufgebaute Kommunikation bekommt der Hacker Zugriff auf den Rechner der Zielperson  Der erste Einbruch ist durchgeführt  Das Opfer wird auf eine korrekte Seite umgeleitet, um den Angriff zu tarnen Demo 14

15 © 2012 IBM Corporation © 2014 IBM Corporation Gegenmaßnahmen für Phase 1 MailverkehrAufruf des Links Vorbeugung & Reaktion IBM Protector  URL-Analysen für Phishing- und Spyware-Erkennung IBM Security Network Protection, XGS  Überwachung und mögliche Unterdrückung der Kommunikation IBM QRadar  Überwachung der Netzwerkkommunikation über Flow Analysis IBM Trusteer Apex  Anwendungsüberwachung Awareness Etablierung vorbeugender Security- Policies im Unternehmen IBM Endpoint Manager  Systems Management 15

16 © 2012 IBM Corporation © 2014 IBM Corporation Wie erkenne ich den Einbruch? Offenses  Sicht der schwerwiegendsten Vorfälle  Korrelierte Sichtweise  Das bösartige Applet wurde akzeptiert und heruntergeladen („Exploit“) IBM QRadar Dashboard Demo 16

17 © 2012 IBM Corporation © 2014 IBM Corporation Wie erkenne ich den Einbruch? 17

18 © 2012 IBM Corporation © 2014 IBM Corporation Wie erkenne ich den Einbruch?  Auch andere Log-Quellen (XGS, Windows,..), die out-of-the-box korreliert wurden, werden angezeigt  Zur Kommunikation nutzt der Hacker Ports, die standardmäßig nicht für SSL verwendet werden Detailansicht des Angriffs 18

19 © 2012 IBM Corporation © 2014 IBM Corporation Wie erkenne ich den Einbruch?  Neben den Events werden auch die berücksichtigten Flows angezeigt Detailansicht des Angriffs 19

20 © 2012 IBM Corporation © 2014 IBM Corporation Was passiert, wenn ich automatisiert aktiv eingreife?  XGS kann nicht nur den Angriff melden, sondern auch aktiv blocken  Der Anwender sieht dann die Webseite ohne den inkludierten Schadcode  Die XGS loggt das Blocken des Schadcodes, was QRadar so mitgeteilt wird 20

21 © 2012 IBM Corporation © 2014 IBM Corporation Phase 2: Festsetzen Ziel Mechanismen Durchführung Erlangen und Tarnen von Accounts mit möglichst weitreichenden Rechten und mehreren Zugangsmöglichkeiten (Backdoors) zu der Angriffs-Umgebung  Platzieren von Trojanern  Installieren von Root-Kits  Vulnerability Scanning  Suche nach weiteren Rechnern, auf denen der Hacker sich festsetzen kann  Nutzung von vorhandenen und gefundenen Accountdaten vom infizierten Rechner Command & Control (CnC) 21

22 © 2012 IBM Corporation © 2014 IBM Corporation Angriffsszenario – Phase 2: Festsetzen Unternehmensnetzwerk DMZ Internet 22

23 © 2012 IBM Corporation © 2014 IBM Corporation Anlegen weiterer Accounts Demo 23

24 © 2012 IBM Corporation © 2014 IBM Corporation Gegenmaßnahmen für Phase 2 NetzwerkverkehrSystemen Vorbeugung & Reaktion IBM Security Network IPS IBM Security Network Protection IBM QRadar QFlow Analysis  Erkennen von anomalem Verhalten und Vorgehen auf den Netzwerken IBM Trusteer Apex  Blockieren von unerlaubtem Abspeichern von Dateien auf den Endgeräten IBM Identity Management  Überwachung von Benutzern und unerlaubten Berechtigungsänderungen IBM Endpoint Manager  Patch Management Virenscanner  Erkennen von kompromittierten Maschinen Vulnerability Management  Absicherung unternehmensinterner Anwendungen 24

25 © 2012 IBM Corporation © 2014 IBM Corporation Erkennen von Berechtigungsänderungen im Security Identity Manager  Im Identity Management System wird angezeigt, dass ein Account existiert, der nach den vorgegebenen Regeln nicht vorhanden sein dürfte  Es kann definiert werden, wie mit dem Account umzugehen ist 25

26 © 2012 IBM Corporation © 2014 IBM Corporation QRadar – Dynamische Offense nach dem Befehl „Account anlegen“ Administrative Benutzer wurden angelegt („Suspicious Host Activity“) Aktualisierte (erweiterte) Offense Ursprüngliche Offense Demo 26

27 © 2012 IBM Corporation © 2014 IBM Corporation QRadar – neue korrelierte Detailansicht der Offense 27

28 © 2012 IBM Corporation © 2014 IBM Corporation Phase 3: Sichten Ziel Mechanismen Durchführung Identifizierung von Daten oder Infrastrukturen, die für den Hacker oder seinen Auftraggeber von Interesse sind  Network Scanning  Sniffing  Port/Host Scanning  Suchen der vorhandenen Systeme und interessanten Datenquellen  Erstellen eines Netzplans  Analyse der Datenstrukturen und Daten auf den gefundenen Systemen 28

29 © 2012 IBM Corporation © 2014 IBM Corporation Angriffsszenario – Phase 3: Sichten Unternehmensnetzwerk DMZ Internet 29

30 © 2012 IBM Corporation © 2014 IBM Corporation Scannen eines Servers nach aktivierten Diensten Demo 30

31 © 2012 IBM Corporation © 2014 IBM Corporation Gegenmaßnahmen für Phase 3 NetzwerkverkehrSysteme Vorbeugung & Reaktion Netzwerksegmentierung  Verhindert das Scannen großer Teile des Unternehmensnetzwerks IBM Access Management  Blockieren von unerlaubtem Abspeichern von Dateien auf den Endgeräten IBM Guardium  Sicherung von Datenbanken gegen unberechtigte Zugriffe IBM Endpoint Manager  Patch Management Policies  Eingeschränkte Nutzung von Ports und Kommunikations- Protokollen 31

32 © 2012 IBM Corporation © 2014 IBM Corporation Phase 4: Sammeln Ziel Mechanismen Durchführung Einsammeln der identifizierten Daten, die aus dem angegriffenen Netzwerk herausbefördert werden sollen  SQL-Abfragen  Netzwerk Freigaben  Nutzung von Protokollen zum Datenaustausch  Erstellung eines Collector-Scriptes  Zusammenführung der Daten auf einem internen Staging-Server 32

33 © 2012 IBM Corporation © 2014 IBM Corporation Angriffsszenario – Phase 4: Sammeln Unternehmensnetzwerk DMZ Internet 33

34 © 2012 IBM Corporation © 2014 IBM Corporation Datenbank-Abfragen mittels gestohlener Zugangsdaten Demo 34

35 © 2012 IBM Corporation © 2014 IBM Corporation Gegenmaßnahmen für Phase 4 DatenbankenSysteme Vorbeugung & Reaktion IBM Guardium  Entdecken und Unterbinden von unberechtigten SQL- Abfragen  Logging, Terminierung und Quarantäne der SQL- Kommunikation „Separation of Duties“ IBM QRadar  Anomalie-Erkennung für direkte Dateizugriffe Überwachung des Netzwerk-Datenverkehrs  Anomale File-Transfers 35

36 © 2012 IBM Corporation © 2014 IBM Corporation Verhinderung des Zugriffs durch Guardium Regeln  Datenbank übergreifend  Terminierung von Aktionen privilegierter Benutzer  Keine Datenbankänderungen  Keine Änderungen an Applikationen Software TAP Privilegierte Benutzer Gestohlene Anmeldedaten Verbindung terminiert Problem SQL SQL Oracle, DB2, MySQL, Sybase und andere Policy Überprüfung auf der Appliance Applikations Server Bei einer Policy Verletzung: Unterbrechung der Verbindung 36

37 © 2012 IBM Corporation © 2014 IBM Corporation Verhinderung des Zugriffs durch Guardium Regeln  Beinhaltet Regeln zur Behandlung von SQL-Abfragen  Terminate, Log, Redact, Alert und viele mehr. Guardium Policy Demo 37

38 © 2012 IBM Corporation © 2014 IBM Corporation Was passiert bei aktiver, gezielter Blockierung durch Guardium? Angreifer hat keine Chance auf sensitive Objekte zuzugreifen 38

39 © 2012 IBM Corporation © 2014 IBM Corporation Phase 5: Herausbefördern Ziel Mechanismen Durchführung Exfiltration – die gesammeltenDaten sollen nun aus dem Unternehmen herausbefördert werden  Verschlüsseln und Paketieren der Daten  Datentransfer über FTP, HTTPS, IRC File-Transfer, Skype, …  Aufbau eines Übertragungskanals  Übertragen der gesammelten Daten  Spuren verwischen Command & Control (CnC) 39

40 © 2012 IBM Corporation © 2014 IBM Corporation Angriffsszenario – Phase 5: Herausbefördern Unternehmensnetzwerk DMZ Internet 40

41 © 2012 IBM Corporation © 2014 IBM Corporation Gegenmaßnahmen für Phase 5 NetzwerkverkehrSystemen Vorbeugung & Reaktion IBM QRadar  Verdeckte Datenströme anzeigen mit QFlow Analyse Data-Loss-Prevention (DLP) Systeme IBM Trusteer Apex  Verhindert unerwünschten Kommunikationsaufbau nach Außen Vorbeugende Kommunikations-Regeln 41

42 © 2012 IBM Corporation © 2014 IBM Corporation Schutz vor Daten-Exfiltration Blockieren von verdächtigen ausführbaren Dateien, die bösartige Kommunikationskanäle öffnen mit Trusteer Apex Direkter User Download Bereits bestehende Infektion Externes Netzwerk Schutz vor Exfiltration Verschleiert als legitime Kommunikation Direkte Kommunikation ist gut sichtbar Schutz vor Exfiltration Trusteer Apex 42

43 © 2012 IBM Corporation © 2014 IBM Corporation IBMs Ansatz zur Abwehr vor Advanced Persistent Threats Zugang verschaffen Festsetzen Sichten Sammeln Herausbefördern Network and Endpoint Security Nutzt adaptiven Angriffsschutz und Endgeräte-Management, um Risiken zu reduzieren und Angriffe abzuwehren Network Security Nutzt SIEM und adaptiven Angriffsschutz zur Identifizierung sowie Hinderung der Angreifer, Schadsoftware zu installieren Secure Users Sicheres Identitätsmanagement erzwingt Zugriffsrichtlinien & Überwachungen, um verdächtiges Verhalten aufzudecken Security Analytics Durch “Security Intelligence” werden Aktivitäten im gesamten Unternehmen geprüft, analysiert und korreliert Erweiterung um Big Data Kapazitäten, um unstrukturierte Daten zu analysieren Klare Anweisungen und Hinweise im Falle eines Angriffs oder versuchten Datendiebstahls Data Security Tief integrierte Sicherheitsschranken im Datenarchiv und Datenaktivitäten-Überwachung Network and System Security Proaktive Überwachung des Netzwerks; Echtzeit-Blockaden 43

44 © 2012 IBM Corporation © 2014 IBM Corporation Security Intelligence and Analytics QRadar SIEM QRadar Log Manager QRadar Risk Manager QRadar Vulnerability Manager Advanced Fraud Protection People Data Applications Infrastructure Endpoint Network Trusteer Rapport Trusteer Pinpoint Malware Detection Trusteer Pinpoint ATO Detection Trusteer Mobile Risk Engine Identity Management Access Management Privileged Identity Manager Federated Access and SSO Guardium Database Security AppScan Source Guardium / Optim Data Masking Key Lifecycle Manager Guardium Database Security AppScan Dynamic DataPower Web Security Gateway Security Policy Manager Network Intrusion Prevention Next Generation Network Protection SiteProtector Threat Management Network Anomaly Detection Trusteer Apex Mobile & Endpoint Management Virtualization and Server Security Mainframe Security IBM X-Force Research IBM Security Systems Portfolio 44

45 © 2012 IBM Corporation © 2014 IBM Corporation Demopunkte auf der CeBIT 2014 Cybersecurity Trusteer Security in Industrieanlagen Guardium 45 Demopunkt 221 Demopunkt 223 Demopunkt 240 Demopunkt 222 Security Intelligence Demopunkt 313

46 © 2012 IBM Corporation © 2014 IBM Corporation IBM Security Systems Portfolio 46

47 © 2012 IBM Corporation © 2014 IBM Corporation IBM Security Strategie – Optimierung durch Integration Integrated Intelligence Integrated ResearchIntegrated Protection  Konsolidieren und Korrelieren von Informationen aus hunderten von Quellen  Erkennen und Reagieren auf Bedrohungen, die bislang nicht erkannt wurden  Automatisierung von regulatorischen Anforderungen und Risikobewertung  Vorsprung vor neuen Bedrohungen bewahren  Erkennen von neuesten Schwachstellen und Schadcode  Security Intelligence zu nicht intelligenten Systemen hinzufügen  Angepasster Schutz zur Abwehr spezifischer Bedrohungen  Verbinden von Access Management und Web Services Gateways  Zusammenführen von Identitätsinformationen und Datenbanksicherheit 47

48 © 2012 IBM Corporation © 2014 IBM Corporation IBM Lösungen bieten die Bausteine zur Behebung von Sicherheitsproblemen Security Intelligence. Think Integrated. Security Intelligence People Data Applications Infrastructure 48

49 © 2012 IBM Corporation © 2014 IBM Corporation Vielen Dank Matthias Lehmann Manager Technical Sales and Solutions Software Middleware Group Phone: Frank Sommer Certified Client Technical Professional IBM Security Systems Division Phone: Christian Meßmer Technical Sales IBM Security Systems Division Phone: +49-(0) Kontaktdaten 49


Herunterladen ppt "© 2012 IBM Corporation © 2014 IBM Corporation IBM Security Systems Advanced Persistent Threat Demo."

Ähnliche Präsentationen


Google-Anzeigen