KEY NOTE: Huch! Ich wurde gehackt! Muss ich jetzt die Hosen wechseln? André Pflaum, iTrain GmbH Mirko Colemberg, baseVISION AG
Kennzahlen GM16 200+ Durchschnittle Anzahl von Tagen, vor welchen ein Angriff stattgefunden hat, bevor er entdeckt wird 75%+ aller Angriffe sind aufgrund gestohlener oder übernommener Benutzerdaten $500B Die potentiellen Kosten von Cyber-Angriffen pro Jahr $3.5M Durchschnittskosten pro Angriff für eine Unternehmung
Wechselnde Art von Cyber-Angriffen 4/25/2018 3:19 PM Wechselnde Art von Cyber-Angriffen Heutige Cyber-Attacken… Missbrauch von Benutzer-Credentials sind die häufigste Ursache Benutzung von legitimen IT-Tools anstatt Hacking-Tools – schwierig zu entdecken Bleiben gut 8 Monate im Netzwerk, bevor man diese entdeckt Verursachen einen grossen finanziellen Verlust und wirken sich auf die Reputation aus © 2014 Microsoft Corporation. All rights reserved. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.
Wechselnde Art von Cyber-Angriffen 4/25/2018 3:19 PM Wechselnde Art von Cyber-Angriffen Heutige Cyber-Attacken… Missbrauch von Benutzer-Credentials sind die häufigste Ursache Benutzung von legitimen IT-Tools anstatt Hacking-Tools – schwierig zu entdecken Bleiben gut 8 Monate im Netzwerk, bevor man diese entdeckt Verursachen einen grossen finanziellen Verlust und wirken sich auf die Reputation aus © 2014 Microsoft Corporation. All rights reserved. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.
Wechselnde Art von Cyber-Angriffen 4/25/2018 3:19 PM Wechselnde Art von Cyber-Angriffen Heutige Cyber-Attacken… Missbrauch von Benutzer-Credentials sind die häufigste Ursache Benutzung von legitimen IT-Tools anstatt Hacking-Tools – schwierig zu entdecken Bleiben gut 8 Monate im Netzwerk, bevor man diese entdeckt Verursachen einen grossen finanziellen Verlust und wirken sich auf die Reputation aus © 2014 Microsoft Corporation. All rights reserved. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.
Wechselnde Art von Cyber-Angriffen 4/25/2018 3:19 PM Wechselnde Art von Cyber-Angriffen Today’s cyber attackers are: Missbrauch von Benutzer-Credentials sind die häufigste Ursache Benutzung von legitimen IT-Tools anstatt Hacking-Tools – schwierig zu entdecken Bleiben gut 8 Monate im Netzwerk, bevor man diese entdeckt Verursachen einen grossen finanziellen Verlust und wirken sich auf die Reputation aus © 2014 Microsoft Corporation. All rights reserved. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.
Das Problem der Abwehr GM16 Komplexität
Das Problem der Abwehr GM16 2. False Positives
Das Problem der Abwehr GM16 3. It’s all about the Perimeter
NICHT (!!!) das Ziel GM16
NICHT (!!!) das Ziel GM16
NICHT (!!!) das Ziel GM16
Die Lösung GM16 Abnormale Verhaltensmuster frühzeitig erkennen Bekannte Attacken sofort erkennen
…ABER: WIE??!?!???!???!!!!???? GM16 Die neue Allzweckwaffe von Microsoft…
Microsoft Advanced Threat Analytics GM16
Microsoft ATA – Installation des Centers GM16 DEMO
Advanced Threat Detection Behavioral Analytics Entdeckt Vorkommnisse schnell, dank Analyse der Verhaltenmuster Kein Bedarf an Richtlinien, Deployment von Agents. Die benötigte Intelligenz ist sofort bereit, um analysiert zu werden und lernt ständig dazu. Lernt genau so schnell wie der Angreifer ATA lernt ständig von der Organisation und weiss, welche Benutzer, welche Ressourcen benutzen. Fokusiert auf den wichtigen Dingen – in einer einfachen Timeline Die Attacken-Zeitlinie ist klar, effizient und zeigt schnell und einfach, wer, wann, was im Unternehmen getan hat. Sie schlägt auch mögliche Handlungen vor. Advanced Threat Detection Reduzieren der Gewohnheit von False- Positives Benachrichtigt nur dann, wenn etwas komplett dem Standardverhalten widerspricht und reduziert so False- Positives.
4/25/2018 3:19 PM ATA Topologie © 2014 Microsoft Corporation. All rights reserved. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.
Microsoft Advanced Threat Analytics GM16 Setzt als Datenbank «MongoDB» ein Anstatt verschiedene ATA Gateways kann auch ein Lightweighted Gateway direkt auf den DCs installiert werden So ist kein Port-Mirroring notwendig Achtung: Andere SW können in Konflikt stehen Z.B. Oracle TNSPING
Microsoft ATA – Installation des Gateways GM16 DEMO
Microsoft Advanced Threat Analytics GM16 Ungewöhnliches/nicht normales Verhalten wird von ATA mithilfe der Verhaltensanalyse und Machine Learning erkannt: Nicht normale Anmeldungen Unbekannte Gefahren Kennwortfreigabe Seitliche Verschiebung
Microsoft Advanced Threat Analytics GM16
Vorbereitung von Angriffen GM16 Honey Tokens Erkennung von schlechten Einstellungen DNS Reconnaissance Remote-Ausführung Pass-the-Ticket Pass-the-Hash Einnahme des ATA Gateways
Microsoft Advanced Threat Analytics GM16 Microsoft ATA ist KEINE Wunderwaffe!
Microsoft ATA – ein paar Angriffe GM16 DEMO
Aber da gibt es doch noch was in win10? GM16 ???
Windows Defender Advanced Thread Protection (WDATP) GM16 Yep….
WDATP in 1607 GM16
WDATP – Onborading GM16 DEMO
</SESSION> GM16
Microsoft ATA Screenshots GM16
Microsoft ATA Screenshots GM16
Microsoft ATA Screenshots GM16
Microsoft ATA Screenshots GM16
Microsoft ATA Screenshots GM16
Microsoft ATA Screenshots GM16