Internet-Analyse-System (IAS) Technische Sensorik für das nationale IT-Frühwarnsystem Martin Bierwirth Bundesamt für Sicherheit in der Informationstechnik AFCEA Bonn,
BSI, 122, Bierwirth Folie 2 Agenda Motivation Konzept und Zielsetzung IAS Realisierung, Status Beispiel-Auswertungen Anomalieerkennung Zusammenfassung
BSI, 122, Bierwirth Folie 3 Warum IAS? Konzeption und Entwicklung des Internet-Analyse- Systems als Beitrag zur IT-Krisenreaktion. Hintergrund: Nationaler Plan zum Schutz der Informationsinfrastrukturen (2005), UP Bund (2007) Nationales IT-Frühwarnsystem im BSI: Aufgrund belastbarer Erkenntnisse über drohende oder bereits eingetretene IT-Vorfälle, die noch möglichst wenige betreffen, wird ein nationales IT-Sicherheitslagebild fortgeschrieben und bei ausreichender Relevanz eine qualifizierte Warnung an potenziell betroffene Bereiche verteilt, um dort zu erwartende Schäden zu vermeiden oder zu verringern.
BSI, 122, Bierwirth Folie 4 Datenschutzrechtlich unbe- denkliche Sensorik bereitstellen. Zustandsbeobachtung durch verteilte Sensorik durchführen. Vergleichbarkeit der Messungen zahlreicher Standorte u. Partner. Konzept und Ziel des IAS Entwicklungspartner: Institut für Internetsicherheit Zeitraum:
BSI, 122, Bierwirth Folie 5 Fokus der Sensorik Headerinformationen aus TCP/IP und aus wichtigen Anwendungsprotokollen: D1: ||||||||||||||||||| D2: ||||||||||||| D3: ||| D4: ||||||| D5: |||||||||||| (Deskriptoren)
BSI, 122, Bierwirth Folie 6 Die Sensorik des IAS erfasst keine IP-Adressen, setzt TCP-Flows nicht zusammen, verwirft nach Abarbeitung eines Paketes seinen Kontext, prüft nicht auf Signaturen bzw. macht kein Pattern-Matching, arbeitet passiv, d.h. sie verändert den Datenstrom nicht, wird nicht geroutet, d.h. keine eigene IP-Adresse, kein Ziel. Damit grenzt sich die Sensorik ab von reinen Paketsniffern oder NetFlow, Firewalls, Application-Level-Gateways, IDS / IPS, Honeypots. Abgrenzung zu anderen Systemen
BSI, 122, Bierwirth Folie 7 Realisierung: Einbindung der Sensoren 1/2 Einbindung z. B. per Netzwerk-TAP oder Mirror-Port eines Switches Internet-Anbindung eines Netzbetreibers Verschlüsseltes Protokoll, nur Kommunikation in Richtung Transfersystem Internet / ISP Behörde / Unternehmen
BSI, 122, Bierwirth Folie 8 Einbindung der Sensoren 2/2 Zwei (passive) Varianten: Switch mit Mirror-Port oder Netzwerk-TAP.
BSI, 122, Bierwirth Folie 9 Sensor-Netzwerk, zentrale Auswertung Zentrale Auswertung der Daten: Normalzustand, Trends, Anomalien, Einzelfallanalyse... BSI kann Daten mehrerer Standorte miteinander vergleichen und erhält einen erweiterten Horizont. Wer ist noch betroffen?
BSI, 122, Bierwirth Folie 10 Derzeitiger Status Sechs Sensoren senden Daten an das BSI, Fokus vor allem bei den Regierungsnetzen. Hardware in BSI-Labor: drei Server, Datenbank mit rund 2 TB Storage-Unit, SINA-Gateway. Daten werden über Zeitraum von 13 Monaten vorgehalten. Zugriff auf IAS-Server aus dem BSI-Lagezentrum sowie aus Fachreferaten. IAS als Bestandteil der täglichen Lagebeobachtung.
BSI, 122, Bierwirth Folie 11 Auswertung Allein mengenmäßig sind die Daten eine Herausforderung! Garbage in – garbage out? In der Regel werden nur Deskriptoren der wichtigsten Dienste und Protokolle (automatisch) analysiert. In Einzelfällen müssen zahlreiche weitere Deskriptoren zur Analyse herangezogen werden. D1: ||||||||||||||||||| D2: ||||||||||||| D3: ||| D4: ||||||| D5: |||||||||||| (Deskriptoren) ? D1: ||||||||||||||||||| D2: ||||||||||||| D3: ||| D4: ||||||| D5: |||||||||||| (Deskriptoren) D1: ||||||||||||||||||| D2: ||||||||||||| D3: ||| D4: ||||||| D5: |||||||||||| (Deskriptoren)
BSI, 122, Bierwirth Folie 12 Lifecycle der IAS-Messdaten Erfassung und Anonymisierung des Netzwerk-Datenflusses. Aggregation der Zählerstände im 5-Minuten-Intervall. Übertragung an IAS-Server mit Identifizierung des Standortes. Speicherung, Schwellenwert-Vergleich, manuelle Recherche usw tcp.port= 80 IIII II deskriptor.counter=927 Δ =3, 4 σ =7, 3 Langzeit-Datenbank Vergleich mit Schwellenwert Neuberechnung der Schwellenwerte Zählerstand-Übertragung (Deskriptoren) an IAS-Server Datenabgriff, Anonymisierung, Aggregation als Zählerstände Kurzzeit-Datenbank IAS- Sensor IAS-Server und Datenbank
BSI, 122, Bierwirth Folie 13 Beispiel: Scans auf 445/TCP Korrelierender Trend an unabhängigen Standorten.
BSI, 122, Bierwirth Folie 14 Beispiel: Spam-Entwicklung -Zustellversuche an einem Standort: September bis Dezember 2007: ca. 10 – 20 Mio. pro Tag. Januar bis April 2008: bis zu 40 Mio. pro Tag. Juni bis Oktober 2008: bis zu 60 Mio. pro Tag.
BSI, 122, Bierwirth Folie 15 Beispiel: Browseranteile Anteile der verschiedenen Firefox-Versionen, 3.0.X im Detail In diesem Netzbereich überwiegend noch 2.0.X. Februar 2009: Patch von Version auf (Grün).
BSI, 122, Bierwirth Folie 16 Beispiel: Mail-Attachments Top 5 der angehängten Dateitypen, 6. bis 13. Oktober 2008 IMAGE/GIF IMAGE/JPEG APPL/OCTET-STREAM APPL/MSWORD APPL/PDF
BSI, 122, Bierwirth Folie 17 Potenzial der manuellen Recherche Das IAS ermöglicht umfassende Übersichten wichtiger Internetdienste: DNS, HTTP, SMTP... Es können viele Aussagen getroffen werden: Kurzfristige Antworten, z.B. bei Schwachstellen wichtig: Zu welchem Anteil wird Browser XYZ eingesetzt? Langzeittrends: Spam, VoIP, HTTP gegenüber HTTPS usw. Zusammenhänge der Protokolle untereinander. Nahezu Echtzeit-Analyse bei Vorfällen (mit klaren Grenzen). Die Analysten brauchen verständliche Zusammenhänge, daher Fokus auf einfachen Auswertungen. [...]
BSI, 122, Bierwirth Folie 18 Anomalieerkennung mit dem IAS Für ausgewählte Deskriptoren, basierend auf Messwerten der letzten Wochen, Unterscheidung von Tagen / Stunden Schwellenwert = Durchschnittswert + Toleranz Eher pragmatischer Ansatz, weniger wissenschaftlich. Liefert ggf. Indizien für sicherheitskritischen Vorfall.
BSI, 122, Bierwirth Folie 19 IAS-Lagebild mit Nagios Automatische Überwachung ausgewählter Deskriptoren Auswertung der aktuellen Daten (fast Echtzeit) Visualisierung von Schwellenwert-Überschreitungen Dadurch: kompakte Zustandsdarstellung
BSI, 122, Bierwirth Folie 20 Warnung bei Anomalie mit Link auf automatisch generierte Informationen:
BSI, 122, Bierwirth Folie 21 Handlung bei Anomalie Bei überschrittenem Schwellenwert: Detailierte Recherche in IAS-Daten Suche nach korrespondierenden Ereignissen und Zusammenhängen Bewertung der Erkenntnisse (Erfahrung) Reaktion sowie ggf. Anpassung der Metriken
BSI, 122, Bierwirth Folie 22 Info-Pyramide Signale , Licht Daten Zählerstände Beobachten, Messen Informationen Trends, Anomalien Organisieren Wissen, Kenntnis Analysen, Korrelationen Verstehen Volumen beachten! Weisheit, Erfahrung Weisheit, Erfahrung Lagebild Anwenden
BSI, 122, Bierwirth Folie 23 TCP-SYN- und ICMP-Flooding, zufällige gleichbleibende TCP-Highports, 1000-fach gestiegener Traffic. Beispiel: Großer DDoS-Angriff Abwehrmaß- nahmen TCP-SYN Port Port Ende des Angriffs
BSI, 122, Bierwirth Folie 24 Beispiel: DNS-Anomalie Überschreitung des Schwellenwerts am Korrelation an mehreren unabhängigen Standorten. Analyse: Versuchter DNS-Amplification-Attack ( ISC).
BSI, 122, Bierwirth Folie 25 Beispiel: Schwachstelle MS : Schwachstelle in Windows-RPC-Dienst, Exploit über Port 445/TCP möglich. CERT-Bund Warnung (1) : Wurm zu MS in the wild gesichtet. (2) : Microsoft beobachtet zunehmende Verbreitung. (3) Januar 2009: Wurm-Infektionen in Kärntner Regierung sowie bei britischer Armee : F-Secure berichtet von etwa neun Millionen befallenen W32-Systemen. (4)
BSI, 122, Bierwirth Folie 26 Zusammenfassung Die IAS-Sensorik arbeitet datenschutzrechtl. unbedenklich. Mit Anomalieerkennung und manueller Recherche lässt sich – trotz abstrakter Daten – erstaunlich viel herausfinden. Je mehr interessante Sensoren, desto aussagekräftiger die Analysen, Erfahrungen und Bewertungen. Die zentrale Datenbasis mit diversen Auswertungen liefert im BSI eine wichtige Ergänzung zum Sicherheitslagebild, zur Vorfallsanalyse sowie zur Krisenreaktion.
BSI, 122, Bierwirth Folie 27 BSI Lagezentrum
BSI, 122, Bierwirth Folie 28 Vielen Dank - Fragen ??? Bundesamt für Sicherheit in der Informationstechnik (BSI) Martin Bierwirth Godesberger Allee Bonn Tel: +49 (0) Fax: +49 (0)
BSI, 122, Bierwirth Folie 29 Beispiel: Browserverteilung Top 9 der verwendeten Browser, Oktober 2008 * Exotische Browser, für die keine Deskriptoren existieren. MS IE 6 MS IE 7 OTHERS * FIREFOX 3.0 FIREFOX 2.0 Webcrawler Safari...
BSI, 122, Bierwirth Folie 30 Beispiel: Browseranteile Anteile von IE und Firefox, incoming, Sept. - Nov IE 6.0: 35%, IE 7.0: 35%, Firefox 3.0: 20%, Firefox 2.0: 10% (in Summe ca. 70 – 80% des HTTP-Gesamttraffics)