Angriffe erkennen und abwehren - Intrusion Protection im Einsatz Florian Tinnus Key Account Manager ftinnus@iss.net

Angriffe - extern

Angriffe - intern

Angriffe – neue Formen “Hybrid Threats” Scanning email Browsing Network Shares

Reaktion “Security Inseln” Risk Spectrum Viruses Worms Back Doors Malicious Code Unauthorized Access Misuse DDoS Web Defacement Exploits

Eine Lösung – Ein Protection System

RealSecure Protection System

Network, Server & Desktop Protection

Herausforderung – Netzwerk Security Mehr als 70% der Attacken via Port 80 (http) Multiple Zugänge zum Internet (Modems, ISDN, Mobiles) Konfigurationsfehler in komplexen Netzwerkarchitekturen Heute: Meistens statische Schutzmaßnahmen mit festem Regelwerk Remote Administration – Nutzeraccount auf der Firewall als Angriffspunkt Brandschutzmauer nach außen – kein Schutz vor internen Angreifern Überprüfung Datenstrom – nicht Inhalt

Netzwerk – „Angriffe“ erkennen und abwehren Management Network Sensor Server Sensor Desktop Sensor EMAIL ALERT/ LOG EMAIL ALERT/ LOG SESSION TERMINATED ATTACK DETECTED SESSION LOGGED RECONFIGURE FIREWALL/ ROUTER INTERNAL SESSION TERMINATED ATTACK DETECTED RECORD SESSION

Real Secure Network Protector Lösung – Real Secure Network Protector 1. Analyse der (kritischen) Netzaktivitäten in Echtzeit, Protokollierung wichtiger Informationen, Auswertung von Log-Dateien 2. Regelmäßige Überprüfung von Konfiguration und Komponenten der Netzwerk Infrastruktur 3. Alerting und (aktive) Gegenmaßnahmen bei Angriffen und Policy Verstoß (Firewall Re-Konfiguration, Identifikation IP Adresse, RS Kill, Pager Alarm, ...)

Real Secure Network Protection - Testsieger Resistance to evasion techniques 100% of attacks recognized (Fragroute, Whiskers, etc.) Attack recognition ‚... excellent with default signature-test ...‘ TRONS-modul including SNORT-Signatures Hybrid intrusion detection Protocol analysis & pattern matching for identify malicious code and full IP-packet de-fragment Stateful Operation Tracking up to 1 Mio. parallel connections Performance Gigabit Network Support Full Duplex 100BaseT (@200Mbps) support VLAN (802.1q) Support, Full remote upgrades, Evidence Logging, Full Packet Logging, Strong RSA Crypto support, Per IP Event Filtering, Dropped Packet Notification 1.      Vorbereitung: Während dieser Phase werden die Informationen vom Kunden gesammelt und zur Verfügung gestellt, damit ein detaillierter Assessment-Plan erstellt werden kann. In diesem werden der Umfang, die Struktur und die Einschränkungen der Untersuchungen definiert. - Abschliessende Analyse und Kundeneinweisung   Während des gesamten Assessments wird der Kunde über jeden durchgeführten Schritt informiert. Besonders bei den High-Risk Schwachstellentests wird der Kunde darauf hingewiesen, dass evtl. kritische Ausfälle auftreten können. Generell werden die Schwachstellen von ISS in folgende 3 Kategorien eingeteilt: ·        High Risk: Diese Schwachstellen sind die kritischsten. Bei diesen Schwachstellen muss sofort gehandelt werden. Die betreffenden Netzwerke, Systeme oder Daten sollten sofort gesichert werden. ·        Medium Risk: Diese Schwachstellen können eine potentielle Gefahr für das Netzwerk, die Systeme oder die Daten darstellen. Diese Schwachstellen sollten in absehbarer Zeit behoben werden. ·        Low Risk: Diese Schwachstellen sollten protokolliert werden und zu einem späteren Zeitpunkt behandelt werden. Diese stellen i.d.R. keine potentielle Gefahr für das Netzwerk dar, sollten aber weiterhin beobachtet und ggf. beseitigt werden. Nach dem Assessment werden die gesamten Daten, die während den einzelnen Phasen gesammelt wurden, zusammengeführt. Diese Daten werden analysiert und abgeglichen. Ein abschliessender Report mit allen erkannten Schwachstellen, Risiken und Empfehlungen wird erstellt und dem Kunden üblicherweise eine Woche nach der Durchführung des Assessments zugesandt. Ferner kann der Kunde auf alle Daten, die während des Assessments gewonnen wurden, zurückgreifen. Nach der Beendigung stehen die ISS Consultants für weitere Fragen zur Verfügung, auf Wunsch kann auch eine abschliessende Präsentation der Ergebnisse durchgeführt werden. Aufgrund der gewonnenen Ergebnisse können die Consultants mit Ihrem tiefen Wissen und Ihrer Erfahrung im Security Bereich den Kunden bei der Planung und Implementierung von Sicherheitslösungen unterstützen. ISS unterstützt eine grosse Anzahl von Kunden bei der Einführung von Schwachstellen-Assessment und Intrusion Detection Systemen.

Herausforderung - Desktop Security Angestellte(r): „Ich habe nichts gemacht und nun geht der Rechner nicht mehr!?“ Trojaner Angestellte(r): „Hast du diese tolle Software / Hardware schon gesehen? Soll ich Sie dir geben?“ Security Policy auf dem Desktop ist nicht durchführbar

Desktop - „Gefahren“ erkennen und abwehren Angestellter darf nur Programme nutzen, die er zur Ausübung seiner Aufgaben braucht. Angestellter darf keine Software ohne Erlaubnis installieren oder verändern. Nur autorisierte Applikation darf kommunizieren Desktop kann ohne Erlaubnis nicht umkonfiguriert werden. Desktop sollte nicht ausfallen. Fremdhardware darf nicht installiert werden können. Rechner darf nicht ausspioniert werden. Desktop darf nicht zu Crackeraktivitäten fähig sein.

Lösung – Real Secure Desktop Protector Firewall und Intrusion Protection Applikations- und Kommunikations- überwachung Dateiüberwachung Anti-Virus Zentral administrierbar Zentrale automatisierte Auswertung Integration in unternehmensweites Security Management keine extra Hardware

Real Secure Desktop Protection – Marktführer ISS leads the REPS market with a 37% market share REPS = Remote End-Point Security Cooperation with NAI gives space for further functionalities

Enterprise Security Management

Herausforderung – Enterprise Security Management Einheitliche Analyse und Management von Netzwerk, Server und Desktop Protection System Monitoring, Kontrolle und Analyse der Protection Systeme in einer Oberfläche mit reduzierten operativen Kosten ISS Strategy Discussion: Moving forward ISS will deliver security information as components of an integrated system. Each sensing and scanning technology will be delivered in the context of a - desktop protection system - server protection system - network protection system Or combinations of the above. Why? -It forces our development efforts and our customers to put the main focus of the system on the element of protection rather than on the parts of the system. ensures the components all fit and work together Reduces cost of ownership as functionality within the system is not replicated Reduces and automates the “manual” tasks normal performed by the cognitive abilities of the operator: Given fusion example. End result is better protection ***** Application Protection- databases, Web server protection, etc. are “located” in the Server space for this discussion. This graphic is meant to simply the discussion of security, but doesn’t mean that we are continuing to enhance and develop products such as Database Scanner, or come out with new application specific protection packages around web servers, and other critical server based applications.

Lösung - Real Secure Site Protector ISS Management Roadmap RealSecure SiteProtector is ISS’s strategic security management platform going forward to support all Network, Server, and Desktop sensors. Over the next 12-18 months it will coexist with all current ISS consoles, but it will eventually replace them over time Current customers of RealSecure, BlackICE, and SAFEsuite Decisions as of 1/31/02 can automatically upgrade to SiteProtector SiteProtector 1.0 fully supports all RealSecure 6.0 sensors as well as Internet Scanner Subsequent SiteProtector 1.x releases will support the following capabilities in approximately this order within 2002: - Integration of ICEcap Manager events integrated into SiteProtector for a single point of Event Management for all Network, Server, and Desktop protection systems - Integration of System Scanner results from the System Scanner console - Integration of Security alerts from 3rd party Security devices including competitive IDS products, (Firewalls, Routers), and other critical applications and computing platforms Replacement of SAFEsuite Decisions analysis and reporting capabilities delivered via SiteProtector Integration of Database Scanner information SiteProtector 1.x releases will support all aspects of security management to replace existing RealSecure Workgroup Manager, ICEcap Manager, and SAFEsuite Decisions. Ultimately over time these consoles, along with System Scanner will be replaced by SiteProtector based solutions Internet Scanner and Database Scanner will integration into SiteProtector, but will also continue on as a stand-alone audit based product for use by mobile auditors and security professionals

Real Secure Site Protector - Highlights Skalierbarkeit - Architektur Erweiterung der RealSecure 6.5 “Three tier architecture” Alle Sensoren unterstützt durch eine Plattform Deployment Manager für SiteProtector und Sensoren Flexibles Multi-user Environment Remote, Secure, Roles-based User Interface Zentrales “Command und Control” aller Sensoren

Real Secure Site Protector - Highlights Skalierbarkeit - Betrieb Asset orientation – fokussiert Security Resourcen effizient – auf das wichtigste System User-definierte hierarchische Gruppenstruktur Event Aggregation und Korrelation Customized Event filtering Site Rules – automated incident and exception handling Security Fusion Modul – Automatische Event Correlation

Beispiel: Site Protector Fusion Modul Das IDS meldet typische Angriffe ... Instructor note: The next 3 slides build on this one. Here’s an example of analysis without fusion. The operator has no indication of the impact of each attack. The operator must spend valuable time and energy MANUALLY investigating EACH INCIDENT!!! This is a very time-consuming task.

... aber das “Target” hat gar keine Schwachstellen ! Analysts can click the status column to sort the events by status. Sorting the events shows the targets that were protected. Analysts can highlight these events and clear them from their view so that they can focus on the most important attacks (attacks against vulnerable targets, highlighted in the next slide).

Priorisierung durch Korrelation von Angriff & Schwachstellen auf dem Target This slide highlights the most important events (attacks against vulnerable targets). Sorting events by the status column also helps the user identify likely successful attacks. Imagine an entire list of hundreds of events, where only seven of the events were vulnerable to the attack! In that example you reduce investigation time by 93%. This simple example shows how dramatically fusion can reduce TCO.

Ganzheitliche & dynamische Lösung - RealSecure Protection System

Marktführer - IDC’s IDnA Market Share

GTOC.iss.net – das “Internet Wetter” 1.      Vorbereitung: Während dieser Phase werden die Informationen vom Kunden gesammelt und zur Verfügung gestellt, damit ein detaillierter Assessment-Plan erstellt werden kann. In diesem werden der Umfang, die Struktur und die Einschränkungen der Untersuchungen definiert. - Abschliessende Analyse und Kundeneinweisung   Während des gesamten Assessments wird der Kunde über jeden durchgeführten Schritt informiert. Besonders bei den High-Risk Schwachstellentests wird der Kunde darauf hingewiesen, dass evtl. kritische Ausfälle auftreten können. Generell werden die Schwachstellen von ISS in folgende 3 Kategorien eingeteilt: ·        High Risk: Diese Schwachstellen sind die kritischsten. Bei diesen Schwachstellen muss sofort gehandelt werden. Die betreffenden Netzwerke, Systeme oder Daten sollten sofort gesichert werden. ·        Medium Risk: Diese Schwachstellen können eine potentielle Gefahr für das Netzwerk, die Systeme oder die Daten darstellen. Diese Schwachstellen sollten in absehbarer Zeit behoben werden. ·        Low Risk: Diese Schwachstellen sollten protokolliert werden und zu einem späteren Zeitpunkt behandelt werden. Diese stellen i.d.R. keine potentielle Gefahr für das Netzwerk dar, sollten aber weiterhin beobachtet und ggf. beseitigt werden. Nach dem Assessment werden die gesamten Daten, die während den einzelnen Phasen gesammelt wurden, zusammengeführt. Diese Daten werden analysiert und abgeglichen. Ein abschliessender Report mit allen erkannten Schwachstellen, Risiken und Empfehlungen wird erstellt und dem Kunden üblicherweise eine Woche nach der Durchführung des Assessments zugesandt. Ferner kann der Kunde auf alle Daten, die während des Assessments gewonnen wurden, zurückgreifen. Nach der Beendigung stehen die ISS Consultants für weitere Fragen zur Verfügung, auf Wunsch kann auch eine abschliessende Präsentation der Ergebnisse durchgeführt werden. Aufgrund der gewonnenen Ergebnisse können die Consultants mit Ihrem tiefen Wissen und Ihrer Erfahrung im Security Bereich den Kunden bei der Planung und Implementierung von Sicherheitslösungen unterstützen. ISS unterstützt eine grosse Anzahl von Kunden bei der Einführung von Schwachstellen-Assessment und Intrusion Detection Systemen.

Angriffe erkennen und abwehren - Intrusion Protection im Einsatz Florian Tinnus Key Account Manager ftinnus@iss.net