KEY NOTE: Huch! Ich wurde gehackt! Muss ich jetzt die Hosen wechseln?

Präsentation zum Thema: "KEY NOTE: Huch! Ich wurde gehackt! Muss ich jetzt die Hosen wechseln?"—  Präsentation transkript:

1 KEY NOTE: Huch! Ich wurde gehackt! Muss ich jetzt die Hosen wechseln?
André Pflaum, iTrain GmbH Mirko Colemberg, baseVISION AG

2 Kennzahlen GM16 200+ Durchschnittle Anzahl von Tagen, vor welchen ein Angriff stattgefunden hat, bevor er entdeckt wird 75%+ aller Angriffe sind aufgrund gestohlener oder übernommener Benutzerdaten $500B Die potentiellen Kosten von Cyber-Angriffen pro Jahr $3.5M Durchschnittskosten pro Angriff für eine Unternehmung

3 Wechselnde Art von Cyber-Angriffen
4/25/2018 3:19 PM Wechselnde Art von Cyber-Angriffen Heutige Cyber-Attacken… Missbrauch von Benutzer-Credentials sind die häufigste Ursache Benutzung von legitimen IT-Tools anstatt Hacking-Tools – schwierig zu entdecken Bleiben gut 8 Monate im Netzwerk, bevor man diese entdeckt Verursachen einen grossen finanziellen Verlust und wirken sich auf die Reputation aus © 2014 Microsoft Corporation. All rights reserved. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.

4 Wechselnde Art von Cyber-Angriffen
4/25/2018 3:19 PM Wechselnde Art von Cyber-Angriffen Heutige Cyber-Attacken… Missbrauch von Benutzer-Credentials sind die häufigste Ursache Benutzung von legitimen IT-Tools anstatt Hacking-Tools – schwierig zu entdecken Bleiben gut 8 Monate im Netzwerk, bevor man diese entdeckt Verursachen einen grossen finanziellen Verlust und wirken sich auf die Reputation aus © 2014 Microsoft Corporation. All rights reserved. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.

5 Wechselnde Art von Cyber-Angriffen
4/25/2018 3:19 PM Wechselnde Art von Cyber-Angriffen Heutige Cyber-Attacken… Missbrauch von Benutzer-Credentials sind die häufigste Ursache Benutzung von legitimen IT-Tools anstatt Hacking-Tools – schwierig zu entdecken Bleiben gut 8 Monate im Netzwerk, bevor man diese entdeckt Verursachen einen grossen finanziellen Verlust und wirken sich auf die Reputation aus © 2014 Microsoft Corporation. All rights reserved. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.

6 Wechselnde Art von Cyber-Angriffen
4/25/2018 3:19 PM Wechselnde Art von Cyber-Angriffen Today’s cyber attackers are: Missbrauch von Benutzer-Credentials sind die häufigste Ursache Benutzung von legitimen IT-Tools anstatt Hacking-Tools – schwierig zu entdecken Bleiben gut 8 Monate im Netzwerk, bevor man diese entdeckt Verursachen einen grossen finanziellen Verlust und wirken sich auf die Reputation aus © 2014 Microsoft Corporation. All rights reserved. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.

7 Das Problem der Abwehr GM16 Komplexität

8 Das Problem der Abwehr GM16 2. False Positives

9 Das Problem der Abwehr GM16 3. It’s all about the Perimeter

10 NICHT (!!!) das Ziel GM16

11 NICHT (!!!) das Ziel GM16

12 NICHT (!!!) das Ziel GM16

13 Die Lösung GM16 Abnormale Verhaltensmuster frühzeitig erkennen Bekannte Attacken sofort erkennen

14 …ABER: WIE??!?!???!???!!!!???? GM16 Die neue Allzweckwaffe von Microsoft…

15 Microsoft Advanced Threat Analytics
GM16

16 Microsoft ATA – Installation des Centers
GM16 DEMO

17 Advanced Threat Detection
Behavioral Analytics Entdeckt Vorkommnisse schnell, dank Analyse der Verhaltenmuster Kein Bedarf an Richtlinien, Deployment von Agents. Die benötigte Intelligenz ist sofort bereit, um analysiert zu werden und lernt ständig dazu. Lernt genau so schnell wie der Angreifer ATA lernt ständig von der Organisation und weiss, welche Benutzer, welche Ressourcen benutzen. Fokusiert auf den wichtigen Dingen – in einer einfachen Timeline Die Attacken-Zeitlinie ist klar, effizient und zeigt schnell und einfach, wer, wann, was im Unternehmen getan hat. Sie schlägt auch mögliche Handlungen vor. Advanced Threat Detection Reduzieren der Gewohnheit von False- Positives Benachrichtigt nur dann, wenn etwas komplett dem Standardverhalten widerspricht und reduziert so False- Positives.

18 4/25/2018 3:19 PM ATA Topologie © 2014 Microsoft Corporation. All rights reserved. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.

19 Microsoft Advanced Threat Analytics
GM16 Setzt als Datenbank «MongoDB» ein Anstatt verschiedene ATA Gateways kann auch ein Lightweighted Gateway direkt auf den DCs installiert werden So ist kein Port-Mirroring notwendig Achtung: Andere SW können in Konflikt stehen Z.B. Oracle TNSPING

20 Microsoft ATA – Installation des Gateways
GM16 DEMO

21 Microsoft Advanced Threat Analytics
GM16 Ungewöhnliches/nicht normales Verhalten wird von ATA mithilfe der Verhaltensanalyse und Machine Learning erkannt: Nicht normale Anmeldungen Unbekannte Gefahren Kennwortfreigabe Seitliche Verschiebung

22 Microsoft Advanced Threat Analytics
GM16

23 Vorbereitung von Angriffen
GM16 Honey Tokens Erkennung von schlechten Einstellungen DNS Reconnaissance Remote-Ausführung Pass-the-Ticket Pass-the-Hash Einnahme des ATA Gateways

24 Microsoft Advanced Threat Analytics
GM16 Microsoft ATA ist KEINE Wunderwaffe!

25 Microsoft ATA – ein paar Angriffe
GM16 DEMO

26 Aber da gibt es doch noch was in win10?
GM16 ???

27 Windows Defender Advanced Thread Protection (WDATP)
GM16 Yep….

28 WDATP in 1607 GM16

29 WDATP – Onborading GM16 DEMO

30 </SESSION> GM16

31 Microsoft ATA Screenshots
GM16

32 Microsoft ATA Screenshots
GM16

33 Microsoft ATA Screenshots
GM16

34 Microsoft ATA Screenshots
GM16

35 Microsoft ATA Screenshots
GM16

36 Microsoft ATA Screenshots
GM16