Internet-Analyse-System (IAS) Technische Sensorik für das nationale IT-Frühwarnsystem Martin Bierwirth Bundesamt für Sicherheit in der Informationstechnik.

Präsentation zum Thema: "Internet-Analyse-System (IAS) Technische Sensorik für das nationale IT-Frühwarnsystem Martin Bierwirth Bundesamt für Sicherheit in der Informationstechnik."—  Präsentation transkript:

1 Internet-Analyse-System (IAS) Technische Sensorik für das nationale IT-Frühwarnsystem Martin Bierwirth Bundesamt für Sicherheit in der Informationstechnik AFCEA Bonn, 16.02.2009

2 BSI, 122, Bierwirth 16.02.2009Folie 2 Agenda Motivation Konzept und Zielsetzung IAS Realisierung, Status Beispiel-Auswertungen Anomalieerkennung Zusammenfassung

3 BSI, 122, Bierwirth 16.02.2009Folie 3 Warum IAS? Konzeption und Entwicklung des Internet-Analyse- Systems als Beitrag zur IT-Krisenreaktion. Hintergrund: Nationaler Plan zum Schutz der Informationsinfrastrukturen (2005), UP Bund (2007) Nationales IT-Frühwarnsystem im BSI: Aufgrund belastbarer Erkenntnisse über drohende oder bereits eingetretene IT-Vorfälle, die noch möglichst wenige betreffen, wird ein nationales IT-Sicherheitslagebild fortgeschrieben und bei ausreichender Relevanz eine qualifizierte Warnung an potenziell betroffene Bereiche verteilt, um dort zu erwartende Schäden zu vermeiden oder zu verringern.

4 BSI, 122, Bierwirth 16.02.2009Folie 4 Datenschutzrechtlich unbe- denkliche Sensorik bereitstellen. Zustandsbeobachtung durch verteilte Sensorik durchführen. Vergleichbarkeit der Messungen zahlreicher Standorte u. Partner. Konzept und Ziel des IAS Entwicklungspartner: Institut für Internetsicherheit Zeitraum: 2005-2008

5 BSI, 122, Bierwirth 16.02.2009Folie 5 Fokus der Sensorik Headerinformationen aus TCP/IP und aus wichtigen Anwendungsprotokollen: D1: ||||||||||||||||||| D2: ||||||||||||| D3: ||| D4: ||||||| D5: |||||||||||| (Deskriptoren)

6 BSI, 122, Bierwirth 16.02.2009Folie 6 Die Sensorik des IAS erfasst keine IP-Adressen, setzt TCP-Flows nicht zusammen, verwirft nach Abarbeitung eines Paketes seinen Kontext, prüft nicht auf Signaturen bzw. macht kein Pattern-Matching, arbeitet passiv, d.h. sie verändert den Datenstrom nicht, wird nicht geroutet, d.h. keine eigene IP-Adresse, kein Ziel. Damit grenzt sich die Sensorik ab von reinen Paketsniffern oder NetFlow, Firewalls, Application-Level-Gateways, IDS / IPS, Honeypots. Abgrenzung zu anderen Systemen

7 BSI, 122, Bierwirth 16.02.2009Folie 7 Realisierung: Einbindung der Sensoren 1/2 Einbindung z. B. per Netzwerk-TAP oder Mirror-Port eines Switches Internet-Anbindung eines Netzbetreibers Verschlüsseltes Protokoll, nur Kommunikation in Richtung Transfersystem Internet / ISP Behörde / Unternehmen

8 BSI, 122, Bierwirth 16.02.2009Folie 8 Einbindung der Sensoren 2/2 Zwei (passive) Varianten: Switch mit Mirror-Port oder Netzwerk-TAP.

9 BSI, 122, Bierwirth 16.02.2009Folie 9 Sensor-Netzwerk, zentrale Auswertung Zentrale Auswertung der Daten: Normalzustand, Trends, Anomalien, Einzelfallanalyse... BSI kann Daten mehrerer Standorte miteinander vergleichen und erhält einen erweiterten Horizont. Wer ist noch betroffen?

10 BSI, 122, Bierwirth 16.02.2009Folie 10 Derzeitiger Status Sechs Sensoren senden Daten an das BSI, Fokus vor allem bei den Regierungsnetzen. Hardware in BSI-Labor: drei Server, Datenbank mit rund 2 TB Storage-Unit, SINA-Gateway. Daten werden über Zeitraum von 13 Monaten vorgehalten. Zugriff auf IAS-Server aus dem BSI-Lagezentrum sowie aus Fachreferaten. IAS als Bestandteil der täglichen Lagebeobachtung.

11 BSI, 122, Bierwirth 16.02.2009Folie 11 Auswertung Allein mengenmäßig sind die Daten eine Herausforderung! Garbage in – garbage out? In der Regel werden nur Deskriptoren der wichtigsten Dienste und Protokolle (automatisch) analysiert. In Einzelfällen müssen zahlreiche weitere Deskriptoren zur Analyse herangezogen werden. D1: ||||||||||||||||||| D2: ||||||||||||| D3: ||| D4: ||||||| D5: |||||||||||| (Deskriptoren) ? D1: ||||||||||||||||||| D2: ||||||||||||| D3: ||| D4: ||||||| D5: |||||||||||| (Deskriptoren) D1: ||||||||||||||||||| D2: ||||||||||||| D3: ||| D4: ||||||| D5: |||||||||||| (Deskriptoren)

12 BSI, 122, Bierwirth 16.02.2009Folie 12 Lifecycle der IAS-Messdaten Erfassung und Anonymisierung des Netzwerk-Datenflusses. Aggregation der Zählerstände im 5-Minuten-Intervall. Übertragung an IAS-Server mit Identifizierung des Standortes. Speicherung, Schwellenwert-Vergleich, manuelle Recherche usw. 0101 1 tcp.port= 80 IIII II deskriptor.counter=927 Δ =3, 4 σ =7, 3 Langzeit-Datenbank Vergleich mit Schwellenwert Neuberechnung der Schwellenwerte Zählerstand-Übertragung (Deskriptoren) an IAS-Server Datenabgriff, Anonymisierung, Aggregation als Zählerstände Kurzzeit-Datenbank IAS- Sensor IAS-Server und Datenbank

13 BSI, 122, Bierwirth 16.02.2009Folie 13 Beispiel: Scans auf 445/TCP Korrelierender Trend an unabhängigen Standorten.

14 BSI, 122, Bierwirth 16.02.2009Folie 14 Beispiel: Spam-Entwicklung E-Mail-Zustellversuche an einem Standort: September bis Dezember 2007: ca. 10 – 20 Mio. pro Tag. Januar bis April 2008: bis zu 40 Mio. pro Tag. Juni bis Oktober 2008: bis zu 60 Mio. pro Tag.

15 BSI, 122, Bierwirth 16.02.2009Folie 15 Beispiel: Browseranteile Anteile der verschiedenen Firefox-Versionen, 3.0.X im Detail In diesem Netzbereich überwiegend noch 2.0.X. Februar 2009: Patch von Version 3.0.5 auf 3.0.6 (Grün).

16 BSI, 122, Bierwirth 16.02.2009Folie 16 Beispiel: Mail-Attachments Top 5 der angehängten Dateitypen, 6. bis 13. Oktober 2008 IMAGE/GIF IMAGE/JPEG APPL/OCTET-STREAM APPL/MSWORD APPL/PDF

17 BSI, 122, Bierwirth 16.02.2009Folie 17 Potenzial der manuellen Recherche Das IAS ermöglicht umfassende Übersichten wichtiger Internetdienste: DNS, HTTP, SMTP... Es können viele Aussagen getroffen werden: Kurzfristige Antworten, z.B. bei Schwachstellen wichtig: Zu welchem Anteil wird Browser XYZ eingesetzt? Langzeittrends: Spam, VoIP, HTTP gegenüber HTTPS usw. Zusammenhänge der Protokolle untereinander. Nahezu Echtzeit-Analyse bei Vorfällen (mit klaren Grenzen). Die Analysten brauchen verständliche Zusammenhänge, daher Fokus auf einfachen Auswertungen. [...]

18 BSI, 122, Bierwirth 16.02.2009Folie 18 Anomalieerkennung mit dem IAS Für ausgewählte Deskriptoren, basierend auf Messwerten der letzten Wochen, Unterscheidung von Tagen / Stunden Schwellenwert = Durchschnittswert + Toleranz Eher pragmatischer Ansatz, weniger wissenschaftlich. Liefert ggf. Indizien für sicherheitskritischen Vorfall.

19 BSI, 122, Bierwirth 16.02.2009Folie 19 IAS-Lagebild mit Nagios Automatische Überwachung ausgewählter Deskriptoren Auswertung der aktuellen Daten (fast Echtzeit) Visualisierung von Schwellenwert-Überschreitungen Dadurch: kompakte Zustandsdarstellung

20 BSI, 122, Bierwirth 16.02.2009Folie 20 Warnung bei Anomalie E-Mail mit Link auf automatisch generierte Informationen:

21 BSI, 122, Bierwirth 16.02.2009Folie 21 Handlung bei Anomalie Bei überschrittenem Schwellenwert: Detailierte Recherche in IAS-Daten Suche nach korrespondierenden Ereignissen und Zusammenhängen Bewertung der Erkenntnisse (Erfahrung) Reaktion sowie ggf. Anpassung der Metriken

22 BSI, 122, Bierwirth 16.02.2009Folie 22 Info-Pyramide Signale 010011, Licht Daten Zählerstände Beobachten, Messen Informationen Trends, Anomalien Organisieren Wissen, Kenntnis Analysen, Korrelationen Verstehen Volumen beachten! Weisheit, Erfahrung Weisheit, Erfahrung Lagebild Anwenden

23 BSI, 122, Bierwirth 16.02.2009Folie 23 TCP-SYN- und ICMP-Flooding, zufällige gleichbleibende TCP-Highports, 1000-fach gestiegener Traffic. Beispiel: Großer DDoS-Angriff Abwehrmaß- nahmen TCP-SYN Port 26876 Port 27269 Ende des Angriffs

24 BSI, 122, Bierwirth 16.02.2009Folie 24 Beispiel: DNS-Anomalie Überschreitung des Schwellenwerts am 16.12.2008 Korrelation an mehreren unabhängigen Standorten. Analyse: Versuchter DNS-Amplification-Attack ( ISC).

25 BSI, 122, Bierwirth 16.02.2009Folie 25 Beispiel: Schwachstelle MS08-067 1 2 3 4 23.10.2008: Schwachstelle in Windows-RPC-Dienst, Exploit über Port 445/TCP möglich. CERT-Bund Warnung (1) 03.11.2008: Wurm zu MS08-067 in the wild gesichtet. (2) 27.11.2008: Microsoft beobachtet zunehmende Verbreitung. (3) Januar 2009: Wurm-Infektionen in Kärntner Regierung sowie bei britischer Armee. 19.01.2009: F-Secure berichtet von etwa neun Millionen befallenen W32-Systemen. (4)

26 BSI, 122, Bierwirth 16.02.2009Folie 26 Zusammenfassung Die IAS-Sensorik arbeitet datenschutzrechtl. unbedenklich. Mit Anomalieerkennung und manueller Recherche lässt sich – trotz abstrakter Daten – erstaunlich viel herausfinden. Je mehr interessante Sensoren, desto aussagekräftiger die Analysen, Erfahrungen und Bewertungen. Die zentrale Datenbasis mit diversen Auswertungen liefert im BSI eine wichtige Ergänzung zum Sicherheitslagebild, zur Vorfallsanalyse sowie zur Krisenreaktion.

27 BSI, 122, Bierwirth 16.02.2009Folie 27 BSI Lagezentrum

28 BSI, 122, Bierwirth 16.02.2009Folie 28 Vielen Dank - Fragen ??? Bundesamt für Sicherheit in der Informationstechnik (BSI) Martin Bierwirth Godesberger Allee 185-189 53175 Bonn Tel: +49 (0)22899-9582-5119 Fax: +49 (0)22899-10-9582-5119 martin.bierwirth@bsi.bund.de www.bsi.bund.de www.bsi-fuer-buerger.de

29 BSI, 122, Bierwirth 16.02.2009Folie 29 Beispiel: Browserverteilung Top 9 der verwendeten Browser, Oktober 2008 * Exotische Browser, für die keine Deskriptoren existieren. MS IE 6 MS IE 7 OTHERS * FIREFOX 3.0 FIREFOX 2.0 Webcrawler Safari...

30 BSI, 122, Bierwirth 16.02.2009Folie 30 Beispiel: Browseranteile Anteile von IE und Firefox, incoming, Sept. - Nov. 2008 IE 6.0: 35%, IE 7.0: 35%, Firefox 3.0: 20%, Firefox 2.0: 10% (in Summe ca. 70 – 80% des HTTP-Gesamttraffics)