bo session tag1 1400 feger plenum vortrag kof … · title:...
Post on 12-Jul-2018
219 Views
Preview:
TRANSCRIPT
Agenda
Lagebild 2017 des Sächsischen Verwaltungsnetzes* Wurden Sie heute schon gehackt? Anatomie eines Angriffs HoneySens Schlussbetrachtung
* SVN
Lagebild SVN 2017Angriffe auf die Kopfstelle
+28%gegenüber 2016
Insgesamt rund 1 Petabyte pro Jahr eingehender Verkehr im SVN(entspricht 1.000 Terabyte bzw. 1.000.000.000.000.000 Byte)
[200.000 DVDs]
1.800 Angriffeabgewehrt
Lagebild SVN 2017E-Mail
79 Mio. E-Mailsverworfen
rund 36.700Schadprogramme
entfernt
Rund 110 Mio. E-Mails empfangen
31 Mio. E-Mails ausgeliefert
Lagebild SVN 2017Webverkehr, http und https
Verschlüsselter Verkehr kann (darf) nicht gescannt werden.
rund 25.000 Schadprogramme imunverschlüsselten Webverkehr
entfernt
56%44%
Wurden Sie heute schon gehackt?…oder haben Sie es noch gar nicht bemerkt?
0%
10%
20%
30%
40%
50%
60%
70%
Sekunden Minuten Stunden Tage Wochen Monate Jahre
Ante
il Sc
hads
oftw
are
Zeit von Infektion bis Erkennung
Wurden Sie heute schon gehackt?…oder haben Sie es noch gar nicht bemerkt?
0%
10%
20%
30%
40%
50%
60%
70%
Sekunden Minuten Stunden Tage Wochen Monate Jahre
Ante
il Sc
hads
oftw
are
Zeit von Infektion bis Erkennung
The global median time from compromise todiscovery has dropped significantly from 146days in 2015 to 99 days 2016, but it is still notgood enough.Mandiant M-Trends 2017
Quelle Diagramm: Verizon Data Breach Report 2013
Client-Honeypot Dioanea auf Raspberry Pi 19.07.2013 bis 07.09.2013 6337 Verbindungsversuche
mit 3311 angenommene Verbindungen
Angriffe aus 85 Ländern Top 10:
CN, RU, US, DE, TW, KR, NO, TR, BR, NL
Webserver-Honeypot Glastopf auf Debian-VM 09.06.2013 bis 07.09.2013 46.710 Verbindungen
(ohne Google etc.) 271 Malware Samples Angriffe aus 96 Ländern Top 10:
US, FR, CN, TR, RU, DE, CN, IN, NL, ID
Konfiguration: Exposed Host an Fritz Box Konfiguration: http://-Weiterleitung und DynDNS
Wurden Sie heute schon gehackt?Der normale Wahnsinn am häuslichenDSL-Anschluss
Anatomie eines Angriffs…gebt her Eure Daten…
Nutzerinfizieren
Trojanerüber C&C-
Servernachladen
Netzwerkerkunden
Datenquellefinden
Daten aufC&C-Server/
Dropzoneausleiten
Anatomie eines Angriffs…gebt her Eure Daten…
TechnikAlle Nutzer& Technik
Nutzerinfizieren
Trojanerüber C&C-
Servernachladen
Netzwerkerkunden
Datenquellefinden
Daten aufC&C-Server/
Dropzoneausleiten
TechnikAlle Nutzer& Technik
Anatomie eines Angriffs…und unsere Mittel dagegen
Nutzerinfizieren
Trojanerüber C&C-
Servernachladen
Netzwerkerkunden
Datenquellefinden
Daten aufC&C-Server/
Dropzoneausleiten
Statische Blocking-Listen
sind unzuverlässig
IDS bindet masssiv
Fachpersonal
Statische Blocking-Listen
sind unzuverlässig
Access Controlist eine
organisatorische Herausforderung
Klassischer AV-Schutz wird immer
unwirksamer
Anatomie eines Angriffs…und unsere Mittel dagegen
Nutzerinfizieren
Trojanerüber C&C-
Servernachladen
Netzwerkerkunden
Datenquellefinden
Daten aufC&C-Server/
Dropzoneausleiten
Klassischer AV-Schutz wird immer
unwirksamer
Statische Blocking-Listen
sind unzuverlässig
IDS bindet masssiv
Fachpersonal
Statische Blocking-Listen
sind unzuverlässig
Access Controlist eine
organisatorische Herausforderung
SensibilisierungMikrovirtualisierung
APT-SchutzSandboxing
Automatisches Blacklisting aus
APT-Schutz
Access Controlbleibt eine
organisatorische Herausforderung
Automatisches Blacklisting aus
APT-Schutz
Pros Tiefgehende Untersuchung der
Protokolle und Inhalte von Datenströmen möglich
Aktuelle Signaturen zur Erkennung fortschrittlicher Schadsoftware
Detektion komplexer Protokoll-/Inhalts-Angriffe
Bringt viel Leistung
Cons Rechtliche Unsicherheiten bei
der Untersuchung von Datenströmen
Hoher Aufwand bei der Pflege der Signaturen in heterogenen Systemen
Hochqualifiziertes Personal zur Betreuung des IDS erforderlich
Kostet viel Geld
IDSPros und Cons (sicher nicht vollständig)
HoneySensAusgangslage
Zu wenig Personal für durchgängigen Einsatz von IDS in unserem heterogenen System
Outsourcing ist teuer. Wenn überhaupt noch möglich… Angriffsmethoden werden immer intelligenter AV-Scanner werden immer unwirksamer
Nachweis durch eigene Tests im Jahr 2015 APT-Schutz ist mittlerweile Pflicht!
HoneySensZiele
Innentäter oder Eindringling in das Netzwerk (Trojaner, RAT) erkennen
Keine inhaltliche Analyse des Netzwerkverkehrs K.I.S.S.: Geringer Installations- und Wartungsaufwand Vertraulichkeit Einfaches, benutzerfreundliches Monitoring Bezahlbar „HoneySens as a Service“ soll möglich sein
A.k.a. Mandantenfähig
Hardwareplattform: Einplatinen-ComputerBeagleBone Black (ARM)
Preiswert, geringer Stromverbrauch, Formfaktor, integrierter persistenter Festspeicher, optionales PoE
Softwareplattform: Debian GNU/Linux Hochwertig gesicherte Client-/Server-Kommunikation Remote-Installation und Remote-Update Low-Interaction-Honeypot-Dienste: kippo (SSH),
dioanea (SMB/CIFS) Passive Scan Mode zur Aufzeichnung aller übrigen
Verbindungsversuche Portscan-Erkennungsroutine
HoneySensDie Sensoren
HoneySensDer Server
Linux-System mit geringer bis mittlerer Leistung
Betrieb als virtuelles System möglich Einsatz von Docker für den vereinfachten
Roll-Out und aufwandsarme Updates Mandaten-fähiges System z.B. Land – Ressorts – Kommunen auf
gleichem Server bei beibehaltener Eigenverantwortung
E-Mail-Alarmierung der jeweils zuständigen Administratoren
HoneySensProjektpartner
Projektidee und Auftraggeber des Forschungsprojekts:Sächsisches Staatsministerium des InnernReferat 65 „Informationssicherheit in der Landesverwaltung, Cybersicherheit“
Wissenschaftlicher Partner:Technische Universität DresdenLehrstuhl für Datenschutz und Datensicherheit
Praxispartner:SAX.CERT im Staatsbetrieb Sächsische Informatik Dienste
Umsetzung:Dipl. Inf. Pascal Brückner im Rahmen seiner Diplomarbeit als ProofOf Concept und in der Fortsetzung zum produktionsreifen System als wissenschaftlicher Mitarbeiter der TU Dresden
Produktion und Vertrieb:T-Systems Multimedia Solutions, Dresden
Schlussbetrachtung
HoneySens ist als kostengünstiges, leicht managebares Sensornetzwerk zur Erkennung von Netzwerkschnüfflern realisiert
Das System wird den gestellten Anforderungen gerecht Fortsetzung der Zusammenarbeit mit der Technischen Universität Dresden
zur weiteren Verbesserung und Härtung des Systems HoneySens, z.B. Sensor als virtuelle x86-Maschine (interessant für Rechenzentren) Integration in SIEM
Übergang vom Forschungsprojekt zum käuflichen Produkt ist erfolgt Entwicklung von Geschäftsmodellen, z.B. HoneySens as a Service
Erhöhung der Cybersicherheit bei KMU
Open Source-Version via GitHub wird verfügbar sein
top related