pentests in kritischen infrastrukturen · mit der secunet pentest-strategie werden die werte des...
TRANSCRIPT
Pentests in Kritischen Infrastrukturen
09.10.2018 Pentests in Kritischen Infrastrukturen Seite 3
Harte Fakten über Ihre Systeme
+ Typische Schwachstellen – eine Auswahl + Ursachen von Schwachstellen + Pentest Flavours + secunet Pentest Strategie + Tools, Techniken und Team + Bedarfsbetrachtung
Pentests & Angriffssimulationen Moderne IT-Systeme enthalten
unentdeckte Fehler, die sich von Hackern ausnutzen lassen
Alte IT-Systeme enthalten entdeckte Fehler, die sich von IT-Laien ausnutzen lassen
Pentests bieten mit überschaubarem Budget ein aktuelles Lagebild der IT-/OT-Landschaft
09.10.2018 Pentests in Kritischen Infrastrukturen Seite 4
Schwachstellen in IT-Systemen – ein Presserundblick
CERT Bund warnt gegenwärtig vor der „Chef-Masche“ heise, 27.03.2018
Zahlenfolge „123456“ immer noch beliebtestes Passwort in Deutschland heise, 22.12.2017
WPA2: Forscher entdecken Schwachstelle in WLAN-Verschlüsselung heise, 16.10.2017
Analyse zur Prozessorlücke: Meltdown und Spectre sind ein Security-Super-GAU heise, 05.01.2018
09.10.2018 Pentests in Kritischen Infrastrukturen Seite 5
Typischer Schwachstellen – ein Erfahrungswert
zu offenes Nutzer- und Rollenkonzept innerhalb der Domäne
fehlende Security Awareness der Mitarbeiter
unzureichende interne und externe Angriffserkennung
wichtige System- und Anwendungsupdates werden nicht zeitnah eingespielt
09.10.2018 Pentests in Kritischen Infrastrukturen Seite 6
Technische Ursachen mangelndes Patch-Management fehlende Systemhärtung veraltete / vergessene Systeme fehlende interne Schutzzonen Fehlendes Sicherheitslagebild (temporär & dauerhaft)
Organisatorische Ursachen
fehlende Risikobetrachtungen & Sicherheitskonzepte
ungenügendes Berechtigungsmanagement
zu geringe Priorität & Budgets für IT-Sicherheit
zu hohe Arbeitslast für IT-Mitarbeiter
unterschätzte „Mitarbeiterkreativität“
Weitere Ursachen von Schwachstellen
09.10.2018 Pentests in Kritischen Infrastrukturen Seite 7
Typische Ziele eines Angriffs
Mitarbeiter (Mitarbeitersysteme, Mobile Systeme, Mobile Device Management)
Gebäude (Zugangs- und Zutrittsschutz, Gebäudemanagement)
Netze (Router, Switches, VPN NAC, Datenabfluss)
Endgeräte (Desktops, Laptops, Handys PLCs, Aktoren, Sensoren)
Server (File-, Datenbank-, Mail-, Backup-Server, Leitstand)
09.10.2018 Pentests in Kritischen Infrastrukturen Seite 8
Bedarfsbetrachtung
Transformation
09.10.2018 Pentests in Kritischen Infrastrukturen Seite 9
Das typische Vorgehens eines Pentests
Vorgehen pro Arbeitspaket folgt grundsätzlich dem gleichen Schema:
1. Asset-Identifikation Auswahl von Analysetyp und Zielen
2. Durchführung der Analyse Technische Prüfung
3. Bewertung der Ergebnisse Überprüfung & Anpassung
4. Ableitung von Maßnahmen Dokumentation empfohlener Maßnahmen
5. ggf. ReTests (Sprung zu Schritt 2) Bei Bedarf erneute Analyse
ReTest
Analyse
Asset-Identifikation
Bewertung
Ableitung von Maßnahmen
1)
2)
5)
3)
4)
09.10.2018 Pentests in Kritischen Infrastrukturen Seite 10
Angriffssimulationen und Pentests
Pentests Angriffssimulation Viele Angriffspfade Post-Exploitation
Red Teaming verdeckte Angriffssimulation Bester Angriffspfad
Network Reconnaissance Breiter Überblick
Wenig manuelle Verifikation Intensive Nutzung von Scannern
Detailanalysen Fokussierung auf ein System
Intensive manuelle Verifikation
N P
D R
Basis-Analysen Fokus auf Systeme
Erweiterte Analysen Fokus auf Daten
09.10.2018 Pentests in Kritischen Infrastrukturen Seite 11
Angriffssimulationen und Pentests: Network Reconnaissance
Schneller Überblick über viele Systeme
Kostengünstiger Einstieg in Sicherheitsanalysen
Wenig manuelle Verifikation
Intensive Nutzung von Tools (Schwachstellenscanner)
Gute Ergebnisse für fehlende Patches nicht optimale Konfiguration
Anwendbar für (ein Auszug)
extern erreichbare Netze
interne Netzstrukturen inkl. VPN-Anbindungen
Fokus auf Systeme
Verteilung
betrachtete Systeme manuelle Verifikation
Auffälligkeit
Angriffspfade
Exploiting
Aufwand
09.10.2018 Pentests in Kritischen Infrastrukturen Seite 12
Angriffssimulationen und Pentests: Detailanalysen
Verteilung
betrachtete Systeme manuelle Verifikation
Auffälligkeit
Angriffspfade
Exploiting
Aufwand
Fokus auf Systeme
Detaillierte Betrachtung eines Systems
Während des Tests zumeist nicht produktiv Keine negativen Auswirkungen zu erwarten
Keine Rücksichtnahme auf Auffälligkeit
Ausnutzung von Exploits nur in Absprache
Intensive manuelle Verifikation der Schwachstellen
Anwendbar für (ein Auszug) Firewalls, Router, Switches, VPN Server, Datenbanken, Webportale Desktops, Laptops, Tablets, Handys
09.10.2018 Pentests in Kritischen Infrastrukturen Seite 13
Angriffssimulationen und Pentests: Pentests
Fokus auf Daten
80% Angriffssimulation
Erster Schritt in Richtung Red Team Einsatz
Ziele werden zusammen mit Auftraggeber bestimmt
Intensive Exploitnutzung
Keine Rücksichtnahme auf Auffälligkeit
Alle Aktionen in enger Abstimmung mit IT-Leitung
Verteidigungs-Stress-Test kontrollierter Umgebung
Verteilung
betrachtete Systeme manuelle Verifikation
Auffälligkeit
Angriffspfade
Exploiting
Aufwand
09.10.2018 Pentests in Kritischen Infrastrukturen Seite 14
Angriffssimulationen und Pentests: Red Teaming
Fokus auf Daten
100% Angriffssimulation
Zielt auf die „Kronjuwelen“
Der ultimative Test der Verteidigungsfähigkeit
Intensive Exploitnutzung
Maximal verdeckte Operationen
Minimale Information der IT-Mannschaft
Unterstützt durch Social-Engineering
Einsatz spezifischer Malware nach Absprache
Indirekte Prüfung von internen Notfallplänen
Verteilung
betrachtete Systeme manuelle Verifikation
Auffälligkeit
Angriffspfade
Exploiting
Aufwand
09.10.2018 Pentests in Kritischen Infrastrukturen Seite 15
Übersicht: die vier secunet Pentest-Flavours
Verteilung
Betrachtete Systeme
manuelle Verifikation
Auffälligkeit
Angriffspfade
Exploiting
Aufwand
09.10.2018 Pentests in Kritischen Infrastrukturen Seite 16
Vom Pentest…
Einzelne Pentests schaffen Momentaufnahmen
Übergabe der Dokumentation beendet üblicherweise einen Pentest
Waren Behebungen erfolgreich?
Wiederholte Pentests schaffen Mehrwerte ReTests bereits geprüfter Komponenten validieren Behebungen Tests neuer Komponenten erweitern die Sicht: Sukzessive wird das ganze Unternehmen geprüft Ein IT-Sicherheitslagebild entsteht
IT- Lagebild
Fokus Daten Systeme
09.10.2018 Pentests in Kritischen Infrastrukturen Seite 17
…zur Pentest-Strategie im Unternehmenskontext
+ Aktualisierung des IT-Lagebilds + Festigung des angemessenen
IT-Sicherheitsniveaus + Überschaubare Aufwände + Schulung der Beteiligten + Planbare Kosten
+ Scans + Detailanalysen + Erweiterte Pentests + Organisatorische
Betrachtungen + Awareness-Maßnahmen + Security Monitoring
+ Abstimmung von Analyseverfahren + Identifikation der relevanten Ziele + Regelmäßige Wiederholungen + Verfolgen von Maßnahmen + Definition Testzeiträumen + Verpflichtende ReTests
Welche Vorteile bietet die Pentest-Strategie?
Kombinierbare Elemente?
Was beinhaltet die Pentest-Strategie?
09.10.2018 Pentests in Kritischen Infrastrukturen Seite 18
Typische Penteststrategie in einem Unternehmen
+ Start mit Scans + Im Internet
erreichbare Systeme
+ Überblick über schwache Systeme
+ Überprüfung gefundener Schwachstellen
+ Interne Scans + Detailanalysen
häufiger Systeme
+ Lagebild ist vorhanden
+ Fokuswechsel: Datenzugriff
+ Erweiterte Pentests mit Zugriffsziel
+ Alle Systeme in einem gute Zustand
+ Neues Ziel: Erkennung von Angriffen
+ Red-Teaming
09.10.2018 Pentests in Kritischen Infrastrukturen Seite 19
Schwachstellen Mitigation
Transformation
09.10.2018 Pentests in Kritischen Infrastrukturen Seite 20
secunet T4 – Tools, Techniken, Typen und Teams
Freie Tools & Eigenentwicklungen
Bieten schnellen Überblick
Low-Hanging-Fruits
Tools A fool with a tool …
Einsatz von Tools nicht ausreichend
secunet entwickelt System-spezifische Techniken
Techniken Hacker“-Mindset
Hohes persönliches Engagement
Vertrauens-würdigkeit
Kriminelles Denken ohne kriminelle Vorgeschichte
Typen 14 ausschließliche Pentester in zwei Teams
Durch Kombination noch schlagkräftiger
Backup mit 450 weiteren Experten unterschiedlichster Ausrichtung
Teams
09.10.2018 Pentests in Kritischen Infrastrukturen Seite 21
Fazit
secunet berät und unterstützt Sie gerne bei der Erstellung und Umsetzung Ihrer persönlichen Penteststrategie
Fakt ist… IT/OT-Systeme werden permanent angegriffen Einzelne Pentests schaffen „nur“ Momentaufnahmen
Wie wird sichergestellt, dass die geprüften Bereiche auf dem angestrebten Sicherheitsniveau bleiben?
Regelmäßige Pentests schaffen Mehrwerte durch ein vollständiges Sicherheitslagebild Frühe Planung & Einbindung der Pentests in den IT-Sicherheitsprozess des Unternehmens sparen Kosten
Was ist zu tun? Mit der secunet Pentest-Strategie werden die Werte des Unternehmens effektiv geschützt
09.10.2018 Pentests in Kritischen Infrastrukturen Seite 22
Referenzen
secunet ist der größte ganzheitliche Anbieter für anspruchsvolle IT-Sicherheit in Deutschland und seit vielen Jahren Sicherheitspartner der Bundesrepublik Deutschland. secunet arbeitet mit verschiedenen Verbänden und Organisationen aus Forschung, Standardisierung und Normierung (DIN, ISO, DKE) zusammen und definiert z. B. gemeinsam mit Regulierern (BSI, BMWi) Anforderungen an IT-geschützte Betriebsprozesse oder auch Anforderungen für die intelligente Vernetzung im Versorgerumfeld.
secunet Security Networks AG
Wir schützen Ihre Systeme. [email protected]