usingthreat intelligence to improveyour cyber resilience · cyber resilience dirk beste, principal...
TRANSCRIPT
Using Threat Intelligence
to Improve Your
Cyber Resilience
Dirk Beste, Principal Sales Engineer/Technisches Gewissen
Georg Ahbel, Sales Director
Viktor Ziegler, Manager Channel Sales
COPYRIGHT © 2019 LASTLINE, INC. ALL RIGHTS RESERVED. 22
Weltweit führende Sicherheitsexperten
4 der 11 führenden Professoren im
Bereich Sicherheit
Über 15 Jahre Forschung im Bereich
Malware-Erkennung und -verhalten
Forschungsbereiche:
Web Traffic Analyse
Large-scale Netflow Analyse
Erkennung von Evasive Malware
Statische und dynamische Analyse
Ranking http://s3.eurecom.fr/~balzarot/notes/top4/index.html
Christopher
Kruegel
Giovanni
Vigna
Engin
Kirda
COPYRIGHT © 2019 LASTLINE, INC. ALL RIGHTS RESERVED. 3
Lastline – Vergangenheit und Zukunft
Angewandte Forschungsprojekte als Grundlage: Anubis
Wepawet
Erstklassige Sandbox, auch von vielen OEMs verwendet
Heute Network Threat Analytics mit KI Unterstützung
Der heilige Gral der IT-Security: voll automatisierte Systeme Nord-Süd Erkennung (ein und ausgehende E-Mail‘s und Web) funktioniert
heute gut, weitgehend automatisiertes Blocken zumindest bei E-Mails gängig
Ost-West Erkennung, Lateral Movement (Ausbreitung im Kundennetzwerk) noch nicht
Incident Response
COPYRIGHT © 2019 LASTLINE, INC. ALL RIGHTS RESERVED. 4
Was ist Threat Intelligence (TI) ?
Es gibt organisatorische und technisch erworbene TI
Basiert auf IoC’s – Indicator of Compromise
CART
Complete - Komplett
Accurate - Genau
Relevant - Relevant
Timely - Zeitnah
COPYRIGHT © 2019 LASTLINE, INC. ALL RIGHTS RESERVED. 5
Was ist Cyber Resilience (CR) ?
Cyber Resilience: Wenn Sicherheitskontrollen
fehlschlagen, können Sie ungewöhnliches und
unregelmäßiges Verhalten mit ausreichendem Kontext
erkennen, um das Risiko für die Organisation zu
verstehen?
https://en.wikipedia.org/wiki/Cyber_resilience
COPYRIGHT © 2019 LASTLINE, INC. ALL RIGHTS RESERVED. 6
Cyber Resiliency heißt:
Verlust von geistigem Eigentum vermeiden
Verlust von regulatorisch kontrollierten Daten vermeiden
Erhaltung der Einsatzfähigkeit
COPYRIGHT © 2019 LASTLINE, INC. ALL RIGHTS RESERVED. 7
Cyber Resilience benötigt vollständige Sichtbarkeit
C & C
COMMUNICATION
REDIRECT TO
EXPLOIT URL
Data
Exfiltration
DRIVE-BY
EXPLOIT KIT
AngreiferMitarbeiter
INTERNAL RECON
PORT SCANS
ASSET
DISCOVERY
PRIVILEGE
ESCALATION
RDP
PROTOCOLLARGE
FILE
UPLOAD
ENGINEERING
MACHINE
ENGINEERING
CODE SERVER
Maliziöser
Download
COPYRIGHT © 2019 LASTLINE, INC. ALL RIGHTS RESERVED. 8
Bitkom - Angriffehttps://www.bitkom.org/Bitkom/Publikationen/Wirtschaftsschutzstudie-2018.html
COPYRIGHT © 2019 LASTLINE, INC. ALL RIGHTS RESERVED. 9
Bitkom –Angreifer und Schädenhttps://www.bitkom.org/Bitkom/Publikationen/Wirtschaftsschutzstudie-2018.html
COPYRIGHT © 2019 LASTLINE, INC. ALL RIGHTS RESERVED. 10
Die Wahrscheinlichkeit eines Data Breaches erhöht sich
SOURCE: PONEMON
Über 12000 Data Breach Notifications seit Einführung
bis Ende Januar 2019
COPYRIGHT © 2019 LASTLINE, INC. ALL RIGHTS RESERVED. 11
Wohin geht die Reise?
COPYRIGHT © 2019 LASTLINE, INC. ALL RIGHTS RESERVED. 12
Suche in der Lastline Intelligence und Ergebnisse
Strategisch - Taktisch
Extern - Intern
COPYRIGHT © 2019 LASTLINE, INC. ALL RIGHTS RESERVED. 14
Negative Erfahrungen mit externer TI
COPYRIGHT © 2019 LASTLINE, INC. ALL RIGHTS RESERVED. 15
Negative Erfahrungen mit externer TI
COPYRIGHT © 2019 LASTLINE, INC. ALL RIGHTS RESERVED. 16
Negative Erfahrungen mit externer TI
COPYRIGHT © 2019 LASTLINE, INC. ALL RIGHTS RESERVED. 17
Meinungen aus der Branche
Interne TI-Daten
gewinnen an
Bedeutung
Mitarbeiter können mit
den externen Daten
nicht umgehen
Nicht relevante IoCs
Zu viel Volumen
Triage Blindheit
Tiefhängende Früchte
COPYRIGHT © 2019 LASTLINE, INC. ALL RIGHTS RESERVED. 18
Die allerwertvollste
Intelligenz befindet sich im
eigenen Netzwerk
COPYRIGHT © 2019 LASTLINE, INC. ALL RIGHTS RESERVED. 19
Wozu noch externe TI? CISO Metriken
What is the encounter rate for orgs of my size/industry/region?
What is the expected resilience rate. vs normalized?
How do I encounter threats vs normalized?
What is the capacity of the threats vs normalized?
How do I compare?
2018 MalscapeMonitor Report
COPYRIGHT © 2019 LASTLINE, INC. ALL RIGHTS RESERVED. 20
Global Malscape Findings
Angreifer verwendeten über 40 Dateitypen, um Unternehmen anzugreifen
1 von 500 Angriffen infiltrieret die Unternehmen
Sie sind Patient 0 in 65% der der Angriffe
1 von 12 Bedrohungen zeigten erweiterte Fähigkeiten
90% der Detektionen sind generisch und werden auch genauso generisch behoben
Bedrohungskampagnen sind von Geographie zu Geographie sehr unterschiedlich
COPYRIGHT © 2019 LASTLINE, INC. ALL RIGHTS RESERVED. 21
Kundenvergleich
COPYRIGHT © 2019 LASTLINE, INC. ALL RIGHTS RESERVED. 22
Maliziöse Ergebnisse anhand des Payload Typs
NE3 NE5
COPYRIGHT © 2019 LASTLINE, INC. ALL RIGHTS RESERVED. 23
Namensgebung von Malware
COPYRIGHT © 2019 LASTLINE, INC. ALL RIGHTS RESERVED. 24
Unclassified und Undetected
Transformation zu
interner Threat
Intelligence zur
taktischen Verwendung
COPYRIGHT © 2019 LASTLINE, INC. ALL RIGHTS RESERVED. 26
Analyse auf VirusTotal Tag 1
COPYRIGHT © 2019 LASTLINE, INC. ALL RIGHTS RESERVED. 27
Analyse auf VirusTotal Tag 12
COPYRIGHT © 2019 LASTLINE, INC. ALL RIGHTS RESERVED. 28
Magchris.ga
COPYRIGHT © 2019 LASTLINE, INC. ALL RIGHTS RESERVED. 29
Interne und externe Intelligenz
COPYRIGHT © 2019 LASTLINE, INC. ALL RIGHTS RESERVED. 30
Advanced Cyber Defence
Delivery Exploitation CnC Credentials Discovery Lateral Collection Exfiltration
Artificial Intelligence
Behavioral Intelligence
Threat Intelligence
Modelling Countermeasure
Integration
COPYRIGHT © 2019 LASTLINE, INC. ALL RIGHTS RESERVED. 31
AI Done Right - Last Line of Defence
Netzwerk Verkehr
Künstliche
Intelligenz
Normale Aktivität
& für gut befundene Dateien
Ungewöhnliche
Aktivitäten
& verdächtige
Dateien
Besiegt Advanced Threats
Eliminiert False Positives
Zeigt die Angriffskette
Zeigt die Verbreitung
False Positives
Künstliche Intelligenz
Mit Bewusstsein über gelerntes
Malware Verhalten
COPYRIGHT © 2019 LASTLINE, INC. ALL RIGHTS RESERVED. 32
Zusammenfassung
Wozu brauche ich diese Informationen?
Informationsgewinnung, die CART ist
Füttern von existierenden Drittsystemen
Proxies, Firewall, Mailgateways, NAC etc
Liefert wichtige Informationen für das eigene SOC
Auch in Kombination mit Controlware CDC
Cyber Defense Service
=> Erhöht die Cyber Resiliency
Fragen?
Danke für Ihre
Aufmerksamkeit!