13. ISACA Trend Talk – Cybercrime - Cybersecurity

October 2nd , 2013

Aktuelle Bedrohungssituation

Wie schützt man sich in der Praxis ?

Wie reagieren – wenn es passiert ?

DI(FH) Stefan Deutinger | Security Officer Sony DADC International

stefan.deutinger@sonydadc.com

Kurzportait

CONFIDENTIAL

• Name: DI(FH) Stefan Deutinger

• Beruf: Information Security Officer für Sony DADC International

• Abgeschlossene Projekte:

– Aufbau eines ISO 27001 konformen Informationssicherheitsmanagementsystems für Sony DADC International und Americas

– ISO 27001 Zertifizierung der Regional Headquaters von Sony DADC International und Sony DADC Americas

– Rollout der Konzernsicherheitsrichtlinien auf alle internationalen Standorte von Sony DADC International

– Rollout der erforderlichen Prozesse zur Zertifizierung aller Produktionsstandorte von Sony DADC International nach CDSA CPS

– Diverse Technologieprojekte aus Bereichen wie

• Verschlüsselungstechnologien

• Intrusion Detection Systeme

• Automatisierte Logauswertung

• Vulnerability Management

• Webapplication Firewalls

• Abgeschlossene Projekte aus dem Bereich Ethical Hacking

– Ethical Hacking Projekt im Auftrag eines Automobilkonzerns

– Ethical Hacking Projekt im Auftrag eines Konzerns der Beleuchtungsindustrie

– Ethical Hacking Projekt im Auftrag eines Pharma Großhandels

– Lehrtätigkeit an der FH Salzburg zum Thema

– Diverse Vorträge

REALITÄTSCHECK

3

Die Realität …

Die Realität …

Die Realität …

Die Realität …

http://www.darkreading.com

Die Realität …

Die Realität …

9

Die Realität …

10

Die Bedrohungslandschaft ist riesig und ändert sich täglich

11

Quelle: Sophos

Unstrukturiertes Security Management ist ….

12

• Teuer

• Ineffizient

• Nicht zielgerichtet

Und adressiert häufig nur unzureichend die existentiellen

Bedrohungen und Risiken für ein Unternehmen.

Ein Security Incident Readiness Framework aus der Praxis

13

Security Incident

Readiness

– Was will ich schützen ?

– Wie würde sich ein Incident auf mein

Unternehmen auswirken ?

Risk Management

& BIA

ForensicReadiness

– Sind ausreichend Logdateien

und Systeminformationen

vorhanden, um den Incident

nachvollziehen und den

Schaden ermitteln zu können ?

– Wie können diese extrahiert

werden ? Incident

Response Plan &

Counter-meassures – Was sind die richtigen Schritte, die gesetzt werden

müssen ? Werden diese trainiert ?

– Welche Maßnahmen sind zu setzen, um ein

wiederholtes Auftreten zu verhindern ?

– Werden diese Korrekturmaßnahmen auch gesetzt ?

Threat Awareness

– Welchen Bedrohungen ist mein

Unternehmen ausgesetzt ?

– Wie entwickeln sich

Bedrohungen ?

Security Monitoring

&Incident

DetectionServices

– Finden derzeit Ereignisse statt,

die zu einem Incident werden

können ?

– Hat ein Incident stattgefunden ?

Security Controls

– Wie schütze ich meine Assets ?

– Wie effektiv ist der Schutz ?

RISK MANAGEMENT

14

Risk Management / Business Impact Analysis

15

Das Unternehmen

• Mission

• Vision

• Strategy

• Business Plan / Business Processes

• Assets

Zentrale Fragestellungen

• Was sind meine kritischen Geschäftsprozesse ?

• Welche “Assets” benötige ich um diese zu erbringen ?

• Welchen Bedrohungen sind diese Assets ausgesetzt ?

• Wie gut sind sie derzeit geschützt ?

• Wie lange kann ich auf einzelne „Assets“ verzichten ?

• Welche Daten haben einen besonderen Schutzbedarf ?

Geschäftsprozess Modellierung

16

Business Process AProcess Owner A

Business Process AProcess Owner A

Asset 1Asset 1 Asset 2Asset 2 Asset 3Asset 3

Asset Owner IAsset Owner I Asset Owner IIAsset Owner II Asset Owner IIIAsset Owner III

Ein Unternehmen besteht aus mehreren Geschäftsprozessen, die …• Produkte und Dienstleistungen für interne und externe Kunden schaffen

• Definierten Anforderungen entsprechen müssen

• Die gegen diese definierten Anforderungen gemessen werden

• Von einem “Process Owner” verantwortet werden.

Ein Geschäftsprozess verwendet ein oder mehrere Assets, die • Benötigt werden um den Prozess durchzuführen

• Gemeinsam in der Lage sind die Geschäftserfordernisse zu bedienen

Assets werden von Asset Ownern bereitgestellt, die ..• die Geschäftserfordernisse verstehen müssen

• An operative Rahmenbedingungen wie rechtliche

Rahmenbedingungen, Spezifikationen oder operative Limitierungen

(bspw. Infrastrukturelle Kapazitätsgrenzen gebunden sind)

Der ISO 27001 Standard hilft dabei die kritischen Assets und ihre Asset Owner zu identifizieren

und bietet einen strukturierten Ansatz zur Risikoanalyse.

Geschäftsprozess Modellierung

17

Business Process AProcess Owner A

Business Process AProcess Owner A

Business Process BProcess Owner B

Business Process BProcess Owner B

Business Process CProcess Owner C

Business Process CProcess Owner C

Asset 1Asset 1 Asset 2Asset 2 Asset 3Asset 3 Asset 5Asset 5 Asset 6Asset 6 Asset 7Asset 7 Asset 8Asset 8 Asset 9Asset 9

Asset Owner IAsset Owner I Asset Owner IIAsset Owner II Asset Owner IIIAsset Owner III Asset Owner IVAsset Owner IV

Business Impact Analysis

Operational Risks

Risk Management

Internal Audits

Compliance

Training

Mgmt. Review

Cont. Improvement

Business Continuity Mgmt.

Business RequirementsContractual Requirements, Service Level Agreements,

Operational Requirements/BoundariesLegal Requirements, Policy Requirements, Standard Requirements, Infrastructure- and Ressource Boundaries

ISO 27001 beschreibt ein Management System, dass aufgrund der Eigenschaften Confidentiality, Integrity

and Availability Company Assets klassifiziert und den „Good decision making process“ unterstützt.

Risk = Threat(Business Impact) x Likelihood

18

Assets

Risk Treatment Options: Avoid, Accept. Reduce, Transfer

THREAT AWARENESS / THREAT INTELLIGENCE

19

Es gibt verschiedene Arten von Bedrohungen

20

Organisatorische Mängel wie fehlende Richtlinien, SOPs, Prozesse und Trainings

Menschliches Versagen wie fehlendes Sicherheitsbewusstsein und Nichteinhaltung der definierten Regeln und Richtlinien

Technisches Versagen wie Stromausfälle, Computerstörungen, Server-, Netzwerkstörungen

Desaster wie Brände, Wassereintritt, …

Vorsätzliche Handlungen im Bereich der Wirtschaftskriminalität, Diebstähle, Cybercrime, Viren und Würmer

Organisatorische Mängel

Menschliches Versagen

Technisches Versagen

Desaster

Vorsätzliche Handlung

Cybercrime Bedrohungen

21

CyberCrime

shared

targeteddrive by

Scanbots

Worms

…

Spear Phishing

Social Engineering

DDoS

APTs

Reverse Engineering

Web application Hacking

State Developed Malware

…

Vulnerability Scanning

Password Stealers

Botnets

Trojans

Google Hacking

Injection Attacks

Brute Forcing

Ransomware

…

Cybercrime Bedrohungen und Detektierbarkeit

22

DoS / DDoSDefacementsBruteforcing

Vulnerability Scans /Exploitattempts

Webapplication Hacking…

DoS / DDoSDefacementsBruteforcing

Vulnerability Scans /Exploitattempts

Webapplication Hacking…

ScanbotsWormsSPAMHOAX

…

ScanbotsWormsSPAMHOAX

…

APTsSocial Engineering

Spear PhishingLeaked Passwords

Insider Attacks

APTsSocial Engineering

Spear PhishingLeaked Passwords

Insider Attacks

Botnet InfectionsPersonallized Malware

Password StealersMobile Device Exloits0 day vulnerabilities

…

Botnet InfectionsPersonallized Malware

Password StealersMobile Device Exloits0 day vulnerabilities

…

DetectabilityPreventability

HIGH

LOW

TARGETED DRIVE BY SHARED

APTsSocial Engineering

Spear PhishingLeaked Passwords

Insider Attacks

APTsSocial Engineering

Spear PhishingLeaked Passwords

Insider Attacks

Anatomie eines Angriffs

23

Reconnaissance Phase

Probe and Attack

Initial Access

Privilege Escalation

Backdoor Implementation

Remove Evidence

Recon

Infiltration

PrivilegeEscalation

Exfiltration

Anatomie eines Angriffs – gegen IT Infrastrukturen

24

“IT Fernangriff – gegen Systeme”

Grundlegende Vorgehensweise:

- Auffinden angreifbarer Ziele (Server, Gateways)

- Auffinden angreifbarer Dienste

- Versionsbestimmung dieser Dienste

- Suche nach bekannten Schwachstellen

- Analyse der Konfiguration

- Analyse verfübarer Exploits

- Anwendung verfügbarer Exploits

Toolunterstützung:

- DNS / Ripe tools

- nmap

- nc

- Fingerprinting Tools

- Vulnerability Scanner

- Exploit Frameworks

Anatomie eines Angriffs – gegen IT Infrastrukturen

25

Reconnaissance - Internet

- DNS Reverse Lookups- RIPE Analyse- Google Hacking- Port Scanning- Banner Grabbing- Application Mapping- OS Fingerprinting- Vulnerability Scanning- Webvulnerability Scanning / Crawling- WLAN Hot Spot Maps

Reconnaissance – PSTN, Vor Ort

- War Dialing- War Driving

Probe and Attack

- Password Bruteforcing / Dictionary Attacks- Remote Exploits- Command Injection- SQL Injection- Reverse Engineering- Parameter Manipulation

Anatomie eines Angriffs – gegen User

26

“IT Fernangriff – gegen User”

Grundlegende Vorgehensweise:

- Auffinden angreifbarer “User”

- Analyse der Organisationshierachien

- Analyse der “Stakeholder”

- Suche nach Themen / Anknüpfungspunkten

- Vertrauen aufbauen / Grundvertrauen nutzen

- Protokoll Headeranalysen

- Schadsoftware erstellen

- Schadsoftware imunisieren

- Trojanisieren von Nutzprogrammen

- Trojanisiertes Nutzprogramm zustellen

Toolunterstützung:

- Web 2.0

- Scriptsprachen, Makrotools

- Binder Programme

- Encoder

- Reverse Shell

- TinyApps

Anatomie eines Angriffs – gegen User

27

Reconnaissance - Internet

- USENET / Foren- Firmenhomepage- Börsenberichte- Presse Aussendungen- Facebook, Xing, Twitter …- Jobbörse- Mailverkehr- …

Reconnaissance – PSTN, Vor Ort

- Telefonische Kontaktaufnahme

Probe and Attack

- Mailsystem Analyse- Phishing Sites- Proxy Analyse- Trojanisierte Programme / Dokumente

Threat Awareness – FAIL

28

Threat Awareness – Bsp.: Insider Threats

29

Quelle: www.heise.de/security

Security Monitoring - Pastebin

30

Beispiele:

http://pastebin.com/amHGVgUv

http://pastebin.com/EdBJYPHX

http://pastebin.com/v9bnV9eu

Usernames & Passwords SQL Injection Vulnerabilities

31

INCIDENT MANAGEMENT

Eigentlich weiß jeder wie es geht …

32

Ein Evakuierungsplan für den Brandfall ist ein

Incident Response Plan für einen Fall.

Aufgrund gesetzlicher Verpflichtungen und

behördlicher Auflagen ist dieser Fall in der

Mehrheit aller Institutionen ausreichend

umgesetzt.

Vergleichbare Anweisungen müssen für das

Eintreten aller relevanten kritischen

Bedrohungsszenarien definiert und trainiert

werden .

Example Incident Response Process

33

Wichtige Rollen im Incident Response Team:

Incident Handler / Security Officer

Top Management

Public Relations Officer

Legal Representative

HR Manager

Head of IT

Process- / System Specialist

External Professionals

- Forensic Professionals

- Takedown Service Providers

- Legal Professionals

- DDoS Protection Services

THANK YOU

34 V 1.0

ANY QUESTIONS ?