Cyberspionage – konkrete Bedrohung? [email protected] TEFO, 19. November 2015 Compass Security Schweiz AG Werkstrasse 20 Postfach 2038 CH-8645 Jona Tel +41 55 214 41 60 Fax +41 55 214 41 61 [email protected] www.csnc.ch Cyberspionage in der Schweiz? Wie beurteilt der Bundesrat die Bedrohung durch hochentwickelte Cyberspionage? Antwort des Bundesrates am 21.8.2013: Der Bundesrat erachtet die Bedrohung durch hochentwickelte Cyberspionage als hoch. Die Art der Cyberangriffe auf Schweizer Unternehmen und die Verwaltung reicht von einfachen Phishing-Angriffen (Password Fishing) über DDoSAngriffe (Distributed Denial of Service) bis hin zu hochkomplexen, vermutlich staatlich unterstützten Cyberspionage-Angriffen. Die Schweiz ist somit bezüglich solcher Bedrohungen mindestens so gefährdet wie jeder andere Staat. Quelle: http://www.parlament.ch/d/suche/seiten/geschaefte.aspx?gesch_id=20133558 © Compass Security Schweiz AG www.csnc.ch Seite 2 Cyber-Untergrund Compass Security Schweiz AG Werkstrasse 20 Postfach 2038 CH-8645 Jona Tel +41 55 214 41 60 Fax +41 55 214 41 61 [email protected] www.csnc.ch Motivation der Angreifer Angreifer Motivation Script-Kiddies Spass, Ruhm&Ehre Politische-Gruppierungen Ideologie/Gerechtigkeit Cyber-Kriminelle Geld Cyber-Spione Wettbewerbsvorteil/Geld Geheimdienste Staatsinteressen © Compass Security Schweiz AG www.csnc.ch Seite 4 Vorteile der Cyber-Angreifer Die Cyber-Kriminellen/-Spione … … sind sehr gut organisiert … reagieren schnell … sind sehr kreativ … haben viel Zeit … haben viel Geld … sind oft nicht identifizierbar! © Compass Security Schweiz AG www.csnc.ch Seite 5 Job-Beschreibungen Stellenbezeichnung Funktion Hacker Sucht Schwachstellen in Applikationen und Systemen Systembetreiber Überwacht das Netzwerk Hoster Stellt Server zur Verfügung Finanzexperten Kennt sich mit Geldwaschen aus Projektleiter Koordiniert und plant Aktivitäten Händler Kauft und Verkauft Exploits/Dienste/Kreditkarten/Passworte etc. Money Mule Leitet Zahlungen weiter Programmierer Erstellt Software für die Angriffe Spammer Verschickt Massenmails © Compass Security Schweiz AG www.csnc.ch Seite 6 Angriffsarten Compass Security Schweiz AG Werkstrasse 20 Postfach 2038 CH-8645 Jona Tel +41 55 214 41 60 Fax +41 55 214 41 61 [email protected] www.csnc.ch Angriffe auf die Massen Drive-By SPAM-Mail PhishingWebseite Soziale Medien Manipulierte Programme WebsiteDefacement Würmer (Adress-Bücher) © Compass Security Schweiz AG www.csnc.ch Seite 8 Gezielte Angriffe WLAN Hotspots Mail an einzelne Transparenter Proxy DDoS USB Sticks Manipulierte Webseite © Compass Security Schweiz AG www.csnc.ch Seite 9 Gezielter Angriff: USB Stick Covert Channel & Inside-Out Auslieferung Trojaner mit USB Stick Angreifer kontrolliert Computer des Opfers Ausführung Firmen-Netzwerk © Compass Security Schweiz AG Internet www.csnc.ch Seite 10 Reale Angriffe Compass Security Schweiz AG Werkstrasse 20 Postfach 2038 CH-8645 Jona Tel +41 55 214 41 60 Fax +41 55 214 41 61 [email protected] www.csnc.ch Fall 1: Anruf von Microsoft SCAM © Compass Security Schweiz AG www.csnc.ch Seite 12 Fall 1: Anruf von Microsoft © Compass Security Schweiz AG www.csnc.ch Seite 13 Fall 2: Urheberrechtsverletzung © Compass Security Schweiz AG www.csnc.ch Seite 14 Fall 3: Ransomware – Daten “gesichert” © Compass Security Schweiz AG www.csnc.ch Seite 15 Fall 3: Ransomware – Daten “gesichert” © Compass Security Schweiz AG www.csnc.ch Seite 16 Advanced Persistent Threat (APT) Compass Security Schweiz AG Werkstrasse 20 Postfach 2038 CH-8645 Jona Tel +41 55 214 41 60 Fax +41 55 214 41 61 [email protected] www.csnc.ch Advanced Persistent Threat Infection Persistence © Compass Security Schweiz AG Exfiltration Privilege Elevation www.csnc.ch Exfiltration II Increase Network Access Seite 18 Advanced Persistent Threat 2007 2009 2011 Today Erstinfektion (no local admin) C&C © Compass Security Schweiz AG www.csnc.ch Seite 19 Die Macht der Statistik – 48 Tage Advisory wird publik Patch Exploit 54 Tage 6 Tage Quelle: ETHZ Stefan Frei 2009 (Dissertation): We found that exploit availability consistently exceeds patch availability. © Compass Security Schweiz AG www.csnc.ch Seite 20 Advanced Persistent Threat Command & Control Communication C&C Server DNS Server Client POLL POLL POLL Command File Commands Execute commands © Compass Security Schweiz AG www.csnc.ch Seite 21 Advanced Persistent Threat 2007 Erstinfektion (no local admin) 2009 2011 Today Mit Zero-Day Exploit auf Local Admin C&C © Compass Security Schweiz AG www.csnc.ch Seite 22 Advanced Persistent Threat Agent Zombie Host Agent Zombie Host C&C Server Agent Zombie Host © Compass Security Schweiz AG Zombie Host www.csnc.ch Seite 23 Fall 4 APT und seine Folgen Compass Security Schweiz AG Werkstrasse 20 Postfach 2038 CH-8645 Jona Tel +41 55 214 41 60 Fax +41 55 214 41 61 [email protected] www.csnc.ch Fall 4: 400 GB Daten veröffentlicht © Compass Security Schweiz AG www.csnc.ch Seite 25 Fall 4: Was wurde gefunden Firmengeheimnisse Angebote, Rechnungen, Verträge Gesamter E-Mail Verkehr, Kontaktnetzwerk Source Code der Schnüffel-Software Zero-Day Schwachstellen 4 funktionsfähige Adobe Flash Player Schwachstellen ( 3 Zero-Day) 1 Schwachstelle für Windows Kernel UEFI BIOS Rootkit 1 Internet Explorer Schwachstelle (Zero-Day) 1 Mobile News App (GooglePlay) 1 Windows Schwachstelle (Zero-Day) Preis für Zero-Days, $100 000 Preis für iOS Exploits bis $500 000 © Compass Security Schweiz AG www.csnc.ch Seite 26 Fall 5: eBanking Trojaner Dyre Quelle: https://threatpost.com/dyre-banking-malware-a-million-dollar-threat/112009/ © Compass Security Schweiz AG www.csnc.ch Seite 27 Risikobetrachtung KMU Compass Security Schweiz AG Werkstrasse 20 Postfach 2038 CH-8645 Jona Tel +41 55 214 41 60 Fax +41 55 214 41 61 [email protected] www.csnc.ch KMU: Ziel der Cyber-Kriminellen/-Spione? Attraktivität für Cyber-Attacken / Wahrscheinlichkeit Geringer Schutz -> Leichtes Opfer Daten sind persönlich wertvoll Politisch/Ideologisch exponiert KnowHow Vorsprung (Forschung, Rezepte, Anleitungen) Marktleader Viele Neider / Nachahmer Wertvolle Daten Zugriff auf Finanz-Netzwerke Interessante Kundendaten Geheimnisse Software/Hardware Lieferant für Ziel-Firmen © Compass Security Schweiz AG www.csnc.ch Seite 29 Datenklassifizierung / Schutzbedarf Datenklassifizierung Welche Daten sind für meine Firma existenziell? Welche Daten sind für einen ordnungsgemässen Betrieb notwendig? Welche Daten sind nur für internen Gebrauch? Welche Daten sind öffentlich? Schutzbedarf Vertraulichkeit Was passiert, wenn meine Daten bekannt werden? Integrität Was passiert, wenn meine Daten nicht mehr korrekt sind? Verfügbarkeit Was passiert, wenn meine Daten nicht mehr vorhanden sind? © Compass Security Schweiz AG www.csnc.ch Seite 30 Schutz-Massnahmen Compass Security Schweiz AG Werkstrasse 20 Postfach 2038 CH-8645 Jona Tel +41 55 214 41 60 Fax +41 55 214 41 61 [email protected] www.csnc.ch Schutz-Massnahmen “Autofahren” Passive Sicherheit Sicherheitsgurt Airbags Verformungssteife Fahrgastzelle Knautsch-Zonen vorne und hinten Versicherung Aktive Sicherheit ABS EPS Abstandsradar Geschwindigkeits-Assistent Spurhalte-Assistant Totwinkel-Assistant Nachtsicht-Assistent Ausbildung/Prüfungen/KFZ Nothilfe-Organisationen © Compass Security Schweiz AG www.csnc.ch Seite 32 Grundschutz-Massnahmen Massnahmen Testen/verbessern Firewall, Zonenbildung Virenscanner Backup BenutzerSensibilisierung Passworte Physischer Schutz Least Privilege Logdaten sammeln/speichern © Compass Security Schweiz AG Updates OS, Apps, Plugins www.csnc.ch Seite 33 Erweiterter Schutz Trennung vom Internet Verschlüsselung Zugriffsberechtigungen einschränken Isolierte Netzwerke / Systeme Starke Authentisierung © Compass Security Schweiz AG www.csnc.ch Seite 34 Monitoring Massnahmen © Compass Security Schweiz AG www.csnc.ch Seite 35 Vorbereitung auf Krise Krisenmanagement vorbereiten! © Compass Security Schweiz AG www.csnc.ch Seite 36 Fazit Compass Security Schweiz AG Werkstrasse 20 Postfach 2038 CH-8645 Jona Tel +41 55 214 41 60 Fax +41 55 214 41 61 [email protected] www.csnc.ch Fazit Solange ein System eine Verbindung zum Internet herstellen kann ist die Wahrscheinlickeit sehr hoch, dass ein gezielter Angriff erfolgreich ist. © Compass Security Schweiz AG www.csnc.ch Seite 38 Fazit Ich bin der Meinung, dass ein Umdenken stattfinden muss: “Die Frage ist nicht mehr, wann wir Opfer eines Cyber-Angriffs werden, sondern wann wir merken, dass wir Opfer wurden!” © Compass Security Schweiz AG www.csnc.ch Seite 39 Vielen Dank für Ihre Aufmerksamkeit Fragen? Wir finden die Löcher! Penetration Tests IT Forensik/Incident Response Sicherheitskurse Hacking-Lab www.compass-security.com © Compass Security Schweiz AG www.csnc.ch Seite 40
© Copyright 2024 ExpyDoc
