APT Defense Service. by TÜV Rheinland. Referent. Ihr Referent 2 25.02.2016 APT Defense Service Name: Frank Melber Funktion: Head of Business Development, Experte für Cyber Security Agenda. 1 2 3 4 3 Das Bedrohungsszenario Die „klassische“ Infektionskette Die Lösung: APT Defense Service Cyber Security Maturity 25.02.2016 APT Defense Service Bedrohungsszenario. Unternehmenssicht. Von welcher Form von Cyber-Angriffen wird in den kommenden zwei Jahren die größte Bedrohung ausgehen (beantwortet von 256 Unternehmen)? Antwort Anzahl der Nennungen (D)DoS-Angriffe auf Internetauftritte (D)DoS-Angriffe auf andere Netzinfrastrukturen 100 Hacking / unbefugtes Eindringen in Systeme zur langfristig angelegten Infiltration (APT) 154 Hacking / unbefugtes Eindringen in Systeme mit anschließendem Datenabfluss z.B. von Kundendatenbanken 170 Hacking / unbefugtes Eindringen in Systeme mit anschließendem Missbrauch der Systeme, z.B. als Botnet-Client 112 Malware-Infektion durch ungezielte Verteilung (Drive-by-Download / Spam) 127 Malware-Infektion durch gezielten Angriff (Social Engineering per E-Mail o.ä.) 140 Defacement von Webseiten 30 Andere 15 Quelle: BSI - Allianz für Cybersicherheit 4 83 25.02.2016 APT Defense Service Bedrohungsszenario. Motivation der Angreifer. Herkömmliche Cyberkriminalität Opportunistisches Vorgehen Nicht auf ein bestimmtes Ziel / Unternehmen aus Möglichst viele Opfer infizieren (Zombies für Botnetze etc.) Organisierte Cyberkriminalität Gut organisierte Gruppen mit signifikanten finanziellen Ressourcen Hohe Arbeitsteilung-/ spezialisierung Sehr gut ausgebildet 5 Phishing Verbreitete Malwareund Exploit-Kits 25.02.2016 APT Defense Service Große finanzielle Ressourcen Von staatlicher Ebene geleitet und koordiniert IT-Spionage auf Regierungsebene „Gezielte Angriffe“ Sabotage kritischer Infrastrukturen „Kampagnen“ Nachrichtendienste Spear Phishing Custom Malware DDoS Attacken Zero-Day Exploits Zero-Day Exploits Physische Infiltration Implants Bedrohungsszenario. Exploit. Die meisten Unternehmen haben bereits AntiVirus und IDS / IPS im Einsatz. Warum erkennen und blockieren diese Technologien die Angriffe nicht? 2-Komponenten Malware Exploits werden „getarnt“ und die Komponenten erst auf dem Zielsystem „zusammengeführt“. Analogie: Das Klebstoff-Prinzip mit „Harz und Härter“ Warum? Angreifer wissen um die Sicherheitseinrichtungen in Unternehmen und haben zuverlässige Mittel und Wege gefunden, diese zu umgehen. Beispiel Drive by Download: JavaScript enthält obfuskierten Flash Exploit. JavaScript übergibt die Exploit-Daten an Flash bei der Ausführung im Browser. Flash de-obfuskiert den Exploit Code und führt diesen auf dem System aus. 6 25.02.2016 APT Defense Service Bedrohungsszenario. Infektionskette. Exploit Server Callback Server Exploit „detoniert“ 7 25.02.2016 APT Defense Service Exploit Callback Obfuskierte Malware Malware Download (obfuskiert) Command & Control Server Data Leakage (obfuskiert) Bedrohungsszenario. Prognose. Prognose ! 8 Bei Sicherheitslücken ist das Zeitfenster zwischen Bekanntwerden und großflächiger Ausnutzung meist auf wenige Stunden begrenzt. Infektionen durch Malware oder Ransomware werden weiter zunehmen. Polymorphe Binaries sind mittlerweile üblich und nicht mehr die Ausnahme. Über 90% der Malware Prüfsummen haben eine TTL (Time To Live) von wenigen Stunden. Der kontinuierliche Incident-Response-Fall wird zum „Daily Business“ und nicht zur seltenen Ausnahme! 25.02.2016 APT Defense Service Die Lösung: APT Defense Service. APT Defense Service Der APT Defense Service adressiert das Problem nachhaltig und kontinuierlich. Analog zum Vorgehen der Angreifer Prinzip: CSIRT / CERT as a Service Vorteile: ! 9 25.02.2016 APT Defense Service Es besteht eine permanente Überwachung der IT-Infrastruktur im Unternehmen. Anomalien / Angriffe werden direkt detektiert und behandelt. Infiltrationsversuche werden aufgedeckt und nachhaltig verhindert. Im Rahmen des Incident Response-Prozesses verbessern sich die IT Security-relevanten Prozesse in der Kundenorganisation. Ziel: Kontinuierliche, nachhaltige Sicherheit APT Defense Service. Ein Überblick. 10 25.02.2016 APT Defense Service APT Defense Service. Die nachhaltige Lösung. Kontinuierliche Überwachung der Infrastruktur durch Sensor-Systeme Kontinuierliche und schnelle Incident Response durch das TÜV Rheinland C.S.I.R.T. Kontinuierliche Sicherheit als Flat-Rate Service APT Detection 11 25.02.2016 APT Defense Service Cyber Security Maturity. 12 25.02.2016 APT Defense Service Cyber Security Maturity. Compliance Next Gen Firewalls ... Penetration Testing APT Sensoren Konzeption Awareness Vulnerability scanning BCM (Risiko, Bedeutung für das Operative Geschäft des Unternehmens) Security Architekturdesign ISMS GRC (Transparenz über Assets und Regulatorien) Log-Management/SIEM/Threat-Intel SOC Operations Reifegrad 13 25.02.2016 CSIRT (Operative Incident Response) Level 1: Reaktiv APT Defense Service Level 2: Proaktiv Level 3: Prediktiv VIELEN DANK FÜR IHRE AUFMERKSAMKEIT! Regelmäßig aktuelle Informationen im Newsletter und unter www.tuv.com/informationssicherheit 14 25.02.2016 APT Defense Service Kontakt. Frank Melber Head of Business Development TÜV Rheinland i-sec GmbH Freigerichter Straße 1-3 63571 Gelnhausen Tel: +49 221 56783 480 Mobil: +49 174 18802 64 Fax: +49 221 56783 499 [email protected] 15 25.02.2016 APT Defense Service Auf allen Kontinenten zuhause. Kennzahlen 2014 Umsatz in Mio. € 1.731 Auslandsanteil (in %) EBIT (in %) 49,0 6,4 Mitarbeiter (-innen) Auslandsanteil (in %) 19.320 60,0 Standorte: Über 500 69 in Ländern 16 25.02.2016 APT Defense Service Umsatz nach Geschäftsbereichen. ICT & Business Solutions Systeme 7% Academy & Life Care 7% 29% Industrie Service 11% 24% 22% Mobilität Produkte 17 25.02.2016 APT Defense Service Die Welt von ICT & Business Solutions. Weltweite Standorte Umsatz 2014: Circa 123 Mio. € Geschäftsfelder IT Services & Cyber Security Telco Solutions, Business & Engineering Services Management Consulting R&D Management 18 25.02.2016 APT Defense Service
© Copyright 2024 ExpyDoc
