BDO 360 360° CYBERSECURITY ANALYSE 2015 Global Forensics & FTS Annual Conferences, 15 - 17 October, Oslo Page 0 Presentation title DERZEITIGE SITUATION Cyber Attack • Angriffe erfolgen immer häufiger spezifisch auf ausgewählte Targets • Angriffe werden technisch aufwändiger • Hinter Angreifern stecken z.T. Staaten oder firmenartige Organisationen mit beachtlichen Budgets Internet Security Technologies Lokales Netz • schützen vor bekannten Szenarien und bekannter Malware • Schutz vor unbekannten Angriffen nur eingeschränkt möglich • Geringe Änderungen an Malware unterwandert Schutzschild Threat • Besonders g gefährdet sind KnowHow-Träger g (sensible ( Technologien) und Institutionen wie Banken • Besonders gefährlich sind Advanced Persistent Threats (APTs), die über einen längeren Zeitraum auch nach Entdeckung g in veränderter Form weitergeführt g werden • Aktuelle Fälle in Österreich zeigen, wie verwundbar IT Infrastrukturen für Hacker-Angriffe sind 360° CYBERSECURITY ANALYSE 360 Aufnahme von Mitarbeiterdetails • Mitarbeiteiter erhält Email mit Schadprogramm • Mitarbeiter öffnet Anhang Infektion des Rechners Angreifer übernimmt Adminrolle • Das Ausspionieren der Daten beginnt • Benutzerrechte werden nach Möglichkeit eskaliert • Angreifer erhält Adminrechte Weitere Rechner werden infiziert Benachrichtigung von BDO • BDO sammelt Daten • Die gesammelten Daten werden erden nach Angriffsmustern ausgewertet Untersuchung verdächtiger Vorfälle Nachhaltige Schutzvorkehrung gegen Angriffe • Um ein Wiederkehren der Angreifer zu erkennen,, werden Netzwerkdaten von BDO über einen Zeitraum überwacht Angriffsmusters A iff werden rekonstruiert WARUM 360 360° • • • • • • • • Weil bei CyberAttacken häufig y g neue und damit noch unbekannte Angriffsszenarien angewendet werden, die einen ganzheitlichen Untersuchungsansatz erfordern Wir bereits bei der Planung davon ausgehen, dass von verschiedenen Medien und Systemen y Daten z.T. in Echtzeit gesammelt werden müssen Aufgrund der Vielzahl eingesetzter Datenformate der Anspruch für die Auswertung hoch ist, diese Formate schnell sammeln, verarbeiten und untersuchen zu können Die zu untersuchenden Datenmengen sehr groß sein können und entsprechend performante Systeme bei der Auswertung erforderlich sind Komplexe Angriffsszenarien z.T. aufwendige Analyseverfahren erfordern Für die Sammlung der Daten ein weltweites Netzwerk erforderlich sein kann Auch hier datenschutzrechtliche Gegebenheiten Beachtung finden müssen Erfahrung in diesem Bereich die Grundlage zur erfolgreichen Analyse bildet PROZESS DER 360 360° ANALYSE Wesentliche Erfolgsfaktoren Counter measures 1. Proof Of Concept Aufnahme der Netzwerklandschaft sowie etwaiger g Schwachstellen und Aufstellung g möglicher Analyseschritte 2. Collection of Data and Search Für das Verfahren relevante Daten werden forensisch gesichert 3. Analysis of data and Malware screening Gesammelte Daten werden nach Auffälligkeiten gescreent 4. Study of actions of attackers Bei der Feststellung eines Angriffs wird der Angreifer beobachtet 5 5. Counter Measures Kritische Unternehmensdaten werden abgesichert POC Attack g screening Data Collection Analyse y of colleted data ELECTRONICALLY STORED INFORMATION (ESI) Netzwerklogs Einzelplatzrechner • Webserver (wie Apache, IIS) • Lokal g gespeicherte p Malware • Firewall-Logs • Lokale Logfiles des Filesystems • Switch-Logs • Lokale Logfiles und Windows Events • Anmeldelogs, Exchange, VPN, ISA, Forefront Netzwerkverkehr • Capture des Netzwerktraffics • Nachvollziehen des Netflows • Einmalig oder nach einem definierten Zeitplan Serversysteme • Lokal gespeicherte Malware • Lokale Logfiles, Logfiles des Filesystems und Server Events • Service-Logfiles • Konfiguration der Domänen SAMMLUNG ELEKTRONISCHER DATEN Forensisches Image Sicherung wird lokal durchgeführt Wo technisch möglich und vertretbar, werden forensische Sicherungskopien, sog. Images, generiert Vom Original wird eine eins-zu-eins Kopie erstellt Auswertung aller Daten, inklusive gelöschter Bereiche möglich NUIX Workstation und NUIX Collector SUITE Sicherung wird zentral organisiert oder über das Netz ausgeführt Network Collector (No Shadow Copies) Portable Collector (Including Shadow Copies) Sharepoint Collector Add Network Connection (Mailstores, IMAP, POP, Groupwise) ANALYSE GESAMMELTER DATEN Der modulare Aufbau von BDO‘s Analyse Plattform bietet umfassende Funktionen, die zur Durchführung von CyberSecurity Analysen erforderlich sind: Traffic Logfiles Files + Filesystem • Untersuchung von nicht-strukturierten Daten fast unbegrenzter Größe • Indexierung der Daten • Decoding von obfuscated Strings, z.B. zur SQL Injection aus Webserver Logs • File + Filesystem Analysis • Virtualisierung von Systemen zur Feststellung von Malware und deren Wirkungsweise • Auffinden von ungewöhnlichen Funktionen in Software durch Textstripping • NearDuplicates zur Feststellung bekannter, aber abgeänderter Malware • Netzwerk Traffic • Sammlung und Auswertung von laufendem Datenverkehr • Feststellung von Entities, wie angesteuerter URLs • Zeitreihenanalyse über wiederkehrende Datensammlungen DERZEITIGE THREATS (BEISPIELE) Intellectual Property Theft Faked President Golden Ticket Attack •Essentielle Unternehmensdaten werden häufig von Mitarbeitern des Unternehmens entwendet •Über gefälschte Emails wird versucht, Mitarbeiter zur Transaktion von Firmengeldern zu bewegen •Dies könnte APT Hintergrund haben •Der Angreifer setzt eigenes Kerberos key distrubution center auf •Als single sign on technology kann der Angreifer alle Netzwerkressourcen nutzen, die seinem Profil entsprechen 2015 Global Forensics & FTS Annual Conferences, 15 - 17 October, Oslo Page 8 Presentation title IHRE ANSPRECHPARTNER Markus Trettnak Partner L it F Leiter Forensic, i Ri Risk k& Compliance Stephan Halder Senior Manager L it Forensic Leiter F i Technology T h l Services BDO Austria GmbH BDO Austria GmbH Kohlmarkt 8-10 1010 Wien Tel.: +43 1 537 37 - 222 [email protected] Kohlmarkt 8-10 1010 Wien Tel.: +43 1 537 37 - 260 [email protected]
© Copyright 2024 ExpyDoc
