Post on 10-Aug-2019
CYBER DEFENSE
Dr. Sebastian Schmerl
Sebastian.Schmerl@Computacenter.comSolution Manager Cyber DefenseComputacenterCeBIT, 20.03.2017
Herausforderungen und Krankheiten von modernen Security Operation Center (SOCs)
2
CDC - CYBER DEFENSE CENTER
• Schnelle Erkennung und Behandlung von Sicherheitsvorfällen
• eigene Organisationseinheit
• Bündelung des IT-Security Know-Hows
• Log-Daten-Auswertung
• Anomalieerkennung und Verhaltensanalysen
• Malware Analysen & Maßnahmenplanung
• Security Intelligence & Intelligence Sharing
Schutz, Erkennung und Behandlung von Sicherheitsvorfällen
Computacenter 2016
© Computacenter 20163
Angriffe
• Werden ausgefeilter
• Adaptiv und automatisiert
• Dauern meist nur Sekunden
• Nutzen einer sich stets vergrößernden Angriffsfläche
Cyber Response
• Langsam
• Nicht adaptiv
• Oft manuell
WAS IST DAS PROBLEM BEI DER CYBER-DEFENSE?SCHNELLIGKEIT UND AUTOMATISMUS IN DER RESPONSE FEHLT
Angriffe Response
43 %
29 %
4 %
11 %
7 %
7 %
0 %
Sekunden
Minuten
Stunden
Tage
Wochen
Monate
Jahre
72 %
72 %
© Computacenter 20164
REIFEGRADE VON SOC UND ENTWICKLUNGSKURVE
• Reine Reaktion auf Alarme
• Fokus auf dem schnellen Schließen von Vorfällen
• Abarbeiten ohne Verstehen
• Alarm-Zentrisches Arbeiten
• Angreifer sind lange ungestört
• Hohe Mitarbeiter-Fluktuation
• wenig zusammenhängende Prozesse
• Wenig ROI
• Wenig Orchestration
• Wenig Automation
• Kein Hunting
BEISPIELE VON KRANKEN SOCS
Log AnalyseOn-Demand CIRT-Services
Network
Forensik
Incident
Response Hunting
Threat Intelligence
Subscriptions
Threat Detection and Reponse
Advanced Threat Protection
SIEMIR Retrainer
Firewalls
Antivirus IPS
NG
Firewalls
SIEM
Monitoring
Response Fähigkeiten
TI &
Data-Analytics
CYBER-DEFENSE BEI COMPUTACENTERDrei Welten, drei Sichtweisen, aber ein Ziel
IT-WeltReale Welt
Sicherung der
Geschäftskontinuität
Daten
Menschen
Risiko
Netzwerke
Kommunikation
Partner
Services
Standorte
Prozesse
Betriebliche-Welt
Computacenter 20165
ÜBERGEORDNETE CDC-ZIELE: Widerstands- & Reaktionsfähigkeit bei Vorfällen
Kritisch
Normal
Reduktion der Anzahl von
kritischen Zuständen
Verkürzung der
kritischen Zustände
Tatsächliches
Sicherheitslevel
RisikobasierterSchutz
Echtzeitlagebild
Vorfalls-management
Intelligence
Unterbrechung
Geschäftskontinuität
Erforderliches
Sicherheitslevelfür Business-Continuity
Erkennung
Computacenter 20166
KERN-SERVICES EINES CDC
Geschäftsprozesse Zusammenhänge und Auswirkungen
Cyber Security Wissen und Kenntnisse
Infrastruktur Wissen und Kenntnisse
Threat Intelligence externe o. interne IoCs & Analytics Services
Startpunkt
CDC Aufbaurichtungen
Silo-übergreifende
Zusammenarbeiterforderlich
z.B. durch Konfigurationsänderungen, neue Security-Controls
Risikobasierter Schutz
Schutz- und System-Adaption bei Risikoänderungen
• Re-Konfiguration von Netzwerken, Systemen oder Schutzmechanismen
• Umsetzung von neuen Schutzmaßnahmen zum Erkennen, Verzögern, Abschrecken
z.B. durch Ursache/Auswirkungs-Analysen
Vorfalls-Management
Reaktion und Schadensminimierung bei Vorfällen
• Empfehlung von Maßnahmen
• Informationsbereitstellung zur Auswirkungsabschätzung
• Umsetzung der Maßnahmen (ggf. automatisiert)
z.B. durch Kenntnis über neue Angriffe, Verwundbarkeiten, Angreifer-Kampanien
Intelligence
Erkennen von Risikoänderungen:
• Intern: der eigenen Installationen und des Umfelds
• Extern: der Angreifer-Szene, der Bedrohungen,…
Bewertung von Risiken und Auswirkungen auf Geschäft und Betrieb. Erstellung eines holistischen Risiko-Lagebildes.
Echtzeitlagebild
Überwachung von Geräten, Services und Netzwerken z.B. durch:
• Log-Zentralisierung
• Präsenserkennung
• Einbruchserkennung
• Anomalieerkennung
• Netzwerk-Monitoring
z.B. durch automatisierte & kontinuierliche Überwachung
Erkenntnisse
Rückkopplung
Wis
sen
sd
om
än
en
Computacenter 20167
CDC: BETRIEBSMODI, ROLLEN UND PERSONAL
Tier 2 AnalystKoordinator /Security Manager
Tier 1 Analyst Resolver(CDC-extern aus Fachabteilung)
Verantwortlich für einen eskalierten Vorfall
• Tiefen-Analyse & Detail-Klassifikation
• Feststellung der Auswirkungen und verbundenen Risiken
• Zuteilung von Aufgaben auf Tier 1 und Resolver und Überwachung (Ergebnisse & Fortschritt)
• Krisen-Eskalationenbasierend auf Resolver-Informationen und eigene Analysen
Verantwortlich für die Gesamtlage
• Grob-Klassifikation und Zuteilung kritischer Vorfälle auf Analysten
• Koordinierung des Reportings zur Information der CDC-Kunden und Stakeholder
• Überwachung des Verlaufs Entscheidet über Reaktionen und die Eskalation von Vorfällen basierend auf den Informationen, welche vom Analyst zur Verfügung gestellt werden
Verantwortlich für einen Vorfall
• Analyse & Klassifikation
• Auswahl der geeigneten Vorfallsbehandlung (SOP)
• Zuteilung von Aufgaben auf Resolverund Überwachung (Ergebnisse & Fortschritt)
• Vorfalls-Eskalationenbasierend auf Resolver-Informationen und eigene Analysen
Verantwortlich für lokale oder ferngesteuerte Umsetzung der einzelnen Reaktionen z.B.:
• Netzwerk-Isolierung & -Anpassungen
• Host-, System- und Service-Änderungen
• Manueller Betrieb von Ressourcen im Krisenfall
Vo
rfa
llsb
eh
an
dlu
ng
Normal: 95 %Vorfall: 5 %Z
eit Normal: 60 %
Vorfall: 40 %Normal: 10 %
Vorfall: 90 %Normal: 95 %Vorfall: 5 %
pro Vorfall: 60 min
pro Vorfall: 15 min
pro Vorfall: SLAs, Kosten
No
rm
alb
etr
ieb
• Überwachung, Verfolgung, Analyse und Dokumentation von Ereignissen zur Sicherstellung des
Schutzes vor allen potentialen Gefahren
• Ursachen-Analysen
• Security-Engineering zur Steigerung der Widerstandsfähigkeit der gesamten Infrastruktur
• Ausarbeitung und Definition von SOP
• Verbesserung der verwendeten
Überwachungs- und Analysemethoden
• Evaluierung & Verbesserung von Anweisungen und Abläufen
• Überwachung & Reporting der Sicherheitsperformanz
• Koordinierung von Aktivitäten zur Bedrohungsanalyse & Schutzanpassung
• Management und Schnittstelle für CDC-Aktivitäten
• Tagesgeschäft in seiner Fachabteilung (CDC-extern)
• Umsetzung der Anpassungen und Verbesserungenin der Infrastruktur
• Pflege von SOPs
• Optimierung und Fine-tuning der verwendeten Korrelationsregeln
Erarbeitet Runbooks
Identifiziert Schwachstellen Verbessert RunbooksAufgaben in seiner externen Fachabteilung
Richtet das CDC im Unternehmen aus
Bearbeitet komplexe VorfälleBearbeitet einfache Vorfälle nach Runbook
Führt IR-Aufgaben ausVerantwortlich für die Gesamtlage
Computacenter 20168
CYBER DEFENSE CENTER
CDC Missionsdefinition:
• Mission und Aufgaben des CDCs sollten sich an den Wertschöpfungskette und der Geschäftszielen orientieren.
• Ein anvisiertes Sicherheitslevel und Erwartungen sollten spezifiziert werden.
• KPIs und Erfolgsfaktoren sollten für das Messen der CDC Performanz und Relevanz definiert werden.
• CDC Missionen sind sehr vielfältig, genauso wie der Scope, und das anvisierte Sicherheitslevel
Schlüsselfragen sind:
• Was sind die internen Kunden der CDC Services?
• Welche Infrastrukturteile sollen geschützt werden?
• Welche Angreifergruppen und welches Skill-Level sollen durch das CDC abgewehrt werden?
• Was sind anvisierte Response-Times?
Tipps:
Der CDC Beitrag sollte von Anfang an messbar sein!
Kontinuierliches Review der definierten KPIs und Missionsziele in allen Ausbaustufen des CDCs.
9
Mission, Aufträge und Aufgaben
Computacenter 2016
10
• Das CDC kennt
• die Bedrohungen,
• die Angriffe und
• die eigene Angriffsfläche.
Ausrichtung der Schutzmaßnahmen
CDC IST MEHR ALS ERKENNUNG UND BEHANDLUNG
Mittel- und langfriste Schutzausrichtung
Angriffe
Eigene Angriffsfläche
Schutzbedarf
Derzeitiger
Schutz
Verschwendetes
Budget
Ungeschützt
Computacenter 2016
Angriffsfläche
Angreifer
Monitoring-Fähigkeiten
Detektion-Fähigkeiten
Angriffe
Ausnutzung
CDC AUFGABEN – ZWEI OPTIMIERUNGSSCHLEIFEN
11
Kleines und großes Potential
SIE
M
UE
BA
Analy
tics
Erkennung
Analyse
Eingrenzung
Beseitigen
Wiederherstellen
IR-P
roze
sse
Computacenter 2016
Angriffsfläche
Angreifer
Monitoring-Fähigkeiten
Detektion-Fähigkeiten
Angriffe
Ausnutzung
CDC AUFGABEN – ZWEI OPTIMIERUNGSSCHLEIFEN
12
Kleines und großes Potential
Ganzheitlicher Ansatzgroße Optimierungsschleife
Unstrukturierte Daten:
• Malicious IPs
• URls,
• Malware
• IPs
• Analyse-Ergebnisse
Informationen:
• Hashes,
• IoC,
• Malware Typen
• Nutzergruppen
• Häufigkeiten
Wissen:
• Angriffsstrategien
• Verwundbarkeiten
• Angriffsziele
• Monetarisierung
• AngreiferS
IEM
UE
BA
Analy
tics
Erkennung
Analyse
Eingrenzung
Beseitigen
Wiederherstellen
IR-P
roze
sse
Vorfallsbehandlungkleine Optimierungsschleife
Vor
auss
etzu
ng:
CD
C H
ohei
ten
& S
tärk
e
CDC Ziele:
Verbessern
Ausrichten
Verhindern
Reduzieren
Vorhersagen
Identifizieren
Voraussetzungen:
Know-How & Überblick
Computacenter 2016
CC-LÖSUNG: CYBER DEFENSE PORTFOLIO SÄULEN
13
Consulting
• Aufbau von CDCs
• Organisation & Prozesse
• Technology Consulting
• Transition & Transformation
• CDC Consultants
Services
• Security Analysen
• Vorfallsbehandlungen
• Krisenmanagement
• Threat Intelligence
• Cyber Security Analysten
• Krisenmanager
Technologies
• SIEM
• Behavior Analytics
• Case Management Tools
• Forensic & Incident Response Tools
• SIEM Consultants
Sensorik:
Infrastructure Security, Endpoint Security, IAM
Advanced Malware Protection, Vulnerability Management, Net Flows
Computacenter 2016