BO Session Tag1 1400 Feger Plenum Vortrag KOF … · Title:...

21
Angriffserkennung im Netz Projekt HoneySens

Transcript of BO Session Tag1 1400 Feger Plenum Vortrag KOF … · Title:...

Angriffserkennung im NetzProjekt HoneySens

Agenda

Lagebild 2017 des Sächsischen Verwaltungsnetzes* Wurden Sie heute schon gehackt? Anatomie eines Angriffs HoneySens Schlussbetrachtung

* SVN

Lagebild SVN 2017Angriffe auf die Kopfstelle

+28%gegenüber 2016

Insgesamt rund 1 Petabyte pro Jahr eingehender Verkehr im SVN(entspricht 1.000 Terabyte bzw. 1.000.000.000.000.000 Byte)

[200.000 DVDs]

1.800 Angriffeabgewehrt

Lagebild SVN 2017E-Mail

79 Mio. E-Mailsverworfen

rund 36.700Schadprogramme

entfernt

Rund 110 Mio. E-Mails empfangen

31 Mio. E-Mails ausgeliefert

Lagebild SVN 2017Webverkehr, http und https

Verschlüsselter Verkehr kann (darf) nicht gescannt werden.

rund 25.000 Schadprogramme imunverschlüsselten Webverkehr

entfernt

56%44%

Wurden Sie heute schon gehackt?…oder haben Sie es noch gar nicht bemerkt?

0%

10%

20%

30%

40%

50%

60%

70%

Sekunden Minuten Stunden Tage Wochen Monate Jahre

Ante

il Sc

hads

oftw

are

Zeit von Infektion bis Erkennung

Wurden Sie heute schon gehackt?…oder haben Sie es noch gar nicht bemerkt?

0%

10%

20%

30%

40%

50%

60%

70%

Sekunden Minuten Stunden Tage Wochen Monate Jahre

Ante

il Sc

hads

oftw

are

Zeit von Infektion bis Erkennung

The global median time from compromise todiscovery has dropped significantly from 146days in 2015 to 99 days 2016, but it is still notgood enough.Mandiant M-Trends 2017

Quelle Diagramm: Verizon Data Breach Report 2013

Client-Honeypot Dioanea auf Raspberry Pi 19.07.2013 bis 07.09.2013 6337 Verbindungsversuche

mit 3311 angenommene Verbindungen

Angriffe aus 85 Ländern Top 10:

CN, RU, US, DE, TW, KR, NO, TR, BR, NL

Webserver-Honeypot Glastopf auf Debian-VM 09.06.2013 bis 07.09.2013 46.710 Verbindungen

(ohne Google etc.) 271 Malware Samples Angriffe aus 96 Ländern Top 10:

US, FR, CN, TR, RU, DE, CN, IN, NL, ID

Konfiguration: Exposed Host an Fritz Box Konfiguration: http://-Weiterleitung und DynDNS

Wurden Sie heute schon gehackt?Der normale Wahnsinn am häuslichenDSL-Anschluss

Anatomie eines Angriffs…gebt her Eure Daten…

Nutzerinfizieren

Trojanerüber C&C-

Servernachladen

Netzwerkerkunden

Datenquellefinden

Daten aufC&C-Server/

Dropzoneausleiten

Anatomie eines Angriffs…gebt her Eure Daten…

TechnikAlle Nutzer& Technik

Nutzerinfizieren

Trojanerüber C&C-

Servernachladen

Netzwerkerkunden

Datenquellefinden

Daten aufC&C-Server/

Dropzoneausleiten

TechnikAlle Nutzer& Technik

Anatomie eines Angriffs…und unsere Mittel dagegen

Nutzerinfizieren

Trojanerüber C&C-

Servernachladen

Netzwerkerkunden

Datenquellefinden

Daten aufC&C-Server/

Dropzoneausleiten

Statische Blocking-Listen

sind unzuverlässig

IDS bindet masssiv

Fachpersonal

Statische Blocking-Listen

sind unzuverlässig

Access Controlist eine

organisatorische Herausforderung

Klassischer AV-Schutz wird immer

unwirksamer

Anatomie eines Angriffs…und unsere Mittel dagegen

Nutzerinfizieren

Trojanerüber C&C-

Servernachladen

Netzwerkerkunden

Datenquellefinden

Daten aufC&C-Server/

Dropzoneausleiten

Klassischer AV-Schutz wird immer

unwirksamer

Statische Blocking-Listen

sind unzuverlässig

IDS bindet masssiv

Fachpersonal

Statische Blocking-Listen

sind unzuverlässig

Access Controlist eine

organisatorische Herausforderung

SensibilisierungMikrovirtualisierung

APT-SchutzSandboxing

Automatisches Blacklisting aus

APT-Schutz

Access Controlbleibt eine

organisatorische Herausforderung

Automatisches Blacklisting aus

APT-Schutz

Pros Tiefgehende Untersuchung der

Protokolle und Inhalte von Datenströmen möglich

Aktuelle Signaturen zur Erkennung fortschrittlicher Schadsoftware

Detektion komplexer Protokoll-/Inhalts-Angriffe

Bringt viel Leistung

Cons Rechtliche Unsicherheiten bei

der Untersuchung von Datenströmen

Hoher Aufwand bei der Pflege der Signaturen in heterogenen Systemen

Hochqualifiziertes Personal zur Betreuung des IDS erforderlich

Kostet viel Geld

IDSPros und Cons (sicher nicht vollständig)

HoneySensAusgangslage

Zu wenig Personal für durchgängigen Einsatz von IDS in unserem heterogenen System

Outsourcing ist teuer. Wenn überhaupt noch möglich… Angriffsmethoden werden immer intelligenter AV-Scanner werden immer unwirksamer

Nachweis durch eigene Tests im Jahr 2015 APT-Schutz ist mittlerweile Pflicht!

HoneySensZiele

Innentäter oder Eindringling in das Netzwerk (Trojaner, RAT) erkennen

Keine inhaltliche Analyse des Netzwerkverkehrs K.I.S.S.: Geringer Installations- und Wartungsaufwand Vertraulichkeit Einfaches, benutzerfreundliches Monitoring Bezahlbar „HoneySens as a Service“ soll möglich sein

A.k.a. Mandantenfähig

HoneySensUmsetzung

c D

ipl.

Inf.

Pasc

al B

rück

ner

Hardwareplattform: Einplatinen-ComputerBeagleBone Black (ARM)

Preiswert, geringer Stromverbrauch, Formfaktor, integrierter persistenter Festspeicher, optionales PoE

Softwareplattform: Debian GNU/Linux Hochwertig gesicherte Client-/Server-Kommunikation Remote-Installation und Remote-Update Low-Interaction-Honeypot-Dienste: kippo (SSH),

dioanea (SMB/CIFS) Passive Scan Mode zur Aufzeichnung aller übrigen

Verbindungsversuche Portscan-Erkennungsroutine

HoneySensDie Sensoren

HoneySensDer Server

Linux-System mit geringer bis mittlerer Leistung

Betrieb als virtuelles System möglich Einsatz von Docker für den vereinfachten

Roll-Out und aufwandsarme Updates Mandaten-fähiges System z.B. Land – Ressorts – Kommunen auf

gleichem Server bei beibehaltener Eigenverantwortung

E-Mail-Alarmierung der jeweils zuständigen Administratoren

HoneySensProjektpartner

Projektidee und Auftraggeber des Forschungsprojekts:Sächsisches Staatsministerium des InnernReferat 65 „Informationssicherheit in der Landesverwaltung, Cybersicherheit“

Wissenschaftlicher Partner:Technische Universität DresdenLehrstuhl für Datenschutz und Datensicherheit

Praxispartner:SAX.CERT im Staatsbetrieb Sächsische Informatik Dienste

Umsetzung:Dipl. Inf. Pascal Brückner im Rahmen seiner Diplomarbeit als ProofOf Concept und in der Fortsetzung zum produktionsreifen System als wissenschaftlicher Mitarbeiter der TU Dresden

Produktion und Vertrieb:T-Systems Multimedia Solutions, Dresden

Schlussbetrachtung

HoneySens ist als kostengünstiges, leicht managebares Sensornetzwerk zur Erkennung von Netzwerkschnüfflern realisiert

Das System wird den gestellten Anforderungen gerecht Fortsetzung der Zusammenarbeit mit der Technischen Universität Dresden

zur weiteren Verbesserung und Härtung des Systems HoneySens, z.B. Sensor als virtuelle x86-Maschine (interessant für Rechenzentren) Integration in SIEM

Übergang vom Forschungsprojekt zum käuflichen Produkt ist erfolgt Entwicklung von Geschäftsmodellen, z.B. HoneySens as a Service

Erhöhung der Cybersicherheit bei KMU

Open Source-Version via GitHub wird verfügbar sein

Danke für Ihre Aufmerksamkeit!

Karl-Otto FegerSächsisches Staatsministerium des Innern

CISO SachsenReferatsleiter 65

„Informationssicherheit in der Landesverwaltung, Cybersicherheit“E-Mail: [email protected]