BSI Lagebericht 2014

37
BSI Lagebericht 2014 Wolfgang Kandek, Qualys, Inc 28 Januar 2015

Transcript of BSI Lagebericht 2014

BSI Lagebericht 2014

Wolfgang Kandek, Qualys, Inc

28 Januar 2015

BSI Lagebericht 2014• Bundesamt für Sicherheit in der Informationstechnik

• Bundesministerium des Inneren – Minister Maizière• 2014, 2013 (kurz), 2011, 2009, 2007 – Anfang 2015 wieder

• Die Lage der IT-Sicherheit in Deutschland 2014

BSI Lagebericht 2014• Bundesamt für Sicherheit in der Informationstechnik

• Bundesministerium des Inneren – Minister Maizière• 2014, 2013 (kurz), 2011, 2009, 2007 – Anfang 2015 wieder

• Die Lage der IT-Sicherheit in Deutschland 2014

• Aktuelle Gefährdungslage: kritisch• Anzahl der schweren Sicherheitslücken zu hoch• Angriffswerkzeuge werden ständig verbessert

BSI Lagebericht 2014• Bundesamt für Sicherheit in der Informationstechnik

• Bundesministerium des Inneren – Minister Maizière• 2014, 2013 (kurz), 2011, 2009, 2007 – Anfang 2015 wieder

• Die Lage der IT-Sicherheit in Deutschland 2014

• Aktuelle Gefährdungslage: kritisch• Anzahl der schweren Sicherheitslücken zu hoch• Angriffswerkzeuge werden ständig verbessert

• Ziele der Angriffe: Wirtschaft, Kritische Infrastruktur, Staatliche Stellen, Forschung aber auch Bürgerinnen und Bürger

Vorfälle 2014Statistik der Bundesverwaltung 2014

• 60.000 verseuchte E-mails pro Monat

• 15-20 neue (dem AV unbekannte) Malware pro Tag

• 1 Angriff pro Tag nachrichtendienstlich

• 3500 Zugriffe auf Schadcodeservern pro Tag

• 1 DoS Angriff pro Monat

• 0 Mobilangriffe

Vorfälle 2014Wirtschaft 2014

• Angriff auf Stahlwerk richtet Schaden an Hochofen an

• Energiebetreiber in DE generiert Probleme in Österreich

• Dragonfly Gruppe greift mehrere Duzend Industrieanlagen an und zieht Daten ab

• WindigoKampagne infiziert 30000 Linux Rechner in DE

• Bankrott in GB

• Hochfrequenzhandel in USA

Angriffskategorien• Spam: unter Kontrolle

Angriffskategorien• Spam: unter Kontrolle

• Malware: Defensive Tools mit zweifelhafter Wirkhaftigkeit

Angriffskategorien• Spam: unter Kontrolle

• Malware: Defensive Tools mit zweifelhafter Wirkhaftigkeit

• Drive-by und ExploitKits: nutzen typischerweise bekannte Schwachstellen und können mit Patchen abgedeckt werden

Angriffskategorien• Spam: unter Kontrolle

• Malware: Defensive Tools mit zweifelhafter Wirkhaftigkeit

• Drive-by und ExploitKits: nutzen typischerweise bekannte Schwachstellen und können mit Patchen abgedeckt werden

• Botnetze: über 1 Million Maschinen in DE

Angriffskategorien• Spam: unter Kontrolle

• Malware: Defensive Tools mit zweifelhafter Wirkhaftigkeit

• Drive-by und ExploitKits: nutzen typischerweise bekannte Schwachstellen und können mit Patchen abgedeckt werden

• Botnetze: über 1 Million Maschinen in DE

• Social Engineering: Benutzerausbildung hilft

Angriffskategorien• Spam: unter Kontrolle

• Malware: Defensive Tools mit zweifelhafter Wirkhaftigkeit

• Drive-by und ExploitKits: nutzen typischerweise bekannte Schwachstellen und können mit Patchen abgedeckt werden

• Botnetze: über 1 Million Maschinen in DE

• Social Engineering: Benutzerausbildung hilft

• Identitätsverwaltung: problematisch Username/Passwort

Angriffskategorien• Spam: unter Kontrolle

• Malware: Defensive Tools mit zweifelhafter Wirkhaftigkeit

• Drive-by und ExploitKits: nutzen typischerweise bekannte Schwachstellen und können mit Patchen abgedeckt werden

• Botnetze: über 1 Million Maschinen in DE

• Social Engineering: Benutzerausbildung hilft

• Identitätsverwaltung: problematisch Username/Passwort

• DoS: in DE nicht besonders verbreitet

Angriffskategorien• Spam: unter Kontrolle

• Malware: Defensive Tools mit zweifelhafter Wirkhaftigkeit

• Drive-by und ExploitKits: nutzen typischerweise bekannte Schwachstellen und können mit Patchen abgedeckt werden

• Botnetze: über 1 Million Maschinen in DE

• Social Engineering: Benutzerausbildung hilft

• Identitätsverwaltung: problematisch Username/Passwort

• DoS: in DE nicht besonders verbreitet

• APT: auf gewisse Bereiche (Rüstung, Hochtechnologie, Autos, Schiffe, Raumfahrt) gezielt, noch keine Lösung

Schwachstellen mit hoher Relevanz“Hauptproblem: Veraltete Patchstände von OS und Applikationen”

• Microsoft Internet Explorer, Office und Windows

• Adobe Flash und Reader

• Oracle Java

• Mozilla Firefox und Thunderbird

• Apple OS X, Quicktime und Safari

• Google Chrome

• Linux Kernel

• Schwachstellenampel CERT-Bund

Beispiel Exploit Kit Angler• Zuletzt genutzt ISC (Bind9) Website – 22. Dezember

• ISC Website basiert auf Wordpress, WP backdoor installiert

• Attackvektor unbekannt, wahrscheinlich durch WP plugin

Beispiel Exploit Kit Angler• Zuletzt genutzt ISC (Bind9) Website – 22. Dezember

• ISC Website basiert auf Wordpress, WP backdoor installiert

• Attackvektor unbekannt, wahrscheinlich durch WP plugin

Beispiel Exploit Kit Angler• Zuletzt genutzt ISC (Bind9) Website – 22. Dezember

• ISC Website basiert auf Wordpress, WP backdoor installiert

• Attackvektor unbekannt, wahrscheinlich durch WP plugin

• Angler Exploitkit installiert• Adobe Flash CVE-2014-8440/8439/0515/0497 + CVE-2013-2551• Internet Explorer CVE-2014-1776/0322 + CVE-2013-2551• Silverlight CVE-2013-3896/0074

Beispiel Exploit Kit Angler• Zuletzt genutzt ISC (Bind9) Website – 22. Dezember

• ISC Website basiert auf Wordpress, WP backdoor installiert

• Attackvektor unbekannt, wahrscheinlich durch WP plugin

• Angler Exploitkit installiert• Adobe Flash CVE-2014-8440/8439/0515/0497 + CVE-2013-2551• Internet Explorer CVE-2014-1776/0322 + CVE-2013-2551• Silverlight CVE-2013-3896/0074

• Patchlevel• Adobe Flash – November 2014• Internet Explorer – MS14-021 21 April 2014 (0-day)• Silverlight – MS13-087 Oktober 2014

Beispiel Exploit Kit Angler - Update• Januar 2015: Angler und Exploits für 2 * 0-days

• 0-day: bekannte Schwachstelle ohne Patch

• Security Researcher Kafeine - @kafeine

Beispiel Exploit Kit Angler - Update• Angler und Exploits für 2 * 0-days

• 0-day: bekannte Schwachstelle ohne Patch

• Security Researcher Kafeine

Beispiel Exploit Kit Angler - Update• Januar 2015: Angler und Exploits für 2 * 0-days

• 0-day: bekannte Schwachstelle ohne Patch

• Security Researcher Kafeine - @kafeine

• CVE-2015-0310 – APSB14-02 22. Januar

• CVE-2015-0311 – APSB14-03 +- 24. Januar

Beispiel Exploit Kit Angler - Update• Januar 2015: Angler und Exploits für 2 * 0-days

• 0-day: bekannte Schwachstelle ohne Patch

• Security Researcher Kafeine - @kafeine

• CVE-2015-0310 – APSB14-02 22. Januar

• CVE-2015-0311 – APSB14-03 +- 24. Januar

• Flash unter Google Chrome nicht angegriffen

Beispiel Exploit Kit Angler - Update• Januar 2015: Angler und Exploits für 2 * 0-days

• 0-day: bekannte Schwachstelle ohne Patch

• Security Researcher Kafeine - @kafeine

• CVE-2015-0310 – APSB14-02 22. Januar

• CVE-2015-0311 – APSB14-03 +- 24. Januar

• Flash unter Google Chrome nicht angegriffen

• EMET verhindert Angriff• Enhanced Mitigation Experience Toolkit – Zwangsjacke für Windows

Beispiel Exploit Kit Angler - Update• Januar 2015: Angler und Exploits für 2 * 0-days

• 0-day: bekannte Schwachstelle ohne Patch

• Security Researcher Kafeine - @kafeine

• CVE-2015-0310 – APSB14-02 22. Januar

• CVE-2015-0311 – APSB14-03 +- 24. Januar

• Flash unter Google Chrome nicht angegriffen

• EMET verhindert Angriff• Enhanced Mitigation Experience Toolkit – Zwangsjacke für Windows

Beispiel Exploit Kit Angler - Update• Januar 2015: Angler und Exploits für 2 * 0-days

• 0-day: bekannte Schwachstelle ohne Patch

• Security Researcher Kafeine - @kafeine

• CVE-2015-0310 – APSB14-02 22. Januar

• CVE-2015-0311 – APSB14-03 +- 24. Januar

• Flash unter Google Chrome nicht angegriffen

• EMET verhindert Angriff• Enhanced Mitigation Experience Toolkit – Zwangsjacke für Windows

Beispiel Exploit Kit Angler - Update• Januar 2015: Angler und Exploits für 2 * 0-days

• 0-day: bekannte Schwachstelle ohne Patch

• Security Researcher Kafeine - @kafeine

• CVE-2015-0310 – APSB14-02 22. Januar

• CVE-2015-0311 – APSB14-03 +- 24. Januar

• Flash unter Google Chrome nicht angegriffen

• EMET verhindert Angriff• Enhanced Mitigation Experience Toolkit – Zwangsjacke für Windows

• Attack Kampagnen haben schon angefangen

Beispiel Exploit Kit Angler - Update• Januar 2015: Angler und Exploits für 2 * 0-days

• 0-day: bekannte Schwachstelle ohne Patch

• Security Researcher Kafeine - @kafeine

• CVE-2015-0310 – APSB14-02 22. Januar

• CVE-2015-0311 – APSB14-03 +- 24. Januar

• Flash unter Google Chrome nicht angegriffen

• EMET verhindert Angriff• Enhanced Mitigation Experience Toolkit – Zwangsjacke für Windows

• Attack Kampagnen haben schon angefangen

Fazit• Gefahrenlage ist hoch

• Regierung• Strukturiert sich im Moment• International Aspekte erschweren• In den nächsten 10 Jahren ist keine aktive Hilfe zu erwarten

Fazit• Gefahrenlage ist hoch

• Regierung• Strukturiert sich im Moment• International Aspekte erschweren• In den nächsten 10 Jahren ist keine aktive Hilfe zu erwarten

• Firmen müssen sich selbst schützen• BSI (und andere) Vorgaben befolgen • Aus vergangen Angriffen lernen

• JP Morgan – Angreifer benutzten Username/Passwort gegen Server• CHS – ‘Heartbleed’ Schwachstelle im VPN Server• Sony – Wurm verbreitete sich durch SMB mit bekannten Passwörtern

Prioritäten1. Identitätsmanagement verbessern

• 2FA einsetzen

Prioritäten1. Identitätsmanagement verbessern

• 2FA einsetzen

2. Patchlage verbessern – Microsoft, Adobe, Oracle• Fokus auf Exploit verfügbar

Prioritäten1. Identitätsmanagement verbessern

• 2FA einsetzen

2. Patchlage verbessern – Microsoft, Adobe, Oracle• Fokus auf Exploit verfügbar

3. Robust konfigurieren• Software deinstallieren wo möglich • Neuste Versionen einsetzen• Aktiv auf Sandboxing achten

• Google Chrome Browser, Office 2013, Adobe Reader XI

Prioritäten1. Identitätsmanagement verbessern

• 2FA einsetzen

2. Patchlage verbessern – Microsoft, Adobe, Oracle• Fokus auf Exploit verfügbar

3. Robust konfigurieren• Software deinstallieren wo möglich • Neuste Versionen einsetzen• Aktiv auf Sandboxing achten

• Google Chrome Browser, Office 2013, Adobe Reader XI• EMET oder ähnlich

Prioritäten1. Identitätsmanagement verbessern

• 2FA einsetzen

2. Patchlage verbessern – Microsoft, Adobe, Oracle• Fokus auf Exploit verfügbar

3. Robust konfigurieren• Software deinstallieren wo möglich • Neuste Versionen einsetzen• Aktiv auf Sandboxing achten

• Google Chrome Browser, Office 2013, Adobe Reader XI• EMET oder ähnlich

4. Anomalien erkennen

Resourcen• BSI -

https://www.bsi.bund.de/DE/Publikationen/Lageberichte/lageberichte_node.html

• CERT-Bund: https://www.cert-bund.de/schwachstellenampel

• Microsoft - https://technet.microsoft.com/library/security

• Adobe - http://blogs.adobe.com/psirt

• Apple - http://support.apple.com/en-us/HT1222

• Oracle Java - http://www.oracle.com/technetwork/topics/security/alerts-086861.html

• Microsoft EMET - https://technet.microsoft.com/en-us/security/jj653751

Vielen DankWolfgang Kandek

[email protected]

@wkandek

http://laws.qualys.com