Cyber Range

Mehr Praxis in der IT-Sicherheit

Wolfgang Fritsche & Martin Herrmann, IABG

© IABG 2018 2

Inhalt

Steigende Bedeutung der IT-Sicherheit

Training und Awareness

Überblick Cyber Range

Demo Cyber Range

06.02.2018

Steigende Bedeutung der

IT-Sicherheit

© IABG 2018

BSI Lagebericht

Schadsoftware Täglich mehr als 380.000 neue Varianten von Schadprogrammen, v. a.

Email-Anhänge

Nach wie vor eine der größten Bedrohungen

Ransomware Nutzerdaten werden verschlüsselt und nur gegen Lösegeld entschlüsselt

(z. B. Locky, TeslaCrypt, Petya, …)

Seit 2016 starker Anstieg beobachtbar

Advanced Persistent Threats (APT) Gezielter, strategischer und längerfristiger Cyberangriff (z. B.

Stromausfälle in der Ukraine Ende 2015)

Stagnieren, tendenziell leichter Rückgang beobachtbar

Botnetze Infizierung zahlreicher Fremdsysteme mit Schadsoftware zum

Missbrauch für Angriff, Spam, …

Immer mehr IoT werden für Botnetze missbraucht (z. B. Mirai)

4

Quelle: BSI

06.02.2018

© IABG 2018

Angriffe erreichen neue Bereiche (Internet of Things, SCADA, …)

5

Quelle:

https://krebsonsecurity.com/2016/10/who-makes-the-iot-things-under-attack/

Quelle: https://www.hackread.com/mirai-botnet-linked-to-dyn-dns-ddos-attacks/

Source code: https://github.com/jgamblin/Mirai-Source-Code

Quelle:

https://www.bishopfox.com/resources/tools/google-hacking-diggity/attack-tools/

Quelle:

https://de.slideshare.net/JoanFiguerasTugasCIS/cybersecurity-in-industrial-control-systems-ics

06.02.2018

© IABG 2018

Angreifer und deren Motivation sind vielfältig …

6 06.02.2018

© IABG 2018

… genau wie die Kategorien von Bedrohungen

Spoofing Vorgeben, jemand anders zu sein

Schutzmaßnahme: Authentication

Tampering Modifizieren von Daten oder Code

Schutzmaßnahme: Integrity protection

Repudiation Vorgeben, etwas getan zu haben

Schutzmaßnahme: Non-repudiation

Information disclosure Unauthorisierter Zugang zu Informationen

Schutzmaßnahme: Confidentiality

Denial of service Verhinderung oder Degradierung eines Services

Schutzmaßnahme: Availability

Eleviation of privilege Unauthorisiertes Erlangen von Rechten

Schutzmaßnahme: Authorisierung

7

S

T

R

I

D

E 06.02.2018

Training und Awareness

© IABG 2018

Relevanz von Cyber Training und Awareness

Vielfalt und Anzahl an Cyberangriffen nimmt kontinuierlich zu

Möglichkeiten zur Abwehr von Cyberangriffen nehmen zu bzw. ändern sich

Steigende Bedeutung von Erkennen und Verteidigen von Cyberangriffen (Gezielte

Angriffe werden erst nach ca. 8 Monaten entdeckt!)

Anzahl der durch Cyberangriffe betroffener Bereiche steigt

Autonomes Fahren, Industrie 4.0, Smart Home, Energienetze, …

Cyberangriffe betreffen unterschiedlichste Personengruppen

Entwickler, IT-Administratoren, Betreiber von IT-Infrastrukturen, Beschaffer,

Entscheider (C-Level), Nutzer, …

Bedarf für kontinuierliches und zielgruppenorientiertes Training

9 06.02.2018

© IABG 2018

Training als Bestandteil des Informationssicherheitsmanagements

10

Übernahme der Verantwortung für IT-Sicherheit

durch das Management

Vorgaben, Leitlinien, Policies

Konkretisierung der IT-Sicherheitsziele

Organisationsstrukturen und Rollen

Vorgehensweisen und Methoden

zur Risikoermittlung

zur Maßnahmenauswahl und Priorisierung

Management der Risiken

Management von Abweichungen

Sicherheitsprozess (Plan-Do-Check-Act Zyklus)

Ermittlung und Analyse der Risiken

Auswahl von Sicherheitsmaßnahmen (inkl.

Training und Awareness)

Umsetzung der Maßnahmen

Kontrolle der Wirksamkeit

Kontinuierliche Verbesserung

10

Unternehmensweites Managementsystem

zur Organisation der IT- und Informationssicherheit

Unternehmensweites Managementsystem

zur Organisation der IT- und Informationssicherheit

IT-Sicherheitsziele:

Verfügbarkeit

Integrität

Authentizität

Vertraulichkeit

IT-Sicherheitsziele:

Verfügbarkeit

Integrität

Authentizität

Vertraulichkeit

06.02.2018

© IABG 2018

Training und Awareness als fester Bestandteil des BSI Grundschutz

M2 „Organisation“

M 2.198 Sensibilisierung der Mitarbeiter für Informationssicherheit

M 2.557 Konzeption eines Schulungsprogramms zur Informationssicherheit

M3 „Personal“ (> 40 Maßnahmen zu Training und Awareness)

M 3.93 Analyse der Zielgruppen für Sensibilisierungs- und Schulungsprogramme

M 3.44 Sensibilisierung des Managements für Informationssicherheit

M 3.96 Unterstützung des Managements für Sensibilisierung und Schulung

M 3.45 Planung von Schulungsinhalten zur Informationssicherheit

M 3.48 Auswahl von Trainern oder externen Schulungsanbietern

M 3.13 Sensibilisierung der Mitarbeiter für mögliche TK-Gefährdungen

M 3.4 Schulung vor Programmnutzung

M 3.5 Schulung zu Sicherheitsmaßnahmen

M 3.11 Schulung des Wartungs- und Administrationspersonals

Zahlreiche Schulungsmaßnahmen zu diversen Diensten, Anwendungen und

Komponenten (Cloud, Router/Switches, Sicherheitsgateways, WLAN, DNS, VoIP,

TK-Anlagen, Windows, SAP, Outlook, Apache, …)

11 06.02.2018

© IABG 2018

Training und Awareness betrifft unterschiedlichste Gruppen

12 06.02.2018

IT-Admins

Sicherheits-

verantwortliche

Management

Personal

Anwender

Recht

Kommunikation

Finanz/Einkauf

Sichere Benutzung der IT

Achtsamkeit ggü. Anomalien

….

Kommunikation von Vorfällen

…

Personalentwicklung (Informationssich.)

Disziplinarische Maßnahmen (Innentäter)

…

Gesamtverantwortung für Informationssicherheit

Budget

….

Beschaffung sicherer Lösungen

Bezahlung von „Lösegeld“

…

Jur. Bewertung von Vorfällen u. Vorschr.

Abschluss von Cyberversicherungen

…

Betrieb der Informations-

sicherheit

…

Verantwortung für

Informationssicherheit

Umsetzung von Vorgaben

Spezifikation von Organisation,

Rollen, Prozesse, …

© IABG 2018

Ein Cyber Training hat viele Facetten

Klassische Kurse

Online-Kurse

Fachliteratur (Internet, Fachliteratur, Newsletter, …)

Konferenzen und Messen

Praxisnahes Training auf einer Cyber Range

Nachhaltige Erhöhung der Security-Awareness

Training bzgl. Erkennen, Bewerten und Verteidigen von Angriffen

Vertiefung der technischen Expertise sowie Optimierung von Organisation und

Prozessen

Interaktives Training durch Arbeit im Team und Feedback

13 06.02.2018

© IABG 2018

Planung und Umsetzung von Cyber Trainingsmaßnahmen

Anfor-derungen

Anfor-derungen

• Festlegung der Zielgruppen

• Ausbildungsziele (insb. Herleitung aus Soll-Ist-Vergleich)

• Randbedingungen (Budget, gesetzl. Vorgaben, …)

Konzept Konzept

• Spezifikation der Ausbildungs- und Trainingsinhalte

• Organisation des Trainings (z.B. Kooperation mit externen Partnern)

• Technik (z.B. Cyber Range)

Umsetzung Umsetzung

• Durchführung der Maßnahmen

• Fortlaufende Überprüfung und Anpassung

14 05.02.2018

Überblick Cyber Range

© IABG 2018

Was ist eine Cyber Range?

Mögliche Definition

Virtuelle Umgebung für

Cyber Security Training (Angriffe und Verteidigung)

(Weiter)entwicklung von Cyber Security Lösungen

Unterscheidung verschiedener Teams

Red Team: Angreifer

Blue Team: Verteidiger (z.B. SOC, NOC, …)

Green Team: Nutzer, die Endgeräte an

Infrastruktur des Blue Teams betreiben

(Yellow Team): Nutzer des Green Teams, die Opfer

von Angriffen werden

White Team: Betreiber der Cyber Range

(Trainer)

16 06.02.2018

@paloalto

@Cyberbit

@Boeing

© IABG 2018

Vorteile eines Cyber Range Trainings

Praxisnahes Trainieren und Vertiefen technischer

Kenntnisse zur IT-Sicherheit

Insbesondere Fähigkeiten zur Erkennung, Bewertung

und Verteidigung von Cyberangriffen

Sicheres Training im nicht-operativen Umfeld

Training und Optimierung des Arbeitens im Team

Optimierung von Organisation, Prozesse und Rollen

Sensibilisierung durch Veranschaulichung der

Auswirkungen von Cyberangriffen

Weiterentwicklung von Angriffen und Lösungen zu

deren Verteidigung

Test von Sicherheitslösungen

…

17 06.02.2018

© IABG 2018

Zahlreiche Nutzergruppen einer Cyber Range (1)

Management

Sensibilisierung für Auswirkung von Angriffen

Sensibilisierung für unternehmensw. Bedeutung der Informationssicherheit

Sensibilisierung für eigene Rolle (Verantwortung)

Anwender

Sensibilisierung für Angriffe und Anomalien

Sensibilisierung für Auswirkung von Angriffen

Sensibilisierung für eigene Rolle (Anwender)

IT-Administratoren

Training des Betriebs von Sicherheitslösungen

Training von Erkennen, Bewerten und Verteidigen von Angriffen

18 06.02.2018

© IABG 2018

Zahlreiche Nutzergruppen einer Cyber Range (2)

Sicherheitsverantwortliche

Sensibilisierung für Auswirkung von Angriffen

Optimierung von Organisation, Rollen und Prozesse

SOC/CERT

Optimierung von Organisation, Rollen und Prozesse

Optimierung von Erkennen, Bewerten und Verteidigen von Angriffen

Forensik

Training der Merkmale / Charakteristiken von Angriffen

Training der Beweissicherung nach Angriffen

Angreifer

Training neuer Angriffstechniken in sicherer Umgebung

19 06.02.2018

© IABG 2018

Beispiel für Ablauf eines Cyber Range Training

TAG 1 TAG 2 TAG 3

9:00 Empfang Empfang Empfang

Detaillierung Trainingsziele

Cyber Range Szenar #2

Cyber Range Szenar #4

10:00

Einführung Cyber Range

11:00

12:00 Pause Pause

13:00

Cyber Range Szenar #1

Schulung Organisation und

Prozesse

14:00

Cyber Range Szenar #3

15:00 Pause

Schulung Organisation und

Prozesse

Pause 16:00

Wrap-Up

17:00

Wrap-Up Wrap-Up

18:00

20 06.02.2018

© IABG 2018

Einleitung zur Demo – Überblick Cyber Range

Virtuelle Schulungsumgebung für Trainingsszenarien im Bereich IT-

Sicherheit

Simulation von Angriffen auf ein Netzwerk mit verschiedenen

Infrastrukturkomponenten (sowohl aus dem Office- als auch aus dem

SCADA-Bereich)

Aufgabe der Trainees: Erkennen und Beheben von laufenden Angriffen;

Identifizieren von präventiven Maßnahmen

21 06.02.2018

© IABG 2018

Einleitung zur Demo - Netzwerkumgebung

Realistische, heterogene Netzwerkumgebung

Alle IT-Systeme wirklich vorhanden und benutzbar

Nachbau von Kundennetzwerken auf Wunsch möglich

SIEM Segment:192.168.66.0/24

DB

Se

gme

nt:

192.

168.

214.

0/24

CNT-FW CNT-FW-DMZ CNT-RT-DMZ

www.bbc.co.ukCNT-DMZ-Apache2

172.16.100.22

www.cnn.comCNT-DMZ-Apache3

172.16.100.23

www.foxnews.comCNT-DMZ-Apache1

172.16.100.21

CNT-DMZ-DNS172.16.100.6

CNT-MailRelay172.16.100.7

www.tech.comCNT-DMZ-IIS172.16.100.4

DMZ Segment:172.16.100.0/24

Firewall Segment:192.168.254.240/29

Web

Se

gme

nt:

192.

168.

213.

0/24

CNT-WEB-Apache192.168.213.4

CNT-WEB-IIS192.168.213.5

CNT-Web-ProFTPd192.168.213.3

Trainee Rechner10.72.51.0/24

Trai

nee

VP

N-C

onn

ecti

on

Internet

ArcSight192.168.66.1

CNT-Mail192.168.200.3

CNT-DC192.168.200.1

CNT-BBX192.168.200.52

CNT-FMS192.168.200.51

CNT-DHCP192.168.200.100

CNT-MySQL192.168.200.13

CNT-Snort192.168.200.50

CNT-Centrify192.168.200.40

CNT-Zenoss-NMS192.168.200.133

CNT-EPO192.168.200.30

CNT-Files192.168.200.6

CNT-SQL192.168.200.23

ArcSight-Col192.168.66.3

WS-Ubuntu-Cnt1192.168.100.9

WS-Win7-Cnt2192.168.100.11

WS-Win7-Cnt1192.168.100.10

WS-Ubuntu-Cnt2192.168.100.24

CNT-DB-SQL192.168.214.4

CNT-DB-PostGre1192.168.214.5

CNT-DB-PostGre2192.168.214.6

CNT-DB-MySQL192.168.214.13

CNT-DMZ-FTP2172.16.100.32

CNT-DMZ-FTP1172.16.100.31

CNT-DMZ-Proxy172.16.100.18

22 06.02.2018

© IABG 2018

Einleitung zur Demo - Beispiele für Angriffsszenare

Verschiedene Angriffsszenare

Phishing

SQL Injection

Ransomware

Privilege Escalation

SCADA

…

Kontinuierliche Weiter- und Neuentwicklung von Szenaren mit

Bezug zur aktuellen Cybergefahrenlage

23 06.02.2018

Kontakt

© IABG 2018 25

Kontakt

Wolfgang Fritsche Leiter Competence Center

Telefon: +49 89 6088-2897

Email: fritsche@iabg.de

Wolfgang Fritsche Leiter Competence Center

Telefon: +49 89 6088-2897

Email: fritsche@iabg.de