Cyber Security @ Deutsche TelekomPartner der IndustrieFranz Grohs, SVP Cyber Business Unit

SECURITY Forum 2014 Hagenberg im Mühlkreis

CYBER SECURITY IST NICHT NUR EIN MEDIENHYPE JEDEN TAG KOMMT ES ZU NEUEN CYBER-ATTACKEN

„INTERNET DER DINGE“

Hacker verschafft sich Zugriff auf

Babykamera und beobachtet schlafendes

Kleinkind.

13.08.2013

BEISPIELE FÜR ERFOLGREICHE CYBERANGRIFFEJEDES UNTERNEHMEN IST POTENTIELL BETROFFEN

Diverse Rechner von internenSoftwareentwicklern wurden infiziert

Angreifer hatten über längeren ZeitraumZugriff auf Rechner der Redaktion

100 Millionen Kundendatensätze gestohlenPSN für einen Monat außer Betrieb

Vertrauliche Details der Secure ID Produktfamilie gehackt

IT-Attacke auf die Rüstungsindustrie

24 Millionen Kundendatensätze gestohlen

Diebstahl interner und vertraulicher Kundendokumente (z.B. von FBI und NSA)

Diebstahl von 6,5 Mio. SHA1 Passwort-

Hashes

Diebstahl von 2,5 Mio. MD5 Passwort-Hashes

Angreifer hatten über Monate Zugriff auf Rechner in der Redaktion der NYT

Zielgerichteter Angriff gegen einenRüstungskonzern, Details nicht veröffentlicht

Erfolgreicher Angriff wurde bekanntgegeben,Details nicht veröffentlicht

Diverse Rechner von internen Mitarbeiternwurden mit Schadsoftware infiziert

250.000 Account – Daten mit Passwörtern gestohlen

What happens in the market?STRONG NEED FOR SECURITY

CHANGE IN IT:

Cyber crime causes 18 victimsper second, 1,5+ million victims per day and 556 million victims per year, which is more than the entire population of the European Union

Evernote hit in hacking attack, all 50 mn. users must reset their password. Damage of several Million $ (Q1 13)

55% of users aren’t 100% sure their computers are currently ‘clean’ and free from Viruses

CHANGE IN BUSINESS:

Amazon.com had an outage for49 minutes on Jan. 31. Damage: For every hour it is not up and running, Amazon.com takes a hit of almost $5 million (Q1 13)

Hackers compromised 1.5m credit and debit card numbers of Global Payments. As a result Global Pay-ments shares tumbled 9% (Q2 12)

The Network of Deutsche Telekom registers up to 800.000 attacks on a daily base

SETTING THE SCENECYBER THREATS HAVE EXPLODED

SETTING THE SCENECYBER THREATS HAVE EXPLODED

UNTERSCHIEDLICHE TYPEN VON ANGREIFERNABER: GLEICHE METHODEN BEI DIVERGIERENDEN ZIELEN

BE

ISP

IELE

MO

TIV

AT

ION

RE

SS

OU

RC

EN

ORG. KRIMINALITÄT

HACKTIVISTEn

Staatlicher Fokus

KLASSISCHE„HACKER“

Ruhm und Ehre Zeigen was man kann Spiel und Spaß

Politische Meinungsäußerung

DDoS gegen Banken,die Wikileaks Kontengesperrt hatten

Anonymous Angriffe auf Unternehmen

Betrug Erpressung Geldwäsche

Verunstalten von Internetseiten

Meldungen von Schwachstellen inWebseiten an die Presse

Spionage Sabotage

StuxnetRed October(Regierungen im Ostblock)

PRISM/ Tempora

NACHRICHTEN DIENSTE

Primärfokus der Sicherheitsarbeit

zumeist Einzelpersonen

gut organsierte Gruppen

hohe Arbeitsteiligkeit weltweite Verteilung hohe Finanzmittel

verfügbar

gut organisierte Gruppen

hohe Arbeitsteiligkeit weltweite Verteilung

Staatlich gelenkt Extrem hohe

Finanzmittel verfügbar

Phishing-E-MailsDDoS auf Onlineshops / Onlinewetten

SPAM

STAATLICH GELENKTE FERNMELDEAUFKLÄRUNGÜBERWACHUNG DES INTERNETVERKEHRS

BEISPIELE TECHNISCHE REALISIERUNG

Bei der strategischenFernmeldeaufklärung werden heutzutage überwiegend Glasfaserleitungenüberwacht, da die Satellitenkommunikation mittlerweile eine untergeordnete Rolle spielt.

Aufgrund geologischer Gegebenheiten (unterseeische Gebirgszüge) laufeninterkontinentale Glasfaserleitungen an wenigen Knotenpunkten weltweit zusammen. Einezentrale Überwachung ist damit technisch leichtrealisierbar.

Überwachung von Glasfaser erfolgt mit optischenSplittern, die eine 1:1 Kopie der gesamten übertragenen Inhalte einer Glasfaserleitung passiv ausleiten.

Prism

Echelon

Tempora

…

FRÜHWARNUNG DURCH TRANSPARENZHONEYPOT SENSOREN LIEFERN ECHTZEITLAGEBILDER

Rund 180 Honeypot-Sensoren haben innerhalb vondrei Jahren 8.732.125 neue Angriffsmuster erkannt.

Pro Tag gibt es bis zu 800.000 Angriffe auf die Honeypots der Telekom.

Beispiel für eine abgeleitete Frühwarnung:

Innerhalb eines Jahres wurde ein simuliertes Smartphone mehr als 300.000 mal attackiert.

330 dieser Angriffe waren erfolgreich, im Durchschnitt damit fast ein Angriff pro Tag.

Weltweit werden derzeit fast eine Milliarde Smartphones genutzt.

Neuer Angriffstrend in Richtung Smartphone, dasGefahrenpotential ist aufgrund der Menge dieserGeräte enorm.

WWW. SICHERHEITSTACHO.EUANGRIFFE IN ECHTZEIT SEHEN

ANALYSIEREN SIE IHRE ORGANISATION MIT DEN AUGEN EINES ANGREIFERS…

101 HONEYPOTS IM NETZ DERDEUTSCHEN TELEKOM

WWW.SICHERHEITSTACHO.EU

ECHTZEIT ÜBERBLICK BZGL. DERANGRIFFE, TOP 15 NACH LÄNDERN UND VERTEILUNG DERANGRIFFSZIELe

ENTDECKUNG VON IM DURCHSCHNITT 450.000ANGRIFFEN TÄGLICh

WACHSTUM: 5 JE NATCOAKTUELL IM ROLLOUT

SOFTWARE SCHWACHSTELLEN - EIGENSCHAFTEN

Hohes Risiko, dass Software Fehler beinhaltet. Einigedavon haben Auswirkungen auf die Sicherheit und können durch Angreifer ausgenützt werden(“Sicherheits-Schwachstellen”).

Pro Monat werden durchschnittlich 400 neueSchwachstellen bekannt.

Ca. 10% der Schwachstellen sind “kritisch”.

Weitere Schwachstellen existieren, bleiben jedoch unbekannt, da der Hersteller noch kein SoftwareUpdate (Sicherheits-Patch) zur Verfügung gestellt hat.

Zudem gibt es sog. “Zero Day Exploits”, die nichtbekannt werden bis Angreifer diese ausnützen.

INCIDENTS - BEISPIELE

VERALTETE SOFTWARE IST DIE URSACHE FÜR DIE MEHRHEITAKTUELLer SICHERHEITSVORFÄLLE

ICT Growth TopicsOverview

MOBILE ENTERPRISE

Cyber Security

Big data

Cloud

Internet of Things

M2M

UC & Collaboration

Industry 4.0

Healthcare Connected Car

Smart Energy

Competitor landscapebroader it security landscape

Source: PAC

Competitor landscapethree groups of providers dominate the market

security specialistsNETWORK PROVIDERSIt OUTSOURCERS

Managed security services

T-SYSTEMS

360° SERVICES FOR SECURE TRANSFORMATION

TRANSFORM INTO THE CLOUD WORLD

TRANSFORM INTO THE COLLABORATIVE WORLD

TRANSFORM INTO THE MOBILE WORLD

DEDICATED CONSULTING APPROACH

Secure data centers Multi tenancy:

TC and IT Intrusion Detection

and Prevention

Effective access control

Secure storage Protection from

malware

Encryption of mobile data

Communication security Gateway and

application security

Cyber Resilience Assessment

Cyber Resilience Strategy

Cyber Attack Defense Team

Challenges for Customers

CYCLE OF A CYBER-ATTACK

Early detection Reducing attackers „free time“

ICT SECURITY SERVICES AND SOLUTIONSSERVICES AND SOME CUSTOMERS

Architecture and Processes

Applications, Risk and Compliance

Security and Vulnerability Mgt.

Users and Identities

Smart Cards

Trust Centers

Identity and Access ManagementEnabling the managed use of ICT resources and IT applications with digital identities, roles and rights.

Enterprise Security ManagementEmbedding security in processes, defining goals and responsibilities, ensuring good governance and compliance.

Workplace, Host and Storage Security

Network Security

Physical Security*

ICT Infrastructure SecurityDefending from hostile action: protecting networks, IT applications, data and building security

e.g. Business Consulting, ProcessModeling

e.g. Corporate PKI, Business CA

e.g. Device Security, Encryption

e.g. SIEM, CERT Services

e.g. Security Audits, Pentest, Productevaluations

e.g. Identity and access management, Directory Services

e.g. Smart cards solutions

e.g. Firewall, IDS / IDP, SSL GW, DLP GWe.g. Access Controls, Break-In Alarms

T-Systems security solutions cover customers needs from basic to highest security. Standard-Services are oftencombined with customer specific add-ons.

CYBER SECURITY STRATEGIEPRÄVENTION – ERKENNUNG - REAKTION

ICT BUDGET VERTEILUNGHEUTE 70% Prevention 20% Detection 10% Reaction

ICT BUDGET VERTEILUNGZUKÜNFTIG: 33.33% Prevention 33.33% Detection 33,33% Reaction

Prävention Cyber Security Strategy Cyber Security Architecture Top Management Awareness Security Audits Penetration Testing dCERT Information Service DDoS Mitigation strategies

Erkennung State-of-the-ArtMonitoring

um Attacken undMissbrauch zu entdecken

Cyber Situational Awareness Anomalie Entdeckung Security Information &

Event Management(SIEM)

Security Operations Center

Reaktion Umgang mit

unbekannten Bedrohungen

In-time Securityincident response

ComputerEmergency Response Team(CERT)

Forensic Analysis

Conventional intrusion detection system defend a network perimeter by using packet inspection, signature detection and real-time blocking.

NBA can enhance the security of a network by monitoring traffic and noting unusual actions. NBA solutions watch what's happening inside the network, aggregating data from many points to support analysis using artificial intelligence methods.

Attacks e.g. DoS- / DDSoS, Brute Force (SQL, PHP), Polymorphic Malware etc. are identified by different AI Agents and rated accordingly. The final opinion is made by a Master AI Agent.

Network Behavior Analysis (NBA) -- What is it?

INNOVATIVE APPROACHNETWORK BEHAVIOR ANALYSIS (NBA)

Example: Analysis of Network-Traffic. Data is collected at network perimeter and send to the

Analyzer, Analyzer contains different AI Agents, with different logic to

analyze AI Agents own a self learning ability Traffic flow is categorized in “normal” and “abnormal” parts,

Abnormalities are shown in a specific mode. E.g. “unusual DNS response” or “HTTP requests to Non-Web Servers” etc.

OUR SECURITY PORTFOLIOPortfolio Set Up with ACD by t

ACD by T ADVANCED CYBER DEFENSE

CO

NS

ULT

ING

Security Operation Center SOC

Reverse MalwareForensic

Security Monitoring, SIEM

Users and Identities

Smart Cards

Trust Centers

Workplace, Host and Storage Security

Network Security

Physical Security

Architecture and Processes

Applications, Risk and Compliance

Security and Vulnerability Management

ENTERPRISE SECURITY MGMT.

IDENTITIY & ACCESS MGMT.

ICT INFRASTRUCTURE SECURITY

ACD by T is a central part of the (Cyber) Security Portfolio.Quick market entry

by a strategic partnership with RSA.

Modular offering concept is open for different suppliers and partners.

Investment to strengthen our market position as security provider.

ACD by T

ACD BY T – TELEKOM ADVANCED CYBER DEFENSENEXT GENERATION SECURITY OPERATION CENTER

Telekom Advance Cyber Defense (ACD by T)N

G S

OC

Cyber Situational Awareness

Security Incident Detection & Response

(Big Data Analysis)

SOC Technology &

Engineering

SOC Platform Operations (e.g. RSA Security Analytics, Archer)

Con

sult

ing

Breach Readiness Assessment Penetration Testing

Incident Response Retainer

Breach Management Forensics

Threat IntelligenceNext Gen SOC Design & Implementation(Customer & Provider Model)

Cyber ThreatInformation Feeds

Further security systems(Firewalls, IDS/IPS, Anti-Virus, SIEM, …)

Network Recording(e.g. RSA NetWitness)

CERT

situation center

mgmt. escalation

external com.

crisis mgmt.

Enterprise IT

services & processes (e.g., help desk, ticketing; network/ platform/ system/ application operations)

asset information

Incident Response & Discovery

ACD BY T – TELEKOM ADVANCED CYBER DEFENSETECHNOLOGIES AND SUPPLIERS

Telekom Advance Cyber Defense (ACD by T)N

G S

OC

Cyber Situational Awareness

SOC Platform Operations (e.g. RSA Security Analytics, Archer)

CERT

situation center

mgmt. escalation

external com.

crisis mgmt.

Enterprise IT

services & processes (e.g., help desk, ticketing; network/ platform/ system/ application operations)

asset information

wMPS/eMPS/CMSeCATSecurity Analytics

(log & packets)

Con

sult

ing

Breach Readiness Assessment Penetration Testing

Incident Response Retainer

Breach Management Forensics

Threat IntelligenceNext Gen SOC Design & Implementation(Customer & Provider Model)

Incident Response & Discovery

NEXT GENERATION SECURITY OPERATION CENTER„next generation“?

Well-known security solutions

do not address the whole „Kill Chain“ and

have deficiences to detect advanced targeted attacks

E.g. Anti-Virus solutions are end-point solutions (=> limited view), signature-based mechanisms arelimited, anomaly detection mechanisms are rudimentary or disabled.

E.g. SIEM solutions support centralization and correlation, but are bound to events. Restauration ofcontext limited or impossible.

Next Generation Security Operation Center

adresses the whole „Kill Chain“

aims on detection of targeted attacks including APT

focuses human security expertise as keyfactor of success.

NextGen SOC must be flanked by innovative security technolgies to gain efficiency.

WHAT SECURITY MEANS TO DT…

… an important design criteria during the development of our products

… a key distinguishing feature against our competitors

… a basic requirement of our entire product and service portfolio

… one of the main anchors of trust with our customers

Security in the life cycle of products and services (Security by Design, PSA method). Highly secure network platforms and data centers based on an enterprise security architecture for reliable ICT service (ESARIS).

Fragen ?