Neues aus dem DFN-CERT...14.03.2018 6 ADVs nach Schweregrad 68. Betriebstagung / Neues aus dem...
Transcript of Neues aus dem DFN-CERT...14.03.2018 6 ADVs nach Schweregrad 68. Betriebstagung / Neues aus dem...
Neues aus dem DFN-CERT
68. Betriebstagung | 14.03.2018
Christine Kahl
Agenda
1. Advisories
2. Schwachstellen
3. Vorfälle
4. 2nd Generation CERT-Portal
▹Status des Umzugs
▹Abschaltung altes Portal5. EDUCV
▹Ziele
▹Mitgliedschaft
▹Weitere Planung
Advisories
Aktuel le Advisory Zahlen
▸ Gesamtzahl
▹ 2015: 3601
▹ 2016: 4050
▹ 2017: 4407
▹ 2018 (Jan + Feb): 777
▸ Anstieg
▹ 2017: 9 %
▹ Prognose für 2018: 6%
▹Bei 250 Arbeitstagen: 18 Advisories pro Tag
▸ Empfehlung
▹Nutzen Sie das neue Portal, um Ihr
Abonnement auf Ihre Bedürfnisse
zuzuschneiden
14.03.2018 68. DFN-Betriebstagung / Neues aus dem DFN-CERT 5
20132014
20152016
2017 2018 (Jan+Feb)
0
500
1000
1500
2000
2500
3000
3500
4000
4500
Neu ADVsUpdatesInsgesamt
14.03.2018 6
ADVs nach Schweregrad
68. Betriebstagung / Neues aus dem DFN-CERT
2016 2017 2018 (Jan + Feb)0
200
400
600
800
1000
1200
1400
1600
very lowlowmediumhighvery high
▸ Very High
▹ 2016: 296
▹ 2017: 389
▹ 2018 (Jan + Feb): 62
▸ Tendenz
▹Gleiches Niveau wie in
2017
▸ Advisories, die fast immer
in dieser Kategorie landen
▹Android
▹Apple
▹ Firefox
Schwachstellen
NVD neu angelegt Verteilung 2017 nach CVE Details:
(National Vulnerability Datebase):
▸ 2015: 6.487
▸ 2016: 6.447
▸ 2017: 14.646
▸ 2018 (Jan + Feb): 2.600
14.03.2018 68. Betriebstagung / Neues aus dem DFN-CERT 8
Schwachstel len
Debian
Adobe
Imagemagick
Linux
Cisco
Apple
IBM
Microsoft
Oracle
0 100 200 300 400 500 600 700 800 900 1000
Veröffentlicht am 03.01.2017
▸ Fehler in der spekulativen Instruktionsausführung für Mikroprozessoren
Ausspähen von Informationen, die in weiteren Angriffen verwendet werden können
▸ Quasi jeder veröffentlicht Informationen, Mitigationen und Patches
▸ Mitte Januar wurden von den Patches (Intel Microcode) dann wieder einige
zurückgezogen, Grund: Stabilitätsprobleme
▸ Die Zahlen aus unserer Sicht (Stand 06.03.18)
▹ 3 Schwachstellen, die alle oder z.T. in 39 Meldungen enthalten sind
▹Die prominentesten drei Advisories existieren in Version 31, Version 20 und Version 17
14.03.2018 68. DFN-Betriebstagung / Neues aus dem DFN-CERT 9
Meltdown ( C V E - 2 0 1 7 - 5 7 5 4 ) & Spectre ( C V E - 2 0 1 7 - 5 7 1 5 , C V E - 2 0 1 7 - 5 7 5 3 )
Vorfälle
14.03.2018 11
AW-Meldungen – Events
68. Betriebstagung / Neues aus dem DFN-CERT
▸ Hauptkategorien
▹ Amplifier
▹ Bots
▸ Importierte Events
▹ Im betrachteten
Zeitraum:
Schwankungen
zwischen 191tsd und
465tsd Events im Monat
▸ Exportierte Events
▹Beste Aggregation 11
zu 1 (März)
▹Geringste Aggregation
1,5 zu 1 (August)Mar Apr Mai Jun Jul Aug Sept Okt Nov Dez Jan Feb
0
50000
100000
150000
200000
250000
300000
Gesamtzahl versendeter AW-Events
14.03.2018 12
AW-Meldungen – Emai ls
68. Betriebstagung / Neues aus dem DFN-CERT
▸ Grafik zeigt nur die durch
den AW-Dienst versendeten
Emails
▸ Hinzu kommen Massenmails,
die nicht in den Dienst
eingesteuert werden
▹Kompromittierte Credentials
▹Bsp. aus dem Januar: 10tsd Kombinationen aus Email-Adresse und Passwort bzw. Hash,200 Einrichtungen wurden informiert
Mar Apr Mai Jun Jul Aug Sept Okt Nov Dez Jan Feb
0
500
1000
1500
2000
2500
3000
versendete Emails
2nd Generation CERT-Portal
▸ 187 Einrichtungen in das neue Portal umgezogen
alle besitzen HP (Handlungsberechtigte Person)
▸ Letzter Umzug in der KW 13 (26. - 29.03.) geplant
dann ziehen alle restlichen Einrichtungen um & altes Portal wird abgeschaltet
▸ Offenes Schwachstellenarchiv mit eingeschränktem Informationsumfang
https://adv-archiv.dfn-cert.de/
▸ Portalversion aktuell 1.1.28
▸ Anforderungen für die nächste Version gibt es viele, Planung startet sobald alle
Anwender umgezogen sind
14.03.2018 14
Status
68. DFN-Betriebstagung / Neues aus dem DFN-CERT
14.03.2018 68. DFN-Betriebstagung / Neues aus dem DFN-CERT 15
Das myster iöse Formular
▸ Email-
Empfänger
anlegen
▹ Bestätigung
erforderlich
▹ Irgendein
Zertifikat
der DFN-PKI
notwendig
▹Kein Portal-
zugang
▸ Benutzer
anlegen
▹ Bestätigung
erforderlich
▹ Zertifikat
mit der
angegebe-
nen Email-
Adresse
notwendig
▹ Portalzu-
gang
EDUCV
▸ Austausch und Zusammenarbeit der deutschen Hochschulen bzgl. der Informationssicherheit
verbessern
▸ Schwerpunkt: technische IT-Sicherheit
▹ Analyse und Bewertung spezifischer Software an Hochschulen
▹ Entwicklung oder Bewertung technischer Standards, Richtlinien und Tools
▹ Unterstützung bei der Platzierung eines Hochschul-CERTs
▹ ...
▸ Ehrlicher Informations- und Erfahrungsaustausch
▸ Es gibt noch kein „Mission Statement“
ETA: Mai 2018
14.03.2018 68. DFN-Betriebstagung / Neues aus dem DFN-CERT 17
Ziele des EDUCV
▸ Voraussetzungen
▹ Deutsche Universität oder Hochschule
▹ Operativ arbeitendes Sicherheits‘team‘
▹ Akzeptanz eines NDA
▹ Empfehlung der Aufnahme durch zwei Mitglieder des EDUCV
▹ Bereitschaft zur aktiven Mitarbeit
▸ Aktuelle Mitglieder
▹ KIT-CERT Karlsruhe
▹ WWU-CERT Münster
▹ RUS-CERT Stuttgart
▹ Sicherheitsteam der TU Dresden
▹ DFN-CERT
14.03.2018 68. DFN-Betriebstagung / Neues aus dem DFN-CERT 18
Mitgl iedschaft im EDUCV
▸ https://www.educv.de/
▸ Erstes offizielles Treffen:
▹ Anfang November (aktuelle Planung: 07.11.)
▹ Hamburg
14.03.2018 68. DFN-Betriebstagung / Neues aus dem DFN-CERT 19
Interessiert? Kontakt ieren Sie uns!
Vielen Dank für Ihre Aufmerksamkeit!
Haben Sie Fragen?
▸ DFN-CERT Hotline
▹ 040 / 808 077-590
▸ Weitere Informationen: https://www.cert.dfn.de/