Neues aus dem DFN-CERT · 70. Betriebstagung / Neues aus dem DFN-CERT 2016 2017 2018 0 500 1000...
Transcript of Neues aus dem DFN-CERT · 70. Betriebstagung / Neues aus dem DFN-CERT 2016 2017 2018 0 500 1000...
Neues aus dem DFN-CERT
70. Betriebstagung | 19.03.2019
Christine Kahl
Agenda
1. Advisories
▹Statistik
▹Unterstützte Produkte
2. Schwachstellen
3. Vorfälle
▹Statistik
▹Erwähnenswertes
4. 2nd Generation CERT-Portal
5. EDUCV
6. GN4-3 WP8
Advisories
Aktuel le Advisory Zahlen
▸ Gesamtzahl
▹ 2013: 2240
▹ 2018: 5158
▹ 2019 (Jan & Feb): 811
▸ In fünf Jahren haben sich die Meldungszahlen
mehr als verdoppelt (130%)
▸ Anstieg
▹2018: 17%
▹Anfang 2018 sah es nach einem deutlich
moderateren Anstieg aus
▹Zur letzten Betriebstagung wurde die erste
Prognose (6%) nach oben korrigiert (13%)
▹Zum Jahresende weiteres Wachstum
▹ Im Oktober und November jeweils mehr als 500
Meldungen
19.03.2019 70. DFN-Betriebstagung / Neues aus dem DFN-CERT 5
20132014
20152016
2017 2018
2019 (Jan+Feb)
0
1000
2000
3000
4000
5000
6000
Neu ADVsUpdatesInsgesamt
19.03.2019 6
ADVs nach Schweregrad (DAF)
70. Betriebstagung / Neues aus dem DFN-CERT
2016 2017 2018 0
500
1000
1500
2000
2500
very lowlowmediumhighvery high
▸ Very High
▹ 2016: 296
▹ 2017: 389● ca. 32 pro Monat
▹ 2018: 345● ca. 29 pro Monat
▸ Trotz Steigerung um 17%,
Rückgang der als ‚high‘ und
‚very high‘ bewerteten
Meldungen
▸ Low
▹Signifikanter Zuwachs
▹ Plus von 51% im Vergleich
zum Vorjahr
19.03.2019 7
Unterstützte Produkte
70. Betriebstagung / Neues aus dem DFN-CERT
Aruba
▸ Seit Oktober 2018 wird ArubaOS automatisiert überwacht, bisher eine Meldung
▸ Abonnierbar über
▹ Plattform – Netzwerk - Aruba
▹ Software – Systemsoftware – Betriebssystem
Extreme Networks
▸ Seit Juni 2018 wird ExtremXOS manuell (keine Mailingliste, kein optimales Seitenformat) überwacht, bisher
eine Meldung
▸ Abonnierbar über
▹ Plattform – Netzwerk - ExtremeNetworks
▹ Software – Systemsoftware – Betriebssystem
Schwachstellen
NVD (National Vulnerability Database) neu registrierte Schwachstellen:
▸ 2015: 6.487
▸ 2016: 6.447
▸ 2017: 14.650
▸ 2018: 16.517 entspricht einem Zuwachs von 12,5 %
▸ Die von CVE Details zur Verfügung gestellte Liste der Schwachstellen-Spitzenreiter hat sich verändert:
▹ Debian löst Google an Platz 1 ab
▹ U. a. Apple fällt aus den Top 10 raus, Canonical und Red Hat kommen rein
▹ Nach wie vor ist diese Auswertung nur ein Hinweis auf Entwicklungen und sollte durchaus kritisch betrachtet werden!
19.03.2019 70. Betriebstagung / Neues aus dem DFN-CERT 9
Schwachstel len
19.03.2019 10
In den letzten sechs Monaten
70. Betriebstagung / Neues aus dem DFN-CERT
Business as usual
▸ Schwerwiegende Probleme bei den üblichen Verdächtigen:
▹verschiedene Cisco Produkte,
▹Windows, IE, Edge, Exchange Server,
▹quasi alle unterstützten Oracle Produkte,
▹macOS, iOS,
▹Firefox, Chrome,
▹Drupal, TYPO3 ...
Derzeit diskutiert: Thunderclap
▸ Schwachstelle in der von Intel in Zusammenarbeit mit Apple entwickelten Thunderbolt-Schnittstelle, die zur Performance-Optimierung Direct
Memory Access (DMA) ermöglicht
▸ Über Thunderbolt verbundene Geräte können Speicher des OS auslesen und das unter Umgehung der IOMMU (I/O Memory Management Unit)-
Sicherheitsfunktion, die den Zugriff von DMA-Geräten auf Systemspeicher begrenzen sollen
▸ Betrifft Windows, macOS, Linux, FreeBSD, sofern bösartig manipuliertes Peripheriegerät verbunden ist
▸ Fazit: nicht benötigte Schnittstellen deaktivieren, vertrauenswürdige Peripherie sicher verwahren, nicht vertrauenswürdige nicht anschließen
Vorfälle
19.03.2019 12
AW-Meldungen – Events
70. Betriebstagung / Neues aus dem DFN-CERT
▸ Hauptkategorie weiterhin
▹ Amplifier
▸ Dicht gefolgt von
▹ Bots
▸ Steigende Importzahlen,
Spitzenwert im Januar bei
gut 2,4 Millionen, seit August
immer über 1,6 Millionen
▸ Spiegelt sich nicht in der
Zahl der exportierten Events
▹Zunahme im Bereich
Unrestricted Access
▹Hoch im Bereich
Attack/Login im Januar Mar Apr Mai Jun Jul Aug Sept Okt Nov Dez Jan Feb
0
10000
20000
30000
40000
50000
60000
70000
80000
Gesamtzahl versendeter AW-Events
▸ Oktober: Unrestricted Access
▹ ca. Verzehnfachung der Events im Vergleich zum Vormonat
▹ Ursache liegt in dem zusätzlich aufgenommenen Scan bzgl. aus dem Internet erreichbarer
TCP/8080 Ports
▹ Informationen hierzu wurden nur zweimal versendet, dann wieder deaktiviert
▹ Meist ist die Erreichbarkeit gewünscht, es gibt aber auch Fälle (z.B. Drucker), bei denen es
sich um Fehlkonfigurationen handelt
▸ Collection #1-5
▹ Sammlung gestohlener Anmeldedaten
▹ Können derzeit nur manuell verarbeitet werden
19.03.2019 70. DFN-Betriebstagung / Neues aus dem DFN-CERT 13
Erwähnenswertes aus der Vorfal lsbearbeitung
▸ Januar: Collection #1
▹ Informationen an ca. 100 Einrichtungen über ca. 120k Datensätze
▹ Email-Adresse plus führende zwei Zeichen eines möglichen Passworts oder Hashes
▸ Februar: Collection #2-5
▹ ca. 220 Einrichtungen wurden über ca. 60k Datensätze informiert
▸ Rückmeldung zum Versand
▹ Im Wesentlichen ältere Daten, zum Teil mit Zufallswerten aufgefüllt
▹ Einige Daten scheinbar aus dem letzten Quartal 2018
▸ Wir speichern derartige Daten nicht dauerhaft, sondern nur im Rahmen der Verarbeitung
▸ Wir können keinen Abgleich mit früher versendeten Daten machen
19.03.2019 70. DFN-Betriebstagung / Neues aus dem DFN-CERT 14
Erwähnenswertes aus der Vorfal lsbearbeitung
▸ Prävention
▹ Der Trend, dass wir in diesem Sektor mehr Zulieferungen erhalten, hält an
▹ Hierbei wird auf Systeme und Konfigurationen geprüft, die Angriffspunkte darstellen können
▹ Es sind keine Informationen zu infizierten Systemen
▹ Es kann übersetzt werden mit: ‚Wir haben hier etwas gesehen, das ist soundso, wenn Sie das
wissen, ist alles gut, wenn nicht, schauen Sie doch mal drauf.‘
▸ Was machen wir damit
▹ Kurzzeitige Aufnahme in die AW-Meldungen
▹ Danach verwerfen wir diese Meldungen, bis es einen Grund zur neuerlichen Information gibt
▸ Sie können das nicht verhindern
19.03.2019 70. DFN-Betriebstagung / Neues aus dem DFN-CERT 15
Erwähnenswertes aus der Vorfal lsbearbeitung
2nd Generation CERT-Portal
▸ Noch kein Zeitplan verfügbar
▸ Planung ongoing
▹ Schnüren eines mittelgroßen Paketes
▹ Bedeutet, dass eine ganze Reihe bekannter Wünsche jetzt nicht bearbeitet werden können
▸ Größte Anpassung: Umstieg auf CVSS Version 3
▹ Erfordert korrespondierende Umstellungen im Autorensystem
▹ Erfordert parallelen Umgang mit einem weiteren Score
▹ Alte Meldungen werden nicht angepasst
▹ Änderungen an der API (betrifft nicht die DFN-Anwender, sondern unsere ‚Hobby‘-Projekte wie Greenbone)
▹ Erhöht in der ersten Zeit nach der Umstellung den manuellen Aufwand, was unsere Terminauswahl für die Inbetriebnahme beeinflussen wird
19.03.2019 70. DFN-Betriebstagung / Neues aus dem DFN-CERT 17
Weiterentwicklung
▸ Unterscheidung zw. Benutzern und Abonnements verbessern
(„Speichern“ versus „Speichern & Einladen“)
▸ Manuelle Meldungen aus dem Portal als E-Mails versenden
▸ Informationen über Änderungen am Kategoriebaum und die Aufnahme neuer
Produkte im Portal anzeigen und ggf. per E-Mail versenden
▸ Verbesserung der Administrationsmöglichkeiten
▹Damit wir (Berlin & Hamburg) im Anwendersupport schneller werden
▸ Bugfixing und kleine Usability-Optimierungen
19.03.2019 70. DFN-Betriebstagung / Neues aus dem DFN-CERT 18
Weiterentwicklung
EDUCV
▸ Der EDUCV ist eine Arbeitsgruppe von operativen Informationssicherheitsteams, insbesondere
Computer Emergency Response Teams (CERTs) und Computer Security Incident Response Teams
(CSIRTs), deutscher Hochschulen, Lehr- und Forschungseinrichtungen
▸ Zu den 5 Gründungsmitgliedern sind mittlerweile 2 hinzugekommen, sowie 4 Dauergäste
▸ In den letzten Bearbeitungszügen: Paper zu Operativen Sicherheitsteams
▹ Aufgaben
▹ Organisation
▹ Technik
▹ Prozesse
▹ Kollaboration
Als Handreichung / Erfahrungsbericht für Teams im Aufbau
▸
19.03.2019 70. DFN-Betriebstagung / Neues aus dem DFN-CERT 20
EDUCV https://www.educv.de
▸ Mindestens zwei Treffen pro Jahr
▸ 1. Treffen im Kontext der SiKo in Hamburg, 2. Treffen vermutlich rotierend bei den Mitgliedern
▸ Nächstes Treffen im Nachgang zur Herbst BT unterstützt durch den DFN Verein und die FU Berlin (25. -
26.09)
▸ Was tun, um als Gast an einem Treffen teilzunehmen
▹ Kontaktieren Sie: [email protected]
▹ Wenn Sie bereits mit Mitgliedern im Austausch sind, nennen Sie uns die Referenzen
▹ Wir klären die Gastteilnahme intern (Prozess dauert in der Regel 3-4 Wochen) und laden Sie dann ein
▹ Auch für eine Gastteilnahme muss eine Geheimhaltungsvereinbarung unterzeichnet werden (versenden wir vorab)
▹ Beim Treffen wünschen wir uns eine kurze Vorstellung des Teams
▸ Im Nachgang zu einem Treffen, kann ein Gast die Aufnahme in den EDUCV beantragen
▸19.03.2019 70. DFN-Betriebstagung / Neues aus dem DFN-CERT 21
EDUCV https://www.educv.de
GN4-3 WP8
19.03.2019 23
70. Betriebstagung / Neues aus dem DFN-CERT
GÉANT ist das pan-europäische Internet-Verbindungsnetz, das derzeit 43 nationale Forschungsnetze miteinander verbindet
▸ Aktuell existiert das Netzwerk in dritter Generation
▸ Ein Konsortium von Forschungsnetzwerken, National Research and Education Networks (NRENs)
▸ Christian Grimm ist Mitglied des Executive Boards
▸ Wird finanziell von der Europäischen Kommission unterstützt
▸ Durch mehrjährige Projekte
▹GN4-3 startete im Januar 2019
▹ Projektvorbereitungen und -konzeption startete bereits 2017, u. a. durch White Paper Erstellung
▹ Neu mit dabei: Security WhitePaper
19.03.2019 24
GN4-3 WP8
70. Betriebstagung / Neues aus dem DFN-CERT
GÉANT Security Workpackage WP8
▸ The objective of WP8 is to keep the R&E network safe and secure at the backbone level and
support the GN4-3 Partners with up-to-date tools to keep their networks and connections to the
GÉANT network safe and secure in an environment of increasing levels of cyber-security threats.
▸ Neues, kleines Workpackage
▸ Gliedert sich in drei inhaltliche Tasks
▹ Business Continuity: Awareness & Training, Crises-Simulation (CLAW), Incident Management & Business Continuity
▹ Security Baseline plant Arbeiten wie: Readiness Survey, Create Baseline Framework, Annual
Benchmarking Process, Risk Management inkl. Risk Assment Exercise
▹ Products and Services besitzt fünf Subtasks: SOC, Vulnerability Assessment as a Service, DDoS
(Subtask-Lead Jochen Schönfelder), Firewall on Demand, eduVPN
Vielen Dank für Ihre Aufmerksamkeit!
Haben Sie Fragen?
▸ DFN-CERT Hotline
▹ 040 / 808 077-590
▸ Weitere Informationen: https://www.cert.dfn.de/