Neues aus dem DFN-CERT · 70. Betriebstagung / Neues aus dem DFN-CERT 2016 2017 2018 0 500 1000...

Neues aus dem DFN-CERT

70. Betriebstagung | 19.03.2019

Christine Kahl

Agenda

1. Advisories

▹Statistik

▹Unterstützte Produkte

2. Schwachstellen

3. Vorfälle

▹Statistik

▹Erwähnenswertes

4. 2nd Generation CERT-Portal

5. EDUCV

6. GN4-3 WP8

Advisories

Aktuel le Advisory Zahlen

▸ Gesamtzahl

▹ 2013: 2240

▹ 2018: 5158

▹ 2019 (Jan & Feb): 811

▸ In fünf Jahren haben sich die Meldungszahlen

mehr als verdoppelt (130%)

▸ Anstieg

▹2018: 17%

▹Anfang 2018 sah es nach einem deutlich

moderateren Anstieg aus

▹Zur letzten Betriebstagung wurde die erste

Prognose (6%) nach oben korrigiert (13%)

▹Zum Jahresende weiteres Wachstum

▹ Im Oktober und November jeweils mehr als 500

Meldungen

19.03.2019 70. DFN-Betriebstagung / Neues aus dem DFN-CERT 5

20132014

20152016

2017 2018

2019 (Jan+Feb)

0

1000

2000

3000

4000

5000

6000

Neu ADVsUpdatesInsgesamt

19.03.2019 6

ADVs nach Schweregrad (DAF)

70. Betriebstagung / Neues aus dem DFN-CERT

2016 2017 2018 0

500

1000

1500

2000

2500

very lowlowmediumhighvery high

▸ Very High

▹ 2016: 296

▹ 2017: 389● ca. 32 pro Monat

▹ 2018: 345● ca. 29 pro Monat

▸ Trotz Steigerung um 17%,

Rückgang der als ‚high‘ und

‚very high‘ bewerteten

Meldungen

▸ Low

▹Signifikanter Zuwachs

▹ Plus von 51% im Vergleich

zum Vorjahr

19.03.2019 7

Unterstützte Produkte


Aruba

▸ Seit Oktober 2018 wird ArubaOS automatisiert überwacht, bisher eine Meldung

▸ Abonnierbar über

▹ Plattform – Netzwerk - Aruba

▹ Software – Systemsoftware – Betriebssystem

Extreme Networks

▸ Seit Juni 2018 wird ExtremXOS manuell (keine Mailingliste, kein optimales Seitenformat) überwacht, bisher

eine Meldung

▸ Abonnierbar über

▹ Plattform – Netzwerk - ExtremeNetworks

▹ Software – Systemsoftware – Betriebssystem

Schwachstellen

NVD (National Vulnerability Database) neu registrierte Schwachstellen:

▸ 2015: 6.487

▸ 2016: 6.447

▸ 2017: 14.650

▸ 2018: 16.517 entspricht einem Zuwachs von 12,5 %

▸ Die von CVE Details zur Verfügung gestellte Liste der Schwachstellen-Spitzenreiter hat sich verändert:

▹ Debian löst Google an Platz 1 ab

▹ U. a. Apple fällt aus den Top 10 raus, Canonical und Red Hat kommen rein

▹ Nach wie vor ist diese Auswertung nur ein Hinweis auf Entwicklungen und sollte durchaus kritisch betrachtet werden!

19.03.2019 70. Betriebstagung / Neues aus dem DFN-CERT 9

Schwachstel len

19.03.2019 10

In den letzten sechs Monaten


Business as usual

▸ Schwerwiegende Probleme bei den üblichen Verdächtigen:

▹verschiedene Cisco Produkte,

▹Windows, IE, Edge, Exchange Server,

▹quasi alle unterstützten Oracle Produkte,

▹macOS, iOS,

▹Firefox, Chrome,

▹Drupal, TYPO3 ...

Derzeit diskutiert: Thunderclap

▸ Schwachstelle in der von Intel in Zusammenarbeit mit Apple entwickelten Thunderbolt-Schnittstelle, die zur Performance-Optimierung Direct

Memory Access (DMA) ermöglicht

▸ Über Thunderbolt verbundene Geräte können Speicher des OS auslesen und das unter Umgehung der IOMMU (I/O Memory Management Unit)-

Sicherheitsfunktion, die den Zugriff von DMA-Geräten auf Systemspeicher begrenzen sollen

▸ Betrifft Windows, macOS, Linux, FreeBSD, sofern bösartig manipuliertes Peripheriegerät verbunden ist

▸ Fazit: nicht benötigte Schnittstellen deaktivieren, vertrauenswürdige Peripherie sicher verwahren, nicht vertrauenswürdige nicht anschließen

Vorfälle

19.03.2019 12

AW-Meldungen – Events


▸ Hauptkategorie weiterhin

▹ Amplifier

▸ Dicht gefolgt von

▹ Bots

▸ Steigende Importzahlen,

Spitzenwert im Januar bei

gut 2,4 Millionen, seit August

immer über 1,6 Millionen

▸ Spiegelt sich nicht in der

Zahl der exportierten Events

▹Zunahme im Bereich

Unrestricted Access

▹Hoch im Bereich

Attack/Login im Januar Mar Apr Mai Jun Jul Aug Sept Okt Nov Dez Jan Feb

0

10000

20000

30000

40000

50000

60000

70000

80000

Gesamtzahl versendeter AW-Events

▸ Oktober: Unrestricted Access

▹ ca. Verzehnfachung der Events im Vergleich zum Vormonat

▹ Ursache liegt in dem zusätzlich aufgenommenen Scan bzgl. aus dem Internet erreichbarer

TCP/8080 Ports

▹ Informationen hierzu wurden nur zweimal versendet, dann wieder deaktiviert

▹ Meist ist die Erreichbarkeit gewünscht, es gibt aber auch Fälle (z.B. Drucker), bei denen es

sich um Fehlkonfigurationen handelt

▸ Collection #1-5

▹ Sammlung gestohlener Anmeldedaten

▹ Können derzeit nur manuell verarbeitet werden


Erwähnenswertes aus der Vorfal lsbearbeitung

▸ Januar: Collection #1

▹ Informationen an ca. 100 Einrichtungen über ca. 120k Datensätze

▹ Email-Adresse plus führende zwei Zeichen eines möglichen Passworts oder Hashes

▸ Februar: Collection #2-5

▹ ca. 220 Einrichtungen wurden über ca. 60k Datensätze informiert

▸ Rückmeldung zum Versand

▹ Im Wesentlichen ältere Daten, zum Teil mit Zufallswerten aufgefüllt

▹ Einige Daten scheinbar aus dem letzten Quartal 2018

▸ Wir speichern derartige Daten nicht dauerhaft, sondern nur im Rahmen der Verarbeitung

▸ Wir können keinen Abgleich mit früher versendeten Daten machen



▸ Prävention

▹ Der Trend, dass wir in diesem Sektor mehr Zulieferungen erhalten, hält an

▹ Hierbei wird auf Systeme und Konfigurationen geprüft, die Angriffspunkte darstellen können

▹ Es sind keine Informationen zu infizierten Systemen

▹ Es kann übersetzt werden mit: ‚Wir haben hier etwas gesehen, das ist soundso, wenn Sie das

wissen, ist alles gut, wenn nicht, schauen Sie doch mal drauf.‘

▸ Was machen wir damit

▹ Kurzzeitige Aufnahme in die AW-Meldungen

▹ Danach verwerfen wir diese Meldungen, bis es einen Grund zur neuerlichen Information gibt

▸ Sie können das nicht verhindern



2nd Generation CERT-Portal

▸ Noch kein Zeitplan verfügbar

▸ Planung ongoing

▹ Schnüren eines mittelgroßen Paketes

▹ Bedeutet, dass eine ganze Reihe bekannter Wünsche jetzt nicht bearbeitet werden können

▸ Größte Anpassung: Umstieg auf CVSS Version 3

▹ Erfordert korrespondierende Umstellungen im Autorensystem

▹ Erfordert parallelen Umgang mit einem weiteren Score

▹ Alte Meldungen werden nicht angepasst

▹ Änderungen an der API (betrifft nicht die DFN-Anwender, sondern unsere ‚Hobby‘-Projekte wie Greenbone)

▹ Erhöht in der ersten Zeit nach der Umstellung den manuellen Aufwand, was unsere Terminauswahl für die Inbetriebnahme beeinflussen wird


Weiterentwicklung

▸ Unterscheidung zw. Benutzern und Abonnements verbessern

(„Speichern“ versus „Speichern & Einladen“)

▸ Manuelle Meldungen aus dem Portal als E-Mails versenden

▸ Informationen über Änderungen am Kategoriebaum und die Aufnahme neuer

Produkte im Portal anzeigen und ggf. per E-Mail versenden

▸ Verbesserung der Administrationsmöglichkeiten

▹Damit wir (Berlin & Hamburg) im Anwendersupport schneller werden

▸ Bugfixing und kleine Usability-Optimierungen


Weiterentwicklung

▸ Der EDUCV ist eine Arbeitsgruppe von operativen Informationssicherheitsteams, insbesondere

Computer Emergency Response Teams (CERTs) und Computer Security Incident Response Teams

(CSIRTs), deutscher Hochschulen, Lehr- und Forschungseinrichtungen

▸ Zu den 5 Gründungsmitgliedern sind mittlerweile 2 hinzugekommen, sowie 4 Dauergäste

▸ In den letzten Bearbeitungszügen: Paper zu Operativen Sicherheitsteams

▹ Aufgaben

▹ Organisation

▹ Technik

▹ Prozesse

▹ Kollaboration

Als Handreichung / Erfahrungsbericht für Teams im Aufbau

▸


EDUCV https://www.educv.de

▸ Mindestens zwei Treffen pro Jahr

▸ 1. Treffen im Kontext der SiKo in Hamburg, 2. Treffen vermutlich rotierend bei den Mitgliedern

▸ Nächstes Treffen im Nachgang zur Herbst BT unterstützt durch den DFN Verein und die FU Berlin (25. -

26.09)

▸ Was tun, um als Gast an einem Treffen teilzunehmen

▹ Kontaktieren Sie: [email protected]

▹ Wenn Sie bereits mit Mitgliedern im Austausch sind, nennen Sie uns die Referenzen

▹ Wir klären die Gastteilnahme intern (Prozess dauert in der Regel 3-4 Wochen) und laden Sie dann ein

▹ Auch für eine Gastteilnahme muss eine Geheimhaltungsvereinbarung unterzeichnet werden (versenden wir vorab)

▹ Beim Treffen wünschen wir uns eine kurze Vorstellung des Teams

▸ Im Nachgang zu einem Treffen, kann ein Gast die Aufnahme in den EDUCV beantragen

▸19.03.2019 70. DFN-Betriebstagung / Neues aus dem DFN-CERT 21

EDUCV https://www.educv.de

GN4-3 WP8

19.03.2019 23


GÉANT ist das pan-europäische Internet-Verbindungsnetz, das derzeit 43 nationale Forschungsnetze miteinander verbindet

▸ Aktuell existiert das Netzwerk in dritter Generation

▸ Ein Konsortium von Forschungsnetzwerken, National Research and Education Networks (NRENs)

▸ Christian Grimm ist Mitglied des Executive Boards

▸ Wird finanziell von der Europäischen Kommission unterstützt

▸ Durch mehrjährige Projekte

▹GN4-3 startete im Januar 2019

▹ Projektvorbereitungen und -konzeption startete bereits 2017, u. a. durch White Paper Erstellung

▹ Neu mit dabei: Security WhitePaper

19.03.2019 24

GN4-3 WP8


GÉANT Security Workpackage WP8

▸ The objective of WP8 is to keep the R&E network safe and secure at the backbone level and

support the GN4-3 Partners with up-to-date tools to keep their networks and connections to the

GÉANT network safe and secure in an environment of increasing levels of cyber-security threats.

▸ Neues, kleines Workpackage

▸ Gliedert sich in drei inhaltliche Tasks

▹ Business Continuity: Awareness & Training, Crises-Simulation (CLAW), Incident Management & Business Continuity

▹ Security Baseline plant Arbeiten wie: Readiness Survey, Create Baseline Framework, Annual

Benchmarking Process, Risk Management inkl. Risk Assment Exercise

▹ Products and Services besitzt fünf Subtasks: SOC, Vulnerability Assessment as a Service, DDoS

(Subtask-Lead Jochen Schönfelder), Firewall on Demand, eduVPN

Vielen Dank für Ihre Aufmerksamkeit!

Haben Sie Fragen?

▸ DFN-CERT Hotline

▹ [email protected]

▹ 040 / 808 077-590

▸ Weitere Informationen: https://www.cert.dfn.de/

Neues aus dem DFN-CERT · 70. Betriebstagung / Neues aus dem DFN-CERT 2016 2017 2018 0 500 1000...

Documents

Transcript of Neues aus dem DFN-CERT · 70. Betriebstagung / Neues aus dem DFN-CERT 2016 2017 2018 0 500 1000...