Jens PoupéTechnical ConsultantExpertCircle GmbH

Eine erweiterte anhaltende Bedrohung (advanced persistent threat - APT) ist ein

Set von schleichenden und kontinuierlichen Prozessen, meist automatisiert

eingesetzt, um eine bestimmte Entität (User/Gerät/Ressource) zu übernehmen.

* APT zielt in der Regel auf Organisationen und/oder Nationen mit

Geschäfts- und/oder politischen Motiven.

* APT Prozesse erfordern ein hohes Maß an covertness über eine längere Zeit.

* Der „erweiterte" Prozess erfordert anspruchsvolle Techniken, meist unter

Nutzung von Malware werden Schwachstellen in Systemen ausgenutzt.

* Der "permanente" Prozess legt nahe, dass ein externes System kontinuierlich

überwacht und Daten aus einem bestimmten Ziel extrahiert werden

Research & Preparation

Übernahme des Ersten Hosts

24-48 Stunden

Übernahme

Domain Admin

Rechte

Datenabzug (Attacker unentdeckt)

11-14 Monate

Angriff entdeckt

€3.5MioDie durchschnittlichen Kosten die einem Unternehmen durch Datenschutzverletzungen entstehen

243Die durchschnittlichen Tagedie ein Attaker in einemeingedrungenen Netzwerkverbringt bis er entdeckt wird

76%aller Netzwerkangriffeerfolgen durchkompromittierteAnmeldedaten

€500MrdDie Kosten von Internetkriminilität in der Weltwirtschaft

• “Hash” = cached credential• Normalerweise nicht im “Klartext”

• Auf vielen Systemen genauso einsetzbar wie Klartext-Passwörter

• Können im Memory gespeichert sein oder permanent auf der Festplatte

• Viele OS nutzen “cache credentials” für SingleSignOn (SSO)

Username/

Password

Username/

HashUsername/

Hash

• Kerberos ist nicht immun

• Erstmals festgestellt in 2010:

• Reduzieren der klartextPasswörter

• Systeme härten

• StrengePasswortrichtlinien

Sind mit erheblichen finanziellen Verlusten

verbunden, Einfluss auf Markenreputation,

Verlust von vertraulichen Daten, Verlust des

Arbeitsplatzes

Die Mehrheit der Angriffe erfolgt durch

komprimittierte Anmeldedaten

Nutzung von legitimen IT-Tools anstelle von

Malwere – schwerer zu erkennen

Sind durchschnittlich 8 Monate in einem

Netzwerk bevor sie erkannt werden

Heutige CyberAngreifer

Nutzung von legitimen IT-Tools anstelle von

Malware – schwerer zu erkennen

Sind mit erheblichen finanziellen Verlusten

verbunden, Einfluss auf Markenreputation,

Verlust von vertraulichen Daten, Verlust des

Arbeitsplatzes

Die Mehrheit der Angriffe erfolgt durch

komprimittierte Anmeldedaten

Sind durchschnittlich 8 Monate in einem

Netzwerk bevor sie erkannt werden

Heutige CyberAngriffe

Nutzung von legitimen IT-Tools anstelle von

Malwere – schwerer zu erkennen

Sind durchschnittlich 8 Monate in einem

Netzwerk bevor sie erkannt werden

Sind mit erheblichen finanziellen Verlusten

verbunden, Einfluss auf Markenreputation,

Verlust von vertraulichen Daten, Verlust des

Arbeitsplatzes

Die Mehrheit der Angriffe erfolgt durch

komprimittierte Anmeldedaten

Heutige CyberAngreifer

Die Mehrheit der Angriffe erfolgt durch

komprimittierte Anmeldedaten

Nutzung von legitimen IT-Tools anstelle von

Malwere – schwerer zu erkennen

Sind durchschnittlich 8 Monate in einem

Netzwerk bevor sie erkannt werden

Sind mit erheblichen finanziellen Verlusten

verbunden, Einfluss auf Markenreputation,

Verlust von vertraulichen Daten, Verlust des

Arbeitsplatzes

Heutige CyberAngreifer

Traditionelle IT Security Tools sind typischerweise:

Designed um das

Netzwerk nach aussen zu

schützen

Complex Anfällig für “False

Positive”

Wenn Anmeldedaten

gestohlen wurden und der

Attacker in das Netzwerk

eingedrungen ist bieten

derzeitige SecurityTools nur

limitierten Schutz

Initiales Setup, fine-tuning,

Rollen- und

BaselineErstellung kann

eine lange Zeit in

Anspruch nehmen

Sie erhalten zu viele

Berichte an einem Tag mit

mehreren "false positives",

die wertvolle Zeit erfordern,

die Sie nicht haben.

ATA ist ein lokales System in Ihrem Rechenzentrum mit der erweiterte

SecurityAngriffe identifiziert werden – bevor sie Schaden anrichten

Kreditkarten-Unternehmen

überwachen das Verhalten

des Karteninhabers.

Wenn ein abnormales

Verhalten auftritt wird der

Karteninhaber informiert

und muss den

Abbuchungsauftrag

nochmals bestätigen

Microsoft Advanced Threat Analytics bringt dieses Konzept in die IT Comparison:

Analyse

des

Anwender

verhalten

Erkennung von bekannten

Attacken

Erweiterte

Bedrohungserkennung

Eine lokale Plattform mit der erweiterte SecurityAngriffe identifiziert werden – bevor sie Schaden

anrichten

ATA erkennt verdächtige

Aktivitäten schnell unter

Nutzung des Active Directory-

Datenverkehrs und SIEM-

Protokolle.

verhaltensbezogene Analysen

Lernt kontinuierlich und

identifiziert

Verhaltensauffälligkeiten

Funktionelle Zeitachse

zeigt detailliert

wer, was, wann und wie -

nahezu in Echtzeit.

ATA vergleicht

das Verhalten der Entitäten zu

deren Profil aber auch zu

anderen Ânwendern.

„Rote Fahnen“ werden nur

ausgelöst, wenn alles überprüft

wurde.

EinsetzbarkeitSchnelligkeit Einfachheit Genauigkeit

Warum Microsoft Advanced Threat Analytics?

Überwacht alle

Authentifizierungen und

Autorisierungen für die

organisatorischen Ressourcen

innerhalb des Unternehmens

oder auf mobilen Geräten

Mobility support Integration mit SIEM Seamless deployment

Nahtlose Integration mit SIEM

Bietet die Möglichkeit

SecurityAlerts zum betehenden

SIEM weiterzuleiten oder auch

emails zu bestimmten Personen

zu senden

Kann auf physikalischen oder

virtuellen Systemen installiert

werden

Nutzt PortMirroring – dadurch kann

die Standalone-Installation

gewährleistet werden

Hat keine Auswirkungen auf

vorhandene Netzwerktopologie

Key features

Analyse1 Nach Installation:

• Port Spiegelung kopiert gesamten AD-

bezogenen Datenverkehr

• Bleibt für Angreifer unsichtbar

• Analysiert jeglichen Active Directory

Verkehr

• Sammelt relevante Ereignisse von SIEM und

anderen Quellen

ATA:

• Beginnt automatisch das Lernen und

Profiling von Entity Verhalten

• Identifiziert normales Verhalten im

Unternehmen

• Lernt kontinuierlich um die Aktivitäten der

Benutzer, Geräte und Ressouren zu

aktualisieren

Lernen2

Was ist eine Entity?

Entity bezeichnet User, Geräte oder

Ressourcen

Erkennung3 Microsoft Advanced Threat Analytics:

• Sucht nach Verhaltensauffälligkeiten und

identifiziert verdächtige Aktivitäten

• Zeigt nur “rote Fahne”, wenn eine anormale

Aktivität kontextuell aggregiert wurde

• Nutzt world-class security research um

bekannte Angriffe und SicherheitsIssues zu

erkennen (Regional und Global)

ATA vergleicht nicht nur das Verhalteneiner Entity sondern auch mit demVerhalten von anderen Entities die imKontext stehen

Alert4

ATA meldet alle

verdächtigen Aktivitäten

auf einer einfachen unf

funktionalen Timeline

ATA ermittelt

Wer?

Was?

Wann?

Wie?

ATA bietet für jede

verdächtige Aktivität

Empfehlungen für das

weitere Vorgehen zur

Behebung.

Abnormal Behavior Anomalous logins

Remote execution

Suspicious activity

Security issues und risks Broken trust

Weak protocols

Known protocol vulnerabilities

Malicious attacks Pass-the-Ticket (PtT)

Pass-the-Hash (PtH)

Overpass-the-Hash

Forged PAC (MS14-068)

Golden Ticket

Skeleton key malware

Reconnaissance

BruteForce

Unknown threats

Password sharing

Lateral movement

Topology

Erfasst und analysiert DomainController

Netzwerkverkehr über Portspiegelung

Über ein Gateway können mehrere DCs

aus mehreren Domänen überwacht

werden

Erhält Events von SIEM

Erhält Daten über die Entities aus der

Domäne

Führt eine Auflösung von

Netzwerkidentitäten durch

Überträgt relevante Daten zum ATA

Center

Managed die ATA Gateway

Konfigurationen

Erhält Daten vom ATA Gateway und

speichert diese in der DB

Erkennt verdächtige Aktivitäten und

Verhaltensauffälligkeiten (Machine

Learning)

Web Management Interface

Anbindung mehrerer Gateways möglich

• Benuterkonto mit lesenden Rechten auf alle Objekte im Verzeichniss

• Es werden zwei IP Adressen empfohlen

• Zwei oder mehr Netzwerkschnittstellen• ATA Gateway kann in Version 1.6 als Agent auf einem Domänenkontroller

installiert werden