"Deep Sight" - Bedrohungen frühzeitig erkennen

CERT Services
„Deep Sight - Bedrohungen frühzeitig
erkennen“
Markus Grüneberg
Symantec
Gegründet im Jahr 1982,
an der Börse seit 1989
> 20.000 Mitarbeiter
davon mehr als
3.500 in EMEA
6,2 Milliarden US$
Umsatz im GJ 2011
13% des Umsatzes
fließen in F&E
Präsenz in
48 Ländern
2
Unsere Schwerpunkte
Verfügbarkeit
Sicherheit
3
“Der Einsatz meiner
Sicherheitsmaßnahmen
hat sich bewährt!”
4
“Ich möchte sehr sicher sein,
aber nur so sicher, dass mein
iPhone/iPad noch funktioniert!”
5
Angriffe: Nur aus Spaß?
6
Wer greift an?
Cyber Criminals
Cyber Spies
Hactivists
7
Threat Landscape in Zahlen
• 7.1 Mio AV erkannt pro Tag
• ~1.6 Mio Neuer Schadcode pro Tag(different hash)
• 110‘000 Erkennungen pro Tag eines WebToolkit’s
• >15‘000 statische Signaturen
Gründe für die Flut:
•
•
•
•
Toolkits zur Erstellung
Runtime Packers
Profit als Motivation
Zunehmende Vernetzung
8
Evolution der Attack Toolkits
9
Heutige GefahrenZukünftige Gefahren
Es gibt eine Idee für alles …
11
Es gibt ein Programm für alles …
12
Es gibt einen Angriff für alles …
13
Komplexität heutiger Angriffe
„Szenarien“
14
Mehr Mac Focus: MacProtector/MacDefender
• Fake AV wird schlecht
erkannt von echter AV
15
Wie findet man Zeus?
• Google hilft bei der Suche
• Angebote von $ 0-1000
• Viele der verkauften Versionen
enhalten eine zusätzliche Backdoor
16
17
Blackhole
• Verkauft für ca. 1‘500$ / Jahr oder vermietet für 100$/Woche
• Traffic filter (Spezielle IPs/Länder weiterleiten)
• z.T. tägliche Updates der verwendeten Exploit Encoder
• Lädt meistens FakeAV und Trojan.Carberp
Blackhole IDS Detektionen
18
Typische DriveBy Download Infektion
browse
Legitime
Web seite
«geknackte» Seite
• Fehler im Server
• Schwaches Passwort
• Werbebanner
•…
Bösartiges Script
Keine Benutzerinteraktion
Notwenig für den Exploit
Das Betrachten
der Webseite reicht aus!
Browser wird untersucht:
346 Schwachstellen in Plug-ins (2011)
500 Schwachstellen in Browsern (2011)
Infizierte Webseiten in Top10 Suchergebnissen
• Webseiten werden nach vorn gepusht
• Blackhat Search Engine Optimization (SEO) mit “Hot Topics”
• Angreifer ändern schnell zu aktuellen Themen (e.g. Gaddafi)
• Für Text & Bild Ergebnisse in unterschiedlichen Suchmaschinen
20
Stuxnet - Refresher
• Stuxnet war ein gezielter Angriff auf fünf Organisationen; 12,000 Infektionen
konnten zu fünf Organisationen zurückverfolgt werden
• Drei Organisationen waren einmal angegriffen worden, eine zwei Mal und
die andere drei Mal Ziel der Angriffe
• Organisationen wurden angegriffen in Juni 2009, Juli 2009, März 2010, April
2010 und Mai 2010
• Alle Organisationen waren im Iran präsent.
Note:
Original infected
organisations were
not the ultimate
target, but had
connections to it
21
Stuxnet- Ziel
monitors frequency converters
operating between 807Hz and
1210Hz (at minimum 13 days)
monitors frequency converters
operating between 807Hz and
1210Hz (at minimum 27 days)
sets frequency converters
to 1064Hz
sets frequency converters
to 1410Hz for 15 minutes
monitors frequency converters
operating between 807Hz and
1210Hz (at minimum 27 days)
sets frequency converters
to 2Hz for 50 minutes
22
Immer komplexere Szenarien
• Nutzen von Sozialen Netzwerken (Schwarmverhalten)
– Bundesminister zu Guttenberg innerhalb von 12 Tagen von allen Ämtern
zurückgetreten
• Einführung eines GuttenPlagWIKI
• Umfangreiche Investition an Zeit in diese Plattform durch Freiwillige
• Nutzen „virtueller social media“ Accounts zur Meinungsverstärkung
– Im September 2008 bewarb sich die hundertprozentige Post-Tochter DHL
als Logistikdienstleister der Bundeswehr.
• Aktivisten nutzen das Internet um, aktiv eine Kampagne zu starten
• Kosten der Kampagne relativ gering
• dhl.blogsport.de
23
Nicht alle Angriffe dienen wirtschaftlichen Zwecken
• Operation „Payback“
– „Low Orbit Ion Cannon“
– Symbolische Aktion von Bürgern
– Netzdemonstration
• Niederlande verhaftet Jugendlichen
–
–
–
–
Geständnis wg. Verhaftung Assange
Kein Hacker, keine Versuche sich unkenntlich zu machen
Nach Bekanntwerden Solidaritätsbekundungen im Netz
Angriff richtete sich jetzt auch auf niederländische Behörden
24
Immer komplexere Szenarien, und was wäre wenn …
• Demonstrationen zukünftig durch Internetaktivisten
unterstützt werden?
– Nutzen virtueller Identitäten um Massen zu „steuern“
– Unterstützende Hetzkampagnen
• Evtl. resultierende zunehmende Unterstützung in der Bevölkerung
– Ausnutzen von Schwächen moderner Infrastrukturen
• Stören des Kommunikationsverbundes
• Erschweren der Fehleranalyse
• Einspeisen von Fehlinformationen in Führungs- und Leitsysteme
… es dem gezielten Stören der Infrastruktur dient.
25
1
DeepSight Information Intelligence
2
Möglichkeiten für Kommunen
Symantec™ Global Intelligence Network
Identifies more threats, takes action faster & prevents impact
Calgary, Alberta
San Francisco, CA
Mountain View, CA
Culver City, CA
Dublin, Ireland
Tokyo, Japan
Chengdu, China
Austin, TX
Taipei, Taiwan
Chennai, India
Pune, India
Worldwide Coverage
Global Scope and Scale
24x7 Event Logging
Rapid Detection
Attack Activity
• 240,000 sensors
• 200+ countries
Malware Intelligence
• 133M client, server,
gateways monitored
• Global coverage
Preemptive Security Alerts
Vulnerabilities
• 50,000+ vulnerabilities
• 15,000 vendors
• 105,000 technologies
Information Protection
Spam/Phishing
• 5M decoy accounts
• 8B+ email messages/day
• 1B+ web requests/day
Threat Triggered Actions
27
Mit Weltmarktführer in Threat Intelligence
Source: IDC, Worldwide and U.S. Security
Services Threat Intelligence 2011-2014
Forecast: Out of the Basement and into the
Clouds. Christian A. Christiansen, Charles
J. Kolodgy, Chris Liebert
28
DeepSight Intelligence Datenquellen
Malicious Code
Vulnerabilities
Risk Activity Fraud Activity
SPAM data
Target Attacks
Threat Trends
Phish Data
DeepSight
Databases
29
Symantec Security Response
Weltweite Abdeckung – 24 x 7 x 365
Calgary
• DeepSight
Toronto
• .Cloud Anti-Malware
Dublin, Ireland
Calgary, Canada
Toronto, Canada
San Francisco
• Anti-Spam
•Anti-Fraud
Mountain View
• Intrusion Prevention
• Advanced Threat Research
Gloucester
• .Cloud anti-Malware
Gloucester, UK
Montreal,
Canada
San Francisco, USA
Mountain View, USA
Culver City, USA
Tokyo
•Response Operations
•Anti-Virus
• Anti-Spyware
Zurich, Switzerland
Chengdu
• Anti-Virus
Dublin
• Response Operations
•Anti-Virus
•Anti-Spyware
•Advanced Threat Research
Tokyo, Japan
Chengdu, China
Taipei, Taiwan
Pune, India
Chennai, India
Taipei
• Anti-Spam
• Anti-Fraud
Culver City
• Response Operations
•Anti-Virus
• Anti-Spyware
• Advanced Threat Research
Sydney, Aus
Pune
• Anti-Virus
• Anti-Spam
• Anti-Fraud
• URL Filtering
Chennai
• Anti-Spam
• Anti-Fraud
• URL Filtering
•DeepSight
30
DeepSight Intelligence Informationen
DeepSight DataFeeds
Vulnerability DataFeed
DeepSight Early Warning Services
Security Risk DataFeed
IP Reputation DataFeed
DeepSight
Databases
Malicious Code
Alerts
Vulnerability
Alerts
Automated
Attack Alerts
Security Risk
Alerts
Symantec Threat
Analysis
Detaillierte
Analysten
Meldungen
31
IP/URL Reputation
IP Reputation Datafeed
• Symantec’s Security Intelligence
Group sammelt Informationen vom
GIN, unseren Sensoren, Endgeräten
und verschiedenen Services
– Diese Informationen sind kategorisiert in
verschiedene Aktivitätstypen
• Angreifer
• Schadcode Spreaders
• Phishers
• Spammers
<ip address="x.149.5.169" consecutive_listings="2" listing_ratio="2" reputation="10">
<attacks hostility="4" confidence="5" />
<malware hostility="3" confidence="4" />
</ip>
<ip address="x.185.252.100" consecutive_listings="2" listing_ratio="2" reputation="9">
<attacks hostility="4" confidence="5" />
<malware hostility="3" confidence="3" />
</ip>
<ip address="x.178.145.238" consecutive_listings="6" listing_ratio="6" reputation="9">
<attacks hostility="5" confidence="4" />
<malware hostility="5" confidence="1" />
</ip>
<ip address="x.52.110.51" consecutive_listings="2" listing_ratio="2" reputation="8">
<attacks hostility="2" confidence="4" />
<bot confidence="4" />
</ip>
• Botnet Mitglieder
• Command and Control Server
– Wir benutzen unseren eigens
entwickelten Algorithmus um
„Vertrauenswürdiges“ und
„Gefährliches“ zu unterscheiden, durch
das Vergleichen und wiegen von
historischen Aktivitäten, Erscheinungen
und Typifizierung aus unserem Sensoren
32
Brand & Domain Monitoring
• Marken und Domänen Überwachung ist geeignet zur
zeitnahen Alarmierung über aufkommende Angriffe
• Dies wird erreicht durch nutzen unterschiedlichster
Technologien:
– Email scanning: Milliarden E-Mails werden jeden Tag
gescannt um schadhaftes Verhalten zu verhindern
– Web crawling: geklonte Webseiten werden erkannt mit
Suchtechnologien, ähnlich wie Suchanbieter diese
Verwenden
– Domain monitoring: Domänen ähnlich zu betreffenden
Organisationen werden oft genutzt um „Host-Phishing“
zu betreiben
– Intelligence: Security Analysten sind in Chats und Foren
„passiv aktiv“
• Bei erkennen eines neuen Angriffes, betroffene
Kunden werden sofort informiert um entsprechende
Prozesse einleiten zu können.
33
Symantec DeepSight (GIN) Information Services
Präventive Informationsbereitstellung zur Abwehr moderner Bedrohungen
Symantec
DeepSight (GIN)
Datafeeds
Symantec Threat
Analysen
34
2
Möglichkeiten für Kommunen
Evolutionsstufen eines CERT
Sichtbarkeit
erzeugen
36
Menschen, Prozesse & Technologien
MENSCHEN
PROZESSE
TECHNOLOGIEN
Man benötigt Training, “Incident Response” und
entsprechende, moderne Ansätze in allen Bereichen
37
Die Ansätze müssen Menschen, Prozesse &
Technologien berücksichtigen
BUSINESS
IT Risk Mitigation
Integrieren der Security in das operative Geschäft
38
Ein (möglicher) Schritt …
Information &
“Content Feeds”
Grundschutz
ISO 2700x
PCI, etc. …
Symantec
Security
Content (Rep.
Daten, etc.)
DeepSight
Threat
Intelligence
Eigene
Informationen
Security Operations
Threat HelpDesk
Warnmeldungen
Incident
Handling
CERT / SOC
Analysen und
Reports
Weitere
Informationen
Agent-based
Scanning
Network VA
Scanners
Network VA
Scanners
Dissolving
Agent Scanning
Web App / DB
Scanners
39
Weiterer (möglicher) Schritt …
Information &
“Content Feeds”
Grundschutz
ISO 2700x
PCI, etc. …
Symantec
Security
Content (Rep.
Daten, etc.)
DeepSight
Threat
Intelligence
Eigene
Informationen
Security Operations
Threat HelpDesk
Warnmeldungen
Incident
Handling
Security Prozess
Integration
Analysen und
Reports
CERT / SOC
Weitere
Informationen
IT – Compliance Scan Ergebnisse
Agentless
Scanning
Scaninformationen
VA Scanning
Patch Scanning
API/SDK
Configuration
Scanning
weitere
Scanner
Web Services
Agent-based
Scanning
Dissolving
Agent Scanning
Optional Scanner Mgt (2-Way; Command & Control)
Network VA
Scanners
SYMC CCS VM
Network VA
Scanners
Nessus ,OpenVAS, …
Web App / DB
Scanners
Cenzic, etc.
40
Orchestrated Analytical Security
41
Orchestrated Analytical Security
42
Orchestrated Analytical Security
• Ganzheitliche Korrelation erzeugt Sichtbarkeit der Sicherheit,
erlaubt eine bessere, beweisbare Priorisierung für IT-Risk
43
CERT Modell
DeepSight Platinum Remote
Expert Analyst Service
(365/24/7)
Symantec
Deutschland
(220/8/5)
Legende:
Alerts via Mail
Anrufe
Tickets/Incidents
CERT
Standort 1
Standort 2
Standort 3
Standort …
Standort (n+1)
Stan…
44
CERT Modell mit
Orchestrated
Analytical Security
DeepSight Platinum Remote
Expert Analyst Service
(365/24/7)
Symantec
Deutschland
(220/8/5)
CERT
Standort 1
Standort 2
Standort 3
Standort …
Standort (n+1)
Stan…
45
Information Security
Alarmierung, wenn Handlungsbedarf besteht
CERT/SOC
46
…
47
Punkt.
Markus Grüneberg
[email protected]
+49 172 219 7043
Copyright © 2012 Symantec Corporation. All rights reserved. Symantec and the Symantec Logo are trademarks or registered trademarks of Symantec Corporation or its affiliates in
the U.S. and other countries. Other names may be trademarks of their respective owners.
This document is provided for informational purposes only and is not intended as advertising. All warranties relating to the information in this document, either express or implied,
are disclaimed to the maximum extent allowed by law. The information in this document is subject to change without notice.