2014: Advanced Threat Investigation, Detection und Automatic

Cyber-Sicherheit
Advanced Threat Investigation,
Detection und Automatic Removal
27. August 2014
Rukhsar Khan CEO / CTO
AIRNET Information Security Services GmbH
c 2014. Alle Rechte vorbehalten.
Copyright Email [email protected]
Internet http://www.airnet.de
Inhaltsverzeichnis
1 Executive Summary
2
2 Aktuelle Sicherheitslandschaft mit ihren Schwächen und Problemen
3
3 Mögliche Lösungsansätze
3
4 Fazit
5
1
Executive Summary
Angesichts der exponentiell steigenden Bedrohungslage im Cyberspace, die viele von uns
tagtäglich am eigenen Leibe erleben oder vielleicht durch die Presse erfahren, wird der
Evolutionsprozess in der IT-Sicherheit derzeit auf Hochtouren vorangetrieben. Angefangen bei kommerziellen Unternehmen über Wissenschaftler und Forscher von Hochschulen
und unabhängigen Marktforschungsinstituten bis hin zu Verbänden, Allianzen sowie politischen Vereinigungen werden derzeit viele Kräfte gebündelt, um den neuen Herausforderungen in den Bereichen Cybercrime und Cyberwar gerecht zu werden und Antworten
sowie Lösungen zu den aktuellen Problemen zu nden.
Trotz der vielen Sicherheitssysteme und -anwendungen, die heute in einem Netzwerk und
1 und Targe-
auf Endstationen eingesetzt werden, dringen Advanced Persistent Threats
2
ted Threats nach wie vor problemlos durch und Angreifer exltrieren Daten, stehlen
Intellectual Property oder beschädigen Infrastrukturen aus der Ferne.
Im jährlichen Bericht 2013 Data Breach Investigations Report von Verizon heiÿt es:
The security industry has long been overly focused on prevention. Let's keep preventing,
but enhance our ability to
detect threats that slip through our defenses (which they
will inevitably do).
Obiges wird ebenfalls im Bericht 2013 Magic Quadrant for Security Information and
3
Event Management (SIEM) durch das Marktforschungsunternehmen Gartner bekräf-
eective targeted attack and breach detection. Organizations are failing at early breach detection, with more than
92% of breaches undetected by the breached organization. The situation can
tigt: The greatest area of unmet need is
be improved with better threat intelligence, the addition of behavior proling and better analytics. Most companies expand their initial SIEM deployments over a three-year
period to include more event sources and greater use of real-time monitoring.
1
Advanced Persistent Threats, kurz APT, ist eine relativ neue Angrisform. Hierbei werden spezische
Systeme eines gezielten Opfers angegrien und manipuliert bzw. sabotiert. Eines der ersten bekannt
gewordenen APTs war der Angri gegen Siemens-Anlagen in iranischen Uranwerken im Jahr 2010.
2
3
Seitdem wurden unzählige Fälle von APT-Angrien aufgedeckt.
APTs sind immer ganz gezielt ausgerichtet. Daher kann man sagen, dass es sich bei diesen meist um
Targeted Threats handelt.
System zur Zentralisierung von Audit- bzw. Log-Daten der unterschiedlichsten Systeme und Anwendungen mit dem Ziel, Korrelationen und komplexe Analytik zu ermöglichen, damit Threats erkannt
werden.
c
2014, AIRNET
2
Aufgrund der vielen erfolgreichen Cyber-Angrie herrscht in der Sicherheitsbranche derzeit die allgemeine Auassung assume you're breached.
Nachfolgend gilt es, die aktuelle Sicherheitslandschaft mit ihren Schwächen und Problemen darzustellen und mögliche Lösungsansätze aufzuzeigen.
2
Aktuelle Sicherheitslandschaft mit ihren Schwächen und
Problemen
Einer der Gründe, warum Cyberangrie heute sehr oft unbemerkt bleiben, ist, dass nicht
genügend Kontext-basierende Untersuchungen vorgenommen werden. Es gibt viele Point
Solutions, die Kommunikationsüsse, Netzwerkaktivitäten, verdächtige Bitmuster und
Anhänge, verdächtige Dateien oder Prozesse - um mal einige zu erwähnen - nur isoliert
voneinander betrachten. Weiterhin konzentrieren sich viele dieser Lösungen fast ausschlieÿlich darauf, Malware von auÿen nicht in das Netzwerk eindringen zu lassen. Sie
sind nicht in der Lage, Malware, welche bereits in das Netzwerk eingedrungen ist, davon
abzuhalten, Daten zu exltrieren.
Um die Audit- bzw. Log-Daten dieser Lösungen in einer einzigen Plattform zu vereinigen
und die Möglichkeit zu bieten, alles im Kontext zu untersuchen, haben Unternehmen
in den letzten Jahren oft SIEM-Systeme eingeführt. Das Ziel mit SIEM war, Korrelationen und komplexe Analytik für die unterschiedlichsten Systeme, Anwendungen und
Datenbanken zu ermöglichen, damit Advanced Threats erkannt werden, also die Nadel
im Heuhaufen gefunden wird. Doch dies ist bei vielen Unternehmen gescheitert. SIEMSysteme generieren heute entweder
zu viele unspezische Ereignisse und die mensch-
lichen Ressourcen reichen nicht aus, diese auch annähernd weiter zu verfolgen oder gar
abzuarbeiten, oder sie sind system-seitig nicht in der Lage, die heutigen Big Data Anfor-
derungen zu bedienen, da die tägliche Menge an Auditdaten über einen längeren
Zeitraum hinweg die Kapazitäten eines SIEM-Systems meist sprengt.
Können durch die eingesetzten Sicherheitssysteme dennoch bösartige Aktivitäten oder
sehr ressourcenintensiver und zeitaufwendiger, manueller Incident Response Prozess angestoÿen
das Vorhandensein von Malware nachgewiesen werden, muss ein
werden, um die inzierten Systeme von der Schadsoftware zu bereinigen und sicherzustellen, dass die Malware wirklich komplett entfernt wurde und nicht aufgrund eines weiteren
inzierten Systems wieder auftaucht.
3
Mögliche Lösungsansätze
Ein möglicher Ansatz für Unternehmen, welche ein SIEM-System nutzen, wäre, dass sie
ein Workow um ihr SIEM-System herum aufbauen, damit das System einen wirklichen
Mehrwert bietet und somit
Advanced Threat Investigation und Detection ermög-
licht. Das SIEM-System sollte darüber hinaus aus einem sehr ezienten Event Data
c
2014, AIRNET
3
Warehouse (EDW) bestehen, das zum Speichern und Abfragen von riesigen Datenmengen, also Big Data, geeignet ist. Es sollte insbesondere um die folgenden Funktionen
erweitert werden:
Dynamische und Echtzeit (Real-Time) Visualisierungen mit ständigen Indikatoren zu
verdächtigem Verhalten Denieren von einem normalen Zustand (Baselining). Alles
was zu einem bestimmten Grad von diesem normalen Zustand abweicht, löst ein Alarm
4
aus und gilt als Sicherheitshinweis für den Security Analysten Behaviour Proling
5
Einbinden von Threat Intelligence , um Advanced Persistent Threats bzw. Targeted
Threats zu erkennen Situational Awareness (Situationsbewusstsein, Lagebewusstsein)
mit Indikatoren zur Netzauslastung und zu Verkehrsbeziehungen Protokollstatistiken
grasch darstellen und auswerten Datei- und Datenbankzugrie protokollieren und
aussagekräftig visualisieren Bestimmten rohen Netzwerkverkehr in die Datenbank aufnehmen (Full Packet Capture) und gezielt auf bösartige Aktivität analysieren können Korrelierungen über verschiedene Systeme, Anwendungen, Datenbanken, Prozessen, Dateizugrien sowie Netzwerkverbindungen und -aktivitäten durchführen und analysieren.
6 werden, d.h. die Analy-
Auch sollte der Investigation-Prozess zunehmend automatisiert
tik muss sich im Vergleich zu heute stark verbessern, damit das Problem der derzeit zu
vielen unspezischen Ereignisse, die manuell abgearbeitet werden müssten, gelöst wird.
Automatic Threat Investigation muss so gut funktionieren, dass Abfragen in riesigen
Datenmengen innerhalb eines akzeptablen Zeitraums - am besten sogar mit garantierten
Antwortzeiten - beantwortet werden und derart akkurat, prägnant und präzise Ergebnisse
liefern, dass ein Security Analyst auf Anhieb damit etwas anfangen kann.
Des Weiteren sollte heute ein Aspekt berücksichtigt werden, der in den letzten Jahren kaum Beachtung fand. Im Bericht 2013 Verizon Data Breach Investigations Report
heiÿt es, While it may be dicult to detect
and respond to an intrusion within seconds
or minutes, we see this phase as a giant opportunity for improvement in our industry.
Bisher wurde auf Intrusions nur mit sehr ressourcenintensiven und zeitaufwendigen, manuellen Incident Response Prozessen reagiert. Auch hier sollte in Zukunft immer mehr
automatisiert werden, sodass Malware unverzüglich, also innerhalb von Sekunden oder
maximal in ein paar Minuten, nachdem sie erkannt wurde, automatisch vollständig von
allen befallenen Systemen entfernt wird.
4
Hierbei handelt es sich um das Erstellen von Verhaltensprolen von beispielsweise Servern und Systemen. Ist zu einem gegebenen Zeitpunkt eine Abweichung zum normalen Verhaltensprol zu erken-
5
nen, dient es als Hinweis zu möglichem verdächtigen Verhalten.
Genauso wie Cyberkriminelle sich zusammentun und groÿe bösartige Ökosysteme bilden, um HackingInformationen auszutauschen, gehen Hersteller und Dienstleister der Sicherheitsbranche hin und bilden ebenfalls groÿe Ökosysteme, um den Cyberkriminellen mindestens eine Nasenlänge voraus zu
sein. Die Ökosysteme der guten Seite sehen so aus, dass weltweit hunderte bzw. tausende Sicherheitssysteme installiert werden, um globale sicherheitsrelevante Informationen über die Gefahrenlage
zu sammeln, durch Experten zu analysieren und diese allen angeschlossenen Teilnehmern des Ökosystems in Form von Threat Intelligence zur Verfügung zu stellen, damit sie Präventivmaÿnahmen
ergreifen können. Insbesondere geht es hier darum, durch sogenannte Zero-Day Attacken nicht bloÿgestellt zu werden. Hierbei handelt es sich um Angrie, die zu einem gegebenen Zeitpunkt noch
nicht bekannt waren und daher durch Signaturen von Sicherheitssystemen nicht abgefangen werden
6
konnten und somit das Eindringen in unsere Netzwerke und Systeme problemlos möglich war.
Automatic Threat Investigation als Teil von Advanced Threat Investigation
c
2014, AIRNET
4
4
Fazit
In einer Zeit, in der Geheimdienste hunderttausende Hacker beschäftigen, Cyberkriminelle gezielt beauftragt werden, Wirtschaftsspionage zu betreiben und groÿe Hersteller von
Software und Hardware per Gesetz verpichtet sind, Hintertüren (Backdoors) in ihren
Systemen einzubauen, ist höchste Zeit, dass wir uns ausgiebig schützen, um der Willkür
nicht bloÿgestellt zu werden.
c
2014, AIRNET
5