cyber security challenges von heute wie reagiert die ...€¦ · 2 ibm security bereits 2016 gab es...
TRANSCRIPT
CYBER SECURITY CHALLENGES VON HEUTE –WIE REAGIERT DIE INDUSTRIE DARAUF?
Cyber Security
Bernhard Kammerstetter, Client Technical Professional
IT Future challenges im FLL Wien, 2017-12-11
2 IBM Security
Bereits 2016 gab es eine noch nie dagewesene Anzahl von verlorengegangenen Datensätzen bzw. unstrukturierten Daten
average time to identify data breach: 201 days
2014
1,000,000,000 recordsbreached, while CISOs cite increasing
risks from external threats
2015
Healthcare mega-breachesset the trend for high value targets of
sensitive information
2016
Larger than life breachesas over four billion records and entire
digital footprints of many companies
were exposed
3 IBM Security
Folgende Themen stehen bei C(I)SOs auf der Agenda:
Manage Risks and Vulnerabilities
InsiderThreats
IncidentResponse
Securethe Cloud
Critical DataProtection
Advanced andPersistent Threats
Compliance
4
Security-Herausforderungen steigen exponentiell*
* Die Anzahl der entdeckten Schwachstellen pro Jahr ist seit 2010 um das 20-fache gestiegen!
5
Die entscheidenden Fragen stellen …
Welche Auswirkungenhat das auf unser
Unternehmen?
Welche Angriffepassieren jetzt gerade?
Ist unsere Konfiguration zur Abwehr neuartigerAPT-Angriffe bereit?
Wo sind die größten Risiken und
Schwachstellen?
Security Intelligence... liefert handlungsorientierte Informationen durch Analyse sicherheitsrelevanter Daten eines Unternehmens
• Durchgängiger Überblick über gesamten Sicherheitsstatus und Schwachstellen des Unternehmens
• Abweichungen vom Normalverhalten erkennen, um APT-Angriffe abzuwehren
• Schwachstellen priorisieren, um Wartungsprozess zu optimieren und kritische Lücken schnell zu schließen
• Bedrohungen erkennen und priorisieren, um Workflow für Analyse der Auswirkungen zu beschleunigen
• Automatische Sicherheitsanalysen, um vollen Überblick über die Angriffssituation zu verschaffen
• Forensische Untersuchungen, um Details zu ermitteln und Ursache zeitnah und lückenlos zu beheben
Exploit Remediation
REACTION / REMEDIATION PHASE
Post-ExploitVulnerability Pre-Exploit
PREDICTION / PREVENTION PHASE
VulnerabilityManager
RiskManager
SIEM IncidentForensics
IncidentResponse
6 IBM Security
Threat Intelligence
Security Analytics
Cloud
Identityand
Access
Dataand
Apps
MobileAdvanced
Fraud
NetworkEndpoint
Security Ecosystem
Criminal detection
Fraud protection
Workloadprotection
Cloud accesssecurity broker
Access management
Entitlements and roles
Privileged identity management
Identity management
Data access control
Application security management
Application scanning
Data monitoring
Device Management
Transaction protection
Content security
Malware protection
Antivirus
Endpoint patching and management
Virtual patching
Firewalls
Incident and threat management
Sandboxing
Network visibility
Vulnerability management Incident response
Log, flow, data analysis Anomaly detection
Indicators of compromise
IP reputation Threat sharing
Erweiterung der Security durch Intelligence und Integration
7
Was haben folgende Vorgänge gemeinsam?
>99% of cyber attacks
traverse the network in
some way
Only insider attacks
collecting local system
data and posting it to
removable media do
not
- Enterprise
Management
Associates
8
The good news:
Im Netzwerk finden sich die Daten,
die man für die Erkennung benötigt
… wenn man genau genug hinsieht
IBM AND BP INTERNAL USE ONLY
9
Network-Traffic lügt nicht! Angreifer können zwar Logging deaktivieren und Spuren verwischen, sind jedoch auf das Netzwerk angewiesen (flow data)
• Deep packet inspection für Layer 7 flow data
• Pivoting, drill-down und data mining für Flow-Sourcen für erweiterte Erkennung oder Forensics
Hilft beim Erkennen von Anomalien, die ansonsten im Verborgenen bleiben
Macht die Netzwerk-Aktivitäten von Angreifern sichtbar
QRadar Network Insight – leuchtet auch tote Winkel aus
10
SuspectedIncidents
Offense SIEM
Integrierte Intelligenz bietet automatisierte Identifikation von Angriffen mittelsSIEM (Security Information and Event Management) wie z. B. IBM QRadar
Servers and mainframes
Virtual Network Activity
Application activity
Security Device Activity
Users and identities
Vulnerabilities and threats
Global threat intelligence
Network Activity
Access & Authentication
Log Records
Flow Records
https://exchange.xforce.ibmcloud.com/STIX: Structured Threat Information Expression (STIX™) is a
structured language for describing cyber threat information so it
can be shared, stored, and analyzed in a consistent manner.
11
Beispiel aus der Praxis:Nach dem Konfigurieren der 1901 hat diese begonnen fleissig Flows zu schicken und darauf basierend Offenses zu
generieren.
Über Nacht kam eine Offense "Connection using insecure Protocol" - da hat ein Zugriff aus Asien via Telnet (Port 23) auf einen
xxxxxxx-Server zugegriffen. Das wurde wunderschön in der Pulse-App mit Source -> Dest-Ip grafisch dargestellt.
Zuerst hat's geheißen: Das muss ein False-Positive sein, der ‚Japaner‘ kann das bestenfalls versucht haben - denn die ASA
würde den Zugriff nie erlauben. Doch der Q-Flow hat Source- und Dest-Bytes angezeigt. Also hat es eine Session gegeben
und der Telnet-Service hat geantwortet.
Da wir keine Deny's auf der ASA für die IP des ‚Japaners ‚gefunden haben, haben wir einfach mal selbst ein Telnet auf den
xxxxxxxx-Server versucht -> und siehe da: Es kommt ein "Login" Prompt von Telnet.
Und sowas geht natürlich gar nicht.
Das haben wir dann mit dem Screenshot von der Pulse-App dem Hrn. xxxxx präsentiert - und der hat sofort den Owner des
Servers aufgfordert den Telnet Service umgehend zu beenden.
Man muss hier auch festhalten, dass die QNI diesesn Security Breach ohne aufwändige Konfiguration, nur mit den Default-
Regeln erkannt hat. (Das war ja auch eine Zielsetzung die mir Christoph bei Projekt-Beginn erklärt hat)
Und - ebenfalls gut - wir waren sofort in einer Opty-Situation: Denn Kunde hat gefragt "Kann ich eigentlich auch sehen, was
genau ‚der Japaner‘ via Telnet auf unserem Server gemacht hat?"
Und ich konnte im sagen "Ja - könnt ihr in Zukunft - wenn ihr die Lösung um Forensics erweitert".
12
COGNITIVE, CLOUD,and COLLABORATION
Die nächste Security-Ära
INTELLIGENCE, INTEGRATION,and ORCHESTRATION
PERIMETER CONTROLS
13
IBM Watson for Cyber Security bildet die Basis für Cognitive Security
Updated every week Updated every hourUpdated every 5 minutes
StructuredSecurity Data
X-Force Exchange
Virus total
Open source
Paid data- Indicators
- Vulnerabilities
- Malware names, …
- New actors
- Campaigns
- Malware outbreaks
- Indicators, …
- Course of action
- Actors
- Trends
- Indicators, …
Crawl of CriticalUnstructured Security Data
Massive Crawl of all SecurityRelated Data on Web
Breach replies
Attack write-ups
Best practices
Blogs
Websites
News, …
Filtering + Machine LearningRemoves Unnecessary Information
Machine Learning / Natural Language Processing
Extracts and Annotates Collected Data
Billions ofData Elements
Millions of Documents
5-10 updates / hour! 100K updates / week!
Refinement
Massive Security Knowledge GraphBillions of Nodes / Edges
14
QRadar Advisor with Watson nutzt Watson for Cyber Security für die Analyse von erkannten Offenses
• Manage alerts
• Research security events and anomalies
• Evaluate user activity and vulnerabilities
• Configuration
• Other
• Data correlation
• Pattern identification
• Thresholds
• Policies
• Anomaly detection
• Prioritization
Security Analytics
Security Analysts Watson for Cyber Security
• Security knowledge
• Threat identification
• Reveal additional indicators
• Surface or derive relationships
• Evidence
• Local data mining
• Perform threat research using Watson for Cyber Security
• Qualify and relate threat research to security incidents
• Present findings
QRadar Advisor with Watson
SECURITY
ANALYSTS
SECURITY
ANALYTICS
QRadar
Advisor with
Watson
Watson
for Cyber
Security
15
Reduziert den Aufwand für die Untersuchung von Alarmenwesentlich
RemediationInvestigation and Impact AssessmentIncident TriageDays
to Weeks
Manual threat analysis
RemediationInvestigation and
Impact Assessment
Incident
Triage
Minutes
to Hours
QRadar Watson Advisor assisted threat analysis
Quick and accurate analysis of security threats, saving precious time and resources
• Accelerates incident triage with more
automation
• Alleviates pressure of skills gap
• Augments contributions of security teams
• Empowers security analysts in clearing
backlog
Security
Knowledge
!!!
https://www.youtube.com/watch?v=MYZOIdK4o1M
© Copyright IBM Corporation 2016. All rights reserved. The information contained in these materials is provided for informational purposes only, and is provided AS IS without warranty of any kind, express or implied.
IBM shall not be responsible for any damages arising out of the use of, or otherwise related to, these materials. Nothing contained in these materials is intended to, nor shall have the effect of, creating any warranties or
representations from IBM or its suppliers or licensors, or altering the terms and conditions of the applicable license agreement governing the use of IBM software. References in these materials to IBM products, programs,
or services do not imply that they will be available in all countries in which IBM operates. Product release dates and / or capabilities referenced in these materials may change at any time at IBM’s sole discretion based on
market opportunities or other factors, and are not intended to be a commitment to future product or feature availability in any way. IBM, the IBM logo, and other IBM products and services are trademarks of the International
Business Machines Corporation, in the United States, other countries or both. Other company, product, or service names may be trademarks or service marks of others.
Statement of Good Security Practices: IT system security involves protecting systems and information through prevention, detection and response to improper access from within and outside your enterprise.
Improper access can result in information being altered, destroyed, misappropriated or misused or can result in damage to or misuse of your systems, including for use in attacks on others. No IT system or product
should be considered completely secure and no single product, service or security measure can be completely effective in preventing improper use or access. IBM systems, products and services are designed
to be part of a lawful, comprehensive security approach, which will necessarily involve additional operational procedures, and may require other systems, products or services to be most effective. IBM DOES NOT
WARRANT THAT ANYSYSTEMS, PRODUCTS OR SERVICES ARE IMMUNE FROM, OR WILL MAKE YOUR ENTERPRISE IMMUNE FROM, THE MALICIOUS OR ILLEGAL CONDUCT OF ANY PARTY.