Cyber Security @ Deutsche Telekom Partner der Industrie Franz Grohs, SVP Cyber Business Unit SECURITY Forum 2014 Hagenberg im Mühlkreis
Cyber Security @ Deutsche TelekomPartner der IndustrieFranz Grohs, SVP Cyber Business Unit
SECURITY Forum 2014 Hagenberg im Mühlkreis
CYBER SECURITY IST NICHT NUR EIN MEDIENHYPE JEDEN TAG KOMMT ES ZU NEUEN CYBER-ATTACKEN
„INTERNET DER DINGE“
Hacker verschafft sich Zugriff auf
Babykamera und beobachtet schlafendes
Kleinkind.
13.08.2013
BEISPIELE FÜR ERFOLGREICHE CYBERANGRIFFEJEDES UNTERNEHMEN IST POTENTIELL BETROFFEN
Diverse Rechner von internenSoftwareentwicklern wurden infiziert
Angreifer hatten über längeren ZeitraumZugriff auf Rechner der Redaktion
100 Millionen Kundendatensätze gestohlenPSN für einen Monat außer Betrieb
Vertrauliche Details der Secure ID Produktfamilie gehackt
IT-Attacke auf die Rüstungsindustrie
24 Millionen Kundendatensätze gestohlen
Diebstahl interner und vertraulicher Kundendokumente (z.B. von FBI und NSA)
Diebstahl von 6,5 Mio. SHA1 Passwort-
Hashes
Diebstahl von 2,5 Mio. MD5 Passwort-Hashes
Angreifer hatten über Monate Zugriff auf Rechner in der Redaktion der NYT
Zielgerichteter Angriff gegen einenRüstungskonzern, Details nicht veröffentlicht
Erfolgreicher Angriff wurde bekanntgegeben,Details nicht veröffentlicht
Diverse Rechner von internen Mitarbeiternwurden mit Schadsoftware infiziert
250.000 Account – Daten mit Passwörtern gestohlen
What happens in the market?STRONG NEED FOR SECURITY
CHANGE IN IT:
Cyber crime causes 18 victimsper second, 1,5+ million victims per day and 556 million victims per year, which is more than the entire population of the European Union
Evernote hit in hacking attack, all 50 mn. users must reset their password. Damage of several Million $ (Q1 13)
55% of users aren’t 100% sure their computers are currently ‘clean’ and free from Viruses
CHANGE IN BUSINESS:
Amazon.com had an outage for49 minutes on Jan. 31. Damage: For every hour it is not up and running, Amazon.com takes a hit of almost $5 million (Q1 13)
Hackers compromised 1.5m credit and debit card numbers of Global Payments. As a result Global Pay-ments shares tumbled 9% (Q2 12)
The Network of Deutsche Telekom registers up to 800.000 attacks on a daily base
SETTING THE SCENECYBER THREATS HAVE EXPLODED
SETTING THE SCENECYBER THREATS HAVE EXPLODED
UNTERSCHIEDLICHE TYPEN VON ANGREIFERNABER: GLEICHE METHODEN BEI DIVERGIERENDEN ZIELEN
BE
ISP
IELE
MO
TIV
AT
ION
RE
SS
OU
RC
EN
ORG. KRIMINALITÄT
HACKTIVISTEn
Staatlicher Fokus
KLASSISCHE„HACKER“
Ruhm und Ehre Zeigen was man kann Spiel und Spaß
Politische Meinungsäußerung
DDoS gegen Banken,die Wikileaks Kontengesperrt hatten
Anonymous Angriffe auf Unternehmen
Betrug Erpressung Geldwäsche
Verunstalten von Internetseiten
Meldungen von Schwachstellen inWebseiten an die Presse
Spionage Sabotage
StuxnetRed October(Regierungen im Ostblock)
PRISM/ Tempora
NACHRICHTEN DIENSTE
Primärfokus der Sicherheitsarbeit
zumeist Einzelpersonen
gut organsierte Gruppen
hohe Arbeitsteiligkeit weltweite Verteilung hohe Finanzmittel
verfügbar
gut organisierte Gruppen
hohe Arbeitsteiligkeit weltweite Verteilung
Staatlich gelenkt Extrem hohe
Finanzmittel verfügbar
Phishing-E-MailsDDoS auf Onlineshops / Onlinewetten
SPAM
STAATLICH GELENKTE FERNMELDEAUFKLÄRUNGÜBERWACHUNG DES INTERNETVERKEHRS
BEISPIELE TECHNISCHE REALISIERUNG
Bei der strategischenFernmeldeaufklärung werden heutzutage überwiegend Glasfaserleitungenüberwacht, da die Satellitenkommunikation mittlerweile eine untergeordnete Rolle spielt.
Aufgrund geologischer Gegebenheiten (unterseeische Gebirgszüge) laufeninterkontinentale Glasfaserleitungen an wenigen Knotenpunkten weltweit zusammen. Einezentrale Überwachung ist damit technisch leichtrealisierbar.
Überwachung von Glasfaser erfolgt mit optischenSplittern, die eine 1:1 Kopie der gesamten übertragenen Inhalte einer Glasfaserleitung passiv ausleiten.
Prism
Echelon
Tempora
…
FRÜHWARNUNG DURCH TRANSPARENZHONEYPOT SENSOREN LIEFERN ECHTZEITLAGEBILDER
Rund 180 Honeypot-Sensoren haben innerhalb vondrei Jahren 8.732.125 neue Angriffsmuster erkannt.
Pro Tag gibt es bis zu 800.000 Angriffe auf die Honeypots der Telekom.
Beispiel für eine abgeleitete Frühwarnung:
Innerhalb eines Jahres wurde ein simuliertes Smartphone mehr als 300.000 mal attackiert.
330 dieser Angriffe waren erfolgreich, im Durchschnitt damit fast ein Angriff pro Tag.
Weltweit werden derzeit fast eine Milliarde Smartphones genutzt.
Neuer Angriffstrend in Richtung Smartphone, dasGefahrenpotential ist aufgrund der Menge dieserGeräte enorm.
WWW. SICHERHEITSTACHO.EUANGRIFFE IN ECHTZEIT SEHEN
ANALYSIEREN SIE IHRE ORGANISATION MIT DEN AUGEN EINES ANGREIFERS…
101 HONEYPOTS IM NETZ DERDEUTSCHEN TELEKOM
WWW.SICHERHEITSTACHO.EU
ECHTZEIT ÜBERBLICK BZGL. DERANGRIFFE, TOP 15 NACH LÄNDERN UND VERTEILUNG DERANGRIFFSZIELe
ENTDECKUNG VON IM DURCHSCHNITT 450.000ANGRIFFEN TÄGLICh
WACHSTUM: 5 JE NATCOAKTUELL IM ROLLOUT
SOFTWARE SCHWACHSTELLEN - EIGENSCHAFTEN
Hohes Risiko, dass Software Fehler beinhaltet. Einigedavon haben Auswirkungen auf die Sicherheit und können durch Angreifer ausgenützt werden(“Sicherheits-Schwachstellen”).
Pro Monat werden durchschnittlich 400 neueSchwachstellen bekannt.
Ca. 10% der Schwachstellen sind “kritisch”.
Weitere Schwachstellen existieren, bleiben jedoch unbekannt, da der Hersteller noch kein SoftwareUpdate (Sicherheits-Patch) zur Verfügung gestellt hat.
Zudem gibt es sog. “Zero Day Exploits”, die nichtbekannt werden bis Angreifer diese ausnützen.
INCIDENTS - BEISPIELE
VERALTETE SOFTWARE IST DIE URSACHE FÜR DIE MEHRHEITAKTUELLer SICHERHEITSVORFÄLLE
ICT Growth TopicsOverview
MOBILE ENTERPRISE
Cyber Security
Big data
Cloud
Internet of Things
M2M
UC & Collaboration
Industry 4.0
Healthcare Connected Car
Smart Energy
Competitor landscapebroader it security landscape
Source: PAC
Competitor landscapethree groups of providers dominate the market
security specialistsNETWORK PROVIDERSIt OUTSOURCERS
Managed security services
T-SYSTEMS
360° SERVICES FOR SECURE TRANSFORMATION
TRANSFORM INTO THE CLOUD WORLD
TRANSFORM INTO THE COLLABORATIVE WORLD
TRANSFORM INTO THE MOBILE WORLD
DEDICATED CONSULTING APPROACH
Secure data centers Multi tenancy:
TC and IT Intrusion Detection
and Prevention
Effective access control
Secure storage Protection from
malware
Encryption of mobile data
Communication security Gateway and
application security
Cyber Resilience Assessment
Cyber Resilience Strategy
Cyber Attack Defense Team
Challenges for Customers
CYCLE OF A CYBER-ATTACK
Early detection Reducing attackers „free time“
ICT SECURITY SERVICES AND SOLUTIONSSERVICES AND SOME CUSTOMERS
Architecture and Processes
Applications, Risk and Compliance
Security and Vulnerability Mgt.
Users and Identities
Smart Cards
Trust Centers
Identity and Access ManagementEnabling the managed use of ICT resources and IT applications with digital identities, roles and rights.
Enterprise Security ManagementEmbedding security in processes, defining goals and responsibilities, ensuring good governance and compliance.
Workplace, Host and Storage Security
Network Security
Physical Security*
ICT Infrastructure SecurityDefending from hostile action: protecting networks, IT applications, data and building security
e.g. Business Consulting, ProcessModeling
e.g. Corporate PKI, Business CA
e.g. Device Security, Encryption
e.g. SIEM, CERT Services
e.g. Security Audits, Pentest, Productevaluations
e.g. Identity and access management, Directory Services
e.g. Smart cards solutions
e.g. Firewall, IDS / IDP, SSL GW, DLP GWe.g. Access Controls, Break-In Alarms
T-Systems security solutions cover customers needs from basic to highest security. Standard-Services are oftencombined with customer specific add-ons.
CYBER SECURITY STRATEGIEPRÄVENTION – ERKENNUNG - REAKTION
ICT BUDGET VERTEILUNGHEUTE 70% Prevention 20% Detection 10% Reaction
ICT BUDGET VERTEILUNGZUKÜNFTIG: 33.33% Prevention 33.33% Detection 33,33% Reaction
Prävention Cyber Security Strategy Cyber Security Architecture Top Management Awareness Security Audits Penetration Testing dCERT Information Service DDoS Mitigation strategies
Erkennung State-of-the-ArtMonitoring
um Attacken undMissbrauch zu entdecken
Cyber Situational Awareness Anomalie Entdeckung Security Information &
Event Management(SIEM)
Security Operations Center
Reaktion Umgang mit
unbekannten Bedrohungen
In-time Securityincident response
ComputerEmergency Response Team(CERT)
Forensic Analysis
Conventional intrusion detection system defend a network perimeter by using packet inspection, signature detection and real-time blocking.
NBA can enhance the security of a network by monitoring traffic and noting unusual actions. NBA solutions watch what's happening inside the network, aggregating data from many points to support analysis using artificial intelligence methods.
Attacks e.g. DoS- / DDSoS, Brute Force (SQL, PHP), Polymorphic Malware etc. are identified by different AI Agents and rated accordingly. The final opinion is made by a Master AI Agent.
Network Behavior Analysis (NBA) -- What is it?
INNOVATIVE APPROACHNETWORK BEHAVIOR ANALYSIS (NBA)
Example: Analysis of Network-Traffic. Data is collected at network perimeter and send to the
Analyzer, Analyzer contains different AI Agents, with different logic to
analyze AI Agents own a self learning ability Traffic flow is categorized in “normal” and “abnormal” parts,
Abnormalities are shown in a specific mode. E.g. “unusual DNS response” or “HTTP requests to Non-Web Servers” etc.
OUR SECURITY PORTFOLIOPortfolio Set Up with ACD by t
ACD by T ADVANCED CYBER DEFENSE
CO
NS
ULT
ING
Security Operation Center SOC
Reverse MalwareForensic
Security Monitoring, SIEM
Users and Identities
Smart Cards
Trust Centers
Workplace, Host and Storage Security
Network Security
Physical Security
Architecture and Processes
Applications, Risk and Compliance
Security and Vulnerability Management
ENTERPRISE SECURITY MGMT.
IDENTITIY & ACCESS MGMT.
ICT INFRASTRUCTURE SECURITY
ACD by T is a central part of the (Cyber) Security Portfolio.Quick market entry
by a strategic partnership with RSA.
Modular offering concept is open for different suppliers and partners.
Investment to strengthen our market position as security provider.
ACD by T
ACD BY T – TELEKOM ADVANCED CYBER DEFENSENEXT GENERATION SECURITY OPERATION CENTER
Telekom Advance Cyber Defense (ACD by T)N
G S
OC
Cyber Situational Awareness
Security Incident Detection & Response
(Big Data Analysis)
SOC Technology &
Engineering
SOC Platform Operations (e.g. RSA Security Analytics, Archer)
Con
sult
ing
Breach Readiness Assessment Penetration Testing
Incident Response Retainer
Breach Management Forensics
Threat IntelligenceNext Gen SOC Design & Implementation(Customer & Provider Model)
Cyber ThreatInformation Feeds
Further security systems(Firewalls, IDS/IPS, Anti-Virus, SIEM, …)
Network Recording(e.g. RSA NetWitness)
CERT
situation center
mgmt. escalation
external com.
crisis mgmt.
Enterprise IT
services & processes (e.g., help desk, ticketing; network/ platform/ system/ application operations)
asset information
Incident Response & Discovery
ACD BY T – TELEKOM ADVANCED CYBER DEFENSETECHNOLOGIES AND SUPPLIERS
Telekom Advance Cyber Defense (ACD by T)N
G S
OC
Cyber Situational Awareness
SOC Platform Operations (e.g. RSA Security Analytics, Archer)
CERT
situation center
mgmt. escalation
external com.
crisis mgmt.
Enterprise IT
services & processes (e.g., help desk, ticketing; network/ platform/ system/ application operations)
asset information
wMPS/eMPS/CMSeCATSecurity Analytics
(log & packets)
Con
sult
ing
Breach Readiness Assessment Penetration Testing
Incident Response Retainer
Breach Management Forensics
Threat IntelligenceNext Gen SOC Design & Implementation(Customer & Provider Model)
Incident Response & Discovery
NEXT GENERATION SECURITY OPERATION CENTER„next generation“?
Well-known security solutions
do not address the whole „Kill Chain“ and
have deficiences to detect advanced targeted attacks
E.g. Anti-Virus solutions are end-point solutions (=> limited view), signature-based mechanisms arelimited, anomaly detection mechanisms are rudimentary or disabled.
E.g. SIEM solutions support centralization and correlation, but are bound to events. Restauration ofcontext limited or impossible.
Next Generation Security Operation Center
adresses the whole „Kill Chain“
aims on detection of targeted attacks including APT
focuses human security expertise as keyfactor of success.
NextGen SOC must be flanked by innovative security technolgies to gain efficiency.
WHAT SECURITY MEANS TO DT…
… an important design criteria during the development of our products
… a key distinguishing feature against our competitors
… a basic requirement of our entire product and service portfolio
… one of the main anchors of trust with our customers
Security in the life cycle of products and services (Security by Design, PSA method). Highly secure network platforms and data centers based on an enterprise security architecture for reliable ICT service (ESARIS).
Fragen ?