Schwachstellen-Schutz - EICAR€¦ · Schwachstellen-Schutz WG2 Meeting, Bonn, 28. ... • Motivation • Einordnung • Penetration Testing ... Neevia Technology - Nitro Software,

Schwachstellen-Schutz

WG2 Meeting, Bonn, 28. September 2017

Tonke Hanebuth <[email protected]>

Agenda

• Motivation

• Einordnung

• Penetration Testing

• Schwachstellen-Management

• Patch Management

• Fazit

Motivation

BedrohungslandschaftAbschnitte eines Angriffs

• Auskundschaften des Ziels und Erstellen von Exploits und Malware für

einen Angriff

• Kontakt zum Ziel aufbaunen und angreifen

• C&C (command & control) Zugang zur Brückenkopf-Malware bekommen

• Im Ziel-Netzwerk bewegen

• zu Geld machen

• so lange wie möglich bleiben

© F-Secure 4

BedrohungslandschaftAngriffsvektoren von Malware

A legitimate website is

compromised by an attacker

and consequently

contaminated by inserting

malicious content into it,

which then infects every

visitor going to the site.

CONTAMINATED

WEBSITE

An otherwise legitimate

website is infected though

hostile advertisements

originating from non-website

related independent 3rd

party ad-agencies, which

then contaminates visitors

by exploiting software

vulnerabilities.

INFECTED

ADVERTISEMENT

An authentic looking email

deceives the end-user to

open a seemingly genuine

attachment, which

contains an integrated

malware. Which through

software vulnerability or

exploit gains access to the

system.

CONTAMINATED

ATTACHMENT

An email from a seemingly

trusted or legitimate source

deceives the end-user to

follow a link to an external

website which contains

malicious software that

infects every visitor going

to the site.

MALICIOUS LINK

TO MALWARE

BedrohungslandschaftMalware-Angriff – Wie geht es weiter?

BACKDOOR

Malware contacts remote

server and deploys

additional malware,

ensuring multiple

backdoor and remote

access.

ACCESS

With access secured, the

attacker aims to escalate

privileges in order to gain

further access in the

network.

VULNERABILITY

But due to a vulnerability

from outdated software,

an integrated malware

payload is installed.

DATA

With access to most

confidential parts and files of

the network, the criminal

identifies most valuable data

and starts sending it to

external staging servers.

ESCAPE

Valuable data is then

extracted and send

forward. Attacker destroys

evidence and hides tracks,

but might leave a backdoor

for further access.

BedrohungslandschaftMalware-Angriff – Wie geht es weiter?

BedrohungslandschaftLaterale Bewegung

In order to find interesting stuff, attackers need to move

within the system.

• This means they need to be able to take over other

hosts

• Thus they need to crack the user or admin password

hash

• Once the attacker has the password he can use the

psexec or at command to execute files on remote

systems

• Another typical method is via remote login products

commonly used by IT

© F-Secure

BedrohungslandschaftAngriff "über die Bande"

Wenn mir gar nicht einfällt, warum

jemand mich angreifen sollte:

Manche Organisationen können nicht so

einfach angegriffen werden ...

... also werden zuerst schlechter

geschützte Partner angegriffen.

Überblick

EinordnungVorhersage – Prävention – Erkennung - Reaktion

Backup einspielen

Protokolle auswerten

Schwachstellen suchen

Anti-Virus IDS

Patchen Konfigurieren

Verschlüsseln

Segmentieren (Firewalls)

Segmentieren (Firewalls)

Normalbetrieb

Panik

Personalsituation

Es wird heute doppelt so

viel Personal mit

Kenntnissen in der

IT-Sicherheit gebraucht,

wie zur Verfügung steht.

Penetration Testing

Zertifikat Aussteller Beschreibung

CSEG CHECK Communications-Electronics Security

Group

Computer IT Health Check Service

ISC² CISSP International Information Systems

Security Certification Consortium

Certified Internet Security Systems

Professional

SANS GIAC System Administration, Networking

and Security Institute

Global Information Assurance

Certification

ISACA CISA Information Systems Audit and

Control Association

Certified Information Systems Auditor

CEH EC-Council Certified Ethical Hacker

OSCP Offensive Security Offensive Security Certified

Professional

... ... ...

CeLS Pentester Certified by Professionals Penetration Tester (IP) / (Web)

Zertifikationen im Bereich Penetrationstests

CeLS Pentester

• Zertifizierungs-Standard der IT-Community

• offen und herstellerunabhängig

• von IT-Experten und Unternehmen für IT-Experten und Unternehmen

• ganzheitlicher Nachweis

• fachliche Eigenschaften

• persönliche Eigenschaften

• Penetration Tester

• Themengebiete (fachliche Eigenschaften)

• Grundlagen

• Organisation

• Technik

CeLS PentesterSoft-Skills

für Penetration Testing als förderliche bewertete persönliche Eigenschaften

• Gewissenhaftigkeit

• Leistungsmotivation

• Problemlösefähigkeit

• Konzeptionelles Denken

• Lernbereitschaft

• Offenheit für neue Erfahrungen

PentestingAblauf nach BSI

1. Umsetzung IT-Grundschutzmaßnahmen

2. Qualitätssicherung

3. IS-Kurzrevision

4. ggf. IS-Webcheck

5. IS-Pentest

1. Vorbereitung

2. Einarbeitung

3. Testphase

1. Sicherheitsaudit

2. ggf. nicht-invasiver Schwachstellenscan

3. ggf. Einsetzen von Exploits

4. Berichtsphase

IS = IT-Sicherheit; IT = Informationstechnik

Pentestingpro/con

pro

• unbekannte Schwachstellen können gefunden werden

• sicherer Zustand wird ggf. bestätigt

contra

• Störung des Betriebs möglich

• Momentaufnahme

• Umgang mit den Ergebnissen nicht unproblematisch

Störung des Betriebs möglichBeispiel Fotokopierer

Schwachstellen-Management

Schwachstellen-ManagementAngriffsvektor - Soll

Schwachstellen-ManagementAngriffsvektor - Ist

Wie funktioniert es?

• Das Herz von

F-Secure Radar ist das

Radar Security Center, On-

Site oder Cloud-basiert.

• Das Radar Security Center

kommuniziert mit einem

oder mehreren Radar Scan

Nodes, die die

Schwachstellen-Scans

durchführen.

• Administratoren können

24/7 auf das Radar Security

Center zugreifen und von

überall über einen Web-

Browser Scans anstoßen.

© F-Secure

Radarüblicher Arbeitsablauf

Schwachstellen-ManagementFunktionen - Verwaltung

• hohes Maß an Automatisierung

• zentralisierte, einheitliche Schwachstellenberichte

• Schwachstellenmanagement und Ticketing

• API Schnittstelle für 3rd-Party-Integration

• manuelles Hinzufügen von Schwachstellen

Schwachstellen-ManagementFunktionen - Discovery-Scan

identifiziert Assets für Schwachstellenscans und überwacht Änderungen im

Netzwerk

• schneller, verlässlicher Port Scanner

• Service- und OS-Erkennung

• anpassbare Scangeschwindigkeit

Schwachstellen-ManagementFunktionen - System Scan

identifiziert Sicherheitsschwachstellen in Zusammenhang mit

Konfigurationsfehlern, fehlerhaften Patch-Management etc.

• scannt jedes IP-Netzwerkgerät

• identifiziert möglichst alle bekannten Schwachstellen

• wenige False Positives und False Negatives

• immer aktuell

• basierend auf öffentlichen Schwachstellen(-datenbanken)

Schwachstellen-ManagementFunktionen – Web Scan

Test für Web-Anwendungsschwachstellen

• scannt und entdeckt Schwachstellen innerhalb kommerzieller und

benutzerdefinierten Web-Anwendungen

• Tests für eine Vielzahl von Schwachstellen, einschließlich der OWASP Top10

• formular-basierte Authentifizierung

• Crawling von Web-Anwendungen

• Skalierbarkeit

Schwachstellen-ManagementFunktionen – Internet Asset Discovery

Entdecken externer, verletzbarer oder falsch konfigurierter Systeme

• verlassene oder Shadow IT-Systeme

• Malware-infizierte Webseiten

• Assets, die durch Hosts eng einer Website verbunden sind

• Überwachen von Phishing und Brand-Verstößen, um Marken und geistiges

Eigentum zu schützen

• Auditieren der Praktiken von Service Providern

Radar Security Center

Patch-Management

Warum Patch-Management?

75% der

Angriffe auf

Anwendungs-

EbeneGartner Research

Warum Patch-Management?

4 von 5 Cyber-Angriffen auf

Unternehmen erfolgen mittels

Bugs in veralteter Software.

Die meiste Malware könnte

mit aktueller Software

vermieden werden.

• Viele Angreifer arbeiten mit Exploit-Kits

• Ein Exploit-Kit ist ein fertiges Angriffswerkzeig, das verbreitete,

verwundbare Programme angreift und Kompromittiert

• Flash

• Java

• Silverlight

• Acrobat PDF

• Über das Exploit-Kit wird der

Browser übernommen und Malware

auf dem Computer platziert

F-Secure

Exploiting The Browser(Threat Landscape)

© F-Secure

Hersteller mit Patches für Sicherheitslücken

7-Zip - Acro Software - Adobe - AIMP DevTeam - AOL Inc - Apache Software Foundation - Apple - Arduino LLC - AT&T - Atlassian - Audacity - Autodesk -Bandicam Company - Blue Jeans Network, Inc. - Bluebeam Software, Inc. -

Botkind, Inc. - Box.com - CDBurnerXP - Cisco - Citrix - Classic Shell -Code4ward.net - CoreFTP - dotPDN LLC - Dropbox - EMC - Evernote Corporation - FileZilla - Foxit Corporation - Gimp.org - GlavSoft - Google - Greenshot - Gretech

Corp - Hewlett-Packard - Inkscape - IrfanView - JAM Software - Juraj Šimlovič -KeePass - LibreOffice - Lightning UK - LogMeIn, Inc. - Malwarebytes Corporation -Microsoft - Mozilla Foundation - Neevia Technology - Nitro Software, Inc. - Nmap

Project - Notepad++ - Nullsoft - NVIDIA Corporation - Opera Software ASA -Oracle - PDFForge - PeaZip - Pidgin - Piriform - Plex, Inc - Prezi Inc -

Programmer's Notepad - PSPad - Quest Software, Inc. - Rarlab - Real - RealVNC- Research In Motion - Salesforce.com, inc. - Scooter Software, Inc. - Shavlik -

Siber Systems - Simon Tatham - Skype Technologies S.A. - Slack Technologies -SlySoft - Splunk - Sublime HQ Pty Ltd - Sun Microsystems - TeamViewer GmbH -TechSmith - Telerik - Thingamahoochie - TortoiseGit - TortoiseHg - TortoiseSVN -

Tracker - UltraVNC - VideoLAN - VMware - WinSCP - WinZip - WiresharkFoundation - XMind Ltd - XnSoft - Yahoo

Zeitnahes Ausnutzen von Sicherheitslücken

• Bekannte Schwachstellen in Software werden kurz nachdem ein Update

zur Verfügung steht im großen Stil ausgenutzt (Reverse Engineering)

• 85% aller Schwachstellen werden in Fremdprodukten angegriffen und sind

somit außerhalb des Einflussbereichs eines WSUS-Servers

Software UpdaterEinsatzmöglichkeiten

• vollautomatisch

• Monitoring

• Monitoring + einzelne Maßnahmen

• schnelle Reaktion auf Malware etc.

• Sicherheits-Updates automatisch

+ Monitoring

+ einzelne Maßnahmen

Software UpdaterEinsatzmöglichkeiten

zentrales

Monitoring

automatische

Installationzentrale Installation

Installation durch Dritte

manuell automatisch

Monito

ring

Insta

llatio

n

Software UpdaterHauptfunktionen

• Automatische Durchführung von Sicherheits-Updates

• Möglichkeit, Ausnahmen zu definieren (z.B. Java Installationen)

• Installation von fehlenden Updates

• Verwaltung auch von Nicht-Microsoft-Produkten

• zentrale Verwaltung

• Integration in Client Protection und Server Protection

Software-UpdaterAnforderungen

• Scannt und berichtet fehlende Updates für Software von Drittanbietern und implementiert Sicherheits-Updates automatisch

• Installation fehlender Updates und Patch-Management für Windows und Produkte von Drittanbietern

• Regelmäßiger Download von Definitionsdateien, einschließlich Informationen zu Software-Updates

• Gleicht diese mit der installierten Software ab und identifiziert fehlende Updates

• Gibt Ihnen die Möglichkeit, Ausnahmen für den automatischen Modus auf der Grundlage von Software-Namen oder Bulletin-IDs zu definieren

• Usability: Z.B. Ausnahmen können über die Konsolenoberfläche gefiltert werden, um Chaos zu vermeiden

• Performance: Mit einem Proxy wird der Internet-Traffic verringert, indem Software-Updates zwischengespeichert werden

Fazit

PersonalsituationKonsequenz

• Personal-Sharing

• SaaS

• Security as a Service

Fazit

• Jeder wird angegriffen.

• Je besser Sie sich vorbereiten, desto weniger müssen Sie aufräumen.

perComp empfiehlt, vorzubeugen:

• Sichern

• Rechte einschränken

• Schützen

• Schwachstellen minimieren

• Protokollieren

• Benutzer sensibilisieren

Fragen?

Danke!