Upload
others
View
3
Download
0
Embed Size (px)
Citation preview
Advanced & Targeted Attacks Peter Sindt Århus 2. Maj 2014
Dubex A/S – fakta og værdier
Managing risk –
Enabling growth
First mover
50 ansatte
Omsætning
100 mio. DKK
Selvfinansierende
og privatejet
Den førende
sikkerhedspartner
De bedste
specialister
Eftertragtet
arbejdsplads
Motiverede
medarbejdere
Kvalitet
Service
Kompetence
Vores engagement
skaber
arbejdsglæde
Hændelser Danmark - 2013 Politiets kørekortregister
er blevet hacket Politiets kørekortregister med cpr-numre blev hacket
i sommeren 2012, og der kan være lavet ændringer,
oplyser Rigspolitiet.
06. Jun. 2013 kl. 11:02
Der kan være lavet ændringer i politiets register for
kørekort og efterlyste personer efter et hacker-angreb.
Rigspolitiet og it-firmaet CSC har konstateret, at politiets
kørekortregister med CPR-numre, samt oplysninger om
efterlyste personer i Schengen-registrene er blevet
hacket i sommeren 2012.
Rigspolitichef Jens
Henrik Højbjerg
kalder sagen et
alvorligt brud på
politiets IT-
sikkerhed.
http://www.dr.dk/Nyheder/Indland/201
3/06/06/06105615.htm
Hackere: Det kostede 50 kroner at
lægge NemID ned Fredag den 12. april 2013, 08:59
Det var let, billigt og svidende effektivt at
cyberangribe hele Danmarks loginsystem, siger
en gruppe, der tager ansvaret for gårsdagens
angreb. Gruppen har offentliggjort et brev til
danskerne
Lidt IT-udstyr, lidt know-how og så en flad
halvtredskroneseddel. Så lidt skulle der til for at
tvinge hele Danmarks loginsystem ned i adskillige
timer torsdag formiddag. Det siger den gruppe, der
har taget ansvaret for angrebene, til Ingeniørens IT-
medie, Version2.
http://www.b.dk/tech/hackere-det-kostede-
50-kroner-at-laegge-nemid-ned
Populært dansk webmedie
spreder malware efter hackerangreb 30. januar 2013 - 14:04
Et hackerangreb har ramt de populære hjemmesider
mobilsiden.dk og mobilpriser.dk, hvilket har fået ejeren til
at lukke begge sider ned. Besøg kan resultere i, at
brugernes computere inficeres med skadelig software.
Det danske webmedie Mobilsiden.dk er blevet hacket, og
besøg på siden kan resultere i, at brugerens computer
bliver smittet med skadelig software, også kaldet
malware.
Sitet er en populær nyheds- og
prissammenligningstjeneste, der hver måned besøges af
flere end 100.000 danskere.
http://www.version2.dk/artikel/ny-boelge-af-ddos-
angreb-rejseplanendk-lagt-ned-51530
Anonymous lægger KL's
hjemmeside ned med DDoS-angreb Hjemmesiden for KL, den ene part i den verserende
konflikt om lærernes overenskomst, blev mandag aften
lagt ned ved at bombardere hjemmesiden med besøg.
Af Jesper Stein Sandal Mandag, 8. april 2013 - 22:48
Mandag aften blev hjemmesiden for KL, Kommunernes
Landsforening, lagt ned af et distribueret denial-of-
service-angreb, DDoS-angreb.
Angrebet kom ifølge mx.dk, efter personer, som hævder
at være en del af Anonymous-bevægelsen, havde truet
med at udføre et DDoS-angreb mod KL's hjemmeside.
»Når Anonymous sagde, at de ville lægge vores side ned
på dette tidspunkt, så går vi stærkt ud fra, at det er
dem,« siger kommunikationschef Line Aarsland fra KL til
mx.dk.
http://www.version2.dk/artikel/anonymous-laegger-kls-
hjemmeside-ned-med-ddos-angreb-51420
Danmark under massivt cyberangreb Torsdag den 11. april 2013, 10:16
Hele NemID-systemet er tvunget i knæ, efter at
systemet hele formiddagen har været under
angreb fra ukendte gerningsmænd. Flere banker er
ved at lave nødindgange. Situationen er ustabil.
Siden i morges har Danmark været udsat for et
massivt cyberangreb, der har tvunget den officielle
danske digitale nøgle, NemID i knæ. Det betyder, at
det hverken er muligt at logge ind i netbanken, handle
aktier eller foretage sig noget som helst, der kræver
login via NemID.
http://www.b.dk/tech/
danmark-under-massivt-cyberangreb-0
3 nye malware
hvert sekund
90% organisationer
har malware
Kommercielle EXPLOIT KITS
bliver brugt af næsten alle CYBERKRIMINELLE
55% er uvidende om, at
de er blevet hacket
af alle målrettede angreb
er mod virksomheder med
mindre end 250 ansatte 31%
Worm
Outbreaks
Vulnerabilities
2001
Nye angreb nye tider
90 % af alle virksomheder har malware
Worm
Outbreaks
Vulnerabilities
CRIMEWARE
DA
MA
GE
CA
US
ED
2001 2004 2005 2007 2003
Spyware
Intelligent
Botnets
Web
Threats
Spam
Mass
Mailers Worm
Outbreaks
Vulnerabilities
Now
Targeted
Attacks
• Målrettede angreb (APT)
• Finansielt motiverede
• Zero-day malware
• 3 nye malware-varianter
frigives hvert sekund
Hvorfor bliver vi angrebet?
Angreb Politiske
Spionage
Konkurrenter
Kriminelle
Terrorisme
Cyberkrig
Accusations of Chinese Hacking in
Coke’s Failed Big Deal February 19, 2013, By MICHAEL J. DE LA MERCED
A new report on Chinese hackers depicts a wide-
ranging cyberwar campaign against an array of
American targets, from computer security providers to
power plant suppliers.
But according to The New York Times, a big deal by
the Coca-Cola Company that ultimately failed was also
in the sights of the Chinese army’s hacker corps.
In 2008, Coca-Cola bid about $2.4 billion for the China
Huiyuan Juice Group, a beverage company based in
Beijing, in what would have been one of the biggest
foreign acquisitions ever in that country.
Six months later, Chinese regulators blocked the
proposed transaction on antitrust grounds, contending
that it would have given a foreign company too much
power over the domestic juice market. While China
Huiyuan’s investors largely supported the deal, the
transaction raised nationalist hackles within the
general public.
Forretningshemmeligheder stjæles og
misbruges - mistede konkurrencefordele
Tab af kundedata
Ansvar / risiko for handlinger
Regulatoriske krav "Breach Notification"
lovgivning
Negativ indvirkning på "brand value”
Tab af værdifulde informationer
Tab af troværdighed
Tab af offentlighedens tillid
Angreb - aktuel status
• Malware søger målrettet efter informationer
• Formålet er tyveri af følsom information
• Som ofte simpel økonomisk berigelseskriminalitet
• Målrettede angreb - tyveri af intellektuelle værdier
• Angrebsmål og -metoder
• Angreb, der omgår perimeterforsvaret
• Angreb mod brugere
• Social engineering-angreb f.eks. phishing
• Angreb målrettet sociale netværk
• Truslerne er blevet webbaserede
• Indirekte angreb rettet mod klienter
• Indirekte angreb via betroede eksterne tredjeparter
• Sårbarheder og avancerede dag-0 angreb
• Hurtig udnyttelse af sårbarheder
• Udnyttelse af ukendte sårbarheder – dag-0
Malware - Udviklingsproces
• Mange forskellige varianter af samme malware fremstilles automatisk forud for et angreb • Kun varianter, der kommer
igennem kvalitetstestningen (=omgår antivirus) bruges i selve angrebet
• De nye varianter frigives med jævne mellemrum for konstant at være foran antivirus mønster opdateringerne
Sløring og kvalitetstestning
Original Malware Permutationer Kvalitetstestning Deployering
Afvist hvis detekteret af anti-virus software
Malware er vidt udbredt og kan fremstilles så det omgår
det traditionelle perimeterforsvar og anden beskyttelse
Januar 2014 – ca. 9
mio. nye malware
= 3½ i sekundet
Malware as a Service
• Source: www.turkojan.com
Malware udbydes til salg for
$249 med en serviceaftale,
der bl.a. garanterer
udskiftning af malwaren,
såfremt den spores af et
antivirus program inden for 9
måneder.
Malware målrettet danske brugere
Spionage – efter Edward Snowdens afsløringer
• Hvad vi alle sammen godt vidste: Stater har ikke venner – kun interesser….
• Omfanget og systematikken er måske lidt overraskende
• Bred vifte af metoder til spionage: • Aflytning • Data fra teleselskaber • Hacking og bagdøre • Svagheder i produkter • Svagheder i protokoller • Indbyggede bagdøre • Massiv data- og lagerkapacitet • Data mining • Samarbejde med andre lande
• Sætter fokus på, at det rent faktisk foregår
Det må antages at informationer på internettet bliver kompromitteret
Præsentation ”Det globale Internet – Trusler”, 6. november 2008
Statssponsoreret hacking
Kilde: The
Independent
.Tuesday 22
April 2014
Tidslinje - angreb
Udfordringer - angreb og metoder 66% af kompromitteringerne
opdages først efter flere måneder
36% af kompromitteringerne er først
fjernet flere uger efter opdagelse
Selve angrebet tager typisk højst
ganske få timer
Analyse fra FireEye 2014 viser
at virksomheder gennemsnitligt
er kompromitterede i 246 dage
før det opdages….
Angreb opdages langsomt og tilfældigt
Opdagelse af angreb - hastighed Opdagelse af angreb - hvordan
af alle organisationer var flere
måneder eller år om at opdage det
initiale indbrud 66%
Percent of breaches that remain
undiscovered for months or more
af alle hændelser blev
opdaget af eksterne
82%
af alle hændelser blev
tilfældigt opdaget internt
12%
af alle hændelser blev
aktivt opdaget internt
Kun 6%
… så det normale er, at der efter nogle måneder kommer
nogle eksterne og fortæller, at vi er blevet hacket…
Analysevirksomheder opfordrer til handling
"You need to know what's accessing the data, how the data's being used, and what's happening on your network."
John Kindervag
Principal Analyst Serving Security & Risk Professionals
Forrester Research, Inc.
"We must assume we will be compromised and must have better detection capabilities in place that provide visibility as to when this type of breach occurs."
Neil MacDonald VP and Gartner Fellow
Gartner, Inc.
14
"Hardening existing security defenses... won't be enough to deal with the sophistication and perseverance of APTs."
Jon Oltsik Senior Principal Analyst,
Enterprise Strategy Group
Adoption of Advanced Threat Detection
Strategi i forhold til APT-angreb
Source: Gartner (June 2013)
Strategies for Dealing With Advanced Targeted Attacks June 2013 Figure 1. Magic Quadrant for Network Access Control
DAM = digital asset management; DAST = dynamic application security testing;
DLP = data loss prevention; IPS = intrusion prevention system; NAC = network
access control; SIEM = security information and event management
At forsvare sig mod
målrettede angreb
kræver Lean-Forward-
teknologi og –processer.
De målrettede angreb,
der ofte betegnes APT-
angreb, omgår det
eksisterende (perimeter)
forsvar og forårsager
betydelige skader på
virksomheden.
Virksomheder bør derfor
fokusere på at reducere
antallet af sårbarheder og
øge overvågningen (af
infrastrukturen) med
henblik på hurtigt at
kunne spore trusler og
reagere på angreb.
.
Today’s Attacks: Social, Sophisticated, Stealthy!
Attacker
Moves laterally across network
seeking valuable data
Establishes Command
& Control server
Extracts data of interest – can go
undetected for months!
$$$$
Gathers intelligence about
organization and individuals
Targets individuals
using social engineering
Employees
spor, analyser, tilpas og reager.
Network-wide
Detection
Advanced
Threat Analysis
Threat Tools
and Services
Automated
Security Updates
Threat
Intelligence
Custom
Sandboxes
Detect .. malware,
kommunikation
og adfærd som
ikke fanges af
det normale
forsvar
Analyze ..risikoen og
karakteristika
fra angrebet
og angriberen
Adapt ..sikkerhed
automatisk (IP
”black” lister
og
signaturer...)
Respond ..ved at bruge
indsigt til
udarbejdelse
af blokeringer
eller
udarbejdelse
af nye
signaturer
Custom Defense
Network Admin Security
Identificer infektionskilder i netværket
Indblik i dit netværk
• Hvilke maskiner på dit netværk er blevet inficeret?
• Hvilke maskiner på dit netværk sender data ud af virksomheden?
• Hvilke maskiner er blevet blokeret?
Indblik på den enkelte computer
Dubex POC hos dansk produktionsvirksomhed, maj 2013
FireEye has identified call backs where malicious files and / or infected
endpoints are trying to establish connections to command and control
and control servers located in China, Hong Kong, U.S and Russia.
Dubex POC med FireEye, maj 2013
• FEAuto.Binocolo (12 Registered Events)
FEAuto.Binocolo is a revolutionary technology developed by FireEye
that enables FireEye appliances to detect the presence of previously
unknown malware like Botnets, Trojans, APT, etc. without any prior
knowledge or need of a signature. If you are seeing this event it
means the source host generating this communication is infected by
malware and immediate measures should be taken in order to clean
this host.
Dubex POC med Deep Discovery hos dansk kommune, april 2013
Dubex POC med Deep Discovery hos dansk kommune, april 2013