© 2013 Cassidian Cybersecurity – All rights reserved
Cyber-IntelligenceVom “Need -to-Know” zum “Need -to-Share”
ITSecX, St. Pölten, 08.11.2013
Dr. Tobias Kiesling, Cassidian CyberSecurity<[email protected]>
© 2013 Cassidian Cybersecurity - All rights reserved
EinleitungWandel im Bereich der Cyber-Sicherheit
� Erhöhung der öffentlichen Wahrnehmung zum Thema Cyber-Sicherheit� Vielzahl von Vorfällen� Politische Initiativen auf EU- und nationaler Ebene� NSA-Skandal!
� Deutlicher Wandel der Bedrohungslage in den letzten Jahren� Früher: Viele ungezielte Angriffe mittels Viren und Würmern� Jetzt: Bedrohungen gehen mehr von organisierten Akteuren aus
� Notwendigkeit für eine umfassende und übergreifende Behandlung des Themas Cyber-Sicherheit
08.11.2013Cyber-Intelligence // Dr. Tobias Kiesling
// Page 3
© 2013 Cassidian Cybersecurity - All rights reserved
EinleitungDominanz organisierter Akteure
� Organisierte Kriminalität und Staaten als Hauptakteure� Verfügbarkeit von Ressourcen� Zeithorizonte� Professionalität
// Page 4Cyber-Intelligence // Dr. Tobias Kiesling
08.11.2013
Quelle der Daten: Verizon – 2013 Data Breach Investigations ReportQuelle der Daten: Mandiant – M-Trends Report 2013 sowie eigene Daten CCS
0 20 40 60
Sonstige/Unbekannt
Einzeltäter
Staatlichgesponsort
OrganisierteKriminalität
Finanziell
Spionage
Sonstige
317
243
CCS Mandiant
Ent
deck
ungs
daue
r in
Tag
en
© 2013 Cassidian Cybersecurity - All rights reserved
37%
42%
15%
2%
Quelle der Entdeckung von Einbrüchen
Intern erkannt
Von Strafverfolgung
Von Lieferanten
Von Kunden
EinleitungEntdeckung von Einbrüchen
� Rund zwei Drittel der Einbrüche auf Grund von externen Hinweisen erkannt
// Page 5Cyber-Intelligence // Dr. Tobias Kiesling
08.11.2013
Quelle der Daten: Mandiant – M-Trends Report 2013
© 2013 Cassidian Cybersecurity - All rights reserved
EinleitungProfessionalisierung
// Page 6Cyber-Intelligence // Dr. Tobias Kiesling
08.11.2013
© 2013 Cassidian Cybersecurity - All rights reserved
Gliederung
� Einleitung� Advanced Persistent Threats� Cyber Intelligence� Threat-Indikatoren� Strategische Lagebilder� Fazit
// Page 7Cyber-Intelligence // Dr. Tobias Kiesling
08.11.2013
© 2013 Cassidian Cybersecurity - All rights reserved
Advanced Persistent Threats
• Nutzung ausgeklügelter Technologien und VorgehensweisenAdvancedAdvanced
• Missions-Orientierung des Angreifers; Langfristige Zielverfolgung; Infektion und Re-Infektion
PersistentPersistent
• Zielgerichtete und kontrollierte Bedrohung; kein wildes Verbreiten von Malware
ThreatThreat
// Page 8Cyber-Intelligence // Dr. Tobias Kiesling
08.11.2013
Begriff
© 2013 Cassidian Cybersecurity - All rights reserved
Advanced PersistentThreatsVorgehensmodell
// Page 9Cyber-Intelligence // Dr. Tobias Kiesling
08.11.2013
Quelle: http://www.secureworks.com/cyber-threat-intelligence/advanced-persistent-threats/understand-threat/(Veröffentlicht unter Creative Commons Public License (CCPL) Attribution-ShareAlike -- siehe http://creativecommons.org/licenses/by-sa/3.0/legalcode)
© 2013 Cassidian Cybersecurity - All rights reserved
Advanced Persistent ThreatsKonsequenzen für den Verteidiger
� Ganzheitliche Cyber-Sicherheit als kontinuierlicher zyklischer Prozess mit Einbindung in unternehmerisches Risikomanagement und Enterprise-Architekturen
� Kenntnis gegnerischer Strategie, Technik und Taktik notwendig
// Page 10Cyber-Intelligence // Dr. Tobias Kiesling
08.11.2013
Wenn du deinen Gegner und dich selbst kennst, brauchst du dich vor einhundert Kämpfen nicht zu fürchten.
Wenn du dich selbst kennst, nicht aber deinen Gegner, wirst du zu jedem Sieg auch eine Niederlage erfahren.
Wenn du weder dich selbst noch deinen Gegner kennst, wirst du jede Schlacht verlieren.
-- Sun Tzu, „Die Kunst des Krieges“
© 2013 Cassidian Cybersecurity - All rights reserved
Gliederung
� Einleitung� Advanced Persistent Threats� Cyber Intelligence� Threat-Indikatoren� Strategische Lagebilder� Fazit
// Page 11Cyber-Intelligence // Dr. Tobias Kiesling
08.11.2013
© 2013 Cassidian Cybersecurity - All rights reserved
Cyber IntelligenceBegriffsbestimmung
� Definition nach CMU-SEI1
„The acquisition and analysis of information to identify, track, and predict cyber capabilities, intentions, and activities that offer courses of action to enhance decision making.“
� Verbesserung der Entscheidungsfindung [in Bezug auf Handlungsoptionen im Bereich Cyber-Sicherheit]
� durch Identifikation, Verfolgung, Vorhersage von [gegnerischen]Fähigkeiten, Absichten und Aktivitäten im Cyber-Bereich
� mittels Sammlung und Analyse von Informationen
// Page 12Cyber-Intelligence // Dr. Tobias Kiesling
08.11.2013
1 T. Townsend, M. Ludwick, J. McAllister, A. O. Mellinger, K. Ambrose Sereno: SEI Emerging Technology Center: Cyber Intelligence Tradecraft Project – Summary of Key Findings. CarnegieMellon Software Engineering Institute. 2013.
Auch als Threat Intelligence bezeichnet
© 2013 Cassidian Cybersecurity - All rights reserved
Cyber IntelligenceEinteilung der Nutzung
// Page 13Cyber-Intelligence // Dr. Tobias Kiesling
08.11.2013
Threat Intelligence
Management
Security Operations
Environment
Strategic Analysis
Functional Analysis
Data Gathering
© 2013 Cassidian Cybersecurity - All rights reserved
Cyber IntelligenceNeed-to-Share
� Funktionale und strategische Analyse� Aufwand, Know-How, Analysefähigkeiten� Von einzelnen Organisationen i.d.R. nicht leistbar
� Datensammlung� Global agierende Bedrohungen � isolierte
Datenbasis ungenügend� Organisationsübergreifender Datenabgleich nötig
� Aber Realisierung des Austausches schwierig� Rechtliche Regelungen, Datenschutz� Vertraulichkeit firmeninterner Daten� Wirtschaftlicher Wert von Daten
// Page 14Cyber-Intelligence // Dr. Tobias Kiesling
08.11.2013
Need-to-Share
Need-to-Know
?
© 2013 Cassidian Cybersecurity - All rights reserved
Cyber IntelligenceKategorisierung
// Page 15Cyber-Intelligence // Dr. Tobias Kiesling
08.11.2013
Funktional/Taktisch: Threat-Indikatoren
Funktional/Taktisch: Threat-Indikatoren
• Detailcharakteristiken von Threats für Detektion & Analyse auftretender Bedrohungen
• Manuell oder (teil-) automatisiert
• Bei vielen Tool-Herstellern Teil des Geschäftsmodells
Strategisch: Lagebilder
Strategisch: Lagebilder
• Unternehmen: Nutzung im Rahmen des Risiko-Managements
• Politik: Grundlage für politische Entscheidungen
• Aggregation einer größeren Datenbasis
• Qualitative und v.a. quantitative Aspekte
© 2013 Cassidian Cybersecurity - All rights reserved
Gliederung
� Einleitung� Advanced Persistent Threats� Cyber Intelligence� Threat-Indikatoren� Strategische Lagebilder� Fazit
// Page 16Cyber-Intelligence // Dr. Tobias Kiesling
08.11.2013
© 2013 Cassidian Cybersecurity - All rights reserved
Threat-IndikatorenEin Angriffsmodell: Die Cyber Kill Chain
// Page 17Cyber-Intelligence // Dr. Tobias Kiesling
08.11.2013
Steigendes Risiko und Kosten für Response
© 2013 Cassidian Cybersecurity - All rights reserved
� Ist-Stand: Bedrohung meist erst spät erkannt
� Besser: frühere Erkennung und einfachere Response
Threat-IndikatorenDie Cyber Kill Chain attackieren
// Page 18Cyber-Intelligence // Dr. Tobias Kiesling
08.11.2013
DetektionAnalyse
DetektionAnalyse Synthese
© 2013 Cassidian Cybersecurity - All rights reserved
Threat-IndikatorenThreat Indicators
� Charakteristiken von Bedrohungen
� Zuordnung zu einzelnen Phasen der Kill Chain
� Nutzung für spätere Detektion und Analyse
� Beispiel� Spear Phishing Attacke� E-Mail mit maliziösem
PDF-Dokument im Anhang
� Mehrere Empfänger
Phase Indikator
Reconnaissance [Empfängerliste]Datei: tcnom.pdf
Weaponization Verschlüsselungsalgorithmusund Schlüssel
Delivery dn…[email protected]: 60.abc.xyz.215Betreff: AIAA Technical Com[Email body]
Exploitation CVE-2009-0658[shellcode]
Installation C:\...\fssm32.exeC:\...\IEUpd.exeC:\...\IEXPLORE.hlp
C2 C2-Server-IP: 202.abc.xyz.7
Actions N/A
// Page 19Cyber-Intelligence // Dr. Tobias Kiesling
08.11.2013
Beispiel aus: E.M. Hutchins, M.J. Cloppert, R.M. Amin: Intelligence-Driven Computer Network Defense – Informed by Analysis of Adversary Campaigns and Intrusion Kill Chains; Lockheed Martin Corporation, 2009.
© 2013 Cassidian Cybersecurity - All rights reserved
Threat-IndikatorenVergleich von Indikatoren
// Page 20Cyber-Intelligence // Dr. Tobias Kiesling
08.11.2013
Ang
riff 1
Ang
riff 2
Zie
l AZ
iel B
Ver
schl
üs-
selu
ng
Que
ll-IP
She
llcod
e-H
ash
Dat
eina
me
Pro
toko
ll
Pas
swor
t-D
iebs
tahl
© 2013 Cassidian Cybersecurity - All rights reserved
Threat-IndikatorenThreat-Indikatoren: Need -to-Share
� Ansatz des Indikatoren-Vergleichs funktioniert v.a. bei ausreichender Datenbasis� Austausch bringt direkten Mehrwert� Indikatoren alleine nicht sehr nützlich � Kontext!
� Aber: Vertraulichkeit und Datenschutz� Beispiel: E-Mail-Body, Attachments, E-Mail-Adressen, aber auch:
IP-Adressen und evtl. Dateipfade� Manueller vs. automatisierter Austausch
� Reichen aktuelle Anreize für Informationsaustausch aus?
// Page 21Cyber-Intelligence // Dr. Tobias Kiesling
08.11.2013
© 2013 Cassidian Cybersecurity - All rights reserved
Threat-IndikatorenIndicators of Compromise: Need -to-Know
� Beispiele derzeitiger Nutzung� Bsp.: Indicators of Compromise von Mandiant, Snort-Regeln� Hauptsächlich proprietäre-Ansätze – allenfalls Pseudo-Standards
� Anreize durch Einbindung des Austausches in Geschäftsmodelle
� Probleme in aktuellen Ansätzen� Keine ausreichende inhärente Berücksichtigung des Datenschutzes� Länderspezifische rechtliche Regelungen und komplexe
Vertrauensbeziehungen erlauben keine „One-size fits all“-Lösung
// Page 22Cyber-Intelligence // Dr. Tobias Kiesling
08.11.2013
Aufbrechen proprietärer Ansätze essentiell notwendig
© 2013 Cassidian Cybersecurity - All rights reserved
Gliederung
� Einleitung� Advanced Persistent Threats� Cyber Intelligence� Threat-Indikatoren� Strategische Lagebilder� Fazit
// Page 23Cyber-Intelligence // Dr. Tobias Kiesling
08.11.2013
© 2013 Cassidian Cybersecurity - All rights reserved
Strategische LagebilderGrundlagen und Einsatzbereiche
� Strategische Entscheidungsgrundlage� Wirtschaftlich: Investitionsentscheidungen
und Risk-Management� Politisch: politische Inititiativen,
Gesetzgebung, Förderung
� Meist unter großem Aufwand manuell erstellt� Lagebild Cybercrime des deutschen BKA� Diverse Studien und Berichte zur Cyber-
Sicherheit (z.B. Verizon DBIR, IBM X-Force-Report, uvm.)
� Wünschenswert wäre stärkere Automatisierung
// Page 24Cyber-Intelligence // Dr. Tobias Kiesling
08.11.2013
© 2013 Cassidian Cybersecurity - All rights reserved
Strategische LagebilderBsp.: Sicherheitstacho der Deutschen Telekom
// Page 25Cyber-Intelligence // Dr. Tobias Kiesling
08.11.2013
Que
lle: h
ttp://
ww
w.s
iche
rhei
tsta
cho.
eu/
© 2013 Cassidian Cybersecurity - All rights reserved
Strategische LagebilderNeed-to-Share
� Ausreichende Datenbasis notwendig� Sammeln der Daten über Organisationsgrenzen hinweg� Vertrauen als Grundlage für den Datenaustausch� Anreize für Datenbereitstellung?
� Gesetzliche Meldepflichten in der EU� Verpflichtung zur Meldung von Vorfällen� Angestoßen auf EU-Ebene durch NIS-Direktive des EU-
Parlamentes vom Februar 2013� Umsetzung in Gesetzen der Mitgliedsländer wird folgen� Aber: Details der technisch/organisatorischen Umsetzung offen
� Umsetzung sollte wirtschaftliche Interessen der Unternehmen berücksichtigen
// Page 26Cyber-Intelligence // Dr. Tobias Kiesling
08.11.2013
© 2013 Cassidian Cybersecurity - All rights reserved
Strategische LagebilderBeispiel: Cyber-Sicherheitslagebild des BSI
� Aufgabenbereich laut BSI� Nationales, dynamisches, neutrales, objektives und
belastbares Lagebild� Info-Quellen: BSI-intern, Hersteller, Dienstleister, CERTs, offene Quellen� Bereitstellung von Analysen, Maßnahmen und Handlungsempfehlungen an
Teilnehmer der Allianz für Cybersicherheit
� Status� Durchführung Proof-of-Concept� Anforderungserhebung und Entwurf des Lagebildes
� Hoher Anspruch des Lagebildes als „One-Size Fits All“-Lösung –Realistisch oder nicht?
// Page 27Cyber-Intelligence // Dr. Tobias Kiesling
08.11.2013
Alternativ: Schaffung eines Ökosystems durch Öffnun g von Schnittstellen
© 2013 Cassidian Cybersecurity - All rights reserved
Gliederung
� Einleitung� Advanced Persistent Threats� Cyber Intelligence� Threat-Indikatoren� Strategische Lagebilder� Fazit
// Page 28Cyber-Intelligence // Dr. Tobias Kiesling
08.11.2013
© 2013 Cassidian Cybersecurity - All rights reserved
FazitZusammenfassung und Schlussfolgerungen
� Veränderung der Cyber-Bedrohungslage: langfristig angelegte, zielgerichtete, und finanziell gut ausgestattete Bedrohungen
� Erfolgreiche Verteidigung benötigt Verständnis des Angreifers in Strategie, Taktik und Techniken
� Cyber Intelligence: Informationsgewinnung zu Bedrohungen� Nutzung auf strategischer und taktischer Ebene erfordert
Austausch von Daten über Organisationsgrenzen hinweg
� Dies ist inhärent in aktuellen technischen, wirtschaftlichen und politischen Entwicklungen zu berücksichtigen
// Page 29Cyber-Intelligence // Dr. Tobias Kiesling
08.11.2013
„Need-to-Share“ muss mit „Need-to-Know“ vereinbart werden – insbesondere in Bezug auf Vertraulichkeit und Datenschutz