advanced malware: bedrohungslage und konkrete schutzstrategien€¦ · advanced malware:...
TRANSCRIPT
Advanced Malware:
Bedrohungslage und
konkrete Schutzstrategien
26. Juni 2017
Christian Schwarzer, Co-CEO
Arten von Malware:
Ein Klassifizierungsversuch
«Klassische» Malware
Viren, Würmer, Spyware, Trojaner und allgemein
Malware mit «Signatur»
Generisch und weit verbreitet
Anti-Virus (AV) Software ist effektiver Schutz
Beispiele:
Melissa
I LOVE YOU
Generische Malware, die von AV nicht erkannt wird
(«signaturlos»)
Intelligente Features und Evasions-Techniken
Zunehmende Verbreitung infolge Exploit-Kits
Beispiele:
Zero-Day Exploits
Bot-Netze
Ransomware
Generische
Advanced Malware
Gezielte
Advanced Malware
Hoch-spezifische Malware speziell entwickelt für
Angriff auf bestimmtes Ziel (Advanced Persistent
Threat: APT)
Professionelle Angreifer
Entwickelt sich typisch entlang einer «Kill-Chain»
Beispiele:
Gezielte Angriffe auf Industrien wie
Finanz, Energie / Infrastruktur und
Behörden
“Kill-Chain”:
Typischer Verlauf eines gezielten Angriffs (APT)
UNBEFUGTE VERWENDUNG VON ACCOUNTS
BEKANNTE & UNBEKANNTE MALWARE COMMAND & CONTROL AKTIVITÄTEN VERDÄCHTIGER NETZWERK-VERKEHR DATEI-ZUGRIFF DURCH ANGREIFER MISSBRAUCH VON TOOLS/ PROGRAMMEN LOG-FILES
INITIALE KOMPROMIT-TIERUNG BRÜCKENKOPF ERRICHTEN PRIVILEGIEN AUSWEITEN INTERNE RECONNAIS-SANCE MISSIONSZIEL ERREICHEN
LATERALE
BEWEGUNG
PRÄSENZ
ERHALTEN
ANZEICHEN EINER KOMPROMITTIERUNG
Quelle: FireEye
Malware-Aktoren: Klassische Sicht mit Unterscheidung nach Motivation und Zielen
Quelle: FireEye
Crimeware Aktoren
(Cybercrime Gruppen)
Hacktivists
(Anonymous, LulzSec)
APT Aktoren
(Nation-State)
Malware-Aktoren
In Realität schwierig zuordenbar
Hacktivists
APT Aktoren
(Nation-State)
CrimewareAktoren
(Cybercrime Gruppen)
Quelle: FireEye
Advanced Malware:
Einzigartig, intelligent und ohne «Signatur»
Neue Threats
pro MinuteThreat-Industrie und breit verfügbare Malware-Kits
Catch-rate mit
Antivirus
Polymorphe und signaturlose Malware
45%
327
Intelligente Malware (Timer, Evasion, Sandbox
Detection)Firmen denken, dass sie versteckte
Malware haben89%
Malware spezifisch nur in einer FirmaGezielt entwickelte Malware
70%
Quellen: McAfee, WSJ, Sans.org, Avecto
Angriffskanäle und Angriffsvektoren
USBWebMail
87% 12% 1%
Quelle: Unit 42, Bromium
Phishing
Spear-PhishingDrive-By Downloads
Watering-Hole Attacks
Kanäle
Vektoren
Vulnerabilities
1. Regelmässiges Patching
2. Minimales System (Komplexität vermeiden)
3. «Least privileges» (Keine Admin-Rechte)
4. Mehrschichtige Security
5. Den schwächsten Link absichern
6. Starke Authentisierung
7. Segregation of Duties (Funktionstrennung)
Security Prinzipien:
Grundsteine der Malware-Bekämpfung
Mehrschichtige Security
Firewall & Netzwerk
Web-GatewayMail-
Gateway
Endpoint
User
Server
1
2 3
4 5
6
1
Firewall
Traffic-Control, Segmentierung, IPS
Traffic-Analyse
6
2
3
4
5
Web-Gateway
URL-Filter, Webreputation
Content-Filter, AV, Anti-Malware
Mail-Gateway
Anti-Spam
Content-Filter, AV, Anti-Malware
Endpoint
AV, Anti-Malware
Authentisierung, Remote Access
«Mobile» ist auch ein Endpoint
Server
Data- und Application-Security
AV, Advanced Malware Security
User
Awareness (z.B. Phishing)
Policies / «Kultur»
Endpoint Security: Schutz über den ganzen Lebenszyklus eines Angriffs
Prevention
• Verhinderung der Ausführung von Schadcode basierend auf : (a)Analyse, (b) Prediction oder (c) Isolation
Detection
• Schädlichen Code zu Laufzeit erkennen (z.B. durch Verhaltens-Analyse)
Response
• Unmittelbar oder nach-gelagert auf eine Bedrohung oder deren Impact reagieren (z.B. befallenen Client isolieren)
Investi-gation
• Identifikation von kompromit-tierten Assets
• Analyse von Angriffsmustern und Angreifer-Verhalten
Remedi-ation
• Wiederherstel-lung des Ursprungs-zustands und Bereinigung (z.B. Rollback des Clients)
Pre-Execution
Execution
Post-Execution
Endpoint Security Market Overview
Quelle: Momentum Partners
Gartner: Endpoint Protection Quadrant
NSS – Labs
AVANTEC Endpoint-Security Vergleich (Auszug)
Kategorie Prevention Prevention Prevention Detection/ Remediation
Detection/Investigation
Prevention /Investigation
Kern-Technologie
Isolation durch Micro-VM
• App. Control• Privilege Mgmt• Content
Isolation
Pre-ExecutionAnalyse von Files
mit AI
Behaviour-Analyse und Roll-Back
Analyse (Korrelationen)
und Forensik
Real Time EDR
OS Windows / Mac (nur Web)
Windows / Mac Windows / Mac Windows / Mac Windows / Mac Windows / Mac
Mgmt.-Konsole
On premise On premise Cloud Cloud On premise Cloud / On premise (CbDefense nur
Cloud)
Citrix VDI (Terminal Services
under investigation)
Ja Ja Ja Ja Ja
AV-Ersatz Nein Nein Nein Nein Ja* (mit HX ab Ende
2017)
Cb DEFENSE: jaCb RESPONSE:
nein
Offline-Schutz
Ja Ja Ja Partiell Ja Partiell
Usability Hoch Hoch (für eine White-Listing
Lösung)
Hoch Hoch Hoch Hoch
Investigation-Funktionen
Threat Summary, Attack story,BEM Filter,
IOC Search (Hash)
Audit-TrailApplikationsverwe
ndung und Privilegien
Cylance Optics Attack Story Line Analytics und Forensics
Cb Response: Umfangreichste
Logging, Filter und Such-Tools für IR
und Hunting
Get the basics right:
Security-Prinzipien umsetzen
Generell: So viel Prevention wie möglich
Kein “one size fits all” bei Anti-Malware Lösungen:
Zusammenspiel der verschiedenen Layer
Risiko-basierter-Ansatz: Kosten vs. Nutzen und akzeptable Rest-Risiken
Organisatorische und kulturelle Voraussetzungen (Impact auf Endbenutzer)
Malware Protection “ganzheitlich” angehen
Advanced Malware Protection:
Schlussfolgerungen und Empfehlungen
BACKUP SLIDES
Referenzen
Dienstleistungszyklus
Optimale Beratung gemäss Ihren Bedürfnissen
Überzeugende Konzepte dank Erfahrung und Kompetenz
Effiziente Evaluation im Rahmen einer Teststellung
Erfolgreiche Projekt-realisierung inkl. Know-how Transfer
Hochwertiger Support
Kontinuierliche Betreuung seitens Verkauf und Technik