RANSOMWARE VERTEIDIGUNGSSTRATEGIEN - Wenn Offence auf Defence trifft Christian Nowitzki - Principal Consultant Cyber Security & Business Security ...
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
RANSOMWARE VERTEIDIGUNGSSTRATEGIEN Wenn Offence auf Defence trifft Christian Nowitzki - Principal Consultant Cyber Security & Business Security Strategy, 17. März 2021
Agenda 1. Kurzvorstellung IT-Security Services @ NTT Data 3 2. Attackers Toolbox - Review 2018/19/20 4 3. Ein typischer Angriffsverlauf und geeignete Schutzmaßnahmen 5 4. Under Attack 6 5. Lessons learned 7 NTT DATA Deutschland 2
Agenda 1. Kurzvorstellung IT-Security Services @ NTT Data 3 2. Attackers Toolbox - Review 2018/19/20 4 3. Ein typischer Angriffsverlauf und geeignete Schutzmaßnahmen 5 4. Under Attack 6 5. Lessons learned 7 NTT DATA Deutschland 3
IT and Consulting for the World. 85% #1 of the Fortune Service 100 Delivery Quality are customers IT Outsourcing 109 #5 Bn $ IT Consultancy in Germany turnover #1 Top operator of Employer Data Centres Germany 2020 NTT DATA Deutschland 4
IT Security Services im Detail Strategie-Beratung • Risikoanalysen • Advisory Services • Transformation Services • Architecture Services Managed Security Services • Enterprise Security Program Services • Enterprise Security Monitoring • Security Device Management • Vulnerability Management • SecureCall Technologie-Beratung • Incident Response und Forensik • Engineering • Compliance • Assessment NTT DATA Deutschland 6
IT Security – unsere Kompetenzen Strategic Cybersecurity Consulting Business Cloud & Enterprise Cyber Applications Virtual Security Defense & Big Data IT/DC Security Architecture • ERP systems (SAP, JDE, • Identity Federation • Risk Assessments • SOC Consulting Dynamics) • CASB • Incident Readiness • LogManagement / SIEM • CRM systems (SAP, Oracle, • Encryption • ISO27001 Compliance • Vulnerability Management Microsoft, Salesforce) • DevSecOps • Merger & Acquisitions • Config Management • Collaboration systems • Enterprise Architecture Cons. • Incident Response (Microsoft, Windchill) • Consulting for CIO/CTO • Security Program Dev. Identity Digital GRC & Ethical Hacking & Key Workforce IIoT/ § Management & Mobility OT • Standardized, global • Authentication • Protecting Device & Data • Security Reporting/Scoring Methodology • Identity Management outside classic security • DS-GVO (GDPR) • Pentesting Management • Identity Governance perimeter • Tool based Realization System • Focus on User-Experience • Seamless User-Experience • Securing Industrial Machines • Agency Benchmarking • Passwordless, SSO at the desk and mobile • After Sales Processes • Reduced Time To Market • Service Design NTT DATA Deutschland 7
Agenda 1. Kurzvorstellung IT-Security Services @ NTT Data 3 2. Attackers Toolbox - Review 2018/19/20 4 3. Ein typischer Angriffsverlauf und geeignete Schutzmaßnahmen 5 4. Under Attack 6 5. Lessons learned 7 NTT DATA Deutschland 8
Attackers Toolbox – Review 2019/20 Emotet Trickbot Ryuk Malware Typ Trojaner (banking) Trojaner Ransomware Risiko Sehr hoch Sehr hoch Extrem hoch Verbreitung Weltweit, alle Branchen Weltweit, alle Branchen Weltweit, alle Branchen Verteilmechanismus E-Mail, Attachements, E-Mail-Attachement, Meistens nachgeladen Links download grab von Emotet Besonderheiten Polymorph Verwendet diverse C&C Löscht Backup Kopien Erkennt Sandboxen Server, verwendet MS- Inhaltserkennung (Mails) Task Scheduler Besteht aus untersch. Malware Standards, Code wird Programmen öfter neu geschrieben Gegenmaßnahmen Layered Defense Layered Defense Layered Defense
Agenda 1. Kurzvorstellung IT-Security Services @ NTT Data 3 2. Attackers Toolbox - Review 2018/19/20 4 3. Ein typischer Angriffsverlauf und geeignete Schutzmaßnahmen 5 4. Under Attack 6 5. Lessons learned 7 NTT DATA Deutschland 10
Ofence – Die Theorie Auskundschaften des Opfers Verwischen von Spuren Vorbereitende/ ablenkende Angriffe und/oder Lösegelderpressung VORGEHEN Kontinuierliche Beobachtung BEI EINEM Erstinfektion APT-ANGRIFF Ausspähen von Daten/Sabotage Ausspähen des Netzwerks von Systemen Übernahme weiterer Rechte
Ofence – Ein beispielhafter Verlauf aus der Praxis C&C Emotet lädt zusätzliche Tools, z.B. Trickbot, nach PowerShell Reconnaissance / Download Aufklärung Emotet Nachladen weiterer Tools Deakt. AV >_ Datensammlung Zugangsdaten stehlen Command line Emotet Trickbot Accounts übernehmen RYUK Macro weaponized Phishing oder document Spear Phishing E- Mail Analyse des Opfers Datendiebstahl Daten- verschlüsselung Datenverkauf Erpressung
Defence – Die Abwehrkette Scan-Erkennung Ereigniserkennung & -korrelation/ SIEM Perimeter Foren- (Server & Perimeter) Sicherheit Überwachung (Policy) C&Cmit Endpoint Security (EDR am IOC) Strikter URL Filter Anomalie- Emotet grabs Extern verfügbare additional Payload erkennung User Access Controls high Effektives Firewall Ruleset Informationen like Trickbot überwachen PowerShell EternalBlue patches Download Reconnaissance Emotet Ereigniserkennung & -korrelation/ SIEM Grabs additional Perimeter (Server & Perimeter) Payload(s) Security mit Web- Filter & ATP Strikter URL Filter Event detection / SIEM Sandbox, strikte E-Mail-AntiVirus Endpoint Security >_ Effektives Firewall Ruleset No saved PW in Browser Disable AV Separated Networks / MicroHarvest Data Segmentation policy und Anomalie- User Access / ESAE / MFA /Steals Zero Trust Trickbot PAM Credentials erkennung RYUK E-Mail-Sandbox Command Webfilter line / Sandbox Emotet Controls Macro high weaponized Least Privilege Phishing or Spear document Aufmerksame Multi Factor Authentication /MFA Phishing Mail Deaktivierung oder Mitarbeiter Ereigniserkennung am Perimeter, inkl. Einschränkung von Event Detection Office Macros source, target, data flow and quantity Kombiniertes DLP & DRM File integrity checks Least privilege SIEM EternalBlue Analyze the victim Stealing Data Encode Data patches Monitoring illegaler Daten-Handelsplätze Offline Backups Emergency & Recovery Plan Marketing Plan Selling Data Ransom Crisis extortion Management
Defence in depth is layered Defence – Am Beispiel Hafnium • Am 02.03. hat MS Patches bereit gestellt • Am 03.03. hat das BSI eine Warnmeldung heraus gegeben 1. Patchen • Seit dem 03.03, werden die Schwachstellen massiv von min. 10 Hackergruppen ausgenutzt • Die meisten Systeme wurde erst ab dem 04.03. aktiv angegriffen! • Bereits am 02.03. standen EndPoint- und IPS-Signaturen zur Verfügung 2. Absichern • http/s Zugriff auf Exchange blockieren • Seit dem 02.03. stehen IoCs für das Thread Hunting zur Verfügung 3. Prüfen • Überprüfen auf Webshells, unerlaubte Nutzung von Systemtools, Anmeldeversuche, … • Achtung: Keine Webshells zu finden, bedeutet nicht, dass sie nicht existierten! • Solange ein manipulativer Eingriff (Backdoor, Privilege Escalation) nicht 4. Incident Response ausgeschlossen werden kann, bleiben Sie im Modus der „Incident Response! • Kein Anmeldung mit Admin-Privilegien an einem potentiell infizierten System! NTT DATA Deutschland 14
Agenda 1. Kurzvorstellung IT-Security Services @ NTT Data 3 2. Attackers Toolbox - Review 2018/19/20 4 3. Ein typischer Angriffsverlauf und geeignete Schutzmaßnahmen 5 4. Under Attack 6 5. Lessons learned 7 NTT DATA Deutschland 15
Tag 1 – Impact (Ryuk) Einige Wochen nachdem Emotet implantiert wurde: • Trickbot wurde im Unternehmensnetzwerk entdeckt, hat aber bereits Domänenadminrechte und scant seit Wochen die internen Datenbestände ab, überträgt Daten an den Angreifer und infiziert kritische Systeme • Der Angreifer bemerkt seine bevorstehende Entdeckung und aktiviert die massive Reproduktion von Emotet, z.B. mittels Mails aus allen infizierten Office-Systemen • Der Firewall-Admin versucht die Kommunikation mit dem C&C-Server zu stoppen, kommt aber nicht hinterher und trennt daraufhin die Internetverbindung • Die MS Admins empfehlen einen kompletten Shutdown, das Management verlangt jedoch die Bereinigung der Systeme im laufenden Betrieb, um die Produktion nicht zu gefährden • Schon vor Tagen hat der Angreifer RYUK nachgeladen und über Nacht werden nun alle aktiv verwendeten Daten verschlüsselt (automatisiert, in Reihenfolge der Wichtigkeit) und die seit Tagen bereits verschlüsselten Backups sind plötzlich nicht mehr transparent • Bis zum nächsten Morgen sind alle Datenbestände verschlüsselt und es wird Lösegeld gefordert
Tag 2 – Catch the headless chickens • Welche Daten und Systeme sind betroffen? • Von welchen Systemen und Daten existieren “saubere” Backups? • Zahlen oder nicht zahlen? Umgebung bereinigen oder alles neu aufbauen? • Neu aufbauen! Jedes einzelne System? Alles? Die Directory Services auch? • Welche Partner (Insitute, Lieferanten, Kunden, …) sind zu informieren? • Existieren behördliche Meldepflichten? Wer hat wen, wann zu informieren? • Warum sind wir schon in der Presse? Wer hat das bei Twitter gepostet?? • Wir haben einen Notfallplan! Haben wir einen Notfallplan? Ist der noch aktuell? 1. Regel: Ruhe bewahren! 2. Regel: Melden Sie sich niemals mit einem Admin-Account an einem infizierten System an, während es noch mit dem Netzwerk verbunden ist! 3. Wenn Sie nicht vorbereitet sind, holen Sie sich einen erfahrenen Partner an Ihre Seite!
Tag 3 – Start (der Wiederherstellung) nach Plan (falls es einen gibt) Egal ob Lösegeld gezahlt wurde oder nicht: • Das Netzwerk, alle Systeme, alle Accounts sind als infiziert einzustufen und nicht vertrauenswürdig • Ob neben dem laufenden Betrieb oder harter Schnitt: Alle Systeme müssen neu installiert und alle Accounts neu erstellt werden. Alle Daten müssen entschlüsselt oder aus Backups wieder hergestellt werden. Dabei ist sicher zu stellen, dass nur saubere Backups wieder hergestellt werden. Einige Schutz-Systeme werden ausgetauscht werden müssen Wiederholen Sie in der Wiederherstellungsphase keine Fehler: Nutzen Sie die Gelegenheit und implementieren Sie ein Zero trust Model Segmentieren Sie das Netzwerk und prüfen Sie den Einsatz von Microsegmentierung Erhöhen Sie die Überwachungsfunktionen auf Ihre kritischen Systemen Überprüfen Sie Ihre Backup-Strategie
Day X – Welcome back (or not) • Herzlichen Glückwunsch, Sie sind zurück aus der Hölle! • Jetzt ist Zeit für einen Review im Rahmen eines Lessons learned • Analysieren Sie was geschehen ist und alle Fehler die Sie gemacht haben • Zeigen Sie nicht mit dem Finger auf Kollegen die Fehler gemacht haben! Sie haben Ihnen nur Ihre Schwächen (fehlende Trainings, Planung, Übungen, Technologien, …) • Aber am wichtigsten von allem: Ergreifen Sie die Chance und holen Sie Ihr Management an Bord. Optimieren Sie Ihre Cybersecurity-Fähigkeiten. Reduzieren Sie die Wiederherstellungszeiten. Erstellen Sie mit dem gelernten einen besseren Notfallplan. Etablieren Sie ein Cybersecurity Mindeststandard in Ihrem Unternehmen, Behörde, Institut, … • Holen Sie Ihr Management an Bord!
Agenda 1. Kurzvorstellung IT-Security Services @ NTT Data 3 2. Attackers Toolbox - Review 2018/19/20 4 3. Ein typischer Angriffsverlauf und geeignete Schutzmaßnahmen 5 4. Under Attack 6 5. Lessons learned 7 NTT DATA Deutschland 20
Erwarten Sie das schlimmste und seien Sie vorbereitet • Seien Sie kein Opfer. Bereiten Sie sich vor! • Optimieren Sie Ihre cyber resilience (technologisch, organisatorisch und prozessual) • Sensibilisieren und trainieren Sie Ihre Administratoren • Erstellen Sie Notfallpläne, für den Notbetrieb und die Wiederherstellung • Installieren Sie Software-Updates • Verwenden Sie Multi-Factor-Authentication • Trennen Sie (mindestens) Ihr Office- und Admin-/Technik-Netz • Beschäftigen Sie sich mit Zero-Trust und Layered Defense • Spielen Sie Angriffe & Datenflüsse am Infrastrukturschaubild oder am Whiteboard durch • Setzen Sie SIEM- und PAM-Systeme ein • Halten Sie Notfallrufnummern bereit • Beziehen Sie Ihr Management ein! • Bereiten Sie sich auf die nächste Angriffswelle vor!
Bleiben Sie vorbereitet • Überprüfen und aktualisieren Sie regelmäßig die Sicherheitskonzepte, (für alle Systeme und Netzwerke in Ihrem Unternehmen in Zusammenarbeit mit dem IT-Betrieb.) • Lassen Sie regelmäßig Netzwerkprüfungen und Penetrationstests durchführen, (um potenzielle Schwachstellen in Ihrem Netzwerk zu ermitteln.) • Hinterfragen Sie Ihre Backup-Strategie (offline backups!), • Erstellen Sie Notfallpläne und halten Sie diese aktuell, • sensibilisieren Sie Ihre Mitarbeiter regelmäßig (insbesondere für den sorgfältigen Umgang mit Dateianhängen und Links in E-Mails - auch von vermeintlich bekannten Absendern - sowie für die möglichen Gefahren von Makros in Bürodokumenten) • und üben Sie den Notfall.
Vielen Dank für Ihre Aufmerksamkeit! • NTT Data Incident Response & Forensics: dfir@nttdata.com • Strategic Cybersecurity Consulting: christian.nowitzki@nttdata.com
Sie können auch lesen