Technik vs. Mensch: Was nutzt ein hoher technischer Standard, wenn die Schwachstelle Mensch umgangen wird? - BSI
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
15. Deutscher IT-Sicherheitskongress
Technik vs. Mensch:
Was nutzt ein hoher technischer
Standard, wenn die Schwachstelle Mensch
umgangen wird?
Andreas Rieb (andreas.rieb@unibw.de)
Dr. Steffi Rudel (steffi.rudel@unibw.de)
Gefördert von
FKZ: 16KIS0213
Der Förderschwerpunkt ITSKRITIS
Förderschwerpunkt
„IT-Sicherheit für Kritische
Infrastrukturen“
im Rahmen des
Förderprogramms
„IKT 2020 - Forschung für
Innovationen“
vom 5. August 2013
Das Projekt VeSiKi
Vernetzte IT-Sicherheit
Kritischer Infrastrukturen
Monitor
IT-Security Matchplays
Fallstudien
…
3
Andreas Rieb
1998: Erster eigener Computervirus
2003 – 2015: Offizier der Luftwaffe mit
Schwerpunkt auf
IT-Sicherheit / Live-Hacking
2004 – 2008: Studium der Wirtschaftsinformatik
an der Universität der Bundeswehr
München
Seit 2012: brainsecurity
(Awareness-Beratung &
Live-Hacking)
Seit 07/2015: Wissenschaftlicher Mitarbeiter
an der Universität der Bundeswehr
4
Agenda
1. Motivation & State of the Art
2. IT-Security Matchplay
„Operation Digitales Chamäleon“
3. Datenauswertung
4. Zusammenfassung
5
Motivation & State of the Art
Motivation und Forschungsinteresse
Beobachtungen in der Praxis (Motivation):
• Starker Anstieg an erfolgreichen Cyberattacken
(BSI (2016a))
• Cyberattacken kombinieren technische und menschliche
Schwachstellen
• IT-Security Awareness Methoden berücksichtigen kaum
Wirkungszusammenhänge und Angriffsketten; meist
einzelne Angriffsvektoren
Unser Forschungsinteresse ist es
IT-Security Awareness für IT-Fachpersonal zu
steigern
die Aspekte Mensch und Technik kombiniert zu
betrachten
Hierzu wurde das IT-Security Matchplay
„Operation Digitales Chamäleon“ entwickelt.
7
Angriffe der Vergangenheit
Angriffe gegen ICS-Infrastrukturen
(BSI (2016a))
Top 3 Primärangriffe (BSI (2016a)):
1 Social Engineering und Phishing
2 Einschleusen von Schadsoftware über Wechseldatenträger und externe Hardware
3 Infektion mit Schadsoftware über Internet und Intranet
Siehe auch: ∑ APTs: 43
Kaspersky (2017) ∑ APTs: 31
(mit Filter „Social Engineering“)
8
IT-Security Awareness wird gefordert
IT-Security wird durch Maßnahmen im Bereich Infrastruktur,
Organisation, Personal, Technik verbessert
(BSI (2016b))
IT-Security Awareness ist eine Maßnahme zum Training
des Personals und ist fester Bestandteil des IT-
Sicherheitsmanagements
(z.B. ISO/IEC 27001:2013, BSI Grundschutzkatalog,
Zentrale Dienstvorschrift der Bundeswehr A-960/1)
„Mitarbeiter müssen für relevante Gefährdungen
sensibilisiert werden und wissen, wie sich diese auf ihre
Institution auswirken können. Denn je mehr sie sich damit
auskennen, desto eher akzeptieren sie entsprechende
Sicherheitsmaßnahmen. Sie müssen auch über die
erforderlichen Kenntnisse verfügen, um Maßnahmen richtig
verstehen und anwenden zu können.“
(BSI (2016b))
9
IT-Security Awareness in der Praxis
Empfehlungen gemäß ENISA (2008) Hohe Übereinstimmung
◦ Comics
◦ Computerunterstützte Schulung
◦ Flyer
◦ Newsletter
◦ Plakate
◦ Schulungen
◦ …
Empfehlungen gemäß BSI (2016b)
◦ Informationsbroschüren
◦ Videoclips
◦ Kurzvorträge
◦ …
10IT-Security Awareness mittels Planspielen
Bestätigung durch
Eindrücke der
Autoren:
Passive Teilnahme
Geringer Spaßanteil
Viele Themen binnen
kürzester Zeit
Keine Angriffsketten,
sondern vereinzelte
Angriffsvektoren
Meist keine
Evaluation
Bestätigung durch
wissenschaftliche
Beiträge
(z.B. Nagarajan et al. (2012),
Adams / Makramalla (2015))
(BSI (2016b))
11Related Work
Art: Computer-, Brett- und Übungen
Kartenspiele
Beispiele: • Kaspersky Industrial Protection • Cyber Shockwave
Simulation Business Game IT-Fachpersonal und Gesetzgeber
(IT-) Management • Locked Shields
• Elevation of Privilege 550 Teilnehmer von 26 NATO-Nationen
Softwareentwickler • Digital Pearl Harbor
• d0x3d Analysten, Strategen für die nationale
Studenten Sicherheit
• HATCH • LÜKEX 2011
allgemeine Mitarbeiter politische Entscheidungsträger,
• CyberCIEGE Betreiber Kritischer Infrastrukturen
Studenten • Combined Endeavor
• Game of Threats 1200 Teilnehmer aus Militär und
(IT-) Management Industrie
• … • …
• Übersicht über 200+ Übungen in (ENISA
(2015))
• Die meisten Spiele adressieren Endnutzer • z.T. mehrjährige Vorbereitung
oder das (IT-) Management • Große Teilnehmerzahl: 100+
• Z.T. Unklarheit über Evaluation • Meist internationale Ausrichtung
• Spieldauer meist zwischen 0 bis wenigen • Fokus liegt stark auf Krisenmanagement mit
Stunden Schwerpunkt auf Kommunikation und
Koordination
12IT-Security Matchplay „Operation Digitales Chamäleon“
Operation Digitales Chamäleon
14Das Spielkonzept von
„Operation Digitales Chamäleon“
Ziel:
• IT-Security Awareness-
Steigerung
Zielgruppe:
• IT-Fachpersonal auf
strategischer, konzeptioneller,
operativer Ebene
• Z.B. IT-Führungskräfte,
IT-Administratoren,
Sicherheitspersonal,
IT-Sicherheitspersonal,
Chief Risk Officer,
Standortsicherheit,
Process Owner
15Datenauswertung
Gespielte Spiele
„Operation Digitales Chamäleon“ (1/3)
# Zeit- Dauer des Dauer des Teil- Sektor Land
raum Trainings Spiels nehmer
1 10/ 3d 6h 11 Staat und Verwaltung (Polizei, DE
2015 Justiz)
2 01/ 5d 9h 9 Transport und Verkehr FR
2016 (Luftfahrt)
3 03/ 2d 6h 10 Staat und Verwaltung (Polizei) DE
2016
4 03/ 2d 10,5h 19 Staat und Verwaltung (Militär) DE
2016
5 05/ 2d 10h 15 Staat und Verwaltung (Militär) DE
2016
6 05/ 2d 10h 20 Staat und Verwaltung (Militär) DE
2016
7 07/ 2d 10,5h 17 Staat und Verwaltung (Militär) DE
2016
8 09/ 2d 11,7h 21 Sonstiges (Bildung), Staat und DE
2016 Verwaltung
Tabelle: Gespielte Spiele „Operation Digitales Chamäleon“ bis 01/2017
17Gespielte Spiele
„Operation Digitales Chamäleon“ (2/3)
# Zeit- Dauer des Dauer des Teil- Sektor Land
raum Trainings Spiels nehmer
9 10/ 2d 5,8h 11 Staat und Verwaltung (Polizei, DE
2016 Justiz)
10 11/ 2d 11,8h 14 Informationstechnik und DE
2016 Telekommunikation, Staat und
Verwaltung
11 11/ 2d 12,3h 15 Informationstechnik und DE
2016 Telekommunikation, Staat und
Verwaltung
12 12/ 2d 7,9h 15 Staat und Verwaltung (Militär) DE
2016
13 01/ 1d 4h 11 Sonstiges (Bildung) DE
2017
14 02/ 1d 3h 9 Energie, Transport und DE
2017 Verkehr, Staat und Verwaltung,
Finanz- und
Versicherungswesen, Medien
und Kultur
15 03/ 3d 12,1h 14 Staat und Verwaltung (Polizei), DE
2017 Sonstiges (Bildung)
Tabelle: Gespielte Spiele „Operation Digitales Chamäleon“ bis 03/2017 (Fortsetzung)
18Gespielte Spiele
„Operation Digitales Chamäleon“ (3/3)
∑ Dauer der Spiele = 130,6h
∑ Dauer der Trainings = 33d
∑ Länder =2
∑ Teilnehmer = 214
(darunter CERTs, LKAs,
IT-Top-Management u.a.)
∑ Blaue Teams = 15
∑ Rote Teams = 27
19Angriffe
Angriffe gegen ICS-Infrastrukturen
„Operation Digitales
Chamäleon“ bildet realistische
(BSI (2016a))
Angriffsszenarien ab, die der
aktuellen Bedrohungslage
entsprechen.
Top 3 Primärangriffe (BSI (2016a)): Anzahl der Angriffsvektoren im
Primärangriff in „Operation
Digitales Chamäleon“
1 Social Engineering und Phishing* 11
2 Einschleusen von Schadsoftware über Wechseldatenträger 25
und externe Hardware
3 Infektion mit Schadsoftware über Internet und Intranet 3
*
Gemäß Monitor „IT-Sicherheit Kritischer Infrastrukturen“ ist
Phishing in den Top 3 der Angriffe gegen Kritische
Infrastrukturen
(siehe: https://monitor.itskritis.de/)
20Ausgewähltes Beispiel 1: Landeskriminalamt (Spiel #3)
Threat Actor: Hacktivists
Spielmodell: Polizeidienststelle
Angriffskette:
Einschleusen eines Hacktivisten als Praktikanten
Kompromittierung des eigenen PCs mit Hardware-Keylogger
Social Engineering („Druckerproblem“), um
Administrator dazu zu bewegen sich am Praktikanten-
PC lokal anzumelden.
Nutzung der Administrator-Rechte, um sich Zugang zur
Datenbank zu beschaffen.
[…]
Ziel: Offenlegung von Daten (z.B. Straftäter)
Zielassets: Clients, Datenbank
21Ausgewähltes Beispiel 2: CERTs und IT-Management (Spiel #11)
Threat Actor: Nation States
Spielmodell: Militärflugplatz
Angriffskette:
Einbruch ins Home Office
Kompromittierung des Laptops mit bootbarer Schadsoftware
via USB-Stick [fail]
Phishing [fail]
Nutzung von OSINT zur Suche nach belastendem
Material
Erpressung
◦ Installation eines Remote Access Tools via DVD
Lateral Movement mit Zero-Day Exploits
[…]
Ziel: Spionage
Zielassets: Datenbank, Domain Controller, E-Mailserver
[fail] = der Angriffsvektor ist auf Grund der Schutzmaßnahmen des blauen Teams gescheitert 22Ausgewähltes Beispiel 3: Bundeswehr (Spiel #7)
Threat Actor: Cyber Criminals
Spielmodell: Militärflugplatz
Angriffskette:
Nutzung von OSINT zur Suche nach Interessen
hochrangiger Mitarbeiter
Spear Phishing zur Kompromittierung des privaten
Smartphones
Anzapfen des Mikrofons des Smartphones zum Mithören
während Besprechungen und anderen vertraulichen
Gesprächen
Ziel: Geld durch Verkauf der Daten
Zielassets: Clients, Datenbank
23Zusammenfassung
Angriffsketten und -vektoren
Schutzmaßnahmen werden im IT-Security Matchplay
sowie in der Realität durch Angriffsvektoren auf den
Menschen unterlaufen.
Angriffsvektoren auf die Technik werden häufig mit
Angriffsvektoren auf den Menschen kombiniert.
Cyberangriffe müssen bei IT-Security Awareness-
Maßnahmen kombiniert betrachtet werden
(z.B. mit „Operation Digitales Chamäleon“).
25Operation Digitales Chamäleon
• Nützliche Methode
• zur Steigerung von IT-
Security Awareness für
IT-Fachpersonal
• zum Verständnis von
Angriffsketten im
Wechselspiel zwischen
Faktor Technik und Faktor Methoden-inhärente Schwächen:
Mensch • Abhängigkeit vom Spielleiter /
• Hohe Akzeptanz in der Praxis Schiedsrichter
• Flexibilität hinsichtlich schnell • Sozial-, Fachkompetenz und
ändernder IT-Landschaft Motivation der Spielteilnehmer
(Bedrohungen, Threat Actors, essentiell
Assets)
26Vielen Dank für
Ihre Aufmerksamkeit
Gefördert von
FKZ: 16KIS0213Literaturverzeichnis
Literaturverzeichnis
Adams, M., & Makramalla, M. (2015). Cybersecurity Skills Training: An Attacker-Centric Gamified Approach.
Technology Innovation Management Review, 5(January), 5–14. Retrieved from
http://search.proquest.com/docview/1676102408?accountid=10297%5Cnhttp://sfx.cranfield.ac.uk/cranfield?url%7B_
%7Dver=Z39.88-
2004%7B&%7Drft%7B_%7Dval%7B_%7Dfmt=info:ofi/fmt:kev:mtx:journal%7B&%7Dgenre=article%7B&%7Dsid=Pr
oQ:ProQ%7B%25%7D3Aabiglobal%7B&%7Dat
BMI. (2009). Nationale Strategie zum Schutz Kritischer Infrastrukturen (KRITIS-Strategie). Berlin. Retrieved from
http://www.bmi.bund.de/SharedDocs/Downloads/DE/Broschueren/2009/kritis.pdf;jsessionid=6A39CC2DD53159396F
69935ADC78D232.2_cid287?__blob=publicationFile
BSI. (2016a). Industrial Control System Security Top 10 Bedrohungen und Gegenmaßnahmen 2016.
BSI. (2016b). IT-Grundschutz-Kataloge - 15. Ergänzungslieferung. Retrieved April 25, 2016, from
https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/GSTOOL/gstool-
html_el15_zip.zip?__blob=publicationFile&v=5
BSI. (2016c). Die Lage der IT-Sicherheit in Deutschland 2016.
ENISA. (2015). The 2015 Report on National and International Cyber Security Exercises. Athen: Europäische Agentur
für Netz- und Informationssicherheit (ENISA). Retrieved from https://www.enisa.europa.eu/activities/Resilience-and-
CIIP/cyber-crisis-cooperation/cce/cyber-exercises/latest-report-on-national-and-international-cyber-security-exercises
Hansch, N., & Benenson, Z. (2014). Specifying IT security awareness. In Proceedings - International Workshop on
Database and Expert Systems Applications, DEXA (pp. 326–330). München. https://doi.org/10.1109/DEXA.2014.71
Hutchins, E. M., Cloppert, M. J., & Amin, R. M. (2011). Intelligence-Driven Computer Network Defense Informed by
Analysis of Adversary Campaigns and Intrusion Kill Chains. 6th Annual International Conference on Information
Warfare and Security, (July 2005), 1–14. Retrieved from http://papers.rohanamin.com/wp-
content/uploads/papers.rohanamin.com/2011/08/iciw2011.pdf%5Cnhttp://www.lockheedmartin.com/content/dam/loc
kheed/data/corporate/documents/LM-White-Paper-Intel-Driven-Defense.pdf
Kaspersky (2017). Targeted Cyberattacks Logbook. Retrieved from https://apt.securelist.com/#secondPage
Kruger, H. A., & Kearney, W. D. (2006). A prototype for assessing information security awareness. Computers &
Security, 25(4), 289–296. https://doi.org/10.1016/j.cose.2006.02.008
Rouse, M. (2012). attack vector. Retrieved March 18, 2016, from
http://searchsecurity.techtarget.com/definition/attack-vector
Symantec. (n.d.). Advanced Persistent Threats: How They Work. Retrieved March 31, 2016, from
http://www.symantec.com/theme.jsp?themeid=apt-infographic-1
29Sie können auch lesen
