- Dieses Event hat bereits stattgefunden.
Security Trends – Cybersecurity – Artifical Intelligence – Sichere Architekturen
Mögliche Themenschwerpunkte:
- Sichere Architekturen
- Governance, Risk & Compliance (GRC)
- Digitale Security, IoT Security
- Cybercrime, Ransomware
- End to End Security
- Artifical Intelligence und Security
- Standards wie ISO 27001 / ISO 22301 / EN 50600
- IT und Recht
- Sichere Softwareentwicklung
- EU-Datenschutzgrundverordnung – Lessons Learned
- IT- Architekten
- CIS
Einreichung von Beiträgen unter: hainschink@conect.at
In einer zunehmend vernetzten und technologiegetriebenen Geschäftswelt ist
das Thema Vertrauen wichtiger denn je. Fast jedem zweiten Unternehmen welt-weit gelingt es jedoch nicht, sich adäquat gegen digitale Bedrohungen zu wappnen und sie riskieren dadurch den Verlust des Vertrauens ihrer Kunden und der Gesellschaft: Nur gut die Hälfte der Unternehmen (53 Prozent) integriert Maßnahmen zum Management von Cyber und Datenschutzrisiken vollständig von Beginn an in ihre digitalen Transformationsprojekte. Zu diesem Ergebnis kommen die Digital Trust Insights, eine internationale Befragung von 3000 Führungskräften in 81 Ländern im Auftrag von PwC.
So zeigte die Studie etwa, dass Sicherheitsvorkehrungen vielfach nicht mit den Geschäftszielen in Einklang gebracht werden, Sicherheitsmaßnahmen aufgrund fehlender Hintergrundinformationen zu potenziellen Angreifern kaum risikoorientiert eingesetzt werden oder Security- und Privacy- Experten oftmals viel zu wenig in Digitalisierungsprojekten eingebunden werden.
(Quelle: Digital Trust Insights 2019 von Price Waterhouse)
Zielgruppe:
Unternehmensleitung, Sicherheitsverantwortliche, IT-Vorstand, IT-Entscheider, IT-Verantwortliche sowie Vertreter von Medien und Wissenschaft.
Registration
Cyber Security by Design: Angriffspfade in der Systemarchitektur erkennen, bevor es zu spät ist
“Cyber Security by Design” ist ein Gamechanger und reflektiert System-Anforderungen, wie wir sie heute im sicherheitskritischen IoT Umfeld antreffen. Als Grundlage dafür wird «Threat Modelling» als Methodik verwendet. Sie erkennt und analysiert potenzielle Gefahren bei der Entwicklung von komplexen Systemen durch Modellierung. In der Praxis ist diese Analyse oft umfangreich: Es stellt sich die schwierige Frage der Relevanz und Priorisierung der erkannten Schwachstellen. Ebenso sind branchenspezifische Regulatorien und Normen zu erfüllen.
Damit Security im vernetzten IoT Umfeld umsetzbar und in der Folge wirksam wird, muss sie Teil der gesamten Funktionalität werden. Es geht nicht nur um die Analyse potenzieller Schwachstellen einzelner Elemente im Systemmodell, sondern auch um das Erkennen möglicher Angriffspunkte und -pfade. Die Frage ist: Welche Ziele verfolgen Angreifer im System und welche Schritte auf welchem Pfad führen sie dorthin? Letztlich sind diese Pfade der Nerv jedes Systemmodells!
Das AIT Austrian Institute of Technology hat mit «ThreatGet» eine einzigartige Methodik für «Cyber Security by Design» entwickelt. Einerseits überprüft sie Systemmodelle und deren Elemente bei der Entwicklung und erspart damit teure Anpassungen zu einem späteren Zeitpunkt. Die wesentliche Grundlage dafür sind die von der AIT entwickelten Wissensdatenbanken und Gefahrenkataloge. Sie stehen aktuell für die Bereiche Automotive und Industrie zur Verfügung und berücksichtigen auch regulatorische Anforderungen. Andererseits erkennt ThreatGet auch potenzielle Angriffspunkte und -pfade. Jetzt ist es durch die Verbindung und gleichzeitige Visualisierung von Schwachstelle und Angriffspfad in der Systemarchitektur möglich, die Komplexität von Cyber Security zu reduzieren. Davon profitiert das gesamte Ökosystems des Unternehmens, weil Systeme über Organisationsgrenzen hinweg vor Angriff und Angreifer geschützt sind.
Pause
Ransomware: sicher verschlüsselt! - Festplatte: verschlüsselt sicher?
Die Daten wurden „sicher“ verschlüsselt durch Ransomware! Warum funktioniert das „Geschäftsmodell“ Ransomware so gut? Warum Lösegeld auch schon „gewinnbringend“ veranlagt wurde und warum Kapital trotzdem besser nicht in Form von Lösegeldzahlungen veranlagt werden sollte.
Im Gegensatz dazu stehen externe Speichermedien wie Festplatten oder USB-Sticks, die extra damit werben sicher zu sein, weil eine AES-Hardwareverschlüsselung implementiert ist. Bei diesen Geräten ist es oftmals möglich die gespeicherten Daten zu entschlüsseln. SySS zeigt die aktuellen Ergebnisse einer Forschungsarbeit anhand eines praktischen Beispiels.
Cyber Defense in einem Unternehmen der kritischen Infrastruktur
Es wird gezeigt, wie das Security Operation Center, das SOC, als „Blue Team“ durch ein internes „Red Team“ gleichsam mit einem Katz- und Maus-Spiel immer wieder herausgefordert und getestet wird. Diese Vorgehensweise hilft dabei, existierende Schwachstellen und Lücken zu identifizieren und zu bearbeiten. Dargestellt wird das anhand eines Beispiels einer Zero-Day Schwachstelle. Über den internen Zuwachs von Wissen und Erfahrungen ist auch die Kommunikation in „Trusted Communities“, wie dem Austrian Energy CERT ein wichtiger Faktor in der Bewältigung der aktuellen Herausforderungen, sowie die Einbindung von internationalen Threat Feeds um immer auf dem neuesten Stand zu sein. In den vergangenen drei Jahren haben wir eine umfangreiche Systemlandschaft aufgebaut, welche wir gerne vorstellen und auch unseren Ansatz eines effizienten und effektiven Security Teams.
Beschreibung:
Für Betreiber kritischer Infrastrukturen sind die Security-Anforderungen nicht nur durch die generell steigende Bedrohungslage höher geworden, sondern auch durch gesetzliche Anforderungen und die steigende Digitalisierung.
Aus unserer Sicht lassen sich alle Aufgaben der IT/OT-Security und Informationssicherheit in drei Bereiche zusammenfassen. Diese sind in strategische, offensive und defensive Bereiche gegliedert. Eine Zusammenarbeit dieser Bereiche ist unabdingbar, da sie voneinander abhängig sind und voneinander bzw. miteinander lernen können.
Im defensiven Bereich setzt man hierfür zum Beispiel ein Security Operations Center (SOC) ein. Es hat die Aufgabe, alle IT/OT-Systeme zu überwachen unabhängig von Hard- oder Software, und gegebenenfalls mit Unterstützung von international agierenden Partnern (z.B. AEC). Das SOC ist außerdem in enger Abstimmung mit den anderen beiden Bereichen (strategisch und offensiv).
Eine Kernfrage, die sich uns beim Aufbau des SOC gestellt hat war, wie neue Angriffsmethoden erkannt werden können und man diese testen kann. Gerade bei neuen Zero-Day Schwachstellen ist es wichtig zu überprüfen ob die eigenen Systeme verwundbar sind und das SOC eine Ausnutzung dieser erkennt.
Um diese Frage beantworten zu können, bedarf es interner White-hat Hacker, welche anhand von neuen Angriffstechniken versuchen, in Systeme einzudringen. Sie versuchen öffentlich verfügbare PoCs (Proofs of Concept) auf das Unternehmen und dessen Infrastruktur anzupassen oder eigene zu entwickeln, um Schwachstellen auszunutzen und einer Erkennung durch das SOC zu entgehen.
Durch dieses Vorgehen entsteht eine kontinuierliches Katz- und Maus-Spiel. Ein solches lässt sich auch bei Anti-Viren Programme beobachten. Erste Anti-viren Programme arbeiteten signatur-basiert. Da Angreifer jedoch diese Signaturen umgehen konnten, zum Beispiel durch den 1-Byte Change Trick wo das erste Byte von Shellcode verändert wird, mussten neue Erkennungsmethoden entwickelt werden. Erste Anti-Viren / EDR Software begann über sogenannte Syscall Hooks die Funktionsaufrufe der WinAPI zu überwachen. Da diese Hooks im User Space definiert wurden, war es Angreifern möglich diese bei Programmstart zu entfernen, zum Beispiel indem die WinAPI Module neu in den Speicher geladen werden. Da diese Methode aktuell nicht mehr ausreicht um maliziöses Verhalten zu erkennen, verwenden aktuelle EDRs eine Kombination aus unterschiedlichen Quellen (z.B. Hooks im User-land / Kernelland, dem Microsoft Etw-Ti Provider) um Funktionsaufrufe überwachen zu können.
Ein Beispiel aus der Praxis ist die Schwachstelle Follina. Hier wurde durch das Red Team ein eigener Proof of Concept entwickelt und getestet, ob der Code auf den Clients des Unternehemens ausgeführt werden kann. Gleichzeigt hat das Red Team Feedback vom Blue-Team bekommen, ob diese Angriffe erkannt wurden. Da zu diesem Zeitpunkt weder das EDR-Tool, noch die NTA (Network Traffic Analysis), und auch nicht die E-Mail-Security Lösung den Angriff erkannt haben, hat das Red-Team gemeinsam mit dem Blue-Team Indicators of Compromise definiert und daraus eine Hunting Query erstellt. Diese wird regelmäßig ausgeführt und benachrichtigt das Blue-Team, wenn ein neuer Angriffsversuch erkannt wird. Gleichzeitig entwickelt das Blue-Team Gegenmaßnahmen um die Schwachstelle auf den eigenen Systemen zu schließen.
Durch das ständige Testen von neuen Angriffen und der Erkennung dieser kann behauptet werden, dass ein einzelnes IT/OT-Security System zur Erkennung von Angriffen bei weitem nicht ausreicht. Daraus ergibt sich eine Systemlandschaft aus verschiedenen Tools sowohl für das Red-Team als auch für das Blue-Team.
Wichtig hierbei sind nicht die Produkte im Detail sondern die Kombination und Verschneidung der Fähigkeiten dieser Produkte. Wichtig für uns war eine einheitliche Sicht auf alle Security Alerts im Unternehmen. Deswegen war unser primärer Ansatz, alle Informationen in einem Ticket-Tool zu sammeln, um diese gesammelt darstellen zu können.
Die einzelnen Security Tools bilden eine Art Puzzle für das SOC und erkennen unterschiedliche Angriffsvektoren vom OSI Schichtenmodell 2 – 7.