Cyber Attack Information Sharing

  • Published on
    24-Jan-2017

  • View
    216

  • Download
    0

Embed Size (px)

Transcript

<ul><li><p>1 Einleitung</p><p>Das Funktionieren heutiger Gesellschaften ist stark abhngig von der stndigen Verfgbarkeit einer Vielzahl von IKT- Dienstleis-tungen. Es besteht das Risiko schwerer wirtschaftlicher Effek-te, sowie Auswirkungen auf die Sicherheit eines Staates, wenn diese ber weite Regionen hinweg und/oder fr einen lngeren Zeitraum nicht verfgbar sind. Beispiele solcher kritischen Infra-strukturen sind Energie, Verkehr, Gesundheitswesen, Finanzen und Wasserversorgung. Diese Systeme haben sich jedoch in den letzten Jahren zunehmend von isolierten, proprietren Architek-turen ohne Verbindungen nach auen (Air Gap) hin zu vernetz-ten und stark verteilten Systemen entwickelt [1]. Angestoen von Herausforderungen wie der Reduzierung des Energieverbrauchs sowie hherer Wirtschaftlichkeit und Flexibilitt, wird diese Ten-denz weitergehen. </p><p>Aus wirtschaftlichen Grnden setzen diese Systeme zuneh-mend auf commercial off-the-shelf (COTS)-Produkte. Dadurch wird deren Angriffsflche jedoch signifikant erhht und bisher nur in Firmennetzwerken bekannte Bedrohungen und Schwach-stellen werden so in Steuersystemen zum Problem. Als ein promi-nentes Beispiel ist hier Stuxnet [2] zu nennen, der erste ffentlich bekannt gewordene Wurm der sich auf industriellen Steuerungs-systemen ausbreitete und diese teilweise lahmlegte. </p><p>Ein wichtiger Aspekt kritischer Infrastrukturen ist, dass sie viele Abhngigkeiten zwischen Komponenten [3] aufweisen und somit gewaltige Kettenreaktionen im Fall von Strungen ausge-lst werden knnen. Aufgrund der Vernetzung ist es auch nicht ausreichend, einen isolierten berblick ber den Sicherheitssta-tus einer einzelnen kritischen Infrastruktur zu bekommen. Viel-</p><p>Florian Skopik, Roman Fiedler, Otmar Lendl</p><p>Cyber Attack Information SharingPilotstudie eines sterreichischen Cyber Lagezentrums</p><p>Die Betreiber kritischer Infrastrukturen haben sich durch den Einsatz von IKT Standard-Produkten und der zunehmenden Vernetzung und Offenheit der Infrastrukturen zunehmend mit Cyber Security auseinander zu setzen. In den Forschungsprojekten Cyber Attack Information System und Cyber Attack Information Sharing werden daher Methoden und Technologien fr den Austausch von Informationen ber Cyber-Incidents zur besseren Abwehr von Cyberangriffen und zur effizienteren Analyse der aktuellen Bedrohungslage entwickelt. Kernelement dabei ist die Etablierung eines koordinierenden Cyberlagezentrums. Vor der Implementierung einer solchen Instanz, ist es notwendig dessen Einbindung in Cyber-Security Prozesse zu definieren. Dieser Artikel behandelt die Aufgaben eines Cyberlagezentrums aus operativer und strategischer Sicht. Zugrunde liegen Ergebnisse einer Pilotstudie, die gemeinsam mit staatlichen Institutionen, Bedarfstrgern aus der Wirtschaft und dem sterreichischen CERT durchgefhrt wurde.</p><p>Florian Skopik</p><p>arbeitet als Senior Projekt Manager am Austrian Institute of Technology und betreut Projekte im Bereich Sicherheit kritischer Infrastrukturen. Doktorat Informatik an der TU Wien. </p><p>E-Mail: florian.skopik@ait.ac.at</p><p>Roman Fiedler</p><p>ist Engineer am Austrian Institute of Technology und arbeitet in Projekten im Telehealth- und Security-Bereich. Studium Biochemie an der TU Graz. </p><p>E-Mail: roman.fiedler@ait.ac.at</p><p>Otmar Lendl</p><p>ist Team Leiter beim Computer Emergency Response Team Austria (CERT.at). Studium Mathematik und Informatik an der Universitt Salzburg. </p><p>E-Mail: lendl@cert.at </p><p>DuD Datenschutz und Datensicherheit 4 | 2014 251</p><p>AUFSTZE</p></li><li><p>mehr ist es wichtig, ein allgemeines Lagebild, insbesondere unter Bercksichtigung von Abhngigkeiten, zu erhalten, um konse-quente Reaktionen auf Sicherheitsverletzungen, und Angriffe zu ermglichen und um mgliche Kaskadeneffekte zu verhindern oder zu minimieren. Ein Austausch von Informationen ist ein wichtiger Eckstein fr den Aufbau eines branchenbergreifen-den Bewusstseins ber den aktuellen Sicherheitsstatus von kriti-schen Infrastrukturen. Diese Ziele verfolgt auch die krzlich vor-gestellten europische Network and Information Security (NIS) Richtlinie [4]. Diese geht noch einen Schritt weiter und empfiehlt den Aufbau nationaler Cyberlagezentren, welche nicht nur ber den Sicherheitsstatus der nationalen Infrastrukturanbieter infor-miert sind, sondern auch koordinierende Aufgaben bei der Pr-vention/Abwehr von Angriffen bernehmen. </p><p>Der vorliegende Beitrag zeigt exemplarisch die im Forschungs-projekt CAIS Cyber Attack Information System entwickelte Vorge-hensweise und ablaufenden Prozesse bei der koordinierten Be-wltigung einer Cyber-Attacke. Ziel ist es, die involvierten Sta-keholder und ihre Aktionen zu dokumentieren, die dabei ablau-fenden Prozesse sichtbar zu machen und auch Nicht-IT-Fachleu-ten die Komplexitt einer solchen Aufgabe zu vermitteln. Letzt-endlich stellt die Beschreibung ein relevantes Ergebnis laufender Diskussionen dar, um die weiteren Schritte in Richtung eines s-terreichischen Cyberlagezentrums zu planen.</p><p>2 Kontext der Pilotstudie</p><p>Die hier beschriebene Pilotstudie wurde im Forschungsprojekt CAIS durchgefhrt. Ziel war die Erarbeitung technischer Werk-zeuge und deren Einbettung in im Projekt zu definierende Pro-zesse zur Untersttzung eines Cyberlagezentrums. Die Schwer-punkte der Werkzeuge lagen dabei im Bereich Anomalieerken-nung [5] bzw. Simulation der Angriffsauswirkungen.</p><p>Im folgenden Szenario betreiben die vom nationalen Cyber-lagezentrum untersttzten Organisationen selbst oder mit Hilfe von ihnen beauftragter Dienstleister ein entsprechendes innerbe-triebliches IT-Sicherheitsmanagement. Dieses kann als zustzli-</p><p>ches Werkzeug zu z.B. blicherweise eingesetzten SIEM-Lsun-gen auch spezifische in CAIS erarbeitete Methoden zur Anoma-lieerkennung verwenden (vgl. Abbildung 1). Einzelorganisatio-nen erstellen im Anlassfall ad-hoc Berichte ber Sicherheitsvor-flle, ausgelst durch erfolgreiche Angriffe, aber auch Versuche mit auergewhnlicher Raffiniertheit, Hartnckigkeit oder pro-blematischer Zielrichtung. Das Cyberlagezentrum betreibt ei-ne Meldestelle, welche Berichte ber entdeckte Vorflle bzw. de-ren Auswirkungen auf die Services einer Organisation entgegen-nimmt. Das Lagezentrum sichtet diese Meldungen und erstellt daraus ein taktisches Lagebild, z.B. dass seit kurzem Mitarbei-ter von VoIP-Anbietern mit einer bestimmten Malware attackiert werden oder dass nach dem Einbruch bei einem ISP die Vertrau-lichkeit der Daten auf seinen Leitungen momentan nicht gewhr-leistet ist. Aus diesem Lagebild werden dann sinnvolle Manah-men fr die nchsten Stunden abgeleitet. Da die zentrale Melde-stelle einen berblick ber die Services der Einzelorganisationen und deren Abhngigkeiten untereinander (Infrastrukturmodell) hat kann sie andere Marktteilnehmer gezielt warnen und auch bei der Erkennung und Abwehr untersttzen, z.B. durch Kommuni-kation von Indicator of Compromise (IoCs), Snort-Rules, und IP-Blocklisten.. Darber hinaus ist diese zentrale Meldestelle in der Lage umfangreiche Simulationen vorzunehmen, um den Einfluss von Vorfllen im Netz von Serviceabhngigkeiten zu bewerten. Aus den Informationen des Tagesgeschfts wird dann in regelm-igen Abstnden ein strategisches Lagebild erstellt, das vor allem politischen Entscheidungstrgern und dem jeweiligen Unterneh-mensmanagement von an das Lagezentrum gekoppelten Organi-sationen helfen soll, die richtigen Prioritten zu setzen. </p><p>An folgendem fiktiven Anwendungsfall soll die Verwendung der CAIS-Werkzeuge und deren Einbettung in Prozessen im Cy-berlagezentrum und in am Informationsaustausch teilnehmen-den Organisationen anschaulich dargestellt werden. Es wurde an-genommen, dass ein Hersteller einer Fernwartungskomponenten in diese eine nicht dokumentierte Zusatzfunktion eingebaut hat, um so bei Wartungen oder zur Fehlersuche gewisse Informatio-nen ber das Gert zu bekommen. Diese Art Hintertr wurde von Hackern entdeckt und analysiert, so dass es jetzt mglich ist, </p><p>diese Schnittstelle zum Erlangen von Vollzu-griff auf das Gert zu verwenden. Die entspre-chenden Werkzeuge werden unter der Hand getauscht, das Problem ist daher noch nicht ffentlich bekannt. Die an CAIS teilnehmen-de Organisation Automatisierungstechnik GmbH ist Errichter und Betreiber von Steueranlagen und nutzt die zuvor genannten problemati-schen Systeme. Ihre Kunden sind mittlere und grere Industrieunternehmen mit einem Fo-kus im Sektor Energietechnik, die den Bereich der Steuertechnik an den Spezialisten ausge-lagert haben.</p><p>3 Organisationseinbindung in CAIS</p><p>Folgende Prozesse mssen zur Anbindung ei-ner Organisation, z.B. eines kritischen Infra-strukturanbieters, an ein Cyberlagezentrum nach den im Projekt CAIS erarbeiteten Richt-</p><p>Abbildung 1 | Vernetzung von Organisationen mit dem Cyberlagezentrum</p><p>Lokales IDSOrganis ns-netzwerk</p><p>Logdaten</p><p>Anomalieerkennung</p><p>SIEM Lsung Security Team</p><p>Risiko-Management</p><p>Cyberlagezentrum</p><p>Organisa on</p><p>Analyse-team</p><p>Abwehr-team</p><p>Tak sches Lagebild </p><p>Management</p><p>Strategisches Lagebild </p><p>Management</p><p>Service Abhngig-</p><p>keiten</p><p>Meldestelle und Informa onsverbreitung fr Organisa onen</p><p>Einbindung externer Quellen Na onaler Stab</p><p>Incident Meldungen</p><p>Lagebilder, I Cs</p><p>252 DuD Datenschutz und Datensicherheit 4 | 2014</p><p>AUFSTZE</p></li><li><p>linien stattfinden, bevor dieses im Falle einer Cyber-Attacke un-tersttzend ttig werden kann. Abbildung 2 gibt einen berblick ber die Schritte in dieser Phase.Vorbereitungen des Cyberlagezentrums: Das Cyberlagezen-trum bereitet Beitrittsrichtlinien und Handlungsempfehlungen fr Organisation zur Anbindung an das Lagezentrum vor, z.B. zur Anpassung der Organisationsprozesse, zur Ermittlung der Serviceabhngigkeiten, zum Etablieren eines Anomalieerken-nung-Systems oder Richtlinien zur Meldung von mglichen bzw. besttigten Angriffen.Teilnahmeantrag einer Organisation: Die interessierte Firma Au-tomatisierungstechnik GmbH informiert sich ber das Cyberlagezen-trum und kommt zum Schluss, dass ein Beitritt fr sie sinnvoll ist. Durch die Bekanntgabe der Abhngigkeiten kann das Unterneh-men vom Lagezentrum ber Servicebeeintrchtigungen informiert werden, die sonst nicht trivial erkennbar wren, vor allem bezg-lich Vertraulichkeit und Integritt bezogener Dienste. Darber hi-naus erhofft sie sich, durch Austausch von Information ber aktuel-le Angriffe effektiver und effizienter auf diese reagieren zu knnen und somit Ausflle zu vermeiden. Als Zulieferer fr kritische Infra-strukturanbieter ist es auch marketingtechnisch vorteilhaft, kon-krete Sicherheitsaktivitten vorzeigen zu knnen. Die Organisati-on beantragt daher die Teilnahme, indem sie eine Kontaktperson (PoC) nennt und PKI-Material zur sicheren verschlsselten und signierten Kommunikation mitsendet.berprfung des Teilnahmeantrags: Das Lagezentrum ber-prft den Teilnahmeantrag der Automatisierungstechnik GmbH. Dies beinhaltet die berprfung der Identitten, das Festlegen einer Service-Anbieter-ID fr das Infrastrukturmodell, die ber-mittelung der ID an den Antragsteller, sowie die Weitergabe der generellen Handlungsempfehlungen an die teilnehmende Orga-nisation, um an CAIS zu partizipieren. Erhebung der Serviceabhngigkeiten: Damit die Firma Automati-sierungstechnik GmbH sinnvoll mit dem Cyberlagezentrum kooperie-ren kann, fhrt sie eine Prozessklassifizierung anhand der Richtli-nien des Lagezentrums durch. Daraus werden dann entsprechende Manahmen zur Gewinnung der fr das Lagezentrum relevanten Informationen abgeleitet, z.B. was die relevanten Abhngigkeiten zu externen Services sind bzw. welches Vorgehen zur Entdeckung von Strungen und Angriffen sinnvoll ist. Essentiell ist die Identifikati-on und Erfassung der Serviceabhngigkeiten und der selbst bereitge-</p><p>stellten Services entsprechend der Richt-linien des Lagezentrums. Dafr ms-sen innerhalb der Organisationen, an-gelehnt an einer Business Impact Ana-lyse (BIA), ihre Geschftsprozesse und Services erhoben werden. Da diese Ab-hngigkeiten vertrauliche Informatio-nen darstellen, werden nur die relevan-ten externen Abhngigkeiten an das Lagezentrum gemeldet. Das regelmi-ge Aktualisieren dieser Abhngigkeiten erfolgt ber die in den folgenden admi-nistrativen Manahmen zu etablieren-den Prozesse.Administrative Manahmen: Die Organisation adaptiert ihre Prozes-se, um im Ernstfall rasch und effek-tiv reagieren zu knnen. Dabei ist zu bercksichtigen, dass die von der Au-</p><p>tomatisierungstechnik GmbH betriebenen Systeme bei Kunden lau-fen und deren Daten verarbeiten, was z.B. auf Meldeprozesse Aus-wirkungen hat.</p><p> Zustndigkeiten im Sicherheitsbereich werden festgelegt: Wer arbeitet an den Systemen, die Sicherheitsvorflle erkennen kn-nen? Wer kann solche Vorflle dann berprfen und klassifizie-ren? Wer trifft Entscheidungen ber Meldung/Manahmen? Wie wird bei personellen Nichtverfgbarkeiten eskaliert? Wer ist fr die Aktualisierung der CAIS-spezifischen Prozesse zustndig?</p><p> Abhngig davon, wie feingranular das Unternehmen bereits jetzt Sicherheitsprobleme erkennen kann, werden entsprechen-de technische Manahmen umgesetzt, z.B. SIEMs installiert oder erweitert, die CAIS-Anomalieerkennung zum Einsatz ge-bracht, in gewissen Bereichen wird die Sensordichte erhht.</p><p> Vorgehen zur Analyse und Klassifikation eines mglichen An-griffs und Kriterien fr Meldungen an das Lagezentrum wer-den definiert: (i) Da die Firma zu klein fr eigene IT-Sicher-heitsmitarbeiter ist, wird ein Vertrag mit der Firma SecTroo-pers abgeschlossen, sodass im Bedarfsfall rasch Forensik- und Abwehrleistungen bezogen werden knnen. (ii) Parallel wird der laufende Risikomanagementprozess um die Spezifika der IT-Risiken erweitert, z.B. unter Verwendung von BSI-Grund-schutzkatalogen [6]. Da die Firma aber einen IT-Schwerpunkt und daher auch Interesse daran hat, dass IT-Risikomanage-ment intern auch verstanden und gelebt wird, wird zusam-men mit einem Consultingunternehmen die initiale Bewer-tung durchgefhrt, danach wird der Risikomanagementpro-zess komplett durch die Firma weitergefhrt. </p><p>Technische Manahmen: Die Organisation entscheidet sich, auch die CAIS-Anomalieerkennung [5] zustzlich zu ihren be-stehenden Systemen einzusetzen, und zwar nicht nur im Haus auf ihren eigenen Systemen sondern auch in greren Kunden-installationen. Daher setzt sie folgendes um:</p><p> Da die fr die Anomalieerkennung erforderliche Sammlung von Logdaten in einigen Bereichen, z.B. von Netzwerkbasis-komponenten wie Switches und Firewalls, nur in geringem Umfang erfolgt, wird dort eine zentrale Logdatensammlung umgesetzt und Log-Levels entsprechend angepasst.</p><p> Die regelbasierte CAIS-Anomalieerkennung wird installiert, Logdatenadapter werden eingerichtet.</p><p>Abbildung 2 | Vorbereitungsaktivitten und Einbindung von Organisationen</p><p>Beitri srichtlinien verbreiten</p><p>Teilnahmeantrag (PoC, Keys, Signaturen) einbringen</p><p>Teilnahmeantrag berprfen</p><p>Risikomanagement an Richtlinien anpassenerungen und Serviceabhngigkeiten be mmen)</p><p>externen Service-Abhngigkeiten melden</p><p>techn. Manahmen ur Erhhung der Resilie umseomalieerkennung etablieren)</p><p>Pr smanahmen: Rollen und Zustndigkeiten fr CAIS Pr se festlegen</p><p>Meldung d. Service-Abhngig-keiten entgegennehmen</p><p>Na onales Infrastruktur- und Abhngigkeitsmodell n</p><p>Cyberlagezentrum Organisa on</p><p>Kommun...</p></li></ul>