BSI Lagebericht 2014

  • View
    69

  • Download
    0

Embed Size (px)

Transcript

1. BSI Lagebericht 2014 Wolfgang Kandek, Qualys, Inc 28 Januar 2015 2. BSI Lagebericht 2014 Bundesamt fr Sicherheit in der Informationstechnik Bundesministerium des Inneren Minister Maizire 2014, 2013 (kurz), 2011, 2009, 2007 Anfang 2015 wieder Die Lage der IT-Sicherheit in Deutschland 2014 3. BSI Lagebericht 2014 Bundesamt fr Sicherheit in der Informationstechnik Bundesministerium des Inneren Minister Maizire 2014, 2013 (kurz), 2011, 2009, 2007 Anfang 2015 wieder Die Lage der IT-Sicherheit in Deutschland 2014 Aktuelle Gefhrdungslage: kritisch Anzahl der schweren Sicherheitslcken zu hoch Angriffswerkzeuge werden stndig verbessert 4. BSI Lagebericht 2014 Bundesamt fr Sicherheit in der Informationstechnik Bundesministerium des Inneren Minister Maizire 2014, 2013 (kurz), 2011, 2009, 2007 Anfang 2015 wieder Die Lage der IT-Sicherheit in Deutschland 2014 Aktuelle Gefhrdungslage: kritisch Anzahl der schweren Sicherheitslcken zu hoch Angriffswerkzeuge werden stndig verbessert Ziele der Angriffe: Wirtschaft, Kritische Infrastruktur, Staatliche Stellen, Forschung aber auch Brgerinnen und Brger 5. Vorflle 2014 Statistik der Bundesverwaltung 2014 60.000 verseuchte E-mails pro Monat 15-20 neue (dem AV unbekannte) Malware pro Tag 1 Angriff pro Tag nachrichtendienstlich 3500 Zugriffe auf Schadcodeservern pro Tag 1 DoS Angriff pro Monat 0 Mobilangriffe 6. Vorflle 2014 Wirtschaft 2014 Angriff auf Stahlwerk richtet Schaden an Hochofen an Energiebetreiber in DE generiert Probleme in sterreich Dragonfly Gruppe greift mehrere Duzend Industrieanlagen an und zieht Daten ab WindigoKampagne infiziert 30000 Linux Rechner in DE Bankrott in GB Hochfrequenzhandel in USA 7. Angriffskategorien Spam: unter Kontrolle 8. Angriffskategorien Spam: unter Kontrolle Malware: Defensive Tools mit zweifelhafter Wirkhaftigkeit 9. Angriffskategorien Spam: unter Kontrolle Malware: Defensive Tools mit zweifelhafter Wirkhaftigkeit Drive-by und ExploitKits: nutzen typischerweise bekannte Schwachstellen und knnen mit Patchen abgedeckt werden 10. Angriffskategorien Spam: unter Kontrolle Malware: Defensive Tools mit zweifelhafter Wirkhaftigkeit Drive-by und ExploitKits: nutzen typischerweise bekannte Schwachstellen und knnen mit Patchen abgedeckt werden Botnetze: ber 1 Million Maschinen in DE 11. Angriffskategorien Spam: unter Kontrolle Malware: Defensive Tools mit zweifelhafter Wirkhaftigkeit Drive-by und ExploitKits: nutzen typischerweise bekannte Schwachstellen und knnen mit Patchen abgedeckt werden Botnetze: ber 1 Million Maschinen in DE Social Engineering: Benutzerausbildung hilft 12. Angriffskategorien Spam: unter Kontrolle Malware: Defensive Tools mit zweifelhafter Wirkhaftigkeit Drive-by und ExploitKits: nutzen typischerweise bekannte Schwachstellen und knnen mit Patchen abgedeckt werden Botnetze: ber 1 Million Maschinen in DE Social Engineering: Benutzerausbildung hilft Identittsverwaltung: problematisch Username/Passwort 13. Angriffskategorien Spam: unter Kontrolle Malware: Defensive Tools mit zweifelhafter Wirkhaftigkeit Drive-by und ExploitKits: nutzen typischerweise bekannte Schwachstellen und knnen mit Patchen abgedeckt werden Botnetze: ber 1 Million Maschinen in DE Social Engineering: Benutzerausbildung hilft Identittsverwaltung: problematisch Username/Passwort DoS: in DE nicht besonders verbreitet 14. Angriffskategorien Spam: unter Kontrolle Malware: Defensive Tools mit zweifelhafter Wirkhaftigkeit Drive-by und ExploitKits: nutzen typischerweise bekannte Schwachstellen und knnen mit Patchen abgedeckt werden Botnetze: ber 1 Million Maschinen in DE Social Engineering: Benutzerausbildung hilft Identittsverwaltung: problematisch Username/Passwort DoS: in DE nicht besonders verbreitet APT: auf gewisse Bereiche (Rstung, Hochtechnologie, Autos, Schiffe, Raumfahrt) gezielt, noch keine Lsung 15. Schwachstellen mit hoher Relevanz Hauptproblem: Veraltete Patchstnde von OS und Applikationen Microsoft Internet Explorer, Office und Windows Adobe Flash und Reader Oracle Java Mozilla Firefox und Thunderbird Apple OS X, Quicktime und Safari Google Chrome Linux Kernel Schwachstellenampel CERT-Bund 16. Beispiel Exploit Kit Angler Zuletzt genutzt ISC (Bind9) Website 22. Dezember ISC Website basiert auf Wordpress, WP backdoor installiert Attackvektor unbekannt, wahrscheinlich durch WP plugin 17. Beispiel Exploit Kit Angler Zuletzt genutzt ISC (Bind9) Website 22. Dezember ISC Website basiert auf Wordpress, WP backdoor installiert Attackvektor unbekannt, wahrscheinlich durch WP plugin 18. Beispiel Exploit Kit Angler Zuletzt genutzt ISC (Bind9) Website 22. Dezember ISC Website basiert auf Wordpress, WP backdoor installiert Attackvektor unbekannt, wahrscheinlich durch WP plugin Angler Exploitkit installiert Adobe Flash CVE-2014-8440/8439/0515/0497 + CVE-2013-2551 Internet Explorer CVE-2014-1776/0322 + CVE-2013-2551 Silverlight CVE-2013-3896/0074 19. Beispiel Exploit Kit Angler Zuletzt genutzt ISC (Bind9) Website 22. Dezember ISC Website basiert auf Wordpress, WP backdoor installiert Attackvektor unbekannt, wahrscheinlich durch WP plugin Angler Exploitkit installiert Adobe Flash CVE-2014-8440/8439/0515/0497 + CVE-2013-2551 Internet Explorer CVE-2014-1776/0322 + CVE-2013-2551 Silverlight CVE-2013-3896/0074 Patchlevel Adobe Flash November 2014 Internet Explorer MS14-021 21 April 2014 (0-day) Silverlight MS13-087 Oktober 2014 20. Beispiel Exploit Kit Angler - Update Januar 2015: Angler und Exploits fr 2 * 0-days 0-day: bekannte Schwachstelle ohne Patch Security Researcher Kafeine - @kafeine 21. Beispiel Exploit Kit Angler - Update Angler und Exploits fr 2 * 0-days 0-day: bekannte Schwachstelle ohne Patch Security Researcher Kafeine 22. Beispiel Exploit Kit Angler - Update Januar 2015: Angler und Exploits fr 2 * 0-days 0-day: bekannte Schwachstelle ohne Patch Security Researcher Kafeine - @kafeine CVE-2015-0310 APSB14-02 22. Januar CVE-2015-0311 APSB14-03 +- 24. Januar 23. Beispiel Exploit Kit Angler - Update Januar 2015: Angler und Exploits fr 2 * 0-days 0-day: bekannte Schwachstelle ohne Patch Security Researcher Kafeine - @kafeine CVE-2015-0310 APSB14-02 22. Januar CVE-2015-0311 APSB14-03 +- 24. Januar Flash unter Google Chrome nicht angegriffen 24. Beispiel Exploit Kit Angler - Update Januar 2015: Angler und Exploits fr 2 * 0-days 0-day: bekannte Schwachstelle ohne Patch Security Researcher Kafeine - @kafeine CVE-2015-0310 APSB14-02 22. Januar CVE-2015-0311 APSB14-03 +- 24. Januar Flash unter Google Chrome nicht angegriffen EMET verhindert Angriff Enhanced Mitigation Experience Toolkit Zwangsjacke fr Windows 25. Beispiel Exploit Kit Angler - Update Januar 2015: Angler und Exploits fr 2 * 0-days 0-day: bekannte Schwachstelle ohne Patch Security Researcher Kafeine - @kafeine CVE-2015-0310 APSB14-02 22. Januar CVE-2015-0311 APSB14-03 +- 24. Januar Flash unter Google Chrome nicht angegriffen EMET verhindert Angriff Enhanced Mitigation Experience Toolkit Zwangsjacke fr Windows 26. Beispiel Exploit Kit Angler - Update Januar 2015: Angler und Exploits fr 2 * 0-days 0-day: bekannte Schwachstelle ohne Patch Security Researcher Kafeine - @kafeine CVE-2015-0310 APSB14-02 22. Januar CVE-2015-0311 APSB14-03 +- 24. Januar Flash unter Google Chrome nicht angegriffen EMET verhindert Angriff Enhanced Mitigation Experience Toolkit Zwangsjacke fr Windows 27. Beispiel Exploit Kit Angler - Update Januar 2015: Angler und Exploits fr 2 * 0-days 0-day: bekannte Schwachstelle ohne Patch Security Researcher Kafeine - @kafeine CVE-2015-0310 APSB14-02 22. Januar CVE-2015-0311 APSB14-03 +- 24. Januar Flash unter Google Chrome nicht angegriffen EMET verhindert Angriff Enhanced Mitigation Experience Toolkit Zwangsjacke fr Windows Attack Kampagnen haben schon angefangen 28. Beispiel Exploit Kit Angler - Update Januar 2015: Angler und Exploits fr 2 * 0-days 0-day: bekannte Schwachstelle ohne Patch Security Researcher Kafeine - @kafeine CVE-2015-0310 APSB14-02 22. Januar CVE-2015-0311 APSB14-03 +- 24. Januar Flash unter Google Chrome nicht angegriffen EMET verhindert Angriff Enhanced Mitigation Experience Toolkit Zwangsjacke fr Windows Attack Kampagnen haben schon angefangen 29. Fazit Gefahrenlage ist hoch Regierung Strukturiert sich im Moment International Aspekte erschweren In den nchsten 10 Jahren ist keine aktive Hilfe zu erwarten 30. Fazit Gefahrenlage ist hoch Regierung Strukturiert sich im Moment International Aspekte erschweren In den nchsten 10 Jahren ist keine aktive Hilfe zu erwarten Firmen mssen sich selbst schtzen BSI (und andere) Vorgaben befolgen Aus vergangen Angriffen lernen JP Morgan Angreifer benutzten Username/Passwort gegen Server CHS Heartbleed Schwachstelle im VPN Server Sony Wurm verbreitete sich durch SMB mit bekannten Passwrtern 31. Prioritten 1. Identittsmanagement verbessern 2FA einsetzen 32. Prioritten 1. Identittsmanagement verbessern 2FA einsetzen 2. Patchlage verbessern Microsoft, Adobe, Oracle Fokus auf Exploit verfgbar 33. Prioritten 1. Identittsmanagement verbessern 2FA einsetzen 2. Patchlage verbessern Microsoft, Adobe, Oracle Fokus auf Exploit verfgbar 3. Robust konfigurieren Software deinstallieren wo mglich Neuste Versionen einsetzen Aktiv auf Sandboxing achten Google Chrome Browser, Office 2013, Adobe Reader XI 34. Prioritten 1. Identittsmanagement verbessern 2FA einsetzen 2. Patchlage verbessern Microsoft, Adobe, Oracle Fokus auf Exploit verfgbar 3. Robust konfigurieren Software deinstallieren wo mglich Neuste Versionen einsetzen Aktiv auf Sandboxing achten Google Chrome Browser, Office 2013, Adobe Reader XI EMET oder hnlich 35. Prioritten 1. Identittsmanagement verbessern 2FA einsetzen 2. Patchlag