Jens PoupéTechnical ConsultantExpertCircle GmbH
Eine erweiterte anhaltende Bedrohung (advanced persistent threat - APT) ist ein
Set von schleichenden und kontinuierlichen Prozessen, meist automatisiert
eingesetzt, um eine bestimmte Entität (User/Gerät/Ressource) zu übernehmen.
* APT zielt in der Regel auf Organisationen und/oder Nationen mit
Geschäfts- und/oder politischen Motiven.
* APT Prozesse erfordern ein hohes Maß an covertness über eine längere Zeit.
* Der „erweiterte" Prozess erfordert anspruchsvolle Techniken, meist unter
Nutzung von Malware werden Schwachstellen in Systemen ausgenutzt.
* Der "permanente" Prozess legt nahe, dass ein externes System kontinuierlich
überwacht und Daten aus einem bestimmten Ziel extrahiert werden
Research & Preparation
Übernahme des Ersten Hosts
24-48 Stunden
Übernahme
Domain Admin
Rechte
Datenabzug (Attacker unentdeckt)
11-14 Monate
Angriff entdeckt
€3.5MioDie durchschnittlichen Kosten die einem Unternehmen durch Datenschutzverletzungen entstehen
243Die durchschnittlichen Tagedie ein Attaker in einemeingedrungenen Netzwerkverbringt bis er entdeckt wird
76%aller Netzwerkangriffeerfolgen durchkompromittierteAnmeldedaten
€500MrdDie Kosten von Internetkriminilität in der Weltwirtschaft
• “Hash” = cached credential• Normalerweise nicht im “Klartext”
• Auf vielen Systemen genauso einsetzbar wie Klartext-Passwörter
• Können im Memory gespeichert sein oder permanent auf der Festplatte
• Viele OS nutzen “cache credentials” für SingleSignOn (SSO)
Username/
Password
Username/
HashUsername/
Hash
• Kerberos ist nicht immun
• Erstmals festgestellt in 2010:
• Reduzieren der klartextPasswörter
• Systeme härten
• StrengePasswortrichtlinien
Sind mit erheblichen finanziellen Verlusten
verbunden, Einfluss auf Markenreputation,
Verlust von vertraulichen Daten, Verlust des
Arbeitsplatzes
Die Mehrheit der Angriffe erfolgt durch
komprimittierte Anmeldedaten
Nutzung von legitimen IT-Tools anstelle von
Malwere – schwerer zu erkennen
Sind durchschnittlich 8 Monate in einem
Netzwerk bevor sie erkannt werden
Heutige CyberAngreifer
Nutzung von legitimen IT-Tools anstelle von
Malware – schwerer zu erkennen
Sind mit erheblichen finanziellen Verlusten
verbunden, Einfluss auf Markenreputation,
Verlust von vertraulichen Daten, Verlust des
Arbeitsplatzes
Die Mehrheit der Angriffe erfolgt durch
komprimittierte Anmeldedaten
Sind durchschnittlich 8 Monate in einem
Netzwerk bevor sie erkannt werden
Heutige CyberAngriffe
Nutzung von legitimen IT-Tools anstelle von
Malwere – schwerer zu erkennen
Sind durchschnittlich 8 Monate in einem
Netzwerk bevor sie erkannt werden
Sind mit erheblichen finanziellen Verlusten
verbunden, Einfluss auf Markenreputation,
Verlust von vertraulichen Daten, Verlust des
Arbeitsplatzes
Die Mehrheit der Angriffe erfolgt durch
komprimittierte Anmeldedaten
Heutige CyberAngreifer
Die Mehrheit der Angriffe erfolgt durch
komprimittierte Anmeldedaten
Nutzung von legitimen IT-Tools anstelle von
Malwere – schwerer zu erkennen
Sind durchschnittlich 8 Monate in einem
Netzwerk bevor sie erkannt werden
Sind mit erheblichen finanziellen Verlusten
verbunden, Einfluss auf Markenreputation,
Verlust von vertraulichen Daten, Verlust des
Arbeitsplatzes
Heutige CyberAngreifer
Traditionelle IT Security Tools sind typischerweise:
Designed um das
Netzwerk nach aussen zu
schützen
Complex Anfällig für “False
Positive”
Wenn Anmeldedaten
gestohlen wurden und der
Attacker in das Netzwerk
eingedrungen ist bieten
derzeitige SecurityTools nur
limitierten Schutz
Initiales Setup, fine-tuning,
Rollen- und
BaselineErstellung kann
eine lange Zeit in
Anspruch nehmen
Sie erhalten zu viele
Berichte an einem Tag mit
mehreren "false positives",
die wertvolle Zeit erfordern,
die Sie nicht haben.
ATA ist ein lokales System in Ihrem Rechenzentrum mit der erweiterte
SecurityAngriffe identifiziert werden – bevor sie Schaden anrichten
Kreditkarten-Unternehmen
überwachen das Verhalten
des Karteninhabers.
Wenn ein abnormales
Verhalten auftritt wird der
Karteninhaber informiert
und muss den
Abbuchungsauftrag
nochmals bestätigen
Microsoft Advanced Threat Analytics bringt dieses Konzept in die IT Comparison:
Analyse
des
Anwender
verhalten
Erkennung von bekannten
Attacken
Erweiterte
Bedrohungserkennung
Eine lokale Plattform mit der erweiterte SecurityAngriffe identifiziert werden – bevor sie Schaden
anrichten
ATA erkennt verdächtige
Aktivitäten schnell unter
Nutzung des Active Directory-
Datenverkehrs und SIEM-
Protokolle.
verhaltensbezogene Analysen
Lernt kontinuierlich und
identifiziert
Verhaltensauffälligkeiten
Funktionelle Zeitachse
zeigt detailliert
wer, was, wann und wie -
nahezu in Echtzeit.
ATA vergleicht
das Verhalten der Entitäten zu
deren Profil aber auch zu
anderen Ânwendern.
„Rote Fahnen“ werden nur
ausgelöst, wenn alles überprüft
wurde.
EinsetzbarkeitSchnelligkeit Einfachheit Genauigkeit
Warum Microsoft Advanced Threat Analytics?
Überwacht alle
Authentifizierungen und
Autorisierungen für die
organisatorischen Ressourcen
innerhalb des Unternehmens
oder auf mobilen Geräten
Mobility support Integration mit SIEM Seamless deployment
Nahtlose Integration mit SIEM
Bietet die Möglichkeit
SecurityAlerts zum betehenden
SIEM weiterzuleiten oder auch
emails zu bestimmten Personen
zu senden
Kann auf physikalischen oder
virtuellen Systemen installiert
werden
Nutzt PortMirroring – dadurch kann
die Standalone-Installation
gewährleistet werden
Hat keine Auswirkungen auf
vorhandene Netzwerktopologie
Key features
Analyse1 Nach Installation:
• Port Spiegelung kopiert gesamten AD-
bezogenen Datenverkehr
• Bleibt für Angreifer unsichtbar
• Analysiert jeglichen Active Directory
Verkehr
• Sammelt relevante Ereignisse von SIEM und
anderen Quellen
ATA:
• Beginnt automatisch das Lernen und
Profiling von Entity Verhalten
• Identifiziert normales Verhalten im
Unternehmen
• Lernt kontinuierlich um die Aktivitäten der
Benutzer, Geräte und Ressouren zu
aktualisieren
Lernen2
Was ist eine Entity?
Entity bezeichnet User, Geräte oder
Ressourcen
Erkennung3 Microsoft Advanced Threat Analytics:
• Sucht nach Verhaltensauffälligkeiten und
identifiziert verdächtige Aktivitäten
• Zeigt nur “rote Fahne”, wenn eine anormale
Aktivität kontextuell aggregiert wurde
• Nutzt world-class security research um
bekannte Angriffe und SicherheitsIssues zu
erkennen (Regional und Global)
ATA vergleicht nicht nur das Verhalteneiner Entity sondern auch mit demVerhalten von anderen Entities die imKontext stehen
Alert4
ATA meldet alle
verdächtigen Aktivitäten
auf einer einfachen unf
funktionalen Timeline
ATA ermittelt
Wer?
Was?
Wann?
Wie?
ATA bietet für jede
verdächtige Aktivität
Empfehlungen für das
weitere Vorgehen zur
Behebung.
Abnormal Behavior Anomalous logins
Remote execution
Suspicious activity
Security issues und risks Broken trust
Weak protocols
Known protocol vulnerabilities
Malicious attacks Pass-the-Ticket (PtT)
Pass-the-Hash (PtH)
Overpass-the-Hash
Forged PAC (MS14-068)
Golden Ticket
Skeleton key malware
Reconnaissance
BruteForce
Unknown threats
Password sharing
Lateral movement
Topology
Erfasst und analysiert DomainController
Netzwerkverkehr über Portspiegelung
Über ein Gateway können mehrere DCs
aus mehreren Domänen überwacht
werden
Erhält Events von SIEM
Erhält Daten über die Entities aus der
Domäne
Führt eine Auflösung von
Netzwerkidentitäten durch
Überträgt relevante Daten zum ATA
Center
Managed die ATA Gateway
Konfigurationen
Erhält Daten vom ATA Gateway und
speichert diese in der DB
Erkennt verdächtige Aktivitäten und
Verhaltensauffälligkeiten (Machine
Learning)
Web Management Interface
Anbindung mehrerer Gateways möglich
• Benuterkonto mit lesenden Rechten auf alle Objekte im Verzeichniss
• Es werden zwei IP Adressen empfohlen
• Zwei oder mehr Netzwerkschnittstellen• ATA Gateway kann in Version 1.6 als Agent auf einem Domänenkontroller
installiert werden