Weitere ähnliche Inhalte Ähnlich wie Webinar: Cyberangriff - Frontbericht (12) Mehr von A. Baggenstos & Co. AG (20) Webinar: Cyberangriff - Frontbericht 2. Alarmstufe Rot: Wie ich einen Hackerangriff (üb)erlebte
• Was ist passiert?
Welche Auswirkungen hatte der Angriff auf das Unternehmen
• Weshalb ist das passiert?
Wie sind die Hacker vorgegangen
• Womit hätte der Angriff erschwert werden können?
Präventive Vorkehrungen zum Schutz vor einem Cyberangriff
• Welches sind meine Empfehlungen für Sie?
Konkrete Ratschläge zur Risikominderung
16.06.2021 | Alarmstufe Rot: Cyberangriff!. Referat Referat A. Baggenstos & Co. AG | © EKT AG 3
4. Ruhe vor dem Sturm
16.06.2021 | Alarmstufe Rot: Cyberangriff!. Referat Referat A. Baggenstos & Co. AG | © EKT AG 5
Quelle: LAAX / Danuser
Quelle: shanemyersphoto
5. Die SMS, mit der mein Alptraum begann…
16.06.2021 | Alarmstufe Rot: Cyberangriff!. Referat Referat A. Baggenstos & Co. AG | © EKT AG 6
06:45
7. Zeitlicher Ablauf nach dem Angriff am 23./24.07.2019
16.06.2021 | Alarmstufe Rot: Cyberangriff!. Referat Referat A. Baggenstos & Co. AG | © EKT AG 8
Information Geschäftsleitung Meier Tobler durch CFO
Einberufung Krisenstab, Information der Führungskräfte, Rückholung von Schlüsselpersonen aus den
Ferien (u.a. CIO), Bezug «War Room»
CIO eingetroffen, erste Krisenstabsitzung zur Lagebeurteilung und Beschluss von Softortmassnahmen
Schadensbild ermittelt, Cyber Security Experten aufgeboten
Priorisierung erstellt, Wiederherstellungsarbeiten gestartet
Ungewöhnliches Verhalten der IT-Überwachungssysteme, Systemfunktionen gestört, unübersichtliche
Gesamtlage für den IT-Dienstleister, Eskalation innerhalb seiner Pikettorganisation
Feststellung einer Malware-Attacke. Entscheid zum sofortigen, geordneten Ausschalten aller Systeme
CIO-Stv. informiert CFO (Leiter Krisenstab) und CIO, Statusdeklaration «Major Incident»
8. Reaktion der Medien: Beitrag SRF Börse vom 26.07.19
16.06.2021 | Alarmstufe Rot: Cyberangriff!. Referat Referat A. Baggenstos & Co. AG | © EKT AG 9
Quelle:
SRF
Börse
9. 0%
10%
20%
30%
40%
50%
60%
70%
80%
90%
100%
Tag 1 Tag 2 Tag 3 Tag 4 Tag 5 Tag 6 Tag 7 Tag 8 Tag 71
Liefer- und Servicebereitschaft in %
Krisenbewältigung auf der Zeitachse
21.10.2020 | Alarmstufe Rot: Referat CoWorking Weinfelden | © EKT AG 10
Telefonzentrale
operativ
EDR/SOC
installiert
SAP
operativ
auf 20 Clients
Zentrallager 1
operativ
Service App
operativ
Erste Kunden-
lieferung
200 Arbeits-
plätze operativ Zentrallager 2
operativ
Verteilung neu
aufgesetzte
PCs
Tag 130
10. Krisenstab im «War Room»
16.06.2021 | Alarmstufe Rot: Cyberangriff!. Referat Referat A. Baggenstos & Co. AG | © EKT AG 11
Quelle:
Meier
Tobler
AG
11. Weshalb ist das passiert? Wie gingen die Täter vor?
(Erklärung von Melani, Nationales Zentrum für Cybersicherheit)
16.06.2021 | Alarmstufe Rot: Cyberangriff!. Referat Referat A. Baggenstos & Co. AG | © EKT AG 12
oder CobaltStrike
Quelle: melani.admin.ch
12. Wie gingen die Täter vor?
(bitte eine Erklärung, die alle verstehen!)
16.06.2021 | Alarmstufe Rot: Cyberangriff!. Referat Referat A. Baggenstos & Co. AG | © EKT AG 13
Bösewicht
(Cyber-Angreifer) Haus
(Unternehmung)
13. Zuerst etwas zum Thema Netzwerksicherheit:
Zugriffsversuch von aussen
16.06.2021 | Alarmstufe Rot: Cyberangriff!. Referat Referat A. Baggenstos & Co. AG | © EKT AG 14
Wachhund
(Firewall)
!#
14. Wie gingen die Täter vor?
Phase «Delivery», Spear Phishing mit Schadprogramm
16.06.2021 | Alarmstufe Rot: Cyberangriff!. Referat Referat A. Baggenstos & Co. AG | © EKT AG 15
Postbote
(E-Mail mit Attachment) Bewohner
(Benutzer)
Paket
(Malware)
15. Wie gingen die Täter vor?
Phase «Installation» der Malware
16.06.2021 | Alarmstufe Rot: Cyberangriff!. Referat Referat A. Baggenstos & Co. AG | © EKT AG 16
???
ferngesteuerter Spielroboter
(Emotet Malware)
16. Wie gingen die Täter vor?
Phase «Command & Control»
16.06.2021 | Alarmstufe Rot: Cyberangriff!. Referat Referat A. Baggenstos & Co. AG | © EKT AG 17
Funkgerät zum Bösewicht
(Beacon zum Command-and-Control Server)
Bösewicht im Versteck
(Professionelle Angreifergruppe mit
Command-and-Control Server «C&C»)
«Wer im Haus ist, ist ein
Freund, der darf raus und
wieder rein»
(Dynamischer Paketfilter
der Firewall)
17. Wie gingen die Täter vor?
Phase «Installation» weiterer Schadsoftware
16.06.2021 | Alarmstufe Rot: Cyberangriff!. Referat Referat A. Baggenstos & Co. AG | © EKT AG 18
Werkzeugkasten
(Cobalt Strike
Pen-Test-Soft-
ware)
18. Wie gingen die Täter vor?
Phase «Installation» weiterer Schadsoftware
16.06.2021 | Alarmstufe Rot: Cyberangriff!. Referat Referat A. Baggenstos & Co. AG | © EKT AG 19
19. Wie gingen die Täter vor?
Phase «Installation» weiterer Schadsoftware
16.06.2021 | Alarmstufe Rot: Cyberangriff!. Referat Referat A. Baggenstos & Co. AG | © EKT AG 20
20. Wie gingen die Täter vor?
Phase «Installation» weiterer Schadsoftware
16.06.2021 | Alarmstufe Rot: Cyberangriff!. Referat Referat A. Baggenstos & Co. AG | © EKT AG 21
???
✓
Funkgerät und Werkzeugkasten
getarnt
(Kommunikation limitiert,
Domain Fronting, Malleable C2
Profiles)
21. Wie gingen die Täter vor?
Phase «Installation» weiterer Schadsoftware
16.06.2021 | Alarmstufe Rot: Cyberangriff!. Referat Referat A. Baggenstos & Co. AG | © EKT AG 22
Passepartout für alle
Räume
(Lateral movement)
Ausweisfälschung
(Privillege escalation)
Kopierer von Bewohnern
(Hash reverse decryption)
22. Wie gingen die Täter vor?
Phase «Command & Control»
16.06.2021 | Alarmstufe Rot: Cyberangriff!. Referat Referat A. Baggenstos & Co. AG | © EKT AG 23
Bösewicht kopiert Bewohner,
gibt ihm gefälschten Ausweis
und Passepartout
(Vertical privilege escalation,
gestohlener Benutzer mit
Domain-Admin-Rechten)
23. Wie gingen die Täter vor?
Phase «Action on Objectives»
16.06.2021 | Alarmstufe Rot: Cyberangriff!. Referat Referat A. Baggenstos & Co. AG | © EKT AG 24
Angreifer gewinnt Zugang zur Haus-
zentrale mit Passepartout und übernimmt
damit die Kontrolle über das ganze Haus
(Angreifer übernimmt Domain Controller,
dann «Actions on Objective», d.h.
Exfiltration von Daten, Sabotage,
Spionage, Verschlüsselung)
Hauszentrale
(Domain Controller)
24. Wie gingen die Täter vor?
Phase «Action on Objectives»
16.06.2021 | Alarmstufe Rot: Cyberangriff!. Referat Referat A. Baggenstos & Co. AG | © EKT AG 25
Wohnung wird unbewohnbar gemacht
Schlüssel ausgewechselt
Lösegeldforderung
(MegaCortex-Verteilung,
Verschlüsselung aller Server, Clients
und Daten, Lösegeldforderung:
Bitcoins)
25. Nun wissen Sie Bescheid!
Kurze Zusammenfassung der Hauptdarsteller
16.06.2021 | Alarmstufe Rot: Cyberangriff!. Referat Referat A. Baggenstos & Co. AG | © EKT AG 26
Bösewicht
Cyber-Angreifer
Wachhund
Firewall
Postbote
E-Mail mit
Attachment
Spielroboter
Emotet Malware
Funkgerät
Beacon zum
C&C Server
Cobalt Strike
Pen-Test-Software
Werkzeugkasten
Privillege
escalation
Ausweisfälschung
Passepartout
Lateral
movement
26. Weshalb ist das passiert? Wie gingen die Täter vor?
(jetzt ist vieles klarer!)
16.06.2021 | Alarmstufe Rot: Cyberangriff!. Referat Referat A. Baggenstos & Co. AG | © EKT AG 27
oder CobaltStrike
Quelle:
melani.admin.ch
27. Weshalb ist das passiert? Wie gingen die Täter vor?
(Fortsetzung)
16.06.2021 | Alarmstufe Rot: Cyberangriff!. Referat Referat A. Baggenstos & Co. AG | © EKT AG 28
Quelle:
melani.admin.ch
oder MegaCortex
28. Welche Vorkehrungen hätten den Angriff erschwert?
16.06.2021 | Alarmstufe Rot: Cyberangriff!. Referat Referat A. Baggenstos & Co. AG | © EKT AG 29
29. Welche Vorkehrungen hätten den Angriff erschwert?
16.06.2021 | Alarmstufe Rot: Cyberangriff!. Referat Referat A. Baggenstos & Co. AG | © EKT AG 30
• Ausbruchszeit zwischen Erstangriff (Emotet) und Hauptangriff (CobaltStrike) bei Meier Tobler: 72 Tage
• Diese Zeit wäre zur Angriffsbekämpfung zur Verfügung gestanden, wäre der Angriff entdeckt worden
A
N
Quelle: CrowdStrike
30. • Gewinnen Sie die Einsicht, dass jede Unternehmung, egal in welcher Branche und von welcher Grösse, ein
Ziel eines Cyberangriffs werden kann. Es ist eine Frage des Aufwands, den der Angreifer dazu betreiben will.
• Bauen Sie ein effektives Sicherheitsdispositiv auf (folgender Präsentationsteil)
• Berücksichtigen Sie den Faktor "Mensch": Informieren und sensibilisieren Sie Ihre Anwender. Beim
Cyberangriff ist der Mensch in der Regel das schwächste Glied (Social Engineering). Aber: bei der
Bewältigung des Angriffs ist der Mensch eines der stärksten Elemente.
• Bereiten Sie sich vor. Üben Sie den Krisenfall. Testen Sie, ob Backups - geschützt vom übrigen Netzwerk –
im Notfall wiederherstellbar sind.
• Sprechen Sie über das Thema Cybersicherheit. Teilen Sie Ihre Erfahrungen, auch Ihre "Beinahe-Unfälle"
http://linkedin.com/in/andreas-plueer
| Alarmstufe Rot: Cyberangriff!. Referat Referat A. Baggenstos & Co. AG | © EKT AG
Welches sind meine konkreten Empfehlungen für Sie?
31
16.06.2021
31. Informationen rund um Energie
16.06.2021 | Alarmstufe Rot: Cyberangriff!. Referat Referat A. Baggenstos & Co. AG | © EKT AG 32
Andreas Plüer
Bereichsleiter Digital Services
Telefon 071 440 63 33
andreas.plueer@ekt.ch
www.ekt.ch