Das SlideDeck des Microsoft Cyber Security IT-Camps 2017/2018
Im Slidedeck werden Produkte wie Windows Defender AV, ATP und ApplicationGuard und ExploitGuard behandelt.
Was ist Malware oder Schadsoftware überhaupt? Wie erkenne ich Malware auf meinem Computer und wie kann ich mich davor schützen? Hilfreiche Hinweise und Informationen zu Viren, Würmer, Trojaner, Ransomware, Scareware, Adware, Spyware and Phishing Mails.
Scripting and automation with the Men & Mice SuiteMen and Mice
The powerful SOAP interface & how and where scripts can be integrated
Beside the Men & Mice Management Console, the Web Interface and the command line interface (CLI) there are other ways to access the Men & Mice Suite.
A webinar that looks into the new features that the Windows Server 2016 will offer in the DNS, DHCP and IPv6 space.
Showcase of some of the new stuff using the latest tech preview and the aim is to give administrators a quick overview of the Windows Server 2016 and enough information to decide if early adoption is worthwhile.
Umbrella Webcast: Redefining Security for the Nomadic WorkerOpenDNS
The document summarizes a webcast about redefining security for nomadic workers. It discusses the challenges of securing mobile devices and remote employees. The webcast introduces OpenDNS's new product called Umbrella, which is designed to provide security for devices across networks. Umbrella is described as being device agnostic, simple to deploy, instantly scalable, and utilizing big data and security algorithms. A customer from Veterans United Home Loans then discusses their experience deploying Umbrella and lessons learned.
How to send DNS over anything encryptedMen and Mice
Today, nearly all DNS queries are send unencrypted. This makes DNS vulnerable to eavesdropping by someone with access to the network. The DNS-Privacy group (DPRIVE) inside the Internet Engineering Task Force (IETF), as well as people outside the IETF, are working on new transport protocols to encrypt DNS traffic between DNS clients and resolver.
* DNS over TLS (RFC 7858)
* DNS over DTLS (RFC 8094)
* DNS over HTTP(S) (ID-draft)
* DNS over QUIC (ID-draft)
* DNS over DNSCrypt (outside IETF)
* DNS over TOR (outside IETF)
In this webinar, we will explain the protocols available or discussed inside and outside the IETF, and give some example configurations on how to use this new privacy protocols today.
This document provides an overview and agenda for a presentation on securing and hardening DNS servers. It discusses configuring DNS servers at both the local system level and network level. At the local level, it recommends partitioning the file system, using chroot jails, firewalls, and access control configurations. At the network level, it discusses topics like limiting services, securing NTP, and managing DNS zones and records. The overall goal is to understand the high-level requirements for securing a DNS server and limiting access to the DNS service.
Was ist Malware oder Schadsoftware überhaupt? Wie erkenne ich Malware auf meinem Computer und wie kann ich mich davor schützen? Hilfreiche Hinweise und Informationen zu Viren, Würmer, Trojaner, Ransomware, Scareware, Adware, Spyware and Phishing Mails.
Scripting and automation with the Men & Mice SuiteMen and Mice
The powerful SOAP interface & how and where scripts can be integrated
Beside the Men & Mice Management Console, the Web Interface and the command line interface (CLI) there are other ways to access the Men & Mice Suite.
A webinar that looks into the new features that the Windows Server 2016 will offer in the DNS, DHCP and IPv6 space.
Showcase of some of the new stuff using the latest tech preview and the aim is to give administrators a quick overview of the Windows Server 2016 and enough information to decide if early adoption is worthwhile.
Umbrella Webcast: Redefining Security for the Nomadic WorkerOpenDNS
The document summarizes a webcast about redefining security for nomadic workers. It discusses the challenges of securing mobile devices and remote employees. The webcast introduces OpenDNS's new product called Umbrella, which is designed to provide security for devices across networks. Umbrella is described as being device agnostic, simple to deploy, instantly scalable, and utilizing big data and security algorithms. A customer from Veterans United Home Loans then discusses their experience deploying Umbrella and lessons learned.
How to send DNS over anything encryptedMen and Mice
Today, nearly all DNS queries are send unencrypted. This makes DNS vulnerable to eavesdropping by someone with access to the network. The DNS-Privacy group (DPRIVE) inside the Internet Engineering Task Force (IETF), as well as people outside the IETF, are working on new transport protocols to encrypt DNS traffic between DNS clients and resolver.
* DNS over TLS (RFC 7858)
* DNS over DTLS (RFC 8094)
* DNS over HTTP(S) (ID-draft)
* DNS over QUIC (ID-draft)
* DNS over DNSCrypt (outside IETF)
* DNS over TOR (outside IETF)
In this webinar, we will explain the protocols available or discussed inside and outside the IETF, and give some example configurations on how to use this new privacy protocols today.
This document provides an overview and agenda for a presentation on securing and hardening DNS servers. It discusses configuring DNS servers at both the local system level and network level. At the local level, it recommends partitioning the file system, using chroot jails, firewalls, and access control configurations. At the network level, it discusses topics like limiting services, securing NTP, and managing DNS zones and records. The overall goal is to understand the high-level requirements for securing a DNS server and limiting access to the DNS service.
Abstract:
Writing Regular Expressions (Regex) is a versatile skill set to have across the IT landscape. Regex has a number of information security related uses and applications. We are going to provide an overview and show examples of writing Regex for pattern matching and file content analysis using sample threat feed data in this presentation. Along with a healthy dose of motherly advice, we cover Regex syntax, character classes, capture groups, and sub-capture groups. Whether Regex is something completely new or worth brushing up on, this talk is geared toward you.
Bio:
Matt Scheurer is a Systems Security Engineer working in the Financial Services industry. Matt holds CompTIA Security+, MCP, MCPS, MCTS, MCSA, and MCITP certifications. He maintains active memberships in a number of professional organizations including the Association for Computing Machinery (ACM), Cincinnati Networking Professionals Association (CiNPA), and Information Systems Security Association (ISSA). Matt is a regular attendee at monthly Information Security meetings for 2600, the CiNPA affiliated Security Special Interest Group (CiNPA Security SIG), Ohio Information Security Forum (OISF), and Cincinnati SMBA.
Abstract:
Writing Regular Expressions (Regex) is a versatile skill set to have across the IT landscape. Regex has a number of information security related uses and applications. We are going to provide an overview and work through examples of writing Regex as a group for pattern matching and file content analysis using sample threat feed data in this presentation. Along with a healthy dose of motherly advice, we cover Regex syntax, character classes, capture groups, sub-capture groups, and quantifiers. Whether Regex is something completely new or worth brushing up on, this talk is geared toward you.
Bio:
Matt Scheurer is a Systems Security Engineer working in the Financial Services industry. Matt holds a CompTIA Security+ Certification and possesses a number of Microsoft Certifications including: MCP, MCPS, MCTS, MCSA, and MCITP. Matt has presented on numerous Information Security topics as a featured speaker at a number of area Information Security meetup groups. Matt also had notable speaking engagements as a presenter at DerbyCon 5.0, DerbyCon 7.0, and the 10th Annual Northern Kentucky University Cyber Security Symposium. Matt maintains active memberships in a number of professional organizations including the Association for Computing Machinery (ACM), Cincinnati Networking Professionals Association (CiNPA), and Information Systems Security Association (ISSA). Matt is a regular attendee at monthly Information Security meetings for 2600, the CiNPA affiliated Security Special Interest Group (CiNPA Security SIG), Ohio Information Security Forum (OISF), and Cincinnati Security MBA (SMBA).
DNS High-Availability Tools - Open-Source Load Balancing SolutionsMen and Mice
The DNS protocol has built-in high availability for authoritative DNS servers (this will be better explained in the webinar!), but client machines can see a degraded DNS service if a DNS resolver (caching DNS server) is failing.
In this webinar, we will look into how the DNS clients in popular operating systems (Windows, Linux, macOS/iOS) choose the DNS resolver among a list of available servers, and how a DNS resolver service can be made failure-tolerant with open-source solutions such as “dnsdist” from PowerDNS and “relayd” from OpenBSD.
The document discusses the User Datagram Protocol (UDP) and the Transmission Control Protocol (TCP). UDP is a connectionless protocol that provides process-to-process communication over IP. TCP is connection-oriented and establishes a virtual connection between hosts to reliably send data using flow and error control. TCP numbers data bytes and uses sequence numbers and acknowledgments to ensure reliable in-order delivery. Connection establishment and termination with TCP uses three-way and four-way handshaking protocols. TCP guarantees in-order delivery of data to processes and handles lost packets.
This document discusses the risks of phishing and social networks. It begins with some basic terminology and context around key players like individuals, technology, and services involved. It describes the basic methodology that criminals and terrorists use to exploit common activities on the internet like social networks, email, and web browsing. This includes making counterfeit activities look normal to attract users. The document provides some statistics on data breaches and privacy losses. It emphasizes knowing yourself and potential threats to understand your risk profile. It recommends practical precautions to mitigate risks like keeping software updated, using security tools, and exercising common sense online. Resources for more information are also included.
Cisco Connect Toronto 2017 - Anatomy-of-attackCisco Canada
The document discusses how cyber attacks have evolved over time and how Cisco security solutions can help address modern threats. It provides examples of ransomware attacks and how Cisco mapped the attacker infrastructure involved. It then summarizes Cisco's Umbrella and Cloudlock solutions, emphasizing how Umbrella provides secure internet access and threat prevention through fast DNS resolution and intelligence-driven models, while Cloudlock focuses on securing usage of cloud apps and accounts.
Comodo Multi Domain SSL Certificate: Key Features by CheapSSLsecurityCheapSSLsecurity
Learn what is Comodo Multi Domain SSL certificate, how it works, understand its key features along with the encryption process of protecting multiple domains under a single certificate.
Symantec (ISTR) Internet Security Threat Report Volume 22CheapSSLsecurity
Symantec’s Internet Security Threat Report (ISTR) demonstrates how simple tactics and innovative cyber criminals led to unprecedented outcomes in global threat activity.
Cisco Connect Toronto 2017 - Accelerating Incident Response in Organizations...Cisco Canada
This document discusses accelerating incident response in organizations using Cisco's security solutions. It describes Cisco's approach of integrating tools across the network, email, web and endpoints to provide 30+ days of recorded system history and continuous automated hunting and analysis. This integrated view is meant to translate raw security data into meaningful intelligence to accelerate the incident response process of protecting systems, hunting for threats, and responding to incidents. The presentation provides examples of how specific Cisco products like AMP for Email, AMP ThreatGrid, AMP for Network, and AMP for Endpoint contribute capabilities like continuous analysis, retrospective detection, and enhanced visibility to speed up an organization's incident response.
This document discusses the role of DNS in internet threats like botnets and how hackers have evolved to use DNS for command and control and to evade detection. It explains how hackers can change IP addresses and domain names through techniques like IP flux, domain flux, and DNS tunneling. It argues that defenses must also evolve to track more domain names, handle larger and more complex DNS packets, and identify threats from big DNS traffic data. The document concludes by thanking attendees and providing contact information to continue the discussion.
(ISC)2 Cincinnati Tri-State Chapter: Phishing Forensics - Is it just suspicio...ThreatReel Podcast
Abstract:
What thoughts currently make tech defenders uneasy as they go to bed at night? Despite implementing and properly configuring the latest technological controls and security solutions into our environments, end users typically remain the most vulnerable point of entry into nearly any network. Unfortunately, only one misstep by a single user provides attackers with the foothold they need to begin compromising an entire enterprise network environment. The safety of our inboxes is a key initiative on the battlefront of protecting staff from the scourge of phishing and spear phishing attacks. We will perform a deep-dive look at the latest techniques used by criminals to bypass security products and traditional defense-in-depth strategies. We then focus heavily on conducting a digital forensic investigation on a sample phishing email message. Topics covered include technical analysis of message headers, message source code, message attachments, and malicious landing web pages even when a dedicated sandbox environment is unavailable.
Bio:
Matt Scheurer is a Systems Security Engineer working in the Financial Services industry. Matt holds a CompTIA Security+ Certification and possesses a number of Microsoft Certifications including: MCP, MCPS, MCTS, MCSA, and MCITP. Matt has presented on numerous Information Security topics as a featured speaker at a number of area Information Security meetup groups. Matt also had notable speaking engagements as a presenter at DerbyCon 5.0, DerbyCon 7.0, and the 10th Annual Northern Kentucky University Cyber Security Symposium. Matt maintains active memberships in a number of professional organizations including the Association for Computing Machinery (ACM), Cincinnati Networking Professionals Association (CiNPA), and Information Systems Security Association (ISSA). Matt is a regular attendee at monthly Information Security meetings for 2600, the CiNPA affiliated Security Special Interest Group (CiNPA Security SIG), Ohio Information Security Forum (OISF), and Cincinnati Security MBA (SMBA).
This document summarizes a presentation about Cisco Umbrella, a cloud-based security platform. The summary includes:
1) Cisco Umbrella protects organizations from internet threats by resolving domain names and inspecting web traffic before connections are made. It uses intelligence from billions of requests to identify malicious destinations and prevent both user and malware-initiated connections.
2) Cisco Umbrella provides visibility into all network activity, anywhere, and integrates with existing security tools. It can deploy protection to an entire global organization within minutes through DNS configuration.
3) The presentation cites case studies of customers seeing a 4-5 fold decrease in alerts, 70% reduction in virus tickets, and thousands saved in ransomware
Cisco Connect Toronto 2017 - NFV/SDN Platform for Orchestrating Cloud and vBr...Cisco Canada
Cisco's Virtual Managed Services (VMS) platform allows service providers to orchestrate and manage SD-WAN and NFV services from the cloud. The demo showed how VMS can rapidly deploy SD-WAN services across multiple sites with MPLS, internet, and LTE links using Cisco routers. VMS provides a multi-tenant cloud management platform that reduces costs and time to market for service providers while improving services for enterprise customers.
Google has changed Chrome's code to enforce HTTPS encryption on all ".dev" domains by default. This causes problems for developers who use ".dev" locally without HTTPS. Alternatives for local domain names include subdomains of owned domains, reserved domains like ".test", or protocols besides DNS like LLMNR and mDNS. Unbound and BIND can configure local zones to resolve names without internet access.
The document is a presentation on DNS (Domain Name System) given by Mauood Hamidi for his dissertation. It covers definitions of DNS, different types of DNS servers, tools used for DNS queries, DNS records, how DNS works to resolve domain names to IP addresses, and components of the DNS system like zones, name servers, and security considerations. It aims to provide an overview of the key concepts and functioning of DNS.
Internet of Things, Industrie 4.0, Big Data, Cloud, Vernetzung und so weiter und so fort. Die Digitalisierung schreitet voran und mit ihr kommen Trends und Buzzwords und gehen wieder. Eines bleibt jedoch: Die Sicherheitsanforderungen an die IT.
Drei Säulen der mobilen Sicherheit
Oft vernachlässigen Nutzer von Smartphones, sensible Daten auf ihren Geräten sicher zu schützen. Auch auf mobile Endgeräte lauern Gefahren, die vergleichbar mit denen sind, wie es sie auch für Laptop oder Desktop-PC gibt. Deshalb sollen an dieser Stelle, kurz die drei Säulen der mobilen Sicherheit erläutert werden. Dabei werden die drei häufigsten Schwachstellen bzw. Bedrohungen bei der Nutzung von Smartphones aufgezeigt und wie man sie am effizientesten beseitigt.
1. Bedrohung durch Malware
Gerade in den letzten drei Jahren haben sich die Bedrohungen durch Malware gerad zu verdoppelt und es kommen immer mehr hinzu. Für Android Betriebssysteme gibt es drei hauptsächliche Sicherheitslücken – dazu zählen der SMS-Trojaner, Backdoor-Lücken oder Spyware.
Wie kann das Gerät nun am effektivsten davor geschützt werden?
Es helfen dabei gesundes Misstrauen und das Installieren von neuester Upgrades, so dass das Smartphone immer up-to-date ist – aber eine Kontrolle des App-Downloads sollte generell stattfinden.
Sensible Daten werden am besten durch eine Verschlüsslung geschützt. Im gleichen Zug ist es ratsam, den Zugang zu sozialen Netzwerken zu sichern. Zusätzliche Schutzsoftware wie ESET Mobile Security kann dabei unterstützend angewandt werden.
2. Hacking
Es existieren ca. 36 Arten gehackte Geräte zu missbrauchen – E-Mail-Attacken, Reputation Hijacking durch die sozialen Medien, Zugangsdaten durch Phishing abfangen sind nur einige Beispiele dafür.
Hacking ist mit rund 80% dafür verantwortlich, dass Kriminelle an fremde Geräte und Daten gelangen. Dabei sind acht von zehn Hackings deshalb erfolgreich, weil Passwörter erraten, gestohlen oder geknackt wurden. Der beste Schutz vor Hacking kommt dem vor Malware gleich.
3. Verlust oder Diebstahl
Jeden Tag werden in etwa Geräte im Wert von 7 Mio. US$ verloren und das meistens zwischen 21:00 und 2:00 Uhr. In 73% der Fälle bleibt das Smartphone dauerhaft verschwunden. Besonders ärgerlich ist nicht nur der Verlust des Gerätes allein sondern auch der der Kontaktdaten und anderer sensibler Daten.
Vorsicht: Fallstricke in der digitalen Welt für den HandelsagentenMag.Natascha Ljubic
In der digitalen Welt gibt es spezifische Fallstricke, denen Handelsagenten gegenüberstehen könnten:
1. Sicherheit von sensiblen Informationen: Handelsagenten können mit sensiblen Kundendaten und vertraulichen Informationen arbeiten. Es ist wichtig, solche Informationen angemessen zu schützen, indem Verschlüsselungstechniken und geeignete Sicherheitsmaßnahmen verwendet werden.
2. Phishing- und Malware-Angriffe: Handelsagenten könnten Zielscheiben von Phishing-E-Mails oder Malware-Angriffen werden. Sie sollten in der Lage sein, verdächtige E-Mails zu erkennen, auf gefälschte Websites zu achten und geeignete Sicherheitssoftware zu verwenden, um ihre Systeme zu schützen.
3. Mobile Sicherheit: Handelsagenten, die Mobilgeräte wie Smartphones oder Tablets nutzen, müssen diese Geräte angemessen absichern. Dies beinhaltet das Verwenden sicherer Passwörter, das Aktualisieren der Software, das Vermeiden von unsicheren Netzwerken und das Installieren von Sicherheits-Apps.
4. Sichere Internetrecherche: Handelsagenten sollten bei der Durchführung von Internetrecherchen darauf achten, seriöse und vertrauenswürdige Quellen zu verwenden. Sie sollten sich auch bewusst sein, dass ihre Online-Aktivitäten verfolgt werden können und dass Datenschutzmaßnahmen getroffen werden sollten, um persönliche Informationen zu schützen.
Abstract:
Writing Regular Expressions (Regex) is a versatile skill set to have across the IT landscape. Regex has a number of information security related uses and applications. We are going to provide an overview and show examples of writing Regex for pattern matching and file content analysis using sample threat feed data in this presentation. Along with a healthy dose of motherly advice, we cover Regex syntax, character classes, capture groups, and sub-capture groups. Whether Regex is something completely new or worth brushing up on, this talk is geared toward you.
Bio:
Matt Scheurer is a Systems Security Engineer working in the Financial Services industry. Matt holds CompTIA Security+, MCP, MCPS, MCTS, MCSA, and MCITP certifications. He maintains active memberships in a number of professional organizations including the Association for Computing Machinery (ACM), Cincinnati Networking Professionals Association (CiNPA), and Information Systems Security Association (ISSA). Matt is a regular attendee at monthly Information Security meetings for 2600, the CiNPA affiliated Security Special Interest Group (CiNPA Security SIG), Ohio Information Security Forum (OISF), and Cincinnati SMBA.
Abstract:
Writing Regular Expressions (Regex) is a versatile skill set to have across the IT landscape. Regex has a number of information security related uses and applications. We are going to provide an overview and work through examples of writing Regex as a group for pattern matching and file content analysis using sample threat feed data in this presentation. Along with a healthy dose of motherly advice, we cover Regex syntax, character classes, capture groups, sub-capture groups, and quantifiers. Whether Regex is something completely new or worth brushing up on, this talk is geared toward you.
Bio:
Matt Scheurer is a Systems Security Engineer working in the Financial Services industry. Matt holds a CompTIA Security+ Certification and possesses a number of Microsoft Certifications including: MCP, MCPS, MCTS, MCSA, and MCITP. Matt has presented on numerous Information Security topics as a featured speaker at a number of area Information Security meetup groups. Matt also had notable speaking engagements as a presenter at DerbyCon 5.0, DerbyCon 7.0, and the 10th Annual Northern Kentucky University Cyber Security Symposium. Matt maintains active memberships in a number of professional organizations including the Association for Computing Machinery (ACM), Cincinnati Networking Professionals Association (CiNPA), and Information Systems Security Association (ISSA). Matt is a regular attendee at monthly Information Security meetings for 2600, the CiNPA affiliated Security Special Interest Group (CiNPA Security SIG), Ohio Information Security Forum (OISF), and Cincinnati Security MBA (SMBA).
DNS High-Availability Tools - Open-Source Load Balancing SolutionsMen and Mice
The DNS protocol has built-in high availability for authoritative DNS servers (this will be better explained in the webinar!), but client machines can see a degraded DNS service if a DNS resolver (caching DNS server) is failing.
In this webinar, we will look into how the DNS clients in popular operating systems (Windows, Linux, macOS/iOS) choose the DNS resolver among a list of available servers, and how a DNS resolver service can be made failure-tolerant with open-source solutions such as “dnsdist” from PowerDNS and “relayd” from OpenBSD.
The document discusses the User Datagram Protocol (UDP) and the Transmission Control Protocol (TCP). UDP is a connectionless protocol that provides process-to-process communication over IP. TCP is connection-oriented and establishes a virtual connection between hosts to reliably send data using flow and error control. TCP numbers data bytes and uses sequence numbers and acknowledgments to ensure reliable in-order delivery. Connection establishment and termination with TCP uses three-way and four-way handshaking protocols. TCP guarantees in-order delivery of data to processes and handles lost packets.
This document discusses the risks of phishing and social networks. It begins with some basic terminology and context around key players like individuals, technology, and services involved. It describes the basic methodology that criminals and terrorists use to exploit common activities on the internet like social networks, email, and web browsing. This includes making counterfeit activities look normal to attract users. The document provides some statistics on data breaches and privacy losses. It emphasizes knowing yourself and potential threats to understand your risk profile. It recommends practical precautions to mitigate risks like keeping software updated, using security tools, and exercising common sense online. Resources for more information are also included.
Cisco Connect Toronto 2017 - Anatomy-of-attackCisco Canada
The document discusses how cyber attacks have evolved over time and how Cisco security solutions can help address modern threats. It provides examples of ransomware attacks and how Cisco mapped the attacker infrastructure involved. It then summarizes Cisco's Umbrella and Cloudlock solutions, emphasizing how Umbrella provides secure internet access and threat prevention through fast DNS resolution and intelligence-driven models, while Cloudlock focuses on securing usage of cloud apps and accounts.
Comodo Multi Domain SSL Certificate: Key Features by CheapSSLsecurityCheapSSLsecurity
Learn what is Comodo Multi Domain SSL certificate, how it works, understand its key features along with the encryption process of protecting multiple domains under a single certificate.
Symantec (ISTR) Internet Security Threat Report Volume 22CheapSSLsecurity
Symantec’s Internet Security Threat Report (ISTR) demonstrates how simple tactics and innovative cyber criminals led to unprecedented outcomes in global threat activity.
Cisco Connect Toronto 2017 - Accelerating Incident Response in Organizations...Cisco Canada
This document discusses accelerating incident response in organizations using Cisco's security solutions. It describes Cisco's approach of integrating tools across the network, email, web and endpoints to provide 30+ days of recorded system history and continuous automated hunting and analysis. This integrated view is meant to translate raw security data into meaningful intelligence to accelerate the incident response process of protecting systems, hunting for threats, and responding to incidents. The presentation provides examples of how specific Cisco products like AMP for Email, AMP ThreatGrid, AMP for Network, and AMP for Endpoint contribute capabilities like continuous analysis, retrospective detection, and enhanced visibility to speed up an organization's incident response.
This document discusses the role of DNS in internet threats like botnets and how hackers have evolved to use DNS for command and control and to evade detection. It explains how hackers can change IP addresses and domain names through techniques like IP flux, domain flux, and DNS tunneling. It argues that defenses must also evolve to track more domain names, handle larger and more complex DNS packets, and identify threats from big DNS traffic data. The document concludes by thanking attendees and providing contact information to continue the discussion.
(ISC)2 Cincinnati Tri-State Chapter: Phishing Forensics - Is it just suspicio...ThreatReel Podcast
Abstract:
What thoughts currently make tech defenders uneasy as they go to bed at night? Despite implementing and properly configuring the latest technological controls and security solutions into our environments, end users typically remain the most vulnerable point of entry into nearly any network. Unfortunately, only one misstep by a single user provides attackers with the foothold they need to begin compromising an entire enterprise network environment. The safety of our inboxes is a key initiative on the battlefront of protecting staff from the scourge of phishing and spear phishing attacks. We will perform a deep-dive look at the latest techniques used by criminals to bypass security products and traditional defense-in-depth strategies. We then focus heavily on conducting a digital forensic investigation on a sample phishing email message. Topics covered include technical analysis of message headers, message source code, message attachments, and malicious landing web pages even when a dedicated sandbox environment is unavailable.
Bio:
Matt Scheurer is a Systems Security Engineer working in the Financial Services industry. Matt holds a CompTIA Security+ Certification and possesses a number of Microsoft Certifications including: MCP, MCPS, MCTS, MCSA, and MCITP. Matt has presented on numerous Information Security topics as a featured speaker at a number of area Information Security meetup groups. Matt also had notable speaking engagements as a presenter at DerbyCon 5.0, DerbyCon 7.0, and the 10th Annual Northern Kentucky University Cyber Security Symposium. Matt maintains active memberships in a number of professional organizations including the Association for Computing Machinery (ACM), Cincinnati Networking Professionals Association (CiNPA), and Information Systems Security Association (ISSA). Matt is a regular attendee at monthly Information Security meetings for 2600, the CiNPA affiliated Security Special Interest Group (CiNPA Security SIG), Ohio Information Security Forum (OISF), and Cincinnati Security MBA (SMBA).
This document summarizes a presentation about Cisco Umbrella, a cloud-based security platform. The summary includes:
1) Cisco Umbrella protects organizations from internet threats by resolving domain names and inspecting web traffic before connections are made. It uses intelligence from billions of requests to identify malicious destinations and prevent both user and malware-initiated connections.
2) Cisco Umbrella provides visibility into all network activity, anywhere, and integrates with existing security tools. It can deploy protection to an entire global organization within minutes through DNS configuration.
3) The presentation cites case studies of customers seeing a 4-5 fold decrease in alerts, 70% reduction in virus tickets, and thousands saved in ransomware
Cisco Connect Toronto 2017 - NFV/SDN Platform for Orchestrating Cloud and vBr...Cisco Canada
Cisco's Virtual Managed Services (VMS) platform allows service providers to orchestrate and manage SD-WAN and NFV services from the cloud. The demo showed how VMS can rapidly deploy SD-WAN services across multiple sites with MPLS, internet, and LTE links using Cisco routers. VMS provides a multi-tenant cloud management platform that reduces costs and time to market for service providers while improving services for enterprise customers.
Google has changed Chrome's code to enforce HTTPS encryption on all ".dev" domains by default. This causes problems for developers who use ".dev" locally without HTTPS. Alternatives for local domain names include subdomains of owned domains, reserved domains like ".test", or protocols besides DNS like LLMNR and mDNS. Unbound and BIND can configure local zones to resolve names without internet access.
The document is a presentation on DNS (Domain Name System) given by Mauood Hamidi for his dissertation. It covers definitions of DNS, different types of DNS servers, tools used for DNS queries, DNS records, how DNS works to resolve domain names to IP addresses, and components of the DNS system like zones, name servers, and security considerations. It aims to provide an overview of the key concepts and functioning of DNS.
Internet of Things, Industrie 4.0, Big Data, Cloud, Vernetzung und so weiter und so fort. Die Digitalisierung schreitet voran und mit ihr kommen Trends und Buzzwords und gehen wieder. Eines bleibt jedoch: Die Sicherheitsanforderungen an die IT.
Drei Säulen der mobilen Sicherheit
Oft vernachlässigen Nutzer von Smartphones, sensible Daten auf ihren Geräten sicher zu schützen. Auch auf mobile Endgeräte lauern Gefahren, die vergleichbar mit denen sind, wie es sie auch für Laptop oder Desktop-PC gibt. Deshalb sollen an dieser Stelle, kurz die drei Säulen der mobilen Sicherheit erläutert werden. Dabei werden die drei häufigsten Schwachstellen bzw. Bedrohungen bei der Nutzung von Smartphones aufgezeigt und wie man sie am effizientesten beseitigt.
1. Bedrohung durch Malware
Gerade in den letzten drei Jahren haben sich die Bedrohungen durch Malware gerad zu verdoppelt und es kommen immer mehr hinzu. Für Android Betriebssysteme gibt es drei hauptsächliche Sicherheitslücken – dazu zählen der SMS-Trojaner, Backdoor-Lücken oder Spyware.
Wie kann das Gerät nun am effektivsten davor geschützt werden?
Es helfen dabei gesundes Misstrauen und das Installieren von neuester Upgrades, so dass das Smartphone immer up-to-date ist – aber eine Kontrolle des App-Downloads sollte generell stattfinden.
Sensible Daten werden am besten durch eine Verschlüsslung geschützt. Im gleichen Zug ist es ratsam, den Zugang zu sozialen Netzwerken zu sichern. Zusätzliche Schutzsoftware wie ESET Mobile Security kann dabei unterstützend angewandt werden.
2. Hacking
Es existieren ca. 36 Arten gehackte Geräte zu missbrauchen – E-Mail-Attacken, Reputation Hijacking durch die sozialen Medien, Zugangsdaten durch Phishing abfangen sind nur einige Beispiele dafür.
Hacking ist mit rund 80% dafür verantwortlich, dass Kriminelle an fremde Geräte und Daten gelangen. Dabei sind acht von zehn Hackings deshalb erfolgreich, weil Passwörter erraten, gestohlen oder geknackt wurden. Der beste Schutz vor Hacking kommt dem vor Malware gleich.
3. Verlust oder Diebstahl
Jeden Tag werden in etwa Geräte im Wert von 7 Mio. US$ verloren und das meistens zwischen 21:00 und 2:00 Uhr. In 73% der Fälle bleibt das Smartphone dauerhaft verschwunden. Besonders ärgerlich ist nicht nur der Verlust des Gerätes allein sondern auch der der Kontaktdaten und anderer sensibler Daten.
Vorsicht: Fallstricke in der digitalen Welt für den HandelsagentenMag.Natascha Ljubic
In der digitalen Welt gibt es spezifische Fallstricke, denen Handelsagenten gegenüberstehen könnten:
1. Sicherheit von sensiblen Informationen: Handelsagenten können mit sensiblen Kundendaten und vertraulichen Informationen arbeiten. Es ist wichtig, solche Informationen angemessen zu schützen, indem Verschlüsselungstechniken und geeignete Sicherheitsmaßnahmen verwendet werden.
2. Phishing- und Malware-Angriffe: Handelsagenten könnten Zielscheiben von Phishing-E-Mails oder Malware-Angriffen werden. Sie sollten in der Lage sein, verdächtige E-Mails zu erkennen, auf gefälschte Websites zu achten und geeignete Sicherheitssoftware zu verwenden, um ihre Systeme zu schützen.
3. Mobile Sicherheit: Handelsagenten, die Mobilgeräte wie Smartphones oder Tablets nutzen, müssen diese Geräte angemessen absichern. Dies beinhaltet das Verwenden sicherer Passwörter, das Aktualisieren der Software, das Vermeiden von unsicheren Netzwerken und das Installieren von Sicherheits-Apps.
4. Sichere Internetrecherche: Handelsagenten sollten bei der Durchführung von Internetrecherchen darauf achten, seriöse und vertrauenswürdige Quellen zu verwenden. Sie sollten sich auch bewusst sein, dass ihre Online-Aktivitäten verfolgt werden können und dass Datenschutzmaßnahmen getroffen werden sollten, um persönliche Informationen zu schützen.
Antivirus ist tot - schon wieder?
Die Anfroderungen an Security Software ist heutzutage enorm. Deswegen reicht eine Software, die ausschließlich Viren erkennt, schon lange nicht mehr aus. Wichtig sind Programme, die Malware und Viren erkennen.
Wer sind die Angreifer im Netz, was sind Ihre Ziele und gegen welche Arten von Attacken muss ich mich wappnen?
Es gilt immensen Schaden abzuwenden und das Vertrauen der Nutzer in Ihre Plattform zu gewinnen und zu bewahren.
Der Wettbewerb in der Handelsbranche kann intensiv sein. Handelsagenten müssen in der Lage sein, sich von der Konkurrenz abzuheben und einen Mehrwert für ihre Kunden zu bieten. Dabei gibt es auch viele digitale Fallstricke für Handelsagenten zu beachten.
ESET® Cyber Security Pro – Maximaler Schutz für Ihren Mac
Goodbye Malware! – Hello Performance!
Der Allrounder schützt Macs vor Gefahren aus dem Netz und infizierten Wechselmedien durch Features wie Firewall und Kindersicherung ohne Leistungseinbußen befürchten zu müssen.
Darüber hinaus verfügt diese Security Suite über Basic wie Antivirus, Antispyware und Anti-Phishing. Praktischerweise werden diese durch den Web- und E-Mail-Schutz, den Cloudbasierten Scan, die Personal Firewall, den Social Media Scanner und der Wechselmedienkontrolle ergänzt. Der Plattformübergreifende Schutz verhindert die Ausbreitung von Malware auf andere Systeme. Durch kleine, automatische Update-Pakete bleiben Sie immer auf dem aktuellen Stand und der Rechner wird währenddessen nur minimal beansprucht.
Ist mein Mac überhaupt in Gefahr? – Kein Betriebssystem ist zu 100% sicher.
Allgemein ist weniger Malware für die Apple Systeme im Umlauf, allerdings sind Sicherheitslücken weitverbreiteter Programme wie Java genauso gefährdet. Im Vergleich zu Windows sind Macs relativ sicher, denn es geht seltener eine Bedrohung durch Malware aus. Fakt ist aber, dass der Marktanteil der Apple-Geräte auch wesentlich geringer ist. Mit zunehmendem Markanteil würden also auch die Gefährdungen ansteigen. Das erste Malware-Programm für Mac wurde 2004 geschrieben und trägt den Namen OSX/Opener (Renepo). Eine schöne Übersicht über Mac-Malware ist unter der folgenden Webseite zu finden: http://www.eset.com/de/mac-malware-facts/
Der sicherste Weg ins Netz
Dank der mehrfach ausgezeichneten Scantechnologie und den starken Sicherheitsfeatures bleibt der Mac malwarefreie Zone. Das Anti-Phishing-Modul bewahrt vor manipulativen Webseiten, die es auf Passwörter und Bankdaten abgesehen haben.
Manche mögen’s sicherer – Mit Kinderaugen die Online-Welt entdecken
Die innovative Kindersicherung von ESET® Cyber Security Pro hilft Ihnen Ihren Kindern einen sicheren Zugang zum World Wide Web zu ermöglichen. Sie können mehr als 20 Webseitenkategorien sperren oder einzelne Seiten blacklisten.
Soziales Netzwerken sicherer gestalten – sensible Daten von Facebook und Twitter schützen
Gerade in den letzten Jahren stieg die Nutzung sozialer Netzwerke signifikant an. Dabei gehen immer mehr Menschen sorgloser mit Anmeldedaten und Informationen, die sie auf den Plattformen selbst preisgeben, um. Der ESET Social Media Scanner schütz ihr Profil in sozialen Medien vor gefährlichen Links.
Offensive Security – Das Metasploit FrameworkQAware GmbH
Pentests für Einsteiger – das Metasploit Framework und andere Tools, Mai 2020, Vortrag von Franz Wimmer (@zalintyre, Software Engineer at QAware)
== Dokument bitte herunterladen, falls unscharf! Please download slides if blurred! ==
Beitrag von Frau Prof. Eckert zum Thema "Design for Security - Cyber-Sicherheit gestalten!" auf der Cybersecurity 2013 des Handelsblatt am 10. Juni 2013 in Berlin
ESET Cyber Security - Gibt Ihrem Mac mehr Sicherheit
ESET Cyber Security ist der professionelle Basisschutz für Ihren Mac. Er besitzt Kernfunktionen wie Antivirus, Web- und E-Mail-Schutz, Wechselmedienkontrolle und plattformübergreifenden Schutz bei gleichzeitig geringer Systembelastung.
Das Antivirus und Antispyware Feature eliminiert Bedrohungen aller Art. Der Web- und E-Mail-Schutz prüft Webseiten und E-Mails auf Malware. Unbekannte Wechselmedien werden blockiert und erst wenn Sie durch die Wechselmedienkontrolle eine Freigabe forcieren, wird auf das Gerät zugegriffen und Dateien können gelesen werden. Ein plattformübergreifender Schutz verhindert das Ausbreiten von Malware auf Ihre anderen Systemgeräte. Die Software hat eine so effiziente Arbeitsweise, dass Sie durch die geringe Systembelastung wie gewohnt mit Ihrem Mac arbeiten können.
Perfekt geschützt vor Viren & Co.
ESET Cyber Security fügt den integrierten Sicherheitsfunktionen von Mac OS X weitere Schutzebenen hinzu und beseitigt on- wie offline zuverlässig Mac-, Linux- und Windows-Bedrohungen aller Art. Dabei blockiert ESETs mehrfach ausgezeichnete Erkennungstechnologie infizierte Wechselmedien oder E-Mail-Anhänge, verseuchte Webseiten oder Downloads sofort.
Gewohnte Mac-Performance
Damit Ihnen wie gewohnt die optimale Leistungsfähigkeit Ihres Macs zur Verfügung steht, wurde die Arbeitsweise der Cyber Security Suite so effizient gestaltet, das nur minimale Systemressourcen in Anspruch genommen werden. Bei ausreichend hohem Schutz steht Ihnen ausreichend Kapazität für Ihre Arbeit am Mac zur Verfügung. Genießen Sie Videos, Games und Präsentationen ohne Unterbrechungen und Verzögerungen mit dem eigens entwickelten Präsentationsmodus.
Bereit zur Verteidigung
Nach kurzer Installation ist der Mac schon durch umfassende Standardeinstellungen geschützt. Das Programm arbeitet vollautomatisch kaum spürbar im Hintergrund und benötigt eine Eingabe Ihrerseits wirklich nur dann wenn es notwendig ist.
Die intelligente Ein-Klick-Lösung schlägt Ihnen bei einer Warnmeldung die richtige Herangehensweise zur Lösung des Problems vor. Informationen zum Schutzstatus sowie meist verwendeten Anwendungen und Tools sind immer von allen Bildschirmen aufrufbar.
IT-Sicherheit - Daten in 10 Schritten sichern, einfaches Tutorial für Schutz vor Hacking, wie Sie Ihren PC, Smartphone und Netzwerk vor Cyberkriminalität schützen
ExpertsLiveEurope The New Era Of Endpoint SecurityAlexander Benoit
Cyber Security & Defense is the emerging topic of the IT industry these days. A secure environment is no longer just a well-maintained firewall or a well-managed network. Rather, it is made up of several layers. However, most companies are „reactive“ instead of „proactive“, or neither, when it comes to securing their IT environments and detecting security breaches. In addition to this, the product portfolio and the security market is changing rapidly, and these changes make our jobs as IT Professionals significantly more difficult. But how can we deal with this challenge? In my session I will take a look into supposed “obvious“ security threats and how the Microsoft Cyber security stack can help to detect attackers and threats that have evaded our defenses.
Windows 10 and the cloud: Why the future needs hybrid solutionsAlexander Benoit
This document discusses new technologies from Microsoft for deploying and managing Windows 10 devices, including the Windows Autopilot Deployment Program. Key points include:
- The Windows Autopilot Deployment Program allows hardware vendors to pre-configure devices with a profile that allows employees to easily set up their new device themselves with little IT involvement.
- Devices are configured and managed primarily through the use of Microsoft Intune for mobile device management and Azure Active Directory for identity services.
- Windows Update for Business is used to keep all devices up to date through the Windows Update cloud service using additional policies for update deferral and active hours.
Best practices to secure Windows10 with already included featuresAlexander Benoit
AppLocker, Windows Information Protection, Device Guard, WDAG - there are many ways to secure Windows 10. Not all ways are compatible with enterprise requirements. In the session, we look at what we are able to do and discuss experiences from the field around what works well and what doesn’t. In addition, we check how Configuration Manager can support us.
https://youtu.be/zqUwgLDmCqY
Experts Live Europe 2017 - Windows 10 Servicing - the do’s and don'tsAlexander Benoit
Many companies have already adopted and implemented Windows 10. So far, so good - but the experiences from the field and big threats like WannaCry still demonstrate that many companies have massive trouble in servicing Windows 10. Either some of them simply overengineer the whole process by putting way too much effort into application testing repeatedly or they just give up and let everything happen. In my session, I will show you what my experiences have been. What you should consider and what is just overhead. We will talk about deployment tweaks of Configuration Manager, Application Compatibility, the management process of updates , Upgrade Readiness and how Windows Analytics can help.
Experts Live Europe 2017 - Windows 10 and the cloud - why the future needs hy...Alexander Benoit
Cloud services have become firmly established in the working day of many companies. Almost everywhere, initiatives or projects are in progress that deal with the workplace of the future. Windows 10, Intune and Azure Active Directory open up new opportunities for cloud-based management, authentication, and administration. Scenarios such as BYOD and COPE let companies think about how users access business resources and apps.
Experts Live Europe 2017 - Best Practices to secure Windows 10 with already i...Alexander Benoit
AppLocker, Windows Information Protection, Device Guard, Windows Defender Application Guard- there are many ways to secure Windows 10. Not all ways are compatible with Enterprise requirements. In the session, we will have a look at what we are able to do and I will add some experiences from the field about what works well and what doesn’t. In addition, we will check how ConfigMgr can support us.
13. 2016:
Phishing-Angriff auf Clinton-
Kampagne
Ergebnis:
50,000 E-Mails landen auf
Wikileaks…
…was den Ausgang der Wahl
möglicherweise beeinflusst hat
John Podesta (DNC)
Chairman bei der Clinton-
Kampagne
Er war maßgeblich für den
DNC-Leak verantwortlich
Phishing scheinbar durch
Tippfehler verursacht
E-Mail selbst gehostet
Keine Sicherheit / MFA
Keine Verschlüsselung
14.
15.
16. Malicious Attachment Execution
Browser or Doc Exploit Execution
Stolen Credential Use
Internet Service Compromise
Kernel-mode Malware
Kernel Exploits
Pass-the-Hash
Malicious Attachment Delivery
Browser or Doc Exploit Delivery
Phishing Attacks
ATTACK
ESPIONAGE, LOSS OF IPDATA THEFT RANSOMLOST PRODUCTIVITYBUSINESS DISRUPTION
ENTER
ESTABLISH
EXPAND
ENDGAME
NETWORK
DEVICE
USER
21. SCHÜTZEN, ERKENNEN UND REAGIEREN
PRE-BREACH POST-BREACH
Bedingter Zugriff
Windows Defender
ATP
Einbruchserkennung:
Untersuchung und
Reaktion
Schutz von
Geräten
Integrität der Geräte
Gerätesteuerung
Schutz von
Informationen
BitLocker und
BitLocker to Go
Windows
Information
Protection
Absicherung
gegen
Bedrohungen
SmartScreen
Windows-Firewall
Microsoft Edge
Device Guard
Windows Defender
Windows Hello
Credential Guard
Schutz der
Identitäten
Schutz von
Geräten
Integrität der Geräte
Gerätesteuerung
Absicherung
gegen
Bedrohungen
SmartScreen
Windows-Firewall
Microsoft Edge
Device Guard
Windows Defender
DER WINDOWS 10-SICHERHEITSSTACK
22. On-Premises
Cloud
Windows 10
Enterprise
Device
Windows 10 Defense Stack & Supporting Technologies
Windows Hello for Business
Windows
Information
Protection
Windows
Defender
Credential
Guard
Advanced Threat Analytics Microsoft Bitlocker
Administration &
Management
Windows Defender
Advanced Threat Protection
Device
Guard
KMCI
Bitlocker
AppLocker
Health
Attestation
User
Account
Control
Active Directory
Active Directory
Federation Services
Device
Guard
UMCI
Azure Active Directory
Device Identity Data Application
EFS
Windows Server 2012
AD RMS FCI
Azure RMS / Azure
Information Protection
SmartScreen
Conditional
Access
Security Baseline
24. Bedrohungsschutz
über die Zeit
Angreifer nutzen die Zeit
zwischen den Releases aus
P R O D U K T -
V E R F Ü G B A R K E I T
B E D R O H U N G S -
R A F I N E S S E
Z E I T
FAÄHIGKEITEN
Änderungen mit
Windows und Software
as a Services
Angriffsszenarien werden
durch permanente Innovation
zerstört
Schutzlücke
26. UMFASSENDER SCHUTZ VOR BEDROHUNGEN
Extern
Intern
SmartScreen Windows-Firewall
Device GuardWindows Defender
Office ATP
Microsoft Edge mit
Application Guard
28. (Upgraded from Windows 7 or 32-bit Windows 8)
POST-BREACHPRE-BREACH
Breach detection
investigation &
response
Device
protection
Identity
protection
Information
protection
Threat
resistance
29. (Fresh Install or upgraded from 64-bit Windows 8)
POST-BREACHPRE-BREACH
Breach detection
investigation &
response
Device
protection
Identity
protection
Information
protection
Threat
resistance
32. Kernel Mode Code Integrity in Device Guard
UEFI Secure Boot KMCIPlatform Secure Boot UMCI AppLocker
Threat
Mitigation
Note
ROM/Fuses Bootloaders Native UEFI
Windows
OS Loader
Windows
Kernel, Boot
Drivers,
System Files
ELAM, AV
Driver, and
3rd Party
Drivers
User mode code (apps,
etc.)
42. DER WINDOWS 10-SICHERHEITSSTACK
SCHÜTZEN, ERKENNEN UND REAGIEREN
PRE-BREACH POST-BREACH
Windows Defender
ATP
Einbruchserkennun
g: Untersuchung
und Reaktion
Schutz von
Geräten
Integritätsnachweis
Device Guard
Gerätesteuerung
Sicherheitsrichtlinien
Schutz von
Informationen
Geräteschutz/Laufw
erksverschlüsselung
Windows
Information
Protection
Bedingter Zugriff
Absicherung
gegen
Bedrohungen
SmartScreen
AppLocker
Device Guard
Windows Defender
Netzwerk/Firewall
Integrierte
zweistufige
Authentifizierung
Kontosperrung
Überwachung von
Anmeldeinfor
Schutz der
Identitäten
Einbruchserkennung:
Untersuchung und
Reaktion
Schutz von
Geräten
Schutz von
Informationen
Absicherung
gegen
Bedrohungen
Bedingter Zugriff
Windows Defender
ATP
Integrität der Geräte
Gerätesteuerung
BitLocker und
BitLocker to Go
Windows
Information
Protection
SmartScreen
Windows-Firewall
Microsoft Edge
Device Guard
Windows Defender
Windows Hello
Credential Guard
Schutz der
Identitäten
43.
44. Threat
Microsoft SmartScreen
Phishing and malware filtering technology for Internet
Explorer 11 and Microsoft Edge in Windows 10.
URL Reputation Checks
Application Reputation Protection
Phishing Attacks
Social Engineered Malware
Deceptive Advertisements
Support Scams
Drive-by Attacks
Mitigation
47. • The Windows Defender SmartScreen provides an early warning system to notify users of suspicious
websites that could be engaging in phishing attacks or distributing malware through a socially
engineered attack.
• Windows Defender SmartScreen is one of the multiple layers of defense in the anti-phishing and
malware protection strategies
Check
downloaded
files Windows Defender
Cloud Protection
Click!
Attacker
Generate new
malware file
Send file
metadata
Evaluate
metadata
Verdict: Malware – Block!
Malware Block!
Including Machine Learning,
proximity, lookup heuristics
Command & Control
User
49. Number of exploited
web browser CVEs
Number of days with known
zero day exploit in the wild
Number of Vulnerabilities
(CVEs) by web browser
50. MICROSOFT EDGE: ENTWICKLUNG EINES
SICHEREREN BROWSERS
Die grundlegend verbesserte Sicherheit sorgt für eine vertrauenswürdigere Nutzung des Internets unter Windows 10
SCHUTZ DER BENUTZER
(SmartScreen)
(Microsoft Passport und Windows Hello)
(Cert. Reputation, EdgeHTML, W3C Content Security Policy,
HTTP Strict Transport Security)
SCHUTZ DES BROWSERS
www
Neues
(Universelle Windows-Plattform)
(Windows Address Space Layout Randomization auf 64-Bit-Systemen)
(MemGC)
(Control Flow Guard)
51. MICROSOFT EDGE SICHERHEITSVERBESSERUNGEN
Microsoft Edge und Flash
haben keinen Vollzugriff auf
win32k.sys—API-Aufrufe
werden gefiltert
Nur 40 % der Schnittstellen
stehen Flash und Edge zur
Verfügung – dies verringert
die Angriffsfläche
Win32k.sys
Flash Host-Prozess
Edge Content-Prozess
Vorher – Vollzugriff auf Win32.sys
Microsoft Edge Windows Kernel
Blockierte Win32k.sys-Schnittstellen
Zulässige Win32k.sys-Schnittstellen
Flash Host-Prozess
Edge Content-Prozess
Heute – 60 % weniger Schnittstellen verfügbar
Microsoft Edge Windows Kernel
Der Flash-Player hat jetzt
seinen eigenen AppContainer
Der Flash-Player wurde für
einen besseren Speicherschutz
gehärtet
52.
53. HARDWARE ISOLIERUNG MIT
WINDOWS DEFENDER APPLICATION GUARD
Verschiebt Browsersitzungen
in eine isolierte, virtualisierte
Umgebung
Sorgt für einen erheblich
besseren Schutz und härtet
den beliebtesten Zugang von
Angreifern
Veröffentlicht in Windows 10
Fall Creators Update (1709)
Hypervisor
Gerätehardware
Kernel
Windows Platform
Services
Apps
Kernel
Windows
Platform Services
Microsoft Edge
SystemContainer
Kernel
Wichtige
Systemprozesse
AppContainer Windows-Betriebssystem
Hyper-V Hyper-V
56. DEVICE GUARD
Windows-Desktops können für die
ausschließliche Ausführung von
vertrauenswürdigen Apps abgesichert werden
(vergleichbar mit mobilen Betriebssystemen
wie Windows Phone)
Unterstützt alle Apps inkl. Universal- Desktop-
Apps (Win32).
Nicht vertrauenswürdige Apps und
ausführbare Dateien wie Malware können
nicht gestartet werden
Die Apps müssen vom Microsoft-
Signierungsdienst signiert werden. Keine
weiteren Modifikationen erforderlich.
Hardwarebasierte App-Kontrolle
57.
58.
59.
60. erstellen Audit Mode
Golden Client
Golden Policy
Default Client
Root CA
Finale Policy
bestehend
aus Golden
Policy + Audit
Policy
Windows Store for Business
Code Integrity Policy
61.
62.
63.
64.
65.
66.
67. Kernel Mode Code Integrity in Device Guard
UEFI Secure Boot KMCIPlatform Secure Boot UMCI AppLocker
Threat
Mitigation
Note
ROM/Fuses Bootloaders Native UEFI
Windows
OS Loader
Windows
Kernel, Boot
Drivers,
System Files
ELAM, AV
Driver, and
3rd Party
Drivers
User mode code (apps,
etc.)
68. Overview
Application
Signing Options
Download default Device Guard configurable CI policy.
Catalog signing with enterprise-specific, unique keys.
Available to OEMs, IHV, ISVs, and Enterprises.
Code Integrity
Policy
Requirements
69.
70. SCHÜTZEN, ERKENNEN UND REAGIEREN
PRE-BREACH POST-BREACH
Bedingter Zugriff
Windows Defender
ATP
Einbruchserkennung:
Untersuchung und
Reaktion
Schutz von
Geräten
Integrität der Geräte
Gerätesteuerung
Schutz von
Informationen
BitLocker und
BitLocker to Go
Windows
Information
Protection
Absicherung
gegen
Bedrohungen
SmartScreen
Windows-Firewall
Microsoft Edge
Device Guard
Windows Defender
Windows Hello
Credential Guard
Schutz der
Identitäten
Windows Hello
Credential Guard
Schutz der
Identitäten
Schutz von
Informationen
BitLocker und
BitLocker to Go
Windows
Information
Protection
DER WINDOWS 10-SICHERHEITSSTACK
71. MODERNE SICHERHEITSHERAUSFORDERUNGEN:
PASS THE HASH-ANGRIFFE
Pass the Hash-Angriffe haben sich von einer
theoretischen zu einer ganz konkreten Bedrohung
entwickelt
Sie ermöglichen einem Angreifer über gängige
Hacking-Tools wie MimiKatz,
Benutzeranmeldeinformationen zu entwenden
Danach kann ein Angreifer häufig weitere
abgeleitete Anmeldeinformationen entwenden und
sich im Netzwerk bewegen
Der Angreifer kann sich häufig auch bei einer
Entdeckung im Netzwerk halten, indem er von
einer Identität zur nächsten wechselt
72. Credential Guard
• Credential Guard isolates secrets that previous versions of Windows stored in the Local Security
Authority (LSA) by using virtualization-based security.
• The LSA process in the operating system talks to the isolated LSA by using remote procedure calls.
• Data stored by using VBS is not accessible to the rest of the operating system.
• This prevents Pass-the-Hash and Pass-the-Ticket attacks
73. DER WINDOWS 10-SICHERHEITSSTACK
SCHÜTZEN, ERKENNEN UND REAGIEREN
PRE-BREACH POST-BREACH
Windows Defender
ATP
Einbruchserkennun
g: Untersuchung
und Reaktion
Schutz von
Geräten
Integritätsnachweis
Device Guard
Gerätesteuerung
Sicherheitsrichtlinien
Schutz von
Informationen
Geräteschutz/Laufw
erksverschlüsselung
Windows
Information
Protection
Bedingter Zugriff
Absicherung
gegen
Bedrohungen
SmartScreen
AppLocker
Device Guard
Windows Defender
Netzwerk/Firewall
Integrierte
zweistufige
Authentifizierung
Kontosperrung
Überwachung von
Anmeldeinfor
Schutz der
Identitäten
Einbruchserkennung:
Untersuchung und
Reaktion
Schutz von
Geräten
Schutz von
Informationen
Absicherung
gegen
Bedrohungen
Bedingter Zugriff
Windows Defender
ATP
Integrität der Geräte
Gerätesteuerung
BitLocker und
BitLocker to Go
Windows
Information
Protection
SmartScreen
Windows-Firewall
Microsoft Edge
Device Guard
Windows Defender
Windows Hello
Credential Guard
Schutz der
Identitäten
83. Gründe für
Windows Hello
Gerätelokale Authentifizierung
• Vorgang findet lokal statt
• Authentifizierungsinformationen liegen nur lokal
vor
• PIN und/oder biometrische Informationen
werden nicht übermittelt und verlassen das Gerät
nicht
84. Gründe für
Windows Hello
Gerätegebundene
Authentifizierung
• Die Anmeldung ist nur für das Gerät gültig, auf
dem Hello eingerichtet wurde
Benutzergebundene
Authentifizierung
• Die Anmeldung ist nur für den Benutzer gültig,
für den Hello eingerichtet wurde
Credentials können nicht
weiterverwendet werden!
85. Gründe für
Windows Hello
Anmeldung mit PIN
• Auch eine PIN ist sicherer als ein
Passwort!
Denn sie ist
• Gerätespezifisch
• Gerätelokal
• Wird nicht übermittelt
• PIN kann beliebig komplex sein
• Auch Passwörter als PIN möglich
86. Gründe für
Windows Hello
Biometrische Anmeldung
• Hoher Komfort für Anwender
•Schnelle Anmeldung, ohne
darüber nachzudenken
•Hohe Sicherheit
• Genaue biometrische Verfahren
• Niedrige FAR / FRR
87. SCHÜTZEN, ERKENNEN UND REAGIEREN
PRE-BREACH POST-BREACH
Bedingter Zugriff
Windows Defender
ATP
Einbruchserkennun
g: Untersuchung
und Reaktion
Schutz von
Geräten
Integrität der Geräte
Gerätesteuerung
Schutz von
Informationen
BitLocker und
BitLocker to Go
Windows
Information
Protection
Absicherung
gegen
Bedrohungen
SmartScreen
Windows-Firewall
Microsoft Edge
Device Guard
Windows Defender
Windows Hello
Credential Guard
Schutz der
Identitäten
Schutz von
Informationen
BitLocker und
BitLocker to Go
Windows
Information
Protection
Bedingter Zugriff
Windows Defender
ATP
Einbruchserkennung:
Untersuchung und
Reaktion
DER WINDOWS 10-SICHERHEITSSTACK
88. 2HIPPA Secure Now, “A look at the cost of healthcare data breaches,” Art Gross, 30. März 2012
… haben schon einmal versehentlich
sensible Informationen an einen falschen
Empfängergeschickt.1
58%
… der Führungskräfte speichern
regelmäßig berufliche Dateien in einem
privaten E-Mail-oder Cloud-Konto.1
87%
… Durchschnittskosten pro Datensatz
bei einem Datenverlust.2
240USD
PRO
DATENSATZ
1Stroz Friedberg, “On The Pulse: Information Security In American Business,” 2013
DATENVERLUSTE
89. SCHUTZ VON
GERÄTEN
TRENNUNG
VON DATEN
SCHUTZ VOR
LEAKS
SCHUTZ BEI
WEITERGABE
SCHUTZ VON
GERÄTEN
BitLocker-
Erweiterungen in
Windows 8.1
InstantGo
Adaption durch
Drittanbieter
TRENNUNG
VON DATEN
SCHUTZ VOR
LEAKS
SCHUTZ BEI
WEITERGABE
BitLocker WindowsInformationProtection
AzureRights Management
ANFORDERUNGEN FÜR DEN INFORMATIONSSCHUTZ
Office365
90. Moderne Geräte sind möglicherweise bereits
standardmäßig über die BitLocker-Technologie
verschlüsselt
TPM wird immer häufiger eingesetzt
TPM ist seit Ende 2015 auf allen neuen Windows-
Geräten vorhanden
Einfachere Bereitstellung und eine hohe
Sicherheit, Zuverlässigkeit und Leistung
Einzelanmeldung für moderne Geräte und für
konfigurierbare Windows 7-Hardware
An Unternehmen ausgerichtete Verwaltung
(MBAM) und Compliance (FIPS)
VERSCHLÜSSELUNG VON GERÄTEN
BitLocker
91. • Full drive encryption solution provided natively with Windows 10 Professional and Enterprise
• Used to protect the operating system drive, secondary data drives and removable devices
• System Center Configuration Manager, MDT and Intune can be used to deploy BitLocker
Overview
94. - Bei Änderungen an der Hard- und Software
muss BitLocker u.U. neu aktiviert werden, da der
TPM-Chip verschiedene Systemwerte beim Start
prüft
BITLOCKER
Einschränkungen
- Kein Schutz vor „Online“-Angriffen:
Wenn das System gestartet wurde, ist die Bootfestplatte
entschlüsselt.
- Nur ausschalten des Systems hilft hier
Ggf. Standby deaktivieren (GPO)
95. SCHUTZ VON
GERÄTEN
TRENNUNG
VON DATEN
SCHUTZ VOR
LEAKS
SCHUTZ BEI
WEITERGABE
SCHUTZ VON
GERÄTEN
Schutz des Systems
und der Daten im
Fall von verlorenen
oder gestohlenen
Geräten
Eindämmung
Trennung der
Daten
TRENNUNG
VON DATEN
Verhindern des
Zugriffs durch nicht
autorisierte Apps
SCHUTZ VOR
LEAKS
ANFORDERUNGEN FÜR DEN INFORMATIONSSCHUTZ
96. LÖSUNGEN
ZUM SCHUTZ VOR DATENVERLUSTEN
Mobile Plattformen
Einsatz von Containern
Schlechtere Benutzererfahrung
Einfache Bereitstellung
Geringe Kosten
Desktop-Plattform
Beschränkte
Plattformintegration
Bessere Benutzererfahrung
Schwierige Bereitstellung
Höhere Kosten
97. WINDOWS INFORMATION PROTECTION
Verhindert den Zugriff auf
Unternehmensdaten durch nicht
autorisierte Apps und Leaks durch
Benutzer über Copy&Paste.
Nahtlose Integration in die
Plattform. Kein Wechseln oder
Starten von Apps erforderlich.
Integrierter Schutz vor ungewollten Daten-Leaks
Bereitstellung mit Windows 10
Anniversary Update
Schützt lokal und auf mobilen
Datenträgern gespeicherte Daten.
Eine Umgebung auf allen
Windows 10-Geräten mit Schutz
gegen Copy&Paste.
Persönliche Daten und
Unternehmensdaten werden
identifiziert und können gelöscht
werden.
99. SCHUTZ VON
GERÄTEN
TRENNUNG
VON DATEN
SCHUTZ VOR
LEAKS
SCHUTZ BEI
WEITERGABE
Eindämmung
TRENNUNG BYOD-
DATEN
TRENNUNG
VON DATEN
Verhindern des
Zugriffs durch nicht
autorisierte Apps
SCHUTZ VOR
LEAKS
Schutz der Daten
bei der Weitergabe
an andere oder
außerhalb der
Geräte und
Kontrolle der
Organisation
SCHUTZ BEI
WEITERGABE
ANFORDERUNGEN FÜR DEN INFORMATIONSSCHUTZ
100. SCHUTZ BEI WEITERGABE
Schutz aller Dateitypen an jedem Ort –
unterwegs, Cloud, E-Mail, BYOD etc.
Unterstützung gängiger Geräte und Systeme –
Windows, OSX, iOS, Android
Unterstützung von B2B und B2B per Azure
Active Directory
Unterstützung von lokalen Szenarien und
Cloud-basierten Szenarien (z. B. Office 365)
Nahtlose und einfachere Bereitstellung und
Unterstützung von FIPS 140-2-Richtlinien
und Compliance-Vorgaben
Rechteverwaltungsdienste
Erhebliche Verbesserungen
gegenüber Windows 7
Persistenter und nicht
entfernbarer Schutz für
die Daten
101. SCHÜTZEN, ERKENNEN UND REAGIEREN
PRE-BREACH POST-BREACH
Bedingter Zugriff
Windows Defender
ATP
Einbruchserkennun
g: Untersuchung
und Reaktion
Schutz von
Geräten
Integrität der Geräte
Gerätesteuerung
Schutz von
Informationen
BitLocker und
BitLocker to Go
Windows
Information
Protection
Absicherung
gegen
Bedrohungen
SmartScreen
Windows-Firewall
Microsoft Edge
Device Guard
Windows Defender
Windows Hello
Credential Guard
Schutz der
Identitäten
Schutz von
Informationen
BitLocker und
BitLocker to Go
Windows
Information
Protection
Bedingter Zugriff
Windows Defender
ATP
Einbruchserkennung:
Untersuchung und
Reaktion
DER WINDOWS 10-SICHERHEITSSTACK
102. ANGRIFFE PASSIEREN SCHNELL UND
SIND SCHWER AUFZUHALTEN
Wenn ein Angreifer eine
E-Mail an 100 Mitarbeiter
Ihres Unternehmens sendet,
…
… wird diese von 23
Mitarbeitern geöffnet, …
… 11 Mitarbeiter von den 23
öffnen den Anhang …
… und sechs Mitarbeiter
machen dies innerhalb
der ersten Stunde.
103. WINDOWS DEFENDER
ADVANCED THREAT PROTECTION
ERKENNEN VON ERWEITERTEN ANGRIFFEN UND
BESEITIGEN VON EINBRÜCHEN
Einzigartige Informationsdatenbank mit
Bedrohungsinformationen
Einzigartige Ressourcen ermöglichen detaillierte Profile der Akteure
Bedrohungsdaten von Microsoft und Drittanbietern.
Umfangreicher Untersuchungszeitraum
Umfang des Einbruchs leicht zu überblicken. Verschieben von
Daten auf Endpunkten. Tief greifende Datei- und URL-Analyse.
Verhaltensbasierte und Cloud-gestützte Einbruchserkennung
Aussagekräftige und korrelierte Alarme für bekannte und unbekannte Bedrohungen.
Echtzeitdaten und Verlaufsdaten.
In Windows integriert
Keine zusätzliche Bereitstellung und Infrastruktur. Immer auf dem neuesten
Stand bei geringen Kosten.
115. The frequency and sophistication of
cybersecurity attacks are getting worse.
The median # of days that
attackers reside within a
victim’s network before
detection
146
Sobering statistics
$500BThe total potential cost of
cybercrime to the global
economy
of all network intrusions
are due to compromised
user credentials
>63% $3.8MThe average cost of a data
breach to a company
116. Every customer, regardless of industry vertical,
is either under attack or already breached.
Banking and
financial
services
Energy and
telco
Manufacturing EducationGovernment
and public
sector
RetailHealth and
social services
117.
118.
119.
120. Designed to protect
the perimeter
Complexity Prone to false
positives
When user credentials are stolen
and attackers are in the network,
your current defenses provide
limited protection.
Initial setup, fine-tuning,
and creating rules and
thresholds/baselines
can take a long time.
You receive too many reports
in a day with several false
positives that require valuable
time you don’t have.
121.
122. Monitors behaviors of users and other
entities by using multiple data sources
Profiles behavior and detects anomalies
by using machine learning algorithms
Evaluates the activity of users and other
entities to detect advanced attacks
User and Entity
Behavior Analytics
UEBA
Enterprises successfully
use UEBA to detect
malicious and abusive
behavior that otherwise
went unnoticed by
existing security
monitoring systems,
such as SIEM and DLP.
123. Microsoft Advanced Threat Analytics
brings the behavioral analytics concept
to IT and the organization’s users.
Behavioral
Analytics
Detection of advanced
attacks and security risks
Advanced Threat
Detection
An on-premises platform to identify advanced security attacks and insider threats before
they cause damage
124. Detect threats
fast with
Behavioral
Analytics
Adapt as fast
as your
enemies
Focus on what
is important
fast using the
simple attack
timeline
Reduce the
fatigue of false
positives
Prioritize and
plan for next
steps
125. Analyze1 After installation:
• Simple non-intrusive port mirroring, or
deployed directly onto domain controllers
• Remains invisible to the attackers
• Analyzes all Active Directory network traffic
• Collects relevant events from SIEM and
information from Active Directory (titles,
groups membership, and more)
126. ATA:
• Automatically starts learning and profiling
entity behavior
• Identifies normal behavior for entities
• Learns continuously to update the activities
of the users, devices, and resources
Learn2
What is entity?
Entity represents users, devices, or resources
127. Detect3 Microsoft Advanced Threat Analytics:
• Looks for abnormal behavior and identifies
suspicious activities
• Only raises red flags if abnormal activities are
contextually aggregated
• Leverages world-class security research to detect
security risks and attacks in near real-time based on
attackers Tactics, Techniques, and Procedures (TTPs)
ATA not only compares the entity’s behavior
to its own, but also to the behavior of
entities in its interaction path.
128. Alert4
ATA reports all suspicious
activities on a simple,
functional, actionable
attack timeline
ATA identifies
Who?
What?
When?
How?
For each suspicious
activity, ATA provides
recommendations for
the investigation and
remediation
129. New and Improved Detections
New Welcome Experience
New Gateway Update Page
Improved configuration experience
User Experience Improvements
SAMR Reconnaissance Detection
Pass-the-Ticket Improvement
Pass-the-Hash Improvement
Abnormal Behavior Enhancements
Unusual Protocol Implementation Improvement
Infrastructure Enhancements
Role Based Access Control
Center & Gateway support for Windows Server 2016
Lightweight Gateway support for Windows Server Core
130. Abnormal resource access
Account enumeration
Net Session enumeration
DNS enumeration
SAM-R Enumeration
Abnormal working hours
Brute force using NTLM, Kerberos, or LDAP
Sensitive accounts exposed in plain text authentication
Service accounts exposed in plain text authentication
Honey Token account suspicious activities
Unusual protocol implementation
Malicious Data Protection Private Information (DPAPI) Request
Abnormal authentication requests
Abnormal resource access
Pass-the-Ticket
Pass-the-Hash
Overpass-the-Hash
MS14-068 exploit (Forged PAC)
MS11-013 exploit (Silver PAC)
Skeleton key malware
Golden ticket
Remote execution
Malicious replication requests
Reconnaissance
Compromised
Credential
Lateral
Movement
Privilege
Escalation
Domain
Dominance
131. Updates and upgrades
automatically with the latest and
greatest attack and anomaly
detection capabilities that our
research team adds
Auto updates Integration to SIEM Seamless deployment
Analyzes events from SIEM to
enrich the attack timeline
Works seamlessly with SIEM
Provides options to forward
security alerts to your SIEM or to
send emails to specific people
Software offering that runs on
hardware or virtual
Utilizes port mirroring to allow
seamless deployment alongside AD,
or installed directly on domain
controllers
Does not affect existing topology
132. INTERNET
ATA GATEWAY 1
VPN
DMZ
Web
Port mirroring
Syslog forwarding
SIEM
Fileserver
DC1
DC2
DC3
DC4
ATA CENTER
DB
Fileserver
ATA
Lightweight
Gateway
:// DNS
133. Captures and analyzes DC network
traffic via port mirroring
Listens to multiple DCs from a
single Gateway
Receives events from SIEM
Retrieves data about entities from
the domain
Performs resolution of network entities
Transfers relevant data to the ATA Center
ATA GATEWAY 2
ATA GATEWAY 1
Port mirroring
Syslog forwarding
Fileserver
DC1
DC2
DC3
DC4
ATA CENTER
DB
Fileserver
Port mirroring
SIEM
:// DNS
134. Installed locally on light or branch-site
Domain Controllers
Analyzes all the traffic for a specific DC
Provides dynamic resource limitation
Retrieves data about entities from
the domain
Performs resolution of network entities
Transfers relevant data to the ATA Center
Fileserver
DC1
DC2
DC3
DC4
ATA CENTER
DB
Fileserver
ATA
Lightweight
Gateway
ATA
Lightweight
Gateway
SIEM
:// DNS
135. Manages ATA Gateway configuration
settings
Receives data from ATA Gateways and
stores in the database
Detects suspicious activity and abnormal
behavior (machine learning)
Provides Web Management Interface
Supports multiple Gateways
ATA GATEWAY 1
Port-mirroring
Syslog forwarding
Fileserver
DC1
DC2
DC3
DC4
ATA CENTER
DB
Fileserver
ATA
Lightweight
Gateway
SIEM
:// DNS
136. DC1
10.10.1.1
DC2
10.10.1.2
DC3
10.10.1.3
SIEM
ATA CENTER
Port mirror group 1
Event forwarding to
gateway 1
ATA GATEWAY 1
DC4
10.10.1.4
DC6
10.10.1.6
Mgmt adapter – 10.10.1.111
Computer Certificate –
gateway1.contoso.com
IIS – 10.10.1.101
Web Server Certificate –
webata.contoso.com
ATA Center – 10.10.1.102
Computer Certificate –
center.contoso.com
DNS
ATA Lightweight
Gateway
ATA Lightweight
Gateway
://