3. 2
• In unserem SecOps-Seminar stellen wir die operative Informationssicherheit
(Security Operations, kurz: SecOps) mit ihren technischen und rechtlichen
Aspekten dar.
SecOps: Operative Informationssicherheit
• Zielgruppe:
• Betreiber
• Administratoren
• Rechenzentrumsleiter
• Entscheider
• Führungskräfte
• Projektleiter
• Skill Level:
• Einsteiger
• Experten
• Fortgeschrittene
4. 3
• Auf unserem Seminar zeigen wir in einer Praxisdemonstration, wie ein Angriff
automatisiert erkannt und abgewehrt werden kann.
• Hierbei zeigen wir das Zusammenspiel von:
• Schwachstellen-Scanner
• Security Information and Event Management (SIEM)
• Network Access Control (NAC)
• Die Rolle des SIEM übernimmt dabei Splunk.
Einsatz von Splunk
6. 5
• Verwundbarer Server (Metasploitable2)
• Linux VM mit Schwachstellen
Target - Metasploitable
https://www.metasploit.com
7. 6
• Schwachstellen-Scanner (OpenVAS)
• Kann Systeme auf bekannte Schwachstellen überprüfen
• Meldet Befunde an Splunk
• Erhöht Awareness der eigenen Angriffsfläche
Scanner - OpenVAS
http://openvas.org/index-de.html
8. 7
• Cisco ISE – NAC-Server
• Überprüft Anfragen auf Zugang zum Netzwerk
• Teilt Switches mit, ob Zugriff zulässig
• Veranlasst dadurch Anpassungen am Switch, um Zugriff evtl. abzuschalten
• Kann über Rest-API ferngesteuert werden
NAC - Cisco ISE
https://www.cisco.com/c/de_de/products/security/identity-services-engine/index.html
9. 8
• Splunk Enterprise als SIEM-System
• Empfängt Log-Daten von allen Systemen (außer dem Angreifer)
• Führt Korrelationen durch
• Kann Aktionen ausführen
• In der Demo: Wenn Ziel verwundbar UND viele Anfragen, DANN veranlasse Entfernen
aus dem Netzwerk via NAC/ISE
SIEM - Splunk
https://www.splunk.com/de_de
10. 9
• Mit Malware infiziertes System
• Wird vom eigentlichen Angreifer ferngesteuert
• In diesem Beispiel scannt der Angreifer von hier aus sein potentielles Ziel auf
Schwachstellen
• Dient zur Planung des weiteren Vorgehens
• Zugang zum Netzwerk wird per NAC geregelt
Angreifer
11. 10
Drehbuch
• Im Vorfeld wurden bereits Schwachstellen beim Ziel erkannt. Ein entsprechender
Alarm ist im Splunk eingerichtet.
1. Der Angreifer führt seinen Scan des Netzwerks aus.
2. Splunk bemerkt, dass das schützenswerte Zielsystem angegriffen wird
Erkennung einer hohen Anzahl Anfragen,
in Kombination mit der erkannten Verwundbarkeit des Systems
3. Splunk veranlasst die Isolation des Angreifers
Via API call zum NAC wird ein „Change of Authority“ ausgeführt.
4. Der Angriff kann nicht fortgesetzt werden.
13. 12
• Termine:
• 28.04.-30.04.2020 in Bonn
• 08.06.-10.06.2020 in Bad Neuenahr
• 02.09.-04.09.2020 in Köln
• 24.11.-26.11.2020 in Düsseldorf
• Weitere Informationen finden Sie unter
https://www.comconsult-akademie.de/secops/.
Unser Seminar