Copyright © 2014 Oracle and/or its affiliates. All rights reserved. |
Share with
Bitte Fragen
über den
WebEx-Chat
#ODSD201...
Copyright © 2014 Oracle and/or its affiliates. All rights reserved. |
Safe Harbor Statement
The following is intended to o...
Security Day 2015
Der Security Smoke Test
Carsten Mützlitz
Systemberatung Potsdam
OracleDirect
SECURITY
Inside-Out
Copyright © 2014 Oracle and/or its affiliates. All rights reserved. |
Referent: Kurz vorgestellt
5
• Carsten Mützlitz
– un...
Copyright © 2015, Oracle and/or its affiliates. All rights reserved. |
Agenda für die nächsten 30-45 Minuten
OracleDirect ...
Copyright © 2015, Oracle and/or its affiliates. All rights reserved. | OracleDirect Security Day 2015
Das Informationssich...
Copyright © 2015, Oracle and/or its affiliates. All rights reserved. |
Agenda
OracleDirect Security Day 2015 8
Information...
Copyright © 2015 Oracle and/or its affiliates. All rights reserved. | OracleDirect Security Day 2015 9
Smoketesting stammt...
Copyright © 2015, Oracle and/or its affiliates. All rights reserved. |
Agenda
OracleDirect Security Day 2015 10
Informatio...
Copyright © 2015, Oracle and/or its affiliates. All rights reserved. | 11
Vorab: Bedrohung “AKTEURE & ZIELE”
OracleDirect ...
Copyright © 2015, Oracle and/or its affiliates. All rights reserved. |
“Wie könnte so ein Security Smoke Test
wohl aussehe...
Copyright © 2015 Oracle and/or its affiliates. All rights reserved. | OracleDirect Security Day 2015 13
Beispiel: Solaris ...
Copyright © 2014 Oracle and/or its affiliates. All rights reserved. |
TYPISCHE ATTACKE: Beispiel DB
OracleDirect Security ...
Copyright © 2015 Oracle and/or its affiliates. All rights reserved. | OracleDirect Security Day 2015 15
Attacke simulieren...
Copyright © 2015 Oracle and/or its affiliates. All rights reserved. | OracleDirect Security Day 2015 16
Wichtig zu wissen ...
Copyright © 2015, Oracle and/or its affiliates. All rights reserved. |
Agenda
OracleDirect Security Day 2015 17
Informatio...
Copyright © 2015 Oracle and/or its affiliates. All rights reserved. |
• Gefahr einer Attacke?
• Sichere Konfiguration?
• K...
Copyright © 2013, Oracle and/or its affiliates. All rights reserved.19
KENNEN
und kontrollieren es!
Copyright © 2013, Oracle and/or its affiliates. All rights reserved.20
und zwar von ANFANG AN!
VERHINDERN
Copyright © 2013, Oracle and/or its affiliates. All rights reserved.21
TREFFEN SIE
Copyright © 2013, Oracle and/or its affiliates. All rights reserved.22
Copyright © 2014 Oracle and/or its affiliates. All rights reserved. | 23
OD Sec Day: Die nachfolgenden Präsentationen
Orac...
Security Smoke Test - Eine bewußte Entscheidung für die IT Sicherheit
Security Smoke Test - Eine bewußte Entscheidung für die IT Sicherheit
Nächste SlideShare
Wird geladen in …5
×

Security Smoke Test - Eine bewußte Entscheidung für die IT Sicherheit

754 Aufrufe

Veröffentlicht am

Security Smoke Test - Eine bewußte Entscheidung für die IT Sicherheit

Veröffentlicht in: Technologie
0 Kommentare
0 Gefällt mir
Statistik
Notizen
  • Als Erste(r) kommentieren

  • Gehören Sie zu den Ersten, denen das gefällt!

Keine Downloads
Aufrufe
Aufrufe insgesamt
754
Auf SlideShare
0
Aus Einbettungen
0
Anzahl an Einbettungen
11
Aktionen
Geteilt
0
Downloads
14
Kommentare
0
Gefällt mir
0
Einbettungen 0
Keine Einbettungen

Keine Notizen für die Folie

Security Smoke Test - Eine bewußte Entscheidung für die IT Sicherheit

  1. 1. Copyright © 2014 Oracle and/or its affiliates. All rights reserved. | Share with Bitte Fragen über den WebEx-Chat #ODSD2015 OracleDirect Security Day 2015
  2. 2. Copyright © 2014 Oracle and/or its affiliates. All rights reserved. | Safe Harbor Statement The following is intended to outline our general product direction. It is intended for information purposes only, and may not be incorporated into any contract. It is not a commitment to deliver any material, code, or functionality, and should not be relied upon in making purchasing decisions. The development, release, and timing of any features or functionality described for Oracle’s products remains at the sole discretion of Oracle. OracleDirect Security Day 2015 3
  3. 3. Security Day 2015 Der Security Smoke Test Carsten Mützlitz Systemberatung Potsdam OracleDirect SECURITY Inside-Out
  4. 4. Copyright © 2014 Oracle and/or its affiliates. All rights reserved. | Referent: Kurz vorgestellt 5 • Carsten Mützlitz – unterstützt Deutschlands Daten sicher(er) zu machen , ORACLE, Systemberatung Potsdam – Carsten.muetzlitz@oracle.com OracleDirect Security Day 2015 /ORA0600 blogs.oracle.com/SecurityDE blog.carsten-muetzlitz.de /DTCCpotsdam systemberatungpotsdam.wordpress.de
  5. 5. Copyright © 2015, Oracle and/or its affiliates. All rights reserved. | Agenda für die nächsten 30-45 Minuten OracleDirect Security Day 2015 6 Informationssicherheit als Prozess. Wo stehen wir? Kurze Einführung Der Security Smoke Test Warum das Ganze? 1 2 3 4
  6. 6. Copyright © 2015, Oracle and/or its affiliates. All rights reserved. | OracleDirect Security Day 2015 Das Informationssicherheitskonzept beruht auf einem Risikomodell und beleuchtet die Organisation und die Prozesse INFORMATIONSSICHERHEIT als Prozess Sicherheitsprozess Initialaktivitäten Laufende Aktivitäten Umsetzungen / Betrieb Prozesse Sicherheitsstrategie Risikomanagement Sicherheitsmgmt. Schutz Informationswerte (Vetraulichkeit, Integrität) Sicherstellung der Verfügbarkeit Disaster Recovery /Business Continuity Planning Monitoring Auditing Bereiche Technisch Physisch Organisatorisch Systeme (HW& OS) Netze Software Daten Build Operate Ablauf Schwachstellenanalyse, Bedrohungsprofil, Risikobewertung, Maßnahmenpriorisierung Risikomanagement Security Policy, Standards & Procedures Sicherheits- organisation Zugriffssicherung, Authentisierung, Kryptographie, PKI, VPN Sicherheitszonen, Zugangskontrollen, Zutrittsicherungs- sytemeFirewalls Netzwerkdesign Clustering Netzwerkmgmt. Virenschutz- management Sichere OS System- Aktualisierung SW-Design Verbindlichkeit Datenklassifik. Datenträger System- performance Monitoring CM Hot-Backup Gebäudesicherheit Personelle Sicherheit Arbeitsplatz Schutz vor Elem- entarereignissen Notfallpläne (Contingency Plans) Intrusion Detection Systems Gebäude- überwachung Videoaufzeichnung Activity Logging Sicherheitsaudits Vulnerability Checks Sicherheitsmanagement Security Vision, Strategie für den Umgang mit unternehmenskritischen Infrastrukturen und Informationswerten Governance HR-Prozesse, Betriebl. Praktiken, Awareness, Training Backup, Backup-Facitilites Logging, Evaluierung, Behandlung von Sicherheitsvorfällen System Recovery Informationssicherheit ist ein Prozess, der alle Teile eines Unternehmens be- trifft. Es reicht nicht zu denken: “Die IT Abteilung wird mich schon schützen” 7 Sicherheits- organisation Sicherheitsaudits Vulnerability Checks Sicherheitsmanagement HR-Prozesse, Betriebl. Praktiken, Awareness, Training Security Policy, Standards & Procedures
  7. 7. Copyright © 2015, Oracle and/or its affiliates. All rights reserved. | Agenda OracleDirect Security Day 2015 8 Informationssicherheit als Prozess. Wo stehen wir? Kurze Einführung Der Security Smoke Test Warum das Ganze? 1 2 3 4
  8. 8. Copyright © 2015 Oracle and/or its affiliates. All rights reserved. | OracleDirect Security Day 2015 9 Smoketesting stammt ursprünglich aus dem handwerklichen Bereich Was ist ein Smoke Test? • Früher haben die Klempner Rauch durch die Rohre geblasen – Um die Dichtigkeit nach einer Reparatur zu prüfen • Smoketests sind sehr häufig im eCommerce Bereich zu finden – Da viele Updates am System wie Katalog-Wechsel stattfinden – Neues Releases/Funktionen/Design im System eingespielt werden Ein Smoketest prüft wesentliche Funktionalität auf Korrektheit ZWECK: Wahrscheinlichkeit eines Fehlers vor Live-Schaltung reduzieren. Z.B. Leck im Rohr. © industrieblick - Fotolia.com
  9. 9. Copyright © 2015, Oracle and/or its affiliates. All rights reserved. | Agenda OracleDirect Security Day 2015 10 Informationssicherheit als Prozess. Wo stehen wir? Kurze Einführung Der Security Smoke Test Warum das Ganze? 1 2 3 4
  10. 10. Copyright © 2015, Oracle and/or its affiliates. All rights reserved. | 11 Vorab: Bedrohung “AKTEURE & ZIELE” OracleDirect Security Day 2015 OS admin DBA Test/Dev App Owner/User BI User NetworkBackupOSDatabaseApplications
  11. 11. Copyright © 2015, Oracle and/or its affiliates. All rights reserved. | “Wie könnte so ein Security Smoke Test wohl aussehen? Gibt es Tools dafür? Und wer führt diesen Security Smoke Test aus?“ OracleDirect Security Day 2015 12 Security Smoke Test? ZWECK: Nach Änderung/Release Zustand nach Änderung prüfen und bewerten.
  12. 12. Copyright © 2015 Oracle and/or its affiliates. All rights reserved. | OracleDirect Security Day 2015 13 Beispiel: Solaris Compliance Framework MÖGLICHE TOOLS von Oracle? • Solaris Compliance Framework: Standard PCI root@soltest: # compliance assess root@soltest: # compliance report root@soltest: # compliance assess -b pci-dss root@soltest: # compliance report –a reportname Mit integrierter Lösung der fehlerhaften Regel Erweiterter Prüfung auf PCI DSS Integrierte Lösungen für ein besseres Sicherheitsmanagement in den Oracle Lösungen wie Compliance Framework, ORAChk, openSCAP, Enterprise Manager etc.
  13. 13. Copyright © 2014 Oracle and/or its affiliates. All rights reserved. | TYPISCHE ATTACKE: Beispiel DB OracleDirect Security Day 2015 14Copyright © 2014, Oracle and/or its affiliates. All rights reserved. | PORTSCANNING SID GUESSING Password Theft Insider Access SQL Injection Denial-of-Service Malware IDEE: Der Security Smoke Test sollte eine typische Attacke simulieren und wichtige Dinge prüfen!
  14. 14. Copyright © 2015 Oracle and/or its affiliates. All rights reserved. | OracleDirect Security Day 2015 15 Attacke simulieren und wichtige Parameter prüfen Der SECURITY SMOKE TEST am Beispiel einer DB-Apps Was kann der Security Smoke Test? • Attacke simulieren: Portscan, SID Guessing, Brute Force • Wichtige Einstellungen auf sinnvolle Funktion prüfen, wie − PW und User Management − Konfiguration − Access Control und Rollen − Komplexität − User Management − Apps-Owner − und einiges mehr SECURITY SMOKE TEST Based on APEX PRODUKTIONS DB Instances Show Demo Release Manager
  15. 15. Copyright © 2015 Oracle and/or its affiliates. All rights reserved. | OracleDirect Security Day 2015 16 Wichtig zu wissen was rechtlich zu beachten ist… Der HACKERPARAGRAF! • Hackerparagraf von 2007 (StGB §202b und 202c) • Vorgabe zur Nutzung sogenannter Dual-Use-Tools − Tools die auch für krimielle Zwecke genutzt werden können, wie Passwordcracker, Netzwerksniffer und Portscanner • Darf ich (Admin/DBA) Dual-Use Tools auch für meine Unternehmens-IT nutzen? − Das Bundesverfassungsgericht (Beschluß vom 18.5.2009), sagte „JA“, aber bitte dokumentieren und Genehmigung einholen (Vieraugenprinzip) Hackerparagraf StGB insbesondere §202c ...§ 202c Vorbereiten des Ausspähens und Abfangens von Daten 1) Wer eine Straftat nach § 202a oder § 202b vorbereitet, indem er Passwörter oder sonstige Sicherungscodes, die den Zugang zu Daten (§ 202a Abs. 2) ermöglichen, oder Computerprogramme, deren Zweck die Begehung einer solchen Tat ist, herstellt, sich oder einem anderen verschafft, verkauft, einem anderen überlässt, verbreitet oder sonst zugänglich macht, wird mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bestraft. 2) § 149 Abs. 2 und 3 gilt entsprechend. ...
  16. 16. Copyright © 2015, Oracle and/or its affiliates. All rights reserved. | Agenda OracleDirect Security Day 2015 17 Informationssicherheit als Prozess. Wo stehen wir? Kurze Einführung Der Security Smoke Test Warum das Ganze? 1 2 3 4
  17. 17. Copyright © 2015 Oracle and/or its affiliates. All rights reserved. | • Gefahr einer Attacke? • Sichere Konfiguration? • Komplexität? • Zugriffskontrolle? • User Management?helfen einen letzten neutralen aber konkreten Blick auf die (Datenbank) Sicherheit zu werfen SecuritySmoke Tests Besteht ein Risiko?
  18. 18. Copyright © 2013, Oracle and/or its affiliates. All rights reserved.19 KENNEN und kontrollieren es!
  19. 19. Copyright © 2013, Oracle and/or its affiliates. All rights reserved.20 und zwar von ANFANG AN! VERHINDERN
  20. 20. Copyright © 2013, Oracle and/or its affiliates. All rights reserved.21 TREFFEN SIE
  21. 21. Copyright © 2013, Oracle and/or its affiliates. All rights reserved.22
  22. 22. Copyright © 2014 Oracle and/or its affiliates. All rights reserved. | 23 OD Sec Day: Die nachfolgenden Präsentationen OracleDirect Security Day 2015 • 14:15 Uhr: Michal Soszynski Störungsfreiheit kritischer IT- Infrastrukturen • 15:30 Uhr: Suvad Sahovic Eine geniale Lösung für das Benutzermanagement in kurzer Zeit implementiert • 16:45 Uhr: Wolfgang Hennes Sichere Speicherung von Daten in der Cloud und Live-Hack auf eine ungeschützte Datenbank

×