3 robert randall osstmm

969 Aufrufe

Veröffentlicht am

Veröffentlicht in: Technologie, Business
0 Kommentare
0 Gefällt mir
Statistik
Notizen
  • Als Erste(r) kommentieren

  • Gehören Sie zu den Ersten, denen das gefällt!

Keine Downloads
Aufrufe
Aufrufe insgesamt
969
Auf SlideShare
0
Aus Einbettungen
0
Anzahl an Einbettungen
19
Aktionen
Geteilt
0
Downloads
7
Kommentare
0
Gefällt mir
0
Einbettungen 0
Keine Einbettungen

Keine Notizen für die Folie

3 robert randall osstmm

  1. 1. Today. Tomorrow. Secure.Dreamlab Technologies AGSecurity Testing &Vulnerability Landscape Switzerland 1 1
  2. 2. 2ReferentRobert RandallOSSTMM Instruktor, Produkt Manager, Projekt ManagerDreamlab Technologies AGDipl. Ing. FH IT Security, OPSA, OPST15 Jahre zwischen Technik und Business und immer mit SicherheitEmail: robert.randall@dreamlab.netPhone: +41313986666 © by Dreamlab Technologies AG 2011 2
  3. 3. 3Dreamlab Technologies AGDreamlab Technologies arbeitet seit fast 15 Jahrenerfolgreich in der Sicherheitsindustrie.Standorte in: Berne (Headquarter) Zürich Lyon (F) Chile / LATAM © by Dreamlab Technologies AG 2011 3
  4. 4. 4Dreamlab Technologies AGConsulting Audit Open standards Security Consulting Security Testing Security Operations Security Operational excellence Bringing together research and industry SolutionsEducation / Operation © by Dreamlab Technologies AG 2011 4
  5. 5. 5Agenda Sicherheitstests, wozu? Wie man Diamanten raubt. Wie man Sicherheit misst. Wie man eindringt. Wie man das Risiko managt. Zusammenfassung Diskussion © by Dreamlab Technologies AG 2011 5
  6. 6. Sicherheitstests, wozu? 6 6
  7. 7. 7Etwas schützen. © by Dreamlab Technologies AG 2011 7
  8. 8. 8Funktioniert mein Sicherheitsmechanismus? © by Dreamlab Technologies AG 2011 8
  9. 9. 9Etwas schützen.Der Wert, der geschützt werden sollte:Information. © by Dreamlab Technologies AG 2011 9
  10. 10. 10Schutzziele Vertraulichkeit Nachvollziehbarkeit Integrität Verfügbarkeit © by Dreamlab Technologies AG 2011 10
  11. 11. 11Geräte, die einfach funktionieren sollten. © by Dreamlab Technologies AG 2011 11
  12. 12. 12Geräte, die einfach funktionieren sollten. Wie der Sydney Morning Herald berichtet, ermittelte eine Studie, dass mehr als 100000 Patienten einen Herzschrittmacher im Körper haben, der via WLAN gehackt werden kann. © by Dreamlab Technologies AG 2011 12
  13. 13. 13Pleiten, Pech und Pannen. © by Dreamlab Technologies AG 2011 13
  14. 14. 14No comment! © by Dreamlab Technologies AG 2011 14
  15. 15. Wie man Diamanten raubt. 15 15
  16. 16. 16Was im Film funktioniert, klappt auch in der Realität... © by Dreamlab Technologies AG 2011 Quelle: Wired 14.04 16
  17. 17. 17... die Folge. © by Dreamlab Technologies AG 2011 Quelle: Wired 14.04 17
  18. 18. Wie man Sicherheit misst. 18 18
  19. 19. OSSTMM 19Das Methodenhandbuch für Sicherheitstests Standardisiert Sicherheitstests, macht sie objektiv überprüfbar und leicht reproduzierbar. Ist offen zugänglich (www.osstmm.org), von Herstellern und Technologien unabhängig. Setzt auf die Kreativität der Tester und auf Wissen statt Automatismen. Wurde von der ISECOM entwickelt. © by Dreamlab Technologies AG 2011 19
  20. 20. 20Ein OSSTMM-Sicherheitstest ist Eine qualifizierte Untersuchung Eine Messung von • Konfiguration, • Best Practice, • Belastbarkeit (rechtlichen Aspekten), • Prozesssicherheit, • Limitationen & Kontrollen. Quantitativ + Qualitativ © by Dreamlab Technologies AG 2011 20
  21. 21. OSSTMM 22Strukturierte Tests Channels Findings COMSEC SPECSEC Target PHYSEC Vektor Scope © by Dreamlab Technologies AG 2011 21
  22. 22. OSSTMM 23Wirtschaftlicher Nutzen• Erfolgsfaktor Sicherheit: Return on Investment• Managementkompatibel: Key Performance Index (KPI)• Reproduzierbare Resultate: Risk Assesment Value (RAV) © by Dreamlab Technologies AG 2011 22
  23. 23. OSSTMM 24Technischer Nutzen• Sicherheit wird messbar.• Maximale Testqualität.• Unabhängigkeit und Kreativität. © by Dreamlab Technologies AG 2011 23
  24. 24. Zurück zum Diamantenraub. 24 24
  25. 25. 26Systematisches Vorgehen Zielsystem definieren (Scope). Einflussfaktoren definieren (Scope). Angriffswinkel definieren (Vektor). Angriffsmethode wählen (Channel). © by Dreamlab Technologies AG 2011 25
  26. 26. 27Zugang zum Gebäude verschaffen © by Dreamlab Technologies AG 2011 26
  27. 27. 28Operative Sicherheit Sichtbarkeit Zugang Vertrauensstellung Limitationen Kontrollen Prozesse © by Dreamlab Technologies AG 2011 27
  28. 28. 29Kontrollen → Limitationen © by Dreamlab Technologies AG 2011 28
  29. 29. 30© by Dreamlab Technologies AG 2011 29
  30. 30. 31Im Vorraum zum Tresor © by Dreamlab Technologies AG 2011 30
  31. 31. 32© by Dreamlab Technologies AG 2011 31
  32. 32. 33Diamantenraub Gründliches und methodisches Vorgehen Einbruch ist ein Handwerk © by Dreamlab Technologies AG 2011 32
  33. 33. 34OSSTMM: Risk Assessment Value - +Operational Security Limitations Controls © by Dreamlab Technologies AG 2011 33
  34. 34. 35OSSTMM: Risk Assessment Value - +Operational Security Limitations Controls Visibility Vulnerability Verschlüsselung Confidentiality Access Weakness Alarming Trust Anomaly Authentication Exposure Monitoring Concern ... © by Dreamlab Technologies AG 2011 34
  35. 35. 36© by Dreamlab Technologies AG 2011 35
  36. 36. 37Der Fehler... © by Dreamlab Technologies AG 2011 36
  37. 37. 3830. März 2011Basel: Diamanten für Millionen geraubtAn der Uhren- und Schmuckmesse „Baselworld“haben Unbekannte vier Diamanten mit Millionenwertgestohlen. Trotz sofort verriegelter Halle gelang es denTätern zu entkommen. Drei Unbekannte hätten dieAngestellten eines Diamantenhändlers abgelenkt,sagte ein Sprecher der Staatsanwaltschaft. Derweilstahlen weitere Unbekannte die vier Diamanten auseiner Vitrine. Quelle: Tamedia. © by Dreamlab Technologies AG 2011 37
  38. 38. Wie man eindringt. (Beispiele) 38 38
  39. 39. 40Beispiele für systematisches Vorgehen Treiber-Attacke Anatomie eines Webangriffes Aktuelle Ereignisse © by Dreamlab Technologies AG 2011 39
  40. 40. 41Oktober 2009Tausende Login-Daten bei Hotmail geklautPhishing: Täter veröffentlichen Passwörter von etwa10000 E-Mail-Konten im Internet. Auch Konten vonGoogles Gmail sollen betroffen sein. Quelle: http://www.abendblatt.de/ratgeber/multimedia/article1216906/Tausende-Login-Daten-bei-Hotmail-geklaut.html © by Dreamlab Technologies AG 2011 40
  41. 41. 42Aug. 2010iPhone und iPad mit SicherheitslückeDass man das iPhone, iPad und iPod Touch einfach perWebseitenbesuch hacken kann, ist für manche Userpraktisch, doch sicherheitstechnisch sehr bedenklich.Das Öffnen eines PDFs genügt, um die Kontrolle überdas System zu verlieren. Quelle: Computerworld.de; http://www.f-secure.com/weblog/archives/00002003.html © by Dreamlab Technologies AG 2011 41
  42. 42. 43April 2011FBI gelingt massiver Schlag gegen Coreflood-BotnetzDer US-Polizeibehörde FBI ist ein massiver Schlaggegen Online-Kriminelle gelungen. Ein durch denComputervirus Coreflood aufgebautes Botnetz, indem fast zweieinhalb Millionen Computereingebunden waren, konnte abgeschaltet werden.Mit dem Botnetz sollen vermutlich aus Russlandstammenden Cybergangster bis zu 100 MillionenUS-Dollar erbeutet haben. http://computer.t-online.de/coreflood-fbi-legt-gefaehrliches-mega-botnetz-lahm/id_45751270/index © by Dreamlab Technologies AG 2011 42
  43. 43. 44HB Garys Firmen-E-Mails gehackt undpubliziert Quelle: http://search.hbgary.anonleaks.ch/ © by Dreamlab Technologies AG 2011 43
  44. 44. Wie man das Risiko managt. 44 44
  45. 45. 46Risk Assessment Value (RAV)Ist ein Prozentwert, basierend auf verschiedenenEinflussgrössen: Operative Sicherheit Verwundbarkeit SchutzmassnahmenEr basiert auf technisch schlüssigen, verifizierbaren Fakten.Risiko-Management kann damit objektiv unterstützt werden. © by Dreamlab Technologies AG 2011 45
  46. 46. 47Risk Management Probability * Impact = Rx © by Dreamlab Technologies AG 2011 46
  47. 47. 48Risk Management & RAV probability * impact = Rx RAV Critical application RAVx CMS RAVx DHCP / DNS RAVx ... RAVx © by Dreamlab Technologies AG 2011 47
  48. 48. 49Risk Map probability Rx Rx Rx Rx Rx Med High Low Med Rx Rx Rx Rx Rx Rx impact CHF © by Dreamlab Technologies AG 2011 48
  49. 49. 50Return on Investment:Better RAV, lower probability probability RAV = 90 % Rx Target impact CHF Rx = Probability * Impact © by Dreamlab Technologies AG 2011 49
  50. 50. 51Return on Investment:Lower probability, lower risk. probability RAV = 90 % Rx Target impact CHF Rx = Probability * Impact © by Dreamlab Technologies AG 2011 50
  51. 51. Ziel: Integrales Security-Management © by Dreamlab Technologies AG 2011 51
  52. 52. Zusammenfassung 52 52
  53. 53. 54Vorteile des OSSTMM (1):Sie haben den Zustand Ihrer Systeme im Blick. © by Dreamlab Technologies AG 2011 53
  54. 54. 55Vorteile des OSSTMM (2):Sie erhalten zuverlässige und vergleichbareDaten. © by Dreamlab Technologies AG 2011 54
  55. 55. 56Vorteile des OSSTMM (3):Grundlage von Compliance Vision Regulatorien & Standards Strategy Operation Implementation GesetzeOSSTMM erfüllt alle Anforderungen von Regulatorien, Standards& Gesetzen zur Überprüfung der Compliance © by Dreamlab Technologies AG 2011 55
  56. 56. 57Skalierbare Tests © by Dreamlab Technologies AG 2011 56
  57. 57. 58Der Risk Assessment Value Scope Target Findings © by Dreamlab Technologies AG 2011 57
  58. 58. 59Messbare Sicherheit Rav = 88 % Rav = 95 % Rav = 70 % Rav = 77 % Rav = 60 % Rav = 96 % Rav = 73,5 % Rav = 86 % © by Dreamlab Technologies AG 2011 58
  59. 59. Sie bleiben frei und unabhängig. © by Dreamlab Technologies AG 2011 59
  60. 60. 61© by Dreamlab Technologies AG 2011 60
  61. 61. Questions & Answers 61 61

×