Security Afterworks
Wie viel (Informations-) Sicherheit ist genug?
Einordnung einiger „Verursacher“
Viren,
Trojaner,
Schadsoftware,
Bot-Netze,
„Script Kiddies“
Anonymous,
Betriebsspionage,
...
Wie viel Sicherheit ist genug?
Wie viel Sicherheit ist genug?
„Höchstmögliche
Vertraulichkeit, Verfügbarkeit und Integrität
muss gewährleistet werden!“
...
1. Schritt: Entscheidungsgrundlagen schaffen
Unternehmensrisiken (ERM)
• Business Impact Analyse
• Risikoanalyse
Schutzbed...
Business Impact Analyse (BIA)
• Identifikation der Anforderungen der Abteilungen
• Messbare Zieldefinitionen - beispielswe...
Business Impact Analyse
Übersicht Systemausfall („Worst Case“)
Business Impact Analyse
Vergleich in Fachbereichen
Business Impact Analyse
Übersicht Schutzbedarf Informationen
Risikoanalyse
Ziel: 3 Steuerungskennzahlen
• Kann der „Businessplan für Informationssicherheit“
organisatorisch und techni...
Risikoanalyse
1. Bewertung Reifegrade ISO27001/2 Kontrollziele
 114 Sicherheitsmaßnahmen (Controls)
 Decken alle wesentl...
Risikoanalyse
Reifegrad & Zieldefinition
Reifegrad Beschreibung / Leitfaden
NR Die Sicherheitsmaßnahme (Control) ist nicht...
Risikoanalyse
Bewertung ISO27002 Kontrollziele
Risikoanalyse
Bewertung ISO27002 Kontrollziele
Risikoanalyse
Bewertung ISO27002 Kontrollziele
Risikoanalyse
Auswirkung, Wahrscheinlichkeit & Kritikalität
Risikoanalyse
Mapping Risikokritikalität <> Reifegrad
Showcase
Schwerpunktprüfung / Angriff
Mögliche Angriffsvektoren
Intranet
LAN
Webserver
DMZ
Angreifer
INTERNET
Firewall Firewall
1) Angreifer von Außen – meist t...
Demo Szenario
Intranet
LAN
Webserver
DMZ
Angreifer
INTERNET
Firewall Firewall
Schwachstellen aufspüren (Fingerprinting)
• Shodan – „Google für Hacker“
– Suchmaschine mit deren Hilfe verwundbare System...
Verwundbare WebCams
DEMO
Shodan
Cyber-Risks
Security Reports
Quelle: IBM X-Force 2013 Mid-Year Trend and Risk Report
Schwachstellen ausnützen (Exploitation)
• Metasploit
– Penetration Testing Framework
– Tool-Sammlung für Penetration Teste...
DEMO
Metasploit
Zugriff ausweiten (Lateral Movement)
• Passwort Management in Windows:
– Passwörter werden gehashed
gespeichert
• Ein Hash...
Zugriff ausweiten (Lateral Movement)
• Bedrohungslage
– Pass-the-Hash ist ein Design Fehler und kann daher nur sehr
schwie...
DEMO
Pass-the-Hash
2. Schritt: Ziel-Definition (Stufe)
3-Stufen Konzept
• Alle Managementprozesse sind definiert, dokumentiert, gesteuert, na...
Wie viel Sicherheit ist genug?
3-Stufen Konzept
• Alle Managementprozesse sind definiert, dokumentiert, gesteuert, nachvol...
3. Schritt: Risikoorientierte Umsetzungsplanung
Bedarfsanalyse
Business Impact
Analyse /
Schutzbedarf
Risiko Analyse Penet...
Zusammenfassung
„… the nutshell“
Informationssicherheit „in a Nutshell“
• Die Komplexität von Cyber-Attacken sinkt. Stark
automatisierte Tools sind kosteng...
Informationssicherheit „in a Nutshell“
• Keine „Panikmache“, aber Sicherheitsvorfälle werden
jeden treffen – es ist eine F...
Andreas Tomek
SBA Research gGmbH
Favoritenstraße 16, 1040 Wien
+43 699 115 18 148
atomek@sba-research.org
Wie viel Informationssicherheit ist genug?
Wie viel Informationssicherheit ist genug?
Nächste SlideShare
Wird geladen in …5
×

Wie viel Informationssicherheit ist genug?

2.099 Aufrufe

Veröffentlicht am

Wie viel Sicherheit ist genug, wie kann ich ein optimales Maß an Sicherheitsmaßnahmen bestimmen?

Veröffentlicht in: Präsentationen & Vorträge
0 Kommentare
1 Gefällt mir
Statistik
Notizen
  • Als Erste(r) kommentieren

Keine Downloads
Aufrufe
Aufrufe insgesamt
2.099
Auf SlideShare
0
Aus Einbettungen
0
Anzahl an Einbettungen
50
Aktionen
Geteilt
0
Downloads
12
Kommentare
0
Gefällt mir
1
Einbettungen 0
Keine Einbettungen

Keine Notizen für die Folie

Wie viel Informationssicherheit ist genug?

  1. 1. Security Afterworks Wie viel (Informations-) Sicherheit ist genug?
  2. 2. Einordnung einiger „Verursacher“ Viren, Trojaner, Schadsoftware, Bot-Netze, „Script Kiddies“ Anonymous, Betriebsspionage, Sabotage, Social Engineering, Denial of Service NSA Affäre, Stuxnet & Co, China Unwissende MA, Fahrlässige MA, Verlust, „Drive-By“, Schadsoftware „Vergraulte“ MA, Unberechtigte Nutzung, Diebstahl, Betriebsspionage, Sabotage Standort- & branchenabhängig Ungerichtet Gerichtet Staatlich motiviert ExternIntern
  3. 3. Wie viel Sicherheit ist genug?
  4. 4. Wie viel Sicherheit ist genug? „Höchstmögliche Vertraulichkeit, Verfügbarkeit und Integrität muss gewährleistet werden!“  Höchstmöglich = keine Planungsgrundlage  Höchstmöglich = nicht rechtfertigbare Investitionen  Höchstmöglich = nicht sinnvolle Investitionen ---------------------------------------------------------------------  1. Schritt: Schaffen von Entscheidungsgrundlagen  2. Schritt: Ziel-Definition (Stufe)  3. Schritt: Risikoorientierte Umsetzungsplanung
  5. 5. 1. Schritt: Entscheidungsgrundlagen schaffen Unternehmensrisiken (ERM) • Business Impact Analyse • Risikoanalyse Schutzbedarf & Sicherheitssituation • Penetration Test • Source Code Audit • Berechtigungsreview • Schnittstellen Audit • … • Schwerpunktprüfungen im Allgemeinen „Reality Check“ Geschäftsrisiken mit IT/IS* Bezug Sicherheits- strategie Auditplanung Schwachstellen IT/IS Risiken mit Geschäftsbezug Sicherheits- status Risiko „Heat Map“ Schwachstellen * IS: Informationssicherheit
  6. 6. Business Impact Analyse (BIA) • Identifikation der Anforderungen der Abteilungen • Messbare Zieldefinitionen - beispielsweise: – Das Materialwirtschaftssystem darf nicht länger als 3 Tage still stehen  Kriterium Verfügbarkeit – Die Informationen im Lagersystem müssen zu 100% integer sein  Kriterium Integrität – Die Außenkommunikation via E-Mail oder Telefon darf nicht länger als 1 Tag nicht verfügbar sein  Kriterium Verfügbarkeit – Die Preisinformationen mit Kunde A sind geheim und nur für den Einkauf und die Geschäftsführung einsehbar  Kriterium Vertraulichkeit  BIA = „Business Plan“ für Informationssicherheit
  7. 7. Business Impact Analyse Übersicht Systemausfall („Worst Case“)
  8. 8. Business Impact Analyse Vergleich in Fachbereichen
  9. 9. Business Impact Analyse Übersicht Schutzbedarf Informationen
  10. 10. Risikoanalyse Ziel: 3 Steuerungskennzahlen • Kann der „Businessplan für Informationssicherheit“ organisatorisch und technisch gewährleistet werden?
  11. 11. Risikoanalyse 1. Bewertung Reifegrade ISO27001/2 Kontrollziele  114 Sicherheitsmaßnahmen (Controls)  Decken alle wesentlichen Themengebiete ab 2. Bewertung Bedrohungsszenarien  Vordefinierte Standardszenarien  Spezifische Bedrohungsszenarien aus ERM bzw. BIA 3. Mapping Bedrohungsszenarien <> Kontrollziele  Kontrollziele = risikomindernde Sicherheitsmaßnahmen
  12. 12. Risikoanalyse Reifegrad & Zieldefinition Reifegrad Beschreibung / Leitfaden NR Die Sicherheitsmaßnahme (Control) ist nicht anwendbar (Begründung erforderlich). 0 – unvollständig Der Prozess nicht implementiert oder verfehlt sein Ziel. Auf dieser Stufe gibt es kaum oder gar keine Hinweis auf eine systematische Erfüllung des Prozesszwecks. 1 – durchgeführt Die Sicherheitsmaßnahme (Control) ist ad-hoc, unorganisiert und abhängig vom Einsatz handelnder Personen. Grundlegend erfüllt sie jedoch seinen Zweck. 2 – gemanagt Die Sicherheitsmaßnahme (Control) unterliegt einer strukturierten und wiederholbaren Vorgehensweise (Muster), um wesentlichen Risiken entgegenzusteuern. Die Sicherheitsmaßnahme sowie deren Arbeitsprodukte sind geplant, überwacht und abgestimmt, um die identifizierten Ziele zu erreichen. 3 – etabliert Die Sicherheitsmaßnahme (Control) ist definiert, dokumentiert und kommuniziert. Sie basiert auf einem definierten und wirksamen (effektiven) Standardprozess. Der Standardprozess beinhaltet einen kontinuierlichen Feedbackzyklus für Prozessverbesserungen. 4 – vorhersehbar Der Prozess ist überwacht, gemessen und voraussagbar. Ein voraussagbarer Prozess operiert innerhalb definierter Grenzen und ist auf Basis quantitativer Informationen gesteuert. 5 – optimierend Der Prozess wird kontinuierlich verbessert, um relevante aktuelle und künftige Unternehmensziele zu erreichen. Angelehnt an COBIT5
  13. 13. Risikoanalyse Bewertung ISO27002 Kontrollziele
  14. 14. Risikoanalyse Bewertung ISO27002 Kontrollziele
  15. 15. Risikoanalyse Bewertung ISO27002 Kontrollziele
  16. 16. Risikoanalyse Auswirkung, Wahrscheinlichkeit & Kritikalität
  17. 17. Risikoanalyse Mapping Risikokritikalität <> Reifegrad
  18. 18. Showcase Schwerpunktprüfung / Angriff
  19. 19. Mögliche Angriffsvektoren Intranet LAN Webserver DMZ Angreifer INTERNET Firewall Firewall 1) Angreifer von Außen – meist technische Fehler & Schlampigkeit  Webapplikationen mit Programmierfehler  Mail  Schwachstellen in Serverdiensten (zB Appliaktionsserver) 2) Angreifer direkt auf User und dessen Geräte – Unwissenheit & schlechter Schutz  Mobile Endgeräte (Smartphone, Laptop, …)  Social Engineering  Phising  Waterhole/Targeted Attacks
  20. 20. Demo Szenario Intranet LAN Webserver DMZ Angreifer INTERNET Firewall Firewall
  21. 21. Schwachstellen aufspüren (Fingerprinting) • Shodan – „Google für Hacker“ – Suchmaschine mit deren Hilfe verwundbare Systeme im Internet aufgespürt werden können – Erlaubt die gezielte Suche nach Systemen (z.B. Windows), Applikationen (Webserver) und Ländern
  22. 22. Verwundbare WebCams
  23. 23. DEMO Shodan
  24. 24. Cyber-Risks Security Reports Quelle: IBM X-Force 2013 Mid-Year Trend and Risk Report
  25. 25. Schwachstellen ausnützen (Exploitation) • Metasploit – Penetration Testing Framework – Tool-Sammlung für Penetration Tester, die das ausnützen von Schwachstellen stark vereinfacht • Starke Community • Regelmäßig neue Exploits für aktuelle Schwachstellen verfügbar – Exploit = stark vereinfacht: ein Programm das eine bestimmte Schwachstelle ausnützt • Starke Weiterentwicklung des Produktes seit der Kommerzialisierung durch Rapid7 / Symantec
  26. 26. DEMO Metasploit
  27. 27. Zugriff ausweiten (Lateral Movement) • Passwort Management in Windows: – Passwörter werden gehashed gespeichert • Ein Hash ist eine mathematische Einmalfunktion – Dadurch sollte der Schutz des Passwortes eigentlich gewährleistet sein – Durch eine Design Schwachstelle kann ein Angreifer jedoch den Hash des Passwortes nutzen, um sich mit den Rechten des Benutzers unerkannt im Unternehmen zu bewegen
  28. 28. Zugriff ausweiten (Lateral Movement) • Bedrohungslage – Pass-the-Hash ist ein Design Fehler und kann daher nur sehr schwierig behoben werden – Pass-the-Hash ist nach wie vor eine der häufigsten Schwachstellen in Windows Umgebungen – Pass-the-Hash Attacken werden in der Praxis häufig zur weiteren Verbreitung im Netzwerk eingesetzt („Lateral Movement“) – Pass-the-Hash Attacken sind schwierig zu erkennen, da sie nicht auf einer behebbaren Schwachstelle im herkömmlichen Sinn beruhen – Die Komplexität des verwendeten Passwortes ist vollkommen irrelevant
  29. 29. DEMO Pass-the-Hash
  30. 30. 2. Schritt: Ziel-Definition (Stufe) 3-Stufen Konzept • Alle Managementprozesse sind definiert, dokumentiert, gesteuert, nachvollziehbar und kontrolliert (Reifegrad 3+) • Alle Managementprozesse sind aufeinander abgestimmt • Nachweisbares internes Kontrollsystem sowie etablierter kontinuierlicher Verbesserungsprozess • Security Education, Awareness & Training (SEAT) Konzept • Regelmäßige interne & externe Qualitätssicherung – Audit Konzept Stufe 3: Informationssicherheitsmanagementsystem (ISMS) • Sicherheitspolitik & Strategie • Etablierte Informationssicherheits-Organisation • Wesentliche Managementprozesse sind definiert, dokumentiert und umgesetzt (Reifegrad 2+) • Risikoorientierte Vorgehensweise = Wissen über den Schutzbedarf wertschöpfender Prozesse sowie eine differenzierte Vorgehensweisen je Schutzbedarf • Punktuelle Security Awareness • Regelmäßige interne & anlassbezogen externe Qualitätssicherung Stufe 2: Sicherheitsmanagement • Keine unmittelbare Gefährdung wertschöpfender Unternehmensprozesse • Beseitigen von Schwachstellen, die leicht von einem Angreifer ausgenutzt werden können • Operative Tätigkeiten erfüllen ihren Zweck (Reifegrad 1+) Stufe 1: Sicherheitsbasis
  31. 31. Wie viel Sicherheit ist genug? 3-Stufen Konzept • Alle Managementprozesse sind definiert, dokumentiert, gesteuert, nachvollziehbar und kontrolliert (Reifegrad 3+) • Alle Managementprozesse sind aufeinander abgestimmt • Nachweisbares internes Kontrollsystem sowie etablierter kontinuierlicher Verbesserungsprozess • Security Education, Awareness & Training (SEAT) Konzept • Regelmäßige interne & externe Qualitätssicherung – Audit Konzept Stufe 3: Informationssicherheitsmanagementsystem (ISMS) • Sicherheitspolitik & Strategie • Etablierte Informationssicherheits-Organisation • Wesentliche Managementprozesse sind definiert, dokumentiert und umgesetzt (Reifegrad 2+) • Risikoorientierte Vorgehensweise = Wissen über den Schutzbedarf wertschöpfender Prozesse sowie eine differenzierte Vorgehensweisen je Schutzbedarf • Punktuelle Security Awareness • Regelmäßige interne & anlassbezogen externe Qualitätssicherung Stufe 2: Sicherheitsmanagement • Keine unmittelbare Gefährdung wertschöpfender Unternehmensprozesse • Beseitigen von Schwachstellen, die leicht von einem Angreifer ausgenutzt werden können • Operative Tätigkeiten erfüllen ihren Zweck (Reifegrad 1+) Stufe 1: Sicherheitsbasis Ungerichtete Angriffe & Fehlverhalten Gerichtete Angriffe & Beherrschung Komplexität Große Angriffsfläche von Außen „Lohnende Beute“ (Geld oder Rufschädigung) für einen Angreifer Starke Abhängigkeit der Wertschöpfungskette von IT & Informationen Darüber hinaus… Gesetzliche Anforderungen Kunden Anforderungen & Wettbewerbsfähigkeit Komplexität im Unternehmen (Standorte, MA Anzahl,…)
  32. 32. 3. Schritt: Risikoorientierte Umsetzungsplanung Bedarfsanalyse Business Impact Analyse / Schutzbedarf Risiko Analyse Penetration Test Planung Definition Zielstufe & Kennzahlen Risiko- behandlungsplan Projektplanung Zielerreichung Stufe 1 Sicherheitsbasis Stufe 2 Sicherheitsmgmt. Stufe 3 ISMS Gewährleistung Prozesskontrollen Qualitätssichernde Kontrollen Steuerung (Kennzahlenbasiert)
  33. 33. Zusammenfassung „… the nutshell“
  34. 34. Informationssicherheit „in a Nutshell“ • Die Komplexität von Cyber-Attacken sinkt. Stark automatisierte Tools sind kostengünstig erhältlich. – Investitionen in IT Sicherheit sind notwendig • Erfolgreiche Angriffe basieren auf einem mehrstufigen Prozess – Genau wie erfolgreiche Methoden zur Absicherung der selben Systeme • Sicherheit beruht nicht auf der Installation von komplexen, technischen Lösungen (z.B. Firewall) – Sicherheit kann nur durch einen ganzheitlichen Ansatz (technische und organisatorische Sicherheit) geschaffen werden
  35. 35. Informationssicherheit „in a Nutshell“ • Keine „Panikmache“, aber Sicherheitsvorfälle werden jeden treffen – es ist eine Frage der Zeit  Wissen um Wert/Auswirkung kreieren  Soweit sinnvoll vorbereitet sein  Risiko soweit sinnvoll minimieren  Unternehmensziele soweit sinnvoll schützen  Restrisiko soweit möglich versichern  Restrisiko bewusst akzeptieren
  36. 36. Andreas Tomek SBA Research gGmbH Favoritenstraße 16, 1040 Wien +43 699 115 18 148 atomek@sba-research.org

×