SlideShare ist ein Scribd-Unternehmen logo

Outpost24 webinar . Vulnerability Management Do's and Don'ts

Als PPTX, PDF herunterladen
Outpost24
Outpost24

Praxiserfahrungen bei der Implementierung und dem Betrieb von Vulnerability Management, sowie aktuelle Herausforderungen

Software
1 von 22
Dr. Thomas Punz CEO and Founder SECURNITE GmbH tpunz@securnite.com +41 (0) 56 511 79 89 Vulnerability Management Do’s and Don’ts
• Kontext (5’) • Lernziele (5’) • Do’s (3’) 2 • Don’ts (3’) • Stolpersteine (3’) • Fazit (6’) Agenda
Kontext 3
Die drei Schutzziele der Informationssicherheit • Vertraulichkeit (Confidentiality) • Daten sind nur berechtigten Personen zugänglich. • Integrität (Integrity) • Daten sind nur durch berechtigte Personen veränderbar. Die Veränderungen sind nachvollziehbar, erkennbar und Dokumentiert. • Verfügbarkeit (Availability) • Daten sind berechtigten Personen jederzeit zugänglich. 4
Kontext 5 • Bei ca. 57% Prozent der Unternehmen, bei denen ein Datenverlust aufgetreten ist, war eine nicht gepatchte Schwachstellen als Ursache. → Schwachstellenmanagement (Vulnerability Management) reduziert das Risikoprofil eines Unternehmens erheblich. Keine Kette ist stärker als ihr schwächstes Glied!
Die Herausforderungen • Es gibt viele Lösungen am Markt welche sich mit Schwachstellen beschäftigen. • Es gibt Lösungen zum einfachen Vulnerability Scanning und es gibt Lösungen zum Vulnerability Management. • Vulnerability Scanning Lösungen sind in der Regel günstig in der Anschaffung • Vulnerability Management Lösungen sind in der Regel teurer in der Anschaffung 6
Die Herausforderungen • Die heutige fragmentierte bzw. verteilte Wertschöpfungskette stellt uns vor neue Herausforderungen. • Moderne Entwicklungsparadigmen bieten neue Chancen und Möglichkeiten • Hacker werden immer schneller im Ausnutzen von Sicherheitslücken • WannaCry ca. 6 Wochen zwischen Publizierung des Patches und ersten schweren Angriffen 7
Lernziele 8
Lernziele • Praxiserfahrungen bei der Implementierung und dem Betrieb von Vulnerability Management, sowie aktuelle Herausforderungen • Welche Strategien haben sich in der Praxis bewährt? • Welche Ansätze haben sich in der Praxis nicht bewährt? • Auf welche Stolpersteine sollten Sie sich vorbereiten? • Außerdem im Fokus neue Anforderungen durch Multi-Cloud Umgebungen, sowie fragmentierte und komplexe Lieferketten. Beispielsweise durch die Nutzung der Vorteile von: • Container & Cloud Lösungen (IaaS, PaaS, SaaS, etc.) • Agile Entwicklung (Continuous Integration (CI)/Continuous Deployment (CD)) 9
Do’s 10
Do’s • Welche Strategien haben sich in der Praxis bewährt? • Fangen Sie in kleinen Schritten an. Ertränken Sie Ihren Betrieb nicht in einer Flut von Schwachstellen. • Gefunden Schwachstellen müssen nach Kritikalität für das eigene Unternehmen eingeschätzt und priorisiert werden. • Vergessen Sie nicht den psychologischen Aspekt. Ermöglichen Sie ein Licht am Ende des Tunnels. • Schwachstellen müssen gemanagt, rapportiert und gegebenenfalls eskaliert werden. (Metriken und KPIs). • Besprechen Sie Unstimmigkeiten mit der CMDB. 11
Do’s • Container & Cloud Lösungen (IaaS, PaaS, SaaS, etc.) • Heutige as a Service Lösungen (XaaS) haben bestimmt Auflagen was das Scanning angeht. • https://aws.amazon.com/security/penetration-testing/ • SaaS Anbieter erlauben in der Regel keine Scans. • Einiger XaaS Anbieter lassen sich die Erlaubnis für Scans bezahlen. • Informieren Sie sich vorher über die Möglichkeiten • Wählen Sie Ihre Provider mit Bedacht aus 12
Do’s • Agile Entwicklung (Continuous Integration (CI)/Continuous Deployment (CD)) • Integrieren Sie Schwachstellen Scans frühzeitig in Ihren Entwicklungsprozess • z.B. Erkennung von Bibliotheken und anderer Abhängigkeiten mit bekannten Schwachstellen • Etablierung von Quality Gates (auch Code Quality) 13
Don’ts 14
Don’ts • Welche Ansätze haben sich in der Praxis nicht bewährt? • Nutzen Sie nicht ausschließlich die Standard Kritikalität von Schwachstellen (z.B. CVSS) • Gehen Sie nicht davon aus das erteilte Bereinigungsaufträge nachhaltig durchgeführt werden. • Scannen Sie niemals fremde Systeme für die Sie keine schriftliche Erlaubnis haben. • Rapportieren Sie nicht die Zeit zwischen dem Auffinden der Schwachstelle und dem aktuellen Datum sondern dem öffentlichen bekannt werden. • Vergeuden Sie keine Zeit mit dem Suchen von unbekannten oder Herrenlosen Systemen, sondern delegieren Sie. • Scannen Sie nicht zu Change Freeze Zeiten. 15
Don’ts • Container & Cloud Lösungen (IaaS, PaaS, SaaS, etc.) • Fragmentieren Sie Ihre Lieferkette nicht so stark, dass sie nicht mehr zu Testen ist • Verlassen Sie sich nicht auf Firmenfremde Code bzw. Container Quellen • Unterschätzen Sie nicht die Datenmenge, welche bei Scans übertragen wird • Unterschätzen Sie nicht die Belastung der Systeme • Container sind funktionieren nicht wie klassische Systeme (z.B. authenticated Scans sind nicht ohne weiteres möglich) 16
Dont’s • Agile Entwicklung (Continuous Integration (CI)/Continuous Deployment (CD)) • Nutzen Sie nicht dutzende Solutions zum Scanning • Geben Sie agilen Entwicklern keinen Freibrief 17
Stolpersteine 18
Stolpersteine • Auf welche Stolpersteine sollten Sie sich vorbereiten? • Sind die Firewalls richtig konfiguriert? • Scans können Produktivsysteme zum Absturz bringen. • Was passiert mit Systemen für die Sie keinen Owner finden? • Delegieren Sie die Suchen der Systeme und der Owner. • Was passiert mit Systemen die nicht durch die IT gemangt werden? • Frankiermaschienen • 3rd Party gemanagte Systeme 19
Fazit 20
Fazit • Definieren Sie eine solide Governance • Holen Sie Ihr Management ab • Informieren Sie den Betrieb • Prüfen Sie regelmäßig (mindestens 1x im Monat) • Priorisieren Sie Ihre Findings • Nehmen Sie Schwachstellen Ernst • Patchen Sie zeitnah 21
Outpost24 webinar . Vulnerability Management Do's and Don'ts

Empfohlen

Open Source Governance - Erfahrungen
Open Source Governance - ErfahrungenOpen Source Governance - Erfahrungen
Open Source Governance - ErfahrungenJan Thielscher
 
Xidra 2016 DevOps
Xidra 2016 DevOpsXidra 2016 DevOps
Xidra 2016 DevOpsEduard van den Bongard
 
The Big Five - IT Architektur Heute
The Big Five - IT Architektur HeuteThe Big Five - IT Architektur Heute
The Big Five - IT Architektur HeuteAnatole Tresch
 
Vorlesung - Cloud Infrastrukturen - Einleitung | anynines
Vorlesung - Cloud Infrastrukturen - Einleitung | anyninesVorlesung - Cloud Infrastrukturen - Einleitung | anynines
Vorlesung - Cloud Infrastrukturen - Einleitung | anyninesanynines GmbH
 
Big/Smart/Fast Data – a very compact overview
Big/Smart/Fast Data – a very compact overviewBig/Smart/Fast Data – a very compact overview
Big/Smart/Fast Data – a very compact overviewOMM Solutions GmbH
 
Eine geniale Lösung für das Benutzermanagement by Suvad Sahovic
Eine geniale Lösung für das Benutzermanagement by Suvad SahovicEine geniale Lösung für das Benutzermanagement by Suvad Sahovic
Eine geniale Lösung für das Benutzermanagement by Suvad SahovicCarsten Muetzlitz
 
Kritische app performance erfolgreich optimieren mit Bison
Kritische app performance erfolgreich optimieren mit BisonKritische app performance erfolgreich optimieren mit Bison
Kritische app performance erfolgreich optimieren mit BisonDynatrace
 
IAK13 Darwin und die Kreativen
IAK13 Darwin und die KreativenIAK13 Darwin und die Kreativen
IAK13 Darwin und die KreativenWebster59
 

Empfohlen

Open Source Governance - Erfahrungen
Open Source Governance - ErfahrungenOpen Source Governance - Erfahrungen
Open Source Governance - ErfahrungenJan Thielscher
 
Xidra 2016 DevOps
Xidra 2016 DevOpsXidra 2016 DevOps
Xidra 2016 DevOpsEduard van den Bongard
 
The Big Five - IT Architektur Heute
The Big Five - IT Architektur HeuteThe Big Five - IT Architektur Heute
The Big Five - IT Architektur HeuteAnatole Tresch
 
Vorlesung - Cloud Infrastrukturen - Einleitung | anynines
Vorlesung - Cloud Infrastrukturen - Einleitung | anyninesVorlesung - Cloud Infrastrukturen - Einleitung | anynines
Vorlesung - Cloud Infrastrukturen - Einleitung | anyninesanynines GmbH
 
Big/Smart/Fast Data – a very compact overview
Big/Smart/Fast Data – a very compact overviewBig/Smart/Fast Data – a very compact overview
Big/Smart/Fast Data – a very compact overviewOMM Solutions GmbH
 
Eine geniale Lösung für das Benutzermanagement by Suvad Sahovic
Eine geniale Lösung für das Benutzermanagement by Suvad SahovicEine geniale Lösung für das Benutzermanagement by Suvad Sahovic
Eine geniale Lösung für das Benutzermanagement by Suvad SahovicCarsten Muetzlitz
 
Kritische app performance erfolgreich optimieren mit Bison
Kritische app performance erfolgreich optimieren mit BisonKritische app performance erfolgreich optimieren mit Bison
Kritische app performance erfolgreich optimieren mit BisonDynatrace
 
IAK13 Darwin und die Kreativen
IAK13 Darwin und die KreativenIAK13 Darwin und die Kreativen
IAK13 Darwin und die KreativenWebster59
 
Public Cloud Erfahrungsbericht SBB
Public Cloud Erfahrungsbericht SBBPublic Cloud Erfahrungsbericht SBB
Public Cloud Erfahrungsbericht SBBBATbern
 
Big Data Discovery + Analytics = Datengetriebene Innovation!
Big Data Discovery + Analytics = Datengetriebene Innovation!Big Data Discovery + Analytics = Datengetriebene Innovation!
Big Data Discovery + Analytics = Datengetriebene Innovation!Harald Erb
 
Windows as a Service - Herausforderungen ohne Windows Desktop Analytics
Windows as a Service - Herausforderungen ohne Windows Desktop AnalyticsWindows as a Service - Herausforderungen ohne Windows Desktop Analytics
Windows as a Service - Herausforderungen ohne Windows Desktop AnalyticsFabian Niesen
 
Jug nbg containerplattform dcos
Jug nbg containerplattform dcosJug nbg containerplattform dcos
Jug nbg containerplattform dcosRalf Ernst
 
Was die Cloud mit einem brennenden Haus zu tun hat
Was die Cloud mit einem brennenden Haus zu tun hatWas die Cloud mit einem brennenden Haus zu tun hat
Was die Cloud mit einem brennenden Haus zu tun hatNane Kratzke
 
8 Tipps für eine Cloud Strategie – wie Unternehmen heute die Cloud einsetzen
8 Tipps für eine Cloud Strategie – wie Unternehmen heute die Cloud einsetzen8 Tipps für eine Cloud Strategie – wie Unternehmen heute die Cloud einsetzen
8 Tipps für eine Cloud Strategie – wie Unternehmen heute die Cloud einsetzenAWS Germany
 
Digitale Transformation für EVU’s, Science-Fiction oder Realität?
Digitale Transformation für EVU’s, Science-Fiction oder Realität?Digitale Transformation für EVU’s, Science-Fiction oder Realität?
Digitale Transformation für EVU’s, Science-Fiction oder Realität?Railnova
 
he Future of SharePoint is Now – Tipps für On-Premise, Cloud oder Hybride Mig...
he Future of SharePoint is Now – Tipps für On-Premise, Cloud oder Hybride Mig...he Future of SharePoint is Now – Tipps für On-Premise, Cloud oder Hybride Mig...
he Future of SharePoint is Now – Tipps für On-Premise, Cloud oder Hybride Mig...AvePoint
 
DevOps in der Praxis
DevOps in der PraxisDevOps in der Praxis
DevOps in der Praxisinovex GmbH
 
Cloud Deployment und (Auto)Scaling am Beispiel von Angrybird
Cloud Deployment und (Auto)Scaling am Beispiel von AngrybirdCloud Deployment und (Auto)Scaling am Beispiel von Angrybird
Cloud Deployment und (Auto)Scaling am Beispiel von AngrybirdAOE
 
Bernd Schellnast (Sphinx IT Consulting GmbH)
Bernd Schellnast (Sphinx IT Consulting GmbH)Bernd Schellnast (Sphinx IT Consulting GmbH)
Bernd Schellnast (Sphinx IT Consulting GmbH)Praxistage
 
micro services
micro servicesmicro services
micro servicessmancke
 
Steinzeit war gestern! Wege der cloud-nativen Evolution
Steinzeit war gestern! Wege der cloud-nativen EvolutionSteinzeit war gestern! Wege der cloud-nativen Evolution
Steinzeit war gestern! Wege der cloud-nativen EvolutionQAware GmbH
 
Impulsseminar cloud computing - ufz.ch 20120521
Impulsseminar cloud computing - ufz.ch 20120521Impulsseminar cloud computing - ufz.ch 20120521
Impulsseminar cloud computing - ufz.ch 20120521ihrepartner.ch gmbh
 
Warum NoSQL Datenbanken auf dem Vormarsch sind
Warum NoSQL Datenbanken auf dem Vormarsch sindWarum NoSQL Datenbanken auf dem Vormarsch sind
Warum NoSQL Datenbanken auf dem Vormarsch sindRegina Holzapfel
 
Wie finde ich die beste VPN Lösung für mein Unternehmen?
Wie finde ich die beste VPN Lösung für mein Unternehmen?Wie finde ich die beste VPN Lösung für mein Unternehmen?
Wie finde ich die beste VPN Lösung für mein Unternehmen?HOB
 
Data Center Automation for the Cloud
Data Center Automation for the CloudData Center Automation for the Cloud
Data Center Automation for the Cloudinovex GmbH
 
Swiss Cloud Conference 2014: Wachstum und Herausforderung im Mittelstand meis...
Swiss Cloud Conference 2014: Wachstum und Herausforderung im Mittelstand meis...Swiss Cloud Conference 2014: Wachstum und Herausforderung im Mittelstand meis...
Swiss Cloud Conference 2014: Wachstum und Herausforderung im Mittelstand meis...topsoft - inspiring digital business
 
Agil in der Normativen Welt
Agil in der Normativen WeltAgil in der Normativen Welt
Agil in der Normativen WeltThomas Arends
 
Das Mindset von DevOps
Das Mindset von DevOpsDas Mindset von DevOps
Das Mindset von DevOpsChristinaLerch1
 
Outpost24 webinar - A fresh look into the underground card shop ecosystem
Outpost24 webinar - A fresh look into the underground card shop ecosystemOutpost24 webinar - A fresh look into the underground card shop ecosystem
Outpost24 webinar - A fresh look into the underground card shop ecosystemOutpost24
 
Outpost24 webinar Why API security matters and how to get it right.pdf
Outpost24 webinar Why API security matters and how to get it right.pdfOutpost24 webinar Why API security matters and how to get it right.pdf
Outpost24 webinar Why API security matters and how to get it right.pdfOutpost24
 

Weitere ähnliche Inhalte

Ähnlich wie Outpost24 webinar . Vulnerability Management Do's and Don'ts

Public Cloud Erfahrungsbericht SBB
Public Cloud Erfahrungsbericht SBBPublic Cloud Erfahrungsbericht SBB
Public Cloud Erfahrungsbericht SBBBATbern
 
Big Data Discovery + Analytics = Datengetriebene Innovation!
Big Data Discovery + Analytics = Datengetriebene Innovation!Big Data Discovery + Analytics = Datengetriebene Innovation!
Big Data Discovery + Analytics = Datengetriebene Innovation!Harald Erb
 
Windows as a Service - Herausforderungen ohne Windows Desktop Analytics
Windows as a Service - Herausforderungen ohne Windows Desktop AnalyticsWindows as a Service - Herausforderungen ohne Windows Desktop Analytics
Windows as a Service - Herausforderungen ohne Windows Desktop AnalyticsFabian Niesen
 
Jug nbg containerplattform dcos
Jug nbg containerplattform dcosJug nbg containerplattform dcos
Jug nbg containerplattform dcosRalf Ernst
 
Was die Cloud mit einem brennenden Haus zu tun hat
Was die Cloud mit einem brennenden Haus zu tun hatWas die Cloud mit einem brennenden Haus zu tun hat
Was die Cloud mit einem brennenden Haus zu tun hatNane Kratzke
 
8 Tipps für eine Cloud Strategie – wie Unternehmen heute die Cloud einsetzen
8 Tipps für eine Cloud Strategie – wie Unternehmen heute die Cloud einsetzen8 Tipps für eine Cloud Strategie – wie Unternehmen heute die Cloud einsetzen
8 Tipps für eine Cloud Strategie – wie Unternehmen heute die Cloud einsetzenAWS Germany
 
Digitale Transformation für EVU’s, Science-Fiction oder Realität?
Digitale Transformation für EVU’s, Science-Fiction oder Realität?Digitale Transformation für EVU’s, Science-Fiction oder Realität?
Digitale Transformation für EVU’s, Science-Fiction oder Realität?Railnova
 
he Future of SharePoint is Now – Tipps für On-Premise, Cloud oder Hybride Mig...
he Future of SharePoint is Now – Tipps für On-Premise, Cloud oder Hybride Mig...he Future of SharePoint is Now – Tipps für On-Premise, Cloud oder Hybride Mig...
he Future of SharePoint is Now – Tipps für On-Premise, Cloud oder Hybride Mig...AvePoint
 
DevOps in der Praxis
DevOps in der PraxisDevOps in der Praxis
DevOps in der Praxisinovex GmbH
 
Cloud Deployment und (Auto)Scaling am Beispiel von Angrybird
Cloud Deployment und (Auto)Scaling am Beispiel von AngrybirdCloud Deployment und (Auto)Scaling am Beispiel von Angrybird
Cloud Deployment und (Auto)Scaling am Beispiel von AngrybirdAOE
 
Bernd Schellnast (Sphinx IT Consulting GmbH)
Bernd Schellnast (Sphinx IT Consulting GmbH)Bernd Schellnast (Sphinx IT Consulting GmbH)
Bernd Schellnast (Sphinx IT Consulting GmbH)Praxistage
 
micro services
micro servicesmicro services
micro servicessmancke
 
Steinzeit war gestern! Wege der cloud-nativen Evolution
Steinzeit war gestern! Wege der cloud-nativen EvolutionSteinzeit war gestern! Wege der cloud-nativen Evolution
Steinzeit war gestern! Wege der cloud-nativen EvolutionQAware GmbH
 
Impulsseminar cloud computing - ufz.ch 20120521
Impulsseminar cloud computing - ufz.ch 20120521Impulsseminar cloud computing - ufz.ch 20120521
Impulsseminar cloud computing - ufz.ch 20120521ihrepartner.ch gmbh
 
Warum NoSQL Datenbanken auf dem Vormarsch sind
Warum NoSQL Datenbanken auf dem Vormarsch sindWarum NoSQL Datenbanken auf dem Vormarsch sind
Warum NoSQL Datenbanken auf dem Vormarsch sindRegina Holzapfel
 
Wie finde ich die beste VPN Lösung für mein Unternehmen?
Wie finde ich die beste VPN Lösung für mein Unternehmen?Wie finde ich die beste VPN Lösung für mein Unternehmen?
Wie finde ich die beste VPN Lösung für mein Unternehmen?HOB
 
Data Center Automation for the Cloud
Data Center Automation for the CloudData Center Automation for the Cloud
Data Center Automation for the Cloudinovex GmbH
 
Swiss Cloud Conference 2014: Wachstum und Herausforderung im Mittelstand meis...
Swiss Cloud Conference 2014: Wachstum und Herausforderung im Mittelstand meis...Swiss Cloud Conference 2014: Wachstum und Herausforderung im Mittelstand meis...
Swiss Cloud Conference 2014: Wachstum und Herausforderung im Mittelstand meis...topsoft - inspiring digital business
 
Agil in der Normativen Welt
Agil in der Normativen WeltAgil in der Normativen Welt
Agil in der Normativen WeltThomas Arends
 

Ähnlich wie Outpost24 webinar . Vulnerability Management Do's and Don'ts (20)

Public Cloud Erfahrungsbericht SBB
Public Cloud Erfahrungsbericht SBBPublic Cloud Erfahrungsbericht SBB
Public Cloud Erfahrungsbericht SBB
 
Big Data Discovery + Analytics = Datengetriebene Innovation!
Big Data Discovery + Analytics = Datengetriebene Innovation!Big Data Discovery + Analytics = Datengetriebene Innovation!
Big Data Discovery + Analytics = Datengetriebene Innovation!
 
Windows as a Service - Herausforderungen ohne Windows Desktop Analytics
Windows as a Service - Herausforderungen ohne Windows Desktop AnalyticsWindows as a Service - Herausforderungen ohne Windows Desktop Analytics
Windows as a Service - Herausforderungen ohne Windows Desktop Analytics
 
Jug nbg containerplattform dcos
Jug nbg containerplattform dcosJug nbg containerplattform dcos
Jug nbg containerplattform dcos
 
Was die Cloud mit einem brennenden Haus zu tun hat
Was die Cloud mit einem brennenden Haus zu tun hatWas die Cloud mit einem brennenden Haus zu tun hat
Was die Cloud mit einem brennenden Haus zu tun hat
 
8 Tipps für eine Cloud Strategie – wie Unternehmen heute die Cloud einsetzen
8 Tipps für eine Cloud Strategie – wie Unternehmen heute die Cloud einsetzen8 Tipps für eine Cloud Strategie – wie Unternehmen heute die Cloud einsetzen
8 Tipps für eine Cloud Strategie – wie Unternehmen heute die Cloud einsetzen
 
Digitale Transformation für EVU’s, Science-Fiction oder Realität?
Digitale Transformation für EVU’s, Science-Fiction oder Realität?Digitale Transformation für EVU’s, Science-Fiction oder Realität?
Digitale Transformation für EVU’s, Science-Fiction oder Realität?
 
he Future of SharePoint is Now – Tipps für On-Premise, Cloud oder Hybride Mig...
he Future of SharePoint is Now – Tipps für On-Premise, Cloud oder Hybride Mig...he Future of SharePoint is Now – Tipps für On-Premise, Cloud oder Hybride Mig...
he Future of SharePoint is Now – Tipps für On-Premise, Cloud oder Hybride Mig...
 
DevOps in der Praxis
DevOps in der PraxisDevOps in der Praxis
DevOps in der Praxis
 
Cloud Deployment und (Auto)Scaling am Beispiel von Angrybird
Cloud Deployment und (Auto)Scaling am Beispiel von AngrybirdCloud Deployment und (Auto)Scaling am Beispiel von Angrybird
Cloud Deployment und (Auto)Scaling am Beispiel von Angrybird
 
Bernd Schellnast (Sphinx IT Consulting GmbH)
Bernd Schellnast (Sphinx IT Consulting GmbH)Bernd Schellnast (Sphinx IT Consulting GmbH)
Bernd Schellnast (Sphinx IT Consulting GmbH)
 
micro services
micro servicesmicro services
micro services
 
Steinzeit war gestern! Wege der cloud-nativen Evolution
Steinzeit war gestern! Wege der cloud-nativen EvolutionSteinzeit war gestern! Wege der cloud-nativen Evolution
Steinzeit war gestern! Wege der cloud-nativen Evolution
 
Impulsseminar cloud computing - ufz.ch 20120521
Impulsseminar cloud computing - ufz.ch 20120521Impulsseminar cloud computing - ufz.ch 20120521
Impulsseminar cloud computing - ufz.ch 20120521
 
Warum NoSQL Datenbanken auf dem Vormarsch sind
Warum NoSQL Datenbanken auf dem Vormarsch sindWarum NoSQL Datenbanken auf dem Vormarsch sind
Warum NoSQL Datenbanken auf dem Vormarsch sind
 
Wie finde ich die beste VPN Lösung für mein Unternehmen?
Wie finde ich die beste VPN Lösung für mein Unternehmen?Wie finde ich die beste VPN Lösung für mein Unternehmen?
Wie finde ich die beste VPN Lösung für mein Unternehmen?
 
Data Center Automation for the Cloud
Data Center Automation for the CloudData Center Automation for the Cloud
Data Center Automation for the Cloud
 
Swiss Cloud Conference 2014: Wachstum und Herausforderung im Mittelstand meis...
Swiss Cloud Conference 2014: Wachstum und Herausforderung im Mittelstand meis...Swiss Cloud Conference 2014: Wachstum und Herausforderung im Mittelstand meis...
Swiss Cloud Conference 2014: Wachstum und Herausforderung im Mittelstand meis...
 
Agil in der Normativen Welt
Agil in der Normativen WeltAgil in der Normativen Welt
Agil in der Normativen Welt
 
Das Mindset von DevOps
Das Mindset von DevOpsDas Mindset von DevOps
Das Mindset von DevOps
 

Mehr von Outpost24

Outpost24 webinar - A fresh look into the underground card shop ecosystem
Outpost24 webinar - A fresh look into the underground card shop ecosystemOutpost24 webinar - A fresh look into the underground card shop ecosystem
Outpost24 webinar - A fresh look into the underground card shop ecosystemOutpost24
 
Outpost24 webinar Why API security matters and how to get it right.pdf
Outpost24 webinar Why API security matters and how to get it right.pdfOutpost24 webinar Why API security matters and how to get it right.pdf
Outpost24 webinar Why API security matters and how to get it right.pdfOutpost24
 
Outpost24 webinar - The new CISO imperative: connecting technical vulnerabili...
Outpost24 webinar - The new CISO imperative: connecting technical vulnerabili...Outpost24 webinar - The new CISO imperative: connecting technical vulnerabili...
Outpost24 webinar - The new CISO imperative: connecting technical vulnerabili...Outpost24
 
Outpost24 Webinar - Five steps to build a killer Application Security Program
Outpost24 Webinar - Five steps to build a killer Application Security ProgramOutpost24 Webinar - Five steps to build a killer Application Security Program
Outpost24 Webinar - Five steps to build a killer Application Security ProgramOutpost24
 
Outpost24 webinar - How to protect your organization from credential theft
Outpost24 webinar - How to protect your organization from credential theftOutpost24 webinar - How to protect your organization from credential theft
Outpost24 webinar - How to protect your organization from credential theftOutpost24
 
Outpost24 webinar : Beating hackers at their own game 2022 predictions
Outpost24 webinar : Beating hackers at their own game 2022 predictionsOutpost24 webinar : Beating hackers at their own game 2022 predictions
Outpost24 webinar : Beating hackers at their own game 2022 predictionsOutpost24
 
Outpost24 webinar - Enhance user security to stop the cyber-attack cycle
Outpost24 webinar - Enhance user security to stop the cyber-attack cycleOutpost24 webinar - Enhance user security to stop the cyber-attack cycle
Outpost24 webinar - Enhance user security to stop the cyber-attack cycleOutpost24
 
Outpost24 webinar - Mapping Vulnerabilities with the MITRE ATT&CK Framework
Outpost24 webinar - Mapping Vulnerabilities with the MITRE ATT&CK FrameworkOutpost24 webinar - Mapping Vulnerabilities with the MITRE ATT&CK Framework
Outpost24 webinar - Mapping Vulnerabilities with the MITRE ATT&CK FrameworkOutpost24
 
Outpost24 webinar: best practice for external attack surface management
Outpost24 webinar: best practice for external attack surface managementOutpost24 webinar: best practice for external attack surface management
Outpost24 webinar: best practice for external attack surface managementOutpost24
 
Outpost24 webinar: The state of ransomware in 2021 and how to limit your expo...
Outpost24 webinar: The state of ransomware in 2021 and how to limit your expo...Outpost24 webinar: The state of ransomware in 2021 and how to limit your expo...
Outpost24 webinar: The state of ransomware in 2021 and how to limit your expo...Outpost24
 
Outpost24 Webinar - DevOps to DevSecOps: delivering quality and secure develo...
Outpost24 Webinar - DevOps to DevSecOps: delivering quality and secure develo...Outpost24 Webinar - DevOps to DevSecOps: delivering quality and secure develo...
Outpost24 Webinar - DevOps to DevSecOps: delivering quality and secure develo...Outpost24
 
Outpost24 webinar - Why asset discovery is the missing link to enterprise vul...
Outpost24 webinar - Why asset discovery is the missing link to enterprise vul...Outpost24 webinar - Why asset discovery is the missing link to enterprise vul...
Outpost24 webinar - Why asset discovery is the missing link to enterprise vul...Outpost24
 
Outpost24 webinar - Api security
Outpost24 webinar - Api securityOutpost24 webinar - Api security
Outpost24 webinar - Api securityOutpost24
 
Outpost24 Webinar - CISO conversation behind the cyber security technology
Outpost24 Webinar - CISO conversation behind the cyber security technologyOutpost24 Webinar - CISO conversation behind the cyber security technology
Outpost24 Webinar - CISO conversation behind the cyber security technologyOutpost24
 
Outpost24 webinar - Differentiating vulnerabilities from risks to reduce time...
Outpost24 webinar - Differentiating vulnerabilities from risks to reduce time...Outpost24 webinar - Differentiating vulnerabilities from risks to reduce time...
Outpost24 webinar - Differentiating vulnerabilities from risks to reduce time...Outpost24
 
Outpost24 webinar - How to secure cloud services in the DevOps fast lane
Outpost24 webinar - How to secure cloud services in the DevOps fast laneOutpost24 webinar - How to secure cloud services in the DevOps fast lane
Outpost24 webinar - How to secure cloud services in the DevOps fast laneOutpost24
 
Outpost24 webinar - Demystifying Web Application Security with Attack Surface...
Outpost24 webinar - Demystifying Web Application Security with Attack Surface...Outpost24 webinar - Demystifying Web Application Security with Attack Surface...
Outpost24 webinar - Demystifying Web Application Security with Attack Surface...Outpost24
 
Outpost24 webinar - Winning the cybersecurity race with predictive vulnerabil...
Outpost24 webinar - Winning the cybersecurity race with predictive vulnerabil...Outpost24 webinar - Winning the cybersecurity race with predictive vulnerabil...
Outpost24 webinar - Winning the cybersecurity race with predictive vulnerabil...Outpost24
 
Outpost24 webinar - Bridging your cyber hygiene gap to prevent enterprise hac...
Outpost24 webinar - Bridging your cyber hygiene gap to prevent enterprise hac...Outpost24 webinar - Bridging your cyber hygiene gap to prevent enterprise hac...
Outpost24 webinar - Bridging your cyber hygiene gap to prevent enterprise hac...Outpost24
 
Outpost24 webinar mastering container security in modern day dev ops
Outpost24 webinar mastering container security in modern day dev opsOutpost24 webinar mastering container security in modern day dev ops
Outpost24 webinar mastering container security in modern day dev opsOutpost24
 

Mehr von Outpost24 (20)

Outpost24 webinar - A fresh look into the underground card shop ecosystem
Outpost24 webinar - A fresh look into the underground card shop ecosystemOutpost24 webinar - A fresh look into the underground card shop ecosystem
Outpost24 webinar - A fresh look into the underground card shop ecosystem
 
Outpost24 webinar Why API security matters and how to get it right.pdf
Outpost24 webinar Why API security matters and how to get it right.pdfOutpost24 webinar Why API security matters and how to get it right.pdf
Outpost24 webinar Why API security matters and how to get it right.pdf
 
Outpost24 webinar - The new CISO imperative: connecting technical vulnerabili...
Outpost24 webinar - The new CISO imperative: connecting technical vulnerabili...Outpost24 webinar - The new CISO imperative: connecting technical vulnerabili...
Outpost24 webinar - The new CISO imperative: connecting technical vulnerabili...
 
Outpost24 Webinar - Five steps to build a killer Application Security Program
Outpost24 Webinar - Five steps to build a killer Application Security ProgramOutpost24 Webinar - Five steps to build a killer Application Security Program
Outpost24 Webinar - Five steps to build a killer Application Security Program
 
Outpost24 webinar - How to protect your organization from credential theft
Outpost24 webinar - How to protect your organization from credential theftOutpost24 webinar - How to protect your organization from credential theft
Outpost24 webinar - How to protect your organization from credential theft
 
Outpost24 webinar : Beating hackers at their own game 2022 predictions
Outpost24 webinar : Beating hackers at their own game 2022 predictionsOutpost24 webinar : Beating hackers at their own game 2022 predictions
Outpost24 webinar : Beating hackers at their own game 2022 predictions
 
Outpost24 webinar - Enhance user security to stop the cyber-attack cycle
Outpost24 webinar - Enhance user security to stop the cyber-attack cycleOutpost24 webinar - Enhance user security to stop the cyber-attack cycle
Outpost24 webinar - Enhance user security to stop the cyber-attack cycle
 
Outpost24 webinar - Mapping Vulnerabilities with the MITRE ATT&CK Framework
Outpost24 webinar - Mapping Vulnerabilities with the MITRE ATT&CK FrameworkOutpost24 webinar - Mapping Vulnerabilities with the MITRE ATT&CK Framework
Outpost24 webinar - Mapping Vulnerabilities with the MITRE ATT&CK Framework
 
Outpost24 webinar: best practice for external attack surface management
Outpost24 webinar: best practice for external attack surface managementOutpost24 webinar: best practice for external attack surface management
Outpost24 webinar: best practice for external attack surface management
 
Outpost24 webinar: The state of ransomware in 2021 and how to limit your expo...
Outpost24 webinar: The state of ransomware in 2021 and how to limit your expo...Outpost24 webinar: The state of ransomware in 2021 and how to limit your expo...
Outpost24 webinar: The state of ransomware in 2021 and how to limit your expo...
 
Outpost24 Webinar - DevOps to DevSecOps: delivering quality and secure develo...
Outpost24 Webinar - DevOps to DevSecOps: delivering quality and secure develo...Outpost24 Webinar - DevOps to DevSecOps: delivering quality and secure develo...
Outpost24 Webinar - DevOps to DevSecOps: delivering quality and secure develo...
 
Outpost24 webinar - Why asset discovery is the missing link to enterprise vul...
Outpost24 webinar - Why asset discovery is the missing link to enterprise vul...Outpost24 webinar - Why asset discovery is the missing link to enterprise vul...
Outpost24 webinar - Why asset discovery is the missing link to enterprise vul...
 
Outpost24 webinar - Api security
Outpost24 webinar - Api securityOutpost24 webinar - Api security
Outpost24 webinar - Api security
 
Outpost24 Webinar - CISO conversation behind the cyber security technology
Outpost24 Webinar - CISO conversation behind the cyber security technologyOutpost24 Webinar - CISO conversation behind the cyber security technology
Outpost24 Webinar - CISO conversation behind the cyber security technology
 
Outpost24 webinar - Differentiating vulnerabilities from risks to reduce time...
Outpost24 webinar - Differentiating vulnerabilities from risks to reduce time...Outpost24 webinar - Differentiating vulnerabilities from risks to reduce time...
Outpost24 webinar - Differentiating vulnerabilities from risks to reduce time...
 
Outpost24 webinar - How to secure cloud services in the DevOps fast lane
Outpost24 webinar - How to secure cloud services in the DevOps fast laneOutpost24 webinar - How to secure cloud services in the DevOps fast lane
Outpost24 webinar - How to secure cloud services in the DevOps fast lane
 
Outpost24 webinar - Demystifying Web Application Security with Attack Surface...
Outpost24 webinar - Demystifying Web Application Security with Attack Surface...Outpost24 webinar - Demystifying Web Application Security with Attack Surface...
Outpost24 webinar - Demystifying Web Application Security with Attack Surface...
 
Outpost24 webinar - Winning the cybersecurity race with predictive vulnerabil...
Outpost24 webinar - Winning the cybersecurity race with predictive vulnerabil...Outpost24 webinar - Winning the cybersecurity race with predictive vulnerabil...
Outpost24 webinar - Winning the cybersecurity race with predictive vulnerabil...
 
Outpost24 webinar - Bridging your cyber hygiene gap to prevent enterprise hac...
Outpost24 webinar - Bridging your cyber hygiene gap to prevent enterprise hac...Outpost24 webinar - Bridging your cyber hygiene gap to prevent enterprise hac...
Outpost24 webinar - Bridging your cyber hygiene gap to prevent enterprise hac...
 
Outpost24 webinar mastering container security in modern day dev ops
Outpost24 webinar mastering container security in modern day dev opsOutpost24 webinar mastering container security in modern day dev ops
Outpost24 webinar mastering container security in modern day dev ops
 

Outpost24 webinar . Vulnerability Management Do's and Don'ts

  • 1. Dr. Thomas Punz CEO and Founder SECURNITE GmbH tpunz@securnite.com +41 (0) 56 511 79 89 Vulnerability Management Do’s and Don’ts
  • 2. • Kontext (5’) • Lernziele (5’) • Do’s (3’) 2 • Don’ts (3’) • Stolpersteine (3’) • Fazit (6’) Agenda
  • 4. Die drei Schutzziele der Informationssicherheit • Vertraulichkeit (Confidentiality) • Daten sind nur berechtigten Personen zugänglich. • Integrität (Integrity) • Daten sind nur durch berechtigte Personen veränderbar. Die Veränderungen sind nachvollziehbar, erkennbar und Dokumentiert. • Verfügbarkeit (Availability) • Daten sind berechtigten Personen jederzeit zugänglich. 4
  • 5. Kontext 5 • Bei ca. 57% Prozent der Unternehmen, bei denen ein Datenverlust aufgetreten ist, war eine nicht gepatchte Schwachstellen als Ursache. → Schwachstellenmanagement (Vulnerability Management) reduziert das Risikoprofil eines Unternehmens erheblich. Keine Kette ist stärker als ihr schwächstes Glied!
  • 6. Die Herausforderungen • Es gibt viele Lösungen am Markt welche sich mit Schwachstellen beschäftigen. • Es gibt Lösungen zum einfachen Vulnerability Scanning und es gibt Lösungen zum Vulnerability Management. • Vulnerability Scanning Lösungen sind in der Regel günstig in der Anschaffung • Vulnerability Management Lösungen sind in der Regel teurer in der Anschaffung 6
  • 7. Die Herausforderungen • Die heutige fragmentierte bzw. verteilte Wertschöpfungskette stellt uns vor neue Herausforderungen. • Moderne Entwicklungsparadigmen bieten neue Chancen und Möglichkeiten • Hacker werden immer schneller im Ausnutzen von Sicherheitslücken • WannaCry ca. 6 Wochen zwischen Publizierung des Patches und ersten schweren Angriffen 7
  • 9. Lernziele • Praxiserfahrungen bei der Implementierung und dem Betrieb von Vulnerability Management, sowie aktuelle Herausforderungen • Welche Strategien haben sich in der Praxis bewährt? • Welche Ansätze haben sich in der Praxis nicht bewährt? • Auf welche Stolpersteine sollten Sie sich vorbereiten? • Außerdem im Fokus neue Anforderungen durch Multi-Cloud Umgebungen, sowie fragmentierte und komplexe Lieferketten. Beispielsweise durch die Nutzung der Vorteile von: • Container & Cloud Lösungen (IaaS, PaaS, SaaS, etc.) • Agile Entwicklung (Continuous Integration (CI)/Continuous Deployment (CD)) 9
  • 11. Do’s • Welche Strategien haben sich in der Praxis bewährt? • Fangen Sie in kleinen Schritten an. Ertränken Sie Ihren Betrieb nicht in einer Flut von Schwachstellen. • Gefunden Schwachstellen müssen nach Kritikalität für das eigene Unternehmen eingeschätzt und priorisiert werden. • Vergessen Sie nicht den psychologischen Aspekt. Ermöglichen Sie ein Licht am Ende des Tunnels. • Schwachstellen müssen gemanagt, rapportiert und gegebenenfalls eskaliert werden. (Metriken und KPIs). • Besprechen Sie Unstimmigkeiten mit der CMDB. 11
  • 12. Do’s • Container & Cloud Lösungen (IaaS, PaaS, SaaS, etc.) • Heutige as a Service Lösungen (XaaS) haben bestimmt Auflagen was das Scanning angeht. • https://aws.amazon.com/security/penetration-testing/ • SaaS Anbieter erlauben in der Regel keine Scans. • Einiger XaaS Anbieter lassen sich die Erlaubnis für Scans bezahlen. • Informieren Sie sich vorher über die Möglichkeiten • Wählen Sie Ihre Provider mit Bedacht aus 12
  • 13. Do’s • Agile Entwicklung (Continuous Integration (CI)/Continuous Deployment (CD)) • Integrieren Sie Schwachstellen Scans frühzeitig in Ihren Entwicklungsprozess • z.B. Erkennung von Bibliotheken und anderer Abhängigkeiten mit bekannten Schwachstellen • Etablierung von Quality Gates (auch Code Quality) 13
  • 15. Don’ts • Welche Ansätze haben sich in der Praxis nicht bewährt? • Nutzen Sie nicht ausschließlich die Standard Kritikalität von Schwachstellen (z.B. CVSS) • Gehen Sie nicht davon aus das erteilte Bereinigungsaufträge nachhaltig durchgeführt werden. • Scannen Sie niemals fremde Systeme für die Sie keine schriftliche Erlaubnis haben. • Rapportieren Sie nicht die Zeit zwischen dem Auffinden der Schwachstelle und dem aktuellen Datum sondern dem öffentlichen bekannt werden. • Vergeuden Sie keine Zeit mit dem Suchen von unbekannten oder Herrenlosen Systemen, sondern delegieren Sie. • Scannen Sie nicht zu Change Freeze Zeiten. 15
  • 16. Don’ts • Container & Cloud Lösungen (IaaS, PaaS, SaaS, etc.) • Fragmentieren Sie Ihre Lieferkette nicht so stark, dass sie nicht mehr zu Testen ist • Verlassen Sie sich nicht auf Firmenfremde Code bzw. Container Quellen • Unterschätzen Sie nicht die Datenmenge, welche bei Scans übertragen wird • Unterschätzen Sie nicht die Belastung der Systeme • Container sind funktionieren nicht wie klassische Systeme (z.B. authenticated Scans sind nicht ohne weiteres möglich) 16
  • 17. Dont’s • Agile Entwicklung (Continuous Integration (CI)/Continuous Deployment (CD)) • Nutzen Sie nicht dutzende Solutions zum Scanning • Geben Sie agilen Entwicklern keinen Freibrief 17
  • 19. Stolpersteine • Auf welche Stolpersteine sollten Sie sich vorbereiten? • Sind die Firewalls richtig konfiguriert? • Scans können Produktivsysteme zum Absturz bringen. • Was passiert mit Systemen für die Sie keinen Owner finden? • Delegieren Sie die Suchen der Systeme und der Owner. • Was passiert mit Systemen die nicht durch die IT gemangt werden? • Frankiermaschienen • 3rd Party gemanagte Systeme 19
  • 21. Fazit • Definieren Sie eine solide Governance • Holen Sie Ihr Management ab • Informieren Sie den Betrieb • Prüfen Sie regelmäßig (mindestens 1x im Monat) • Priorisieren Sie Ihre Findings • Nehmen Sie Schwachstellen Ernst • Patchen Sie zeitnah 21