SlideShare ist ein Scribd-Unternehmen logo

SBA Live Academy - "BIG BANG!" Highlights & key takeaways of 24 security talks

SBA Research
SBA Research

"BIG BANG!" Highlights & key takeaways of 24 security talks by Stefan Jakoubi & Thomas Konrad In this talk we will point out highlights and key takeaways of two months SBA Live Academy! Missed some talks? Watch them on YouTube (https://www.youtube.com/channel/UCGkdNRPzjB2c6RxoMJ5POCg/videos)! Speaker: Stefan Jakoubi, SBA Research Thomas Konrad, SBA Research Talk language: German About the Speaker: ********************* Stefan Jakoubi ist Geschäftsleiter für den Bereich „Professional Services“ bei SBA Research. Er ist seit über 13 Jahren im Großraum der Informationssicherheit tätig und "Sicherheits-Architekt" für Kunden und Forschungspartner. Hierbei liegt sein spezieller Fokus auf dem balancierten Zusammenspiel geschäftlicher Anforderungen und erforderlicher Sicherheitsmaßnahmen, um Entscheidungsträger in der Erfüllung ihrer Sorgfaltspflichten entsprechend zu unterstützen. Am liebsten hält er allerdings Security Awareness Vorträge, um komplexe Themengebiete zielgruppengerecht "zu übersetzen". Thomas Konrad is Principal Security Consultant at SBA Research and has been part of software security team since 2010. He focuses on secure software development, web application security, penetration testing, secure software design, architecture, and process, and trains software development teams in those areas.

Technologie
1 von 103
Downloaden Sie, um offline zu lesen
1 Willkommen zur SBA Live Academy #bleibdaheim #remotelearning Heute: Finale! by Stefan Jakoubi & Thomas Konrad This talk will be recorded!
2 Die Idee SBA Research, © 2020 Wir stecken z‘Haus fest Wir wollen lernen Wir wollen Impulse setzen Wir wollen Erfahrungsaustausch Ein Format, das sich „zwischendurch ausgeht“ Let‘s do it ☺
3 Die Zahlen • 25 SBA Live Academy Talks innerhalb 9 Wochen • Talks & Slides verfügbar • ~ 800 Minuten Security Content • ~ 900 TeilnehmerInnen SBA Research, © 2020 https://www.sba-research.org/sba-live-academy/
4 Behind the Scenes SBA Research, © 2020
5 Das edle Menü für das Gala Dinner SBA Research, © 2020 Remote Security Windows Domain Security Supply Chain Risk Certificates Cloud Security Software Security Incident Response Passwords Datenschutz Software Security Cyber Resilience Web Security Lex externe MitarbeiterInnen (I)Iot Security KRITIS Linux Kernel Sec COVID19 Simulationen OWASP SAMM Lex Crypto Linux Containers Secure Computing
6 1 Talk – 1 Minute SBA Research, © 2020
7 SBA Live Academy Thema 1+2/25 Remote Access – Top Security Challenges – Teil 1&2 Günther Roat, Philipp Reisinger (SBA) SBA Research gGmbH, 2020
8 Take-Aways • Top Remote Security Challenges – Teil 1 o Mangelhafte (Umsetzung der) Regelwerke o Security vs. Usability o Fehlende Schulungen o Erhöhte Gefahr von Social Engineering o Mangelhafte Information (Data) Governance o Sync von Daten auf mangelhaften Endgeräten SBA Research, © 2020
9 Take-Aways • Top Security Challenges – Teil 2 o Mangelhafte 2FA Durchdringung o Mangelhafte Netzwerksegmentierung o Admin-Interfaces aus Internet erreichbar o Nutzung alter (unsicherer) Protokolle o Mangelnde 3rd Party Security (Dienstleister) o Mangelhafte (Remote-) Notfallpläne SBA Research, © 2020
10 Take-Aways • Herausforderungen o Sichtbarkeit (breite Datenlage fehlt oftmals) o Risiko vs. Wirtschaftlichkeit („ZDF“) o Security vs. Usability (v.a. wenn‘s schnell gehen muss) SBA Research, © 2020
11 Take-Aways SBA Research, © 2020
12 SBA Live Academy Thema 3/25 Angriffe auf Windows-Domains und Delegation Reinhard Kugler (SBA) SBA Research gGmbH, 2020
13 Take-Aways • Active-Directory-Forest ist äußerst komplex • Viele alte Attacken funktionieren oft nicht mehr • Neue Ansätze o Kerberos-Tickets o Delegation o Forest Trust SBA Research, © 2020
14
15 Take-Aways • Constrained Delegation ignoriert den Service-Typ! • BloodHound ist ein Tool zur automatischen Analyse solcher AD- Angriffsvektoren SBA Research, © 2020
16 Take-Aways • Was kann ich tun? o Vertrauensbeziehungen ansehen! o Delegation-Attribute prüfen! o Admins in die „Protected Users Security Group“! o Least Privilege! SBA Research, © 2020
17 SBA Live Academy Thema 4/25 Und, wir geht‘s Ihrer Supply-Chain heute so? Stefan Jakoubi (SBA) SBA Research gGmbH, 2020
18 Mein Risiko? Ist “Supply-Chain-Cyber-Risiko” Teil meiner Risikoanalyse? SBA Research, © 2020 ??? %
19 Take-Aways • Unterbeleuchtete Thematik • Ökosystem des Unternehmens verstehen • Business Impact verstehen zur Priorisierung • Datenfluss „heikler“ Informationen folgen SBA Research, © 2020
20 SBA Live Academy Thema 5/25 CRLite – Revocation for X.509 certificates in the browser – this time for real? Mathias Tausig (SBA) SBA Research gGmbH, 2020
21 Take-Aways • Revocation in der Web-PKI ist kaputt o Zählt zu den kompliziertesten Prozessen einer CA o Aktuell großteils nicht funktionsfähig und verwendet o Großer Aufwand für vergleichsweise kleinen Nutzen • Versuche o CRLs o OCSP o OCSP Stapling o OCSP Must-staple SBA Research, © 2020
22 Take-Aways • CRLite o Liste aller Revocations o Speicherung: Cascading Bloom Filter o Probabilistisch (a.k.a. „Objekt nicht im Filter“ oder „Objekt wahrscheinlich im Filter“) o Aktiviert in Firefox Nightly o Akt. Filtergröße: 1.3 MB für 700k Zerts • Diesmal wirklich? Vielleicht! SBA Research, © 2020
23 SBA Live Academy Thema 6/25 Cloud Security Zertifizierungen und Gütesiegel Günther Roat (SBA) SBA Research gGmbH, 2020
24 Take-Aways • Shared Responsibility • Verantwortungsgrenzen kennen • Auslagerung in eine (zertifizierte) Cloud transferiert nicht die Risikoverantwortung SBA Research, © 2020 Verantwortung SaaS PaaS IaaS Information & Data Accounts & Identities Directories & Authentication Applikationen Operating System Netzwerksicherheit Physische Hosts & Datacenter KundeKunde CSPCSP
25 Take-Aways • Strukturiert die Verantwortungsgrenzen herausarbeiten und klarstellen, bspw. via ISO • ISO27017 als Ergänzung zu ISO27001 o Type1 Control: getrennt für Service Provider & Customer. o Type 2 Control: gilt für beide Rollen gleichermaßen. CSP and Customer should agree upon the procedure to respond to digital evidence requests etc. (SLA-Thema) • ISO27018 als Ergänzung zu ISO27001/17 für PII SBA Research, © 2020
26 SBA Live Academy-Thema 7/22 The Future of Software Security – Towards a Mature Lifecycle and DevSecOps Thomas Konrad SBA Research gGmbH, 2020
27 Take-Aways SBA Research, © 2020 D.h. du willst mehr Kohle? Nein. Ich will die limitierten Ressourcen effizienter nutzen.
28 Take-Aways • Steps towards DevSecOps o #1: Start with simplification. o #2: Push existing pockets of success. o #3: Offer self-service security tools. o #4: Work with both empowerment and accountability. o #5: Create and promote a culture of continuous learning. SBA Research gGmbH, 2019
29 SBA Live Academy Thema 8/25 I know what they did last Summer… Andreas Tomek (KPMG) SBA Research gGmbH, 2020
30 Take-Aways • Planung ist alles o In der Stress-Situation ist vieles zu spät o Wird vor allem teurer (Durchlaufzeit, Tagsätze,…) • Interne Kommunikation ist essentiell o Teure IR sind eingekauft worden, obwohl auf der anderen Seite der Welt nur ein Pentest war • Bei einem (großen) Incident ist Truppenstärke wichtig • Planspiele auch in „Stress-Situationen“ durchführen o Nicht nur wenn es ruhig ist >> Fehleinschätzungen SBA Research, © 2020
31 Take-Aways SBA Research, © 2020 Quelle: Cyber Security in Österreich (KPMG, 2020)
32 SBA Live Academy Thema 9/25 Passwords: Policy and Storage with NIST SP800-63b Jim Manico (Founder of Manicode Security & former board member for the OWASP foundation) SBA Research gGmbH, 2020
33 Take-Aways • Thema betrifft alle! • Wie eine gute Passwort-Policy aussieht, hat sich stark verändert: NIST SP 800-63b • Passwortspeicherung nicht immer optimal SBA Research, © 2020
34 Take-Aways • Moderne Passwortrichtlinie o Keine künstliche Beschränkung der Passwortstärke (abgesehen von einer großen Maximallänge)! o Kein Passwort-Ablauf mehr! o Mindestlänge! o Liste häufiger Passwörter prüfen! o Multi-Faktor-Authentifizierung! o Verwendung von Passwortmanagern empfehlen! o ... SBA Research, © 2020
35 Take-Aways • Passwortspeicherung o Wichtige Faktoren – Eindeutiger Salt – Work-Faktor o bcrypt, scrypt oder Argon2i SBA Research, © 2020
36 SBA Live Academy Thema 10/25 A Primer in Single Page Application Security (Angular, React, Vue.js) Thomas Konrad (SBA) SBA Research gGmbH, 2020
37 The DOM Is A Mess: XSS Sinks SBA Research gGmbH, 2020 Imagesource:https://www.youtube.com/watch?v=vYA81UAExKA https://github.com/wisec/domxsswiki/wiki
Classification: Public 38 SPAs, innerHTML and XSS SBA Research gGmbH, 2020 <span [innerHTML]="html"></span><span [innerHTML]="html"></span> Angular sanitizes this! <span dangerouslySetInnerHTML={html}></span><span dangerouslySetInnerHTML={html}></span> Makes you fear! <span v-html="html"></span><span v-html="html"></span> Makes you feel safe! const html = '<img src=x onerror=alert(1)/>';const html = '<img src=x onerror=alert(1)/>';Input: <img src=x />
39 SBA Live Academy Thema 11/25 Wozu Datenschutzgesetze? Gerald Sendera (SBA) SBA Research gGmbH, 2020
40 Take-Aways • Durch 300.000 Personen wurde die Erstellung von Profilen von 87.000.000 Personen ermöglicht! SBA Research, © 2020
41 Take-Aways SBA Research, © 2020
42 Take-Aways SBA Research, © 2020
43 Take-Aways SBA Research, © 2020
44 SBA Live Academy Thema 12/25 Cyber Resilience – Failure is not an option Simon Tjoa (FH St. Pölten) SBA Research gGmbH, 2020
45 Take-Aways SBA Research, © 2020
46 Take-Aways • Cyber Security vs. Cyber Resilience o Change in Mindset: „we assume breaches“ o Be prepared for the unexpected SBA Research, © 2020
47 Take-Aways SBA Research, © 2020
48 Take-Aways • Resilience vs(?) Artificial Intelligence SBA Research, © 2020
49 SBA Live Academy Thema 13/25 Using HTTPS by Default: How Web Servers Can Make the Web More Secure Matthew Holt (Full-time open source developer, project lead of the Caddy web server) SBA Research gGmbH, 2020
50 Take-Aways • Transportverschlüsselung wird überall erwartet • Eine gute TLS-Konfiguration ist schwierig • Webserver sind oft in systemnahen Sprachen geschrieben (Performance vs. Sicherheit) SBA Research, © 2020
51 Take-Aways • Der Caddy-Webserver o braucht minimal nur einen Domänennamen, o hat eine Top-Standardkonfig inkl. OCSP Stapling, o installiert in Dev-Umgebungen vollautomatisch ein Pro-Host-CA-Zertifikat im Betriebssystem, o und ist in einer memory-safe Programmiersprache geschrieben. SBA Research, © 2020
52 SBA Live Academy Thema 14/25 Rechtliche Risiken mit externen Mitarbeitern Stefan Eder (Benn-Ibler) SBA Research gGmbH, 2020
53 Take-Aways SBA Research, © 2020 • Altes Thema – aktuell neue Dimension • Gleiche Sicherheitsrisiken wie im Unternehmen, aber in „unkontrollierter“ Umgebung • Spezialfall Home-Office o Private Infrastruktur, im Haushalt lebende Personen, kein Shredder, physische Sicherheit,… o Wer ist rechtlich wofür verantwortlich?
54 Take-Aways SBA Research, © 2020
55 Take-Aways • Sehe Forschungsprojekt für CISOs >> Aufbereitung regulative InfoSec-Anforderungen SBA Research, © 2020
56 Take-Aways SBA Research, © 2020
57 SBA Live Academy Thema 15/25 Physical Attacks against (I)IoT-Devices, Embedded Devices, Microcontrollers and System on Chips (SoC) Christian Kudera (SBA) SBA Research gGmbH, 2020
58 Take-Aways • Thema ist mM Blind Spot in Unternehmen o Security Audits? • Side-Channel-Attacks über Analyse des Stromverbrauchs o Beispiel RSA >> über Stromverbrauch des Chips konnte der Private-Key extrahiert werden SBA Research, © 2020
59 Take-Aways • Problem des „Test-Security-Bypass“ • Unterschiede in Preis & Qualität bei Herstellern SBA Research, © 2020
60 Take-Aways • Haben supercoole Instrumente ;-) SBA Research, © 2020
61 SBA Live Academy Thema 16/25 Threat Modeling 101 – eine kurze aber praxisnahe Einführung Daniel Schwarz (condignum) SBA Research gGmbH, 2020
62 Take-Aways • Kaum jemand hat einen guten Überblick über technische Bedrohungen, die das eigene Produkt betreffen • Meistens ein Blindflug SBA Research, © 2020
63 Take-Aways • Bei der Design-Phase ansetzen • Liste mit folgenden Spalten o Bedrohungsszenario / Schwächen / Angriffe o Kritikalität o Maßnahmen • Die drei goldenen Regeln o Just do it! o Starte so früh wie möglich! o Kommunikation ist der Schlüssel! SBA Research, © 2020
64 SBA Live Academy Thema 17/25 Angriffe gegen das Stromnetz – Wenn der Strom nicht mehr aus der Steckdose kommt Johanna Ullrich (SBA) SBA Research gGmbH, 2020
65 Take-Aways • Stromnetz ausgelegt auf 50Hz synchronisiert <> europaweites Ausgleichen von Schwankungen • Simulationen/Lastprofile für Prognosen • Laufende Messung der Frequenz o außerhalb Bandbreite >> ausgleichende Gegenmaßnahmen SBA Research, © 2020
66 Take-Aways • Beispielhaftes Problem: o Schnellste Gegenmaßnahme reagiert in Sekunden (Hochfahren 15 Minuten) o Basieren teilweise auf Rotationsmassen >> Problem bei zB Photovoltarik • Angriff: Massive schnelle Laständerungen im Millisekunden-Bereich zB (I)IoT Botnetz SBA Research, © 2020
67 Take-Aways • Forschungssimulation o Bitcoin-Mining-Ausfall in Europa könnte zukünftig europaweiten „Stromangriff“ erzeugen • Wunder Punkt komplette Abschaltung (Blackout) o Wiederanlauf herausfordernd >> brauchen zB auch Strom, um wieder zu starten SBA Research, © 2020
68 Take-Aways SBA Research, © 2020
69 SBA Live Academy Thema 18/25 After the overflow: self-defense techniques of the Linux Kernel Reinhard Kugler (SBA) SBA Research gGmbH, 2020
70 Take-Aways • Wir müssen Angriffe erwarten! • Annahme: RCE passiert • Wie können wir den Angriff bremsen? SBA Research, © 2020
71 Take-Aways • Prozesse haben Capabilities • Diese kann man einschränken o systemd-Konfiguration o # setcap o AppArmor o SELinux o seccomp (systemd, Docker) SBA Research, © 2020
72 SBA Live Academy Thema 19/25 Die COVID-19 Krise und Simulationsmodelle. Was kann man sagen? Und was nicht? Niki Popper (dwh) SBA Research gGmbH, 2020
73 Take-Aways • 10+ Jahre an Forschung, um heute „schnell“ Modell ergänzen und tunen zu können • Simulationen zeigen auch mögliche Effekte o Wirksamkeit von Maßnahmen, Ressourcenplanung (Betten),… • Unterschiedliche Methoden o Kausale: Versuch Kausalitäten zu verstehen (modellierbar zu machen), um auch Prognosen zu treffen trotz mangelhafter Datenlage o Herausforderung: Kalibrieren – ~9 Mio Menschen <> Kausalitäten <> Scoping – Bspw. Personen sind 2 Wochen ansteckend >> in Wahrheit aber nicht wirklich, weil sie ja dann zu Hause bleiben oder im Krankenhaus sind >> muss in Modellierung berücksichtigt werden SBA Research, © 2020
74 Take-Aways • Sofort der Gedanke gekommen, Forschungsprojekt anzugehen: Angriffs-Auswirkungen & Maßnahmen-Effekte SBA Research, © 2020
75 Take-Aways SBA Research, © 2020
76 SBA Live Academy Thema 20/25 OWASP SAMM 2.0: Your Dynamic Software Security Journey Sebastien Deleersnyder (OWASP SAMM co leader, Toreon) SBA Research gGmbH, 2020
77 Take-Aways Softwaresicherheit wird immer noch als das Einbauen von Sicherheitsfeatures gesehen, und nicht als das Einbauen von Sicherheit in die Art und Weise, wie wir Software bauen. SBA Research, © 2020
78 Take-Aways SBA Research, © 2020
79 SBA Live Academy Thema 21/25 Kryptographie auf rechtlichem Prüfstand Lukas Feiler (Baker & McKenzie) SBA Research gGmbH, 2020
80 Take-Aways • Verschlüsselt heißt nicht automatisch anonym o Möglicherweise trotzdem von GDPR erfasst, weil Begriff sehr weit gefasst ist! („wenn irgendwie die Möglichkeit besteht…“) o Schlüssel wegwerfen oder „salted“ Hash ergibt tatsächliche anonymisierte Daten • Pflicht zu Verschlüsselung? o Abgesehen von regulierten Bereichen >> es kommt darauf an: Art. 32 „angemessene Maßnahmen“ SBA Research, © 2020
81 Take-Aways • Elektronische Signatur o Es geht um Beweiskraft o Ja, auch mit internem Zertifikat signiert ist hinreichend o Via „qualifiziertem Vertrauensdienstleister“ ist „noch qualifizierter“ und für klar definierte Anwendungsfälle zwingend erforderlich o Qualifizierte elektronische Signatur ist rechtlich gleichwertig zu „analoger“ Unterschrift o Unbeschränkte (!) Haftung von Certificate Authorities (Beispiel DigiNotar) SBA Research, © 2020
82 SBA Live Academy Thema 22/25 Linux Containers Mathias Tausig (SBA) SBA Research gGmbH, 2020
83 Take-Aways • Containers have a long history • Containers are more lightweight than VMs, but have worse isolation • System Container (LXC) vs. Aplication Container (Docker) • Privileged vs. Unprivileged Container SBA Research, © 2020
84 Take-Aways • Linux Containers: LXC o Userspace-Interface für Kernel-Containment- Features (Namespaces, cgroups) o LXD ist ein gut benutzbares LXC-Interface SBA Research, © 2020
85 Take-Aways • LXC-Container für EntwicklerInnen o Isoliertes Ausführen von Applikationen o Entwicklungsumgebungen mit separaten Dependencies o Testumgebungen SBA Research, © 2020
86 SBA Live Academy Thema 23/25 Tools & Techniques from building a DevSecOps culture at Mozilla Julien Vehent (Mozilla) SBA Research gGmbH, 2020
87 Take-Aways To go beyond the security team, get the security team closer to your organization
88 Take-Aways Clear Expectations  Checklist  Self Assessment  Profit
89 Take-Aways
90 Take-Aways
91 Take-Aways
92 Take-Aways
93 SBA Live Academy Thema 24/25 What the heck is secure computing? Matthias Gusenbauer (SBA) SBA Research gGmbH, 2020
94 Take-Aways • Kontext: Berechnungen auf verschlüsselten Daten durchführen • Talk-Fokus: Multi-party Computation (MPC) SBA Research, © 2020
95 Take-Aways • … SBA Research, © 2020
96 Take-Aways • Use-Cases o Machine Learning o Berechnung des Kredit-Scores o Statistische Analysen auf medizinischen Daten • Key Take-Aways o Secure Computation ist möglich (MPC) o MPC ersetzt „Trusted third parties“ o MPC kann neue Geschäftsmodelle erschließen und Sicherheit und Privatsphäre verbessern SBA Research, © 2020
97 SBA Live Academy Thema 25/25 SBA Live Academy Highlights Stefan Jakoubi & Thomas Konrad (SBA) SBA Research gGmbH, 2020
98SBA Research, © 2020
99 Stefan Jakoubi SBA Research gGmbH Floragasse 7, 1040 Wien +43 660 5 10 20 40 sjakoubi@sba-research.org SBA Research gGmbH, 2020 Thomas Konrad SBA Research gGmbH Floragasse 7, 1040 Wien +43 664 889 272 17 tkonrad@sba-research.org
100 Professional Services Penetration Testing Architecture Reviews Security Audit Security Trainings Incident Response Readiness ISMS & ISO 27001 Consulting Forschung & Beratung unter einem Dach Applied Research Industrial Security | IIoT Security | Mathematics for Security Research | Machine Learning | Blockchain | Network Security | Sustainable Software Systems | Usable Security SBA Research Wissenstransfer SBA Live Academy | sec4dev | Trainings | Events | Lehre | sbaPRIME Kontaktieren Sie uns: anfragen@sba-research.org
101 Weitermachen mit dem Security Meetup by SBA Research #keeplearning https://www.meetup.com/Security-Meetup-by-SBA-Research/
102 #bleibdaheim #remotelearning Coming up - Security Meetup by SBA 10.06.2020, 18.00 Uhr, live: "Secure development on Kubernetes” by Andreas Falk (Novatec Consulting) Language: English Treten Sie unserer Meetup Gruppe bei! https://www.meetup.com/Security-Meetup-by-SBA- Research/
103 SBA Live Academy-Afterparty!SBA Live Academy-Afterparty!

Empfohlen

SBA Live Academy: Remote Access – Top Security Challenges – Teil 2 by Günther...
SBA Live Academy: Remote Access – Top Security Challenges – Teil 2 by Günther...SBA Live Academy: Remote Access – Top Security Challenges – Teil 2 by Günther...
SBA Live Academy: Remote Access – Top Security Challenges – Teil 2 by Günther...SBA Research
 
SBA Live Academy, Supply Chain & Cyber Security in einem Atemzug by Stefan Ja...
SBA Live Academy, Supply Chain & Cyber Security in einem Atemzug by Stefan Ja...SBA Live Academy, Supply Chain & Cyber Security in einem Atemzug by Stefan Ja...
SBA Live Academy, Supply Chain & Cyber Security in einem Atemzug by Stefan Ja...SBA Research
 
SBA Live Academy - Remote Access – Top Security Challenges, Part 1 - Günther ...
SBA Live Academy - Remote Access – Top Security Challenges, Part 1 - Günther ...SBA Live Academy - Remote Access – Top Security Challenges, Part 1 - Günther ...
SBA Live Academy - Remote Access – Top Security Challenges, Part 1 - Günther ...SBA Research
 
SBA Live Academy: Datenschutz Teil 1: Wozu Datenschutzgesetze? by Gerald Sendera
SBA Live Academy: Datenschutz Teil 1: Wozu Datenschutzgesetze? by Gerald SenderaSBA Live Academy: Datenschutz Teil 1: Wozu Datenschutzgesetze? by Gerald Sendera
SBA Live Academy: Datenschutz Teil 1: Wozu Datenschutzgesetze? by Gerald SenderaSBA Research
 
Webinar: Cyberangriff - Frontbericht
Webinar: Cyberangriff - Frontbericht Webinar: Cyberangriff - Frontbericht
Webinar: Cyberangriff - Frontbericht A. Baggenstos & Co. AG
 
Webinar Cyberangriff - Abwehrmöglichkeiten
Webinar Cyberangriff - AbwehrmöglichkeitenWebinar Cyberangriff - Abwehrmöglichkeiten
Webinar Cyberangriff - AbwehrmöglichkeitenA. Baggenstos & Co. AG
 
Webinar Cyberangriff - Abwehrmöglichkeiten
Webinar Cyberangriff - AbwehrmöglichkeitenWebinar Cyberangriff - Abwehrmöglichkeiten
Webinar Cyberangriff - AbwehrmöglichkeitenA. Baggenstos & Co. AG
 
Holistische Sicherheit für Microservice Architekturen
Holistische Sicherheit für Microservice ArchitekturenHolistische Sicherheit für Microservice Architekturen
Holistische Sicherheit für Microservice ArchitekturenQAware GmbH
 

Empfohlen

SBA Live Academy: Remote Access – Top Security Challenges – Teil 2 by Günther...
SBA Live Academy: Remote Access – Top Security Challenges – Teil 2 by Günther...SBA Live Academy: Remote Access – Top Security Challenges – Teil 2 by Günther...
SBA Live Academy: Remote Access – Top Security Challenges – Teil 2 by Günther...SBA Research
 
SBA Live Academy, Supply Chain & Cyber Security in einem Atemzug by Stefan Ja...
SBA Live Academy, Supply Chain & Cyber Security in einem Atemzug by Stefan Ja...SBA Live Academy, Supply Chain & Cyber Security in einem Atemzug by Stefan Ja...
SBA Live Academy, Supply Chain & Cyber Security in einem Atemzug by Stefan Ja...SBA Research
 
SBA Live Academy - Remote Access – Top Security Challenges, Part 1 - Günther ...
SBA Live Academy - Remote Access – Top Security Challenges, Part 1 - Günther ...SBA Live Academy - Remote Access – Top Security Challenges, Part 1 - Günther ...
SBA Live Academy - Remote Access – Top Security Challenges, Part 1 - Günther ...SBA Research
 
SBA Live Academy: Datenschutz Teil 1: Wozu Datenschutzgesetze? by Gerald Sendera
SBA Live Academy: Datenschutz Teil 1: Wozu Datenschutzgesetze? by Gerald SenderaSBA Live Academy: Datenschutz Teil 1: Wozu Datenschutzgesetze? by Gerald Sendera
SBA Live Academy: Datenschutz Teil 1: Wozu Datenschutzgesetze? by Gerald SenderaSBA Research
 
Webinar: Cyberangriff - Frontbericht
Webinar: Cyberangriff - Frontbericht Webinar: Cyberangriff - Frontbericht
Webinar: Cyberangriff - Frontbericht A. Baggenstos & Co. AG
 
Webinar Cyberangriff - Abwehrmöglichkeiten
Webinar Cyberangriff - AbwehrmöglichkeitenWebinar Cyberangriff - Abwehrmöglichkeiten
Webinar Cyberangriff - AbwehrmöglichkeitenA. Baggenstos & Co. AG
 
Webinar Cyberangriff - Abwehrmöglichkeiten
Webinar Cyberangriff - AbwehrmöglichkeitenWebinar Cyberangriff - Abwehrmöglichkeiten
Webinar Cyberangriff - AbwehrmöglichkeitenA. Baggenstos & Co. AG
 
Holistische Sicherheit für Microservice Architekturen
Holistische Sicherheit für Microservice ArchitekturenHolistische Sicherheit für Microservice Architekturen
Holistische Sicherheit für Microservice ArchitekturenQAware GmbH
 
Technologie und SEO: Cloud, Big Data und Mobile First angeschaut
Technologie und SEO: Cloud, Big Data und Mobile First angeschautTechnologie und SEO: Cloud, Big Data und Mobile First angeschaut
Technologie und SEO: Cloud, Big Data und Mobile First angeschautRalf Schwoebel
 
IT-Sicherheit und agile Entwicklung? Geht das? Sicher!
IT-Sicherheit und agile Entwicklung? Geht das? Sicher!IT-Sicherheit und agile Entwicklung? Geht das? Sicher!
IT-Sicherheit und agile Entwicklung? Geht das? Sicher!Carsten Cordes
 
8 Tipps für eine Cloud Strategie – wie Unternehmen heute die Cloud einsetzen
8 Tipps für eine Cloud Strategie – wie Unternehmen heute die Cloud einsetzen8 Tipps für eine Cloud Strategie – wie Unternehmen heute die Cloud einsetzen
8 Tipps für eine Cloud Strategie – wie Unternehmen heute die Cloud einsetzenAWS Germany
 
Big Data Discovery + Analytics = Datengetriebene Innovation!
Big Data Discovery + Analytics = Datengetriebene Innovation!Big Data Discovery + Analytics = Datengetriebene Innovation!
Big Data Discovery + Analytics = Datengetriebene Innovation!Harald Erb
 
DOAG SIG Security 2014 in Hamburg: Enterprise User Security for DBAs #eus4dbas
DOAG SIG Security 2014 in Hamburg: Enterprise User Security for DBAs #eus4dbasDOAG SIG Security 2014 in Hamburg: Enterprise User Security for DBAs #eus4dbas
DOAG SIG Security 2014 in Hamburg: Enterprise User Security for DBAs #eus4dbasCarsten Muetzlitz
 
Cyber Crime leeds to Tape Air-Gap Protection
Cyber Crime leeds to Tape Air-Gap ProtectionCyber Crime leeds to Tape Air-Gap Protection
Cyber Crime leeds to Tape Air-Gap ProtectionJosef Weingand
 
Public Cloud Erfahrungsbericht SBB
Public Cloud Erfahrungsbericht SBBPublic Cloud Erfahrungsbericht SBB
Public Cloud Erfahrungsbericht SBBBATbern
 
Serverless Dev(Ops) in der Praxis
Serverless Dev(Ops) in der PraxisServerless Dev(Ops) in der Praxis
Serverless Dev(Ops) in der PraxisBATbern
 
Excel ade: Revolutionieren Sie Ihr ESG-Reporting
Excel ade: Revolutionieren Sie Ihr ESG-ReportingExcel ade: Revolutionieren Sie Ihr ESG-Reporting
Excel ade: Revolutionieren Sie Ihr ESG-ReportingIBsolution GmbH
 
IPv6 Integration im Datacenter - wie komplex ist es wirklich?
IPv6 Integration im Datacenter - wie komplex ist es wirklich?IPv6 Integration im Datacenter - wie komplex ist es wirklich?
IPv6 Integration im Datacenter - wie komplex ist es wirklich?Swiss IPv6 Council
 
Steinzeit war gestern! Wege der Cloud-nativen Evolution.
Steinzeit war gestern! Wege der Cloud-nativen Evolution.Steinzeit war gestern! Wege der Cloud-nativen Evolution.
Steinzeit war gestern! Wege der Cloud-nativen Evolution.QAware GmbH
 
Auf gehts in die Cloud: „Das kann doch nicht so schwer sein!“
Auf gehts in die Cloud: „Das kann doch nicht so schwer sein!“Auf gehts in die Cloud: „Das kann doch nicht so schwer sein!“
Auf gehts in die Cloud: „Das kann doch nicht so schwer sein!“OPEN KNOWLEDGE GmbH
 
Agiles Wissensmanagement im Service mit KCS®
Agiles Wissensmanagement im Service mit KCS®Agiles Wissensmanagement im Service mit KCS®
Agiles Wissensmanagement im Service mit KCS®pro accessio GmbH & Co. KG
 
IT-Sicherheit und agile Entwicklung – geht das? Sicher!
IT-Sicherheit und agile Entwicklung – geht das? Sicher!IT-Sicherheit und agile Entwicklung – geht das? Sicher!
IT-Sicherheit und agile Entwicklung – geht das? Sicher!Carsten Cordes
 
Analytics meets Big Data – R/Python auf der Hadoop/Spark-Plattform
Analytics meets Big Data – R/Python auf der Hadoop/Spark-PlattformAnalytics meets Big Data – R/Python auf der Hadoop/Spark-Plattform
Analytics meets Big Data – R/Python auf der Hadoop/Spark-PlattformRising Media Ltd.
 
Cloud Native Migration: Wie IT-Landschaften ihren Weg auf eine Cloud-Native-P...
Cloud Native Migration: Wie IT-Landschaften ihren Weg auf eine Cloud-Native-P...Cloud Native Migration: Wie IT-Landschaften ihren Weg auf eine Cloud-Native-P...
Cloud Native Migration: Wie IT-Landschaften ihren Weg auf eine Cloud-Native-P...QAware GmbH
 
Oracle Database Security Assessment Tool (DBSAT)
Oracle Database Security Assessment Tool (DBSAT)Oracle Database Security Assessment Tool (DBSAT)
Oracle Database Security Assessment Tool (DBSAT)OPITZ CONSULTING Deutschland
 
Die Datenbank ist nicht immer Schuld - Gründe warum Datenbank-Migration schei...
Die Datenbank ist nicht immer Schuld - Gründe warum Datenbank-Migration schei...Die Datenbank ist nicht immer Schuld - Gründe warum Datenbank-Migration schei...
Die Datenbank ist nicht immer Schuld - Gründe warum Datenbank-Migration schei...Markus Flechtner
 
he Future of SharePoint is Now – Tipps für On-Premise, Cloud oder Hybride Mig...
he Future of SharePoint is Now – Tipps für On-Premise, Cloud oder Hybride Mig...he Future of SharePoint is Now – Tipps für On-Premise, Cloud oder Hybride Mig...
he Future of SharePoint is Now – Tipps für On-Premise, Cloud oder Hybride Mig...AvePoint
 
DevOpsCon 2016 - Continuous Security Testing - Stephan Kaps
DevOpsCon 2016 - Continuous Security Testing - Stephan KapsDevOpsCon 2016 - Continuous Security Testing - Stephan Kaps
DevOpsCon 2016 - Continuous Security Testing - Stephan KapsStephan Kaps
 
SBA Security Meetup - Deploying and managing azure sentinel as code by Bojan ...
SBA Security Meetup - Deploying and managing azure sentinel as code by Bojan ...SBA Security Meetup - Deploying and managing azure sentinel as code by Bojan ...
SBA Security Meetup - Deploying and managing azure sentinel as code by Bojan ...SBA Research
 
NDSS 2021 RandRunner: Distributed Randomness from Trapdoor VDFs with Strong U...
NDSS 2021 RandRunner: Distributed Randomness from Trapdoor VDFs with Strong U...NDSS 2021 RandRunner: Distributed Randomness from Trapdoor VDFs with Strong U...
NDSS 2021 RandRunner: Distributed Randomness from Trapdoor VDFs with Strong U...SBA Research
 

Weitere ähnliche Inhalte

Ähnlich wie SBA Live Academy - "BIG BANG!" Highlights & key takeaways of 24 security talks

Technologie und SEO: Cloud, Big Data und Mobile First angeschaut
Technologie und SEO: Cloud, Big Data und Mobile First angeschautTechnologie und SEO: Cloud, Big Data und Mobile First angeschaut
Technologie und SEO: Cloud, Big Data und Mobile First angeschautRalf Schwoebel
 
IT-Sicherheit und agile Entwicklung? Geht das? Sicher!
IT-Sicherheit und agile Entwicklung? Geht das? Sicher!IT-Sicherheit und agile Entwicklung? Geht das? Sicher!
IT-Sicherheit und agile Entwicklung? Geht das? Sicher!Carsten Cordes
 
8 Tipps für eine Cloud Strategie – wie Unternehmen heute die Cloud einsetzen
8 Tipps für eine Cloud Strategie – wie Unternehmen heute die Cloud einsetzen8 Tipps für eine Cloud Strategie – wie Unternehmen heute die Cloud einsetzen
8 Tipps für eine Cloud Strategie – wie Unternehmen heute die Cloud einsetzenAWS Germany
 
Big Data Discovery + Analytics = Datengetriebene Innovation!
Big Data Discovery + Analytics = Datengetriebene Innovation!Big Data Discovery + Analytics = Datengetriebene Innovation!
Big Data Discovery + Analytics = Datengetriebene Innovation!Harald Erb
 
DOAG SIG Security 2014 in Hamburg: Enterprise User Security for DBAs #eus4dbas
DOAG SIG Security 2014 in Hamburg: Enterprise User Security for DBAs #eus4dbasDOAG SIG Security 2014 in Hamburg: Enterprise User Security for DBAs #eus4dbas
DOAG SIG Security 2014 in Hamburg: Enterprise User Security for DBAs #eus4dbasCarsten Muetzlitz
 
Cyber Crime leeds to Tape Air-Gap Protection
Cyber Crime leeds to Tape Air-Gap ProtectionCyber Crime leeds to Tape Air-Gap Protection
Cyber Crime leeds to Tape Air-Gap ProtectionJosef Weingand
 
Public Cloud Erfahrungsbericht SBB
Public Cloud Erfahrungsbericht SBBPublic Cloud Erfahrungsbericht SBB
Public Cloud Erfahrungsbericht SBBBATbern
 
Serverless Dev(Ops) in der Praxis
Serverless Dev(Ops) in der PraxisServerless Dev(Ops) in der Praxis
Serverless Dev(Ops) in der PraxisBATbern
 
Excel ade: Revolutionieren Sie Ihr ESG-Reporting
Excel ade: Revolutionieren Sie Ihr ESG-ReportingExcel ade: Revolutionieren Sie Ihr ESG-Reporting
Excel ade: Revolutionieren Sie Ihr ESG-ReportingIBsolution GmbH
 
IPv6 Integration im Datacenter - wie komplex ist es wirklich?
IPv6 Integration im Datacenter - wie komplex ist es wirklich?IPv6 Integration im Datacenter - wie komplex ist es wirklich?
IPv6 Integration im Datacenter - wie komplex ist es wirklich?Swiss IPv6 Council
 
Steinzeit war gestern! Wege der Cloud-nativen Evolution.
Steinzeit war gestern! Wege der Cloud-nativen Evolution.Steinzeit war gestern! Wege der Cloud-nativen Evolution.
Steinzeit war gestern! Wege der Cloud-nativen Evolution.QAware GmbH
 
Auf gehts in die Cloud: „Das kann doch nicht so schwer sein!“
Auf gehts in die Cloud: „Das kann doch nicht so schwer sein!“Auf gehts in die Cloud: „Das kann doch nicht so schwer sein!“
Auf gehts in die Cloud: „Das kann doch nicht so schwer sein!“OPEN KNOWLEDGE GmbH
 
IT-Sicherheit und agile Entwicklung – geht das? Sicher!
IT-Sicherheit und agile Entwicklung – geht das? Sicher!IT-Sicherheit und agile Entwicklung – geht das? Sicher!
IT-Sicherheit und agile Entwicklung – geht das? Sicher!Carsten Cordes
 
Analytics meets Big Data – R/Python auf der Hadoop/Spark-Plattform
Analytics meets Big Data – R/Python auf der Hadoop/Spark-PlattformAnalytics meets Big Data – R/Python auf der Hadoop/Spark-Plattform
Analytics meets Big Data – R/Python auf der Hadoop/Spark-PlattformRising Media Ltd.
 
Cloud Native Migration: Wie IT-Landschaften ihren Weg auf eine Cloud-Native-P...
Cloud Native Migration: Wie IT-Landschaften ihren Weg auf eine Cloud-Native-P...Cloud Native Migration: Wie IT-Landschaften ihren Weg auf eine Cloud-Native-P...
Cloud Native Migration: Wie IT-Landschaften ihren Weg auf eine Cloud-Native-P...QAware GmbH
 
Die Datenbank ist nicht immer Schuld - Gründe warum Datenbank-Migration schei...
Die Datenbank ist nicht immer Schuld - Gründe warum Datenbank-Migration schei...Die Datenbank ist nicht immer Schuld - Gründe warum Datenbank-Migration schei...
Die Datenbank ist nicht immer Schuld - Gründe warum Datenbank-Migration schei...Markus Flechtner
 
he Future of SharePoint is Now – Tipps für On-Premise, Cloud oder Hybride Mig...
he Future of SharePoint is Now – Tipps für On-Premise, Cloud oder Hybride Mig...he Future of SharePoint is Now – Tipps für On-Premise, Cloud oder Hybride Mig...
he Future of SharePoint is Now – Tipps für On-Premise, Cloud oder Hybride Mig...AvePoint
 
DevOpsCon 2016 - Continuous Security Testing - Stephan Kaps
DevOpsCon 2016 - Continuous Security Testing - Stephan KapsDevOpsCon 2016 - Continuous Security Testing - Stephan Kaps
DevOpsCon 2016 - Continuous Security Testing - Stephan KapsStephan Kaps
 

Ähnlich wie SBA Live Academy - "BIG BANG!" Highlights & key takeaways of 24 security talks (20)

Technologie und SEO: Cloud, Big Data und Mobile First angeschaut
Technologie und SEO: Cloud, Big Data und Mobile First angeschautTechnologie und SEO: Cloud, Big Data und Mobile First angeschaut
Technologie und SEO: Cloud, Big Data und Mobile First angeschaut
 
IT-Sicherheit und agile Entwicklung? Geht das? Sicher!
IT-Sicherheit und agile Entwicklung? Geht das? Sicher!IT-Sicherheit und agile Entwicklung? Geht das? Sicher!
IT-Sicherheit und agile Entwicklung? Geht das? Sicher!
 
8 Tipps für eine Cloud Strategie – wie Unternehmen heute die Cloud einsetzen
8 Tipps für eine Cloud Strategie – wie Unternehmen heute die Cloud einsetzen8 Tipps für eine Cloud Strategie – wie Unternehmen heute die Cloud einsetzen
8 Tipps für eine Cloud Strategie – wie Unternehmen heute die Cloud einsetzen
 
Big Data Discovery + Analytics = Datengetriebene Innovation!
Big Data Discovery + Analytics = Datengetriebene Innovation!Big Data Discovery + Analytics = Datengetriebene Innovation!
Big Data Discovery + Analytics = Datengetriebene Innovation!
 
DOAG SIG Security 2014 in Hamburg: Enterprise User Security for DBAs #eus4dbas
DOAG SIG Security 2014 in Hamburg: Enterprise User Security for DBAs #eus4dbasDOAG SIG Security 2014 in Hamburg: Enterprise User Security for DBAs #eus4dbas
DOAG SIG Security 2014 in Hamburg: Enterprise User Security for DBAs #eus4dbas
 
Cyber Crime leeds to Tape Air-Gap Protection
Cyber Crime leeds to Tape Air-Gap ProtectionCyber Crime leeds to Tape Air-Gap Protection
Cyber Crime leeds to Tape Air-Gap Protection
 
Public Cloud Erfahrungsbericht SBB
Public Cloud Erfahrungsbericht SBBPublic Cloud Erfahrungsbericht SBB
Public Cloud Erfahrungsbericht SBB
 
Serverless Dev(Ops) in der Praxis
Serverless Dev(Ops) in der PraxisServerless Dev(Ops) in der Praxis
Serverless Dev(Ops) in der Praxis
 
Excel ade: Revolutionieren Sie Ihr ESG-Reporting
Excel ade: Revolutionieren Sie Ihr ESG-ReportingExcel ade: Revolutionieren Sie Ihr ESG-Reporting
Excel ade: Revolutionieren Sie Ihr ESG-Reporting
 
IPv6 Integration im Datacenter - wie komplex ist es wirklich?
IPv6 Integration im Datacenter - wie komplex ist es wirklich?IPv6 Integration im Datacenter - wie komplex ist es wirklich?
IPv6 Integration im Datacenter - wie komplex ist es wirklich?
 
Steinzeit war gestern! Wege der Cloud-nativen Evolution.
Steinzeit war gestern! Wege der Cloud-nativen Evolution.Steinzeit war gestern! Wege der Cloud-nativen Evolution.
Steinzeit war gestern! Wege der Cloud-nativen Evolution.
 
Auf gehts in die Cloud: „Das kann doch nicht so schwer sein!“
Auf gehts in die Cloud: „Das kann doch nicht so schwer sein!“Auf gehts in die Cloud: „Das kann doch nicht so schwer sein!“
Auf gehts in die Cloud: „Das kann doch nicht so schwer sein!“
 
Agiles Wissensmanagement im Service mit KCS®
Agiles Wissensmanagement im Service mit KCS®Agiles Wissensmanagement im Service mit KCS®
Agiles Wissensmanagement im Service mit KCS®
 
IT-Sicherheit und agile Entwicklung – geht das? Sicher!
IT-Sicherheit und agile Entwicklung – geht das? Sicher!IT-Sicherheit und agile Entwicklung – geht das? Sicher!
IT-Sicherheit und agile Entwicklung – geht das? Sicher!
 
Analytics meets Big Data – R/Python auf der Hadoop/Spark-Plattform
Analytics meets Big Data – R/Python auf der Hadoop/Spark-PlattformAnalytics meets Big Data – R/Python auf der Hadoop/Spark-Plattform
Analytics meets Big Data – R/Python auf der Hadoop/Spark-Plattform
 
Cloud Native Migration: Wie IT-Landschaften ihren Weg auf eine Cloud-Native-P...
Cloud Native Migration: Wie IT-Landschaften ihren Weg auf eine Cloud-Native-P...Cloud Native Migration: Wie IT-Landschaften ihren Weg auf eine Cloud-Native-P...
Cloud Native Migration: Wie IT-Landschaften ihren Weg auf eine Cloud-Native-P...
 
Oracle Database Security Assessment Tool (DBSAT)
Oracle Database Security Assessment Tool (DBSAT)Oracle Database Security Assessment Tool (DBSAT)
Oracle Database Security Assessment Tool (DBSAT)
 
Die Datenbank ist nicht immer Schuld - Gründe warum Datenbank-Migration schei...
Die Datenbank ist nicht immer Schuld - Gründe warum Datenbank-Migration schei...Die Datenbank ist nicht immer Schuld - Gründe warum Datenbank-Migration schei...
Die Datenbank ist nicht immer Schuld - Gründe warum Datenbank-Migration schei...
 
he Future of SharePoint is Now – Tipps für On-Premise, Cloud oder Hybride Mig...
he Future of SharePoint is Now – Tipps für On-Premise, Cloud oder Hybride Mig...he Future of SharePoint is Now – Tipps für On-Premise, Cloud oder Hybride Mig...
he Future of SharePoint is Now – Tipps für On-Premise, Cloud oder Hybride Mig...
 
DevOpsCon 2016 - Continuous Security Testing - Stephan Kaps
DevOpsCon 2016 - Continuous Security Testing - Stephan KapsDevOpsCon 2016 - Continuous Security Testing - Stephan Kaps
DevOpsCon 2016 - Continuous Security Testing - Stephan Kaps
 

Mehr von SBA Research

SBA Security Meetup - Deploying and managing azure sentinel as code by Bojan ...
SBA Security Meetup - Deploying and managing azure sentinel as code by Bojan ...SBA Security Meetup - Deploying and managing azure sentinel as code by Bojan ...
SBA Security Meetup - Deploying and managing azure sentinel as code by Bojan ...SBA Research
 
NDSS 2021 RandRunner: Distributed Randomness from Trapdoor VDFs with Strong U...
NDSS 2021 RandRunner: Distributed Randomness from Trapdoor VDFs with Strong U...NDSS 2021 RandRunner: Distributed Randomness from Trapdoor VDFs with Strong U...
NDSS 2021 RandRunner: Distributed Randomness from Trapdoor VDFs with Strong U...SBA Research
 
SBA Security Meetup – Security Requirements Management 101 by Daniel Schwarz ...
SBA Security Meetup – Security Requirements Management 101 by Daniel Schwarz ...SBA Security Meetup – Security Requirements Management 101 by Daniel Schwarz ...
SBA Security Meetup – Security Requirements Management 101 by Daniel Schwarz ...SBA Research
 
SBA Security Meetup: Building a Secure Architecture – A Deep-Dive into Securi...
SBA Security Meetup: Building a Secure Architecture – A Deep-Dive into Securi...SBA Security Meetup: Building a Secure Architecture – A Deep-Dive into Securi...
SBA Security Meetup: Building a Secure Architecture – A Deep-Dive into Securi...SBA Research
 
SBA Security Meetup: I want to break free - The attacker inside a Container
SBA Security Meetup: I want to break free - The attacker inside a ContainerSBA Security Meetup: I want to break free - The attacker inside a Container
SBA Security Meetup: I want to break free - The attacker inside a ContainerSBA Research
 
"Rund um die ISO27001 Zertifizierung – Nähkästchentalk" by Thomas Kopeinig
"Rund um die ISO27001 Zertifizierung – Nähkästchentalk" by Thomas Kopeinig"Rund um die ISO27001 Zertifizierung – Nähkästchentalk" by Thomas Kopeinig
"Rund um die ISO27001 Zertifizierung – Nähkästchentalk" by Thomas KopeinigSBA Research
 
Secure development on Kubernetes by Andreas Falk
Secure development on Kubernetes by Andreas FalkSecure development on Kubernetes by Andreas Falk
Secure development on Kubernetes by Andreas FalkSBA Research
 
SBA Live Academy, Rechtliche Risiken mit externen Mitarbeitern
SBA Live Academy, Rechtliche Risiken mit externen MitarbeiternSBA Live Academy, Rechtliche Risiken mit externen Mitarbeitern
SBA Live Academy, Rechtliche Risiken mit externen MitarbeiternSBA Research
 
SBA Live Academy, What the heck is secure computing
SBA Live Academy, What the heck is secure computingSBA Live Academy, What the heck is secure computing
SBA Live Academy, What the heck is secure computingSBA Research
 
Tools &amp; techniques, building a dev secops culture at mozilla sba live a...
Tools &amp; techniques, building a dev secops culture at mozilla sba live a...Tools &amp; techniques, building a dev secops culture at mozilla sba live a...
Tools &amp; techniques, building a dev secops culture at mozilla sba live a...SBA Research
 
HydRand: Efficient Continuous Distributed Randomness. IEEE S&P 2020 by Philip...
HydRand: Efficient Continuous Distributed Randomness. IEEE S&P 2020 by Philip...HydRand: Efficient Continuous Distributed Randomness. IEEE S&P 2020 by Philip...
HydRand: Efficient Continuous Distributed Randomness. IEEE S&P 2020 by Philip...SBA Research
 
SBA Live Academy - Secure Containers for Developer by Mathias Tausig
SBA Live Academy - Secure Containers for Developer by Mathias TausigSBA Live Academy - Secure Containers for Developer by Mathias Tausig
SBA Live Academy - Secure Containers for Developer by Mathias TausigSBA Research
 
SBA Live Academy - After the overflow: self-defense techniques (Linux Kernel)...
SBA Live Academy - After the overflow: self-defense techniques (Linux Kernel)...SBA Live Academy - After the overflow: self-defense techniques (Linux Kernel)...
SBA Live Academy - After the overflow: self-defense techniques (Linux Kernel)...SBA Research
 
SBA Live Academy - Passwords: Policy and Storage with NIST SP800-63b by Jim M...
SBA Live Academy - Passwords: Policy and Storage with NIST SP800-63b by Jim M...SBA Live Academy - Passwords: Policy and Storage with NIST SP800-63b by Jim M...
SBA Live Academy - Passwords: Policy and Storage with NIST SP800-63b by Jim M...SBA Research
 
SBA Live Academy - Threat Modeling 101 – eine kurze aber praxisnahe Einführun...
SBA Live Academy - Threat Modeling 101 – eine kurze aber praxisnahe Einführun...SBA Live Academy - Threat Modeling 101 – eine kurze aber praxisnahe Einführun...
SBA Live Academy - Threat Modeling 101 – eine kurze aber praxisnahe Einführun...SBA Research
 
SBA Live Academy - Angriffe gegen das Stromnetz – Wenn der Strom nicht mehr a...
SBA Live Academy - Angriffe gegen das Stromnetz – Wenn der Strom nicht mehr a...SBA Live Academy - Angriffe gegen das Stromnetz – Wenn der Strom nicht mehr a...
SBA Live Academy - Angriffe gegen das Stromnetz – Wenn der Strom nicht mehr a...SBA Research
 
SBA Live Academy - Physical Attacks against (I)IoT-Devices, Embedded Devices,...
SBA Live Academy - Physical Attacks against (I)IoT-Devices, Embedded Devices,...SBA Live Academy - Physical Attacks against (I)IoT-Devices, Embedded Devices,...
SBA Live Academy - Physical Attacks against (I)IoT-Devices, Embedded Devices,...SBA Research
 
SBA Live Academy: Cyber Resilience - Failure is not an option by Simon Tjoa
SBA Live Academy: Cyber Resilience - Failure is not an option by Simon TjoaSBA Live Academy: Cyber Resilience - Failure is not an option by Simon Tjoa
SBA Live Academy: Cyber Resilience - Failure is not an option by Simon TjoaSBA Research
 
SBA Live Academy: A Primer in Single Page Application Security by Thomas Konrad
SBA Live Academy: A Primer in Single Page Application Security by Thomas KonradSBA Live Academy: A Primer in Single Page Application Security by Thomas Konrad
SBA Live Academy: A Primer in Single Page Application Security by Thomas KonradSBA Research
 
SBA Live Academy: Software Security – Towards a Mature Lifecycle and DevSecOp...
SBA Live Academy: Software Security – Towards a Mature Lifecycle and DevSecOp...SBA Live Academy: Software Security – Towards a Mature Lifecycle and DevSecOp...
SBA Live Academy: Software Security – Towards a Mature Lifecycle and DevSecOp...SBA Research
 

Mehr von SBA Research (20)

SBA Security Meetup - Deploying and managing azure sentinel as code by Bojan ...
SBA Security Meetup - Deploying and managing azure sentinel as code by Bojan ...SBA Security Meetup - Deploying and managing azure sentinel as code by Bojan ...
SBA Security Meetup - Deploying and managing azure sentinel as code by Bojan ...
 
NDSS 2021 RandRunner: Distributed Randomness from Trapdoor VDFs with Strong U...
NDSS 2021 RandRunner: Distributed Randomness from Trapdoor VDFs with Strong U...NDSS 2021 RandRunner: Distributed Randomness from Trapdoor VDFs with Strong U...
NDSS 2021 RandRunner: Distributed Randomness from Trapdoor VDFs with Strong U...
 
SBA Security Meetup – Security Requirements Management 101 by Daniel Schwarz ...
SBA Security Meetup – Security Requirements Management 101 by Daniel Schwarz ...SBA Security Meetup – Security Requirements Management 101 by Daniel Schwarz ...
SBA Security Meetup – Security Requirements Management 101 by Daniel Schwarz ...
 
SBA Security Meetup: Building a Secure Architecture – A Deep-Dive into Securi...
SBA Security Meetup: Building a Secure Architecture – A Deep-Dive into Securi...SBA Security Meetup: Building a Secure Architecture – A Deep-Dive into Securi...
SBA Security Meetup: Building a Secure Architecture – A Deep-Dive into Securi...
 
SBA Security Meetup: I want to break free - The attacker inside a Container
SBA Security Meetup: I want to break free - The attacker inside a ContainerSBA Security Meetup: I want to break free - The attacker inside a Container
SBA Security Meetup: I want to break free - The attacker inside a Container
 
"Rund um die ISO27001 Zertifizierung – Nähkästchentalk" by Thomas Kopeinig
"Rund um die ISO27001 Zertifizierung – Nähkästchentalk" by Thomas Kopeinig"Rund um die ISO27001 Zertifizierung – Nähkästchentalk" by Thomas Kopeinig
"Rund um die ISO27001 Zertifizierung – Nähkästchentalk" by Thomas Kopeinig
 
Secure development on Kubernetes by Andreas Falk
Secure development on Kubernetes by Andreas FalkSecure development on Kubernetes by Andreas Falk
Secure development on Kubernetes by Andreas Falk
 
SBA Live Academy, Rechtliche Risiken mit externen Mitarbeitern
SBA Live Academy, Rechtliche Risiken mit externen MitarbeiternSBA Live Academy, Rechtliche Risiken mit externen Mitarbeitern
SBA Live Academy, Rechtliche Risiken mit externen Mitarbeitern
 
SBA Live Academy, What the heck is secure computing
SBA Live Academy, What the heck is secure computingSBA Live Academy, What the heck is secure computing
SBA Live Academy, What the heck is secure computing
 
Tools &amp; techniques, building a dev secops culture at mozilla sba live a...
Tools &amp; techniques, building a dev secops culture at mozilla sba live a...Tools &amp; techniques, building a dev secops culture at mozilla sba live a...
Tools &amp; techniques, building a dev secops culture at mozilla sba live a...
 
HydRand: Efficient Continuous Distributed Randomness. IEEE S&P 2020 by Philip...
HydRand: Efficient Continuous Distributed Randomness. IEEE S&P 2020 by Philip...HydRand: Efficient Continuous Distributed Randomness. IEEE S&P 2020 by Philip...
HydRand: Efficient Continuous Distributed Randomness. IEEE S&P 2020 by Philip...
 
SBA Live Academy - Secure Containers for Developer by Mathias Tausig
SBA Live Academy - Secure Containers for Developer by Mathias TausigSBA Live Academy - Secure Containers for Developer by Mathias Tausig
SBA Live Academy - Secure Containers for Developer by Mathias Tausig
 
SBA Live Academy - After the overflow: self-defense techniques (Linux Kernel)...
SBA Live Academy - After the overflow: self-defense techniques (Linux Kernel)...SBA Live Academy - After the overflow: self-defense techniques (Linux Kernel)...
SBA Live Academy - After the overflow: self-defense techniques (Linux Kernel)...
 
SBA Live Academy - Passwords: Policy and Storage with NIST SP800-63b by Jim M...
SBA Live Academy - Passwords: Policy and Storage with NIST SP800-63b by Jim M...SBA Live Academy - Passwords: Policy and Storage with NIST SP800-63b by Jim M...
SBA Live Academy - Passwords: Policy and Storage with NIST SP800-63b by Jim M...
 
SBA Live Academy - Threat Modeling 101 – eine kurze aber praxisnahe Einführun...
SBA Live Academy - Threat Modeling 101 – eine kurze aber praxisnahe Einführun...SBA Live Academy - Threat Modeling 101 – eine kurze aber praxisnahe Einführun...
SBA Live Academy - Threat Modeling 101 – eine kurze aber praxisnahe Einführun...
 
SBA Live Academy - Angriffe gegen das Stromnetz – Wenn der Strom nicht mehr a...
SBA Live Academy - Angriffe gegen das Stromnetz – Wenn der Strom nicht mehr a...SBA Live Academy - Angriffe gegen das Stromnetz – Wenn der Strom nicht mehr a...
SBA Live Academy - Angriffe gegen das Stromnetz – Wenn der Strom nicht mehr a...
 
SBA Live Academy - Physical Attacks against (I)IoT-Devices, Embedded Devices,...
SBA Live Academy - Physical Attacks against (I)IoT-Devices, Embedded Devices,...SBA Live Academy - Physical Attacks against (I)IoT-Devices, Embedded Devices,...
SBA Live Academy - Physical Attacks against (I)IoT-Devices, Embedded Devices,...
 
SBA Live Academy: Cyber Resilience - Failure is not an option by Simon Tjoa
SBA Live Academy: Cyber Resilience - Failure is not an option by Simon TjoaSBA Live Academy: Cyber Resilience - Failure is not an option by Simon Tjoa
SBA Live Academy: Cyber Resilience - Failure is not an option by Simon Tjoa
 
SBA Live Academy: A Primer in Single Page Application Security by Thomas Konrad
SBA Live Academy: A Primer in Single Page Application Security by Thomas KonradSBA Live Academy: A Primer in Single Page Application Security by Thomas Konrad
SBA Live Academy: A Primer in Single Page Application Security by Thomas Konrad
 
SBA Live Academy: Software Security – Towards a Mature Lifecycle and DevSecOp...
SBA Live Academy: Software Security – Towards a Mature Lifecycle and DevSecOp...SBA Live Academy: Software Security – Towards a Mature Lifecycle and DevSecOp...
SBA Live Academy: Software Security – Towards a Mature Lifecycle and DevSecOp...
 

SBA Live Academy - "BIG BANG!" Highlights & key takeaways of 24 security talks

  • 1. 1 Willkommen zur SBA Live Academy #bleibdaheim #remotelearning Heute: Finale! by Stefan Jakoubi & Thomas Konrad This talk will be recorded!
  • 2. 2 Die Idee SBA Research, © 2020 Wir stecken z‘Haus fest Wir wollen lernen Wir wollen Impulse setzen Wir wollen Erfahrungsaustausch Ein Format, das sich „zwischendurch ausgeht“ Let‘s do it ☺
  • 3. 3 Die Zahlen • 25 SBA Live Academy Talks innerhalb 9 Wochen • Talks & Slides verfügbar • ~ 800 Minuten Security Content • ~ 900 TeilnehmerInnen SBA Research, © 2020 https://www.sba-research.org/sba-live-academy/
  • 4. 4 Behind the Scenes SBA Research, © 2020
  • 5. 5 Das edle Menü für das Gala Dinner SBA Research, © 2020 Remote Security Windows Domain Security Supply Chain Risk Certificates Cloud Security Software Security Incident Response Passwords Datenschutz Software Security Cyber Resilience Web Security Lex externe MitarbeiterInnen (I)Iot Security KRITIS Linux Kernel Sec COVID19 Simulationen OWASP SAMM Lex Crypto Linux Containers Secure Computing
  • 6. 6 1 Talk – 1 Minute SBA Research, © 2020
  • 7. 7 SBA Live Academy Thema 1+2/25 Remote Access – Top Security Challenges – Teil 1&2 Günther Roat, Philipp Reisinger (SBA) SBA Research gGmbH, 2020
  • 8. 8 Take-Aways • Top Remote Security Challenges – Teil 1 o Mangelhafte (Umsetzung der) Regelwerke o Security vs. Usability o Fehlende Schulungen o Erhöhte Gefahr von Social Engineering o Mangelhafte Information (Data) Governance o Sync von Daten auf mangelhaften Endgeräten SBA Research, © 2020
  • 9. 9 Take-Aways • Top Security Challenges – Teil 2 o Mangelhafte 2FA Durchdringung o Mangelhafte Netzwerksegmentierung o Admin-Interfaces aus Internet erreichbar o Nutzung alter (unsicherer) Protokolle o Mangelnde 3rd Party Security (Dienstleister) o Mangelhafte (Remote-) Notfallpläne SBA Research, © 2020
  • 10. 10 Take-Aways • Herausforderungen o Sichtbarkeit (breite Datenlage fehlt oftmals) o Risiko vs. Wirtschaftlichkeit („ZDF“) o Security vs. Usability (v.a. wenn‘s schnell gehen muss) SBA Research, © 2020
  • 12. 12 SBA Live Academy Thema 3/25 Angriffe auf Windows-Domains und Delegation Reinhard Kugler (SBA) SBA Research gGmbH, 2020
  • 13. 13 Take-Aways • Active-Directory-Forest ist äußerst komplex • Viele alte Attacken funktionieren oft nicht mehr • Neue Ansätze o Kerberos-Tickets o Delegation o Forest Trust SBA Research, © 2020
  • 14. 14
  • 15. 15 Take-Aways • Constrained Delegation ignoriert den Service-Typ! • BloodHound ist ein Tool zur automatischen Analyse solcher AD- Angriffsvektoren SBA Research, © 2020
  • 16. 16 Take-Aways • Was kann ich tun? o Vertrauensbeziehungen ansehen! o Delegation-Attribute prüfen! o Admins in die „Protected Users Security Group“! o Least Privilege! SBA Research, © 2020
  • 17. 17 SBA Live Academy Thema 4/25 Und, wir geht‘s Ihrer Supply-Chain heute so? Stefan Jakoubi (SBA) SBA Research gGmbH, 2020
  • 18. 18 Mein Risiko? Ist “Supply-Chain-Cyber-Risiko” Teil meiner Risikoanalyse? SBA Research, © 2020 ??? %
  • 19. 19 Take-Aways • Unterbeleuchtete Thematik • Ökosystem des Unternehmens verstehen • Business Impact verstehen zur Priorisierung • Datenfluss „heikler“ Informationen folgen SBA Research, © 2020
  • 20. 20 SBA Live Academy Thema 5/25 CRLite – Revocation for X.509 certificates in the browser – this time for real? Mathias Tausig (SBA) SBA Research gGmbH, 2020
  • 21. 21 Take-Aways • Revocation in der Web-PKI ist kaputt o Zählt zu den kompliziertesten Prozessen einer CA o Aktuell großteils nicht funktionsfähig und verwendet o Großer Aufwand für vergleichsweise kleinen Nutzen • Versuche o CRLs o OCSP o OCSP Stapling o OCSP Must-staple SBA Research, © 2020
  • 22. 22 Take-Aways • CRLite o Liste aller Revocations o Speicherung: Cascading Bloom Filter o Probabilistisch (a.k.a. „Objekt nicht im Filter“ oder „Objekt wahrscheinlich im Filter“) o Aktiviert in Firefox Nightly o Akt. Filtergröße: 1.3 MB für 700k Zerts • Diesmal wirklich? Vielleicht! SBA Research, © 2020
  • 23. 23 SBA Live Academy Thema 6/25 Cloud Security Zertifizierungen und Gütesiegel Günther Roat (SBA) SBA Research gGmbH, 2020
  • 24. 24 Take-Aways • Shared Responsibility • Verantwortungsgrenzen kennen • Auslagerung in eine (zertifizierte) Cloud transferiert nicht die Risikoverantwortung SBA Research, © 2020 Verantwortung SaaS PaaS IaaS Information & Data Accounts & Identities Directories & Authentication Applikationen Operating System Netzwerksicherheit Physische Hosts & Datacenter KundeKunde CSPCSP
  • 25. 25 Take-Aways • Strukturiert die Verantwortungsgrenzen herausarbeiten und klarstellen, bspw. via ISO • ISO27017 als Ergänzung zu ISO27001 o Type1 Control: getrennt für Service Provider & Customer. o Type 2 Control: gilt für beide Rollen gleichermaßen. CSP and Customer should agree upon the procedure to respond to digital evidence requests etc. (SLA-Thema) • ISO27018 als Ergänzung zu ISO27001/17 für PII SBA Research, © 2020
  • 26. 26 SBA Live Academy-Thema 7/22 The Future of Software Security – Towards a Mature Lifecycle and DevSecOps Thomas Konrad SBA Research gGmbH, 2020
  • 27. 27 Take-Aways SBA Research, © 2020 D.h. du willst mehr Kohle? Nein. Ich will die limitierten Ressourcen effizienter nutzen.
  • 28. 28 Take-Aways • Steps towards DevSecOps o #1: Start with simplification. o #2: Push existing pockets of success. o #3: Offer self-service security tools. o #4: Work with both empowerment and accountability. o #5: Create and promote a culture of continuous learning. SBA Research gGmbH, 2019
  • 29. 29 SBA Live Academy Thema 8/25 I know what they did last Summer… Andreas Tomek (KPMG) SBA Research gGmbH, 2020
  • 30. 30 Take-Aways • Planung ist alles o In der Stress-Situation ist vieles zu spät o Wird vor allem teurer (Durchlaufzeit, Tagsätze,…) • Interne Kommunikation ist essentiell o Teure IR sind eingekauft worden, obwohl auf der anderen Seite der Welt nur ein Pentest war • Bei einem (großen) Incident ist Truppenstärke wichtig • Planspiele auch in „Stress-Situationen“ durchführen o Nicht nur wenn es ruhig ist >> Fehleinschätzungen SBA Research, © 2020
  • 31. 31 Take-Aways SBA Research, © 2020 Quelle: Cyber Security in Österreich (KPMG, 2020)
  • 32. 32 SBA Live Academy Thema 9/25 Passwords: Policy and Storage with NIST SP800-63b Jim Manico (Founder of Manicode Security & former board member for the OWASP foundation) SBA Research gGmbH, 2020
  • 33. 33 Take-Aways • Thema betrifft alle! • Wie eine gute Passwort-Policy aussieht, hat sich stark verändert: NIST SP 800-63b • Passwortspeicherung nicht immer optimal SBA Research, © 2020
  • 34. 34 Take-Aways • Moderne Passwortrichtlinie o Keine künstliche Beschränkung der Passwortstärke (abgesehen von einer großen Maximallänge)! o Kein Passwort-Ablauf mehr! o Mindestlänge! o Liste häufiger Passwörter prüfen! o Multi-Faktor-Authentifizierung! o Verwendung von Passwortmanagern empfehlen! o ... SBA Research, © 2020
  • 35. 35 Take-Aways • Passwortspeicherung o Wichtige Faktoren – Eindeutiger Salt – Work-Faktor o bcrypt, scrypt oder Argon2i SBA Research, © 2020
  • 36. 36 SBA Live Academy Thema 10/25 A Primer in Single Page Application Security (Angular, React, Vue.js) Thomas Konrad (SBA) SBA Research gGmbH, 2020
  • 37. 37 The DOM Is A Mess: XSS Sinks SBA Research gGmbH, 2020 Imagesource:https://www.youtube.com/watch?v=vYA81UAExKA https://github.com/wisec/domxsswiki/wiki
  • 38. Classification: Public 38 SPAs, innerHTML and XSS SBA Research gGmbH, 2020 <span [innerHTML]="html"></span><span [innerHTML]="html"></span> Angular sanitizes this! <span dangerouslySetInnerHTML={html}></span><span dangerouslySetInnerHTML={html}></span> Makes you fear! <span v-html="html"></span><span v-html="html"></span> Makes you feel safe! const html = '<img src=x onerror=alert(1)/>';const html = '<img src=x onerror=alert(1)/>';Input: <img src=x />
  • 39. 39 SBA Live Academy Thema 11/25 Wozu Datenschutzgesetze? Gerald Sendera (SBA) SBA Research gGmbH, 2020
  • 40. 40 Take-Aways • Durch 300.000 Personen wurde die Erstellung von Profilen von 87.000.000 Personen ermöglicht! SBA Research, © 2020
  • 44. 44 SBA Live Academy Thema 12/25 Cyber Resilience – Failure is not an option Simon Tjoa (FH St. Pölten) SBA Research gGmbH, 2020
  • 46. 46 Take-Aways • Cyber Security vs. Cyber Resilience o Change in Mindset: „we assume breaches“ o Be prepared for the unexpected SBA Research, © 2020
  • 48. 48 Take-Aways • Resilience vs(?) Artificial Intelligence SBA Research, © 2020
  • 49. 49 SBA Live Academy Thema 13/25 Using HTTPS by Default: How Web Servers Can Make the Web More Secure Matthew Holt (Full-time open source developer, project lead of the Caddy web server) SBA Research gGmbH, 2020
  • 50. 50 Take-Aways • Transportverschlüsselung wird überall erwartet • Eine gute TLS-Konfiguration ist schwierig • Webserver sind oft in systemnahen Sprachen geschrieben (Performance vs. Sicherheit) SBA Research, © 2020
  • 51. 51 Take-Aways • Der Caddy-Webserver o braucht minimal nur einen Domänennamen, o hat eine Top-Standardkonfig inkl. OCSP Stapling, o installiert in Dev-Umgebungen vollautomatisch ein Pro-Host-CA-Zertifikat im Betriebssystem, o und ist in einer memory-safe Programmiersprache geschrieben. SBA Research, © 2020
  • 52. 52 SBA Live Academy Thema 14/25 Rechtliche Risiken mit externen Mitarbeitern Stefan Eder (Benn-Ibler) SBA Research gGmbH, 2020
  • 53. 53 Take-Aways SBA Research, © 2020 • Altes Thema – aktuell neue Dimension • Gleiche Sicherheitsrisiken wie im Unternehmen, aber in „unkontrollierter“ Umgebung • Spezialfall Home-Office o Private Infrastruktur, im Haushalt lebende Personen, kein Shredder, physische Sicherheit,… o Wer ist rechtlich wofür verantwortlich?
  • 55. 55 Take-Aways • Sehe Forschungsprojekt für CISOs >> Aufbereitung regulative InfoSec-Anforderungen SBA Research, © 2020
  • 57. 57 SBA Live Academy Thema 15/25 Physical Attacks against (I)IoT-Devices, Embedded Devices, Microcontrollers and System on Chips (SoC) Christian Kudera (SBA) SBA Research gGmbH, 2020
  • 58. 58 Take-Aways • Thema ist mM Blind Spot in Unternehmen o Security Audits? • Side-Channel-Attacks über Analyse des Stromverbrauchs o Beispiel RSA >> über Stromverbrauch des Chips konnte der Private-Key extrahiert werden SBA Research, © 2020
  • 59. 59 Take-Aways • Problem des „Test-Security-Bypass“ • Unterschiede in Preis & Qualität bei Herstellern SBA Research, © 2020
  • 60. 60 Take-Aways • Haben supercoole Instrumente ;-) SBA Research, © 2020
  • 61. 61 SBA Live Academy Thema 16/25 Threat Modeling 101 – eine kurze aber praxisnahe Einführung Daniel Schwarz (condignum) SBA Research gGmbH, 2020
  • 62. 62 Take-Aways • Kaum jemand hat einen guten Überblick über technische Bedrohungen, die das eigene Produkt betreffen • Meistens ein Blindflug SBA Research, © 2020
  • 63. 63 Take-Aways • Bei der Design-Phase ansetzen • Liste mit folgenden Spalten o Bedrohungsszenario / Schwächen / Angriffe o Kritikalität o Maßnahmen • Die drei goldenen Regeln o Just do it! o Starte so früh wie möglich! o Kommunikation ist der Schlüssel! SBA Research, © 2020
  • 64. 64 SBA Live Academy Thema 17/25 Angriffe gegen das Stromnetz – Wenn der Strom nicht mehr aus der Steckdose kommt Johanna Ullrich (SBA) SBA Research gGmbH, 2020
  • 65. 65 Take-Aways • Stromnetz ausgelegt auf 50Hz synchronisiert <> europaweites Ausgleichen von Schwankungen • Simulationen/Lastprofile für Prognosen • Laufende Messung der Frequenz o außerhalb Bandbreite >> ausgleichende Gegenmaßnahmen SBA Research, © 2020
  • 66. 66 Take-Aways • Beispielhaftes Problem: o Schnellste Gegenmaßnahme reagiert in Sekunden (Hochfahren 15 Minuten) o Basieren teilweise auf Rotationsmassen >> Problem bei zB Photovoltarik • Angriff: Massive schnelle Laständerungen im Millisekunden-Bereich zB (I)IoT Botnetz SBA Research, © 2020
  • 67. 67 Take-Aways • Forschungssimulation o Bitcoin-Mining-Ausfall in Europa könnte zukünftig europaweiten „Stromangriff“ erzeugen • Wunder Punkt komplette Abschaltung (Blackout) o Wiederanlauf herausfordernd >> brauchen zB auch Strom, um wieder zu starten SBA Research, © 2020
  • 69. 69 SBA Live Academy Thema 18/25 After the overflow: self-defense techniques of the Linux Kernel Reinhard Kugler (SBA) SBA Research gGmbH, 2020
  • 70. 70 Take-Aways • Wir müssen Angriffe erwarten! • Annahme: RCE passiert • Wie können wir den Angriff bremsen? SBA Research, © 2020
  • 71. 71 Take-Aways • Prozesse haben Capabilities • Diese kann man einschränken o systemd-Konfiguration o # setcap o AppArmor o SELinux o seccomp (systemd, Docker) SBA Research, © 2020
  • 72. 72 SBA Live Academy Thema 19/25 Die COVID-19 Krise und Simulationsmodelle. Was kann man sagen? Und was nicht? Niki Popper (dwh) SBA Research gGmbH, 2020
  • 73. 73 Take-Aways • 10+ Jahre an Forschung, um heute „schnell“ Modell ergänzen und tunen zu können • Simulationen zeigen auch mögliche Effekte o Wirksamkeit von Maßnahmen, Ressourcenplanung (Betten),… • Unterschiedliche Methoden o Kausale: Versuch Kausalitäten zu verstehen (modellierbar zu machen), um auch Prognosen zu treffen trotz mangelhafter Datenlage o Herausforderung: Kalibrieren – ~9 Mio Menschen <> Kausalitäten <> Scoping – Bspw. Personen sind 2 Wochen ansteckend >> in Wahrheit aber nicht wirklich, weil sie ja dann zu Hause bleiben oder im Krankenhaus sind >> muss in Modellierung berücksichtigt werden SBA Research, © 2020
  • 74. 74 Take-Aways • Sofort der Gedanke gekommen, Forschungsprojekt anzugehen: Angriffs-Auswirkungen & Maßnahmen-Effekte SBA Research, © 2020
  • 76. 76 SBA Live Academy Thema 20/25 OWASP SAMM 2.0: Your Dynamic Software Security Journey Sebastien Deleersnyder (OWASP SAMM co leader, Toreon) SBA Research gGmbH, 2020
  • 77. 77 Take-Aways Softwaresicherheit wird immer noch als das Einbauen von Sicherheitsfeatures gesehen, und nicht als das Einbauen von Sicherheit in die Art und Weise, wie wir Software bauen. SBA Research, © 2020
  • 79. 79 SBA Live Academy Thema 21/25 Kryptographie auf rechtlichem Prüfstand Lukas Feiler (Baker & McKenzie) SBA Research gGmbH, 2020
  • 80. 80 Take-Aways • Verschlüsselt heißt nicht automatisch anonym o Möglicherweise trotzdem von GDPR erfasst, weil Begriff sehr weit gefasst ist! („wenn irgendwie die Möglichkeit besteht…“) o Schlüssel wegwerfen oder „salted“ Hash ergibt tatsächliche anonymisierte Daten • Pflicht zu Verschlüsselung? o Abgesehen von regulierten Bereichen >> es kommt darauf an: Art. 32 „angemessene Maßnahmen“ SBA Research, © 2020
  • 81. 81 Take-Aways • Elektronische Signatur o Es geht um Beweiskraft o Ja, auch mit internem Zertifikat signiert ist hinreichend o Via „qualifiziertem Vertrauensdienstleister“ ist „noch qualifizierter“ und für klar definierte Anwendungsfälle zwingend erforderlich o Qualifizierte elektronische Signatur ist rechtlich gleichwertig zu „analoger“ Unterschrift o Unbeschränkte (!) Haftung von Certificate Authorities (Beispiel DigiNotar) SBA Research, © 2020
  • 82. 82 SBA Live Academy Thema 22/25 Linux Containers Mathias Tausig (SBA) SBA Research gGmbH, 2020
  • 83. 83 Take-Aways • Containers have a long history • Containers are more lightweight than VMs, but have worse isolation • System Container (LXC) vs. Aplication Container (Docker) • Privileged vs. Unprivileged Container SBA Research, © 2020
  • 84. 84 Take-Aways • Linux Containers: LXC o Userspace-Interface für Kernel-Containment- Features (Namespaces, cgroups) o LXD ist ein gut benutzbares LXC-Interface SBA Research, © 2020
  • 85. 85 Take-Aways • LXC-Container für EntwicklerInnen o Isoliertes Ausführen von Applikationen o Entwicklungsumgebungen mit separaten Dependencies o Testumgebungen SBA Research, © 2020
  • 86. 86 SBA Live Academy Thema 23/25 Tools & Techniques from building a DevSecOps culture at Mozilla Julien Vehent (Mozilla) SBA Research gGmbH, 2020
  • 87. 87 Take-Aways To go beyond the security team, get the security team closer to your organization
  • 93. 93 SBA Live Academy Thema 24/25 What the heck is secure computing? Matthias Gusenbauer (SBA) SBA Research gGmbH, 2020
  • 94. 94 Take-Aways • Kontext: Berechnungen auf verschlüsselten Daten durchführen • Talk-Fokus: Multi-party Computation (MPC) SBA Research, © 2020
  • 96. 96 Take-Aways • Use-Cases o Machine Learning o Berechnung des Kredit-Scores o Statistische Analysen auf medizinischen Daten • Key Take-Aways o Secure Computation ist möglich (MPC) o MPC ersetzt „Trusted third parties“ o MPC kann neue Geschäftsmodelle erschließen und Sicherheit und Privatsphäre verbessern SBA Research, © 2020
  • 97. 97 SBA Live Academy Thema 25/25 SBA Live Academy Highlights Stefan Jakoubi & Thomas Konrad (SBA) SBA Research gGmbH, 2020
  • 99. 99 Stefan Jakoubi SBA Research gGmbH Floragasse 7, 1040 Wien +43 660 5 10 20 40 sjakoubi@sba-research.org SBA Research gGmbH, 2020 Thomas Konrad SBA Research gGmbH Floragasse 7, 1040 Wien +43 664 889 272 17 tkonrad@sba-research.org
  • 100. 100 Professional Services Penetration Testing Architecture Reviews Security Audit Security Trainings Incident Response Readiness ISMS & ISO 27001 Consulting Forschung & Beratung unter einem Dach Applied Research Industrial Security | IIoT Security | Mathematics for Security Research | Machine Learning | Blockchain | Network Security | Sustainable Software Systems | Usable Security SBA Research Wissenstransfer SBA Live Academy | sec4dev | Trainings | Events | Lehre | sbaPRIME Kontaktieren Sie uns: anfragen@sba-research.org
  • 101. 101 Weitermachen mit dem Security Meetup by SBA Research #keeplearning https://www.meetup.com/Security-Meetup-by-SBA-Research/
  • 102. 102 #bleibdaheim #remotelearning Coming up - Security Meetup by SBA 10.06.2020, 18.00 Uhr, live: "Secure development on Kubernetes” by Andreas Falk (Novatec Consulting) Language: English Treten Sie unserer Meetup Gruppe bei! https://www.meetup.com/Security-Meetup-by-SBA- Research/
  • 103. 103 SBA Live Academy-Afterparty!SBA Live Academy-Afterparty!