SlideShare ist ein Scribd-Unternehmen logo
Classification: Public 1
Willkommen
zur SBA Live Academy
#bleibdaheim # remotelearning
Heute: Remote Access – Top Security Challenges – Teil 1
by Günther Roat, Philipp Reisinger
This talk will be recorded as soon as the presentation starts!
Please be sure to turn off your video in your control panel.
Classification: Public 2
Professional Services
Penetration Testing
Architecture Reviews
Security Audit
Security Trainings
Incident Response Readiness
ISMS & ISO 27001 Consulting
Forschung & Beratung unter einem Dach
Applied Research
Industrial Security | IIoT Security |
Mathematics for Security Research |
Machine Learning | Blockchain | Network
Security | Sustainable Software Systems |
Usable Security
SBA Research
Wissenstransfer
SBA Live Academy | sec4dev | Trainings |
Events | Lehre | sbaPRIME
Kontaktieren Sie uns: anfragen@sba-research.org
Classification: Public 3
#bleibdaheim #remotelearning
Willkommen zur SBA Live Academy!
 3 x pro Woche (Di - Do)
 13:00 – 13:30 Uhr
 20-minütiger Live-Talk
 Ausgiebige Q&A Session
 Kostenfrei
 Programm: https://www.sba-
research.org/sba-live-academy/
Treten Sie unserer MeetUp Gruppe bei!
https://www.meetup.com/Security-Meetup-by-SBA-Research/
Classification: Public 4
#bleibdaheim #remotelearning
Willkommen zur SBA Live Academy!
Impulse setzen
Interessantes vermitteln
Erfahrungsaustausch Tiefgehende Schulung
Classification: Public 5
SBA Live Academy – Kickoff
Boost your InfoSec knowledge
SBA Research gGmbH, 2020
Classification: Public 6
Remote Access – Top Security Challenges
Part I: Typische Auditfindings im Bereich People & Processes
Part II: Typische Auditfindings im Bereich Technology
02.04.2020, 13.00 Uhr
SBA Research gGmbH, 2020
Classification: Public 7
Vorwort
Audits als Werkzeug der kontinuierlichen Verbesserung
SBA Research gGmbH, 2020
• Die Auditfeststellungen sollen keine überhebliche Top Down
Predigt von Auditoren im Elfenbeinturm sein!
• Viele SBA Prüfer kommen selbst aus der operativen IT, SW
Entwicklung und müssen sich auch intern mit
Informationssicherheitsanforderungen „herumschlagen“.
• Informationssicherheit muss langfristig gedacht werden und sich
stätig weiterentwickeln (KVP).
-> Blick von Extern hilft oft Blind Spots und aufzudecken.
Classification: Public 8
People – Processes – Technology
Die drei Säulen der Informationssicherheit
SBA Research gGmbH, 2020
„Wenn Sie glauben, Technologie könne Ihre Sicherheitsprobleme lösen, dann
verstehen Sie die Probleme nicht und Sie verstehen die Technologie nicht.“
– Bruce Schneier, Vorwort von Secrets and Lies, 2000
“Security is not a product. It‘s a process.”
– Bruce Schneier
Classification: Public 9
People – Processes – Technology
Drei Säulen der Informationssicherheit
SBA Research gGmbH, 2020
People
ProcessesTechnology
Classification: Public 10
People – Processes – Technology
Typische Auditfindings
SBA Research gGmbH, 2020
People
ProcessesTechnology
Classification: Public 11
People
Typische Auditfindings I
Zwei Themengebiete sind sei jeher unter den Top Feststellungen:
• Keine/wenige unternehmensweiten Richtlinien zum Thema.
o z.B. Nutzung privates Equipment erlaubt/verboten/wofür zulässig?
o Unstrukturiertes „Ausnahmenmanagement“.
• Mangelnde Schulung der Mitarbeiter.
o z.B. Sicherer Verwendung von zulässigen Remote Access Tools &
Gefahren.
SBA Research gGmbH, 2020
Classification: Public 12
People
Typische Auditfindings II
Information Governance
• Oftmals „totes Papier“ – sofern überhaupt vorhanden.
o Verantwortung der InfoSec Teams ist nicht nur Vorgaben zu definieren,
sondern auch bei deren Umsetzung zu unterstützen und zu beraten!
• Informationsklassifikation & Verarbeitungsregelungen
o Was darf von welchen Geräten aus verarbeitet und wo gespeichert werden?
o Nur kleinem Kreis der „InfoSec Wissenden & Auditoren“ bekannt.
• Sync von Firmenmails auf mangelhaft verwaltete Smartphones.
o Selten über IMAP, aber oft über Active Sync mit schwachen
Sicherheitseinstellungen (z.B. kein PIN Enforcement).
SBA Research gGmbH, 2020
Classification: Public 13
People
Typische Auditfindings III
• Verstärkte Gefahr Social Engineering nicht angemessen adressiert.
o Phishing: Mitarbeiter Awareness mit regelm. Infomails
aufrechterhalten – hier mehr denn je zeitnah informieren.
o CEO Fraud: Sind Verifizierungs-Prozesse auch im Telearbeitsworkflow
sichergestellt? – Erreichbarkeit der Beteiligten?
o Incident Response Prozesse stehen vor Herausforderungen bei
flächendeckender Telearbeit (wie wird Client isoliert etc.).
• Thema Media Disposal @ Home nicht geregelt (PII im Papiermüll).
SBA Research gGmbH, 2020
Classification: Public 14
People
Typische Auditfindings IV
• Benutzerfreundlichkeit der Lösung nicht berücksichtigt, wodurch
sie mittels „alternative Kanäle“ umgangen wird.
o Timeouts (VPN, RDP, etc.) gehen an Arbeitspraxis vorbei.
o Performance der Firmengeräte im Home Office nicht ausreichend.
o Installation von privaten Druckern auf Firmengeräten möglich?
(sonst Umgehung mittels USB Stick und privater Email)
• Nutzung nicht autorisierter Fernwartungssoftware (e.g.
TeamViewer, VNC, LogMeIn etc.).
o z.B: Dev und R&D (keine Schuldzuweisung)
SBA Research gGmbH, 2020
Classification: Public 15
People – Processes – Technology
Typische Auditfindings
SBA Research gGmbH, 2020
People
ProcessesTechnology
Classification: Public 16
Processes
Typische Auditfindings I
• Verfügbarkeit & Kapazitätsplanung nicht berücksichtig.
o Sind wichtige Komponenten hochverfügbar? (VPN Endpoints, Server Cluster)
o QoS/Traffic Shaping -> müssen Mitarbeitergruppen priorisiert werden?
o Wartungsfenster aktuell schwer planbar -> Mitarbeiter haben durch
Familienpflichten ungewöhnliche Arbeitszeiten.
• Kein Monitoring bzw. Alerting bei fehlgeschlagenen Anmeldeversuchen.
o Brute Forcing, Password Spraying & Credential Stuffing Angriffe.
o Verfügbarkeitssicht - > zu viele Requests durch Brute Forcing -> DoS
o User Lockouts durch Sicherheitsmaßnahmen am Perimeter.
SBA Research gGmbH, 2020
Classification: Public 17
Processes
Typische Auditfindings II
• Kein strukturierter „Demand Prozess“ & Schatten IT
o z.B. dringender Bedarf an neuer Online Meeting Lösung geht an
Demand Prozess vorbei (zu langsam) -> Prozess für Re-Evaluierung
nach Überwindung der aktuellen Situation.
• Langsames Patch Management bei kritischen Remote Access
Schwachstellen
o Insb. aktuell: Konflikt Verfügbarkeit vs. Sicherheit.
o Spätestens wenn Exploits automatisierbar sind -> patchen!
o e.g. Bluekeep & BlueGate, Citrix Gateway, etc.
o Angreifer nutzen Krisensituationen um ihre Erfolgschancen zu
erhöhen!
SBA Research gGmbH, 2020
Classification: Public 18
Processes
Typische Auditfindings III
• Kein Prozess zur zentralen Meldung und Sperrung von externen
Zugängen (etwa bei Diebstahl des Notebooks)
o Kontaktdaten für Helpdesk auch ohne Firmenclient verfügbar?
o Kann ich einzelne Geräte überhaupt aus dem VPN aussperren?
• Keine zentrale Sichtbarkeit und Review von Externen mit VPN
Zugriff (inkl. Shared Accounts).
o Alle zuvor besprochenen Aspekte treffen nun natürlich auch auf
Dienstleister im Home Office zu – Risiko kann hier noch höher sein!
SBA Research gGmbH, 2020
Classification: Public 19
Processes
Typische Auditfindings IV
• Kein Notfallplan/Alternativen für den Ausfall von Remote Access
Services.
• Neu: Wie werden defekte Endgeräte gerade serviciert?
o Abholung durch Botendienst?
o Wie ist die Ansteckungsgefahr durch Notebook Oberflächen
einzuschätzen?
o Sofort durch neues Gerät tauschen?
o Ersatzgerät (vor Ort) für „kritische“ Mitarbeiter/Prozesse?
SBA Research gGmbH, 2020
Classification: Public 20
Processes
Typische Auditfindings V
• Wie geht man aktuell mit Endgeräten um die eine Malware
Infektion anzeigen?
o Wie schon bei Verlust des Clients: Kann ich einzelne Devices überhaupt
aus dem VPN aussperren?
o Bzw. kann ich einzelne Geräte im VPN so isolieren, dass ich noch
IR/Forensics Maßnahmen durchführen kann? (Quarantäne/Remediation
Netz).
• Daten auf lokalen Geräten im Backupkonzept nicht berücksichtigt
bzw. Thema in Schulungen/Richtlinien nicht adressiert.
SBA Research gGmbH, 2020
Classification: Public 21
People – Processes – Technology
Typische Auditfindings
SBA Research gGmbH, 2020
People
ProcessesTechnology
Classification: Public 22
Ausblick: Technology
Typische Auditfindings
• Keine Zwei Faktor Authentifizierung.
• Schlechte Netzwerk Segmentierung im vgl. zu on-Premise.
• Nutzung veralteter und unsicherer Protokolle (e.g. PPTP).
• Private Geräte im Unternehmens-VPN ohne angm. Security Baseline.
o Patch-Status, AV aktiv, Host Firewall aktiv, Festplattenverschlüsselung etc.
• Keine Sichtbarkeit & Schutz des Client Internetverkehrs (Split Tunneling).
• RDP direkt im Internet / Kein RPD Hardening (e.g. Gateways, NLA,
Encryption).
• Kein Hardening der VDI Umgebungen (Escaping).
• Schlechte TLS Konfig & keine mutual Authentication (Zertifikatprüfung).
SBA Research gGmbH, 2020
Classification: Public 23
Weiterführende Literatur
• SBA Research Security Tipps for Home Office:
https://www.sba-research.org/2020/03/19/security-tips-for-home-office/
• ENISA Sicherheit bei Telearbeit:
https://www.enisa.europa.eu/tips-for-cybersecurity-when-working-from-home
• BSI Standards VPN und Fernzugriff:
https://www.bsi.bund.de/DE/Themen/StandardsKriterien/ISi-Reihe/ISi-VPN/vpn_node.html
und
https://www.bsi.bund.de/DE/Themen/StandardsKriterien/ISi-Reihe/ISi-Fern/fern_node.html
• BSI VPN Checklist:
https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Internetsicherheit/isi_fern_checklist
e_pdf.pdf?__blob=publicationFile&v=1
SBA Research gGmbH, 2020
Classification: Public 24
Fragen?
SBA Research gGmbH, 2020
Classification: Public 25
Günther Roat
SBA Research gGmbH
Floragasse 7, 1040 Vienna
groat@sba-research.org
SBA Research gGmbH, 2020
Philipp Reisinger
SBA Research gGmbH
Floragasse 7, 1040 Vienna
preisinger@sba-research.org

Weitere ähnliche Inhalte

Ähnlich wie SBA Live Academy - Remote Access – Top Security Challenges, Part 1 - Günther Roat, Philipp Reisinger

Webinar Cyberangriff - Abwehrmöglichkeiten
Webinar Cyberangriff - AbwehrmöglichkeitenWebinar Cyberangriff - Abwehrmöglichkeiten
Webinar Cyberangriff - Abwehrmöglichkeiten
A. Baggenstos & Co. AG
 
Webinar Cyberangriff - Abwehrmöglichkeiten
Webinar Cyberangriff - AbwehrmöglichkeitenWebinar Cyberangriff - Abwehrmöglichkeiten
Webinar Cyberangriff - Abwehrmöglichkeiten
A. Baggenstos & Co. AG
 
Agile (Software-) Prozesse - Quo Vadis? [in German]
Agile (Software-) Prozesse - Quo Vadis? [in German]Agile (Software-) Prozesse - Quo Vadis? [in German]
Agile (Software-) Prozesse - Quo Vadis? [in German]
Martin Gaedke
 
Social Media im Unternehmen
Social Media im UnternehmenSocial Media im Unternehmen
Social Media im Unternehmen
Hellmuth Broda
 
Präsentation: Systemhärtung als präventive IT-Security-Maßnahme
Präsentation: Systemhärtung als präventive IT-Security-MaßnahmePräsentation: Systemhärtung als präventive IT-Security-Maßnahme
Präsentation: Systemhärtung als präventive IT-Security-Maßnahme
NoCodeHardening
 
AG Softwaretechnik
AG SoftwaretechnikAG Softwaretechnik
AG SoftwaretechnikRoland M
 
SeEF 2013 | Bring your own device (Andreas Spichiger)
SeEF 2013 | Bring your own device (Andreas Spichiger)SeEF 2013 | Bring your own device (Andreas Spichiger)
SeEF 2013 | Bring your own device (Andreas Spichiger)
Swiss eEconomy Forum
 
OSMC 2017 | Monitoring - dos and don'ts by Markus Thiel
OSMC 2017 | Monitoring - dos and don'ts by Markus ThielOSMC 2017 | Monitoring - dos and don'ts by Markus Thiel
OSMC 2017 | Monitoring - dos and don'ts by Markus Thiel
NETWAYS
 
Wie Lean ist eigentlich ihre IT – Kundenwert und Verschwendung in der Informa...
Wie Lean ist eigentlich ihre IT – Kundenwert und Verschwendung in der Informa...Wie Lean ist eigentlich ihre IT – Kundenwert und Verschwendung in der Informa...
Wie Lean ist eigentlich ihre IT – Kundenwert und Verschwendung in der Informa...
Learning Factory
 
Eine geniale Lösung für das Benutzermanagement by Suvad Sahovic
Eine geniale Lösung für das Benutzermanagement by Suvad SahovicEine geniale Lösung für das Benutzermanagement by Suvad Sahovic
Eine geniale Lösung für das Benutzermanagement by Suvad Sahovic
Carsten Muetzlitz
 
Cyber Security im Cloud Zeitalter
Cyber Security im Cloud Zeitalter Cyber Security im Cloud Zeitalter
Cyber Security im Cloud Zeitalter
A. Baggenstos & Co. AG
 
IA/ UX in Scrum Entwicklungs-Prozessen - 2009
IA/ UX in Scrum Entwicklungs-Prozessen - 2009IA/ UX in Scrum Entwicklungs-Prozessen - 2009
IA/ UX in Scrum Entwicklungs-Prozessen - 2009
Wolf Noeding
 
IT-Sicherheit und agile Entwicklung? Geht das? Sicher!
IT-Sicherheit und agile Entwicklung? Geht das? Sicher!IT-Sicherheit und agile Entwicklung? Geht das? Sicher!
IT-Sicherheit und agile Entwicklung? Geht das? Sicher!
Carsten Cordes
 
Mobile Business 2013: Chancen und Herausforderungen
Mobile Business 2013: Chancen und HerausforderungenMobile Business 2013: Chancen und Herausforderungen
Mobile Business 2013: Chancen und Herausforderungen
University St. Gallen
 
So erreichen Sie Akzeptanz für Social Software (#DNUG 2013)
So erreichen Sie Akzeptanz für Social Software (#DNUG 2013)So erreichen Sie Akzeptanz für Social Software (#DNUG 2013)
So erreichen Sie Akzeptanz für Social Software (#DNUG 2013)
netmedianer GmbH
 
Impulsseminar cloud computing - ufz.ch 20120521
Impulsseminar cloud computing - ufz.ch 20120521Impulsseminar cloud computing - ufz.ch 20120521
Impulsseminar cloud computing - ufz.ch 20120521
ihrepartner.ch gmbh
 
Die Architektur, die man kann
Die Architektur, die man kannDie Architektur, die man kann
Die Architektur, die man kann
Johann-Peter Hartmann
 
Big Data Discovery + Analytics = Datengetriebene Innovation!
Big Data Discovery + Analytics = Datengetriebene Innovation!Big Data Discovery + Analytics = Datengetriebene Innovation!
Big Data Discovery + Analytics = Datengetriebene Innovation!
Harald Erb
 
14. TANNER-Hochschulwettbewerb | Beitrag Team Mayer (Karlsruher Institut für ...
14. TANNER-Hochschulwettbewerb | Beitrag Team Mayer (Karlsruher Institut für ...14. TANNER-Hochschulwettbewerb | Beitrag Team Mayer (Karlsruher Institut für ...
14. TANNER-Hochschulwettbewerb | Beitrag Team Mayer (Karlsruher Institut für ...
TANNER AG
 
Zero Trust - Never Trust, Always Verify
Zero Trust - Never Trust, Always VerifyZero Trust - Never Trust, Always Verify
Zero Trust - Never Trust, Always Verify
go4mobile ag
 

Ähnlich wie SBA Live Academy - Remote Access – Top Security Challenges, Part 1 - Günther Roat, Philipp Reisinger (20)

Webinar Cyberangriff - Abwehrmöglichkeiten
Webinar Cyberangriff - AbwehrmöglichkeitenWebinar Cyberangriff - Abwehrmöglichkeiten
Webinar Cyberangriff - Abwehrmöglichkeiten
 
Webinar Cyberangriff - Abwehrmöglichkeiten
Webinar Cyberangriff - AbwehrmöglichkeitenWebinar Cyberangriff - Abwehrmöglichkeiten
Webinar Cyberangriff - Abwehrmöglichkeiten
 
Agile (Software-) Prozesse - Quo Vadis? [in German]
Agile (Software-) Prozesse - Quo Vadis? [in German]Agile (Software-) Prozesse - Quo Vadis? [in German]
Agile (Software-) Prozesse - Quo Vadis? [in German]
 
Social Media im Unternehmen
Social Media im UnternehmenSocial Media im Unternehmen
Social Media im Unternehmen
 
Präsentation: Systemhärtung als präventive IT-Security-Maßnahme
Präsentation: Systemhärtung als präventive IT-Security-MaßnahmePräsentation: Systemhärtung als präventive IT-Security-Maßnahme
Präsentation: Systemhärtung als präventive IT-Security-Maßnahme
 
AG Softwaretechnik
AG SoftwaretechnikAG Softwaretechnik
AG Softwaretechnik
 
SeEF 2013 | Bring your own device (Andreas Spichiger)
SeEF 2013 | Bring your own device (Andreas Spichiger)SeEF 2013 | Bring your own device (Andreas Spichiger)
SeEF 2013 | Bring your own device (Andreas Spichiger)
 
OSMC 2017 | Monitoring - dos and don'ts by Markus Thiel
OSMC 2017 | Monitoring - dos and don'ts by Markus ThielOSMC 2017 | Monitoring - dos and don'ts by Markus Thiel
OSMC 2017 | Monitoring - dos and don'ts by Markus Thiel
 
Wie Lean ist eigentlich ihre IT – Kundenwert und Verschwendung in der Informa...
Wie Lean ist eigentlich ihre IT – Kundenwert und Verschwendung in der Informa...Wie Lean ist eigentlich ihre IT – Kundenwert und Verschwendung in der Informa...
Wie Lean ist eigentlich ihre IT – Kundenwert und Verschwendung in der Informa...
 
Eine geniale Lösung für das Benutzermanagement by Suvad Sahovic
Eine geniale Lösung für das Benutzermanagement by Suvad SahovicEine geniale Lösung für das Benutzermanagement by Suvad Sahovic
Eine geniale Lösung für das Benutzermanagement by Suvad Sahovic
 
Cyber Security im Cloud Zeitalter
Cyber Security im Cloud Zeitalter Cyber Security im Cloud Zeitalter
Cyber Security im Cloud Zeitalter
 
IA/ UX in Scrum Entwicklungs-Prozessen - 2009
IA/ UX in Scrum Entwicklungs-Prozessen - 2009IA/ UX in Scrum Entwicklungs-Prozessen - 2009
IA/ UX in Scrum Entwicklungs-Prozessen - 2009
 
IT-Sicherheit und agile Entwicklung? Geht das? Sicher!
IT-Sicherheit und agile Entwicklung? Geht das? Sicher!IT-Sicherheit und agile Entwicklung? Geht das? Sicher!
IT-Sicherheit und agile Entwicklung? Geht das? Sicher!
 
Mobile Business 2013: Chancen und Herausforderungen
Mobile Business 2013: Chancen und HerausforderungenMobile Business 2013: Chancen und Herausforderungen
Mobile Business 2013: Chancen und Herausforderungen
 
So erreichen Sie Akzeptanz für Social Software (#DNUG 2013)
So erreichen Sie Akzeptanz für Social Software (#DNUG 2013)So erreichen Sie Akzeptanz für Social Software (#DNUG 2013)
So erreichen Sie Akzeptanz für Social Software (#DNUG 2013)
 
Impulsseminar cloud computing - ufz.ch 20120521
Impulsseminar cloud computing - ufz.ch 20120521Impulsseminar cloud computing - ufz.ch 20120521
Impulsseminar cloud computing - ufz.ch 20120521
 
Die Architektur, die man kann
Die Architektur, die man kannDie Architektur, die man kann
Die Architektur, die man kann
 
Big Data Discovery + Analytics = Datengetriebene Innovation!
Big Data Discovery + Analytics = Datengetriebene Innovation!Big Data Discovery + Analytics = Datengetriebene Innovation!
Big Data Discovery + Analytics = Datengetriebene Innovation!
 
14. TANNER-Hochschulwettbewerb | Beitrag Team Mayer (Karlsruher Institut für ...
14. TANNER-Hochschulwettbewerb | Beitrag Team Mayer (Karlsruher Institut für ...14. TANNER-Hochschulwettbewerb | Beitrag Team Mayer (Karlsruher Institut für ...
14. TANNER-Hochschulwettbewerb | Beitrag Team Mayer (Karlsruher Institut für ...
 
Zero Trust - Never Trust, Always Verify
Zero Trust - Never Trust, Always VerifyZero Trust - Never Trust, Always Verify
Zero Trust - Never Trust, Always Verify
 

Mehr von SBA Research

SBA Security Meetup - Deploying and managing azure sentinel as code by Bojan ...
SBA Security Meetup - Deploying and managing azure sentinel as code by Bojan ...SBA Security Meetup - Deploying and managing azure sentinel as code by Bojan ...
SBA Security Meetup - Deploying and managing azure sentinel as code by Bojan ...
SBA Research
 
NDSS 2021 RandRunner: Distributed Randomness from Trapdoor VDFs with Strong U...
NDSS 2021 RandRunner: Distributed Randomness from Trapdoor VDFs with Strong U...NDSS 2021 RandRunner: Distributed Randomness from Trapdoor VDFs with Strong U...
NDSS 2021 RandRunner: Distributed Randomness from Trapdoor VDFs with Strong U...
SBA Research
 
SBA Security Meetup – Security Requirements Management 101 by Daniel Schwarz ...
SBA Security Meetup – Security Requirements Management 101 by Daniel Schwarz ...SBA Security Meetup – Security Requirements Management 101 by Daniel Schwarz ...
SBA Security Meetup – Security Requirements Management 101 by Daniel Schwarz ...
SBA Research
 
SBA Security Meetup: Building a Secure Architecture – A Deep-Dive into Securi...
SBA Security Meetup: Building a Secure Architecture – A Deep-Dive into Securi...SBA Security Meetup: Building a Secure Architecture – A Deep-Dive into Securi...
SBA Security Meetup: Building a Secure Architecture – A Deep-Dive into Securi...
SBA Research
 
SBA Security Meetup: I want to break free - The attacker inside a Container
SBA Security Meetup: I want to break free - The attacker inside a ContainerSBA Security Meetup: I want to break free - The attacker inside a Container
SBA Security Meetup: I want to break free - The attacker inside a Container
SBA Research
 
"Rund um die ISO27001 Zertifizierung – Nähkästchentalk" by Thomas Kopeinig
"Rund um die ISO27001 Zertifizierung – Nähkästchentalk" by Thomas Kopeinig"Rund um die ISO27001 Zertifizierung – Nähkästchentalk" by Thomas Kopeinig
"Rund um die ISO27001 Zertifizierung – Nähkästchentalk" by Thomas Kopeinig
SBA Research
 
Secure development on Kubernetes by Andreas Falk
Secure development on Kubernetes by Andreas FalkSecure development on Kubernetes by Andreas Falk
Secure development on Kubernetes by Andreas Falk
SBA Research
 
SBA Live Academy, Rechtliche Risiken mit externen Mitarbeitern
SBA Live Academy, Rechtliche Risiken mit externen MitarbeiternSBA Live Academy, Rechtliche Risiken mit externen Mitarbeitern
SBA Live Academy, Rechtliche Risiken mit externen Mitarbeitern
SBA Research
 
SBA Live Academy, What the heck is secure computing
SBA Live Academy, What the heck is secure computingSBA Live Academy, What the heck is secure computing
SBA Live Academy, What the heck is secure computing
SBA Research
 
Tools & techniques, building a dev secops culture at mozilla sba live a...
Tools & techniques, building a dev secops culture at mozilla   sba live a...Tools & techniques, building a dev secops culture at mozilla   sba live a...
Tools & techniques, building a dev secops culture at mozilla sba live a...
SBA Research
 
HydRand: Efficient Continuous Distributed Randomness. IEEE S&P 2020 by Philip...
HydRand: Efficient Continuous Distributed Randomness. IEEE S&P 2020 by Philip...HydRand: Efficient Continuous Distributed Randomness. IEEE S&P 2020 by Philip...
HydRand: Efficient Continuous Distributed Randomness. IEEE S&P 2020 by Philip...
SBA Research
 
SBA Live Academy - Secure Containers for Developer by Mathias Tausig
SBA Live Academy - Secure Containers for Developer by Mathias TausigSBA Live Academy - Secure Containers for Developer by Mathias Tausig
SBA Live Academy - Secure Containers for Developer by Mathias Tausig
SBA Research
 
SBA Live Academy - After the overflow: self-defense techniques (Linux Kernel)...
SBA Live Academy - After the overflow: self-defense techniques (Linux Kernel)...SBA Live Academy - After the overflow: self-defense techniques (Linux Kernel)...
SBA Live Academy - After the overflow: self-defense techniques (Linux Kernel)...
SBA Research
 
SBA Live Academy - Passwords: Policy and Storage with NIST SP800-63b by Jim M...
SBA Live Academy - Passwords: Policy and Storage with NIST SP800-63b by Jim M...SBA Live Academy - Passwords: Policy and Storage with NIST SP800-63b by Jim M...
SBA Live Academy - Passwords: Policy and Storage with NIST SP800-63b by Jim M...
SBA Research
 
SBA Live Academy - Threat Modeling 101 – eine kurze aber praxisnahe Einführun...
SBA Live Academy - Threat Modeling 101 – eine kurze aber praxisnahe Einführun...SBA Live Academy - Threat Modeling 101 – eine kurze aber praxisnahe Einführun...
SBA Live Academy - Threat Modeling 101 – eine kurze aber praxisnahe Einführun...
SBA Research
 
SBA Live Academy - Angriffe gegen das Stromnetz – Wenn der Strom nicht mehr a...
SBA Live Academy - Angriffe gegen das Stromnetz – Wenn der Strom nicht mehr a...SBA Live Academy - Angriffe gegen das Stromnetz – Wenn der Strom nicht mehr a...
SBA Live Academy - Angriffe gegen das Stromnetz – Wenn der Strom nicht mehr a...
SBA Research
 
SBA Live Academy - Physical Attacks against (I)IoT-Devices, Embedded Devices,...
SBA Live Academy - Physical Attacks against (I)IoT-Devices, Embedded Devices,...SBA Live Academy - Physical Attacks against (I)IoT-Devices, Embedded Devices,...
SBA Live Academy - Physical Attacks against (I)IoT-Devices, Embedded Devices,...
SBA Research
 
SBA Live Academy: Cyber Resilience - Failure is not an option by Simon Tjoa
SBA Live Academy: Cyber Resilience - Failure is not an option by Simon TjoaSBA Live Academy: Cyber Resilience - Failure is not an option by Simon Tjoa
SBA Live Academy: Cyber Resilience - Failure is not an option by Simon Tjoa
SBA Research
 
SBA Live Academy: A Primer in Single Page Application Security by Thomas Konrad
SBA Live Academy: A Primer in Single Page Application Security by Thomas KonradSBA Live Academy: A Primer in Single Page Application Security by Thomas Konrad
SBA Live Academy: A Primer in Single Page Application Security by Thomas Konrad
SBA Research
 
SBA Live Academy: Software Security – Towards a Mature Lifecycle and DevSecOp...
SBA Live Academy: Software Security – Towards a Mature Lifecycle and DevSecOp...SBA Live Academy: Software Security – Towards a Mature Lifecycle and DevSecOp...
SBA Live Academy: Software Security – Towards a Mature Lifecycle and DevSecOp...
SBA Research
 

Mehr von SBA Research (20)

SBA Security Meetup - Deploying and managing azure sentinel as code by Bojan ...
SBA Security Meetup - Deploying and managing azure sentinel as code by Bojan ...SBA Security Meetup - Deploying and managing azure sentinel as code by Bojan ...
SBA Security Meetup - Deploying and managing azure sentinel as code by Bojan ...
 
NDSS 2021 RandRunner: Distributed Randomness from Trapdoor VDFs with Strong U...
NDSS 2021 RandRunner: Distributed Randomness from Trapdoor VDFs with Strong U...NDSS 2021 RandRunner: Distributed Randomness from Trapdoor VDFs with Strong U...
NDSS 2021 RandRunner: Distributed Randomness from Trapdoor VDFs with Strong U...
 
SBA Security Meetup – Security Requirements Management 101 by Daniel Schwarz ...
SBA Security Meetup – Security Requirements Management 101 by Daniel Schwarz ...SBA Security Meetup – Security Requirements Management 101 by Daniel Schwarz ...
SBA Security Meetup – Security Requirements Management 101 by Daniel Schwarz ...
 
SBA Security Meetup: Building a Secure Architecture – A Deep-Dive into Securi...
SBA Security Meetup: Building a Secure Architecture – A Deep-Dive into Securi...SBA Security Meetup: Building a Secure Architecture – A Deep-Dive into Securi...
SBA Security Meetup: Building a Secure Architecture – A Deep-Dive into Securi...
 
SBA Security Meetup: I want to break free - The attacker inside a Container
SBA Security Meetup: I want to break free - The attacker inside a ContainerSBA Security Meetup: I want to break free - The attacker inside a Container
SBA Security Meetup: I want to break free - The attacker inside a Container
 
"Rund um die ISO27001 Zertifizierung – Nähkästchentalk" by Thomas Kopeinig
"Rund um die ISO27001 Zertifizierung – Nähkästchentalk" by Thomas Kopeinig"Rund um die ISO27001 Zertifizierung – Nähkästchentalk" by Thomas Kopeinig
"Rund um die ISO27001 Zertifizierung – Nähkästchentalk" by Thomas Kopeinig
 
Secure development on Kubernetes by Andreas Falk
Secure development on Kubernetes by Andreas FalkSecure development on Kubernetes by Andreas Falk
Secure development on Kubernetes by Andreas Falk
 
SBA Live Academy, Rechtliche Risiken mit externen Mitarbeitern
SBA Live Academy, Rechtliche Risiken mit externen MitarbeiternSBA Live Academy, Rechtliche Risiken mit externen Mitarbeitern
SBA Live Academy, Rechtliche Risiken mit externen Mitarbeitern
 
SBA Live Academy, What the heck is secure computing
SBA Live Academy, What the heck is secure computingSBA Live Academy, What the heck is secure computing
SBA Live Academy, What the heck is secure computing
 
Tools & techniques, building a dev secops culture at mozilla sba live a...
Tools & techniques, building a dev secops culture at mozilla   sba live a...Tools & techniques, building a dev secops culture at mozilla   sba live a...
Tools & techniques, building a dev secops culture at mozilla sba live a...
 
HydRand: Efficient Continuous Distributed Randomness. IEEE S&P 2020 by Philip...
HydRand: Efficient Continuous Distributed Randomness. IEEE S&P 2020 by Philip...HydRand: Efficient Continuous Distributed Randomness. IEEE S&P 2020 by Philip...
HydRand: Efficient Continuous Distributed Randomness. IEEE S&P 2020 by Philip...
 
SBA Live Academy - Secure Containers for Developer by Mathias Tausig
SBA Live Academy - Secure Containers for Developer by Mathias TausigSBA Live Academy - Secure Containers for Developer by Mathias Tausig
SBA Live Academy - Secure Containers for Developer by Mathias Tausig
 
SBA Live Academy - After the overflow: self-defense techniques (Linux Kernel)...
SBA Live Academy - After the overflow: self-defense techniques (Linux Kernel)...SBA Live Academy - After the overflow: self-defense techniques (Linux Kernel)...
SBA Live Academy - After the overflow: self-defense techniques (Linux Kernel)...
 
SBA Live Academy - Passwords: Policy and Storage with NIST SP800-63b by Jim M...
SBA Live Academy - Passwords: Policy and Storage with NIST SP800-63b by Jim M...SBA Live Academy - Passwords: Policy and Storage with NIST SP800-63b by Jim M...
SBA Live Academy - Passwords: Policy and Storage with NIST SP800-63b by Jim M...
 
SBA Live Academy - Threat Modeling 101 – eine kurze aber praxisnahe Einführun...
SBA Live Academy - Threat Modeling 101 – eine kurze aber praxisnahe Einführun...SBA Live Academy - Threat Modeling 101 – eine kurze aber praxisnahe Einführun...
SBA Live Academy - Threat Modeling 101 – eine kurze aber praxisnahe Einführun...
 
SBA Live Academy - Angriffe gegen das Stromnetz – Wenn der Strom nicht mehr a...
SBA Live Academy - Angriffe gegen das Stromnetz – Wenn der Strom nicht mehr a...SBA Live Academy - Angriffe gegen das Stromnetz – Wenn der Strom nicht mehr a...
SBA Live Academy - Angriffe gegen das Stromnetz – Wenn der Strom nicht mehr a...
 
SBA Live Academy - Physical Attacks against (I)IoT-Devices, Embedded Devices,...
SBA Live Academy - Physical Attacks against (I)IoT-Devices, Embedded Devices,...SBA Live Academy - Physical Attacks against (I)IoT-Devices, Embedded Devices,...
SBA Live Academy - Physical Attacks against (I)IoT-Devices, Embedded Devices,...
 
SBA Live Academy: Cyber Resilience - Failure is not an option by Simon Tjoa
SBA Live Academy: Cyber Resilience - Failure is not an option by Simon TjoaSBA Live Academy: Cyber Resilience - Failure is not an option by Simon Tjoa
SBA Live Academy: Cyber Resilience - Failure is not an option by Simon Tjoa
 
SBA Live Academy: A Primer in Single Page Application Security by Thomas Konrad
SBA Live Academy: A Primer in Single Page Application Security by Thomas KonradSBA Live Academy: A Primer in Single Page Application Security by Thomas Konrad
SBA Live Academy: A Primer in Single Page Application Security by Thomas Konrad
 
SBA Live Academy: Software Security – Towards a Mature Lifecycle and DevSecOp...
SBA Live Academy: Software Security – Towards a Mature Lifecycle and DevSecOp...SBA Live Academy: Software Security – Towards a Mature Lifecycle and DevSecOp...
SBA Live Academy: Software Security – Towards a Mature Lifecycle and DevSecOp...
 

SBA Live Academy - Remote Access – Top Security Challenges, Part 1 - Günther Roat, Philipp Reisinger

  • 1. Classification: Public 1 Willkommen zur SBA Live Academy #bleibdaheim # remotelearning Heute: Remote Access – Top Security Challenges – Teil 1 by Günther Roat, Philipp Reisinger This talk will be recorded as soon as the presentation starts! Please be sure to turn off your video in your control panel.
  • 2. Classification: Public 2 Professional Services Penetration Testing Architecture Reviews Security Audit Security Trainings Incident Response Readiness ISMS & ISO 27001 Consulting Forschung & Beratung unter einem Dach Applied Research Industrial Security | IIoT Security | Mathematics for Security Research | Machine Learning | Blockchain | Network Security | Sustainable Software Systems | Usable Security SBA Research Wissenstransfer SBA Live Academy | sec4dev | Trainings | Events | Lehre | sbaPRIME Kontaktieren Sie uns: anfragen@sba-research.org
  • 3. Classification: Public 3 #bleibdaheim #remotelearning Willkommen zur SBA Live Academy!  3 x pro Woche (Di - Do)  13:00 – 13:30 Uhr  20-minütiger Live-Talk  Ausgiebige Q&A Session  Kostenfrei  Programm: https://www.sba- research.org/sba-live-academy/ Treten Sie unserer MeetUp Gruppe bei! https://www.meetup.com/Security-Meetup-by-SBA-Research/
  • 4. Classification: Public 4 #bleibdaheim #remotelearning Willkommen zur SBA Live Academy! Impulse setzen Interessantes vermitteln Erfahrungsaustausch Tiefgehende Schulung
  • 5. Classification: Public 5 SBA Live Academy – Kickoff Boost your InfoSec knowledge SBA Research gGmbH, 2020
  • 6. Classification: Public 6 Remote Access – Top Security Challenges Part I: Typische Auditfindings im Bereich People & Processes Part II: Typische Auditfindings im Bereich Technology 02.04.2020, 13.00 Uhr SBA Research gGmbH, 2020
  • 7. Classification: Public 7 Vorwort Audits als Werkzeug der kontinuierlichen Verbesserung SBA Research gGmbH, 2020 • Die Auditfeststellungen sollen keine überhebliche Top Down Predigt von Auditoren im Elfenbeinturm sein! • Viele SBA Prüfer kommen selbst aus der operativen IT, SW Entwicklung und müssen sich auch intern mit Informationssicherheitsanforderungen „herumschlagen“. • Informationssicherheit muss langfristig gedacht werden und sich stätig weiterentwickeln (KVP). -> Blick von Extern hilft oft Blind Spots und aufzudecken.
  • 8. Classification: Public 8 People – Processes – Technology Die drei Säulen der Informationssicherheit SBA Research gGmbH, 2020 „Wenn Sie glauben, Technologie könne Ihre Sicherheitsprobleme lösen, dann verstehen Sie die Probleme nicht und Sie verstehen die Technologie nicht.“ – Bruce Schneier, Vorwort von Secrets and Lies, 2000 “Security is not a product. It‘s a process.” – Bruce Schneier
  • 9. Classification: Public 9 People – Processes – Technology Drei Säulen der Informationssicherheit SBA Research gGmbH, 2020 People ProcessesTechnology
  • 10. Classification: Public 10 People – Processes – Technology Typische Auditfindings SBA Research gGmbH, 2020 People ProcessesTechnology
  • 11. Classification: Public 11 People Typische Auditfindings I Zwei Themengebiete sind sei jeher unter den Top Feststellungen: • Keine/wenige unternehmensweiten Richtlinien zum Thema. o z.B. Nutzung privates Equipment erlaubt/verboten/wofür zulässig? o Unstrukturiertes „Ausnahmenmanagement“. • Mangelnde Schulung der Mitarbeiter. o z.B. Sicherer Verwendung von zulässigen Remote Access Tools & Gefahren. SBA Research gGmbH, 2020
  • 12. Classification: Public 12 People Typische Auditfindings II Information Governance • Oftmals „totes Papier“ – sofern überhaupt vorhanden. o Verantwortung der InfoSec Teams ist nicht nur Vorgaben zu definieren, sondern auch bei deren Umsetzung zu unterstützen und zu beraten! • Informationsklassifikation & Verarbeitungsregelungen o Was darf von welchen Geräten aus verarbeitet und wo gespeichert werden? o Nur kleinem Kreis der „InfoSec Wissenden & Auditoren“ bekannt. • Sync von Firmenmails auf mangelhaft verwaltete Smartphones. o Selten über IMAP, aber oft über Active Sync mit schwachen Sicherheitseinstellungen (z.B. kein PIN Enforcement). SBA Research gGmbH, 2020
  • 13. Classification: Public 13 People Typische Auditfindings III • Verstärkte Gefahr Social Engineering nicht angemessen adressiert. o Phishing: Mitarbeiter Awareness mit regelm. Infomails aufrechterhalten – hier mehr denn je zeitnah informieren. o CEO Fraud: Sind Verifizierungs-Prozesse auch im Telearbeitsworkflow sichergestellt? – Erreichbarkeit der Beteiligten? o Incident Response Prozesse stehen vor Herausforderungen bei flächendeckender Telearbeit (wie wird Client isoliert etc.). • Thema Media Disposal @ Home nicht geregelt (PII im Papiermüll). SBA Research gGmbH, 2020
  • 14. Classification: Public 14 People Typische Auditfindings IV • Benutzerfreundlichkeit der Lösung nicht berücksichtigt, wodurch sie mittels „alternative Kanäle“ umgangen wird. o Timeouts (VPN, RDP, etc.) gehen an Arbeitspraxis vorbei. o Performance der Firmengeräte im Home Office nicht ausreichend. o Installation von privaten Druckern auf Firmengeräten möglich? (sonst Umgehung mittels USB Stick und privater Email) • Nutzung nicht autorisierter Fernwartungssoftware (e.g. TeamViewer, VNC, LogMeIn etc.). o z.B: Dev und R&D (keine Schuldzuweisung) SBA Research gGmbH, 2020
  • 15. Classification: Public 15 People – Processes – Technology Typische Auditfindings SBA Research gGmbH, 2020 People ProcessesTechnology
  • 16. Classification: Public 16 Processes Typische Auditfindings I • Verfügbarkeit & Kapazitätsplanung nicht berücksichtig. o Sind wichtige Komponenten hochverfügbar? (VPN Endpoints, Server Cluster) o QoS/Traffic Shaping -> müssen Mitarbeitergruppen priorisiert werden? o Wartungsfenster aktuell schwer planbar -> Mitarbeiter haben durch Familienpflichten ungewöhnliche Arbeitszeiten. • Kein Monitoring bzw. Alerting bei fehlgeschlagenen Anmeldeversuchen. o Brute Forcing, Password Spraying & Credential Stuffing Angriffe. o Verfügbarkeitssicht - > zu viele Requests durch Brute Forcing -> DoS o User Lockouts durch Sicherheitsmaßnahmen am Perimeter. SBA Research gGmbH, 2020
  • 17. Classification: Public 17 Processes Typische Auditfindings II • Kein strukturierter „Demand Prozess“ & Schatten IT o z.B. dringender Bedarf an neuer Online Meeting Lösung geht an Demand Prozess vorbei (zu langsam) -> Prozess für Re-Evaluierung nach Überwindung der aktuellen Situation. • Langsames Patch Management bei kritischen Remote Access Schwachstellen o Insb. aktuell: Konflikt Verfügbarkeit vs. Sicherheit. o Spätestens wenn Exploits automatisierbar sind -> patchen! o e.g. Bluekeep & BlueGate, Citrix Gateway, etc. o Angreifer nutzen Krisensituationen um ihre Erfolgschancen zu erhöhen! SBA Research gGmbH, 2020
  • 18. Classification: Public 18 Processes Typische Auditfindings III • Kein Prozess zur zentralen Meldung und Sperrung von externen Zugängen (etwa bei Diebstahl des Notebooks) o Kontaktdaten für Helpdesk auch ohne Firmenclient verfügbar? o Kann ich einzelne Geräte überhaupt aus dem VPN aussperren? • Keine zentrale Sichtbarkeit und Review von Externen mit VPN Zugriff (inkl. Shared Accounts). o Alle zuvor besprochenen Aspekte treffen nun natürlich auch auf Dienstleister im Home Office zu – Risiko kann hier noch höher sein! SBA Research gGmbH, 2020
  • 19. Classification: Public 19 Processes Typische Auditfindings IV • Kein Notfallplan/Alternativen für den Ausfall von Remote Access Services. • Neu: Wie werden defekte Endgeräte gerade serviciert? o Abholung durch Botendienst? o Wie ist die Ansteckungsgefahr durch Notebook Oberflächen einzuschätzen? o Sofort durch neues Gerät tauschen? o Ersatzgerät (vor Ort) für „kritische“ Mitarbeiter/Prozesse? SBA Research gGmbH, 2020
  • 20. Classification: Public 20 Processes Typische Auditfindings V • Wie geht man aktuell mit Endgeräten um die eine Malware Infektion anzeigen? o Wie schon bei Verlust des Clients: Kann ich einzelne Devices überhaupt aus dem VPN aussperren? o Bzw. kann ich einzelne Geräte im VPN so isolieren, dass ich noch IR/Forensics Maßnahmen durchführen kann? (Quarantäne/Remediation Netz). • Daten auf lokalen Geräten im Backupkonzept nicht berücksichtigt bzw. Thema in Schulungen/Richtlinien nicht adressiert. SBA Research gGmbH, 2020
  • 21. Classification: Public 21 People – Processes – Technology Typische Auditfindings SBA Research gGmbH, 2020 People ProcessesTechnology
  • 22. Classification: Public 22 Ausblick: Technology Typische Auditfindings • Keine Zwei Faktor Authentifizierung. • Schlechte Netzwerk Segmentierung im vgl. zu on-Premise. • Nutzung veralteter und unsicherer Protokolle (e.g. PPTP). • Private Geräte im Unternehmens-VPN ohne angm. Security Baseline. o Patch-Status, AV aktiv, Host Firewall aktiv, Festplattenverschlüsselung etc. • Keine Sichtbarkeit & Schutz des Client Internetverkehrs (Split Tunneling). • RDP direkt im Internet / Kein RPD Hardening (e.g. Gateways, NLA, Encryption). • Kein Hardening der VDI Umgebungen (Escaping). • Schlechte TLS Konfig & keine mutual Authentication (Zertifikatprüfung). SBA Research gGmbH, 2020
  • 23. Classification: Public 23 Weiterführende Literatur • SBA Research Security Tipps for Home Office: https://www.sba-research.org/2020/03/19/security-tips-for-home-office/ • ENISA Sicherheit bei Telearbeit: https://www.enisa.europa.eu/tips-for-cybersecurity-when-working-from-home • BSI Standards VPN und Fernzugriff: https://www.bsi.bund.de/DE/Themen/StandardsKriterien/ISi-Reihe/ISi-VPN/vpn_node.html und https://www.bsi.bund.de/DE/Themen/StandardsKriterien/ISi-Reihe/ISi-Fern/fern_node.html • BSI VPN Checklist: https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Internetsicherheit/isi_fern_checklist e_pdf.pdf?__blob=publicationFile&v=1 SBA Research gGmbH, 2020
  • 25. Classification: Public 25 Günther Roat SBA Research gGmbH Floragasse 7, 1040 Vienna groat@sba-research.org SBA Research gGmbH, 2020 Philipp Reisinger SBA Research gGmbH Floragasse 7, 1040 Vienna preisinger@sba-research.org