Das Dokument von Mag. Krzysztof Müller thematisiert die rasante Veränderung von Arbeitsweisen und Technologien in Unternehmen, insbesondere durch den Einfluss von Mobilität, Dezentralisierung und sozialen Netzwerken. Es wird die Notwendigkeit eines flexiblen, selbstverteidigenden Netzwerks zur Vorbeugung gegen Cyberangriffe hervorgehoben, das auf Anomalieerkennung basiert, um unbekannte Bedrohungen zu identifizieren und zu mitigieren. Abschließend betont der Autor die Wichtigkeit von Sicherheitsmaßnahmen und Authentifizierung nach modernen Standards, um den Zugang zum internen Netzwerk zu kontrollieren.

1. Self Defending Network & Security-Prognosen zur Früherkennung von Attacken Mag. Krzysztof Müller CISA, CISSP 8 April 2008

2. Die Art wie wir arbeiten ändert sich sehr rasch Änderungen in der Gesellschaft und in der Wirtschaft stellen sehr hohe Anforderungen an die IT der Zukunft Die Anzahl der Wissensarbeiter (Knowledge Worker) nimmt ständig zu Treiber der Veränderung: Mobilität Dez e nt r a l is i e r u n g Geschwindigkeit Flexibilität Vernetzung Web 2.0, 3.0, … das Gefahrenpotential in der digitalen Welt steigt IT muss flexibel genug für die Zukunft sein: Schnelle Reaktion, schnelles Deployment Absolute Verfügbarkeit Einfachheit der Lösungen

3. Kollaboration in der Wirtschaft nimmt rasant zu! Unsere Mitarbeiter arbeiten oft außerhalb der Firma Externe Mitarbeiter arbeiten innerhalb unserer Firma Anzahl der Projekte mit Beteilung von Externen steigt Anzahl der Kooperationen steigt Immer öfter werden Firmen gekauft und eingegliedert Firmen lagern viele Aktivitäten aus (Outsourcing) Moderne Technik ermöglicht uns zu arbeiten wann und wo wir wollen Es kommen immer neue, mobile Geräte (Notebooks, Pocket PCs, Smartphones) Neue, flexible Zugangswege (VPN, WLAN) werden immer häufiger genutzt

4. Enterprise 2.0 – Neue Wege für Unternehmen im 21. Jahrhundert Hierarchy Friction Bureaucracy Inflexibility IT-driven technology Top down Centralized Teams are in one building Silos and boundaries Need to know Information systems are structured and dictated Taxonomies Overly complex Closed/ proprietary Standards Scheduled Long time-to-market cycles Enterprise 1.0 Flat Organization Ease of Organization Flow Agility Flexibility User-driven technology Bottom up Distributed Teams are global Fuzzy boundaries, open borders Transparency Information systems are emergent Folksonomies Simple Open On Demand Short time-to-market cycles Enterprise 2.0 Enterprise 2.0 beschreibt neue Technologien und eine Geschäftspraxis, die Zusammenarbeit auf Basis von sozialen Netzen ermöglicht. Wandel von “Struktur vor Nutzung” zu “Nutze und erst dann strukturiere”. Unstructured Search Tools Wikis Weblogs Tagging RSS Collaborative Planning Software Social Networking Tools Mashups … Tools

5. Klassische, zentrale IT verschwindet Gute, alte Zeit: ein zentrales und vollkommen abgeschottetes Rechenzentrum 1. Revolution: PCs sind da 2. Revolution: Mobile Computing – Daten verlassen das Unternehmen auf Notebooks und Handys 3. Revolution: Internet und Web 2.0 - immer öfter werden unterschiedliche soziale Netze und Tools von Mitarbeitern genutzt „ Ach wissen Sie, das waren gute Zeiten! Und dann sind diese PCs gekommen ...“ Ein ehemaliger IT-Leiter aus der Zeit der Mainframes

6. Die Grenzen des Firmen-Netzwerkers verschwinden Internes Firmennetz wird immer offener – die Grenzen zur Außenwelt verschwinden Daten verlassen die Firma! Fremde Geräte (auch Geräte der Mitarbeiter nach längerer Zeit der Remote-Arbeit) können infiziert werden oder erfüllen unsere Sicherheitsvorgaben nicht Externe Projektmitarbeiter oder Lieferanten sollen als solche erkannt werden und nur einen begrenzten Zugang zum Netz erhalten Der Zugang zum internen Netz muss mit neuen Methoden geschützt werden Nach dem Wegfall der Perimeter müssen wir wissen, welche Geräte und welche Personen sich an unsere Netze anschließen. Server Farm

7. Self Defending Network – Kontrolle in dem Chaos . Schutz vor infizierten, schlecht gesicherten Geräten - Security-Check der angeschlossenen Geräte Aktualität der Antiviren-Signaturen Richtige Konfiguration und Einstellung. Zugang zum internen Netz erst nach Authentifizierung (entsprechend dem Standard 802.1x) Generelle Authentifizierung Zuordnung der adäquaten Netzwerkberechtigung abhängig von der Rolle des Benutzers.

8. Anomalieerkennung – die nächste Sicherheitstechnologie Anomalieerkennung nutzt heuristisches Verfahren . Damit kann man auch bis jetzt unbekannte Arten von Attacken erkennen – ein großer Vorteil gegenüber den klassischen Pattern- oder Signatur-basierten Systemen. Drei unterschiedliche Arten der Anomalieerkennung werden meistens benutzt: Protokoll Bandbreite Verhalten Basierend auf der Analyse des Netzverkehrs wird ein Bild der „normalen“ Systemaktivität erstellt. Abweichungen von dem „normalen“ Zustand sind ein Zeichen für Attacke oder Missbrauch.

9. Anomalieerkennung ermöglicht die Reaktion auf bis jetzt unbekannte Bedrohungen Proaktive Erkennung von Netzwerk-anomalien Mitigation von Attacken – vor allem Abwehr von (D)DoS Attacken Analyse der Attacken und Verbesserung der Abwehrmechanismen ALARM! Abweichungen zum Normalzustand (Anomalien) erkennen und alarmieren Mitigation (Gegenmaßnahmen ergreifen) Normal-zustand durch lernen ermitteln

10. Vielen Dank! Mag. Krzysztof Müller CISA, CISSP Telekom Austria TA AG Leiter Information Security [email_address] +43 (0)59 059 147040