• Save
Datensicherheit in Unternehmen - Mythos und Realität
 

Datensicherheit in Unternehmen - Mythos und Realität

on

  • 405 views

Keynote bei der WKO Gmunden mit Microsoft & ACP

Keynote bei der WKO Gmunden mit Microsoft & ACP

Statistics

Views

Total Views
405
Views on SlideShare
398
Embed Views
7

Actions

Likes
0
Downloads
10
Comments
0

2 Embeds 7

http://www.sba-research.org 4
http://www.slideee.com 3

Accessibility

Upload Details

Uploaded via as Adobe PDF

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

Datensicherheit in Unternehmen - Mythos und Realität Presentation Transcript

  • 1. Datensicherheit in Unternehmen Mythos und Realität
  • 2. Basic Facts • Gegründet 2006 • Größtes Forschungszentrum für Informationssicherheit und einer der größten Security Dienstleister am österr. Markt • Forschungs-, Audit, Beratungs-, Implementierungs- & Betriebs- Know How unter einem Dach • Über 100 Köpfe und circa 70+ FTEs im Dienstverhältnis • Management – Edgar Weippl – Forschung & Lehre – Andreas Tomek – Professional Services & Business Development – Markus Klemen – Fokus General Management & Secure Software • Wissenschaftliche Partner: TU Wien, TU Graz, Universität Wien, WU Wien, FH St. Pölten, AIT • 5 laufende EU Projekte, 16 nationale Forschungsprojekte • Diverse ISO 27001 Zertifizierungsbegleitungen
  • 3. Handlungsfelder & Werte SBA • Forschung – Lehre an FHs & Universitäten national & international – Sicherheitsforschung & Prototypen • Kompetenz – Expertenpool für Informationssicherheit – Innovative Ansätze wie Security & Insurance mit AON – Schulungen, Prof. & Trusted Services, Produktumsetzungen aus der Forschung & Praxis • Verantwortung – Gemeinnützigkeit & Studien – Bereitstellung von Wissen – Plattform für Security (Veranstaltungen, ISC2, IEEE, ACM, …)
  • 4. Empirical Research • Dropbox Martin Mulazzani, Sebastian Schrittwieser, Manuel Leithner, Markus Huber, and Edgar R. Weippl. Dark clouds on the horizon: Using cloud storage as attack vector and online slack space. USENIX Security, 8/2011. • WhatsApp Sebastian Schrittwieser, Peter Fruehwirt, Peter Kieseberg, Manuel Leithner, Martin Mulazzani, Markus Huber, and Edgar R. Weippl. Guess who is texting you? evaluating the security of smartphone messaging applications. In Network and Distributed System Security Symposium (NDSS 2012), 2 2012. • Facebook Markus Huber, Sebastian Schrittwieser, Martin Mulazzani, and Edgar Weippl. Appinspect: Large- scale evaluation of social networking apps. In ACM Conference on Online Social Networks (COSN 2013), 2013. • Amazon Amir Herzberg and Haya Shulman and Johanna Ullrich and Edgar R. Weippl, Cloudoscopy: Services Discovery and Topology Mapping, in Proceedings of the ACM Cloud Computing Security Workshop (CCSW) at ACM CCS 2013, 2013.
  • 5. Portfolio Überblick Security Governance Business Impact & Risiko Analyse IT/IS Audit ISO 27001 GAP Analyse ISO 27001 / ISMS Begleitung Security Awareness Security Testing & Guidance Penetration Testing SDLC Beratung Source Code Analyse – A7700 Microsoft Security Security Architecture Review Trusted Services Vulnerability Management APT Protection/Response & Lastline Control Review & IS ControlPoint Source Code Review & Checkmarx Training | Schulung | Coaching | Vorträge Corporate Information Protection
  • 6. XP Security in the news • AVAST: Windows XP 6 Times More Likely to Get Hacked than Windows 7 • “Our telemetry data shows that XP users are 6 times more likely to get attacked than Windows 7 users and once Microsoft stops issuing patches, this can worsen,”
  • 7. Reality
  • 8. Infections
  • 9. In the news January 10, 2014
  • 10. Einordnung einiger „Verursacher“ Viren, Trojaner, Schadsoftware, Bot-Netze, „Script Kiddies“ Anonymous, Betriebsspionage, Sabotage, Social Engineering, Denial of Service NSA Affäre, Stuxnet & Co, China Unwissende MA, Fahrlässige MA, Verlust, „Drive-By“, Schadsoftware „Vergraulte“ MA, Unberechtigte Nutzung, Diebstahl, Betriebsspionage, Sabotage Standort- & branchenabhängig Ungerichtet Gerichtet Staatlich motiviert ExternIntern
  • 11. Attacker Corporate Client Firewall Firewall Evil Webserver CLIENT ACCESSESMAILICIOUS WEBSITE OR WATERHOLING DRIVE-BY DOWNLOAD ATTACKER PREPARES MALWARE Mail ServerFirewall Firewall PHISHING ATTACK MALICIOUS MAIL CLIENT RECEIVES ATTACHMENT OR LINK Published ServiceFirewall Internal Server Firewall DIRECT ATTACK VULNERABLE SERVICE LATERAL MOVEMENT Angriffsvektoren PHYSICAL ACCESSTABLET OTHER PERSONNEL SMARTPHONE CLIENT ATTACHES PRINTER USB CAMERA USB STICK PRIVATE SMARTPHONE
  • 12. Schwachstellen aufspüren (Fingerprinting) • Shodan – „Google für Hacker“ – Suchmaschine mit deren Hilfe verwundbare Systeme im Internet aufgespürt werden können – Erlaubt die gezielte Suche nach Systemen (z.B. Windows), Applikationen (Webserver) und Ländern
  • 13. Verwundbare WebCams
  • 14. Cyber-Risks Security Reports Quelle: IBM X-Force 2013 Mid-Year Trend and Risk Report
  • 15. Schwachstellen ausnützen (Exploitation) • Metasploit – Penetration Testing Framework – Tool-Sammlung für Penetration Tester, die das ausnützen von Schwachstellen stark vereinfacht • Starke Community • Regelmäßig neue Exploits für aktuelle Schwachstellen verfügbar – Exploit = stark vereinfacht: ein Programm das eine bestimmte Schwachstelle ausnützt • Starke Weiterentwicklung des Produktes seit der Kommerzialisierung durch Rapid7 / Symantec
  • 16. Advanced Attacks • Custom Malware – Malware, welche für einen bestimmten Zweck geschrieben wurde und gezielt eingesetzt wird – Custom Malware wird häufig für zielgerichtete Attacken verwendet • Targeted Attacks – Zielgerichtete Attacken auf Unternehmen • Mitarbeiter • IT Systeme • Standorte – Typischerweise mit dem Ziel eines langfristigen Zugriffes auf Informationen
  • 17. Targeted Attacks • „Langfristiger Zugriff“ in Zahlen: Quelle: Mandiant M-Trends Report 2013/2014 sowie Cassidian Cyber Security (CCS)
  • 18. Advanced Phishing Mail
  • 19. Advanced Phishing Mail
  • 20. What about Anti-Virus? Native: Crypted:
  • 21. Dynamic Malware Analysis
  • 22. Usernamen und Gruppen (anonym) aus dem Active Directory auslesbar Zu viele Domain Admins v.a. Service Accounts mit Trivialpasswörtern Keine/Schlechte Passwörter und Passwort Policies sowie Protokollierung Rückwärtskompatible/Default Passworthashes und Sicherheitsoptionen Services unter „Local System“ bzw. hohen Rechten (v.a. Datenbanken) Top 10 Lücken bei technischen Audits
  • 23. Unverschlüsselte Speicherung sensibler Daten (Passworthashes, Private Keys, Personen und Kreditkartendaten, usw.) Patch Management aller Systeme, Server & Applikationen Vertrauen in bewährte Netzwerkbasisdienste (DNS, DHCP, ARP) Ungeschützte (eigenentwickelte) Webapplikationen und Services Schlechte Firewall Regeln (Proxy, usw.) & Netzwerk Segmentierung Top 10 Lücken bei technischen Audits
  • 24. Fehlende Security Awareness bei Top Management, User und auch Administratoren Kein SW & HW Inventory, keine gesicherten Konfigurationen, Change-Management & Prozesse fehlerbehaftet Fehlende Verantwortlichkeiten für Systeme und Applikationen Fehlendes oder unvollständiges Security Management Schlechter Security Ausbildungsstand bei den Technikern um Systeme adäquat schützen zu können Top 5 Lücken bei org. Audits
  • 25. Schutzmaßnahmen
  • 26. • Alle Managementprozesse sind definiert, dokumentiert, gesteuert, nachvollziehbar und kontrolliert (Reifegrad 3+) • Alle Managementprozesse sind aufeinander abgestimmt • Nachweisbares internes Kontrollsystem sowie etablierter kontinuierlicher Verbesserungsprozess • Security Education, Awareness & Training (SEAT) Konzept • Regelmäßige interne & externe Qualitätssicherung – Audit Konzept Stufe 3: Informationssicherheitsmanagementsystem (ISMS) • Sicherheitspolitik & Strategie • Etablierte Informationssicherheits-Organisation • Wesentliche Managementprozesse sind definiert, dokumentiert und umgesetzt (Reifegrad 2+) • Risikoorientierte Vorgehensweise = Wissen über den Schutzbedarf wertschöpfender Prozesse sowie eine differenzierte Vorgehensweisen je Schutzbedarf • Punktuelle Security Awareness • Regelmäßige interne & anlassbezogen externe Qualitätssicherung Stufe 2: Sicherheitsmanagement • Keine unmittelbare Gefährdung wertschöpfender Unternehmensprozesse • Beseitigen von Schwachstellen, die leicht von einem Angreifer ausgenutzt werden können • Operative Tätigkeiten erfüllen ihren Zweck (Reifegrad 1+) Stufe 1: Sicherheitsbasis Wie viel Sicherheit ist genug? 3-Stufen Konzept
  • 27. Wie viel Sicherheit ist genug? 3-Stufen Konzept • Alle Managementprozesse sind definiert, dokumentiert, gesteuert, nachvollziehbar und kontrolliert (Reifegrad 3+) • Alle Managementprozesse sind aufeinander abgestimmt • Nachweisbares internes Kontrollsystem sowie etablierter kontinuierlicher Verbesserungsprozess • Security Education, Awareness & Training (SEAT) Konzept • Regelmäßige interne & externe Qualitätssicherung – Audit Konzept Stufe 3: Informationssicherheitsmanagementsystem (ISMS) • Sicherheitspolitik & Strategie • Etablierte Informationssicherheits-Organisation • Wesentliche Managementprozesse sind definiert, dokumentiert und umgesetzt (Reifegrad 2+) • Risikoorientierte Vorgehensweise = Wissen über den Schutzbedarf wertschöpfender Prozesse sowie eine differenzierte Vorgehensweisen je Schutzbedarf • Punktuelle Security Awareness • Regelmäßige interne & anlassbezogen externe Qualitätssicherung Stufe 2: Sicherheitsmanagement • Keine unmittelbare Gefährdung wertschöpfender Unternehmensprozesse • Beseitigen von Schwachstellen, die leicht von einem Angreifer ausgenutzt werden können • Operative Tätigkeiten erfüllen ihren Zweck (Reifegrad 1+) Stufe 1: Sicherheitsbasis Ungerichtete Angriffe & Fehlverhalten Gerichtete Angriffe & Beherrschung Komplexität Große Angriffsfläche von Außen „Lohnende Beute“ (Geld oder Rufschädigung) für einen Angreifer Starke Abhängigkeit der Wertschöpfungskette von IT & Informationen Darüber hinaus… Gesetzliche Anforderungen Kunden Anforderungen & Wettbewerbsfähigkeit Komplexität im Unternehmen (Standorte, MA Anzahl,…)
  • 28. Patch everything – XP is dead! Standardisieren, Zentralisieren, Modernisieren – Cloud als Chance Netzwerke segmentieren und absichern Festplatten verschlüsseln Least Privilege bei Usern 2 Faktor Authentifizierung Dokumente direkt schützen/verschlüsseln Regeln für Ihre Sicherheit
  • 29. SBA Research – Advanced Training • Windows Hacking – Nächster Termin: 03.06.2014 – 05.06.2014 (Termingarantie) • APT & Malware Training – NEU ab Herbst 2014 • Secure Coding – Nächster Termin: In-House auf Anfrage • CISSP – Certification Training – Nächster Termin: 23.06.2014 – 27.06.2014 • CSSLP – Certification Training – Nächster Termin: 05.05.2014 – 09.05.2014
  • 30. Fragen & Diskussion
  • 31. Andreas Tomek SBA Research gGmbH Favoritenstraße 16, 1040 Wien +43 699 115 18 148 atomek@sba-research.org