Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

SBA Live Academy - "BIG BANG!" Highlights & key takeaways of 24 security talks

"BIG BANG!" Highlights & key takeaways of 24 security talks by Stefan Jakoubi & Thomas Konrad

In this talk we will point out highlights and key takeaways of two months SBA Live Academy!

Missed some talks? Watch them on YouTube (https://www.youtube.com/channel/UCGkdNRPzjB2c6RxoMJ5POCg/videos)!

Speaker:
Stefan Jakoubi, SBA Research
Thomas Konrad, SBA Research
Talk language: German

About the Speaker:
*********************
Stefan Jakoubi ist Geschäftsleiter für den Bereich „Professional Services“ bei SBA Research. Er ist seit über 13 Jahren im Großraum der Informationssicherheit tätig und "Sicherheits-Architekt" für Kunden und Forschungspartner. Hierbei liegt sein spezieller Fokus auf dem balancierten Zusammenspiel geschäftlicher Anforderungen und erforderlicher Sicherheitsmaßnahmen, um Entscheidungsträger in der Erfüllung ihrer Sorgfaltspflichten entsprechend zu unterstützen. Am liebsten hält er allerdings Security Awareness Vorträge, um komplexe Themengebiete zielgruppengerecht "zu übersetzen".

Thomas Konrad is Principal Security Consultant at SBA Research and has been part of software security team since 2010. He focuses on secure software development, web application security, penetration testing, secure software design, architecture, and process, and trains software development teams in those areas.

  • Be the first to comment

  • Be the first to like this

SBA Live Academy - "BIG BANG!" Highlights & key takeaways of 24 security talks

  1. 1. 1 Willkommen zur SBA Live Academy #bleibdaheim #remotelearning Heute: Finale! by Stefan Jakoubi & Thomas Konrad This talk will be recorded!
  2. 2. 2 Die Idee SBA Research, © 2020 Wir stecken z‘Haus fest Wir wollen lernen Wir wollen Impulse setzen Wir wollen Erfahrungsaustausch Ein Format, das sich „zwischendurch ausgeht“ Let‘s do it ☺
  3. 3. 3 Die Zahlen • 25 SBA Live Academy Talks innerhalb 9 Wochen • Talks & Slides verfügbar • ~ 800 Minuten Security Content • ~ 900 TeilnehmerInnen SBA Research, © 2020 https://www.sba-research.org/sba-live-academy/
  4. 4. 4 Behind the Scenes SBA Research, © 2020
  5. 5. 5 Das edle Menü für das Gala Dinner SBA Research, © 2020 Remote Security Windows Domain Security Supply Chain Risk Certificates Cloud Security Software Security Incident Response Passwords Datenschutz Software Security Cyber Resilience Web Security Lex externe MitarbeiterInnen (I)Iot Security KRITIS Linux Kernel Sec COVID19 Simulationen OWASP SAMM Lex Crypto Linux Containers Secure Computing
  6. 6. 6 1 Talk – 1 Minute SBA Research, © 2020
  7. 7. 7 SBA Live Academy Thema 1+2/25 Remote Access – Top Security Challenges – Teil 1&2 Günther Roat, Philipp Reisinger (SBA) SBA Research gGmbH, 2020
  8. 8. 8 Take-Aways • Top Remote Security Challenges – Teil 1 o Mangelhafte (Umsetzung der) Regelwerke o Security vs. Usability o Fehlende Schulungen o Erhöhte Gefahr von Social Engineering o Mangelhafte Information (Data) Governance o Sync von Daten auf mangelhaften Endgeräten SBA Research, © 2020
  9. 9. 9 Take-Aways • Top Security Challenges – Teil 2 o Mangelhafte 2FA Durchdringung o Mangelhafte Netzwerksegmentierung o Admin-Interfaces aus Internet erreichbar o Nutzung alter (unsicherer) Protokolle o Mangelnde 3rd Party Security (Dienstleister) o Mangelhafte (Remote-) Notfallpläne SBA Research, © 2020
  10. 10. 10 Take-Aways • Herausforderungen o Sichtbarkeit (breite Datenlage fehlt oftmals) o Risiko vs. Wirtschaftlichkeit („ZDF“) o Security vs. Usability (v.a. wenn‘s schnell gehen muss) SBA Research, © 2020
  11. 11. 11 Take-Aways SBA Research, © 2020
  12. 12. 12 SBA Live Academy Thema 3/25 Angriffe auf Windows-Domains und Delegation Reinhard Kugler (SBA) SBA Research gGmbH, 2020
  13. 13. 13 Take-Aways • Active-Directory-Forest ist äußerst komplex • Viele alte Attacken funktionieren oft nicht mehr • Neue Ansätze o Kerberos-Tickets o Delegation o Forest Trust SBA Research, © 2020
  14. 14. 14
  15. 15. 15 Take-Aways • Constrained Delegation ignoriert den Service-Typ! • BloodHound ist ein Tool zur automatischen Analyse solcher AD- Angriffsvektoren SBA Research, © 2020
  16. 16. 16 Take-Aways • Was kann ich tun? o Vertrauensbeziehungen ansehen! o Delegation-Attribute prüfen! o Admins in die „Protected Users Security Group“! o Least Privilege! SBA Research, © 2020
  17. 17. 17 SBA Live Academy Thema 4/25 Und, wir geht‘s Ihrer Supply-Chain heute so? Stefan Jakoubi (SBA) SBA Research gGmbH, 2020
  18. 18. 18 Mein Risiko? Ist “Supply-Chain-Cyber-Risiko” Teil meiner Risikoanalyse? SBA Research, © 2020 ??? %
  19. 19. 19 Take-Aways • Unterbeleuchtete Thematik • Ökosystem des Unternehmens verstehen • Business Impact verstehen zur Priorisierung • Datenfluss „heikler“ Informationen folgen SBA Research, © 2020
  20. 20. 20 SBA Live Academy Thema 5/25 CRLite – Revocation for X.509 certificates in the browser – this time for real? Mathias Tausig (SBA) SBA Research gGmbH, 2020
  21. 21. 21 Take-Aways • Revocation in der Web-PKI ist kaputt o Zählt zu den kompliziertesten Prozessen einer CA o Aktuell großteils nicht funktionsfähig und verwendet o Großer Aufwand für vergleichsweise kleinen Nutzen • Versuche o CRLs o OCSP o OCSP Stapling o OCSP Must-staple SBA Research, © 2020
  22. 22. 22 Take-Aways • CRLite o Liste aller Revocations o Speicherung: Cascading Bloom Filter o Probabilistisch (a.k.a. „Objekt nicht im Filter“ oder „Objekt wahrscheinlich im Filter“) o Aktiviert in Firefox Nightly o Akt. Filtergröße: 1.3 MB für 700k Zerts • Diesmal wirklich? Vielleicht! SBA Research, © 2020
  23. 23. 23 SBA Live Academy Thema 6/25 Cloud Security Zertifizierungen und Gütesiegel Günther Roat (SBA) SBA Research gGmbH, 2020
  24. 24. 24 Take-Aways • Shared Responsibility • Verantwortungsgrenzen kennen • Auslagerung in eine (zertifizierte) Cloud transferiert nicht die Risikoverantwortung SBA Research, © 2020 Verantwortung SaaS PaaS IaaS Information & Data Accounts & Identities Directories & Authentication Applikationen Operating System Netzwerksicherheit Physische Hosts & Datacenter KundeKunde CSPCSP
  25. 25. 25 Take-Aways • Strukturiert die Verantwortungsgrenzen herausarbeiten und klarstellen, bspw. via ISO • ISO27017 als Ergänzung zu ISO27001 o Type1 Control: getrennt für Service Provider & Customer. o Type 2 Control: gilt für beide Rollen gleichermaßen. CSP and Customer should agree upon the procedure to respond to digital evidence requests etc. (SLA-Thema) • ISO27018 als Ergänzung zu ISO27001/17 für PII SBA Research, © 2020
  26. 26. 26 SBA Live Academy-Thema 7/22 The Future of Software Security – Towards a Mature Lifecycle and DevSecOps Thomas Konrad SBA Research gGmbH, 2020
  27. 27. 27 Take-Aways SBA Research, © 2020 D.h. du willst mehr Kohle? Nein. Ich will die limitierten Ressourcen effizienter nutzen.
  28. 28. 28 Take-Aways • Steps towards DevSecOps o #1: Start with simplification. o #2: Push existing pockets of success. o #3: Offer self-service security tools. o #4: Work with both empowerment and accountability. o #5: Create and promote a culture of continuous learning. SBA Research gGmbH, 2019
  29. 29. 29 SBA Live Academy Thema 8/25 I know what they did last Summer… Andreas Tomek (KPMG) SBA Research gGmbH, 2020
  30. 30. 30 Take-Aways • Planung ist alles o In der Stress-Situation ist vieles zu spät o Wird vor allem teurer (Durchlaufzeit, Tagsätze,…) • Interne Kommunikation ist essentiell o Teure IR sind eingekauft worden, obwohl auf der anderen Seite der Welt nur ein Pentest war • Bei einem (großen) Incident ist Truppenstärke wichtig • Planspiele auch in „Stress-Situationen“ durchführen o Nicht nur wenn es ruhig ist >> Fehleinschätzungen SBA Research, © 2020
  31. 31. 31 Take-Aways SBA Research, © 2020 Quelle: Cyber Security in Österreich (KPMG, 2020)
  32. 32. 32 SBA Live Academy Thema 9/25 Passwords: Policy and Storage with NIST SP800-63b Jim Manico (Founder of Manicode Security & former board member for the OWASP foundation) SBA Research gGmbH, 2020
  33. 33. 33 Take-Aways • Thema betrifft alle! • Wie eine gute Passwort-Policy aussieht, hat sich stark verändert: NIST SP 800-63b • Passwortspeicherung nicht immer optimal SBA Research, © 2020
  34. 34. 34 Take-Aways • Moderne Passwortrichtlinie o Keine künstliche Beschränkung der Passwortstärke (abgesehen von einer großen Maximallänge)! o Kein Passwort-Ablauf mehr! o Mindestlänge! o Liste häufiger Passwörter prüfen! o Multi-Faktor-Authentifizierung! o Verwendung von Passwortmanagern empfehlen! o ... SBA Research, © 2020
  35. 35. 35 Take-Aways • Passwortspeicherung o Wichtige Faktoren – Eindeutiger Salt – Work-Faktor o bcrypt, scrypt oder Argon2i SBA Research, © 2020
  36. 36. 36 SBA Live Academy Thema 10/25 A Primer in Single Page Application Security (Angular, React, Vue.js) Thomas Konrad (SBA) SBA Research gGmbH, 2020
  37. 37. 37 The DOM Is A Mess: XSS Sinks SBA Research gGmbH, 2020 Imagesource:https://www.youtube.com/watch?v=vYA81UAExKA https://github.com/wisec/domxsswiki/wiki
  38. 38. Classification: Public 38 SPAs, innerHTML and XSS SBA Research gGmbH, 2020 <span [innerHTML]="html"></span><span [innerHTML]="html"></span> Angular sanitizes this! <span dangerouslySetInnerHTML={html}></span><span dangerouslySetInnerHTML={html}></span> Makes you fear! <span v-html="html"></span><span v-html="html"></span> Makes you feel safe! const html = '<img src=x onerror=alert(1)/>';const html = '<img src=x onerror=alert(1)/>';Input: <img src=x />
  39. 39. 39 SBA Live Academy Thema 11/25 Wozu Datenschutzgesetze? Gerald Sendera (SBA) SBA Research gGmbH, 2020
  40. 40. 40 Take-Aways • Durch 300.000 Personen wurde die Erstellung von Profilen von 87.000.000 Personen ermöglicht! SBA Research, © 2020
  41. 41. 41 Take-Aways SBA Research, © 2020
  42. 42. 42 Take-Aways SBA Research, © 2020
  43. 43. 43 Take-Aways SBA Research, © 2020
  44. 44. 44 SBA Live Academy Thema 12/25 Cyber Resilience – Failure is not an option Simon Tjoa (FH St. Pölten) SBA Research gGmbH, 2020
  45. 45. 45 Take-Aways SBA Research, © 2020
  46. 46. 46 Take-Aways • Cyber Security vs. Cyber Resilience o Change in Mindset: „we assume breaches“ o Be prepared for the unexpected SBA Research, © 2020
  47. 47. 47 Take-Aways SBA Research, © 2020
  48. 48. 48 Take-Aways • Resilience vs(?) Artificial Intelligence SBA Research, © 2020
  49. 49. 49 SBA Live Academy Thema 13/25 Using HTTPS by Default: How Web Servers Can Make the Web More Secure Matthew Holt (Full-time open source developer, project lead of the Caddy web server) SBA Research gGmbH, 2020
  50. 50. 50 Take-Aways • Transportverschlüsselung wird überall erwartet • Eine gute TLS-Konfiguration ist schwierig • Webserver sind oft in systemnahen Sprachen geschrieben (Performance vs. Sicherheit) SBA Research, © 2020
  51. 51. 51 Take-Aways • Der Caddy-Webserver o braucht minimal nur einen Domänennamen, o hat eine Top-Standardkonfig inkl. OCSP Stapling, o installiert in Dev-Umgebungen vollautomatisch ein Pro-Host-CA-Zertifikat im Betriebssystem, o und ist in einer memory-safe Programmiersprache geschrieben. SBA Research, © 2020
  52. 52. 52 SBA Live Academy Thema 14/25 Rechtliche Risiken mit externen Mitarbeitern Stefan Eder (Benn-Ibler) SBA Research gGmbH, 2020
  53. 53. 53 Take-Aways SBA Research, © 2020 • Altes Thema – aktuell neue Dimension • Gleiche Sicherheitsrisiken wie im Unternehmen, aber in „unkontrollierter“ Umgebung • Spezialfall Home-Office o Private Infrastruktur, im Haushalt lebende Personen, kein Shredder, physische Sicherheit,… o Wer ist rechtlich wofür verantwortlich?
  54. 54. 54 Take-Aways SBA Research, © 2020
  55. 55. 55 Take-Aways • Sehe Forschungsprojekt für CISOs >> Aufbereitung regulative InfoSec-Anforderungen SBA Research, © 2020
  56. 56. 56 Take-Aways SBA Research, © 2020
  57. 57. 57 SBA Live Academy Thema 15/25 Physical Attacks against (I)IoT-Devices, Embedded Devices, Microcontrollers and System on Chips (SoC) Christian Kudera (SBA) SBA Research gGmbH, 2020
  58. 58. 58 Take-Aways • Thema ist mM Blind Spot in Unternehmen o Security Audits? • Side-Channel-Attacks über Analyse des Stromverbrauchs o Beispiel RSA >> über Stromverbrauch des Chips konnte der Private-Key extrahiert werden SBA Research, © 2020
  59. 59. 59 Take-Aways • Problem des „Test-Security-Bypass“ • Unterschiede in Preis & Qualität bei Herstellern SBA Research, © 2020
  60. 60. 60 Take-Aways • Haben supercoole Instrumente ;-) SBA Research, © 2020
  61. 61. 61 SBA Live Academy Thema 16/25 Threat Modeling 101 – eine kurze aber praxisnahe Einführung Daniel Schwarz (condignum) SBA Research gGmbH, 2020
  62. 62. 62 Take-Aways • Kaum jemand hat einen guten Überblick über technische Bedrohungen, die das eigene Produkt betreffen • Meistens ein Blindflug SBA Research, © 2020
  63. 63. 63 Take-Aways • Bei der Design-Phase ansetzen • Liste mit folgenden Spalten o Bedrohungsszenario / Schwächen / Angriffe o Kritikalität o Maßnahmen • Die drei goldenen Regeln o Just do it! o Starte so früh wie möglich! o Kommunikation ist der Schlüssel! SBA Research, © 2020
  64. 64. 64 SBA Live Academy Thema 17/25 Angriffe gegen das Stromnetz – Wenn der Strom nicht mehr aus der Steckdose kommt Johanna Ullrich (SBA) SBA Research gGmbH, 2020
  65. 65. 65 Take-Aways • Stromnetz ausgelegt auf 50Hz synchronisiert <> europaweites Ausgleichen von Schwankungen • Simulationen/Lastprofile für Prognosen • Laufende Messung der Frequenz o außerhalb Bandbreite >> ausgleichende Gegenmaßnahmen SBA Research, © 2020
  66. 66. 66 Take-Aways • Beispielhaftes Problem: o Schnellste Gegenmaßnahme reagiert in Sekunden (Hochfahren 15 Minuten) o Basieren teilweise auf Rotationsmassen >> Problem bei zB Photovoltarik • Angriff: Massive schnelle Laständerungen im Millisekunden-Bereich zB (I)IoT Botnetz SBA Research, © 2020
  67. 67. 67 Take-Aways • Forschungssimulation o Bitcoin-Mining-Ausfall in Europa könnte zukünftig europaweiten „Stromangriff“ erzeugen • Wunder Punkt komplette Abschaltung (Blackout) o Wiederanlauf herausfordernd >> brauchen zB auch Strom, um wieder zu starten SBA Research, © 2020
  68. 68. 68 Take-Aways SBA Research, © 2020
  69. 69. 69 SBA Live Academy Thema 18/25 After the overflow: self-defense techniques of the Linux Kernel Reinhard Kugler (SBA) SBA Research gGmbH, 2020
  70. 70. 70 Take-Aways • Wir müssen Angriffe erwarten! • Annahme: RCE passiert • Wie können wir den Angriff bremsen? SBA Research, © 2020
  71. 71. 71 Take-Aways • Prozesse haben Capabilities • Diese kann man einschränken o systemd-Konfiguration o # setcap o AppArmor o SELinux o seccomp (systemd, Docker) SBA Research, © 2020
  72. 72. 72 SBA Live Academy Thema 19/25 Die COVID-19 Krise und Simulationsmodelle. Was kann man sagen? Und was nicht? Niki Popper (dwh) SBA Research gGmbH, 2020
  73. 73. 73 Take-Aways • 10+ Jahre an Forschung, um heute „schnell“ Modell ergänzen und tunen zu können • Simulationen zeigen auch mögliche Effekte o Wirksamkeit von Maßnahmen, Ressourcenplanung (Betten),… • Unterschiedliche Methoden o Kausale: Versuch Kausalitäten zu verstehen (modellierbar zu machen), um auch Prognosen zu treffen trotz mangelhafter Datenlage o Herausforderung: Kalibrieren – ~9 Mio Menschen <> Kausalitäten <> Scoping – Bspw. Personen sind 2 Wochen ansteckend >> in Wahrheit aber nicht wirklich, weil sie ja dann zu Hause bleiben oder im Krankenhaus sind >> muss in Modellierung berücksichtigt werden SBA Research, © 2020
  74. 74. 74 Take-Aways • Sofort der Gedanke gekommen, Forschungsprojekt anzugehen: Angriffs-Auswirkungen & Maßnahmen-Effekte SBA Research, © 2020
  75. 75. 75 Take-Aways SBA Research, © 2020
  76. 76. 76 SBA Live Academy Thema 20/25 OWASP SAMM 2.0: Your Dynamic Software Security Journey Sebastien Deleersnyder (OWASP SAMM co leader, Toreon) SBA Research gGmbH, 2020
  77. 77. 77 Take-Aways Softwaresicherheit wird immer noch als das Einbauen von Sicherheitsfeatures gesehen, und nicht als das Einbauen von Sicherheit in die Art und Weise, wie wir Software bauen. SBA Research, © 2020
  78. 78. 78 Take-Aways SBA Research, © 2020
  79. 79. 79 SBA Live Academy Thema 21/25 Kryptographie auf rechtlichem Prüfstand Lukas Feiler (Baker & McKenzie) SBA Research gGmbH, 2020
  80. 80. 80 Take-Aways • Verschlüsselt heißt nicht automatisch anonym o Möglicherweise trotzdem von GDPR erfasst, weil Begriff sehr weit gefasst ist! („wenn irgendwie die Möglichkeit besteht…“) o Schlüssel wegwerfen oder „salted“ Hash ergibt tatsächliche anonymisierte Daten • Pflicht zu Verschlüsselung? o Abgesehen von regulierten Bereichen >> es kommt darauf an: Art. 32 „angemessene Maßnahmen“ SBA Research, © 2020
  81. 81. 81 Take-Aways • Elektronische Signatur o Es geht um Beweiskraft o Ja, auch mit internem Zertifikat signiert ist hinreichend o Via „qualifiziertem Vertrauensdienstleister“ ist „noch qualifizierter“ und für klar definierte Anwendungsfälle zwingend erforderlich o Qualifizierte elektronische Signatur ist rechtlich gleichwertig zu „analoger“ Unterschrift o Unbeschränkte (!) Haftung von Certificate Authorities (Beispiel DigiNotar) SBA Research, © 2020
  82. 82. 82 SBA Live Academy Thema 22/25 Linux Containers Mathias Tausig (SBA) SBA Research gGmbH, 2020
  83. 83. 83 Take-Aways • Containers have a long history • Containers are more lightweight than VMs, but have worse isolation • System Container (LXC) vs. Aplication Container (Docker) • Privileged vs. Unprivileged Container SBA Research, © 2020
  84. 84. 84 Take-Aways • Linux Containers: LXC o Userspace-Interface für Kernel-Containment- Features (Namespaces, cgroups) o LXD ist ein gut benutzbares LXC-Interface SBA Research, © 2020
  85. 85. 85 Take-Aways • LXC-Container für EntwicklerInnen o Isoliertes Ausführen von Applikationen o Entwicklungsumgebungen mit separaten Dependencies o Testumgebungen SBA Research, © 2020
  86. 86. 86 SBA Live Academy Thema 23/25 Tools & Techniques from building a DevSecOps culture at Mozilla Julien Vehent (Mozilla) SBA Research gGmbH, 2020
  87. 87. 87 Take-Aways To go beyond the security team, get the security team closer to your organization
  88. 88. 88 Take-Aways Clear Expectations  Checklist  Self Assessment  Profit
  89. 89. 89 Take-Aways
  90. 90. 90 Take-Aways
  91. 91. 91 Take-Aways
  92. 92. 92 Take-Aways
  93. 93. 93 SBA Live Academy Thema 24/25 What the heck is secure computing? Matthias Gusenbauer (SBA) SBA Research gGmbH, 2020
  94. 94. 94 Take-Aways • Kontext: Berechnungen auf verschlüsselten Daten durchführen • Talk-Fokus: Multi-party Computation (MPC) SBA Research, © 2020
  95. 95. 95 Take-Aways • … SBA Research, © 2020
  96. 96. 96 Take-Aways • Use-Cases o Machine Learning o Berechnung des Kredit-Scores o Statistische Analysen auf medizinischen Daten • Key Take-Aways o Secure Computation ist möglich (MPC) o MPC ersetzt „Trusted third parties“ o MPC kann neue Geschäftsmodelle erschließen und Sicherheit und Privatsphäre verbessern SBA Research, © 2020
  97. 97. 97 SBA Live Academy Thema 25/25 SBA Live Academy Highlights Stefan Jakoubi & Thomas Konrad (SBA) SBA Research gGmbH, 2020
  98. 98. 98SBA Research, © 2020
  99. 99. 99 Stefan Jakoubi SBA Research gGmbH Floragasse 7, 1040 Wien +43 660 5 10 20 40 sjakoubi@sba-research.org SBA Research gGmbH, 2020 Thomas Konrad SBA Research gGmbH Floragasse 7, 1040 Wien +43 664 889 272 17 tkonrad@sba-research.org
  100. 100. 100 Professional Services Penetration Testing Architecture Reviews Security Audit Security Trainings Incident Response Readiness ISMS & ISO 27001 Consulting Forschung & Beratung unter einem Dach Applied Research Industrial Security | IIoT Security | Mathematics for Security Research | Machine Learning | Blockchain | Network Security | Sustainable Software Systems | Usable Security SBA Research Wissenstransfer SBA Live Academy | sec4dev | Trainings | Events | Lehre | sbaPRIME Kontaktieren Sie uns: anfragen@sba-research.org
  101. 101. 101 Weitermachen mit dem Security Meetup by SBA Research #keeplearning https://www.meetup.com/Security-Meetup-by-SBA-Research/
  102. 102. 102 #bleibdaheim #remotelearning Coming up - Security Meetup by SBA 10.06.2020, 18.00 Uhr, live: "Secure development on Kubernetes” by Andreas Falk (Novatec Consulting) Language: English Treten Sie unserer Meetup Gruppe bei! https://www.meetup.com/Security-Meetup-by-SBA- Research/
  103. 103. 103 SBA Live Academy-Afterparty!SBA Live Academy-Afterparty!

×