Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

SBA Live Academy - Remote Access – Top Security Challenges, Part 1 - Günther Roat, Philipp Reisinger

Abstract:

Remote Access – Top Security Challenges

An Hand von typischen Audit-Findings diskutieren wir entlang der „Dreifaltigkeit“ People – Processes – Technology die wichtigsten Sicherheitsaspekte zum Thema Remote Access und Telearbeit.

Speaker:
Günther Roat, SBA Research
Philipp Reisinger, SBA Research
Talk language: German

About the Speaker:
*********************
Günther Roat is consultant and team lead of the Information Security Management team at SBA Research. He is a Microsoft Certified Technology Specialist and received his degree in Business Informatics at the University of Applied Sciences Technikum Vienna. His consulting activities are focused on the organizational aspects of information security.

Philipp Reisinger is consultant in the Information Security Management team. He received his master’s degree in “Information Security” at the St. Pölten University of Applied Sciences and is CISSP and CISA certified. His consulting activities are focused on the organizational aspects of information security such as: Information security management systems (ISMS), ISO27001 gap and business impact analyses, IT/IS audit, Information risk management and Security Awareness

  • Login to see the comments

SBA Live Academy - Remote Access – Top Security Challenges, Part 1 - Günther Roat, Philipp Reisinger

  1. 1. Classification: Public 1 Willkommen zur SBA Live Academy #bleibdaheim # remotelearning Heute: Remote Access – Top Security Challenges – Teil 1 by Günther Roat, Philipp Reisinger This talk will be recorded as soon as the presentation starts! Please be sure to turn off your video in your control panel.
  2. 2. Classification: Public 2 Professional Services Penetration Testing Architecture Reviews Security Audit Security Trainings Incident Response Readiness ISMS & ISO 27001 Consulting Forschung & Beratung unter einem Dach Applied Research Industrial Security | IIoT Security | Mathematics for Security Research | Machine Learning | Blockchain | Network Security | Sustainable Software Systems | Usable Security SBA Research Wissenstransfer SBA Live Academy | sec4dev | Trainings | Events | Lehre | sbaPRIME Kontaktieren Sie uns: anfragen@sba-research.org
  3. 3. Classification: Public 3 #bleibdaheim #remotelearning Willkommen zur SBA Live Academy!  3 x pro Woche (Di - Do)  13:00 – 13:30 Uhr  20-minütiger Live-Talk  Ausgiebige Q&A Session  Kostenfrei  Programm: https://www.sba- research.org/sba-live-academy/ Treten Sie unserer MeetUp Gruppe bei! https://www.meetup.com/Security-Meetup-by-SBA-Research/
  4. 4. Classification: Public 4 #bleibdaheim #remotelearning Willkommen zur SBA Live Academy! Impulse setzen Interessantes vermitteln Erfahrungsaustausch Tiefgehende Schulung
  5. 5. Classification: Public 5 SBA Live Academy – Kickoff Boost your InfoSec knowledge SBA Research gGmbH, 2020
  6. 6. Classification: Public 6 Remote Access – Top Security Challenges Part I: Typische Auditfindings im Bereich People & Processes Part II: Typische Auditfindings im Bereich Technology 02.04.2020, 13.00 Uhr SBA Research gGmbH, 2020
  7. 7. Classification: Public 7 Vorwort Audits als Werkzeug der kontinuierlichen Verbesserung SBA Research gGmbH, 2020 • Die Auditfeststellungen sollen keine überhebliche Top Down Predigt von Auditoren im Elfenbeinturm sein! • Viele SBA Prüfer kommen selbst aus der operativen IT, SW Entwicklung und müssen sich auch intern mit Informationssicherheitsanforderungen „herumschlagen“. • Informationssicherheit muss langfristig gedacht werden und sich stätig weiterentwickeln (KVP). -> Blick von Extern hilft oft Blind Spots und aufzudecken.
  8. 8. Classification: Public 8 People – Processes – Technology Die drei Säulen der Informationssicherheit SBA Research gGmbH, 2020 „Wenn Sie glauben, Technologie könne Ihre Sicherheitsprobleme lösen, dann verstehen Sie die Probleme nicht und Sie verstehen die Technologie nicht.“ – Bruce Schneier, Vorwort von Secrets and Lies, 2000 “Security is not a product. It‘s a process.” – Bruce Schneier
  9. 9. Classification: Public 9 People – Processes – Technology Drei Säulen der Informationssicherheit SBA Research gGmbH, 2020 People ProcessesTechnology
  10. 10. Classification: Public 10 People – Processes – Technology Typische Auditfindings SBA Research gGmbH, 2020 People ProcessesTechnology
  11. 11. Classification: Public 11 People Typische Auditfindings I Zwei Themengebiete sind sei jeher unter den Top Feststellungen: • Keine/wenige unternehmensweiten Richtlinien zum Thema. o z.B. Nutzung privates Equipment erlaubt/verboten/wofür zulässig? o Unstrukturiertes „Ausnahmenmanagement“. • Mangelnde Schulung der Mitarbeiter. o z.B. Sicherer Verwendung von zulässigen Remote Access Tools & Gefahren. SBA Research gGmbH, 2020
  12. 12. Classification: Public 12 People Typische Auditfindings II Information Governance • Oftmals „totes Papier“ – sofern überhaupt vorhanden. o Verantwortung der InfoSec Teams ist nicht nur Vorgaben zu definieren, sondern auch bei deren Umsetzung zu unterstützen und zu beraten! • Informationsklassifikation & Verarbeitungsregelungen o Was darf von welchen Geräten aus verarbeitet und wo gespeichert werden? o Nur kleinem Kreis der „InfoSec Wissenden & Auditoren“ bekannt. • Sync von Firmenmails auf mangelhaft verwaltete Smartphones. o Selten über IMAP, aber oft über Active Sync mit schwachen Sicherheitseinstellungen (z.B. kein PIN Enforcement). SBA Research gGmbH, 2020
  13. 13. Classification: Public 13 People Typische Auditfindings III • Verstärkte Gefahr Social Engineering nicht angemessen adressiert. o Phishing: Mitarbeiter Awareness mit regelm. Infomails aufrechterhalten – hier mehr denn je zeitnah informieren. o CEO Fraud: Sind Verifizierungs-Prozesse auch im Telearbeitsworkflow sichergestellt? – Erreichbarkeit der Beteiligten? o Incident Response Prozesse stehen vor Herausforderungen bei flächendeckender Telearbeit (wie wird Client isoliert etc.). • Thema Media Disposal @ Home nicht geregelt (PII im Papiermüll). SBA Research gGmbH, 2020
  14. 14. Classification: Public 14 People Typische Auditfindings IV • Benutzerfreundlichkeit der Lösung nicht berücksichtigt, wodurch sie mittels „alternative Kanäle“ umgangen wird. o Timeouts (VPN, RDP, etc.) gehen an Arbeitspraxis vorbei. o Performance der Firmengeräte im Home Office nicht ausreichend. o Installation von privaten Druckern auf Firmengeräten möglich? (sonst Umgehung mittels USB Stick und privater Email) • Nutzung nicht autorisierter Fernwartungssoftware (e.g. TeamViewer, VNC, LogMeIn etc.). o z.B: Dev und R&D (keine Schuldzuweisung) SBA Research gGmbH, 2020
  15. 15. Classification: Public 15 People – Processes – Technology Typische Auditfindings SBA Research gGmbH, 2020 People ProcessesTechnology
  16. 16. Classification: Public 16 Processes Typische Auditfindings I • Verfügbarkeit & Kapazitätsplanung nicht berücksichtig. o Sind wichtige Komponenten hochverfügbar? (VPN Endpoints, Server Cluster) o QoS/Traffic Shaping -> müssen Mitarbeitergruppen priorisiert werden? o Wartungsfenster aktuell schwer planbar -> Mitarbeiter haben durch Familienpflichten ungewöhnliche Arbeitszeiten. • Kein Monitoring bzw. Alerting bei fehlgeschlagenen Anmeldeversuchen. o Brute Forcing, Password Spraying & Credential Stuffing Angriffe. o Verfügbarkeitssicht - > zu viele Requests durch Brute Forcing -> DoS o User Lockouts durch Sicherheitsmaßnahmen am Perimeter. SBA Research gGmbH, 2020
  17. 17. Classification: Public 17 Processes Typische Auditfindings II • Kein strukturierter „Demand Prozess“ & Schatten IT o z.B. dringender Bedarf an neuer Online Meeting Lösung geht an Demand Prozess vorbei (zu langsam) -> Prozess für Re-Evaluierung nach Überwindung der aktuellen Situation. • Langsames Patch Management bei kritischen Remote Access Schwachstellen o Insb. aktuell: Konflikt Verfügbarkeit vs. Sicherheit. o Spätestens wenn Exploits automatisierbar sind -> patchen! o e.g. Bluekeep & BlueGate, Citrix Gateway, etc. o Angreifer nutzen Krisensituationen um ihre Erfolgschancen zu erhöhen! SBA Research gGmbH, 2020
  18. 18. Classification: Public 18 Processes Typische Auditfindings III • Kein Prozess zur zentralen Meldung und Sperrung von externen Zugängen (etwa bei Diebstahl des Notebooks) o Kontaktdaten für Helpdesk auch ohne Firmenclient verfügbar? o Kann ich einzelne Geräte überhaupt aus dem VPN aussperren? • Keine zentrale Sichtbarkeit und Review von Externen mit VPN Zugriff (inkl. Shared Accounts). o Alle zuvor besprochenen Aspekte treffen nun natürlich auch auf Dienstleister im Home Office zu – Risiko kann hier noch höher sein! SBA Research gGmbH, 2020
  19. 19. Classification: Public 19 Processes Typische Auditfindings IV • Kein Notfallplan/Alternativen für den Ausfall von Remote Access Services. • Neu: Wie werden defekte Endgeräte gerade serviciert? o Abholung durch Botendienst? o Wie ist die Ansteckungsgefahr durch Notebook Oberflächen einzuschätzen? o Sofort durch neues Gerät tauschen? o Ersatzgerät (vor Ort) für „kritische“ Mitarbeiter/Prozesse? SBA Research gGmbH, 2020
  20. 20. Classification: Public 20 Processes Typische Auditfindings V • Wie geht man aktuell mit Endgeräten um die eine Malware Infektion anzeigen? o Wie schon bei Verlust des Clients: Kann ich einzelne Devices überhaupt aus dem VPN aussperren? o Bzw. kann ich einzelne Geräte im VPN so isolieren, dass ich noch IR/Forensics Maßnahmen durchführen kann? (Quarantäne/Remediation Netz). • Daten auf lokalen Geräten im Backupkonzept nicht berücksichtigt bzw. Thema in Schulungen/Richtlinien nicht adressiert. SBA Research gGmbH, 2020
  21. 21. Classification: Public 21 People – Processes – Technology Typische Auditfindings SBA Research gGmbH, 2020 People ProcessesTechnology
  22. 22. Classification: Public 22 Ausblick: Technology Typische Auditfindings • Keine Zwei Faktor Authentifizierung. • Schlechte Netzwerk Segmentierung im vgl. zu on-Premise. • Nutzung veralteter und unsicherer Protokolle (e.g. PPTP). • Private Geräte im Unternehmens-VPN ohne angm. Security Baseline. o Patch-Status, AV aktiv, Host Firewall aktiv, Festplattenverschlüsselung etc. • Keine Sichtbarkeit & Schutz des Client Internetverkehrs (Split Tunneling). • RDP direkt im Internet / Kein RPD Hardening (e.g. Gateways, NLA, Encryption). • Kein Hardening der VDI Umgebungen (Escaping). • Schlechte TLS Konfig & keine mutual Authentication (Zertifikatprüfung). SBA Research gGmbH, 2020
  23. 23. Classification: Public 23 Weiterführende Literatur • SBA Research Security Tipps for Home Office: https://www.sba-research.org/2020/03/19/security-tips-for-home-office/ • ENISA Sicherheit bei Telearbeit: https://www.enisa.europa.eu/tips-for-cybersecurity-when-working-from-home • BSI Standards VPN und Fernzugriff: https://www.bsi.bund.de/DE/Themen/StandardsKriterien/ISi-Reihe/ISi-VPN/vpn_node.html und https://www.bsi.bund.de/DE/Themen/StandardsKriterien/ISi-Reihe/ISi-Fern/fern_node.html • BSI VPN Checklist: https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Internetsicherheit/isi_fern_checklist e_pdf.pdf?__blob=publicationFile&v=1 SBA Research gGmbH, 2020
  24. 24. Classification: Public 24 Fragen? SBA Research gGmbH, 2020
  25. 25. Classification: Public 25 Günther Roat SBA Research gGmbH Floragasse 7, 1040 Vienna groat@sba-research.org SBA Research gGmbH, 2020 Philipp Reisinger SBA Research gGmbH Floragasse 7, 1040 Vienna preisinger@sba-research.org

×