Upload
others
View
9
Download
0
Embed Size (px)
Citation preview
IT-Sicherheitsrisiken 2015
Operationales Geschäftsrisiko
Cyber-Attacken
Relevante IT-Sicherheitsrisiken für Unternehmen
1
IT-Sicherheitsrisiken 2015
Vorstellung
PROFI Netzwerk & Security
2
BEDROHUNGEN
3 IT-Sicherheitsrisiken 2015
Bedrohungen – 2014
4 IT-Sicherheitsrisiken 2015
Bedrohungen – Malware und Exploits
RansomwareErpressen von Lösegeld für verschlüsselte Daten
Vorgehensweise
• Infektion via Phishing / Driveby / P2P / IRC / Newsgroups
• Verschlüsselung aller erreichbarer Laufwerke• Löschen von VSS-Backups
• Schlüsselspeicherung im TOR Netz
• Bezahlung via Bitcoins• „Partnerprogramm“ für die Verbreitung• Beispiele: CryptoLocker / CTB-Locker
• „Ransomware 2.0“: Transparente Verschlüsselung von Webserver-DBs über längeren Zeitraum hinweg
Schaden
• Datenverlust gemäß RPO• „2.0“: Ggfs. auch wesentlich längere Zeiträume• Zeit (Downtime, Cleanup, Restore)
Schutz
• Infektionswege kontrollieren: Mail, Web, Anwendungen, Schnittstellen
• Backup- / Restore-Konzept• Berechtigungskonzept gemäß Need-To-Know• User Awareness• WAF
5 IT-Sicherheitsrisiken 2015
Bedrohungen – Malware und Exploits
Fortgeschrittene Malware Beispiel: Equation Group
Vorgehensweise
• Infektion von Festplatten-Firmware
• Übersteht Formatierung, teilweise sogarFirmware Flashing
• Infektionsweg meist via DriveBy / WateringHole Attack
• Gezielte Anwendung
• Staatlicher Hintergrund vermutet (Auftauchen in Snowden-Dokumenten)
Schaden
• Abfluss von Informationen• Gezielte Manipulation• Langfristige Infektion
Schutz
• Infektionswege kontrollieren: Mail, Web, Anwendungen, Schnittstellen
• Datenexfiltration vermeiden• User Awareness
6 IT-Sicherheitsrisiken 2015
Bedrohungen – Malware und Exploits
Exploits 2014Top Ten: In The Wild
7 IT-Sicherheitsrisiken 2015
Bedrohungen – Malware und Exploits
Exploits 2014Top Ten: Neueinsteiger
Schutz
• Patchmanagement• Software-Inventarisierung• Malwareschutz im Perimeter: Mail, Web, Firewall• IPS im Netz und auf dem Endpoint• Endpoint Security mit Heuristik• User Awareness
8 IT-Sicherheitsrisiken 2015
Bedrohungen – Web Server Security
SQL Injection
Vorgehensweise
• Zugriff auf Datenbanken über öffentliche Eingabefelder
Schaden
• Abfluss von Informationen• Abfluss von Zugangsdaten• Weiterführende Infektionen
Schutz
• Sauberes Programmieren• Security in die Anwendungsentwicklung
integrieren• Nachträgliche regelmäßige Prüfungen• Web Application Firewalls• DB-Security
(D)DoS
Vorgehensweise
• Fluten von Leitungen und Servern mit sinnlosen Anfragen
Schaden
• Nicht-Erreichbarkeit von Shops / Portalen• Kommunikations-Unfähigkeit• Downtimes
Schutz
• DDoS Protection Appliances• Scrubbing-Datacenter• Firewalls / Application Delivery Controller
9 IT-Sicherheitsrisiken 2015
Bedrohungen – Schwachstellen
SchwachstellenHeartbleed | POODLE | GOTOFail | Shellshock
Problematik
• Schwachstellen in elementaren (Verschlüsselungs-)Modulen
• Potenziell betroffen sind jegliche Arten von Client- und Server-Betriebssystemen
• Betrifft Webseiten, Anwendungen und VPN
• Ermöglichen das Aufbrechen von Verschlüsselung, auch nachträglich
• Lange unentdeckt – zumindest öffentlich
Schaden
• Abfluss von Informationen durch gebrochene Verschlüsselung
• Abfluss von Zugangsdaten• Übernahme von Systemen
Schutz
• Agiles Patch Management• IPS• WAF
"Catastrophic" is the right word. On the scale of 1 to 10, this is an 11.Bruce Schneier, Cypto-Experte, über Heartbleed
10 IT-Sicherheitsrisiken 2015
Bedrohungen – Mobile Security
Risiken durch mobile EndgeräteTrends 2015
Schwachstellen
Schwachstellen in Apps, z.B. • Apache Cordova: Apps werden unbrauchbar,
möglicher Datenabfluss• Testing Framework legt MitM-Anfälligkeit in
tausenden Android Apps offen• „Certifigate“
Schwachstellen im Betriebssystem• XARA Lücke Apple MacOS und iOS ermöglicht
Zugriff auf lokale Schlüssel – von iTunes, Mail und Social Networks bis zu Anwendungen wie OnePass und Banking
• XcodeGhost
Schutz
• Umfassende Mobile Strategie• Das Ende der Sandbox:• Entweder massive Abschottung oder dedizierter
Schutz mobiler Unternehmensdaten (Container)• User Awareness
Malware
• Oft auch in Appstores, trotz angeblicher Kontrolle
• Infektionswege außerdem „Trusted Pairing“ und App-Repacking
• Mobile Malware Zahlen sind oft plakativ, Trend ist aber real
11 IT-Sicherheitsrisiken 2015
Bedrohungen – Active Directory
Moderne AD-AngriffePass-the-Hash | Pass-The-Ticket | Kerberos | PowerShell
Problematik
• Übernahme von Passwort-Hashes oder Kerberos Tickets: Ausweisen, ohne das Passwort zu kennen
• Abwärtskompatibilität zu alten Authentifizierungs-Mechanismen lässt Lücken offen
• PowerShell um sich im Netz zu bewegen
Schaden
• Privilege Escalation: Ein normaler User-Account wird kompromittiert, das gesamte AD (und alle die darüber authentifizieren) werden übernommen
• Innentäter: User kann alle anderen User impersonifizieren
Schutz
• Agiles Patch Management / Moderne OSs• AD-Lockdown• Segmentierung• SIEM• HIPS
12 IT-Sicherheitsrisiken 2015
Bedrohungen – woher?W
ahrs
chei
nlic
hke
it
ABC
(Dienste)
Professionelles gezieltes Cybercrime
/ Hacktivism
Ungezieltes Cybercrime / Vandalismus / Versehen
Bu
dge
t
Einschub: Hacking Team…hacked
• Hacking Team ist ein Dienstleister für Spionage-Werkzeuge. Beliebtes Produkt ist das Überwachungstool „DaVinci“ und das Remote Access Toolkit „RCS Galileo“ (Remote Controlled System)
• Kunden sind u.a. die verschiedensten Regierungen und Behörden – darunter auch Ägypten, Sudan, Äthiopien und andere Staaten, gegen die teilweise entsprechende Embargos bestehen
• 400 GB Daten wurden veröffentlicht: Emails, Exploits, Strukturen und Vorgehensweisen, Passwörter der Mitarbeiter. Darunter Browser-gespeicherte Passwörter wie „Pa$$w0rd“
• Angegriffene können über eine ID ihre Angreifer identifizieren
• Zero-Day Exploits für Flash und Windows wurden inzwischen gepatcht
IT-Sicherheitsrisiken 2015
Vorstellung
PROFI Netzwerk & Security
13
IS-ORGANISATION
14 IT-Sicherheitsrisiken 2015
IS-Organisation: Warum?
…ohne adäquate Organisation:
Entwicklung und Regelung „Bottom-Up“
IT als Verantwortliche für Regeln und Maßnahmen
Produkt-Checklisten
„historisch gewachsen“ führt in technologische Sackgassen
„Was schütze ich hier eigentlich?“
Mangelnde Reaktionsfähigkeit auf aktuelle Entwicklungen und Bedrohungen
Problematische Compliance-Audits
Schwierige Budget Diskussionen
Strukturierte IS-Organisation:
Entwicklung verfolgt klar definierte Ziele
Management steht hinter allen Regularien
Verantwortlichkeiten sind klar definiert
Schutzbedarfs-orientierte Gestaltung
Aktuelle Risiko-Analysen
Schnelle, strukturierte Reaktion auf aktuelle Bedrohungen
Konsequentes Hinterfragen des Status Quo
Effiziente Auditierung
Budgetierung folgt den Zielen
15 IT-Sicherheitsrisiken 2015
IS-Organisation: Wie?
Verschiedenste Standards:
• ISO 27001• BSI Grundschutz• PCI DSS• IDW PS330• CobiT• VdS 3473• …
Pragmatische Umsetzung
• „Low Hanging Fruits“ zuerst• Selektive Umsetzung der Elemente
verschiedener Frameworks:• Prozesse oder Maßnahmen• Freie Gestaltung oder klare Richtlinien
• Individuelle Risikoanalyse als Grundlage• Entwicklung einer Management-gestützten
Leitlinie, aus der sich konkretere Richtlinien ergebenSelf Assessments
• Heise Security Bilanz Deutschland• Deutschland sicher im Netz• VdS 3473 Quick Check
16 Praxiserprobte Implementierungen
Übersicht Kompetenzteam
Netzwerk & Security Kompetenz Team
Berater und Systemingenieure
IT-Security
BeratungKonzeptionierung
Compliance
LAN-Infrastruktur
Datacenter Networks
Campus NetworksWLANSDN
Management / Monitoring
SIEMFirewall-
ManagementVulnerability Mgmt
Endpoint-Sicherheit
AV-LösungenVerschlüsselung
Mobility
Perimeter-Sicherheit
Firewall / VPN / IPSApplication
DeliveryWeb/Mail Security
Strategie-Beratung Planung und Design Implementierung Betrieb / Managed Service
17 Kompetenzteam Netzwerk & Security
Security Checks mit PROFI
Network VulnerabilityScan
Schwachstellen-Scan auf Netzwerkebene
Aufdecken fehlerhafter Policies, veralteter Dienste, vergessener Server
Manuelle Auswertung und Handlungs-Empfehlung
Web ApplicationSecurity Scan
Untersucht Web-Applikationen auf
Schwachstellen
Findet z.B. Programmier-Fehler
wie SQL-Injection, XSS
Als einmaliger Scan oder eingebunden in
den Entwicklungsprozess
IT Risk Compact Check
Untersuchung von IT Prozessen, Dokumentation und Technik
Aufdecken der wichtigsten Risiken
Praktische Handlungs-Empfehlungen zu den Funden
Penetration Test
Testet, wie gut die IT tatsächlich gegen Angreifer geschützt ist
Erfahrene „Whitehats“ versuchen, Systeme zu kompromittieren bzw. an Daten zu gelangen
Scope von White- bis Blackbox
Security Checkup
Deckt Lücken und Verbesserungs-Potenzial in der Perimeter-Firewall auf
Scannt den tatsächlichen Internet-Traffic, listet Angriffe, Botnetze, besuchte URL-Kategorien etc. auf
Keine Veränderung der Infrastruktur
Technisch Auditiv
SAP Security
Untersuchung von Custom ABAP Code auf Schwachstellen und Optimierungspotenzial
Prüfung der Systemkonfiguration auf Schwachstellen, Fehlkonfigruationenund Verbesserungs-Potenzial hinsichtlich Sicherheit, Compliance und Qualität
Marcus Hock
Leiter Kompetenzteam Netzwerk & Security
Tel: 06151 8290-7728
Email: [email protected]
Christian Hantrop
Bereichsleiter Geschäftsbereich
System Infrastruktur Lösungen
Tel: 06151 8290-7753
Email: [email protected]
18 IT-Sicherheitsrisiken 2015
IHRE ANSPRECHPARTNER