Operationales Geschäftsrisiko Cyber-Attacken. Relevante IT-Sicherheitsrisiken für Unternehmen

Transkript

1 Operationales Geschäftsrisiko Cyber-Attacken Relevante IT-Sicherheitsrisiken für Unternehmen 1 IT-Sicherheitsrisiken 2015

2 Vorstellung PROFI Netzwerk & Security BEDROHUNGEN 2 IT-Sicherheitsrisiken 2015

3 Bedrohungen IT-Sicherheitsrisiken 2015

4 Bedrohungen Malware und Exploits Ransomware Erpressen von Lösegeld für verschlüsselte Daten Vorgehensweise Infektion via Phishing / Driveby / P2P / IRC / Newsgroups Schaden Datenverlust gemäß RPO Zeit (Downtime, Cleanup, Restore) Verschlüsselung aller erreichbarer Laufwerke Löschen von VSS-Backups Schlüsselspeicherung im TOR Netz Bezahlung via Bitcoins Partnerprogramm für die Verbreitung Beispiele: CryptoLocker / CTB-Locker Schutz Infektionswege kontrollieren: Mail, Web, Anwendungen, Schnittstellen Backup- / Restore-Konzept Berechtigungskonzept gemäß Need-To-Know User Awareness 4 IT-Sicherheitsrisiken 2015

5 Bedrohungen Malware und Exploits Fortgeschrittene Malware Beispiel: Equation Group Schaden Vorgehensweise Infektion von Festplatten-Firmware Abfluss von Informationen Gezielte Manipulation Langfristige Infektion Übersteht Formatierung, teilweise sogar Firmware Flashing Infektionsweg meist via DriveBy / Watering Hole Attack Gezielte Anwendung Staatlicher Hintergrund vermutet (Auftauchen in Snowden-Dokumenten) Schutz Infektionswege kontrollieren: Mail, Web, Anwendungen, Schnittstellen Datenexfiltration vermeiden User Awareness 5 IT-Sicherheitsrisiken 2015

6 Bedrohungen Malware und Exploits Exploits 2014 Top Ten: In The Wild 6 IT-Sicherheitsrisiken 2015

7 Bedrohungen Malware und Exploits Exploits 2014 Top Ten: Neueinsteiger Schutz Patchmanagement Software-Inventarisierung Malwareschutz im Perimeter: Mail, Web, Firewall IPS im Netz und auf dem Endpoint Endpoint Security mit Heuristik User Awareness 7 IT-Sicherheitsrisiken 2015

8 Bedrohungen Web Server Security SQL Injection (D)DoS Vorgehensweise Zugriff auf Datenbanken über öffentliche Eingabefelder Vorgehensweise Fluten von Leitungen und Servern mit sinnlosen Anfragen Schaden Abfluss von Informationen Abfluss von Zugangsdaten Weiterführende Infektionen Schaden Nicht-Erreichbarkeit von Shops / Portalen Kommunikations-Unfähigkeit Downtimes Schutz Sauberes Programmieren Security in die Anwendungsentwicklung integrieren Nachträgliche regelmäßige Prüfungen Web Application Firewalls DB-Security Schutz DDoS Protection Appliances Scrubbing-Datacenter Firewalls / Application Delivery Controller 8 IT-Sicherheitsrisiken 2015

9 Bedrohungen Schwachstellen Schwachstellen Heartbleed POODLE GOTOFail Shellshock Problematik Schwachstellen in elementaren (Verschlüsselungs-)Modulen Potenziell betroffen sind jegliche Arten von Client- und Server-Betriebssystemen Betrifft Webseiten, Anwendungen und VPN Ermöglichen das Aufbrechen von Verschlüsselung, auch nachträglich Lange unentdeckt zumindest öffentlich Schaden Abfluss von Informationen durch gebrochene Verschlüsselung Abfluss von Zugangsdaten Übernahme von Systemen Schutz Agiles Patch Management IPS WAF "Catastrophic" is the right word. On the scale of 1 to 10, this is an 11. Bruce Schneier, Cypto-Experte, über Heartbleed 9 IT-Sicherheitsrisiken 2015

10 Bedrohungen Mobile Security Risiken durch mobile Endgeräte Trends 2015 Schwachstellen Schwachstellen in Apps, z.b. Apache Cordova: Apps werden unbrauchbar, möglicher Datenabfluss Testing Framework legt MitM-Anfälligkeit in tausenden Android Apps offen Malware Oft auch in Appstores, trotz angeblicher Kontrolle Infektionswege außerdem Trusted Pairing und App-Repacking Mobile Malware Zahlen sind oft plakativ, Trend ist aber real Schwachstellen im Betriebssystem XARA Lücke Apple MacOS und ios ermöglicht Zugriff auf lokale Schlüssel von itunes, Mail und Social Networks bis zu Anwendungen wie OnePass und Banking Schutz Umfassende Mobile Strategie Das Ende der Sandbox: Entweder massive Abschottung oder dedizierter Schutz mobiler Unternehmensdaten (Container) User Awareness 10 IT-Sicherheitsrisiken 2015

11 Wahrscheinlichkeit Budget Bedrohungen woher? ABC Einschub: Hacking Team hacked (Dienste) Hacking Team ist ein Dienstleister für Spionage-Werkzeuge. Beliebtes Produkt ist das Überwachungstool DaVinci und das Remote Access Toolkit RCS Galileo (Remote Controlled System) Professionelles gezieltes Cybercrime / Hacktivism Kunden sind u.a. die verschiedensten Regierungen und Behörden darunter auch Ägypten, Sudan, Äthiopien und andere Staaten, gegen die teilweise entsprechende Embargos bestehen 400 GB Daten wurden veröffentlicht: s, Exploits, Strukturen und Vorgehensweisen, Passwörter der Mitarbeiter. Darunter Browser-gespeicherte Passwörter wie Pa$$w0rd Angegriffene können über eine ID ihre Angreifer identifizieren Zero-Day Exploits für Flash und Windows wurden inzwischen gepatcht Ungezieltes Cybercrime / Vandalismus / Versehen 11 IT-Sicherheitsrisiken 2015

12 Vorstellung PROFI Netzwerk & Security IS-ORGANISATION 12 IT-Sicherheitsrisiken 2015

13 IS-Organisation: Warum? ohne adäquate Organisation: Entwicklung und Regelung Bottom-Up IT als Verantwortliche für Regeln und Maßnahmen Produkt-Checklisten historisch gewachsen führt in technologische Sackgassen Was schütze ich hier eigentlich? Mangelnde Reaktionsfähigkeit auf aktuelle Entwicklungen und Bedrohungen Problematische Compliance-Audits Schwierige Budget Diskussionen Strukturierte IS-Organisation: Entwicklung verfolgt klar definierte Ziele Management steht hinter allen Regularien Verantwortlichkeiten sind klar definiert Schutzbedarfs-orientierte Gestaltung Aktuelle Risiko-Analysen Schnelle, strukturierte Reaktion auf aktuelle Bedrohungen Konsequentes Hinterfragen des Status Quo Effiziente Auditierung Budgetierung folgt den Zielen 13 IT-Sicherheitsrisiken 2015

14 IS-Organisation: Wie? Verschiedenste Standards: ISO BSI Grundschutz PCI DSS IDW PS330 CobiT VdS 3473 Self Assessments Pragmatische Umsetzung Low Hanging Fruits zuerst Selektive Umsetzung der Elemente verschiedener Frameworks: Prozesse oder Maßnahmen Freie Gestaltung oder klare Richtlinien Individuelle Risikoanalyse als Grundlage Entwicklung einer Management-gestützten Leitlinie, aus der sich konkretere Richtlinien ergeben Heise Security Bilanz Deutschland Deutschland sicher im Netz VdS 3473 Quick Check 14 IT-Sicherheitsrisiken 2015

15 IHRE ANSPRECHPARTNER Marcus Hock Leiter Kompetenzteam Netzwerk & Security Tel: Christian Hantrop Bereichsleiter Geschäftsbereich System Infrastruktur Lösungen Tel: IT-Sicherheitsrisiken 2015