Einführung: Schwachstellen- Management. Warum Schwachstellen- Management für die moderne Informationstechnologie unentbehrlich ist

Transkript

1 Einführung: Schwachstellen- Management Warum Schwachstellen- Management für die moderne Informationstechnologie unentbehrlich ist

2 Versteckte Gefahren ans Licht bringen... und die eigene IT widerstandsfähig machen. Greenbone Networks GmbH Deutscher Hersteller Produkt seit 2008 am Markt Turn-key Appliance Entstanden in Zusammenarbeit mit dem BSI DI(FH) Martin Herfurt Senior Professional Services Consultant Seit 20 Jahren in der IT-Sicherheit Hintergrund als Security-Researcher Penetration-Tester

3 Defnition: Software-Schwachstelle

4 Starkes Wachstum im Malware-Sektor

5 Beweggründe der Angreifer mehr als 70% der Angrife haben ein fnanzielles Motiv oder steigend Wirtschaftsspionage als Grund um mit Hacking und Malware zu attackieren dabei sind 45% aller Ziele

6 Faktoren für erfolgreiche Angrife

7 Vorgehensweise von Angreifern Informationsbeschafung Whois, Google, shodan, Social Engineering Ziel-Identifkation Scans, Bewertung möglicher Ziele Durchführung des Angrifs Exploit-Toolkits, Attack-Frameworks, Zero-Days Stabilisierung des Angrifs Zugang dauerhaft ermöglichen, Zugang nutzen Spuren verwischen Nachvollziehbarkeit der Aktivitäten erschweren

8 Die eigene Infrastruktur

9 Schutz vor Angrifen Herangehensweise vor 2005

10 On the Efectiveness of Aluminium Foil Helmets: An Empirical Study 17 Feb Ali Rahimi, Ben Recht, Jason Taylor, Noah Vawter (MIT Media Lab) For all helmets, we noticed a 30db amplification at 2.6GHz and a 20db amplification at 1.2GHz, regardless of the position of the antenna on the cranium. In addition, all helmets

11 Become a moving target! 99,9% der erfolgreichen Angrife basieren auf bekannten Sicherheitslücken. Es dauert 24h bis kommunizierte Schwachstellen ausgenützt werden können (Attack-Frameworks) Es dauert 48h bis ausnutzbare Schwachstellen gezielt gesucht werden! (z.b. mit Shodan)

12 Probleme kann man niemals mit derselben Denkweise lösen, durch die sie entstanden sind. Albert Einstein

13 Die Anfänge von Vulnerability Management (Open-Source) 1990 COPS (Computer Oracle and Password System) von Dan Farmer 1993 SATAN (Security Administrator Tool for Analyzing Networks) von Dan Farmer und Wietse Venema Perl-basierter Schwachstellen-Scanner 1994 Tiger (Texas A&M University (TAMU)) Sammlung von Shell-Skripten 1998 SAINT (Security Administrator s Integrated Network Tool) Weiterentwicklung von SATAN 1999 SARA (System Auditors Research Assistant)

14 Security Content Automation Protocol (SCAP) [ ɛs-kæp] 2010 Computer Security Resource Center (CSRC) NIST Macht Computer-Sicherheit messbar / eindeutig identifzierbar Common Vulnerabilities and Exposures (CVE) (2000 MITRE) z.b. CVE (OpenSSL Heartbleed Vulnerability) Common Platform Enumeration (CPE) (~2006 MITRE) z.b. cpe:/o:microsoft:windows_xp:- (Windows XP) Common Vulnerability Scoring System (CVSS) (2005 by FIRST) z.b. 7,6 (AV:N/AC:H/Au:N/C:C/I:C/A:C)

15 Greenbone Networks GmbH Das Unternehmen Gegründet 2008 (Initiative des BSI) Produktentwicklung (OpenVAS) seit 2004 Sitz in Deutschland (Osnabrück) Kunden weltweit Fokus: Vulnerability Management Erkennen und schützen vor Schwachstellen Fortlaufende Prüfung der Konformität für einen Sicherheitsprozess Produkt: Greenbone Security Manager (GSM)

16 Vorteile durch den Einsatz von Vulnerability Management Bessere Risikobewertung Ständige Beurteilung des Ist-Zustands Erfüllen wir vorgegebene Richtlinien? Verbessern oder verschlechtern wir uns? Aufgabenstellungen nach Priorität (CVSS) Wo fangen wir am Besten an? Messbarkeit von Security-Zielen Nachweis für die Erfüllung von Aufagen

17 Ablauf von Schwachstellen-Scans

18 Deployment-Szenarien

19 Schwachstellen-Management identify classify prepare prioritize improve assign mitigate & remediate

20 EU Datenschutz-Grundverordnung 25. Mai 2018

21 Kosten-Vorteil

22 Vielen Dank für Ihre Aufmerksamkeit! Gibt es Fragen?