und proaktive IT-Sicherheit

Transkript

1 und proaktive IT-Sicherheit Prof. Dr. (TU NN) Norbert Pohlmann Institut für Internet-Sicherheit if(is) Westfälische Hochschule, Gelsenkirchen

2 Inhalt Motivation Verschlüsselung (pragmatisch) Proaktive IT-Sicherheit (strategisch) Zusammenfassung 2

3 Inhalt Motivation Verschlüsselung (pragmatisch) Proaktive IT-Sicherheit (strategisch) Zusammenfassung 3

4 Motivation Kein Schutz, kein vertrauen Professionelle Hacker greifen alles erfolgreich an! US Firmen (Google, RSA, ) US Regierungsorganisationen NSA und Co. sammeln alle Daten und werten fleißig aus! Manipulation der IT und IT-Sicherheitsmechanismen Zugriff auf unsere Daten (Patiot Act, ) Die Bewertung der IT-Sicherheitslage ist nach Snowden schlechter geworden! Wir haben ein sehr großes Vertrauensproblem! (Internet-Firmen, IT-Sicherheitsanbieter und Staaten) Wirtschaftsspionage 4

5 Inhalt Motivation Verschlüsselung (pragmatisch) Proaktive IT-Sicherheit (strategisch) Zusammenfassung 5

6 Die IT-Sicherheitssituation heute Sicherheit (2012) Wenig verschlüsselte s (< 4 %) (S/MIME, PGP, ) Wenig signierte s (< 6 % ) Spam-Anteil größer als 95 % (in der Infrastruktur siehe ENISA-Studie) Keine Beweissicherung Nicht zuverlässig (Zustellung, -Adresse,.) 6

7 -Verschlüsselung SSL-Nutzung (mit G10-Schnittstelle) Benutzer Sender Client User Agent lokaler MTA User Agent Benutzer Empfänger Besser als gar nichts! SMTPS POP3S o. IMAPS relay MTA relay MTA (mit Mailbox) G10-Schnittstelle Server Organisation A Internet Organisation B Klartext Verschlüsselt 7

8 Encryption Algorithm Result: Awareness (Crypto used TLS)!! 0.1 %: RSA / Export (40) / SHA1 and 0.01 %: RSA / NULL / SHA1!! 60%: RSA / RC4 / MD5 33%: DHE_RSA AES / SHA1 6 %: RSA AES / SHA1 8

9 -Verschlüsselung D (mit G10-Schnittstelle) Benutzer User Agent User Agent Benutzer Sender Client lokaler MTA SMTPS POP3S o. IMAPS Empfänger relay MTA relay MTA (mit Mailbox) Vorteile: garantierte Zustellung (Gesetz) G10-Schnittstelle Server Organisation A Internet Organisation B Klartext Verschlüsselt 9

10 -Verschlüsselung PGP o. S/MIME (ohne G10-Schnittstelle) Benutzer User Agent End-to-End Verschlüsselung User Agent Benutzer Sender Client lokaler MTA SMTPS POP3S o. IMAPS Empfänger relay MTA relay MTA (mit Mailbox) Vorteile: End-to-End-Verschlüsselung G10-Schnittstelle Server Organisation A Internet Organisation B Klartext Verschlüsselt 10

11 -Verschlüsselung PGP o. S/MIME Die s werden bereits im Mail- Programm des Senders verschlüsselt und erst beim Empfänger entschlüsselt. Zwischendurch hat niemand sonst Zugriff auf den Klartext-Inhalt. Lösungen stehen zur Verfügung (aber: mehr Aufwand, kein Suchen, ) Herausforderung: Verteilung der öffentlichen Schlüssel Pretty Good Privacy (PGP, deutsch sinngemäß Ziemlich gute Privatsphäre ) if(is)-pgp-zertifizierungsinstanz ( S/MINE (Secure / Multipurpose Internet Mail Extensions ist ein Standard für die Verschlüsselung und Signatur von MIME-gekapselter ) TeleTrusT European Bridge CA ( 11

12 TeleTrusT - European Bridge CA Übersicht Seit 2001 gibt es die European Bridge CA (EBCA) Zusammenschluss einzelner, gleichberechtigter PKIn zu PKI-Verbund einfacher, sicherer -Verkehr & Datenaustausch über Internet Zusammenschluss von Unternehmen (Deutsche Bank, E.ON, EDAS, Siemens, ) Institutionen (Deutsche Bundesbank, ) öffentlichen Verwaltungen (BSI, ) Voraussetzungen der Mitglieder eigene Public Key Infrastructure (PKI) mit X.509-Zertifikaten S/MIME- s eigene Policy (Identifikation der Teilnehmer, Schlüssellänge, ) Interoperabilitätstest Es ist dann nur noch ein Vertragspartner nötig (die EBCA), dessen Dienste allen Mitgliedern zur Verfügung stehen 12

13 TeleTrusT - European Bridge CA Ziele des Vertrauensdienst Vertrauen (organisatorisch) Die Mitglieder haben vergleichbare Mindestrichtlinien einer RFC-konformen Policy (gleiches Sicherheitsniveau) Vertrauen (technisch) Die EBCA bietet eine 1:n Cross-Zertifizierung für die Root-CAs (Ermöglicht pragmatisch die organisationsübergreifende verschlüsselte -Kommunikation) Erreichbarkeit (technisch) Anwender-Zertifikate sollten von außen abrufbar sein, daher bietet die EBCA auch einen zentralen Verzeichnisdienst (vereinfacht das Finden der Zertifikate enorm) 13

14 Referenzarchitektur - EBCA Teilnehmer X Zertifikatsverzeichnis Client- PCs PKI System EBCA Teilnehmer können Anwender-Zertifikate direkt auf dem EBCA Verzeichnisdienst publizieren (statt einen eigenen Verzeichnisdienst zu betreiben) Teilnehmer Z PKI System LDAP Proxy Zertifikatsverzeichnis Gateway Automatisierter Download via LDAP (oder HTTP) Internet Automatisierter Download via LDAP oder manuell via HTTP European Verzeichnisdienst Manueller Download via HTTP oder automatisiert via LDAP (oder HTTP) LDAP Proxy LDAP Proxy Teilnehmer Y Client- PCs PKI System Zertifikats-Download vom EBCA Verzeichnisdienst Zertifikats-Provisionierung zum EBCA Verzeichnisdienst "Dritte" (Andere Organisationen, individuelle Nutzer) Client-PCs/ Gateways 14

15 Inhalt Motivation Verschlüsselung (pragmatisch) Proaktive IT-Sicherheit (strategisch) Zusammenfassung 15

16 IT Sicherheitsstrategie Übersicht Vermeiden von Angriffen Keine Technologie mit Schwachstellen verwenden (z.b. Browser) Nicht alle IT-Systeme ans Internet Entgegenwirken von Angriffen Reaktiv (+) Proaktiv (+++) Erkennen von Angriffen, denen nicht entgegengewirkt werden kann Frühwarnsystem IT-Sicherheitslagebilder Direct Threat Attack trial Monitoring $ Assets $ Assets Monitoring $ Assets Monitoring 16

17 IT Sicherheitsherausforderungen Top IT-Sicherheitsprobleme Zu viele Schwachstellen in Software 0,3 % Fehlerrate! Über Fehler und viel zu viele Schwachstellen in Betriebssystemen und Anwendungen. Wird sich auch nicht schnell ändern! Ungenügender Schutz vor Malware Nur 75 bis 95 % Erkennungsrate. Nur 27 % bei direkten Angriffen. Rückgang der Anzahl von Malware, aber steigende Infektionen (Heise, MS, ) Phishing Deutliche gezielter und individueller (Social Engineering) Weitere Probleme Cloud Computing, mobile Geräte, Authentikation (Passworte), Nutzer, 17

18 IT Sicherheitsstrategie Welche Werte müssen geschützt werden? Im Schnitt sind nur ca. 5 % aller vorhandenen Daten in Unternehmen besonders schützenswert. Aber welche Daten sind besonders schützenswert und wie können diese angemessen geschützt werden? 18

19 Reaktive IT-Sicherheitssysteme Idee und Analogie Bei reaktiven IT-Sicherheitssystemen rennen wir den IT-Angriffen hinterher! Das bedeutet, wenn wir einen Angriff erkennen, dann versuchen wir uns so schnell wie möglich zu schützen, um den Schaden zu reduzieren. Beispiele für reaktive Sicherheitssysteme sind: Firewall-Systeme Intrusion Detection Anti-Malwareprodukte Anti-Spam /-Phishing, Airbag-Methode Wenn s passiert, soll es weniger weh tun 19

20 Proaktive Sicherheitssysteme Idee und Analogie Proaktive Sicherheitsmechanismen machen IT-Systeme robuster, sicherer und vertrauenswürdiger. Hier spielen Sicherheitsplattformen auf der Basis von intelligenten kryptographischen Verfahren eine wichtige Rolle. ( Vertrauenswürdige Basis ) ESP-Strategie Verhindern, dass man überhaupt ins Schleudern kommt 20

21 Paradigmenwechsel (2) Vertrauenswürdige Basis (1/5) 21

22 Paradigmenwechsel (2) Vertrauenswürdige Basis (2/5) Aufteilung in verschiedene virtuelle Maschinen (unterschiedliche Aufgaben und Sicherheitsbedarfe -1) 22

23 Paradigmenwechsel (2) Vertrauenswürdige Basis (3/5) Aufteilung in verschiedene virtuelle Maschinen (unterschiedliche Aufgaben und Sicherheitsbedarfe - 2) 23

24 Paradigmenwechsel (2) Vertrauenswürdige Basis (4/5) Wichtige Daten werden besonders in separaten, isolierten virtuellen Maschinen geschützt 24

25 Paradigmenwechsel (2) Vertrauenswürdige Basis (5/5) Security Policies und ein Enforcement System sorgt für mehr Sicherheit und Vertrauenswürdigkeit 25

26 Inhalt Motivation Verschlüsselung (pragmatisch) Proaktive IT-Sicherheit (strategisch) Zusammenfassung 26

27 und proaktive IT-Sicherheit Zusammenfassung Wir werden alle angegriffen! (Kommunikation ( , ), Smart Mobile Devices (SMD), PCs, Server, Host,, Cloud, ) Wenn gezielt und von professionellen Hackern angegriffen wird, dann auch immer erfolgreich, wenn wir uns nicht angemessen schützen. -Sicherheit ist mühsam, aber sehr effektvoll! Proaktive IT-Sicherheitssysteme können besser angemessen schützen und sollten für die 5 % wichtigen Unternehmensdaten genutzt werden. 27

28 und proaktive IT-Sicherheit Vielen Dank für Ihre Aufmerksamkeit Fragen? Prof. Dr. (TU NN) Norbert Pohlmann Institut für Internet-Sicherheit if(is) Westfälische Hochschule, Gelsenkirchen