Erfolgreiches Umsetzten von Security Policies als Schlüssel zur Informationssicherheit. Herausforderungen an das Enterprise Business

Größe: px

Ab Seite anzeigen:

Download "Erfolgreiches Umsetzten von Security Policies als Schlüssel zur Informationssicherheit. Herausforderungen an das Enterprise Business"

Käthe Falk
vor 8 Jahren
Abrufe

1 Erfolgreiches Umsetzten von Security Policies als Schlüssel zur Informationssicherheit Klaus Hornung Technical Account Manager Herausforderungen an das Enterprise Business 80 % der Top 50-Schädlinge spähen vertrauliche Informationen aus 88 % der Top 50-Schädlinge sind modularer Code Source: Symantec Threat Report II 2005 Mobilität der Belegschaft Zusammengeführte Infrastruktur IT Komplexität Anforderungen der Kunden Anbindung 40+ Länder haben e-commerce Gesetze verabschiedet FISMA HIPAA GLBA PATRIOT Basel II NERC Sarbanes-Oxley EU Data Protection Privacy 2 1

Source: Symantec Threat Report II 2005 Mobilität der Belegschaft Zusammengeführte Infrastruktur IT Komplexität Anforderungen der Kunden

2 Security-Policy - Definition Ziel der Informationssicherheit ist es, vorhersehbare Risiken zu beherrschen und ein angemessenes Maß an Sicherheit zu definieren und zu gewährleisten. Eine Security-Policy besteht aus Annahmen, Regeln und Grundsätzen, die festlegen, wie im Unternehmen die Informationssicherheit umzusetzen ist. Eine Security-Policy ist demnach der Rahmen ( Bibel ), in dem Informationssicherheit betrieben wird. 3 Wann sind Infomationen sicher? Informationen und Daten gelten gemeinhin als sicher, wenn sie zu jeder Zeit vertraulich bleiben, korrekt und unverfälscht sind und bleiben, verfügbar sind und bleiben. Sicher ist nicht immer sicher Hochsicher Sicher Allgemein 4 2

Eine Security-Policy ist demnach der Rahmen ( Bibel ), in dem Informationssicherheit betrieben wird. 3 Wann sind Infomationen sicher?

3 Security-Policy - Grundlagen Eine Security-Policy ist stets abhängig von den Sicherheitsanforderungen des einzelnen Unternehmens. Eine Security-Policy alleine bedeutet noch keine Sicherheit. Sicherheit bringt erst die Umsetzung und Einhaltung! Eine Security Policy lebt. Eine SP ohne kontinuierliche Überprüfung ist eine schlechte SP. 5 Security-Policies - Grundregeln Eine SP muß eine klare Zielsetzung haben. Eine SP muß erkennbar von der Geschäftsleitung/dem Vorstand herausgegeben werden. Eine SP muß klar, verständlich, eindeutig und widerspruchsfrei sein ( keep it simple ). Weniger ist mehr - SP dürfen keine dicken Aktenordner füllen

Eine SP ohne kontinuierliche Überprüfung ist eine schlechte SP. 5 Security-Policies - Grundregeln Eine SP muß eine klare Zielsetzung haben.

4 Wie können Security Policies verwaltet werden: Aufgaben eines Policy Manager Der Policy Manager stellt sicher, dass alle regulatorischen Anforderungen durch die Security Policy abgedeckt werden. 1. Definition und Verwaltung der Security Policy. Kontrolle der Akzeptanz. 2. Abbilden der Security Policy gegenüber verschiedenen Regulatorien. 3. Nachweisen der Compliance mit Hilfe von technischen Controls 7 Der regulatorische Dschungel mit Bezug auf IT-Sicherheit Basel II KonTraG CobiT StGB KWG Sarbanes Oxley Act ISF AktG ISO/IEC BS 7799 ITIL 8 4

Abbilden der Security Policy gegenüber verschiedenen Regulatorien. 3.

5 Der Druck von Außen Vorschriften der Gesetzgebung oder anderer Regulierungsinstitutionen Bundesdatenschutzgesetz (BDSG) Gesetz über das Kreditwesen (KWG) Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) Sarbanes Oxley Act Basel II Internationale Konvergenz der Eigenkapitalmessung und Eigenkapitalanforderungen IT-Sicherheitsstandards BSI Grundschutzhandbuch: technikorientiert ISO/IEC 17799: themenorientiert ISF s Standard of good Practice: praxisorientiert CobIT: prozessorientiert 9 Regulatorien vs. Security Policy Ein Ziel aller Regulatorien ist es ein höheres Maß an IT-Sicherheit zu etablieren und nachzuweisen. Ein wesentlicher Aspekt für die Informationssicherheit eines Unternehmens ist die Sicherheit auf den Zielsystemen (Server, Workstations). Hier muss eine optimale Härtung garantiert und nachgewiesen werden. Die aus der Security Policy und/oder Regulatorien abgeleiteten technischen Controls beschreiben letztendlich diese Härtung. Die Security Policy ist eine Beschreibung eines Unternehmens (Sicht von innen) wie IT-Sicherheit gelebt werden soll. Hier fließen auch die Vorgaben von außen (Regulatorien) und deren technischen Controls mit ein. Die Security Policy ist im Gegensatz zu den Regulatorien unternehmensspezifisch

technikorientiert ISO/IEC 17799: themenorientiert ISF s Standard of good Practice: praxisorientiert CobIT: prozessorientiert 9 Regulatorien vs.

6 Die Security Policy ist der Schlüssel zur IT-Sicherheit Warum Was Policy Standards Mandat zur Implementierung von Sicherheit Standards um Sicherheit zu messen (ISO 17799, CIS Benchmark, BSI, SOC) Wie Prozeduren und Verfahrensweisen (technische Controls) Basis für alle Sicherheitstechnologien Prozeduren werden meistens sehr umfangreich sein 11 Warum technische Controls? > 95 % aller dem CERT gemeldeten Sicherheitsvorfälle betreffen Sicherheitslücken, für die Gegenmaßnahmen (Patche, Konfigurationsempfehlungen) zum Zeitpunkt des erfolgreichen Angriffs bereits verfügbar waren. Diese Vorfälle wären vermeidbar gewesen! Beispiel: Nimda, Sasser, Quelle: CERT (Computer Emergency Response Team)

7 Proaktive Sicherheit, das Beispiel: Sasser Security Focus meldet eine Schwachstelle auf den Betriebssystemen von Microsoft (Microsoft Windows LSASS Buffer Overrun, Alert #10108) Erster Exploit zu dieser Schwachstelle wird bekannt (Security Focus Alert #10108 Updates) Zweiter Exploit zu dieser Schwachstelle wird bekannt W32.Sasser.Worm Malicious Code Alert (DeepSight TMS erhöht den ThreatCon Level auf 4) 13 Proaktive Sicherheit, das Beispiel: Sasser Security Focus meldet eine Schwachstelle auf den Betriebssystemen von Microsoft (Microsoft Windows LSASS Buffer Overrun, Alert #10108) Erster Exploit zu dieser Schwachstelle wird bekannt (Security Focus Alert #10108 Updates) 16 Tage, diese Zeitspanne sollte genutzt werden! Zweiter Exploit zu dieser Schwachstelle wird bekannt W32.Sasser.Worm Malicious Code Alert (DeepSight TMS erhöht den ThreatCon Level auf 4)

4.04 Security Focus meldet eine Schwachstelle auf den Betriebssystemen von Microsoft (Microsoft Windows LSASS Buffer Overrun, Alert #10108) 26.4.04 Erster Exploit zu dieser Schwachstelle wird bekannt (Security Focus Alert #10108 Updates) 16 Tage, diese Zeitspanne sollte genutzt werden!

8 Schwachstellen sind mehr als nur fehlende Patche Account Information Account Integrity Active Directory Backup Integrity Discovery Disk Quota Encrypted File System File Access File Attributes File Find File Watch Integrated Command Engine Login Parameters Network Integrity Object Integrity OS Patches Password Strength Registry Response Startup Files System Auditing System Mail System Queues User Files 15 das Problem der Umsetzung Große Zahl zu überwachender Systeme Unterschiedlichste Systeme Viele Anwendungen, Datenbanken etc. Mangel an Resourcen / arbeitsintensiv Geografisch verteilte Netze Ergebnis: ein ein effizienter, aktueller und vollständiger Überblick über den den Sicherheitszustand ist ist ohne entsprechende Werkzeuge Stärke von Passwörtern nicht Netzwerk Parameter NT RAS, NIS, UNIX, rhosts files, verfügbar ftp, telnet Zugriffsrechte auf Dateien Zu hohe Berechtigungen Softwarestände nicht aktuell Defekte Dateien O/S spezifische Probleme Windows NT Registry, NetWare NDS, UNIX suid Files, etc

User Files 15 das Problem der Umsetzung Große Zahl zu überwachender Systeme Unterschiedlichste Systeme Viele Anwendungen, Datenbanken etc.

9 Soll-ist-Vergleich der Nachweis Policy Standards Prozeduren und Verfahrensweisen Policy-Überwachung Soll-Zustand Ist-Zustand Protokolle Nachweis (Revision) Ist-Zustand Unternehmen 17 Bevor man Sicherheit managen kann, muss man Sicherheit messen können 30% 99% 62% 70% 50%

Nachweis (Revision) Ist-Zustand Unternehmen 17 Bevor man Sicherheit

10 Sarbanes Compliance Levels Module Domain Manager Audit Date Compliance % Domain Compliance % Account Integrity All Agents rack13-10 May 5, % 78% All Agents 78% UNIX Agents rack13-10 May 5, % 78% UNIX Agents 78% Network Integrity All Agents rack13-10 May 5, % 100% All Agents 100% UNIX Agents rack13-10 May 5, % 100% UNIX Agents 100% Password Strength All Agents rack13-10 May 5, % 75% All Agents 75% UNIX Agents rack13-10 May 5, % 75% UNIX Agents 75% 19 Trendanalyse Critical Controls Monthly Compliance Trend XYZ Corporation Policy: Sarbanes-Oxley Policy Domain Manager Audit Date Compliance % Sarbanes- Oxley All Agents All Managers Jun 10, 2005 May 31, % 76.3% Apr 29, % Mar 25, % Feb 25, % Jan 28, % Dec 31, % Nov 26, % Oct 29, % Sep 24, % Aug 27, % Jul 30, % Filters Applied: Policy: Sarbanes-Oxley Module: <All Modules> Domain: All Agents Manager: All Managers Date Range: Jun 16, Jun 16, 2005 Jun 25, %

rack13-10 May 5, 2004 75% 75% All Agents 75% UNIX Agents rack13-10 May 5, 2004 75% 75% UNIX Agents 75% 19 Trendanalyse Critical Controls Monthly Compliance Trend XYZ Corporation Policy:

11 Vorteile eines strategischen Policy Compliance Ansatzes Etablieren eines Level of compliance, basierend auf den relevanten Regulation (KontraG, SOX, HIPAA, FISMA, Basel II etc.) Effizientere Nutzung des IT Budgets Ermöglicht die Priorisierung und Messbarkeit von Sicherheitsverbesserungen Stellt eine bewertbare (auditierbare) Historie zur Verfügung Ermöglicht die Beantwortung folgender Fragen: - Wie sicher sind wir? - Sind meine Werte (Informationen, Daten) adequat geschützt? - Was sind unsere Prioritäten in Sachen Sicherheit? - Würden wir einen Audit bestehen? 21 Ergebnisse der jährlichen E&Y Sicherheitsumfrage (2005) Regulatory compliance takes the lead as the most important driver of information security, surpassing worms and viruses Die Erfüllung regulatorischer Anforderungen ist mit 60% der wichtigste Faktor für Informationssicherheit aber es werden nur 18% der Zeit und des Budget für diese Sicherheitsaktivitäten zugeordnet

Beantwortung folgender Fragen: - Wie sicher sind wir? - Sind meine Werte (Informationen, Daten) adequat geschützt? - Was sind unsere Prioritäten in Sachen Sicherheit?

12 Vielen Dank 12

Ähnliche Dokumente

Keine Kompromisse. Optimaler Schutz für Desktops und Laptops CLIENT SECURITY

Keine Kompromisse. Optimaler Schutz für Desktops und Laptops CLIENT SECURITY Keine Kompromisse Optimaler Schutz für Desktops und Laptops CLIENT SECURITY Aktuelle Software ist der Schlüssel zur Sicherheit 83 % [1] der Top-Ten-Malware hätten mit aktueller Software vermieden werden