12. IT-TRENDS SICHERHEIT 2016 IT-SICHERHEIT: DER NÄCHSTE VERSUCH,

Transkript

1 IT-SICHERHEIT: DER NÄCHSTE VERSUCH, BITTE!?, RWE IT GmbH, rewirpower-lounge, Bochum, 20. April 2016

2 ÜBERSICHT 1. Motivation & Vorstellung 2. Trends in der Unternehmens-IT 3. Herausforderungen in der IT-Sicherheit 4. Strategische Initiativen in der IT-Sicherheit 5. Fazit & Ausblick Seite 2

3 MOTIVATION Motivation Persönlicher Hintergrund Forschung zur Angriffserkennung in Kommunikationsnetzen IT-Sicherheitsmanagement IT-Sicherheitsmanagement Rückblickende Frage Welche Probleme im IT-Sicherheitsmanagement wurden eigentlich in den letzten 20 Jahren nachhaltig gelöst? Seite 3

4 VORSTELLUNG Vorstellung RWE IT (2014) RWE IT-Gruppe: 1. IT-Leistungen decken alle wesentlichen Stufen der Wertschöpfungskette des Energiegeschäfts ab. 2. IT und Business wachsen immer mehr zusammen alle Innovationen bei Produkten und Prozessen sind IT-getrieben. 3. RWE IT schließt als Enabler die Lücke zwischen IT und Business. 4. RWE IT besteht rechtlich aus vier Ländergesellschaften mit mehr als Mitarbeitern in Deutschland, Großbritannien, der Tschechischen Republik und Ungarn. Umsatz 567 Mio (2014) Mitarbeiter (Vollzeitstellen) Betreute PCs > Betreute RWE-Gesellschaften ca. 170 Seite 4

5 TRENDS IN DER UNTERNEHMENS-IT RWE Energiewende & Innovation Burning Platform vs. Innovation: Seite 5

6 TRENDS IN DER UNTERNEHMENS-IT RWE IT-Trends und -themen 1 Konsequenz Nutzer, Daten und Anwendungen sind über mehrere Orte, von denen viele nicht Bestandteil der Unternehmensinfrastruktur sind, verteilt. Komplexität der Geschäftstätigkeit wächst, Abhängigkeiten nehmen zu und Nutzer werden zunehmend mobiler und unabhängiger. 1 In Anlehnung an Framework for Improving Critical Infrastructure Cybersecurity, National Institute of Standards and Technology, February Seite 6

7 HERAUSFORDERUNGEN RWE Neue Herausforderungen in der IT-Sicherheit 1 Konsequenz Bedrohungen verändern sich und entwickeln sich ständig weiter. 1 In Anlehnung an Threats Report, McAfee Labs, März 2016 und Internet Security Threat Report, Volume 21, Symantec, April Seite 7

8 HERAUSFORDERUNGEN RWE Kausalität der aktuellen Gefährdungslage 1 1 In Anlehnung an Die Lage der IT-Sicherheit in Deutschland 2015, BSI, November Seite 8

9 HERAUSFORDERUNGEN RWE Altbekannte Herausforderungen in der IT-Sicherheit Fragen Welches dieser beiden Probleme haben Sie besser im Griff? Welches dieser beiden Probleme haben Sie gut im Griff? Welches dieser beiden Probleme glauben Sie tatsächlich nachhaltig lösen zu können? Seite 9

10 HERAUSFORDERUNGEN RWE Altbekannte Herausforderungen in der IT-Sicherheit (1997) Beziehungen im Risikomanagement 1 : 1 Leitfaden für das IT-Sicherheitsmanagement (GMITS) Teil 1: Konzepte und Modelle für die IT-Sicherheit (ISO/TR , DIN-Fachbericht 66, 1997). Seite 10

11 RWE IT-Sicherheitsstrategien gestern und heute IT-SICHERHEITSINITIATIVEN Seite 11

12 IT-SICHERHEITSINITIATIVEN RWE IT Strategische IT-Sicherheitsinitiativen Strategische IT-Sicherheitsinitiativen: 1. Secure IT Architectures: Definition und Durchsetzung einer sicheren IT- Zielarchitektur gemäß aktueller und zukünftiger Anforderungen. 2. Identity Governance & Management: Konsistentes und angemessenes Management der Rollen und Identitäten. 3. Secure Software Development Lifecycle (S-SDLC): Entwicklung sicherer IT- Anwendungen und IT-Systeme für die definierte IT-Zielarchitektur. 4. Situational Awareness: Betrieb von IT-Anwendungen und IT-Systemen in einer proaktiv sicheren Art und Weise, bei kontinuierlicher Erfassung und Handhabung der von Bedrohungen und Schwachstellen ausgehenden Risiken. 5. IT Supply Chain Management: Durchsetzung und Überwachung der IT- Sicherheitsanforderungen über die komplette Fertigungstiefe und alle beteiligten IT-Dienstleister. Seite 12

13 IT-SICHERHEITSINITIATIVEN Sichere IT-Architekturen Ziel Ziel: Definition und Durchsetzung einer sicheren IT-Zielarchitektur gemäß aktueller und zukünftiger Anforderungen. Internet Data Center Offices Data Center Clients DMZ Application Admin Zone Presentation Tier Presentation Tier Application Tier Data Tier Office Zone Infrastructure Zone Data Center Business Zone Seite 13

14 S-SDLC Ziel IT-SICHERHEITSINITIATIVEN Ziel: Entwicklung sicherer IT-Anwendungen und IT-Systeme für die definierte IT-Zielarchitektur. S-SDLC stellt 1. Prozesse, 2. Techniken und 3. Werkzeuge zur Vermeidung bzw. Behebung von Software-Schwachstellen und somit zur Minimierung der Angriffsoberfläche zur Verfügung. Dadurch reduziert sich das Risiko für die RWE-Assets und der Aufwand für die Absicherung im Betrieb. Seite 14

15 S-SDLC Prozesse IT-SICHERHEITSINITIATIVEN Entwicklung von individuellen Ausprägungen des S-SDLCs für: 1. SAP, 2. Java, 3..NET und 4. Mobile Apps auf der gemeinsamen Basis zweier Security-Gates (S-Gates): SDLC Phases Requirements Design Development Testing Deployment & Operations S-SDLC Gates S-Gate 1 S-Gate 2 1. S-Gate 1 (Sicheres System-Design): Prüfung des Systemstatus vor der Entwicklungsphase hinsichtlich IT- Sicherheitsarchitektur, Systemkonfiguration, Systemhärtung (OS, Anwendung, DB), Patch-Level etc. 2. S-Gate 2 (Sichere Software-Entwicklung): Abnahmetest bzw. -audit vor der Inbetriebnahme hinsichtlich der Prüfungen von S-Gate 1 sowie statisches bzw. dynamisches Application-Security-Testing (SAST/DAST) und Penetrationstest. Seite 15

16 S-SDLC Techniken & Werkzeuge IT-SICHERHEITSINITIATIVEN Benötigte Komponenten: International Secure Standards OWASP TOP 10 OWASP Mobile TOP10 SAP BIZEC APP11 Best Practices, Checklists, Protection & Prevention Techniques Secure by default Secure by design ESAPI Framework Virtual Patching/WAF Trainings, Awareness Basic: Application Security Training Advanced: Secure Coding Expert: Attack and Protection Techniques Policies Secure Coding & Development S- SDLC Tools Source Code Analysis (SAST, DAST) Penetration Testing Vulnerability Scanning Seite 16

17 S-SDLC Gesamtübersicht IT-SICHERHEITSINITIATIVEN Phasen und Aktivitäten: SDLC Phases Requirements Design Development Testing Deployment and Operations Secure Software Best Practices Preliminary Software Risk Analysis Security Requirements Engineering Security Risk- Driven Design Secure Code Implementation Security Tests Security Configuration & Deployment Secure Operations Ongoing S-SDLC Activities Metrics and Measurements, Training and Awareness S-SDLC Activities Define Use & Misuse Cases Define Security Requirements Secure Architecture & Design Patterns Threat Modelling Security Test Planning Security Architecture Review Peer Code Review Automated Static and Dynamic Code Review Security Unit Tests Functional Test Risk Driven Tests System Tests White Box Testing Black Box Testing Secure Configuration Secure Deployment Other Disciplines High Level Risk Technical Risk Assessment Incident Management Patch Management Other Ongoing Disciplines Information Risk Management, Defect Management, Change Management, Vulnerability Management Seite 17

18 Situational Awareness Ziel IT-SICHERHEITSINITIATIVEN Ziel: Betrieb von IT-Anwendungen und IT-Systemen in einer proaktiv sicheren Art und Weise, bei kontinuierlicher Erfassung und Handhabung der von Bedrohungen und Schwachstellen ausgehenden Risiken. Management ITSOC Team Dashboard Data Sources Anwendungsfälle 1. Ad-hoc-Risikoanalyse Ausgelöst durch Warnungen zu Bedrohungen oder Schwachstellen: Ist RWE verwundbar? Welche Assets sind verwundbar? Welche verwundbaren Assets sind durch andere technische Maßnahmen geschützt? Was ist das resultierende Gesamtrisiko? 2. Compliance-Monitoring Regeltätigkeit im Rahmen des Risiko- und SLA-Managements: Welche Assets haben vergleichbare Risiken und somit Schutzanforderungen? Durch welche Maßnahmen können diese Asset-Gruppen geschützt werden? Welche Assets sind verwundbar? Werden die Assets durch den IT-Dienstleister ordnungsgemäß konfiguriert und betrieben? Seite 18

19 Situational Awareness Prozesse, Techniken & Werkzeuge IT-SICHERHEITSINITIATIVEN Benötigte Komponenten und Schnittstellen: Seite 19

20 Situational Awareness Gesamtübersicht IT-SICHERHEITSINITIATIVEN Notwendigkeit zur: Automatisierung der IT-Lagebildermittlung Automatisierung der Erkennung und Behandlung von IT-Sicherheitsvorfällen Seite 20

21 FAZIT & AUSBLICK Fazit & Ausblick Fazit Werden die Probleme im IT-Sicherheitsmanagement in den nächsten 10 Jahren nachhaltig gelöst? Contra Entgrenzung von Arbeit und Leben nimmt immer weiter zu (BYOx). IT-Lieferketten werden zunehmend komplexer und inhomogener (z.b. Outsourcing, Cloud- Dienste etc.). Knappe, insbesondere personelle Ressourcen, um die selbst eigentlich komplementäre Initiativen konkurrieren (z.b. Informations- vs. IT- Sicherheit). Unzureichende Automatisierung aufgrund fehlender Interoperabilität von Werkzeugen. Weiterhin vorhandene SecOps-Lücke. Pro + Umkehrung der Innovation: Übertragung von privat genutzten Lösungen auf den beruflichen Bereich (z.b. Zweifaktor-Authentifikation, Verschlüsselung etc.). + Zunehmende Möglichkeit zur Automatisierung von relevanten Prozessen und Tätigkeiten. + Bereitstellung und Professionalisierung benötigter Lösungen durch externe Dienstleister (z. B. Managed Security Service Provider ) und damit implizit verbundener Informations- und Wissenstransfer. + Generell höhere Aufmerksamkeit für das Thema beim Management. Ausblick Erfolgswahrscheinlichkeit: Steigend, aber für eine nachhaltige Lösung muss die sichere Software-Entwicklung und damit die Prävention wieder ins Zentrum rücken. Seite 21

22 VIELEN DANK FÜR IHRE AUFMERKSAMKEIT! Seite 22