Karl G. Schrade, Dipl.- Ing. (FH), CISSP Technical Account Manager Central EMEA

Transkript

1

2 Karl G. Schrade, Dipl.- Ing. (FH), CISSP Technical Account Manager Central EMEA

3 Netzwerkgrenzen schwinden So sehen heutige IT Landschaften aus Externes Rechenzentrum Agentur Webauftritt Internet und Cloud Services Hersteller Firmen Campus Partner

4 Verwundbarkeiten an allen Ecken Von extern betriebenes Rechenzentrum Externes Rechenzentrum Server Betriebssystem nicht auf dem aktuellsten Stand 5 wichtige Security Updates nicht eingespielt 3 weitere Security Updates eingespielt, aber nicht aktiv wegen fehlendem Neustart des Systems Server Betriebssystem nicht hinreichend abgesichert Fehlerhafte Rechteverwaltung auf kritische Dateien Nicht benötigte Dienste aktiv Datenbank nicht auf dem aktuellsten Stand Letztes, als kritisch eingestuftes Security Update nicht eingespielt Datenbank nicht hinreichend gesichert 2 Konten mit vollen BA Rechten, abgesichert mit schwachen Passwörtend die nicht den Sicherheitsrichtlinien entsprechen... und vieles mehr

5 Verwundbarkeiten an allen Ecken Webauftritt entwickelt und betrieben von externer Agentur Unternehmens-Webseite verbreitet Schadsoftware Vor Monaten erfolgreich angegriffen, bis heute unbemerkt Code eingebaut der Botnet Software auf die Rechner der Besucher installiert (Drive-By Infection) Unternehmens-Webshop sehr einfach angreifbar SQL Injection erlaubt Zugriff auf Datenbank mit Kundendaten Cross Site Scripting erlaubt Angriffe auf Rechner der Benutzer Vertrauliche Daten stehen über URLs der Öffentlichkeit zur Verfügung Falscher Einsatz von Verschlüsselungstechnologien Veraltete, unsichere Versionen von SSL werden unterstützt (SSLv2) Kurze Schlüssellängen werden unterstützt (RC4-40, DES-56) Keine klare Netzwerksegmentierung Webauftritte verschiedener Kunden auf denselben Systemen bzw. auf Systemen in denselben Netzen Entwicklungsumgebung nicht getrennt von Produktionsumgebung... und vieles mehr Agentur Webauftritt

6 Verwundbarkeiten an allen Ecken Zum Schluss der interne Campus Betriebssystem und Applikationen auf hunderten von Workstations nicht auf aktuellstem Stand Patchmanagement nicht durchgängig implementiert bzw. unvollständig Zentrale Corerouter und Coreswitche anfällig für Denial of Service Software seit Jahren nicht aktualisiert, da niemand die Verantwortung dafür übernimmt Externer Mitarbeiter sorgt für Stillstand und verursacht Verluste Mit Schadsoftware infiziert, weil keine lokalen Schutzmechanismen auf dem Notebook Interner Mitarbeiter verstößt gegen Sicherheitsrichtlinie WLAN Router - für 20 EUR im Internet gefunden - öffnet unautorisierten Zugang in interne Netze Gezielte Industriespionage (Interner) Angreifer nutzt Schwachstelle auf altem, in Vergessenheit geratenen Testsystem aus Nutzt dieses als Next-Hop um lohnenswerte Systeme anzugreifen, die unternehmenskritische Daten verarbeiten... und vieles, vieles mehr Firmen Campus

7 Kennen Sie Ihr IT-Risiko? Fragen, denen sich jede Unternehmensführung stellen muss Kennen Sie Ihre IT-Infrastruktur und alle vorhandenen Risiken? Sie haben eine Schatten-IT, auch wenn Sie es nicht glauben Wie können Sie die Einhaltung von Vorgaben aus Richtlinien überprüfen? Von Vorgaben abweichende Systeme müssen automatisiert erkannt werden Wichtig für Aufbau und Betrieb eines Internen Kontroll Systems (IKS) Sind Sie zu anerkannten Standards und Frameworks konform (compliant)? Nachweise werden immer wichtiger für s tägliche Geschäft (Audits, Zertifizierungen) Wie können Sie Ihren Patchprozess priorisieren und verifizieren? Patchmanagementsysteme sagen oft nicht die Wahrheit Sind Penetrationstests wirtschaftlich sinnvoll, effektiv und effizient? Ergebnisse sind Schnappschüsse, meist nur einmal pro Jahr und auf ausgewählte Ziele Wie können Sie outgesourcete Systemumgebungen überprüfen? Blindes Vertrauen in die Einhaltung von SLAs ist keine Option Was können Sie zur Reduzierung Ihres IT-Risikos unternehmen? IT-Risikomanagement ist zentraler Bestandteil des Unternehmens-Risikomanagements

8 Kennen Sie Ihr IT-Risiko? Und wie lautet die Lösung? Transparenz schaffen Kennen Sie Ihre IT-Infrastruktur und alle vorhandenen Risiken? Transparenz Sie haben eine Schatten-IT, durch automatisierte auch wenn Sie es nicht glauben und regelmäßige Wie können Sie die Einhaltung von Vorgaben aus Richtlinien überprüfen? Schwachstellen- und Richtlinienüberprüfungen über Von Vorgaben abweichende Systeme automatisiert erkannt werden möglichst alle Netze, Systeme und Applikationen Wichtig für Aufbau und Betrieb eines Internen Kontroll Systems (IKS) Sind Sie zu anerkannten Standards und Frameworks konform (compliant)? Nur Transparenz ermöglicht ein effektives und effizientes Controlling Ihrer IT-Sicherheitsprozesse Nachweise werden immer wichtiger für s tägliche Geschäft (Audits, Zertifizierungen) Wie können Sie Ihren Patchprozess priorisieren und verifizieren? Patchmanagementsysteme sagen oft nicht die Wahrheit Sind Penetrationstests wirtschaftlich sinnvoll, effektiv und effizient? Transparenz ist somit die wichtigste Grundlage eines nachweislich wirksam funktionierenden Blindes Vertrauen in die Einhaltung von SLAs ist keine Option IT-Risikomanagements Ergebnisse sind Schnappschüsse, meist nur einmal pro Jahr und auf ausgewählte Ziele Wie können Sie outgesourcete Systemumgebungen überprüfen? Was können Sie zur Reduzierung Ihres IT-Risikos unternehmen? IT-Risikomanagement ist zentraler Bestandteil des Unternehmens-Risikomanagements

9

10 QualysGuard SaaS Security Solution Umfangreiche Suite integrierter Module QualysGuard Vulnerability Management - Globally Deployable, Scalable Security Risk and Vulnerability Management QualysGuard Policy Compliance - Define, Audit, and Document IT Security Compliance QualysGuard PCI Compliance - Automated PCI Compliance Validation for Merchants and Acquiring Institutions QualysGuard Web Application Scanning - Automated Web Application Security Assessment and Reporting that Scales with your Business QualysGuard Malware Detection - Free Malware Detection Service for Web Sites Qualys Secure Seal - Web Site Security Testing Service and Security Seal that Scans for Vulnerabilities, Malware and SSL Certificate Validation

11 QualysGuard SaaS Freemium Services Kostenlose Dienste und Open Source Initiativen

12 QualysGuard SaaS Security Solution Sichere Architektur ohne wenn und aber QualysGuard Secure Operation Center (SOC) EMEA in Genf Standard SOC für europäische Kunden Ende-zu-Ende Sicherheit aller Kommunikationsbeziehungen

13 Vorteile des QualysGuard SaaS Modells Warum Kunden sich für QualysGuard entscheiden Verschlüsselte, zentrale Datenhaltung gewährleistet nachweislich die Sicherheit aller gesammelten Daten in Bezug auf Vertraulichkeit, Verfügbarkeit, Integrität und Revisionssicherheit Jeder Kunde wird in einer logisch komplett eigenständigen und gesicherten QualysGuard Subscription gekapselt Nachgewiesen anhand regelmäßiger Audits sowohl durch anerkannte, unabhängige Unternehmen, als auch durch QualysGuard Kunden Keine Hardware oder Software zu installieren oder zu warten Gesicherter Full-Service-Betrieb der Lösung durch Qualys Management der Nutzung durch den Kunden Reine Betriebskosten (Opex), kein Invest (Capex) Einfache und schnelle Implementierung, auch weltweit Nur Intranet Scanner Appliances müssen ausgerollt werden Inbetriebnahme typischerweise 5-10 Minuten pro Scanner Appliance

14 Vorteile des QualysGuard SaaS Modells Warum Kunden sich für QualysGuard entscheiden Mandantenfähiges Management innerhalb einer Subscription Vollständige interne Kapselung logischer Einheiten (Business Units) Informationen/Daten aller Module konsolidiert in einer Oberfläche Erlaubt eine ganzheitliche Sicht auf überprüfte Assets Konsolidierte Reports als Nachweis für Audits bzw. Revision Datenaustausch zu beliebigen Applikationen über XML-API Vielfältige Integrationsmöglichkeiten von Third Party Applikationen Datenübertragung ausschließlich kryptografisch gesichert Konfiguration und Reporting über Internet (Webbrowser) Weltweiter gesicherter Zugriff (HTTPS) auf QualysGuard Subscription Bei Bedarf einschränkbar auf bestimmte IP Adressen/-bereiche Einfach erweiterbar um 2 Faktor Authentisierung (Zertifikate oder Token)

15 QualysGuard SaaS Security Solution Komponenten, Module und Integrationen Enterprise (QG Enterprise, QG PCI) SMB/KMU (QG Express, QG PCI) Freemium Services (MAL, Browsercheck, SSL Labs) QualysGuard On Demand Portal Analyze Comply Monitor Prevent Vulnerability Mgmt. Web App Scan Malware Detection SSL Labs HoneyNet Service* Policy Compliance PCI Compliance Secure Seal SCAP/FDCC Compliance Mgmt* Intrusion Detection* Wep App. Firewall* Intrusion Prevention* QualysGuard SaaS Technology Platform Scanners & Collectors Open APIs & Integrations

16 Qualys Firmenprofil Security & Compliance Management seit mehr als 11 Jahren Fakten und Zahlen Gegründet 1999, CEO Philippe Courtot Rund 270 Mitarbeiter weltweit über 50% in Research & Development, Operations und Support Mehr als 5000 Kunden weltweit 45% Fortune 100, 56% STOXX 50, 33% DAX 30 Marktführer Schwachstellen- und Compliance Management Analystenmeinungen Gartner: Highest possible rating of strong positive (2008/2010) Forrester: Qualys leads the pack in marketshare and innovation (2010) IDC: The leading vendor (2010) Frost & Sullivan: Marketshare leadership (2010) Mehrfacher Testsieger und Gewinner von Customer-Awards z.b. SC Magazine US und Europe 2006, 2007, 2008, 2009, 2010, 2011

17 Vielen Dank!