CYBERCRIME & CYBERSECURITY Wie schützt man sich in der Praxis? hannes.czamai@avl.com atomek@sba-research.org 1

Transkript

1 CYBERCRIME & CYBERSECURITY Wie schützt man sich in der Praxis? 1

2 Hannes Czamai Manager IT Security Manager IT Client Competence Center Phone: , Fax: Mobile: , Office: AVL LIST GMBH A-8020 Graz, Hans-List-Platz hannes.czamai@avl.com atomek@sba-research.org Public 2

3 OUR EXPERIENCE FOR YOUR SUCCESS AVL achieves unique results as regards to the development and improvement of all types of powertrains as well as in the field of measurement and test technology. AVL more than 60 years experience Involved in more than engine development projects More than 4,000 engine test bed installations Public 3

4 AVL COVERS ALL CUSTOMER SEGMENTS Engineering Passenger Cars 2-Wheelers Racing Simulation Construction Agriculture Commercial Vehicle Testing Locomotive Marine Power Plants Public 4

5 ENTERPRISE DEVELOPMENT AUTOMOTIVE Outlook 2013: Mio Turnover 1991: 95 Mio. 2012: Mio Employees 1991: : Average. R&D- Spending 10% of turnover hannes.czamai@avl.com atomek@sba-research.org Public 5

6 FIVE ELEMENTS OF THE POWERTRAIN IC Engine Battery Transmission Electric Motor Control Strategy 6

7 AVL A GLOBAL PARTNER hannes.czamai@avl.com atomek@sba-research.org Public 7

8 TOP THREATS against AVLs INFORMATION Complexity, where is my information Mobile devices, mobile Access Social engineering, social networks Internal espionage, lack of awareness Virus, Trojans, Spyware, Phishing, Botnets Corporate data on external (Cloud) storage Vulnerability in OS or Application Wi-Fi Hotspots, Hotel-LAN, public networks External attacks, denial of service attacks public 8

9 INFORMATION SECURITY is more than IT SECURITY ISO certified since public 9

10 ORGANIZATIONAL MEASURES AVLs SECURITY STRATEGY Global Policies Global ISMS Audits Global INT / EXT Audits Global SAP HR << -- >> ID Management Global Incident Management Global responsible Security Board Global aware employees Contract Management ISO certification hannes.czamai@avl.com atomek@sba-research.org public 10

11 TECHNICAL MEASURES AVLs SECURITY MEASURES Global (802.1x) Port Security Global Firewall / MPLS / VPN network Global Active Directory Global SAP HR << -- >> ID Management Global AD Policies Global COE Client Global Patch management (WSUS) Global Antivirus / Antimalware Global Software Deployment Global Mail system / Anti-SPAM Global Collaborations Platform hannes.czamai@avl.com atomek@sba-research.org public 11

12 INFORMATION SECURITY MONITORING Security Incident Process Monitoring + Reporting IT Risk Management Process Identify + Rate Risks AVL Security Board Review + Decision hannes.czamai@avl.com atomek@sba-research.org public 12

13 DI Mag. Andreas Tomek Geschäftsleitung Professional Services SBA-Research ggmbh Geschäftsführer ISCP GmbH CISSP,CISA,MCSE,MCITP,CPTS,CPTE,AMBCI Office: Sommerpalais Harrach / Favoritenstr. 16 / 1040 Wien atomek@sba-research.org Mobil: Telefon: +43 (1) Fax: +43(1) hannes.czamai@avl.com atomek@sba-research.org Public 13

14 Über SBA Research Größtes österreichisches Forschungszentrum für IT-Sicherheit und Prozessmanagement Gegründet 2006 Über 100 Köpfe und circa 70+ FTEs im Dienstverhältnis, davon circa 30 im Bereich Professional Services mit wissenschaftlichem und wirtschaftlichen Hintergrund Wissenschaftliche Partner: TU Wien, TU Graz, Universität Wien, WU Wien Mehr unter: public 14

15 SBA-Research Unternehmensprofil Professionel Services Security Governance Security Testing Trusted Services Business Impact & Risiko Analyse IT/IS Audit ISO GAP Analyse ISO / ISMS Begleitung Security Awareness Penetration Testing Systemprüfungen & Reviews Source Code Analyse A7700 SDLC Beratung Security Architecture Review Vulnerability Management APT Protection/Response & Lastline Control Review & IS ControlPoint Source Code Review & Checkmarx Training CISSP, CSSLP, Sec-Coding Training Schulung Coaching Vorträge hannes.czamai@avl.com atomek@sba-research.org public 15

16 Der Assistent für den IS Manager 1. Vereinfachung der Umsetzung des ISMS 2. Verteilung & Nachvollziehbarkeit wiederkehrender Aufgaben 3. Zentraler Informationspunkt 4. Grundlage für ein lebendiges ISMS 5. Wiederverwendbarkeit für weitere Zertifizierungen & Audits Mehr unter public 16

17 Ganzheitlicher Ansatz für Cybersecurity Drei Schritte um Informationen systematisch zu schützen 1. Business Impact Analyse (BIA) Wie viel Sicherheit wird von Abteilungen / Geschäftsprozessen benötigt? 2. Risikoanalyse Kann dieses Maß organisatorisch und technisch gewährleistet werden? 3. Reality Check Penetration Test PenTe st vom Bauchgefühl zum dokumentierten Wissen & zu dokumentierten Kontrollen Risikoanalyse Business Impact Analyse hannes.czamai@avl.com atomek@sba-research.org public 17

18 Informationssicherheitsmanagement Wie viel Sicherheit ist genug? Stufe 3: Informationssicherheitsmanagementsystem (ISMS) Alle Managementprozesse sind definiert, dokumentiert, gesteuert, nachvollziehbar und kontrolliert (Reifegrad 3+) Alle Managementprozesse sind aufeinander abgestimmt Nachweisbares internes Kontrollsystem sowie etablierter kontinuierlicher Verbesserungsprozess Security Awareness, Education & Training (SEAT) Konzept Regelmäßige interne & externe Qualitätssicherung Audit Konzept Stufe 2: Sicherheitsmanagement Sicherheitspolitik & Strategie Etablierte Informationssicherheits-Organisation Wesentliche Managementprozesse sind definiert, dokumentiert und umgesetzt (Reifegrad 2+) Risikoorientierte Vorgehensweise = Wissen über den Schutzbedarf wertschöpfender Prozesse sowie eine differenzierte Vorgehensweisen je Schutzbedarf Punktuelle Security Awareness Regelmäßige interne & anlassbezogen externe Qualitätssicherung Stufe 1: Sicherheitsbasis Keine unmittelbare Gefährdung wertschöpfender Unternehmensprozesse Beseitigen von Schwachstellen, die leicht von einem Angreifer ausgenutzt werden können Operative Tätigkeiten erfüllen ihren Zweck (Reifegrad 1+) hannes.czamai@avl.com atomek@sba-research.org public 18

19 Wesentliche Bausteine Stufe 1 Beschränkter Zutritt zu bzw. Zugriff auf (kritischen) IT Systemen Kontrollierte Berechtigungsvergabe & starke Passwort Policy Netzwerkschutz (Firewall, VPN) Netzwerksegmentierung (zumindest DMZ, WLAN) Durchgängiges Anti-Virenkonzept Kontrolliertes Patch Management (Betriebssysteme, Applikationen) Backup Konzept Verschlüsselung Festplatten (Laptops) Service Level Agreements & Wartungsverträge für kritische Infrastruktur Dezidierte Zuweisung von Verantwortlichkeiten IT Personal mit aktuellem Security Know-How Verbindliche Endbenutzerrichtlinie hannes.czamai@avl.com atomek@sba-research.org public 19

20 Wesentliche Bausteine Stufe 2 Etablierte Informationssicherheits-Organisation Dezidierte Strategie, Informationssicherheitsverantwortlichkeit, regelmäßige Abstimmungen mit operativer IT, Fachbereichen und Geschäftsführung Risikoorientierte Vorgehensweise Business Impact Analyse, Risiko Analyse, Maßnahmensteuerung, regelmäßige interne & anlassbezogene externe Qualitätssicherung Wesentliche Managementprozesse erfüllen Reifegrad 2+ Patch Management, Change Management, Vulnerability Management, Asset Management, Backup & Wiederherstellung, Incident Management, Notfallmanagement, Konfigurationen (Performance & Sicherheit/Hardening), Logging & Monitoring (Performance & Sicherheit), Dokumentation, Externe Review, Freigabe & Kontrolle Security Awareness Trainings Umgang mit sensiblen Informationen, Anti-Viren Maßnahmen, Netzwerkzugriff Dezidierter Schulungs- & Fortbildungsplan hannes.czamai@avl.com atomek@sba-research.org public 20

21 Wesentliche Bausteine Stufe 2 Fortgeschrittener Netzwerkschutz IDS/IPS Vulnerability Scanner Dedizierte Segmente für Clients, Server, Management Kontrollierter Netzwerkzugriff (z.b.: 802.1x, NAC/NAP) & Remote Access Konzept (inkl. 2-Faktor Authentifizierung) Fortgeschrittenes Anti-Malwarekonzept Mehrstufiges Konzept (Proxy, Mail, Clients/Server) Kontrollierter Internetzugriff (URL Filter, SSL Inspection) & Application Management Fortgeschrittenes Datensicherheitskonzept Verschlüsselung (Laptops, Workstations, Server, SmartX, mobile Datenträger, Backup-Medien) Berechtigungsvergabe (je nach Schutzklasse und Ablageort) Fortgeschrittene Management Tools Vulnerability Management Secure Configuration Management Sicherer Softwareentwicklungslebenszyklus (SDLC) hannes.czamai@avl.com atomek@sba-research.org public 21

22 Wesentliche Bausteine Stufe 3 Alle Managementprozesse erfüllen Reifegrad 3+ Nachvollziehbares Management System Kontinuierlicher Verbesserungsprozess Regelmäßige Überprüfung der Wirksamkeit des ISMS Messung der Wirksamkeit der Maßnahmen Regelmäßige Überprüfung/Anpassung der Risikobewertung und Berücksichtigung von eventuell geänderten Rahmenbedingungen Durchführung interner ISMS Audits Durchführen von Überprüfung des ISMS durch das Management Aktualisierung von Sicherheitsplänen Aufzeichnen von Ereignissen, die die Wirksamkeit des ISMS beeinflussen können Umsetzung von identifizierten Verbesserungen Anwendung von Korrektur- und Vorbeugemaßnahmen Business Continuity Management (System) hannes.czamai@avl.com atomek@sba-research.org public 22

23 Wesentliche Bausteine Stufe 3 Fortgeschrittener Netzwerkschutz Web Application Firewall (WAF) Fortgeschrittenes Anti-Malwarekonzept Advanced Persistant Threats (APT) Fortgeschrittenes Datensicherheitskonzept Data Loss Prevention (DLP) Information Rights Management (IRM) Mobile Device Management (MDM) Fortgeschrittene Management Tools Security Incident and Event Management (SIEM) Identity & Access Management hannes.czamai@avl.com atomek@sba-research.org public 23

24 Beispiel Cybersecurity Technischer Schutz APTs public 24

25 Org. Ziel: Etablierte Controls & Kontinuierlicher ISMS Kreislauf Patch Patch Patch Management Richtlinie Management Kontrolle Management Risiko Richtlinie Kontrolle Risiko Es müssen alle produktiven Systeme am aktuellsten Patch Stand sein Weise 1x/Monat nach, dass alle produktiven Systeme am aktuellsten Patch Stand sind Kritische Auswirkung, wenn System A kompromittiert, da falsche Beladung LKWs. System B kann nicht aktualisiert werden hohes Risiko aber nicht mittelfristig lösbar. Patch Management Maßnahme Maßnahme Notfall-Patch für System A durchführen sowie geregelten Patch Prozess etablieren. Patch Management Audit Audit Automatisierte Analyse der Patch Stände aller produktiven Systeme. Management Review Review Review der Richtlinie, Maßnahmen, Kontrollen sowie akzeptierter Risiken. hannes.czamai@avl.com atomek@sba-research.org public 25

26 Q&A Danke für Ihre Aufmerksamkeit! public 26