Unbekannte Schwachstellen in Hardware und Betriebssystemen

Transkript

1 SioS GmbH, München (2004) 1 Unbekannte Schwachstellen in Hardware und Betriebssystemen GmbH für DV-Architekturen Unternehmensberatung für IT-Sicherheit

2 SioS GmbH, München (2004) 2 Inhalt Die aktuelle Ausgangssituation und ihre Herausforderung Die neuen Risiken Die technische Lösung Die Auswirkungen auf das Sicherheitsmanagement Fazit

3 SioS GmbH, München (2004) 3 Die Ausgangssituation Protokoll fest: IP Kontaktpunkt sichtbar und aktiv betrieben Firewall implementiert Regeln, welche es erlauben gewünschte von nicht erlaubten Daten zu unterscheiden Firewall WWW + ftp Server externer DNS + Mailserver NAS Network Access Server interner DNS + Mailserver Äußerer Router DMZ Innerer Router Firmen LAN Kommunikationspartner Bastion Host

4 SioS GmbH, München (2004) 4 Die neuen Technologien Infrarot kontaktlose Kommunikation über kurze Distanz Quelle: Rhode und Schwarz Beschreibbare DVD > 4 GB je Medium Memory Stick bis zu 2 GB ohne Installation im Kugelschreiberformat USB Massenspeicher Festplattengröße ohne Installation Bluetooth Klasse 1 kontaktlose Kommunikation über größere Distanz WLAN kontaktlose Einbindung in fremde Netze Hot-Spots mit Roamingfunktion

5 SioS GmbH, München (2004) 5 Der moderne Client Kabellose Verbindungen Hohe Bandbreiten Plug&Play Kleine Geräte Vollautomatisiert Integriert Transparent Sicher?

6 SioS GmbH, München (2004) 6 Was ist neu gegenüber der Firewall Kein einfaches Standardprotokoll Keine Hardware zwischen Eigentum und Kommunikationspartner Härtung (10000 Clients?) Personal für die Administration der Security Policy der Endanwender? Wer kann die Verbindungen kontrollieren und in Risikosituationen einschreiten der Endanwender? Innovation auf dem Gerätemarkt technologiegetrieben Reifegrad variiert stark Wirkungspunkt zentral - dezentral Skalierung der Hardware Firewall 1-10 Geräte Clients / Notebooks mehrere tausend Skalierung der Policy Regeln auf der Firewall Anwendungen User / Gruppen Content-(formate) Inhaltsabhängige Regeln auf Geräte und Schnittstellen Client User / Gruppen Protokolle potentiell benutzbare Geräte Verwendbare Schnittstellen Content-(formate)

7 SioS GmbH, München (2004) 7 Die Situation der Unternehmen Befragt wurden über 300 Unternehmen (W2K oder XP Nutzer) in Einzelinterviews Anzahl der Arbeitsplätze zwischen 300 und Anzahl der Arbeitsplätze über 1 Mio. Bekanntheitsgrad der grundsätzlichen Problemsituation hoch Explizite Security Policies vereinzelt Häufigste Maßnahme Dienstanweisung Genannte Security Policies auch in Vorbereitung Memory Sticks Verbieten Nur verschlüsselt einsetzen USB mit Bordmitteln (z.b. BIOS) ganz zumachen Einsatz Modem, Diskette, CD regulieren Kameras freigeben Sicherheitsbeauftragter befürchtet aber Wildwuchs Konflikt noch nicht beigelegt

8 SioS GmbH, München (2004) 8 Die Messgrößen der SioS Innovationsdruck des Unternehmens Bedingt durch Wertschöpfung und ROI Bedingt durch Kunden- oder Nutzeranforderung Awareness des technischen IT-Personals für die Risikosituationen Awareness der Endbenutzer für die Risikosituationen Reifegrad der im Unternehmen etablierten oder zur Verabschiedung anstehenden Policies Qualität der organisatorischen Lösung (abgeleitete Größe) Qualität der technischen Lösung

9 Der Markt: Durchschnitt - Innovationsdruck PCMCIA USB Infrarot WLAN Bluetooth Firewire 0% 20% 40% 60% 80% SioS GmbH, München (2004) 9

10 SioS GmbH, München (2004) 10 Der Markt: Durchschnitt der Kennzahlen Technische Lösung Policy Reifegrad User Awareness Awareness IT- Mitarbeiter 0% 20% 40% 60%

11 SioS GmbH, München (2004) 11 Inhalt Die aktuelle Ausgangssituation und ihre Herausforderung Die neuen Risiken Die technische Lösung Die Auswirkungen auf das Sicherheitsmanagement Fazit

12 SioS GmbH, München (2004) 12 Die neuen Risiken Was ich nicht kenne, kann ich nicht schützen Client Verfügbarkeit Dienstanweisungen Basisinstallation Mobiler Einsatz Fehlerhafte Annahmen an die Umgebung Die Netzgrenzen Vertraulichkeit, Integrität und Malicious Code

13 SioS GmbH, München (2004) 13 Was ich nicht kenne, kann ich nicht schützen Bluetooth ist noch kein Thema, weil die dazu notwendige Hardware noch nicht auf den Unternehmensrechnern verfügbar ist Ab 50,- im Einzelhandel wird aus dem USB Anschluss eine vollwertige Bluetooth Schnittstelle Geräte z.b. der PC2PC Transceiving Key von MSI starten wegen der einfachen Nutzbarkeit mit ausgeschalteter Authentisierung und Verschlüsselung Der Memory Stick als bootfähige Partition - im schlimmsten Fall mit Hackerwerkzeugen Mit Bordmitteln erstellte USB- Ausschalter scheitern häufig an einfachen Hürden, gegen welche nicht getestet wurde Anschluss mehrerer Root-Hubs z.b. über PCMCIA USB Karte (45,- ) Anschluss während der Bootphase Tests mit frei auf dem Markt verfügbaren Geräten wurden nicht durchgeführt, weil die Beschaffung mit Firmenmitteln ja einen sinnvollen Antragsgrund benötigt Das Definieren einer Policy / Dienstanweisung erfordert eine Aktualisierung mit dem Markt

14 SioS GmbH, München (2004) 14 Was ich nicht kenne, kann ich nicht schützen Technische Lösung Policy Reifegrad User Awareness Awareness IT-Mitarbeiter 0 0,1 0,2 0,3 0,4 0,5

15 SioS GmbH, München (2004) 15 Client Verfügbarkeit

16 SioS GmbH, München (2004) 16 Client Verfügbarkeit Technische Lösung Policy Reifegrad User Awareness Awareness IT-Mitarbeiter 0 0,1 0,2 0,3 0,4 0,5 0,6

17 SioS GmbH, München (2004) 17 Dienstanweisungen Was ist besonderes an dieser Situation? Ein Mann arbeitet im Zug an einem Notebook Im Gang stehen einige Personen auf der Suche nach einem Sitzplatz Kann ein Mitarbeiter Verantwortung für etwas übernehmen, ohne es zu wissen? Stop! Zutritt für unbefugte Bluetooth oder Wlan Funkwellen verboten

18 SioS GmbH, München (2004) 18 Dienstanweisungen Technische Lösung Policy Reifegrad User Awareness Awareness IT-Mitarbeiter 0 0,02 0,04 0,06 0,08 0,1 0,12

19 SioS GmbH, München (2004) 19 Basisinstallation Ein Notebook verfügt für gewöhnlich über ein oder zwei PCMCIA Slots Soll in einem Mengenroll-Out der Betrieb für 3 oder mehr PCMCIA Karten, welche später je nach Bedarf verwendet werden sollen (z.b. WLAN, UMTS, GPRS, ISDN), vorbereitet werden, so verhindert die automatische Geräteerkennung eine geeignete Vorbereitung Es gilt abzuwägen zwischen einer unbewachten Installation (nur eine oder zwei Karten können stecken) also den Personalkosten der Roll-Out Vorbereitung und der Sicherheit des Systems, beispielsweise werden technische Accounts lokal eingerichtet (auf jedem Notebook der gleiche Account mit dem gleichen Passwort), um die Installationsrechte nicht direkt an den Endanwender zu koppeln

20 SioS GmbH, München (2004) 20 Basisinstallation Technische Lösung Policy Reifegrad User Awareness Awareness IT-Mitarbeiter 0 0,2 0,4 0,6 0,8 1

21 SioS GmbH, München (2004) 21 Mobiler Einsatz Die Mobilität und die einfache Bedienbarkeit eines Notebooks werden durch kabellose Verbindungen erhöht Der einfache Einsatz erfordert dann eine aktive Suche des Notebooks nach geeigneten Dienstanbietern um festzustellen, ob ein Dienst geeignet ist, muss aber zuerst eine Verbindung hergestellt werden Bei den unterschiedlichen Nutzungsprofilen lassen sich aus Sicherheitssicht unterschiedliche Risikogruppen bilden Relativ unkritisch: Maus, HID Umgebungsabhängige Kritikalität: Drucker (Vorsicht viele Drucker haben auch ein Modem oder Wechselspeicher integriert), Bildschirm, Tastatur Kritisch: Modem, Netzwerkkarten, Bidirektionale Protokolle ohne Authentisierung und Verschlüsselung (dazu zählen z.b. auch Netzwerkmanagementprotokolle)

22 SioS GmbH, München (2004) 22 Mobiler Einsatz Technische Lösung Policy Reifegrad User Awareness Awareness IT-Mitarbeiter 0 0,2 0,4 0,6 0,8 1

23 SioS GmbH, München (2004) 23 Fehlerhafte Annahmen an die Umgebung In einer kleinen Außenstelle wird ein DVD-Brenner über Bluetooth im Scatternet-Modus (mehrere Master greifen auf einen Slave zu) als Backup-Lösung etabliert alle Elemente eines guten ROIs sind erfüllt, da Innovation zu einer Kostensenkung, verbesserter Ergonomie und weiteren Vorteilen führt Der Backup startet jede Nacht zu unterschiedlichen Zeiten, um eine gegenseitige Behinderung auszuschließen Der Vertriebsmitarbeiter sitzt bis spät in die Nacht im Hotel arbeitet an seinem Notebook... Im Hotelzimmer nebenan hat ein Wettbewerber, der an der gleichen Konferenz teilnimmt, einen DVD-Brenner über Bluetooth in Betrieb

24 SioS GmbH, München (2004) 24 Fehlerhafte Annahmen an die Umgebung Technische Lösung Policy Reifegrad User Awareness Awareness IT-Mitarbeiter 0 0,1 0,2 0,3 0,4 0,5

25 SioS GmbH, München (2004) 25 Die Netzgrenzen Der motivierte Mitarbeiter denkt mit: Arbeitszeit in der Besprechung kann produktiv für s genutzt werden Bei Elektromarkt um die Ecke für 49,90 Euro sogar auf eigene Kosten das WLAN Set gekauft Access Point in die Ethernet Dose wir fahren DHCP da ist das auch ohne Administrator kein Problem WLAN Port des neuen Notebooks ist endlich produktiv Die Zeit im Besprechungsraum nebenan kann genutzt werden Die Konsequenz Der Passant auf der Strasse hört mit Der Netzwerkadministrator weiß noch nicht einmal, dass es ein Problem gibt Der Nutzer hat kein schlechtes Gewissen

26 SioS GmbH, München (2004) 26 Die Netzgrenzen Technische Lösung Policy Reifegrad User Awareness Awareness IT-Mitarbeiter 0 0,2 0,4 0,6 0,8

27 SioS GmbH, München (2004) 27 Vertraulichkeit, Integrität und Malicious Code Die notwendige Security Policy lässt sich für gewöhnlich einfach formulieren Unternehmensdaten nach draußen nur verschlüsselt Externe Daten nach innen nur nach Inspektion zumindest sollten die Regeln der Contentprüfung der Firewall auch hier gelten Vor dem Einbeziehen einer externen Datensammlung ist diese auf die Freiheit von Malicious Code zu prüfen Die verwendeten Betriebssysteme zeigen sich etwas uneinsichtig bei der Umsetzung dieser Policies Was fehlt: Ein technisches Werkzeug Ein geeignetes Sicherheitsmanagement hier das Lifecyclemanagement der Security Policy angepasst an die Innovationsgeschwindigkeit des Marktes

28 SioS GmbH, München (2004) 28 Vertraulichkeit, Integrität und Malicious Code Technische Lösung Policy Reifegrad User Awareness Awareness IT-Mitarbeiter 0 0,2 0,4 0,6 0,8 1

29 SioS GmbH, München (2004) 29 Closed Information Network Closed Information Network Unternehmen Nicht zum Import freigegebene Information (Schutz der Integrität) Nicht zur Weitergabe freigegebene Information (Schutz der Vertraulichkeit) (Un-) Bewusstes Einspielen fehlerhafter Daten und/oder Software/Malicious Code Verlust der Vertraulichkeit sensibler Daten

30 SioS GmbH, München (2004) 30 Closed Information Network Geprüfte, zum Import freigegebene Information Closed Information Network Zum Export oder zur Weitergabe freigegebene Information Schutzstärke nur regulierbar über differenzierte, umständlich zu ändernde Dienstanweisungen Unternehmen Organisatorische Maßnahmen sollen den Import bzw. Export unerwünschter Informationen bzw. Daten verhindern. Schutzstärke nur regulierbar über differenzierte, umständlich zu ändernde Dienstanweisungen Ziel: Abbilden dieser Maßnahmen auf Software Technische Lösungen sind organisatorischen vorzuziehen!

31 SioS GmbH, München (2004) 31 Der Markt: Durchschnitt der Risiken Vertraulichkeit, Integrität und Malicious Code Schutz der "neuen" Netzgrenzen Fehlerhafte Annahmen an die Umgebung Mobiler Einsatzbedingungen Sicherheitsdefizite durch Basisinstallation Grenzen von Dienstanw eisungen Verlust der Client Verfügbarkeit Schutz vor unbekannten Technologien / Geräten 0% 20% 40% 60% 80%

32 SioS GmbH, München (2004) 32 Inhalt Die aktuelle Ausgangssituation und ihre Herausforderung Die neuen Risiken Die technische Lösung Die Auswirkungen auf das Sicherheitsmanagement Fazit

33 SioS GmbH, München (2004) 33 KO Kriterien für den Reifegrad der Lösungen Kosten während des Einsatzes: Eine Policy darf nur so komplex sein, wie die Anforderungen des Unternehmens Black List Sperre einzelner schwarzer Schafe White List Freigabe einzelner aus Unternehmenssicht notwendiger Geräte bei allgemein gesperrter Technologie Qualifizierte Kommunikation an den Benutzer ansonsten Kostenexplosion im Service und Help Desk Online Sichtbarkeit der Auswirkungen der Policy auf alle Rechner im Netz für den Service Desk Revisionssicherheit und Revisionsfreudigkeit der Policies (Lifecyclemanagement) Sicherheit muss unabhängig von der Netzanbindung gegeben sein Mehr dazu in unserer detaillierten Marktanalyse

34 SioS GmbH, München (2004) 34 Die technische Lösung Marktanalyse Leistungsspektrum KO-Kriterien Unsere Empfehlung: DeviceWatch Einsatzbericht Tipps für Roll-Out Lösungsszenarien für die beschriebenen Problemstellungen Im Überblick unter: Details gerne im Gespräch am Stand

35 SioS GmbH, München (2004) 35

36 SioS GmbH, München (2004) 36 Inhalt Die aktuelle Ausgangssituation und ihre Herausforderung Die neuen Risiken Die technische Lösung Die Auswirkungen auf das Sicherheitsmanagement Fazit

37 Die Auswirkungen auf das Sicherheitsmanagement P D A Modem Drucker Externe Festplatte Netzzugang Kamera Mäuse Readonly Media USB immer Vertrieb Nur Gut- Nach PCMCIA Bluetooth Infrarot SCSI Firewire WLan N u r A d r e s s b u c h Nur VPN Desktop Notebook aber ohne Multifunktion Modem Scan achter nie immer Prüfung des Inhalts auf Malicious Code Seriell etc. SioS GmbH, München (2004) 37

38 SioS GmbH, München (2004) 38 Lifecycle der Policies Jede Innovationsnutzung erfordert eine Erweiterung der Policy (mehr Freigaben) Kurze Changezyklen sind die Konsequenz Übersichtliche Dokumentation (z.b. über archivierte Policyfiles) Integration der Anträge und Freigaben in ein elektronisches Berechtigungsverfahren Direkte Abhängigkeit zwischen der Innovationsnähe der Wertschöpfungskette eines Unternehmens und Der Änderungshäufigkeit der Policy Die Ausnahme ist der Regelfall deshalb Vorsicht bei vollständiger ADS Integration

39 SioS GmbH, München (2004) 39 Auswirkungen auf das Riskmanagement Themenorientierte Kosten/Nutzen Analyse Kosten Technologiekosten / Startinvestition Zusatzprodukte für die Sicherheit Betriebskosten der Sicherheit und der Technologie Fehleranfälligkeit gegen unbekannte Fehler CERT... Nutzen Technologie kann eingesetzt werden ROI-Ermittlung Einsparungspotentiale greifen Welche Benutzergruppe hat Nutzen Know-how / Eignung für Dienstanweisung - Awareness

40 SioS GmbH, München (2004) 40 Beispiele für Einsparungspotentiale Kostengünstige Massendatenträger für Backup Recovery vor Ort Reduzierte Prozesskosten bei der Integration digitaler Fotos Kostengünstiges Nachrüsten aktueller Schnittstellen über Konverter (statt Neukauf der Endgeräte) Vereinfachter Datenaustausch mit breitbandigen Technologien on demand Erhöhte Serviceverfügbarkeit durch vielfältige Anbindungstechnologien Einfache Mehrfachnutzung von externen Geräten Mehr in Ihrem Haus...

41 SioS GmbH, München (2004) 41 Unternehmensziele Resultat: Kostenbewusster Einsatz von Geräten Umsetzung geeigneter technischer Verfahren und Integration in die Unternehmensprozesse Positiv- und Negativtests der Clientprofile Definition einer geeigneten Unternehmenspolicy Assessment mit Prioritäten und Kosten/Nutzenkennzahlen Ermittlung des Innovationsdrucks im Unternehmen Vorgehensmodell der SioS Resultat: Phasenkonzept mit geeigneter Policy Penetrationstest mit hoher Gerätevielfalt mit IST-SOLL- Vergleich zu der definierten Policy Ermittlung der Kosten/Nutzen- Kennzahlen organisatorisch und technisch anhand von Referenzzahlen Assessment Interviews und Ergebniskennzahlen Workshop als Kick-off für ein Self-Assessment

42 Unternehmensziele Resultat: Kostenbewusster Einsatz von Geräten Umsetzung geeigneter technischer Verfahren und Integration in die Unternehmensprozesse Positiv- und Negativtests der Clientprofile Definition einer geeigneten Unternehmenspolicy Assessment mit Prioritäten und Kosten/Nutzenkennzahlen Ermittlung des Innovationsdrucks im Unternehmen Wir beraten Sie während der gesamten Projektdauer oder punktuell mit allen Marktdaten Vorgehensmodell der SioS Resultat: Phasenkonzept mit geeigneter Policy Penetrationstest mit hoher Gerätevielfalt mit IST-SOLL- Vergleich zu der definierten Policy Ermittlung der Kosten/Nutzen- Kennzahlen organisatorisch und technisch anhand von Referenzzahlen Assessment Interviews und Ergebniskennzahlen Workshop als Kick-off für ein Self-Assessment SioS GmbH, München (2004) 42

43 SioS GmbH, München (2004) 43 Empfohlene Unternehmensszenarien Geringer Innovationsdruck Sperre aller Schnittstellen Bewertung der Kosten einer geregelten Freigabe Startkosten und laufende Kosten Hoher Innovationsdruck Identifikation der Innovationsteilnehmer Einschätzung der Awareness evtl. mit Maßnahme unterlegen Sammeln der Einsparungspotentiale bis die Startkostenmarke erreicht ist Vor Start der neuen Technologien bereits eine technologische Unterstützung für den identifizierten Nutzerkreis Eine Technologie, welche einmal freigegeben ist, lässt sich nicht oder nur mit hohem Aufwand wieder zurücknehmen

44 SioS GmbH, München (2004) 44 Inhalt Die aktuelle Ausgangssituation und ihre Herausforderung Die neuen Risiken Die technische Lösung Die Auswirkungen auf das Sicherheitsmanagement Fazit

45 SioS GmbH, München (2004) 45 Fazit: Handlungsbedarf! Vor dem Einsatz von Windows 2000 oder XP auf den Clients insbesondere Notebooks den Bedarf an Sicherheit und die Nutzungsprofile für Devices klären und in der Security Policy des Unternehmens verankern Individuelle dynamische Security Policies, welche die Marktdynamik abbilden können Fortschreibungsfreudigkeit Incidentmanagement, Changemanagement, Newsgruppen, CERT und Forenteilnahme auf die Plug&Play Features und automatische Geräteerkennung erweitern gerade auch mit nicht freigegebenen Devices und Schnittstellenkonvertern testen evtl. durch externen Penetrationstest Die Skalierbarkeit der eingesetzten Lösung für die unbewachte Installation und den täglichen Betrieb berücksichtigen Kostenexplosion Bordmittel Die Problematik ist bei fat und thin Clients gleichermaßen vorhanden

46 SioS GmbH, München (2004) 46 Besten Dank für Ihre Aufmerksamkeit GmbH für DV-Architekturen Unternehmensberatung für IT-Sicherheit Tel: +49 (0) 89/ Dorfstr. 13 D München