Aufbau einer intelligenten und automatisierten IT-Sicherheitsinfrastruktur. Volker Kull

Transkript

1 Bonn Berlin Karlsruhe Nürnberg Aufbau einer intelligenten und automatisierten IT-Sicherheitsinfrastruktur Volker Kull

2 BENUTZER IT-INFRASTRUKTUR Mobilität Verfügbarkeit / Zuverlässigkeit Einfache Nutzung Performance Kostengünstig Flexibilität Consumerization / BYOD Anwendungen / APPs Business & Social-Media Sicherheit/Compliance Skalierbarkeit Flexibilität Wirtschaftlichkeit Management/Betrieb Ressourcen, Komplexität Visualisierung Kontrolle

3 IT-Sicherheit: Was war vor 10 Jahren? Angriffe von Außen Perimeter Firewalls UTM gefolgt von NGFW Viren- & Spyware-Schutz Professionelle Hacker Spionage Wenig gesetzliche Vorgaben NAC und SIEM werden diskutiert Compliance Focus: VORBEUGEN am Perimeter & Client 3

4 IT-Sicherheit: Heute? Angriffe von Innen Zero-Day-Attacks Social Engineering BYOD, Cloud, IoT Viele Insel-Lösungen Jeder kann Hacker spielen Sabotage, Datenverlust Viele gesetzliche Vorgaben Erkenntnis: Vorbeugen alleine genügt nicht mehr 4

5 Morgen? Neue Ziele: Cloud IoT Home-Automation Mobile Devices 5

6 Aktuelle Sicherheitslage (BSI) Bedrohungen: Datendiebstahl Unternehmenskritische Informationen Persönliche Daten Identität Zahlungsmittel Manipulation Sabotage Spionage Angriffsmethoden: Software-Schwachstellen (Sicherheitslücken, Exploits) Hardware-Schwachstellen Social-Engineering Malware/Trojaner Botnetze Advanced Persistent Threads Ransomware Spam/Phishing DDoS 6

7 Die Vision: Ein IT-Security Framework Integration sämtlicher Netzwerk & Security-Systeme Flexible Plattform für aktuelle und zukünftige Lösungen Alarm-Management, Monitoring & Reporting Automatisierung definierter Prozesse Herstellerneutral mit offenen Schnittstellen (bidirektional) Identifizieren Wiederherstellen Abwehren Vorbeugen Erkennen 7

8 Neue Bedrohungen neue Strategie? Vorbeugen Erkennen Abwehren AV/EPC und IDS Firewalls Remote-Browser Intrusion-Detection-Systeme U&NBAD SIEM Sandboxing Segmentierung Network-Access-Control Awareness-Kampagnen Active Response (NAC, EPC) Intrusion-Protection-System 8

9 Bekannte Maßnahmen: Vorbeugen Vorbeugen bedeutet bekannte Bedrohungen blockieren: Pattern basierte Lösungen (Filtern nur bekannte Malware) Intrusion-Detection-Systeme AntiVirus- oder EndPointControl Next-Generation-Firewalls Web-Filter, Application-Control, flow-based AV Remote-Browser Isolation von Browsern lokal oder zentral Segmentierung/Zonenkonzept Network-Access-Control Awareness-Kampagnen Security- & Risk-Management 9

10 Grundlage: Network Access Control Person Mitarbeiter Dienstleister Gast Wer? Endgerät Typ non managed managed Standort Medium Zustand Compliant Lokation Non Compliant SSID Switch, WLAN, VPN 10

11 NAC: Internes Endgerät Mitarbeiter Switch VPN DataCenter Gast BYOD 1 AP 3 Netzwerk- Infrastruktur 2 Internet 1 2 EPC Internes Endgerät verbindet sich mit der Netzwerk-Infrastruktur WLAN Controller Mobile IAM (Identity & Access-Management) AP/Switch fordert eine Authentisierung und verifiziert dies direkt oder über den WLAN-Controller mit dem IAM und User-Directory und EPC (EMM, EPC, Assessment, ). MA-Policy wird am AP aktiviert 3 Zugriff auf interne Applikationen und Internet wird erlaubt

12 Zone Server-A VLAN-Server 1 VLAN-Server 2 VLAN-Server 3 Zone Server B Zone Server C Zone Mandanten 1 Zone Mandanten 2 Zone Mandanten 3 Zone Mandanten 4 Sicherheitszonen für interne Bereiche (Produktion, Entwicklung, Test, ) Transfer Transfer VLAN-Clients 1 VLAN-Clients 2 VLAN-Clients 3 Zone Clients Transfer Internet Externe Sicherheitszonen Internet Public DMZ-Extern Zone DMZ-Public Zone DMZ-extern 1 Zone DMZ-extern 2 Zone WAN VRF Interne Sicherheitszonen Server Clients WAN (MPLS, DV) Mandanten DMZ-Intern VRF = Virtual-Routing&Forwarding Zone = Routing-Instanz auf FW Firewall Extern Firewall Intern VRF Zone DMZ-intern 1 Zone DMZ-intern 2 Grundlage: Segmentierung & Zonenkonzept Basis für neue Sicherheitsarchitekturen Logische Trennung der Sicherheitsbereiche Einfache Migration und Erweiterung Automatisierung durch Nutzung von NAC 12

13 Unbekanntes erkennen der Feind ist intern Bedrohungen erkennen, die von herkömmlichen Methoden nicht identifiziert werden, wie z.b. Zero-Day-Attacken: Intrusion-Detection-Systeme U&NBAD (User&Network-Behavior-Anomaly-Detection) Machine learning (künstliche Intelligenz) Client Reputation Flow visibility (Analytics) SIEM Korrelation von Events aus unterschiedlichen Quellen Sandboxing Prüfung von ausführbaren Dateien/Makros Lokal oder am Perimeter (Download, s, Shares,..) 13

14 User&Network-Behavior-Anomaly-Detection Akute Bedrohungen: Command&Control External RAS Hidden tunnels TOR Activity Botnet Abnormal & Outbound traffic Reconnaissance Port/Account Scan Exfiltration Filetransfer to external Flows Security Sensor Inhalts- und Verhaltensbasierte Indikatoren: File/traffic size Application Patterns Time of day Simple DLP information 14

15 Abwehren die neue Wahrheit! Zero-Day-Angriffe, Zielgerichtete Attacken und Verschleierungstechniken überfordern die etablierten Sicherheitslösungen. Gegen komplexe Bedrohung helfen nur innovative und kombinierte Schutzmechanismen. Für eine effektive Abwehr von Angriffen ist ein flexibles Framework erforderlich, das neue Technologien und komplexe Lernmechanismen kombiniert. Active Response (NAC, EPC) Blockieren oder Quarantäne des Endgerätes Durchsetzung am Endgerät, Access-Port oder Firewall Intrusion-Protection-System Blockiert einzelne Sessions 15

16 Today Netzwerk- Infrastruktur Firewall Gateway Cloud SIEM IDS/IPS Directory Benutzer Endgerät Virtualisierung Voice MDM Endpoint Control D A T A F L O W NetFlow SNMP Location Events Access Identity Application Compliance I N F O R M A T I O N F L O W Performance Monitoring Health Monitoring Security Monitoring Application Analytics Reporting

17 Netzwerk- Infrastruktur Firewall Gateway Cloud SIEM IDS/IPS Directory Benutzer Endgerät Virtualisierung Voice MDM Endpoint Control D A T A F L O W NetFlow SNMP Location Events Access Identity Application Compliance API SDN Programmatic Interfaces / XML SOAP Information Pool SDN OpenFlow OpenStack OpenDaylight Central Management & Monitoring Plattform Performance Monitoring Health Monitoring Security Monitoring Application Analytics Reporting Configuration

18 Benutzerinformationen Authentisierung (Directory, NAC) IT-Infrastruktur (SNMP, Syslog) API (Daten von externen Quellen) NetFlow/IPFIX, Analytics IT-Infrastruktur,DHCP/DNS DHCP/DNS/Browser IT-Infrastruktur Assessment Information: Agent-based, Agent-less, EPC, EMM Kerberos, PKI Authentisierung [Quellen]

19 Beispiel: managed Client mit aktiver Rückmeldung VPN DataCenter Mitarbeiter Switch 4 IDS erkenne Anomalität und sendet Event zum SIEM (oder IAM direkt) SIEM Gast BYOD 1 AP EPC 3 Netzwerk- Infrastruktur 4 IDS Internet SIEM meldet reject zum IAM. Endgerät wird isoliert und Admin Mobile IAM WLAN Controller benachrichtigt. 1 2 managed Client verbindet sich mit der Netzwerk-Infrastruktur AP/Switch fordert eine Authentisierung und verifiziert dies über den WLAN-Controller mit dem mobile IAM, User-Directory und EPC (EMM, EPC, Assessment, ). MA-Policy wird am AP aktiviert 3 Zugriff auf interne Applikationen und Internet wird erlaubt

20 Netzwerk- Infrastruktur Firewall Gateway Cloud SIEM IDS/IPS Directory Benutzer Endgerät Virtualisierung Voice MDM Endpoint Control D A T A F L O W NetFlow SNMP Location Events Access Identity Application Compliance API SDN Programmatic Interfaces / XML SOAP Information Pool SDN OpenFlow OpenStack OpenDaylight Central Management & Monitoring Plattform Performance Monitoring Health Monitoring Security Monitoring Application Analytics Reporting Configuration

21 Was bietet ein IT-Security Framework noch? Sicherheit: - Authentisierung - Autorisierung - Compliance Prüfung - Integration von Security-Lösungen - SIEM/IDS/ATP - Firewalls - EMM, EPC, Identifizieren Wiederherstellen Betrieb: - Live Monitoring - Bulk config (script&deploy) - Autom. Backup - Unterstützung bei Fehlerbeseitigung - Standardkonforme Plattform Abwehren Vorbeugen Erkennen Automatisierung: - Dynamische VLAN-Zuweisung - QoS - Active response - Alarms/Events - Scripts - API - SDN Visualisierung: - Eine Management-Console - Live Dokumentation - Reports - Network Analytics 21

22 Fazit: Neue Angriffsmethoden und Ziele überfordern die etablierten Sicherheitslösungen. Gegen komplexe Bedrohung helfen nur innovative und kombinierte Schutzmechanismen. Für eine effektive Abwehr von Angriffen ist ein flexibles Framework erforderlich, das neue Technologien und komplexe Lernmechanismen kombiniert. Eine Herstellerneutrale Plattform ermöglicht die Integration von bestehenden und zukünftigen Sicherheitslösungen 22

23 Fragen? Anregungen? Ideen? Lösungen, Erfahrungen Und Live Demo finden sie hier Halle 10.0 / Stand 429 Halle 10.0 / Stand 425