Praktische Umsetzung einer sicheren IT-Kommunikation

Transkript

1 Ulf-Gerrit Weber - Security Consultant Praktische Umsetzung einer sicheren IT-Kommunikation Was muß beachtet werden?

2 Sichere IT-Kommunikation vor dem Hintergrund IT-Sicherheitsgesetz

3 Heisses Zeug oder kalter Kaffee?

4 Technische und organisatorische Maßnahmen nach dem Stand der Technik

5 Klar, technische Maßnahmen

6 äh organisatorische Maßnahmen?

7 Das leben wir doch schon alles!

8 Wer interessiert sich denn schon für uns?

9 Bei uns gibt es doch keine Geheimnisse! Wenn es für einen Dritten nichts wertvolles zu holen gibt, warum existiert denn das Unternehmen?

10 Und warum gibt es immer noch Sicherheitsvorfälle?

11 Was ist die Motivation der Angreifer?

12 Motivation der Angriffe Vermietung von kostenloser Rechen-/Internet-Leistung (SPAM, DDoS, ) Abgreifen von Know-How und vertraulichen Informationen Nachrichtendienstliches Interesse Behinderung von Dienstleistungen oder Unternehmen Betrügerische Geschäfte (Online-Banking, Kreditkarten-Betrug, ) Erpressung (Verschlüsselungstrojaner, DDoS-Attacken, )

13 Es geht dabei meist um Geld!

14 Oder nachrichtendienstliche Erkenntnisse bzw. Hilfsmittel!

15 Angriffe mittels Internet sind praktisch anonym für den Angreifer ziemlich risikolos gehen aus großer Entfernung, man muss nicht in die Höhle des Löwen haben eine hohe Aussicht auf Erfolg Minimale Kosten bei maximalen Verdienst Versierte Angriffe sind praktisch lautlos

16 und Angriff!! Identifikation des Ziels Auskundschaften des Ziels Informationen sammeln Soziale Netzwerke Facebook, LinkedIn, Xing, Foren, Kommunikation aufbauen Vertrauen schaffen Hilfsbereitschaft ausnutzen Desinformation streuen Angriffsstrategie erstellen Angriff durchführen

17 Warum sind die Mitarbeiter dabei ein interessantes Ziel? Sie befindet sich im geschützten Bereich Sie sind Teil des Systems Sie sind nahe am Ziel es gibt mehrere Mitarbeiter à viele Ansatzpunkte Angriffe treffen sie meist völlig unvorbereitet Sie sind aktuell die verwundbarste Stelle

18 Social Engineering (engl. eigentlich angewandte Sozialwissenschaft, auch soziale Manipulation ) nennt man zwischen- menschliche Beeinflussungen mit dem Ziel, bei Personen bestimmte Verhalten hervorzurufen, sie zum Beispiel zur Preisgabe von vertraulichen Informationen zu bewegen. Social Engineers spionieren das persönliche Umfeld ihres Opfers aus, täuschen Identitäten vor oder nutzen Verhaltensweisen wie Autoritätshörigkeit aus, um geheime Informationen oder unbezahlte Dienstleistungen zu erlangen. Meist dient Social Engineering dem Eindringen in ein fremdes Computersystem, um vertrauliche Daten einzusehen; man spricht dann auch von Social Hacking. Quelle:

19 Angreifer nutzen Soziale Netze zur Identitätsbildung!

20 Quelle:

21 Security-Incidents zuhauf! Phishing greift massiv um sich Zeroday-Exploits Neue Malware geht immer häufiger durch die AV-Gateways wie ein Messer durch die Butter wird von den AV-Scannern oft nach einigen Tagen noch nicht entdeckt Mit Malware-Baukästen können auch weniger versierte Angreifer zielgerichtete Malware zusammenklicken. Für unbekannte Verwundbarkeiten werden hohe Summen bezahlt

22 Exploiting Zero-Day Vulnerabilities Neue Verwundbarkeiten Unzählbare Varianten Jeden Tag werden rund bis neue Malware-Programme generiert und verteilt

23 Ohne AV-Schutz geht es nicht

24 aber AV-Schutz hat seine Grenzen erreicht!

25 invoice_ doc Scan via am :

26 &

27 &

28 Maßnahmen der Angreifer Härten der übernommenen Systems Nachziehen der Security-Patches Abstellen von unnötigen Diensten Andere Angreifer aussperren Remote Access Tools (RAT) installieren Den eigenen Zugang tarnen Lokal keine Aufmerksamkeit erzeugen Sich möglichst unauffällig im lokalen Netz nach weiteren Wirts-Systemen umsehen Das System möglichst nicht mehr hergeben

29 Bessere Vernetzung = höhere Effizienz = größere Angriffsfläche

30 Technische Maßnahmen

31 VPN-Tunnel Haupt-Niederlassung Server-LAN Security-Management Mitarbeiter Visualisierung 3G-/4G-Netz VPN-Gateway mit 3G-/4G-Netz Externe Niederlassungen Firewall & VPN-Gateway VPN-Gateway VPN-Gateway mit DSL SPS und Prozesssteuerungssysteme SPS und Prozesssteuerungssysteme

32 Content-Inspection in der DMZ Internet SMGW HTTPS-Scanner Anti-SPAM HTTP-Proxy Viren-Scanner Web-Server URL-Filter HTTP-Scanner/Web-AV SSL-VPN-Gateway IDS/IPS IDS/IPS LAN Applikations-Server

33 IPS-Integration Server-LAN WLAN-Clients AP Mobile-Clients Firewall-Cluster Arbeitsplatzsysteme DMZ-Systeme

34 Sichere WLAN-Integration Server-LAN Firewall-Cluster RAP im HomeOffice WLAN Gäste-WLAN AP WLAN- Controller Niederlassung mit RAP

35 Aufspüfen von RogueAPs und Hotspot-Fallen Internet DMZ Ad Hoc-Netz Firmen- SSID Rogue AP Server-(V)LAN WLAN-Controller

36 LAN-Segmentierung Aufteilen des LAN separate Segemente in logische Segemente via VLANs in physische Segmente via separater Switche Aufteilung nach funktionalen Gruppen Kopplung der Segmente via Security-Gateways routende Firewall transparente Firewall Intrusion Prevention System (IPS, ggf IDS) Separates Management-LAN

37 LAN-Segmentierung Gäste-Notebooks ins Gäste-VLAN / Gäste-WLAN Internet Unternehmens-Server Mitarbeiter Gäste-(V)LAN Client-(V)LAN VoIP-VLAN Produktions-VLAN Server-(V)LAN Mitarbeiter-Notebook im Client-LAN Managed Switch mit Firewall

38 Network Access Control Neues, unbekanntes System oder privates Mitarbeiter-Notebook à wird in das Gäste-VLAN geschoben Internet NAC-Server mit Captive Portal Mitarbeiter Gäste-/Quarantäne-(V)LAN Client-(V)LAN VoIP-VLAN Transfer-(V)LAN Für das Gäste-LAN Bekanntes Mitarbeiter-Notebook à wird in das Client-VLAN konfiguriert Managed Switch/Router

39 Virtual Sandbox Testing

40 Ein verhaltensbasierte Untersuchung auf Security Gateways wird immer wichtiger

41 Virtual Sandbox Testing INSPECT EMULATE SHARE PREVENT

42 ThreatCloud Emulation Service Global Sensor Industry Feeds Research Known Server-Park Unknown Internet Firewall-Cluster Arbeitsplatzsysteme

43 Technik macht phantastische Dinge möglich!

44 10 Immutable Laws of Security (aufgestellt von Microsoft) 1. If a bad guy can persuade you to run his program on your computer, it's not your computer anymore 2. If a bad guy can alter the operating system on your computer, it's not your computer anymore 3. If a bad guy has unrestricted physical access to your computer, it's not your computer anymore 4. If you allow a bad guy to upload programs to your website, it's not your website any more 5. Weak passwords trump strong security 6. A computer is only as secure as the administrator is trustworthy 7. Encrypted data is only as secure as the decryption key 8. An out of date virus scanner is only marginally better than no virus scanner at all 9. Absolute anonymity isn't practical, in real life or on the Web 10. Technology is not a panacea Quelle:

45 Law 10: Technology is not a panacea Technology can do some amazing things. Recent years have seen the development of ever-cheaper and more powerful hardware, software that harnesses the hardware to open new vistas for computer users, as well as advancements in cryptography and other sciences. It's tempting to believe that technology can deliver a risk-free world, if we just work hard enough. However, this is simply not realistic. Quelle:

46 Aber: Technik ist kein Wunder- oder Allheilmittel!

47 IT-Sicherheit ist vor Allem eine Management-Aufgabe Das unterstreicht das IT-Sicherheitsgesetz!

48 Management-Pflichten: Risikovorsorge (AG wie GmbH) Organisationspflicht der betrieblichen Abläufe Aufsichtspflicht gegenüber Mitarbeitern Fürsorgepflicht für Mitarbeiter, insbesondere für minderjährige Mitarbeiter Meldepflicht bei Sicherheitsvorfällen für kritische Infrastrukturen (Bereiche Energie, Verkehr, Banken und Börsen und Gesundheitswesen - aktuell in Vorbereitung) Betreiber Kritischer Infrastrukturen sind verpflichtet, [ ] angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen [ ]

49 Sicherheitsorganisation Identifikation und Bewertung von Risiken! Angepasste Sicherheitsprozesse! Zugeschnittenes Sicherheitskonzept! Regelungen und Richtlinien! Sicherheits-Audits

50 Wieviel Organisation braucht ein Unternehmen? IT-Sicherheitsleitlinie IT-Sicherheitskonzept Regelungen (Richtlinien) zur IT-Sicherheit Notfall-Plan Konzept zur Berechtigungsund Benutzerverwaltung Betriebsdokumentation Sensibilisierung der Mitarbeiter Datenschutzkonzept mit Maßnahmen zum Datenschutz

51 IT-Sicherheitskonzept/-richtlinie Sicherheitsziele und anforderungen Organisatorische IT-Sicherheitsmaßnahmen IT-Sicherheitsmanagement (ISMS) Sicherheitsprozesse Sicherheitsrichtlinien Technische IT-Sicherheitsmaßnahmen Perimeter Interne LANs und WLANs Server und Applikationen Clients und Mobile Devices

52 IT-Sicherheitsprozesse Veränderungen der Mitarbeiterberechtigungen Melden möglicher Sicherheitsvorfälle/Angriffe Vorgehen bei Sicherheitsvorfällen Aufspüren von Sicherheitslücken Kontinuierliche Adaption der IT-Sicherheit Analyse und Auswertung der Log-Informationen Sichtung und Bewertung von CERT-Informationen Business Conituity Management/Planing

53 Regelungen und Richtlinien: Nutzungsrichtlinien für Mitarbeiter Aufgaben / Pflichten / Rechte Melden von Sicherheitsvorfällen Einhaltung der Sicherheitsmaßnahmen Verhalten bei Dienstreisen, insbesondere im Ausland Vertretungsregelung Konsequenzen Vertraulichkeitsvereinbarung Nutzungsbedingungen Nutzungsrichtlinien für Dienstleister Nutzungsrichtlinie für Kunden Nutzungsrichtlinie für Gäste

54 Mitarbeitersensibilisierung wozu? Ich habe doch Firewall, VPN, IPS, HTTP(S)-Proxy, URL-Filter, AV-Scanner, Application Control,

55 Bei uns gibt es doch nichts Geheimes! Wenn es für einen Dritten nichts wertvolles zu holen gibt, warum existiert denn das Unternehmen?

56 Quelle:

57 Alle Mitarbeiter tragen zur Sicherheit bei!

58 Das Gegenteil von gut, ist gut gemeint! Ich wollte doch nur...

59 Regelmäßige Sensibilisierung der Mitarbeiter Zu Sicherheitsgerechtem Verhalten Was soll / darf ich machen? Was darf ich nicht tun? Worauf muss ich achten? Wie verhalte ich mich richtig? Welche Bedrohungstrends bestehen? Melde- und Eskalationswege aufzeigen Über die Sicherheitsmaßnahmen und ziele aktiv informieren. Personalvertretung frühzeitig einbeziehen. Quelle:

60 Security beginnt im Kopf à Die Sensibilisierung der Mitarbeiter zum sicherheitsgerechten Verhalten ist essentiell!

61 IT-Sicherheit wird immer wichtiger!

62 Ulf-Gerrit Weber Senior Security Consultant CROCODIAL GmbH Arndtstraße Hamburg Tel.: Ihr Partner für Sicherheit in einer vernetzten Welt