Verschlüsselung von Daten & s. Ansätze, Erfahrungen & Best Practices

Transkript

1 Verschlüsselung von Daten & s Ansätze, Erfahrungen & Best Practices

2 SBA Research Unternehmensprofil

3 Basic Facts Gegründet 2006 Forschungs-/Kompetenzzentrum für Informationssicherheit und einer der größten Security Dienstleister am österr. Markt Forschungs-, Audit, Beratungs-, Implementierungs- & Betriebs-Know How unter einem Dach Über 100 Köpfe und circa 75+ FTEs im Dienstverhältnis Management Edgar Weippl Forschung & Lehre Andreas Tomek Professional Services & Business Developement Markus Klemen Fokus General Management & Secure Software

4 Unternehmensprofil Forschungsportfolio Area 1 (GRC): Governance, Risk and Compliance Area 2 (DSP): Data Security and Privacy Area 3 (SCA): Secure Coding and Code Analysis Area 4 (HNS): Hardware and Network Security P1.1: Risk Management and Analysis P1.2: Secure BP Modeling, Simulation and Verification P1.3: Computer Security Incident Response Team P1.4: Awareness and E-Learning P2.1: Privacy Enhancing Technologies P2.2: Enterprise Rights Management P2.3: Digital Preservation P3.1: Malware Detection and Botnet Economics P3.2: Systems and Software Security P3.3: Digital Forensics P4.1: Hardware Security and Differential Fault Analysis P4.2: Pervasive Computing P4.3: Network Security of the Future Internet

5 Unternehmensprofil Beratungsportfolio Security Governance Security Testing & Guidance Trusted Services Business Impact & Risiko Analyse IT/IS Audit ISO GAP Analyse ISO / ISMS Begleitung Security Awareness Penetration Testing SDLC Beratung Source Code Analyse A7700 Microsoft Security Security Architecture Review Vulnerability Management APT Protection/Response & Lastline Control Review & IS ControlPoint Source Code Review & Checkmarx Corporate Information Protection Training Schulung Coaching Vorträge

6 Verschlüsselungansätze

7 Typische Gründe für Verschlüsselung Schutz geistigen Eigentums Formeln, Verfahren, Baupläne,... Schutz der Privatsphäre s, Dokumente, Bilder,... Schutz vor Kollegen & Administratoren Gesetzliche & Regulative Auflagen PCI-DSS, Elektronische Signatur,... Die Cloud kommt... Wen schon dort dann verschlüsselt Papierprozesse vereinfachen & beschleunigen Unterschriftenmappen, Auftragsfreigaben usw.

8 Typische Anwendungeszenarien Data at Rest Festplattenverschlüsselung Containerverschlüsselung Mobiltelefone USB Sticks Cloud Lösungen Data in Motion SSL Verschlüsselung Datentransfer mit Externen

9 Die Welt der Verschlüsselung Symmetric Algorithms (Shared Secret) DES 3DES AES Blowfish Twofish Cast RC4 Asymmetric Algorithms (Public/Private) Diffie Hellman RSA Elliptical Curve El Gamal Knapsack Hashing Algorithms (Message Digests) MD5 SHA1 Haval

10 Verschlüsselungsmethoden Symmetrisch Geheim = Schlüssel Stärken Schnell Schwächen Schlüsselverteilung Skalierbarkeit Nur Vertraulichkeit

11 Verschlüsselungsmethoden Asymmetrisch (Schlüsselpaare) Mathematische Probleme Signaturen Stärken Schlüsselverteilung Skalierbarkeit Schwächen Langsam

12 Verschiedene Ziele Ein Nachricht kann Verschlüsselt werden = Vertraulichkeit Gehashed werden = Integrität Digital Signiert werden = Integrität & Nichtabstreitbarkeit Verschlüsselt und signiert werden um alle Ziele abzudecken

13 Zertifikatsinfrastrukturen & verschlüsselung

14 Verschlüsselung mit S/MIME & PGP Wo wird verschlüsselt? End to end vs. Edge to Edge Secure MIME Verbreiteter Standard Erweitert den MIME Standard um Verschlüsselung und Signierung von Anhängen und Nachrichten Konkreter Algorithmus muss vom User spezifiziert werden Benötigt eine PKI/CA-Infrastruktur PGP Basiert auf einem Web of Trust Web basierende Systeme Login mit Passwort mit Username/Passwort bzw. 2 Faktor

15 Erfahrungen

16 Real world problem

17 Die großen Probleme mit Verschlüsselung Wer kennt sich damit im Unternehmen aus? Was ist im Backup/Restorefall? Wer hat trotzdem Zugriff? Schutz vor Admins vs. Admins... Malware Scanning, Filter usw. Aufbrechen von SSL? Darf ich das? Wie einfach ist es zu verwenden? Userbasiert vs. Zwang Technisches Wissen meiner User & deren Partner Werden alle Platformen unterstützt? Und vor Allem: Welche Daten sind schützenswert und wo liegen Sie bzw. wie werden Sie verwendet? Informationsklassifikation vorhanden? Business Impact Analyse aktuell?

18 Bedarfsanalyse Business Impact Analyse (BIA) Ergebnisse

19 Bedarfsanalyse Business Impact Analyse (BIA) Ergebnisse

20 Bedarfsanalyse Business Impact Analyse (BIA) Ergebnisse

21 Wie werden Daten klassifiziert? User Based Einbindung in client & andere Programme? Location Based Ordner bzw. Lokation Auf Basis des Endgeräts Bestimmte Absender & Empfängeradressen Content Based Filetypes Keywords Claims Und natürlich regelmäßige Wartung dieser Regeln

22 User basierende Klassifikation

23 Wie möchte ich meine Daten schützen Versuche ich die Daten beim Speichern & Übertragen und/oder am Ziel zu schützen? DLP Festplatten & Speicherverschlüsselung Oder versuche ich die Daten selbst zu schützen = Digital Rights Management (DRM) / Information Rights Management Microsoft RMS Oracle IRM Adobe DRM

24 IRM bei

25 IRM bei Dokumenten

26 Best Practices & Tools

27 Klassifizierung User muss (meistens) dazu gezwungen werden Plugins in Mail & Office notwendig Produkte: Titus, Secure Island, Gigatrust,... Default: Internal Lokationsbasierend mit Boardmitteln File Classification Services SharePoint Exchange Rules

28 Verwenden von bereits vorhandenen Tools Gerade bei großen Firmen & zb oft mit Microsoft EA mitgekauft Bitlocker für Laptops Bitlocker 2 Go RMS IPSec auf Netzwerkebene Smartcard Authentifizierung Enterprise CA Direct Access & VPN

29 Verschlüsselung SSL/TLS auf Anfrage bzw. permanentes SSL/TLS zwischen Partnerfimen auf Server/Gateway Ebene Edge Lösungen sind leichter zu administrieren S/MIME, PGP und Portallösungen müssen zusammenarbeiten, viele Turnkey Solutions am Markt End to End ist oft mühsam und nur in Spezialfällen sinnvoll Virenscanning Suche in Programmen Archivierung

30 Cloudlösungen können verschlüsselt betrieben werden Wenn nicht in der Cloud verschlüsselt wird, verschlüssle ich die Cloud Privatbereich Boxcryptor und andere Programme Enterprise Lösungen wie Ciphercloud Office 365 SalesForce Box, Dropbox... Amazon WS GMAIL Key Management!

31 Zusammenfassung Was muss ich schützen? Wo muss ich es (überall) schützen? Welche technischen Ansätze gibt es dafür: IRM vs. Verschlüsselung? Wie mache ich es für meine User transparent und einfach benutzbar? Auf was muss ich in der Administration aufpassen? Technische Lösung ist der kleinste Teil des Putzels

32 DI Mag. Andreas Tomek SBA Research ggmbh Favoritenstraße 16, 1040 Wien atomek@sba-research.org