Wie funktionieren selbstverteidigende Netzwerke?

Transkript

1 Wie funktionieren selbstverteidigende Netzwerke? Ulf Greifzu IBM Deutschland GmbH IBM Global Services ITS Consulting & Architecture Security Forum Hagenberg

2 Agenda 1 Warum muss ein Netz sich heute selbst schützen? 2 Welche Technologien stehen zur Verfügung? 3 Mit welchen Mitteln kann das Problem gelöst werden? 4 Vorstellung einer Lösung für Self Defending Networks 5 Welche alternativen Ansätze gibt es? 2 Selbstverteidigende Netzwerke

3 Warum muß sich ein Netz heute selbst schützen? Trends und Herausforderungen im Bereich der Wirtschaft Unternehmen verändern ihre Arbeitsformen: Mobilität der Mitarbeiter und Kunden Onlinesysteme als Kontakt- u. Vertriebskanal 7x24x365 durchgehender Betrieb Verschärfung im Wettbewerb durch jederzeit verfügbare Informationen enttäuschte Onlinekunden (z.b. Antwortzeiten, Nichterreichbarkeit) wandern ab erhöhte Komplexität und Abhängigkeit von Netzwerken und Systemen geringe Toleranz gegenüber Ausfällen, da unmittelbare wirtschaftlich Verluste drohen immer strengere Audits, deren Verfehlung u.a. Image-Schäden nach sich zieht Gesetze und Vorschriften schreiben erweiterte Sicherheitsmaßnahmen vor (z.b. Sarbanes Oxley, Basel II, SEC) 3 Selbstverteidigende Netzwerke

4 Warum muß sich ein Netz heute selbst schützen? IT Sicherheit: Trends und Herausforderungen Mißbrauch von Zugriffsrechten durch Insider externe Echtzeit-Bedrohungen Viren, Würmer und DDoS Attacken technisch ausgefeilte, komplexe und dynamische Bedrohungsszenarien größerer Wirkungsbereich bei Schädigungen Gefährdung kritischer Infrastrukturen weniger Zeit und Personal für Gegenmaßnahmen verfügbar gesetzliche Vorgaben und Haftungsfragen Erhalt der Vertrauenswürdigkeit gegenüber Kunden Virenatlas Stand , last 30 days Trend Micro Selbstverteidigende Netzwerke

5 Viren: Day zero Attacks verringern das verfügbare Zeitfenster für Gegenmaßnahmen Kunden benötigen einen innovativen, gesamtheitlichen Ansatz für das Verhindern eines Virenbefalls und angemessene Kontrollmechanismen 5 Selbstverteidigende Netzwerke

6 Welche Technologien stehen zur Verfügung und werden bereits genutzt? aktuelle Meta Group Studie Vielzahl von Technologien, Integration lässt oft zu wünschen übrig z.b. übergreifendes Management und entsprechende Rückkopplung der Ereignisse auf die Infrastruktur 6 Selbstverteidigende Netzwerke

7 IT Sicherheit - Strategie: Lösungsansätze zur Vermeidung von Ausfällen der IT des Unternehmens Lösung des m&m-problems Harte Schale Konzentration auf Perimeter-Sicherheit Weicher Kern (zu) wenig Kontrolle innerhalb der IT vorbeugende Vorgehensweise, kein nachträgliches (re-)agieren kontrollierbare Bereiche der IT sollten tatsächlich kontrolliert werden - Enforcement Zusammenführung vorhandener Informationen angemessene und koordinierte Reaktion in kürzester Zeit, d.h. unmittelbar bei Feststellung von Mängeln oder Gefahren Abschwächen der Folgen von Angriffen Einführung automatisierter Abläufe, die unabhängig von menschlichen Eingriff arbeiten Sicherheitsmechanismen müssen im gesamten IT-Bereich vorhanden sein reine Sicherheitsprodukte werden durch Sicherheitsfunktionen in anderen Elementen ergänzt End to End Betrachtung, gesamtheitliches Sicherheitskonzept und -Management 7 Selbstverteidigende Netzwerke

8 Netzwerksicherheit ist ein Bestandteil der Sicherheitspolitik des Gesamtunternehmens Eine exakt definierte Sicherheitspolitik gibt den Rahmen für alle sicherheitsrelevanten Aktivitäten im Unternehmen vor. Vulnerabilities Assets Threats ISO/IEC 17799: Information Security Standard (CoP, ISMS) Risk The "classic simplified" view of the components within Risk Assessment ISF: The Standard of Good Practice for Information Security Cost Countermeasures Service BSI Grundschutzhandbuch ÖNORM A7799 Residual Risk Acceptance Bei 91% der Unternehmen in Österreich steht IT-Sicherheit auf Platz 1 oder 2! aber: 50% investieren weniger als 5% ihres Budgets in IT-Sicherheit nur 30% der CEO/CIO in Österreich haben Sicherheit auf der Agenda nur 42% der Unternehmen führen Security Awareness-Trainings durch Quelle: Studie IT-Trends Selbstverteidigende Netzwerke

9 Der Sicherheitskreislauf im Rahmen eines gelebten Konzeptes bildet für alle Ebenen eines Unternehmens den organisatorischen und technischen Rahmen bei der kontinuierlichen Verbesserung von IT Sicherheit. Festlegung der Rahmenbedingungen für IT Sicherheit, abgeleitet von Unternehmenszielen, sowie deren Dokumentation und Kommunikation, und der organisatorischen Zuständigkeiten Identifikation von Bedrohungen von Werten, deren Auswirkungen und damit verbundener Risiken Risiko Richtlinien Für ein wirksames und effizientes Sicherheitskonzept Technologie-Auswahl, Umsetzung von Management Prozessen und Abläufen Implementierung Audit Überprüfung von Umsetzungsgrad und Wirksamkeit von IT Sicherheitsmaßnahmen Administration Benutzer-Unterweisung Umsetzung von Prozessen für den Betrieb 9 Selbstverteidigende Netzwerke

10 Selbstverteidigungs-Strategien mit Übertragbarkeit in den Bereich Netzwerke und IT Vorbeugestrategie (vermeidet eine Angreifbarkeit): vorherige Kontrolle des potentiellen Gegners (analog: Sicherheitskontrolle am Flughafen) nur bei Wohlverhalten/ Gutartigkeit wird zusammengearbeitet sonst: Erziehungskur, Einweisung in Quarantäne bis zur Einsichtigkeit bzw. Erreichen des korrekten Verhaltens (z.b. Abgeben gefährlicher Gegenstände) weiterhin dauerhafte Kontrolle des Verhaltens Scharfe Kontrolle und unmittelbare Reaktion (schließt Angreifbarkeit nicht von vornherein aus): ständige Kontrolle des potentiellen Gegners (analog: Hund an kurzer Leine) Angriffsversuche werden im Ansatz unterdrückt, bei Wohlverhalten Zusammenarbeit (Futter etc.) sonst: Erziehungskur, Einweisung in Quarantäne bis zur Einsichtigkeit bzw. Erreichen des korrekten Verhaltens, weiterhin dauerhafte Kontrolle des Verhaltens - Kontrollmechanismus notwendig (Agent) - jeder ist zunächst potenziell Gegner + aktive Strategie + Reaktionzeit nur bei nachträglicher Verhaltensänderung - reaktive Strategie, Reaktionszeit ist immer notwendig - Day Zero Attacks realisierbar! + zunächst Vertrauensvorschuss 10 Selbstverteidigende Netzwerke

11 technische Umsetzung der Lösungsstrategien - Entwicklung und Paradigmenwechsel beim Sicherheitsdenken integrierte Lösung Kontrollmechanismen sind integraler Bestandteil der Systeme Schnittstellen sind standardisiert durchgehende, Ende-zu-Ende wirkende Regelkreise kaum noch Herstellerabhängigkeiten spezialisierte Lösung externe Appliances für Kontrolle i.d.r. proprietär oder herstellerspezifisch wenige Möglichkeiten für Zusammenschaltung verschiedener Lösungsteile Mischformen z.b. Integration in Zielsysteme durch Einbaumodule einige Komponenten des Gesamtsystems bereits vollintegriert, andere noch separat Herstellerallianzen mit spezialisierten Partnern 11 Selbstverteidigende Netzwerke

12 IBM Integrated Security Solution for Cisco Networks (1) (IISSCN) Die vorgestellte IBM Sicherheitslösung ergänzt komplementär die Cisco Network Admission Control Initiative und konzentriert sich auf folgende Funktionsblöcke: Trusted endpoint Security monitoring und Security Management Identity Management Compliance und Remediation Im Idealfall und mit dem größten Nutzeffekt werden diese gemeinsam eingesetzt, können jedoch auch separat implementiert werden. (1) IBM internal name: Tivoli Compliance and Remediation - TCR 12 Selbstverteidigende Netzwerke

13 Vorteile der vorgestellten Lösung modularer Lösungsaufbau mit Auswahlmöglichkeiten bzgl.: geeignete Tivoli Security Management Angebote, die für das nahtlose Zusammenspiel mit Cisco Netzwerkumgebungen überarbeitet wurden themenbezogene Dienstleistungsangebote von IBM oder anderen Systemintegratoren basierend auf den eigenen, spezifischen Sicherheitszielen Die Gesamtlösung besteht aus folgenden drei Teilkomponenten: Überprüfung der Identität für den Netzwerkzugang Feststellung, ob Geräte beim Netzwerkzugang die Vorgaben zur Security Compliance einhalten Update/ Remediation nicht regelkonformer Geräte Unternehmen können zwischen der Implementierung einer, zweier oder aller drei Teile der Lösung wählen, abhängig von ihren spezifischen Sicherheitsvorgaben. Damit können Sicherheitsbedürfnisse aller Unternehmensgrößen von SMB bis zum Enterprise-Bereich adäquat addressiert werden. 13 Selbstverteidigende Netzwerke

14 Lösungsbestandteile im Detail Hosts Attempting Access + Cisco Network Access Device + Cisco Access Control Server + Tivoli Security Compliance Manager Anti- Virus Client Cisco Security Agent Tivoli Software Agent Cisco Trust Agent Security Credential Checking New! RnR Antidote Delivery New! Security Policy Enforcement Security Policy Creation Policy Evaluation 14 Selbstverteidigende Netzwerke

15 Schritte bei der Überprüfung von Endsystemen NAC Solution: Nutzung des Netzwerkes zur intelligenten Kontrolle von Zugriffsrechten auf Basis der Endpoint-Eigenschaften Network Access Devices Policy Server Decision Points einheitliche Lösung für alle Zugangsvarianten überprüft alle Hosts Policy 1 2 (AAA) Svr 2a Credentials Credentials Credentials Vendor Server schützt getätigte Investitionen in Cisco Netzwerk und AV Lösungen Cisco Trust Agent EAP/UDP, EAP/802.1x Notification 6 Enforcement 5 RADIUS Access Rights 4 Comply? 3 HTTPS unterstützt verschiedene AV Anbieter & Cisco Security Agent Quarantine & Remediation Dienste skalierbares Deployment 15 Selbstverteidigende Netzwerke

16 Bereiche im Netzwerk, Zusammenspiel der verschiedenen Komponenten 16 Selbstverteidigende Netzwerke

17 Lösungsbestandteile: Produkte Hardware und Software Cisco Secure Access Control Server, min. 3.3 Cisco Trust Agent (CTA) 1.0 (client software), CTA bei CSA 4.5 enthalten Cisco routers, switches and firewalls (min. 800 IOS 12.3(8)T firewall feature set, VPN3000 V4.7 etc.) und weitere Cisco Produkte (IPS, Cisco Secure Desktop, ) IBM Tivoli Security Compliance Manager 5.1 IBM Tivoli Provisioning Manager 2.1 und weitere Tivoli Produkte (TIM, TAM, ) IBM Thinkpad und Desktop PC IBM Embedded Security Subsystem IBM Rescue and Recovery with Antidote Delivery Manager for IBM ThinkPad and ThinkCentre systems 17 Selbstverteidigende Netzwerke

18 passende Dienstleistungsangebote von IBM Global Services Security Assessment Services Security Health Check Network Security Assessment Network Operation Assessment Ethical Hacking Resilient Business and Infrastructure Analysis Security Design & Implementation Services Secure Solution Design Systems Management Services for Security Offerings Network Consulting Network Integration and Deployment Services Integrated Identity and Access Management Performance Testing & Scalability Services Business Resilency Infrastructure Recovery Services 18 Selbstverteidigende Netzwerke

19 Einschätzungen zur gemeinsamen Lösung von IBM und Cisco Not only does the collaboration between Cisco and IBM to deliver comprehensive security technology instill confidence in our customers, it actually eases the implementation process of our Integrated Security Infrastructure model. ISI is a unique approach, enriched by the security technology integration path driven by IBM Tivoli and Cisco Systems, to provide a comprehensive IT security infrastructure where high level security policies drive granular security management of all the components in the system. Barry Beal, Global Security Product Manager, Capgemini To face business needs, organisations increasingly rely on complex interconnected networks, systems & applications. Accenture recognizes that, while necessary, this intricacy yields new security threats that require a holistic security model. In this regard, the IBM newly-released product from Tivoli/Cisco is innovative. It sustains our vision of security and allows us to deliver integrated security architectures that are self-protecting and self healing, improving IT efficiency while increasing ROI. Dr Alastair MacWillson, Managing Partner, Accenture Security Practice 19 Selbstverteidigende Netzwerke

20 Alternative Lösungen für selbstverteidigende Netzwerke Microsoft Network Access Protection viele Partnerschaften, darunter auch Cisco, komplementäre Lösung Markteinführung steht aus Enterasys Secure Networks: Dynamic Intrusion Response, Trusted End System Zonelabs von Cisco übernommen ;-) 3com/ TippingPoint: UnityOne IPS, Security Management System noch wenig bekannt, Portfolio-Integration steht aus Nortel Architecture for Converged Enterprise ACE, führend im VPN-Bereich, VPN Tunnel Guard Lösung, noch nicht über komplette Produktlinie verfügbar, Optivity, Threat Prot. System mit automat. Rule Update 20 Selbstverteidigende Netzwerke

21 Vielen Dank für Ihre Aufmerksamkeit. Bei Fragen: Ulf Greifzu, IBM Deutschland GmbH Tel.: Mail: IBM Global Services ITS Consulting & Architecture