Sind meine Systeme sicher?

Transkript

1 Sind meine Systeme sicher?

2 Sind meine Systeme sicher? I 2 Sind meine Systeme sicher? Software-Fehler, Schwachstellen und Exploits Vulnerability / Schwachstellen Scanner Trends / Virtual Patching Marktübersicht

3 Software Fehler, Schwachstellen und Exploits

4 Sind meine Systeme sicher? I 4 Software-Quellcode Zeilen Quellcode in Mio. Unix 1.0 Space Shuttle Windows 3.1 World of Warcraft Google Chrome MySQL MS Office 2001 Win 7 Facebook High End Car Zeilen Quellcode in Mio.

5 Sind meine Systeme sicher? I 5 Das Fehlerteufelchen Guter Programmierer: 0,1% Fehlerquote Heißt soviel wie: Spaceshuttle flog ins All mit 400 Softwarefehlern Win 7 läuft mit Fehlern (halbwegs) stabil Facebook hat zum Glück mehr User als Fehler (65.000)

6 Sind meine Systeme sicher? I 6 Das Fehlerteufelchen Guter Programmierer: 0,1% Fehlerquote Heißt soviel wie: Spaceshuttle flog ins All mit 400 Softwarefehlern Win 7 läuft mit Fehlern (halbwegs) stabil Facebook hat zum Glück mehr User als Fehler (65.000) Viel Spaß auf dem Heimweg! ( Fehler)

7 Sind meine Systeme sicher? I 7 Zusammenfassung Fehler / Bug Schwachstelle / Vulnerability Ausnutzen / Exploit

8 Sind meine Systeme sicher? I 8 Zum Beispiel

9 Vulnerability / Schwachstellen Scanner

10 Sind meine Systeme sicher? I 10 Warum Vulnerability Management?

11 Sind meine Systeme sicher? I 11 Bedrohungen Motivation Geld Spaß, Neugier Strategisch Zielauswahl Individuell, Zufällig Zufällig, Politisch Individuell, Kollateral Organisation Sehr ausgeprägt Teilweise Perfekt Kompetenz Hoch Gering bis Hoch Sehr Hoch

12 Sind meine Systeme sicher? I 12 Härtung von IT-Systemen IT Umgebungen durch FW + IPS geschützt Wird die harte Schalte einmal überwunden, ist der Rest leichte Beute Schadensbegrenzung durch innere Härtung

13 Sind meine Systeme sicher? I 13 Vulnerability Scanner Network / System Database Web Application Weitere Spezialisten: SCADA, ERP (SAP), etc.

14 Sind meine Systeme sicher? I 14 Funktionsweise Systeme identifizieren Sicherheitswarnungen & Herstellermeldungen Dienste identifizieren Schwachstellen Tests Schwachstellen ermittlen Bericht / Alarm

15 Sind meine Systeme sicher? I 15 Sicherheitskonzept-Zyklus (nach BSI) Ein ausreichendes Sicherheitsniveau lässt sich nur erreichen, wenn bestehende Schwachstellen ermittelt, der Status quo in einem Sicherheitskonzept festgehalten, erforderliche Maßnahmen identifiziert und diese Maßnahmen insbesondere auch konsequent umgesetzt werden. Erstellung Umsetzung Aufrechterhaltung / Verbesserung Quelle: BSI Standard / IT Grundschutz Vorgehensweise Version 2.0

16 Sind meine Systeme sicher? I 16 Vorteile durch Vulnerability Management Ständige Beurteilung der IST-Situation Aufgabenstellungen nach Priorität Messbarkeit von Security-Zielen Nachweis für die Erfüllung von Auflagen

17 Sind meine Systeme sicher? I 17 Terminologie CPE Common Platform Enumeration cpe:/{part}:{vendor}:{product}:{version}:{update}:{edition}:{language} cpe:/o:redhat:enterprise_linux:3:ga:desktop:de CVE Common Vulnerabilities and Exposures Einheitliche Namenskonvention für Sicherheitslücken

18 Trends

19 Sind meine Systeme sicher? I 19 Wohin geht die Entwicklung? Integration und Automatisierung Configuration Management Applikations- & Systemschwachstellen Analyse / Reporting (Integration SIEM etc.) Virtual Patching Spezialisierung ERP-System Scanner SCADA-Scanner Database Scanner Application Scanner

20 Virtual Patching

21 Sind meine Systeme sicher? I 21 Patch-Zeiträume Zeit vom Erscheinen eines Patches bis zur Anwendung >12 nie nicht sicher --> Mehr als 62% der Unternehmen brauchen länger als 3 Monate um zu Patchen

22 Sind meine Systeme sicher? I 22 Exploiten von Bugs / Vulnerabilities CVE

23 Sind meine Systeme sicher? I 23 Virtual Patching in Aktion CVE CVE

24 Sind meine Systeme sicher? I 24 Virtual Patching in Aktion Pro: Verkürzung der Reaktionszeit Vermeidung von Upgrades (Java, PHP, etc.) Contra: eigentliche Schwachstelle ist noch da Fazit: schnelles Wundpflaster

25 Marktübersicht

26 Sind meine Systeme sicher? I 26 Marktübersicht

27 Sind meine Systeme sicher? I 27 Network Vulnerability Scanner Nessus McAfee VM QualysGuard Retina Nmap Nexpose OpenVAS CoreImpact Saint Greenbone Mutter aller Scanner, bis 2005 OpenSource, nun tenable Gute Integration in Asset Management Limitierte IP s, Cloudbasiert BeyondTrust Scanner, unlimited IP s Bekannter Portscanner Rapid7 Scanner, +Feeds, IP s OpenSource, Nessus Nachfolger All in one: Netzwerk, Web Apps, WLAN, Mobiles Ubuntu basiert, PCI DSS Fokus Deutscher Hersteller, Zusammenarbeit mit BSI

28 Sind meine Systeme sicher? I 28 All eyes on: Greenbone Deutscher Hersteller Lieferte 90% des OpenVAS Quellcodes Ohne Cloud bzw. Rückkanal zum Hersteller Flexibles Lizenzmodell Enge Verzahnung mit BSI Vorgaben / Vorschlägen Referenziert DFN-Cert-Empfehlungen Bessere / getestete Feeds (NVT s) als bei OpenVAS Einfache Implementierung / Handhabung Executive / Detaillierte Reports

29 Sind meine Systeme sicher? I 29

30 Sind meine Systeme sicher? I 30

31 Sind meine Systeme sicher? I 31

32 Sind meine Systeme sicher? I 32 Anwendungsbeispiele Nächtlicher Komplettscan des Netzwerkes, Mail bei Verschlechterung Überprüfung auf Standard-Passwörter bei diversen Diensten Suche nach Conficker und anderen Scan nach IT-Grundschutz Überprüfung, ob neue Maschinen im Netz auftauchen

33 Sind meine Systeme sicher? I 33

34 Sind meine Systeme sicher? I 34 Dankeschön