Infrastruktur Risikomanagement On time On budget On demand

Transkript

1 QuickTime and a TIFF (Uncompressed) decompressor are needed to see this picture. QuickTime and a TIFF (Uncompressed) decompressor are needed to see this picture. Infrastruktur Risikomanagement On time On budget On demand Jörg Vollmer Technical Account Manager, Central EMEA Zürich, 15. November, 2007

2 Agenda Qualys Firmenprofil Wie sicher sind wir wirklich? Wie hoch ist das Risiko? Automatisierung von Infrastruktur Audits Qualys Software as a Service (SaaS) Modell Policy Compliance Q & A

3 Qualys Firmenprofil Qualys, Inc., Redwood Shores, CA Niederlassungen in England, Deutschland, Frankreich, Singapore und Hongkong Gegründet: ,000+ Kunden, 30 Fortune 100, 300+ Forbes Global 2000 Über 150 Millionen IP Audits pro Jahr Über Appliances weltweit in mehr als 60 Ländern Anerkannter Marktführer im Bereich Schwachstellenmanagement (Gartner) Business: QualysGuard Security on Demand Schwachstellen- und Risiko-Management Richtlinienüberprüfung

4 Wie sicher sind wir wirklich? Viele Sicherheitsmaßnahmen am Perimeter Härtung von Betriebssystemen, Sicherheitschecks von Applikationen, Penetrationstests Einsatz von Firewalls, IDS/IPS, VPN, Authentisierung, usw. Wenige interne Sicherheitsmaßnahmen Anti-Virus Software auf Server und Client Fehlender Überblick über alle internen Systeme Oftmals Standardinstallationen von Betriebssystem, Applikationen und Datenbanken (Standardpasswörter) Kein oder nur begrenztes Patch-Management Eventuell vorhandene Sicherheitsvorgaben (Policies) werden selten umgesetzt und meist nicht überwacht Störungsfreier Betrieb und nicht Sicherheit im Vordergrund

5 Offene Türen für Angreifer Software Schwachstellen Buffer oder Heap Overflow Denial of Service Web Application Schwachstellen Konfigurations-, Administrations- oder Designfehler Standard- oder schwache Passwörter Fehlerhafte Zugriffsrechte Offene Ports oder fehlende Netzwerktrennung Verletzung der Sicherheitsrichtlinien Unauthorisierte Software (Skype, IM, Fileshare Tools) Unauthorisierte Hardware (Rogue WLAN AP s)

6 Wie hoch ist das Risiko? Stellen Sie sich die folgenden Fragen: Kenne ich meine IT Infrastruktur und alle vorhandenen Risiken? Gibt es eine Schatten-IT die ich nicht kenne? Welche Systeme sind verwundbar und wie erkenne ich sie rechtzeitig? Wie kann ich meine Outsourcing Verträge überwachen? Wie kann ich den Patchprozess priorisieren? Was kann ich tun um das Risiko zu reduzieren? Halte ich allgemeine Standards und rechtliche Vorgaben ein? Regelmäßige, automatische Netzwerk Audits helfen diese Fragen zu beantworten.

7 Phasen des VM Prozesses Phase 1 Asset Discovery und Inventarisierung Phase 6 Reporting und Policy Compliance Phase 2 Asset Zuweisung und Priorisierung Phase 5 Überprüfung und Verifizierung Phase 3 Assessment und Analyse Phase 4 Beseitigung der Schwachstellen

8 Automatisierung des VM Prozesses Ermitteln der benötigten Audit-Häufigkeit, Beispiel: Kritische Server in der DMZ täglich oder wöchentlich Übrige Server jeweils alle zwei Wochen Clients alle 4 bis 8 Wochen Vierteljährliche Überprüfung ist bei kritischen Servern in der Regel nicht ausreichend! Automatisierungsmöglichkeiten: Erfassung der Schwachstellen (Scheduled Scans) Zuweisung der Aufgaben (Trouble Ticket System) Patchmanagementprozess (mit Vorsicht!) Überprüfung der Patches und Workarounds

9 Lösungsansätze Software-Lösungen oder Freeware Tools Kostengünstig im Einstandspreis, aber hohes Know-How nötig Hoher Zeit- und damit Kostenaufwand für den Betrieb Prozesse schwer automatisierbar, manueller Betrieb Appliance-Lösungen Einfachere Installation und Betrieb, weitgehende Automatisierung Zentrale Reporting- und Backupinfrastruktur nötig Software as a Service (SaaS) Anbieter übernimmt den Betrieb der kompletten Infrastruktur Webservice, per Browser von überall verfügbar

10 Vorteile des SaaS Models Scan-Infrastruktur wird von Qualys zur Verfügung gestellt Keine Hardware oder Software zu installieren oder zu warten. Geringe Betriebskosten. Optimierte TCO Vollständig automatisierter und vom Kunden gemanagter Prozess Leichte und schnelle, weltweite Implementierung Problemlösung im Vordergrund statt Betrieb der Infrastruktur Mandantenfähiges Reporting, Management und Konfiguration weltweit über Webbrowser Datenaustausch über API Verschlüsselte, zentrale Datenhaltung erhöht die Sicherheit und erleichtert das Backup Revisionsgerechte Datenhaltung, keine Manipulationsmöglichkeiten, detailliertes Audit Log

11 QualysGuard 5.0 AJAX GUI

12 QualysGuard 5.0 Umfangreiche Audit Möglichkeiten Vielfältige ltige Signaturen Vulnerability Signatures Application Fingerprints Service Signatures Device / OS Fingerprints Configuration Signatures Compliance Signatures Automatisch immer auf dem neuesten Stand Devices/OS Identified: 725 Remote Services Identified: 250 Total vulnerability signatures: (3714 CVEs) 943 Vendors 1964 Products

13 QualysGuard 5.0 Dashboard und Business Unit Reporting Reporting nach Business Units oder Asset Groups Ermittlung des Security Trends über die Zeit

14 QualysGuard 5.0 Umfangreiche und anpassbare Reports Automatisch generierte Reports die jeweils auf die aktuellen, vorhandenen Daten zurückgreifen Anpassbare Reports: Datenfilterung nach Wunsch Graphische Analyse mit Vergleichskriterien und Trendinformationen Business Risk und CVSS Scoring PCI Compliance Reports Von allen Usern gemeinsam nutzbare Reports Reports können k online im Webinterface oder offline mit Hilfe von API Scripts erstellt werden

15 QualysGuard XML API Mehr als 25 Integrationen in andere Produkte SIEM ArcSight GuardedNet NetForensics Network Intelligence Symantec (SIM 4.0) esecurity OpenService Cisco CS-MARS Risk Exposure Skybox RedSeal Help Desk Remedy Peregrine Penetration Testing Core Impact / Core Security Policy Reporting MasterCard PCI Preventsys IDS/IPS Cisco Snort ForeScout Mazu Networks Patch Management Citadel PatchLink BigFix Asset Management and Reporting Cambia Network Access Control Cisco NAC Neon MetaInfo SAFE DHCP Vernier

16 Flexibles Reporting QualysGuard Go to Market Strategy Market Segmentation

17 QualysGuard Policy Compliance PCI ON DEMAND Einfach zu bedienendes Webinterface zum Selbstaudit der PCI Compliance PCI Fragebogen and Schwachstellen Scan Möglichkeit zur Online Übermittlung des Compliance Status an die Bank

18 QualysGuard Modelle Für grosse Unternehmen mit verteilter Infrastruktur Komplettpaket inkl. Appliance für SMB und einzelne Business Units Für Unternehmen, welche nach dem PCI-Standard überprüft werden müssen Für professional Services Unternehmen, Scans werden pro IP abgerechnet 300+ Forbes Global ,500+ SMBs Level 2, 3 merchants & service providers 200+ Consulting Unternehmen Accenture, NXO, Symantec, Cisco Alle dargestellten Modelle haben eine Laufzeit von 12 Monaten.

19 Q&A Herzlichen Dank!