Open for Business - Open to Attack? Walter Lender, Geschäftsführer, Visonys IT-Security Software GesmbH

Transkript

1 Open for Business - Open to Attack? Walter Lender, Geschäftsführer, Visonys IT-Security Software GesmbH

2 2

3 Open for Business - Open to Attack? 75% aller Angriffe zielen auf Webanwendungen (Gartner, ISS) Die Gartner Group berichtete über eine Erfolgsquote von 70% Bei über 90% der untersuchten Webanwendungen konnten gravierenden Manipulationen durchgeführt werden. Diese Angriffe verbergen sich im legitimen HTTP-Datenstrom und werden durch keine FW und / oder IDS / IPS erkannt Erfolgreiche Angriffe werden nicht erkannt, da sie genauso aussehen wie die normale legitime Nutzung der Applikation Main Point of Attack 3

4 Script Kiddies verwenden nur bestehende Tools, die bekannte Schwachstellen ausnützen wenig Gefahr für Webapplikationen 4

5 Die Gefahr geht von gezielten Angriffen aus Ziel ist der unbemerkte Datendiebstahl, Industriespionage oder Diebstahl von Kundendaten und Kreditkarteninformationen 5

6 Ihr Netz ist sicher und Ihre Anwendung? Benutzer Firewall Applikations-Server Angreifer Benutzer aus dem Intranet Authentisierungs-Server 6

7 7

8 Positionierung Webapplikation-Firewall punktueller Schutz für bekannte Schwachstellen Intrusion Prevention Systeme Firewall reine Zugriffskontrolle auf Layer 3 bis 7 Umfassender Schutz zeigt Abweichungen im gesamten Netzwerk auf Anomaly Detection Systeme Web- applikations- Firewall kennt die Applikation im Detail und lässt nur gewünschte Anfragen durch 8

9 VisonysAirLock Web Application Firewall: Schützen Beschleunigen Überwachen Benutzer Firewall Applikations-Server visonysairlock WAF Internet Angreifer 9

10 VisonysAirLock Web Application Firewall: Schützen Beschleunigen Überwachen «Wer?» Technische Prüfung Wer ist der Benutzer? Ist der Benutzer willkommen? Identitätsprüfung durch Authentisierung Rechteprüfung durch Autorisierung «Was?» Was will der Benutzer? Befolgt der Benutzer unsere Anweisungen? Technische Prüfung Benutzereingaben prüfen durch Content Filter Ablaufparameter prüfen auf Manipulation (Session, Cookie, URL, ) 10

11 VisonysAirLock Web Application Firewall: Schützen Beschleunigen Überwachen Benutzer Firewall Applikations-Server visonysairlock WAF Internet Angreifer Benutzer aus dem Intranet Authentisierungs-Server LDAP RADIUS MSAD X509 ACE 11

12 VisonysAirLock Web Application Firewall: Schützen Beschleunigen Überwachen Network Level Filter SSL Termination Protocol Validation and Rebuilding Character Encoding and Unicode Checking Cookie Protection Request Validation Attack Blocking URL Encryption Smart Form Protection Response Content Filter and Rewriting 12

13 Die eingeschränkte Sicht von Netzwerk-Firewalls Netzwerk-Firewalls untersuchen einzelne Pakete und schauen sehr genau hin: 13

14 Die eingeschränkte Sicht von Netzwerk-Firewalls Für Anwendungssicherheit braucht es aber einen umfassenden Blick! 14

15 Visonys Application Assurance Gateway Schützen Blockierung unerlaubter HTTP Requests durch umfassende Filterung Abweisung nicht berechtigter Benutzer durch vorgelagerte Authentisierung Single Sign On für berechtigte Benutzer Secure Remote Access durch SSL-VPN Blockierung unerlaubter SOAP/XML Messages Beschleunigen Hochverfügbarkeit der Applikation durch Load Balancing Kürzere Antwortzeiten Isolation des Intranets (durch Reverse Proxy) Bandbreiten Reduktion Compliance PCI EuroSOX 15

16 Client Security Trojaner andere Malware gefährden den PC nach wie vor. Die PCs von Endkunden und Businesspartnern sind als unsicher einzustufen. Ensprechende Schutzprogramme wären Pflicht, können aber nicht vorausgesetzt werden. Heute infiziert man sich (bzw. den PC) nicht nur beim Öffnen von fragwürdigen Attachments, sondern schon alleine beim Surfen (drive-by downloads). 16

17 Client Security: Konsequenzen und Massnahmen Einmal aktiv, kann ein Trojaner Sich selbst vor Schutzsoftware verstecken Screenshots anfertigen und versenden Tastatureingaben aufzeichnen (auch Passwörter) Webseiten-Inhalte verändern Session-Cookies stehlen Abfragen/Transaktionen im Namen des Benutzers ausführen Die stärkste Authentisierung nützt nichts, wenn der PC des Benutzers kompromittiert ist! Gegenmassnahmen Transaction Signing: Extra Autorisierung von kritischen Aktionen (z.b. Banküberweisung). Verhindert nicht den Verlust der Privatsphäre! visonysairlock Client Fingerprinting: Verhindert Session Hijacking und erkennt Trojaner anhand eines vom Browser verschiedenen Fingerabdrucks! 17

18 Wer ist Visonys? Web Application Security seit 1996 Schutz der Web Applikationen vor Hacker Angriffen und Manipulationen Kunden Nutzen Security High Availability Kostenreduktion Standard Produkt Eigene Softwareentwicklung Hochsichere Software Appliance HQ in Zürich, Schweiz Namhafte Referenzkunden bei Behörden, Banken & Versicherungen und Portal-Betreibern 18

19 Kunden (1) Banken RZ SAENTIS ESPRIT Versicherungen 19

20 Kunden (2) Behörden Portale 20