Physische Sicherheit im IT-Security Umfeld

Transkript

1 Physische Sicherheit im IT-Security Umfeld

2 Vorstellung Thomas Hackner MSc IT Security Penetration Testing Lockpicking Physical Security 2 / 79

3 IT Penetration Tests Physical Penetration Tests Social Engineering 3 / 79

4 Tiger Team Assessments 4 / 79

5 Ein Beispiel aus der Praxis...

6 Ein Beispiel aus der Praxis... physische Sicherheitsmaßnahmen hätten diesen Angriff erschwert

7 Übersicht Physical Protection System Design Mary Lynn Garcia

8 PPS Functions Detection Delay Angriffserkennung Kommunikation Alarm Assessment Barrieren Widerstand Response Stoppen des Angriffs

9 Beginn des Angriffs Ende des Angriffs Gesamte Angriffszeit Erkennen Reagieren Angreifer aufgehalten Erster Alarm Alarmmeldung untersucht PPS Zeitraum Zeit 9 / 79

10 Sicherheitszonen Freigeländesicherung (Outer Perimeter) Außenhautüberwachung (Inner Perimeter) Öffnung Durchstieg Durchgriff Schwerpunktmäßige Sicherung Wertschutz (Bilder, Safes) 10 / 79

11 Agenda Anforderungen Maßnahmen Praxis Empfehlungen 11 / 79

12 Einführung Information Security Management ISO NIST SP / 79

13 NIST SP Information system security is a system characteristic and a set of mechanisms that span the system both logically and physically. NIST SP , p. E-2 13 / 79

14 NIST SP Operational Security Control Preventive Operational Controls ( ) Control data media access and disposal (e.g., physical access control, degaussing method) Detection Operational Controls ( ) Provide physical security (e.g., use of motion detectors, closed-circuit television monitoring, sensors and alarms) 14 / 79

15 ISO A.9.1 Sicherheitsbereiche A.9.2 Sicherheit von Geräten

16 Physische Sicherheitsaußengrenzen Physische Zutrittskontrollen Sicherung von Büros, Räumen und Einrichtungen A.9.1 Sicherheitsbereiche

17 SecurityPitfalls.org Perimeter Sicherheitsschranken 17 / 79

18 SecurityPitfalls.org (not published yet) Perimeter Sicherheitsschranken 18 / 79

19 SecurityPitfalls.org 19 / 79

20 Physische Sicherheitsaußengrenzen Physische Zutrittskontrollen Sicherung von Büros, Räumen und Einrichtungen A.9.1 Sicherheitsbereiche

21 Elektronische Zutrittskontrollsysteme schützen oft nur Türfalle 21 / 79

22 22 / 79

23 23 / 79

24 SecurityPitfalls.org 24 / 79

25 SecurityPitfalls.org 25 / 79

26 Sichtbare Ausweise (Badges) für Besucher und Mitarbeiter 26 / 79

27 Physische Sicherheitsaußengrenzen Physische Zutrittskontrollen Sicherung von Büros, Räumen und Einrichtungen A.9.1 Sicherheitsbereiche

28 Beispiel IBM, London (2009) 28 / 79

29 29 / 79 SecurityPitfalls.org

30 30 / 79 SecurityPitfalls.org

31 Beispiel Flughafen, München (2008) 31 / 79

32 32 / 79 SecurityPitfalls.org (not published yet) SecurityPitfalls.org

33 Bitte beachten Sie: Ein gekipptes Fenster ist ein offenes Fenster (auch für die Versicherung) 33 / 79

34 Beispiel Generali, Wieselburg (2009) 34 / 79

35 35 / 79 SecurityPitfalls.org

36 36 / 79 SecurityPitfalls.org

37 Das schwächste Glied / 79

38 Schutz vor äußeren und umweltbedingten Bedrohungen Arbeit in Sicherheitsbereichen Öffentlicher Zutritt A.9.1 Sicherheitsbereiche

39 Dr. Kurt Hickisch

40 Dr. Kurt Hickisch

41 Schutz vor äußeren und umweltbedingten Bedrohungen Arbeit in Sicherheitsbereichen Öffentlicher Zutritt A.9.1 Sicherheitsbereiche

42 SecurityPitfalls.org 42 / 79

43 Schutz vor äußeren und umweltbedingten Bedrohungen Arbeit in Sicherheitsbereichen Öffentlicher Zutritt A.9.1 Sicherheitsbereiche

44 SecurityPitfalls.org 44 / 79

45 A.9.2 Sicherheit von Geräten Platzierung und Schutz von Geräten Unterstützende Versorgungseinrichtungen Sicherheit der Verkabelung Instandhaltung

46 Beispiel Seoul (2009) 46 / 79

47 47 / 79 SecurityPitfalls.org

48 48 / 79 SecurityPitfalls.org

49 49 / 79 SecurityPitfalls.org

50 Beispiel Polizeistation, Paris (2008) 50 / 79

51 51 / 79 SecurityPitfalls.org (not published yet) SecurityPitfalls.org

52 52 / 79 SecurityPitfalls.org (not published yet) SecurityPitfalls.org

53 A.9.2 Sicherheit von Geräten Sicherheit von Geräten off-site Sichere Entsorgung oder Weiterverwendung Entfernen von Eigentum

54 SecurityPitfalls.org (not yet published) 54 / 79

55 Agenda Praxis H IP PA IS O SP T N IS 2 Maßnahmen IS O Anforderungen Empfehlungen 55 / 79

56 HIPPA Health Insurance Portability and Accountability Act Physical Safeguards Facility Access Controls Workstation Use Workstation Security Device and Media Controls 56 / 79

57 Agenda Praxis FS A H IP PA IS O SP T N IS 2 Maßnahmen IS O Anforderungen Empfehlungen 57 / 79

58 Financial Services Authority Data Security in Financial Services Maßnahmen von Unternehmen zum Schutz gegen Datenverlust durch Mitarbeiter und externe Vertragspartner HACKNER Security Intelligence 58 April 2008

59 Zugang zum Firmengelände FSA Physical Security HACKNER Security Intelligence 59

60 Zugang zum Firmengelände Kleine Unternehmen Große Unternehmen Zutritt per Keypad, Alarmanlagen, Vergitterte Fenster, CCTV CCTV, Strikte Besucherregelung, Verwendung von Mobiltelefonen, Awareness Training für Mitarbeiter Dennoch, 10 von 39 Firmen mit grundlegenden physischen Schwächen 60 / 79

61 Zugang zum Firmengelände Beispiele Hohes Einbruchsrisiko, aber keine Alarmanlage, kein CCTV und Mitarbeiter mit uneingeschränktem Zugang außerhalb der Bürozeiten Zugang zu Serverraum mit Besucherausweis Zugang zu Serverraum für externen Sicherheitsdienst, ohne deren Namen zu kennen Reinigungspersonal und Concierge mit uneingeschränktem Zugang zu Büroräumlichkeiten Keypad im Eingangsbereich, jedoch Eingangstür offen 61 / 79

62 Beispiel Flughafen in Rom (2009/2010) 62 / 79

63 63 / 79 SecurityPitfalls.org

64 64 / 79 SecurityPitfalls.org

65 65 / 79 SecurityPitfalls.or

66 Clear-Desk Policy FSA Physical Security HACKNER Security Intelligence 66

67 Clear-Desk Policy 8 von 10 hatten keine oder nur schlecht ausgeführte Clear-Desk Policy Beispiel Dokumente mit personalisierten Kundeninformationen und Benutzernamen und Passwörter von Mitarbeitern auf Schreibtischen 67 / 79

68 Lagerung von ausgedruckten Kundendaten FSA Physical Security HACKNER Security Intelligence 68

69 Lagerung von Ausdrucken Lagerung von ausgedruckte Kundenakten in versperrbaren Aktenschränken Beispiele 7 Firmen hatten ihre Aktenschränke unversperrt während der Begutachtung 1 Firma ließ die Aktenschränke über Nacht offen jene, in der das Reinigungspersonal uneingeschränkten Zugriff hatte (Reisedokumente, Führerscheine, Bankauszüge, etc.) 69 / 79

70 BIP Empfehlungen Vollständigkeit und Compliance von Zutritts- und Besucherkontrolle HACKNER Security Intelligence 70

71 BIP Empfehlungen Vollständigkeit und Compliance von Zutritts- und Besucherkontrolle Zutrittskontrolle (manuell / automatisiert) Tragen und Sichtbarkeit von Mitarbeiterausweisen Besucherausweise für Besucher Begleitung von Besuchern Türen, Fenster, oder Räume sollten geschlossen werden HACKNER Security Intelligence 71

72 Empfehlungen Risikoanalyse Bewertung der Sicherheitszonen Berechnung der Angriffs- und Reaktionszeit Zusammenarbeit mit Mitarbeitern Beratung, wenn Unsicherheit besteht HACKNER Security Intelligence 72

73 BIP Empfehlungen Vulnerability Testing und Physical Security Checks HACKNER Security Intelligence 73

74 Beispiel Polizeistation in Niederösterreich (2009) 74 / 79

75 75 / 79 SecurityPitfalls.org

76 76 / 79 SecurityPitfalls.org

77 77 / 79

78 Agenda Praxis FS A H IP PA IS O SP T N IS 2 Maßnahmen IS O Anforderungen Empfehlungen BIP / 79

79 Thomas Hackner, MSc Web: