Advanced Cyber Defense im Spannungsfeld zwischen Compliance und Wirksamkeit. Uwe Bernd-Striebeck RSA Security Summit München, 12.

Transkript

1 Advanced Cyber Defense im Spannungsfeld zwischen Compliance und Wirksamkeit Uwe Bernd-Striebeck RSA Security Summit München, 12. Mai 2014

2 Security Consulting Planung und Aufbau von Informationssicherheit in Unternehmen Prüfung und Beratung in den Themenfeldern ISMS / ISO / Zertifizierungen technische Sicherheitsaudits / Pentesting Identity und Access Management Business Continuity Management Datenschutz Abwehr von Industriespionage Uwe Bernd-Striebeck Leitung Security Consulting 1

3 Veränderung der Bedrohungslage für Unternehmen 2

4 Die neue Bedrohung APT Advanced A Ein Angreifer ist sehr vertraut mit Cyber-Intrusion Methoden sowie mit administrativen Techniken und ist in der Lage, zielgerichtete Tools und Exploits zu entwickeln. Persistent P Der Angreifer hat Langfristziele und versucht, sein Ziel ohne Entdeckung zu erreichen. Threat T Der Angreifer ist mit anderen Angreifern organisiert und abgestimmt und verfügt über finanzielle Mittel. Ein Tool, wie ein Virus oder ein Wurm, stellt nie selbst einen APT dar, sondern kann, gemessen an der Qualität, lediglich ein Indiz für einen APT sein. 3

5 Veränderung der Bedrohungslage für Unternehmen Was ist die Motivation der Angreifer? Computerbetrug Betrügerische Handlungen unter Ausnutzung von Informationstechnologien und der Manipulation von Datenverarbeitungssystemen bzw. -prozessen Verletzung von Urheberrechten Verstoß gegen die Verwertungsrechte von urheberrechtlich geschützten elektronischen Daten Ausspähen oder Abfangen von Daten Unberechtigtes Aufzeichnen, Mithören oder Mitlesen von Daten die sich gerade in der Übermittlung befinden, aber auch von natürlichen Gesprächen über technische Hilfsmittel Manipulation von Konto- und Finanzdaten Unberechtigte Veränderung von Konto- und Finanzdaten in Buchhaltungs- oder Zahlungssystemen Kurzdefinitionen in Anlehnung an Straftatbestände Verletzung von Geschäfts- oder Betriebsgeheimnissen Unbefugte Aneignung und Weitergabe von vertraulichen oder geheimen Informationen unter Nutzung elektronischer Mittel Systembeschädigungen oder Computersabotage Störung von Datenverarbeitungsprozessen, z.b. durch Beschädigung oder Manipulation von Computern, Netzwerken oder Datenträgern Datendiebstahl Unberechtigte Aneignung von Daten Erpressung Erpressung unter Androhung von e-crime-handlungen 4

6 Paradigmenwechsel in der IT-Sicherheit Ansatz bis 2012: Wir stoppen die Angreifer an der Unternehmensgrenze. Eingesetzte Techniken (beispielhaft): Firewalls ACLs Virenschutz Intrusion Detection 5

7 Paradigmenwechsel in der IT-Sicherheit Ansatz heute: Wir versuchen den Angreifer an der Unternehmensgrenze zu stoppen und ergänzen dies um eine Angriffserkennung im Unternehmens-Netz. Neue Techniken: Advanced Cyber Defense Verhaltensbasierte Erkennung Anomalie-Detektion Datenstromanalysen 6

8 Was sind Anomalien? Beispiel Zeitreise 7

9 Was sind Anomalien? Beispiel unverschlüsselte Passworte 8

10 Was sind Anomalien? Beispiel Data Leakage 9

11 Ziel von ACD ist die Schadensminimierung durch die Verringerung der Verweil- und Reaktionszeit Angreifersicht Eindringen eines Angreifers Angriff beginnt Angriffsziel erreicht Orientierung Angriff läuft Verweilzeit Reaktionszeit Erkennen des Angriffs Beendigung des Angriffs Unternehmersicht 10

12 Wie funktioniert ACD? Netzwerk-Datenverkehr (PCAP) Compliance Filter Netzwerk-Daten werden gelesen Ist das eigentlich rechtlich zulässig? RSA Big Data System Kundenspez.- Regeln (optional) Regeln zur Anomalie-Erkennung 11

13 Rechtliche Rahmenbedingungen Die Daten DNA kann mehrere Bestandteile umfassen: rein interne Firmeninformationen externe & interne Firmeninformationen private Kommunikation Daher ist die Zulässigkeit im konkreten Anwendungsfall zu beurteilen. 12

14 Fall 1: Die private Verwendung von Telekommunikationssystemen ist erlaubt oder toleriert Gesetze zum Datenschutz als auch das deutsche Telekommunikationsgesetz müssen beachtet werden 13

15 Fall 2: Die private Verwendung von Telekommunikationssystemen ist weder erlaubt noch toleriert Gesetze zum Datenschutz müssen beachtet werden X 14

16 Fall 3: Der Datenverkehr enthält keine personenbezogenen Daten Telekommunikations- und Datenschutzgesetze nicht anwendbar X 15

17 These: Nur 5% Ihrer Informationen & Daten sind kritisch und besonders schützenswert. 16

18 Schützen Sie nicht einfach alles. Schützen Sie Ihre Kronjuwelen. 17

19 Manchmal hilft auch aufräumen. Forschung & Entwicklungs-Netz Unternehmensnetz Analyse des Datenstroms ohne Restriktionen möglich Analyse des Datenstroms eingeschränkt möglich 18

20 Sicherheit entsteht durch das Zusammenspiel etlicher Komponenten 19

21 Nur das Zusammenfassen aller vorliegenden Informationen ergibt das Lagebild 20

22 Cyber-Security Allianz Compliance, Consulting Technologie Betrieb, Consulting, Service 21

23 2013 KPMG AG Wirtschaftsprüfungsgesellschaft, a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative (KPMG International), a Swiss entity. All rights reserved. The KPMG name, logo and cutting through complexity are registered trademarks or trademarks of KPMG International Cooperative (KPMG International).