Im Zielvisier der Hacker Gegenmaßnahmen leicht gemacht

Größe: px

Ab Seite anzeigen:

Download "Im Zielvisier der Hacker Gegenmaßnahmen leicht gemacht"

Kristina Böhler
vor 8 Jahren
Abrufe

1 Im Zielvisier der Hacker Gegenmaßnahmen leicht gemacht

2 Hochschule Augsburg HSASec Forschungsgruppe IT- Security + Forensik Vorstellung der HSASec Benjamin Kahler PenetraAonstests ISO bezogene Tests, NoIallkonzepte Gordon Rohrmair WissenschaNlicher Leiter Telefon: E- Mail: benjamin.kahler, peter.schulik, sebasaan.kraemer <@hs- augsburg.de> Peter Schulik Computer Forensik PenetraAonstest SebasAan Kraemer Websecurity PenetraAonstests von Webanwendungen

3 Agenda Angriffsszenarien und Gegenmaßnahmen Webseiten Social Engineering Aktuelle SoDwarestände Unsichere Netzwerke Aspekte der Unternehmensicherheit: Zusammenfassung

4 AuLau Wie läun ein Angriff ab? Wo lag das Sicherheits- Problem? Welche Lösungen gibt es? Wo finden Sie weitere InformaAonen?

5 Angriffe und Gegenmaßnahmen Webseiten

6 Angreifer können Unternehmensdaten über Webanwendungen erlangen

7 Angreifer können Unternehmensdaten durch schlecht gesicherte WebauDriOe erlangen Webseiten Aufrufe werden veränderthhp://webserver/ cgi- bin/find.cgi?id=42+union+select+login, +password,+'x'+from+user Angreifer kann Datenbank- Inhalte auslesen Angreifer hat Zugriff auf: Login- Daten KalkulaAonen Produktdaten Personaldaten

8 Wo liegt das Problem bei diesem Angriff? Nutzereingaben wurden nicht sauber abgefangen Egal ob SQL- InjecAon, Path- Traversal, XSS,... Daraus: Verlust von Unternehmensdaten Siehe Gerichtsverhandlung in Augsburg: hhp://anyurl.com/hsasec- Erpressung- Firma Erpressung, Verkauf an Konkurrenz,...

9 Was können Sie dagegen tun? Nutzereingaben überwachen Validierung von Input und Output Sicherheitstests Installieren von Web- App Firewalls Beispielsweise: ModSecurity Rechtemanagement Kontext: Webserver Datenbank

10 Wo kann ich weitere InformaRonen suchen? OWASP Top 10 hhp://anyurl.com/hsasec- OWASP CWE Top 25 Most Dangerous SoNware Errors hhp://anyurl.com/hsasec- CWE25 BSI Grundschutz Baustein 5.21: Webanwendungen hhp://anyurl.com/hsasec- BSI521 ModSecurity hhp://

11 Angriffe und Gegenmaßnahmen Social Engineering

12 Angreifer verhelfen sich zum Erfolg durch den Faktor Mensch Gute Perimetersicherheit Angreifer Wasser Faktor Mensch Vertrauen Neugierde Tarnen und Täuschen Einfacher FunkAoniert immer

13 Ein Angreifer hat mehrere Möglichkeiten Nutzer zu schadhadem Verhalten zu verleiten Teensy- USB Windows Powershell Tastatur wird emuliert Angreifer benöagt Zugang zu einem unbeobachteten PC USB SAck Verteilen auf dem Firmengelände: Personaleinsparungen2014.xls Datei ausdrucken lassen E- Mail mit Anhang Der Klassiker

14 // Demo

15 Warum ist dieser Angriff so gefährlich? Austricksen der Nutzer Neugierde und Vertrauen Cybercrime ist die Kapitalisierung von Vertrauen Zielgerichtet Abwehr dagegen auf technischer Ebene: Schwierig bis unmöglich

16 Auf organisatorischer Ebene kann diesem Angriff entgegengewirkt werden Sicherheits- Policy USB- Geräte Sperren der ArbeitstaAonen Awareness- Schulungen Bei den Mitarbeitern muss ein Sicherheitsbewusstsein geschaffen werden Gesundes Misstrauen

17 Auf technischer Ebene können die Auswirkungen des Angriffs verringert werden Schlagwort: Damage Containment Zonierung von Netzen Aufsplihen des Unternehmensnetzwerkes Zonen gegeneinander durch Firewalls trennen VLANs Einsperren des Angreifers in einem Netzwerksegment Ziel dieser Vorgehensweise Security in Depth Schutz und Abkapselung der wichagsten Unternehmensdaten (die Kronjuwelen )

18 Wo gibt es weitere InformaRonen? LeiIaden IT- Security Policy hhp://anyurl.com/hsasec- TSE- LeiIaden SANS: InformaAon Security Policy Templates hhp://anyurl.com/hsasec- SANS- Templates BSI Grundschutz: Hilfsmihel Security Policy hhp://anyurl.com/hsasec- BSI- SecPol ebusinesslotse Nürnberg: LeiIaden Gefahr durch Social Engineering hhp://anyurl.com/hsasec- eblnuernberg- SE HSASec, LfV: Soziale Netzwerke Sicherheit und Privatsphäre hhp://anyurl.com/hsasec- SNSP

19 Angriffe und Gegenmaßnahmen Patchmanagement und Softwareupdates

20 Systemupdates verhindern viele Angriffe

21 Auch DriOanbieter SoDware bietet Angreifer die Möglichkeit ein System zu übernehmen

22 Fast täglich wird über Softwareschwachstellen berichtet die auch missbraucht werden

23 Nicht jede Internetquelle enthält belanglose InformaRon

24 Die Anzahl der veröffentlichten Schwachstellen ist enorm

25 Die eingesetzten IT- Lösungen werden zunehmend komplexer Es werden zunehmend mehr und mehr Komponenten von Drihherstellern verwendet (bis zu 70 pro Produkt*) Zunehmender Einsatz von Standardprotokollen (IP, TCP, UDP) Zunehmende Komplexität und Verbindungsdichte der Netzwerke (mobile Devices) *= Siemens AG ProduktporIolio

26 Ja aber ist es wirklich so einfach die Unternehmen anzugreifen?

27 Die Gegenmaßnahmen gliedern sich in drei Teilbereiche auf Update Härten (Workaround) Begrenzen

28 Wo gibt es weitere InformaRonen? BSI: Update und Patch- Management hhp://anyurl.com/hsasec- BSI- Patch MicrosoN Windows Server Update Service hhp://anyurl.com/hsasec- MS- WSUS Unterstützung durch Tools diverser Hersteller Baramundi, Secunia,...

29 Angriffe und Gegenmaßnahmen Unsichere Netzwerke

30 Öffentliche W- LANs bergen die Gefahr von jedermann abgehört zu werden

31 Das Übertragungsmedium unterstützt den Lauschangriff

32 Tools ermöglichen einfaches Abhören und Knacken von KommunikaRon

33 Tools ermöglichen einfaches Abhören und Knacken von KommunikaRon

34 Unsichere Netzwerke beeinflussen die Sicherheit des Unternehmens Außerhalb des Unternehmens Abhören Datenverlust UnbedarNe Nutzer Nur mal kurz eine Mail verschicken Probleme Daten und Zugangsdaten werden mitgehört Unbemerkbar Angriff auf Geräte

35 Durch technische und organisatorische Maßnahmen kann diese ProblemaRk gelöst werden Organisatorisch Guidelines W- LAN, VPN,... Technisch Härtung VPN Keine Klartextprotokolle

36 Wo gibt es weitere InformaRonen? BSI: Leitlinie Virtuelles Privates Netz hhp://anyurl.com/hsasec- BSI- VPN MicrosoN: VPN Verbindung einrichten hhp://anyurl.com/hsasec- MStechnet- VPN OpenVPN: How To hhp://anyurl.com/hsasec- OpenVPN Produkt- Handbücher sonsager Hersteller von VPN- Geräten Cisco, Juniper,...

37 Aspekte der Unternehmensicherheit Organisation - Personal - Technik

38 OrganisaRon Au~au einer OrganisaAonsstruktur Formulierung einer Leitlinie zur InformaAonssicherheit Entwicklung eines Sicherheitskonzeptes

39 OrganisaRon Au~au einer OrganisaAonsstruktur Formulierung einer Leitlinie zur InformaAonssicherheit Entwicklung eines Sicherheitskonzeptes Aufgaben, Verantwortungen und Kompetenzen IntegraAon in bestehende Abläufe und Prozesse IT- SicherheitsbeauNragter DatenschutzbeauNragter Resourcenbereitstellung Geltungsbereich OrganisaAonsstruktur Sicherheitsziele Sicherheitsstrategie Bestandsaufnahme Schutzbedarfsfeststellung Auswahl und Anpassung von Maßnahmen Basis- Sicherheitscheck Ergänzende Sicherheitsanalyse

40 OrganisaRon IT- Sicherheit ist ein fortwährender Prozess

41 Personal Regelmäßige Schulungen Security Policy muss gelebt werden Security vs. Usability

42 Technik Auswahl geeigneter Techniken gemäß Sicherheitskonzept RichAge ImplemenAerung Tests der ImplemenAerung

43 Wo gibt es weitere InformaRonen? BSI: IT- Grundschutz hhp://anyurl.com/hsasec- BSI

44 HSASec HSASec Forschungsgruppe IT- Security + Forensik Noch Fragen?

Ähnliche Dokumente

Netzwerk Management Potentielle Systemausfälle bereiten Ihnen Sorgen?

Netzwerk Management Potentielle Systemausfälle bereiten Ihnen Sorgen? Hofmann PC-Systeme Potentielle Systemausfälle bereiten Ihnen Sorgen? Ist Ihre Datensicherung wirklich zuverlässig? Funktioniert Ihr Virenschutz einwandfrei? Sind Ihre Server noch ausreichend ausgestattet?