Security by Design: Cyber-Angriffe proaktiv verhindern statt reaktiv nachzubessern. Praxisbeispiele für den Schutz gegen modernste Angriffe

Transkript

1 Security by Design: Cyber-Angriffe proaktiv verhindern statt reaktiv nachzubessern Praxisbeispiele für den Schutz gegen modernste Angriffe arxes-tolina Sicherheitstag 2016 Eric Behrendt Key Account Manager

2 Rohde & Schwarz im Überblick ı Unabhängiges Familienunternehmen ı Globale Präsenz in über 60 Ländern ı Umsatz: 1,87 Mrd. Euro (GJ 15/16) ı 90 Prozent Exportquote ı Mitarbeiter weltweit, 5900 in Deutschland Rohde & Schwarz Cybersecurity: Praxisbeispiele 1

3 Rohde & Schwarz Standorte in Deutschland München Teisnach Memmingen Berlin Köln Hannover R&S Cybersecurity GmbH Rohde & Schwarz Cybersecurity: Praxisbeispiele 2

4 Cybersecurity ist strategisches Geschäftsfeld bei Rohde & Schwarz Messtechnik Rundfunk- und Medientechnik Sichere Kommunikation Cyber-Sicherheit Funkerfassung Messgeräte und -systeme für Mobilfunk- und Wireless- Anwendungen allgemeine Elektronik Aerospace & Defense Betriebs-, Messund Studiotechnik für Netzbetreiber Sendeanstalten Studios Filmindustrie Hersteller von Unterhaltungselektronik Kommunikationssysteme für Flugsicherung Streitkräfte Verschlüsselungstechnik für Militär Behörden kritische Infrastrukturen IT-Sicherheitslösungen für Wirtschaft Kritische Infrastrukturen Behörden Funkerfassungstechnik für Regulierungsbehörden innere und äußere Sicherheit Netzbetreiber Radaraufklärungstechnik Service Rohde & Schwarz Cybersecurity: Praxisbeispiele 3

5 Strategisches Ziel: Wir stehen als zuverlässiger Lieferant für Cybersecurity Produkte und Lösungen in Europa Tap-proof communication Voice Encryption Apps & Devices Secure Messaging Fax & Radio Encryption Trusted Management CA, PKI, HSMs Crypto Management Configuration, Policy Firmware Deployment Trusted solutions from a single source Secure Endpoints Full-Disk Encryption Secure Browsing & Cloud Secure Desktop & Mobile Protected networks and network analytics Next Generation Firewalls & UTM Deep Packet Inspection Incident Detection / Response Encrypted Backbone / WAN Layer 3 IP Encryption Layer 2 Ethernet Encryption Secure Remote Access Rohde & Schwarz Cybersecurity: Praxisbeispiele 4

6 Sicheres Surfen im Worldwide Web

7 95 % aller Angriffe kommen über den Webbrowser Ransomware wie Locky führen zu Millionen-Schäden Rohde & Schwarz Cybersecurity: Praxisbeispiele 6

8 Lösungsansatz: Browserkapselung durch Virtualisierung Browser in the Box Sichere Surf-Umgebung für Clients und virtuelle Infrastrukturen ı Virtuelle Surf-Umgebung (Gekapselter Browser in virtueller Linux-Maschine) ı Schützt Intranet und Firmennetzwerk vor Schadcode aus dem Internet ı Einfacher Roll-out und zentrales Management ı Start immer von einem sauberen Snapshot ı Sicherheitsanalyse der VM-Technik zusammen mit BSI durchgeführt Um die Verbindung zum Internet für ihre Mitarbeiter abzusichern, nutzen alle baden-württembergischen Polizeidienststellen künftig Browser in the Box Rohde & Schwarz Cybersecurity: Praxisbeispiele 7

9 Browser-in-the-Box: Isolation auf Client- und Netzwerkebene Rohde & Schwarz Cybersecurity: Praxisbeispiele 8

10 Browser in the Box bietet der Leitstelle des Ennepe-Ruhr-Kreises sichere Internetnutzung rund um die Uhr Anforderungen ı Mitarbeiter im 24x7 Schichtbetrieb sollen getrennt von kritische Infrastruktur sicheren Zugriff ins Internet haben ı Trennung von kritischer Infrastruktur auf Client- und Netzwerkseite ı Schutz vor Angriffen aus dem Internet auf kritische Notfallinfrastruktur ı IT-Sicherheit Made in Germany Rohde & Schwarz Cybersecurity: Praxisbeispiele 9

11 Internetsicherheit bei der Bayerischen Versorgungskammer Browser in the Box ermöglicht sicheres Surfen ı MA betreuen knapp 1,6 Mio. Versicherte ı BitBox seit 5 Jahren erfolgreich in Betrieb Unsere größten Vorteile sind die Steigerung der Anwenderzufriedenheit und die Einhaltung einer einheitlichen IT-Sicherheitspolitik Georg Loder, Abteilungsleiter IT- Bereich der Versorgungskammer Bayerische Versorgungskammer Rohde & Schwarz Cybersecurity: Praxisbeispiele 10

12 Verschlüsselte Übertragung zwischen Standorten und Rechenzentren

13 Netze und Verbindungen werden angegriffen um Informationen zu erlangen oder zu manipulieren Rohde & Schwarz Cybersecurity: Praxisbeispiele 12

14 Datensicherheit ist besonders für RZ unabdingbar Sicheres Disaster Recovery für Big Data ı Rechenzentren ermöglichen Cloud Computing Private Clouds (z. B. Enterprise Cloud, Green Government Cloud) Hybrid Clouds ı Treiber Big Data > SAN-Switching (Storage) Virtualisierung > Low-Latency-Netzwerke Verfügbarkeit oberstes Ziel ı Notfallwiederherstellung (DR) Geo-Redundanz durch Backup-Standorte Kryptografie für Datensicherheit (Vertraulichkeit und Integrität) Zentrales Rechenzentrum WAN Backup- Rechenzentrum Rohde & Schwarz Cybersecurity: Praxisbeispiele 13

15 Abhörsichere Verbindung für Patienten-/Abrechnungsdaten Verband der Ersatzkassen (vdek) sichert Glasfaseranbindung Zentrale Berlin Remote Backup, RZ, Berlin Rohde & Schwarz Cybersecurity: Praxisbeispiele 14

16 Sichere Standortverbindung für das Gedächtnis der Nation Deutsche Nationalbibliothek setzt auf R&S SITLine ETH Frankfurt am Main Leipzig Rohde & Schwarz Cybersecurity: Praxisbeispiele 15

17 Sichere RZ-Dienstleistungen für Energie- und Wasserwirtschaft SIV AG setzt auf R&S SITLine ETH Rostock Roggentin RZ Stralsund Rohde & Schwarz Cybersecurity: Praxisbeispiele 16

18 Starke Verschlüsselung für Ethernet-Connect-Leitungen Sichere Anbindungen zwischen Rohde & Schwarz Standorten Rohde & Schwarz Cybersecurity: Praxisbeispiele 17

19 Leit- und Sicherungstechnik der Bahn müssen geschützt werden Starke Verschlüsselung für Signal- und Weichensteuerung ı Leit- und Sicherungstechnik im Bahnverkehr hat strenge Sicherheitsanforderungen: Redundanz Vermeidung gegenseitiger Beeinflussung CRC-Prüfsummen, um mit Übertragungsfehlern umzugehen ı Widerstandsfähigkeit gegen Manipulation erfordert Sicherheitsfunktionen wie: Integritätsschutz Verschlüsselung mit starker Authentifizierung Rohde & Schwarz Cybersecurity: Praxisbeispiele 18

20 Ethernet-Verschlüsselung für alle Bandbreiten R&S SITLine ETH passt in jedes Netz ı Real Time Applikationen mit geringer Verzögerung (VoIP, Videokonferenz, RZ-Spiegelung, ) ı optimale Bandbreitennutzung und schnelle Antwortzeiten ı Hoher Datendurchsatz ı Geringe Latenzzeit < 3 ı Echte Ende-zu-Ende Verschlüsselung, Carrier- bzw Transition-Point übergreifend Rohde & Schwarz Cybersecurity: Praxisbeispiele 19

21 Leitungs- und Netzwerk-Verschlüsselung mit 40 Gbit/s R&S SITLine ETH40G 40 Gbit/s in nur einer Höheneinheit Maximale Bandbreiteneffizienz Geringste Latenz Sitzungsschlüssel mit hoher Entropie Starke 2-Faktor- Authentisierung durch Passwort und Token Manipulationsresistente Geräte 100 Watt Nennleistung, 90% Wirkungsgrad Weniger Strom und weniger Abwärme Optimiert für Kaltgangseinhausungen 99,9941% Verfügbarkeit (höchste MTBF) Im Betrieb wechselbare Netzteile, Lüfter und Batterien Automatischer Krypto- Betrieb Höchste Performance Wirksame Verschlüsselung Green IT 24x7 serienmäßig Rohde & Schwarz Cybersecurity: Praxisbeispiele 20

22 Mitwachsende Lösung für heterogene Infrastrukturen R&S SITLine ETH-Serie Skalierbare Verschlüsselungslösung R&S SITLine ETH4G R&S SITLine ETH4G R&S SITLine ETH40G 1 x 1 Gbit/s Ethernet Upgrade per Lizenz 4 x 1 Gbit/s Ethernet Firmware-Upgrade 4 x 10 Gbit/s Ethernet Rohde & Schwarz Cybersecurity: Praxisbeispiele 21

23 R&S SITLine ETH40G Gewinner des Deutschen Rechenzentrumspreises 2015

24 Endpoint-Schutz vor Datenverlust und Spionage

25 Notebook Diebstahl immer noch ı 70 % der gestohlenen Notebooks werden zu Straftaten eingesetzt ı Durch den Verkauf von sensiblen Unternehmensdaten erhoffen sich die Diebe weit mehr als vom Weiterverkauf des eigentlichen Gerätes Rohde & Schwarz Cybersecurity: Praxisbeispiele 24

26 Stationärer Datenschutz durch Device-Vollverschlüsselung mit zentralem Management als Enterprise Lösung ı Hoher Einsatzkomfort für User und Admin ı Mehrbenutzerfähigkeit ı Umfassende Sicherheit Device-Vollverschlüsselung Verschlüsselung von Systempartitionen und mobilen Speichergeräten ı Zulassung für Geheimhaltungsgrad VS NfD ı Migrationspfad für Betriebssystemupgrades Rohde & Schwarz Cybersecurity: Praxisbeispiele 25

27 TrustedDisk Full Disk Encryption mit zentralem Management Hoher Einsatzkomfort für User und Admin Sichere Authentisierung mittels SmartCard Flexibler RollOut inkl. SmartCard-Personalisierung Festlegung netzwerkweiter Notfall"-Administratoren Mehrbenutzerfähigkeit Gleichzeitiger Zugriff mehrere Nutzer und Gruppen auf verschlüsselte Speichergeräte TrustedDisk BSI-zugelassene Verschlüsselung für Datenträger und Betriebssysteme Umfassende Sicherheit Device-Vollverschlüsselung für Windows 7,8,10 Verschlüsselung von Systempartitionen und mobilen Speichergeräten Zulassung für Geheimhaltungsgrad VS NfD Migrationspfad für Betriebssystemupgrades Kein Wechsel auf einen anderen Anbieter für zugelassene Festplattenverschlüsselung erforderlich Rohde & Schwarz Cybersecurity: Praxisbeispiele 26

28 TrustedDisk Full Disk Encryption mit zentralem Management ı Zentrales Management über TrustedObjects Manager Ideal für Behörden und Unternehmen mit > als 30 Clients Zentrales Benutzer-Management und PUK-Verwaltung Anbindung an einen Verzeichnisdienst (LDAP) Übersicht über den Status der Clients (Verschlüsselungsstatus / Verbindung) Zentrale Protokollierung der Events Flexibles RollOut Szenario von TrustedDisk und der SmartCards Personalisierung von Smartcards mit mehreren Zertifikaten (z.b. für VPN) für die Verwendung mit der zugelassenen TrustedDisk Einzelplatzversion freigegeben Rohde & Schwarz Cybersecurity: Praxisbeispiele 27

29 Weitere Highlights von TrustedDisk ı Sicherheitsfeatures Umfassende Pre-Boot Authentication Mehrstufige Authentifizierung per Hardwaretoken und PIN Sichere Zufallszahlengenerierung, flexible Umverschlüsselung Für den VS-NfD Einsatz unter Windows 7,8,10 zugelassen TrustedDisk BSI-zugelassene Verschlüsselung für Datenträger und Betriebssysteme ı Weitere Funktionen Stealth-Mode Smart-Lock Linux Version Unterstützung PKCS #11 Verwendung Middleware ( CardOS API) Rohde & Schwarz Cybersecurity: Praxisbeispiele 28

30 Informationsflußsteuerung und umfassende Client-Sicherheit durch Desktop Virtualisierung und Informationssegmentierung Rohde & Schwarz Cybersecurity: Praxisbeispiele 29

31 Pro-aktive Sicherheitskonzepte bieten Schutz gegen Innentäter wie Außenangriffe ı Separation und Integritätsprüfung Separierung kritischer Bereiche in von einander isolierte Komponenten Reduzierung der sicherheitsrelevanten Komponenten Integritätsschutz der Komponenten Datenaustausch nur über klar definierte Schnittstellen TECHNOLOGIEN: Virtualisierung, Sicherheitskerne ı Informationsflusskontrolle statt Zugriffskontrolle Kontrolle der Daten über gesamten Lebenszyklus Verarbeitung nur durch integritätsgeschützte Komponenten TECHNOLOGIEN: Trusted Computing, Remote-Attestation Creation Erase Use Control Rohde & Schwarz Cybersecurity: Praxisbeispiele 30

32 Lösungsansatz: Desktop Virtualisierung für eine praktikable Informationsflusskontrolle ı Strikte Isolation kritischer Anwendungen und unternehmensweiter Workflows ı verlässliche Durchsetzung von Sicherheitsrichtlinien ı Zentrales und systemweites Management von Sicherheitsrichtlinien Installation, Konfiguration und Provisioning für die gesamte Infrastruktur Netze, User und Desktop Images ı Ergebnis: System gewährleistet eine Verarbeitung geschützter Daten ausschließlich durch vertrauenswürdige Komponenten versehentlicher oder böswilliger Datenabfluss an unberechtigte Dritte effizient verhindert Rohde & Schwarz Cybersecurity: Praxisbeispiele 31

33 Isolation, Virtualisierung, Sicherheitsdomänen schaffen eine sichere und vertrauenswürdige Infrastruktur ı Sicherheitskern isoliert mehrere Betriebssysteme (Compartments) in einzelne Sicherheitszonen, virtuell auf Client ausgeführt ı Compartments sind einer Trusted Virtual Domain (TVD) zugeordnet ı eine TVD besteht aus vielen verteilten Clients und bildet geschlossene virtuelle Sicherheitszone TVD ı Daten können nur zwischen Compartments der gleichen TVD übertragen und verarbeitet App werden OS OS ı Übertragung erfolgt transparent verschlüsselt App TVD App OS TURAYA Security Kernel Hardware TVD App OS Rohde & Schwarz Cybersecurity: Praxisbeispiele 32

34 TrustedDesktop Eigenschaften und Merkmale TrustedDesktop Sichere Desktopvirtualisierung mit Informationsflusskontrolle ı Sicherer Arbeitsplatz Umfassende Client-Sicherheit, inkl. FDE, VPN-Client, Desktop-Virtualisierung, Trusted Boot, Port-Kontrolle Schützt vor jeglichen Infektion durch Schadsoftware und APT-Angriffen, auch bei vorhandenen Schwachstellen (Exploits) in einer Anwendung oder im Betriebssystem selbst, einschließlich des Windows-Kerns. Bietet transparente Verschlüsselung und Informationsfluss- Kontrolle (Zwischenablage, USB und Fileserver) Benutzerorientiert und transparent ı Technologie Verwendet TURAYA Sicherheitskern und Voll- Virtualisierung, TPM-basiert Zentral administrierbar mit TOM

35 TrustedDesktop Beispiel Rohde & Schwarz Cybersecurity: Praxisbeispiele 34