esi - Der elektronische Sicherheitsinspektor Unterstützung für eine kontinuierliche Überprüfung von IT-Sicherheitsmaßnahmen in Unternehmensnetzen Heinz Sarbinowski sarbi@sit.fraunhofer.de
Inhalt esi im Projekt SKe IT-Sicherheitsmaßnahmen Vorgehensmodell zur automatisierten Überprüfung esi Komponenten / Funktionen esi Maßnahmenüberprüfungen Seite 2
esi im Projekt SKe SKe Durchgängige Sicherheitskonzeption mit dynamischen Kontrollmechanismen für eservice-prozesse BMBF Förderprojekt im Programm Leben und Arbeiten in einer vernetzten Welt (Mai 2001 bis Dezember 2003) Formales Sicherheitsmodell, Angriffsimulator, strukturiertes Sicherheitskonzept elektronischer Sicherheitsinspektor esi Erfahrungsbasierte Sicherheitsdatenbank, Aufzeichnen von Vorfällen, Diagnose von Vorfällen, Handlungsempfehlungen Seite 3
esi im Projekt SKe Formales Formales Sicherheitsmodell Sicherheitsmodell (FSM) (FSM) Verifikation Verifikation der der geforderten geforderten Sicherheit Sicherheit im im Modell Modell Strukturiertes Strukturiertes Sicherheitskonzept Sicherheitskonzept Erfahrungsbasierte Erfahrungsbasierte Elektronischer Elektronischer Sicherheits- Sicherheits- Sicherheitsdatenbank (esdb) (esdb) Inspektor Inspektor (esi) (esi) Systematische Systematische Aufzeichnung Aufzeichnung Kontinuierliche Kontinuierliche und und von von Vorfällen Vorfällen und und Erfahrungen Erfahrungen umfassende umfassende Überprüfung Überprüfung der der Systematische Systematische Anwendung Anwendung tatsächlich tatsächlich umgesetzten umgesetzten gemachter gemachter Erfahrungen Erfahrungen Sicherheitsmaßnahmen SKe Sicherheitsprozess für eservices Seite 4
IT-Sicherheitsmaßnahmen IT-Sicherheitsprozess nach GSHB / SHB IT-Strukturanalyse IT-Strukturanalyse Erfassung der IT und der IT Anwendungen Erfassung der IT und der IT Anwendungen Gruppenbildung Gruppenbildung Schutzbedarfsfeststellung Schutzbedarfsfeststellung Initiierung des IT-Sicherheitsprozesses Initiierung des IT-Sicherheitsprozesses Erstellung einer IT-Sicherheitsleitlinie Erstellung einer IT-Sicherheitsleitlinie Einrichtung des IT-Sicherheitsmanagements Einrichtung des IT-Sicherheitsmanagements Erstellen eines IT-Sicherheitskonzepts Erstellen eines IT-Sicherheitskonzepts Niedriger / mittlerer Schutzbedarf IT-Grundschutzanalyse IT-Grundschutzanalyse Modellierung nach IT-Grundschutz Modellierung nach IT-Grundschutz Basis-Sicherheitscheck mit Soll-Ist-Vergleich Basis-Sicherheitscheck mit Soll-Ist-Vergleich Bedrohungsanalyse Bedrohungsanalyse Hoher Schutzbedarf Erfassung der bedrohten Objekte Erfassung der bedrohten Objekte Bestimmung der Grundbedrohungen Bestimmung Bestimmung der der Gefährdungen Grundbedrohungen Bestimmung der Gefährdungen Umsetzung: Umsetzung: Realisierung fehlender Maßnahmen in den Bereichen Realisierung Infrastruktur, fehlender Organisation, Maßnahmen in Personal, den Technik, Bereichen Kommunikation Infrastruktur, und Organisation, Notfallvorsorge, Personal, insbesondere Technik, Kommunikation und Notfallvorsorge, insbesondere Sensibilisierung für IT-Sicherheit Schulung Sensibilisierung zur IT-Sicherheit für IT-Sicherheit Schulung zur IT-Sicherheit Aufrechterhaltung im laufenden Betrieb Aufrechterhaltung im laufenden Betrieb Werkzeugunterstützung durch esi Realisierungsplanung Realisierungsplanung Konsolidierung der Maßnahmen Konsolidierung der Maßnahmen Umsetzungsplan Umsetzungsplan Risikoanalyse Risikoanalyse Bewertung der bedrohten Objekte Bewertung der bedrohten Objekte Bestimmung der Häufigkeit von Schäden Bestimmung Bestimmung der der aktuellen Häufigkeit Risiken von Schäden Bestimmung der aktuellen Risiken Maßnahmen Maßnahmen Auswahl von Maßnahmen Auswahl von Maßnahmen Bewertung der Maßnahmen Kosten-Nutzen-/ Bewertung der Gesamtkosten-Betrachtung Maßnahmen Restrisikoanalyse Kosten-Nutzen-/ Gesamtkosten-Betrachtung Restrisikoanalyse Seite 5
IT-Sicherheitsmaßnahmen Werkzeugeinordnung des esi Werkzeuge für: Erstellen von Sicherheitskonzepten (GSTOOL, textorientiert ) Umsetzung von IT-Sicherheitsmaßnahmen Teils händisch, teils Werkzeug-unterstützt Teils automatisierte Umsetzung bei Produkt-bezogener Konfiguration (Policy enforcement: Windows Richtlinien, epolicy Orchestrator) Überprüfung auf Schwachstellen (Vulnerability scanner: Baseline Security Scanner, Nessus) Bekannte Programmfehler (bugs) in Standardprodukten (Server, PCs, E-Mail...) Bekannte Konfigurationsfehler in Standardprodukten (Server, PCs, E-Mail...) Überprüfung von IT-Sicherheitsmaßnahmen (Sicherheitsaudit,...) Seite 6
IT-Sicherheitsmaßnahmen Werkzeugeinordnung des esi (1) Security Audit 2003/2004 Checklisten für Interviews, Begehungen, Security Scans Jede Checkliste enthält außer den durchzuführenden Arbeiten ein Bewertungsschema, um den Erfüllungsgrad jeder Prüfung zu messen. Zusätzlich gibt es k.o.-kriterien, ohne deren Bestehen das Fazit einer Prüfung durchgefallen lautet. Werkzeuge Portscanner: nmap (Unix), MingSweeper (Windows) Security Scanner: nessus (Unix), LANguard Network Security Scanner (Windows), N-Stealth (Windows-Tool für den Scan von Webservern) Integritäts-Checker: AIDE (Unix), Tiger (Unix) Prüfung von Passwörtern: LC4 (Windows), Crack (Unix) Registry-Tools: doeskey (Windows) Seite 7
IT-Sicherheitsmaßnahmen arbeiten rüfungskatalog Internet-PC ferenz: BSI-Baustein 5.8 Nr. Durchzuführende Arbeit 1 Kontrolle der Aufstellung eines IT- Systems (Interview und Begehung erforderlich) 2 Kontrolle der Konzeption von Internet-PCs e? Testmethode k.o. Prio EG verantwortlich Bemerkungen Unterformulare Interview Begehung Interview 3 K.O. 1 BS Re M Löschen Öffnen Neu anlegen M Löschen Öffnen Neu anlegen me des Erstellers: Datum: 3 Kontrolle der Richtlinien für die Nutzung von Internet-PCs Interview 2 M Löschen Öffnen Neu anlegen 4 Kontrolle der Schulung vor Programmnutzung Interview 1 M Löschen Öffnen Neu anlegen 5 Kontrolle der Schulung zu IT- Sicherheitsmaßnahmen Interview 1 M Löschen Öffnen Neu anlegen 6 Kontrolle des regelmäßiges Einsatzes eines Virensuchprogramms Interview 1 M Löschen Öffnen Neu anlegen 7 Kontrolle von PC- Sicherheitsprodukten Interview 1 M Löschen Öffnen Penetrationstest Neu anlegen 8 Kontrolle der Prüfung eingehender Dateien auf Makro-Viren 9 Kontrolle der sicheren Installation von Internet-PCs Interview Interview Begehung 1 K.O. 1 M Löschen Öffnen Neu anlegen M Löschen Öffnen Neu anlegen 10 Kontrolle des sicheren Betriebs von Internet- PCs Interview 2 Seite 8 M Löschen Öffnen Neu anlegen
IT-Sicherheitsmaßnahmen Werkzeugeinordnung des esi (2) Prüfschema für Auditoren (BSI, Qualifizierung/Zertifizierung nach IT-Grundschutz) Überprüfung nach Aktenlage (Referenzdokumente) Inspektion vor Ort... Der Auditor überprüft vor Ort die Umsetzung aller Maßnahmen des Bausteins IT-Sicherheitsmanagement für den IT-Verbund. Zusätzlich zur Überprüfung des Management-Bausteines sind Stichproben aus den fünf Schichten "Übergeordnete Aspekte", "Infrastruktur", "IT- Systeme", "Netze" und "Anwendungen" zu wählen. Die Prüfung der einzelnen Maßnahmen sollte direkt am Zielobjekt erfolgen, nicht nur anhand der Papierlage. Bei technischen Maßnahmen bedeutet dies eine Demonstration durch den jeweils zuständigen Administrator oder Vertreter. Der Auditor sollte nicht selbst in das System eingreifen.... Seite 9
IT-Sicherheitsmaßnahmen Wer kontrolliert die Einhaltung der IT-Sicherheitsmaßnahmen? Überhaupt kontrolliert Der Sicherheitsbeauftragte Sicherheitsrevision / Auditing Gelegentlich / einmal im Jahr Stichprobenartig Checkliste textorientiert Seite 10
IT-Sicherheitsmaßnahmen Der elektronische Sicherheitsinspektor (esi) kontrolliert die Einhaltung der IT-Sicherheitsmaßnahmen Mit Hilfe von elektronischen Checklisten kann eine derartige Überprüfung kontinuierlich und umfassend (nicht nur Stichproben) automatisiert durchgeführt werden Seite 11
IT-Sicherheitsmaßnahmen Welche Maßnahmen sind automatisiert überprüfbar? Generell: nur technisch überprüfbare Maßnahmen Organisatorische Maßnahmen (Richtlinien) im Einzelfall Auf den Arbeitsplatzrechnern dürfen keine privaten Programme installiert werden : eher ja Die Mitarbeiter sind über die aktuellen Datenschutzrichtlinien zu informieren : eher nein Technische Maßnahmen: grundsätzlich ja Qualität der Prüfergebnisse (Messstellen, Prüfwerkzeuge) Aufwand für die Überprüfung ist abzuwägen Beim Prüfwerkzeug-Hersteller Standard- / Individualfälle, Aktualisierung Beim Unternehmen Werkzeugeinsatz, Konfigurationsmanagement / Inventarisierung, spezielle Messstellen Seite 12
IT-Sicherheitsmaßnahmen Prüfverfahren für Maßnahmen Verhaltensprüfung des Objekts (tut es, was es tun soll?) Konfigurationsprüfung (korrekte Konfiguration bewirkt korrektes Verhalten) Prüfwerkzeugimplemetierung Zentrale Implementierung (etwa Portscanner) Verteilte Implementierung (etwa zentraler Abruf der Messwerte von lokal installierten Agenten ) Seite 13
IT-Sicherheitsmaßnahmen Welche Maßnahmen werden vom esi überprüft? Standard -Maßnahmen Grundschutzhandbuch SANS Top 20 Individuelle Maßnahmen Unternehmens- / Anwendungsspezifisch Generell: nur technisch überprüfbare Maßnahmen Seite 14
Vorgehensmodell zur automatisierten Überprüfung Schritt 1 Person prüft mit Hilfe eines Standard- / Spezialwerkzeuges die korrekte Umsetzung / Einhaltung einer Maßnahme Gliederung in zu prüfende Teilmaßnahmen Kriterien für Umsetzung bestimmen (zu prüfende Messwerte, Messstellen, Qualität ) Werkzeug auswählen Bedienung lernen Prüfauftrag eingeben Prüfergebnisse interpretieren und auswerten Seite 15
Vorgehensmodell zur automatisierten Überprüfung Schritt 1 Wissen Wissen über über den den Umgang mit mit Sicherheitsmaßnahmen die die Prüfung von von Umsetzungszuständen Umgang mit mit Prüfwerkzeugen die die Interpretation der der Prüfergebnisse und und der der Auswertungsergebnisse Whisker Sicherheitsbeauftragter Sicherheitsaudit /-revision Prüfwerkzeug Web-Server zso (Zu schützendes Objekt) Seite 16
Vorgehensmodell zur automatisierten Überprüfung Schritt 2 Prüfauftrag automatisieren (welche Maßnahme, welches Objekt, wann...) Automatisierte Interpretation und Auswertung der Ergebnisse Prüfauftrag Interpretation / Auswertung Whisker Sicherheitsbeauftragter Sicherheitsaudit /-revision Prüfwerkzeug Web-Server zso (Zu schützendes Objekt) Seite 17
Vorgehensmodell zur automatisierten Überprüfung Schritt 3 Viele Werkzeuge für unterschiedlichste Prüfzwecke / Maßnahmen Whisker nmap Net-snmp Spezial Seite 18
Vorgehensmodell zur automatisierten Überprüfung Schritt 4 Ein Zugangspunkt und einheitliche Bedienung für alle Prüfwerkzeuge Whisker Interpretation / Auswertung Prüfaufträge nmap Net-snmp Spezial Seite 19
esi Komponenten Prüfwerkzeuge (Whisker( Whisker, Nmap, NBTscan,, SSL/TLS Net-SNMP, Win-Registry Registry,, Stringsuche in Dateien,..., Web- Browser HTML Anfragebearbeitung Anfragebearbeitung Kontrollauftrag / Auswertungslogik Scheduling Verwaltung Master Master Dispatcher Dispatcher Java-RMI Dispatcher Dispatcher Kontroll- Kontroll- Modul Modul n n Kontroll- Kontroll- Modul Modul 2 2 IT-Infrastruktur Netze Netze Server Server Betriebssysteme Betriebssysteme Webserver Tomcat (jsp, struts) esi - DB Konfig. - Daten Checklisten Prüfergebnisse App.Server - Jonas - (Java-EJB) Kontroll- Kontroll- Modul Modul 1 1 Anwendungen Anwendungen PostgreSQL Java Seite 20
esi Komponenten (2) esi Basis- und Erweiterungskomponenten Rahmen für Auftrags-/ Auswertungsmodule GUI GUI /Anfrage GUI bearbeitung Scheduler Service-Module Verwaltung (Appl.-Server) Master Dispatcher Dispatcher Dispatcher Rahmen für Kontrollmodule esi-db Dispatcher Seite 21
esi Maßnahmenüberprüfungen Ablauf einer Überprüfung 1. Auswahl von Maßnahme und Objekt am GUI Starten einer Kontrolle Seite 22
esi Maßnahmenüberprüfungen Ablauf einer Überprüfung 2. Ablauf innerhalb des esi-kerns Anfrage-bearbeitung Kontrollauftrag / Auswertungslogik Scheduling Verwaltung Master Master Dispatcher Dispatcher esi - DB Konfig. - Daten Checklisten Prüfergebnisse Seite 23
esi Maßnahmenüberprüfungen 3. Ablauf Kontrollauftrag (M 2.174... die vom Hersteller mitgelieferten CGI- Programme sind vollständig zu entfernen...) esi esi --Kern Kern Master Dispatcher Dispatcher Manager Proxy (RMI, SOAP,...) Proxy Dispatcher Wann soll die Kontrollauftrag Erfasste Whisker Wer Der soll unverzüglich Kontrolle Informationen Dispatcher, diesen Welches beginnen? KM KM1 Nummer State httpresponse des KM: 1 welcher Auftrag das soll...wird Path Gewünschte Informationen: verwendet State, httpresponse, geladen werden? Path Von KM benötigte Informationen: -- whisker / v1.4.0 / rain forest puppy / + www.wiretrip.net 404 Not Found: -- HEAD /www/ + 404 Not Found: KM1 bearbeiten? HEAD anbietet /import/ + = -= 404 -= -= Not -= Found: -= HEAD /zipfiles/ + = Host: 404127.0.0.1 Not Found: HEAD /passwd -= Server: Content-Location: Apache/1.3.20 password.txt zso_ip=127.0.0.1 PHP/4.0.6 + 404 Not Found: HEAD /www/ Erfasste + 404 Not Found: Informationen: HEAD /import/ + 404 Not + Found: 404 Not HEAD Found: /zipfiles/ HEAD /www/ + 404 Not... Found: HEAD /passwd - Content-Location: password.txt + 404 Not Found: HEAD /www/ Aufgetretene Aufgetretene Fehler: Fehler: keine keine Dauer: 12:31-12:45 zso Auftragsmanager KM-Manager KM1 KM2 Whisker KM3 Seite 24
esi Maßnahmenüberprüfungen Einige Maßnahmen-Beispiele Abschalten von DNS GSHB M4.96 V07/99 Ein Dienst pro Server GSHB M4.97 V07/99 Standardscripte <=> MnNr.5 SANS G7 V2.504 Port 111 (RPC) blockieren SANS U1 V3.21 Problematische Parameter bei Samba GSHB M5.82 V10/00 regelm. Aktualisierung d. Virensuchprogr. GSHB M4.3 V07/99 transienter Betrieb des Virensuchprogramms GSHB M4.3 V07/99 residenter Betrieb des Virensuchprogramms GSHB M4.3 V07/99 Virenscannerkonfiguration nach Vorgabe Spezial-SKE M0.006»Verzeichnisinhalt auflisten«deaktivieren GSHB M2.174 V10/03 Symbolische Links deaktivieren GSHB M2.174 V10/03 IP-Forwarding deaktivieren GSHB M4.95 V07/99 Seite 25