SICHERHEITSPRÜFUNGEN ERFAHRUNGEN



Ähnliche Dokumente
SICHERHEITSPRÜFUNGEN ERFAHRUNGEN

Advanced Persistent Threat

SWISS CYBER STORM 3. Swiss Cyber Storm 3 - Security Konferenz! Mai 2011, Rapperswil (CH)

Compass Event Vorträge. Ivan Bütler 13. August Willkommen!

Sicherheit auf dem Weg in die Microsoft Office365 Cloud Hybrider Exchange Schutz. Philipp Behmer Technical Consultant

Cloud Computing in der öffentlichen Verwaltung Strategie der Behörden 14. Berner Tagung für Informationssicherheit 24. November 2011, Bern

Test zur Bereitschaft für die Cloud

IT-Security Portfolio

CLX.Sentinel Kurzanleitung

MOBILE ON POWER MACHEN SIE IHRE ANWENDUNGEN MOBIL?!

ERP-Evaluation systematisch und sicher zum optimalen ERP-System

Herausforderungen des Enterprise Endpoint Managements

Die Vernetzung menschlicher Gehirne

Compass Security AG Werkstrasse 20 Postfach 2038 CH-8645 Jona. T F team@csnc.ch

ITSM (BOX & CONSULTING) Christian Hager, MSc

Titel BOAKdurch Klicken hinzufügen

synergetic AG Open House 2012 Ihr Unternehmen in der Wolke - Cloud Lösungen von synergetic

Know your Enemy behind you. Information Security Society Switzerland ISSS2010XZ

IT-Security Portfolio

Fachvorträge und Ausstellung

Software Defined Storage Storage Transformation in der Praxis. April

GSM: Airgap Update. Inhalt. Einleitung

Vertrauensbildung durch

InfoSEC AWARENESS RESSOURCEN BESTMÖGLICH NUTZEN. RISIKEN PRAKTIKABEL REDUZIEREN. InfoSEC Awareness Ein Workshop von ExpertCircle.

Frühstück zum Thema. Basel. Bern. Security und Mobile Device Management in Unternehmen. 25. Oktober :15-10:15 Uhr Hotel Victoria

IT-Sicherheitsausbildung an der RWTH Aachen

Check Out. Hack in CYBER SECURITY. NEU GEDACHT. ITB Berlin 5. März 2015

KASPERSKY SECURITY FOR VIRTUALIZATION 2015

International Tax Highlights for German Subsidiaries. Umsatzsteuer mit IT. 21. November 2013

INFINIGATE. - Managed Security Services -

Anforderungen und Umsetzung einer BYOD Strategie

registry-in-a-box ECO new gtld Workshop new gtld Backend Registry Services von nic.at

Wozu Identitäts- und Berechtigungsmanagement? Alle Wege führen zum IAM.

ELCA Forum 2014 Sollten Sie Ihr kollaboratives Intranet in die Cloud bringen?

7.23 Lohnstrukturerhebung

Herausforderung SAM Lösung. Erfahrungsbericht SAM-Projekt

Handbuch - Mail-Sheriff Verwaltung

Wertschöpfung biometrischer Systeme Security Essen - 9. Oktober 2008

Die Vielfalt der Remote-Zugriffslösungen

System Center Essentials 2010

Executive Information. Der Desktop der Zukunft Überlegungen zur strategischen Ausrichtung der Desktop-Infrastruktur.

Fragen und Antworten

Kurzanleitung BKB-E-Banking-Stick

100,000 3,000. SAP Education im Überblick. Events / Woche mit Schulungssystemen. Nutzer abonnieren den SAP Learning Hub. Personen geschult pro Jahr

Sitzungsmanagement. für SharePoint

Agenda. Der Support von Windows XP und Office 2003 wurde eingestellt Das neue Windows Das neue Office Ende

Private oder public welche Cloud ist die richtige für mein Business? / Klaus Nowitzky, Thorsten Göbel

MOBILE ENTERPRISE APPLICATION PLATFORM (MEAP)

Herausforderung Digital Citizen Konsequenzen für Dienstleister in einer neuen Welt

AGB Kurswesen Compass Security 27. September 2011

Unternehmensmodellierung - Die Grundlage für Compliance

Beispiel Automatischer Patch Download Security Updates und Antivirus-Lösungen

Postfinance Sicherheitsfrühstück Unterwegs sicher vernetzt

IT-Security Herausforderung für KMU s

Capture The Flag-Team

ecommerce als Projekt im Mittelstand: Tut Beratung Not? Bereiche, Formen, Auswahl!

Benutzerhandbuch Ersatzgerät (M-IDentity Air+)

Albert HAYR Linux, IT and Open Source Expert and Solution Architect. Open Source professionell einsetzen

TFS Customzing. in der Praxis. Thomas Gugler. seit 2005 bei ANECON. .NET seit 2002 (happy bday!) Schwerpunkte: MCPD.Net 4.0, MCTS TFS, Scrum Master,

Agenda. TERRA CLOUD GmbH Zahlen, Daten, Fakten Private & Hybrid Cloud Szenarien Public Cloud Szenarien Lessons Learned

Web Content Management

Social Business erfolgreich im Unternehmen einführen. Working Social. Namics. Bernd Langkau. Senior Principal Consultant. Partner. 15.

Manual Online-Reservation (Sup-Tool) für ASVZ-Teilnahmeberechtigte

Applikationsvirtualisierung in der Praxis. Vortrag an der IHK Südlicher Oberrhein, Freiburg Thomas Stöcklin / 2007 thomas.stoecklin@gmx.

IRIS. Reporting-Plattform. Autor MD Software & Design Professionelles Berichtswesen in Unternehmen

Cloud Zertifizierung und Kompetenz. Hendrik A. Reese, Principal Consultant, TÜV Rheinland

DDoS-Schutz. Web-Shop unter Attacke?

Cloud Computing mit IT-Grundschutz

Wie weit können öffentliche Aufträge Schweizer Auftragnehmer, Schweizer Hard-und Software fordern? / Nationalrat Thomas Maier

Hacking-Lab Online Hack&Learn 9. December 2008

Microsoft Dynamics CRM Perfekte Integration mit Outlook und Office. weburi.com CRM Experten seit über 10 Jahren

SICHERHEITSANALYSE & PENTEST SCHWÄCHEN ERKENNEN HEISST STÄRKE GEWINNEN.

Managed Private Cloud Security

MOBILE ENTERPRISE APPLICATION PLATFORM (MEAP)

Ökonomik der Agrar und Ernährungswirtschaft in ILIAS

Sicherheitsanalyse von Private Clouds

Sourcing Modell Phase 4

Social Media bei der Kreissparkasse Ludwigsburg

TRACK II Datenmanagement Strategien & Big Data Speicherkonzepte BI Operations Erfolgsfaktoren für einen effizienten Data Warehouse Betrieb

E-Rechnung für Firmenkunden Im E-Banking

Zuverlässiger IT-Service und Support Wir haben Ihr EDV-System im Griff.

SERVICE SUCHE ZUR UNTERSTÜTZUNG

AGB Kurswesen Compass Security Schweiz AG 12. November 2014

Home-Router als Hintertürchen ins Geschäftsnetzwerk?

Windows Server 2012 R2 Essentials & Hyper-V

SharePoint Continuous Integration mit TFS Online & Azure VMs Torsten Mandelkow Christian Pappert Microsoft

CREATIVE TECHNOLOGY BOOTCAMP

IDENTITY & ACCESS MANAGEMENT. Marc Burkhard CEO

Fachhochschulausbildung in Innovationsmanagement jetzt direkt vor Ort in Schaffhausen

Chili for Sharepoint

Software-Validierung im Testsystem

COBIT 5 Controls & Assurance in the Cloud. 05. November 2015

Angriffe gegen Passwörter Ein sicheres Passwort Passwörter benutzen Passwörter sichern. Sichere Passwörter

FH D Fachhochschule Düsseldorf University of Applied Sciences. FB 3 Fachhochschule Düsseldorf University of Applied Sciences

Hacking ist einfach!

Neue Wege in der Datendistribution am Beispiel Maschinenbau. Till Pleyer Leiter Marketing PROCAD (Schweiz) AG

Fragestellungen. FGSec Forum 2. Fragestellungen Ausbildung / Awareness

Einführung einer ganzheitlichen Stakeholdermanagement Lösung für die ZHAW

Transkript:

Zürcher Tagung 2012 SICHERHEITSPRÜFUNGEN ERFAHRUNGEN Ivan Bütler Compass Security AG, Switzerland ivan.buetler@csnc.ch Compass Security AG Werkstrasse 20 Postfach 2038 CH-8645 Jona Tel.+41 55-214 41 60 Fax+41 55-214 41 61 team@csnc.ch www.csnc.ch

Ethical Hacker / Penetration Tester Gründer & CEO Compass Security AG Lecturer @ University of Applied Science Rapperswil Lecturer @ University of Applied Science Lucerne Lecturer @ University of St Gallen Speaker @ BlackHat Las Vegas 2008 SmartCard (In) Security Speaker @ IT Underground Warsaw 2009 Advanced Web Hacking Speaker @ Swiss IT Leadership Forum Nice 2009 Cyber Underground Founder of Swiss Cyber Storm Sec Conference Board member of Information Security Society Switzerland (ISSS) Board member of Cyber Tycoons Anti-Warfare Foundation Slide 2

Agenda Einleitung Problemfälle aus der Praxis Herausforderungen Ansatz zur Lösung Resumée Slide 3

Übersicht Security Testing Firma Lieferant Compliance Budget Sign-Off Awareness Treiber für Security Tests Ergebnisse / Gefahren Information Security Management Slide 4

Übersicht Security Testing Methoden manuell vs. automatisiert einmalig vs. regelmässig Blackbox vs. Whitebox mit und ohne Login Hands-On vs. Review mit oder ohne Social Eng. mit oder ohne Source Code von aussen oder innen? Slide 5

Übersicht Security Testing Simulation von Angreifern Intensität des Penetration Tests Slide 6

Agenda Einleitung Problemfälle aus der Praxis Herausforderungen Ansatz zur Lösung Resumée Slide 7

Beispiel 1: Pentest E-Banking Compass Security AG Werkstrasse 20 Postfach 2038 CH-8645 Jona Tel.+41 55-214 41 60 Fax+41 55-214 41 61 team@csnc.ch www.csnc.ch

E-Banking Ausfall Bank X ist Kunde einer Shared E-Banking Infrastruktur Slide 9

E-Banking Ausfall Bank X will das Incident Management überprüfen - Attacke Slide 10

E-Banking Ausfall Incident Management Bank X: Shutdown Bank Mandant X Slide 11

E-Banking Ausfall Führende Bank fährt alle Bank Mandanten herunter - Oje Slide 12

E-Banking Ausfall Problem von Shared Infrastruktur Wer übernimmt den Schaden bei Ausfall von Bank Y und Z? Slide 13

Beispiel 2: USB Stick Compass Security AG Werkstrasse 20 Postfach 2038 CH-8645 Jona Tel.+41 55-214 41 60 Fax+41 55-214 41 61 team@csnc.ch www.csnc.ch

Virus Angriff mit USB Stick Covert Channel Delivery with USB-Stick/CD-ROM Attacker controls the computer of the victim Start via Auto-Start Company Network Internet Slide 15

Virus Angriff mit USB Stick Stick unzustellbar Retour zu Sender (Fake Sender) Compass hackt eine fremde Post! Post versucht Sender zu identifizieren Slide 16

Beispiel 3: Keylogger Compass Security AG Werkstrasse 20 Postfach 2038 CH-8645 Jona Tel.+41 55-214 41 60 Fax+41 55-214 41 61 team@csnc.ch www.csnc.ch

Angriff mit Keylogger Malicious Mail Kontrolle über den Opfer-PC Microsoft Office Word Document Slide 18

Angriff mit Keylogger Der Keylogger ist ein Stück Software, das die Tastatur belauscht und sämtliche Zeichen (Passworte) aufzeichnet. Slide 19

Angriff mit Keylogger Slide 20

Agenda Einleitung Problemfälle aus der Praxis Herausforderungen Ansatz zur Lösung Resumée Slide 21

Herausforderungen für Pentester Slide 22

Fehlende IT Security Spezialisten Ein- bzw. austretende Erwerbstätige in Deutschland 250000 200000 150000 heute Erwerbstätige erreichen das 65. Lebensjahr Neuzugänge der 21jährigen 100000 50000 0 2000 2001 2002 2003 2004 2005 2006 2007 2008 2009 2010 2011 2012 2013 2014 2015 2016 2017 2018 2019 Quelle: Statistisches Bundesamt, Fachserie 1, Reihe 4.1.1, 1999; Statistische Jahrbücher Slide 23

ETH Zurich: Neue Studenten seit 1981 Es fehlen IT Security Fachkräfte Slide 24

Agenda Einleitung Problemfälle aus der Praxis Herausforderungen Ansatz zur Lösung Resumée Slide 25

Anforderung an die Lösungsfindung Fachkräfte finden, ausbilden, nutzen Internationalisierung, Sprache, Zeiten, Kultur Angewandte Forschung / Hacking Tendenzen erkennen Vertrauensbeziehung / Web of Trust Ethical Hacking wird zum Standard bei SLAs Slide 26

Ansatz für die Lösung: Community Research Projects Platform Talent Quest Online Training Virtual Pentesting Team CERT Support CERT Slide 27

Ansatz für die Lösung: Community Österreich sucht im Rahmen der Cyber Defense Strategie geeignete Nachwuchs Security Talente. Im Juli/Aug/Sept/Okt findet die Online Qualifikation statt. Im November 2012 das Finale. Slide 28

Ansatz für die Lösung: Ländergesellschaft Compass Schweiz Compass Deutschland Compass Security Compass UK Zentrale Bereitstellung von Know-How, Test Cases, Tools, Methodik, Vorgehen, Technik, Talente und Ausbildung Ethical Hacking und Penetration Testing Know How wird von Ländergesellschaften geleistet Virtuelle Teams werden über die Community koordiniert Slide 29

Resumée Compass Security AG Werkstrasse 20 Postfach 2038 CH-8645 Jona Tel.+41 55-214 41 60 Fax+41 55-214 41 61 team@csnc.ch www.csnc.ch

Resumée Juristisch Security Assessments bei Verhandlung in SLA aufnehmen Security Assessments nur mit Einverständniserklärung Penetration Test Technologie Angewandte Forschung ist notwendig Spezialisten für Themenbereiche fördern (iphone, Android, Sharepoint,...) Automatisiert wo möglich; Manuell für gezielte Tests Internationalisierung Anpassung an Sprache, Kultur, Zeitzone Cloud Provider Shared Umgebungen entspricht Mandantenfähiger Lösung Nur mit Einwilligung Provider möglich Im Nachhinein verhandeln ist tendenziell der mühsamere Weg Slide 31

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback