Mobile Security und Risikomanagement im Lifecycle
Template und Logos copyright HIC AG OSSTMM Schemas and Pictures cc-by-nd & OML by ISECOM Pete Herzog! Photos cc-by-sa Joerg Simon&Diana Fong for the Fedora Projects 2 2
In CommSec people are as much a part of the process as are the machines. derived from ISECOM, OSSTMM 3.0 3 3
Security 1.0 - vorgestern physical technical Firewall IDS, HIDS Antivirus Security GW Screening Router Spamfilter Multi-level Authentication VPN Quelle: Pete Herzog ISECOM 4 4
schlechte Gewohnheiten? Quelle: Pete Herzog ISECOM 5 5
Security 2.0 gestern manchmal noch heute ;) Compliance & Audits! Compliant sein? Audit bestehen? Compliant aber blockiert? Nicht compliant deshalb blockiert Best Practises? Copy Paste Security? Quelle: OSSTMM ISECOM 6 6
Security 3.0! - Heute! Cloud Social Media Mobile Plattform 7 7
Security 4.0? Die Security-Industrie wird sich was einfallen lassen ;) 8 8
Herausforderung Security 3.0 Mobile Security Quelle: BSI 9 9
Smartphones / Marktübersicht 10 10
Das Dilemma mit den Hersteller-Implementierungen! Sensation, Sensation! Aktuelle News der letzten 3 Monate! Googles Android-Sicherheitstool mit Trojaner infiziert! iphone verloren, Passwörter weg! Pwn2Own, die zweite: iphone und Blackberry gehackt! BSI warnt iphone-nutzer vor PDF s! ZeuS-Trojaner - nach Symbian, BlackBerry und Windows Mobile nun auch Android-Smartphones infiziert! Die Wahrheit über SecurityControls! Baue eine bessere Mausefalle, um die Ecke kommt eine bessere Maus! Mache es Idiotensicher und um die Ecke kommt ein besserer Idiot! 11 11
Compliance not ready! Gesetze, Standards, Firmen-Policies Zugangskontrolldienstegesetz Vertragliche Vereinbarungen Betriebsverfassungsgesetz ggf. Betriebsrat Teledienstegesetz IT Baseline Protection Manual(BSI), ISO 17799-2000 (BS 7799), ISO 27001, GAO, FISCAM, NIST 800 B 3.404 Mobiltelefon [1] Mobile Security - Zusammenfassung BSI [2] BSI Studien [3] 12 12
Herausforderung Security 3.0 Apps & Social Media!? 13 13
Herausforderung Security 3.0 Cloud (Googles first Webfarm/Cloud) 14 14
[ how much security do you really need? ]
[ Operationsfähig bleiben ] OpSec == Schutz vor Gefahr/Risiko verletzte Schutzziele! nicht Compliant sein! Auswirkungen? HIC Audit Services 16 16
Security Management / Lifecycle 17 17
RAV als Treibstoff für den Lifecycle! z.b. OSSTMM by ISECOM Messbarkeit, Vergleichbarkeit, Nachvollziehbarkeit Berücksichtigt das operationelle Risiko nicht nur Schwachstellen! Treibstoff für Ihr ISMS nach ISO27001 Quelle: OSSTMM ISECOM 18 18
RAV Quelle: OSSTMM ISECOM 19 19
Branchen Vergleich RAV Industrie Military Banken/Versicherungen Software-Vendors Politik 74,49% 97,16% 84,36% 73,12% 76,58% 20 20
- Visibility - Access - Trust [ porosity ] 21 21
Vertrauenstellungen/Trust Erinnern Sie sich? 22 22
Security 3.0 = new Trusts! Cloud, Apps, Social Media&Collaboration? Trusting everyone is insecure but not trusting anyone is inefficient OSSTMM 3.0 23 23
Fedora-Calendaring Fedora-Bugzilla Fedora- Koji&Bodhi Fedora- Gobby Fedora- People Fedora- Hosted Fedora- IRC Fedora- Planet Fedora- Voice Fedora-Mailing-Lists Fedora-Email Fedora-Wiki Trust hat Konsequenzen! Fedora Account System FAS2 24 24
Fedora Project Ein Beispiel für Trust! Fedora Code hat 30 Mio. Nutzer! Common Platform FAS über 400 commit Groups ~25000 aktive Contributors 25 25
Trust Property Was ist Trust/Vertrauen? keine Emotion! eine Entscheidung! funktioniert nicht quantifizierbar zwischen Menschen! Falsche Trust Properties Risiko bei Vertrauensverlust? no Control = Blind Trust! Quelle: OSSTMM ISECOM 26 26
Trust! There are only 2 ways to steal something: either you take it yourself or you have someone else take it and give it to you OSSTMM 3.0 27 27
Do you know your trusts? Size Visibility Value Integrity Subjugation Symmetry Offsets Consistency Components Porosity 28 28
Tom the Cat is calling home 29 29
Tom the Cat is calling home 30 30
[ controls ] 31 31
[ limitations ] 32 32
OSSTMM Risk Assessment Value Quelle: OSSTMM ISECOM 33 33
Verteilung RAV 28 8 16 35 15 85 41 12 46 9 90 27 42 95 57 10 60 67 100 7 31 45 40 153 19 30 18 6 17 51 68 26 RAV 34 34
RAV 3.0 35 35
Security Management / Lifecycle 36 36
Informationen www.hiconsult.de www.osstmm.org bug me jsimon@hiconsult.de Der interessierte Sicherheitsverantwortliche ist eingeladen, sich über die Änderungen und Neuerungen des OSSTMM 3.0 in meinem Artikel zu informieren: Infosecisland.com OSSTMM logos and schematics are licensed cc-by-nd and OML by ISECOM Presentation Template incl. HIC-Logo copyright by HIC AG original Backgrounds licenced cc-by-sa by Joerg Simon for the Fedora Project 37 37