Options for Accountability and Trustworthiness Assertions using the EICAR Minimum Standard SACHAR PAULUS FACULTY OF COMPUTER SCIENCE, MANNHEIM UNIVERSITY OF APPLIED SCIENCES EUROPEAN EXPERT GROUP FOR IT SECURITY (EICAR), SCIENTIFIC DIRECTOR
Accountability and Trustworthiness Security Accountability Trustworthiness Trust the state of being free from unacceptable risks answerable for the correct and thorough completion of the deliverable... how well a set of functional and non-functional properties is secured... reliance on another entity Source: OPTET Project, Wikipedia 08.11.16 PROF. DR. SACHAR PAULUS 2
Trustworthy Software (Apps & Internet Services) Allows for accountability Is managed and operated with transparency Does what it promises Do nothing else Proactively respects user s interests Proactively respects user's privacy 08.11.16 PROF. DR. SACHAR PAULUS 3
Existing Approaches to Produce Trustworthy Software Standard Development Models Plan-driven Incremental Reuse-oriented Model-driven Test-driven Standardized Security Approaches Common Criteria ISO 15408 SSE CMM ISO 21827 ISO 27002 Best Practices for Secure Software Development BSIMM / OpenSAMM Microsoft SDL OWASP CLASP TOGAF Source: OPTET Project 08.11.16 PROF. DR. SACHAR PAULUS 4
Vertrauensvorschuss Zertifizierungen für Antivirus-Produkte 26.07.16 Autor / Redakteur: Ralph Dombach / Stephan Augsten ( ) Zertifikate für Security-Produkte Für zentrale Security-Themen und Security-Personal gibt es eine Vielzahl unterschiedlicher Zertifikate. Die Anzahl der Zertifikate für Security-Produkte, speziell Antivirus, ist dagegen deutlich weniger umfangreich. Zu nennen ist hier beispielsweise: CC (Common Criteria), welches in der Version 3.1 durch das BSI (Bundesamt für Sicherheit in der Informationstechnik) vergeben wird. ITSMIG (IT Security made in Germany) eine Initiative des Bundesministeriums des Innern (BMI), des Bundesministeriums für Wirtschaft und Technologie (BMWi) sowie Vertretern der deutschen IT-Sicherheitswirtschaft. EICAR Minimum Standard (EICAR trusted IT-security), ein Security-Standard für Anti-Malware-Produkte und in der Zukunft auch von Netzwerksicherheitsprodukten ICSA Labs ist ein unabhängiger Geschäftsbereich von Verizon Business und bietet herstellerunabhängige Tests und Zertifizierungen von Sicherheitsprodukten. Auch der TÜV bietet in diesem Umfeld eine generelle Prüfung der Software-Qualität an, die nicht auf Security-Tools beschränkt ist. Eine Übersicht der geprüften Software-Produkte liefert die Zertifikatsdatenbank. ( ) Der Nutzen für den Käufer? Wie steht es nun aus mit dem Mehrwert für den Käufer. Bieten zertifizierte Produkte mehr hinsichtlich Qualität, Berücksichtigung von Datenschutzregeln und stärken Sie das Vertrauen des Käufers? Die Antwort darauf ist ein JA, aber aktuell ist das gewünschte Niveau noch nicht erreicht. ITSMIG: Starker Marktanteil und das Zertifikat ist bekannt. Aber eine Erweiterung der Kriterien bzw. eine Ausarbeitung der Anforderungen wäre aus Käufersicht wünschenswert, da dies dem Wert des Zertifikats steigert. ICSA Labs: Für den Bereich Antivirus / Anti-Malware nützlich, aber die Stärken liegen auf anderen Produkten. Bzgl. der Scanner-Qualität und anderen Scanner- Eigenschaften sind die Testergebnisse von Test-Laboren detaillierter. EICAR: Das Zertifikat hat Potential zum neuen Standard zu werden! Aktuell fehlt es aber noch einer korrekten, belegbaren Überprüfbarkeit der Zertifikatskriterien. EICAR muss hier einen Gang zulegen.
The EICAR Approach None of the models presented is able to assure trustworthiness by design The EICAR Minimum Standard covers: New, agile approaches arenecessary Approach of EICAR: Accountability & Transparency Adequate protection in place Self-declaration of vendors: Minimum Standard Self-declaration of validation bodies Validation & certification in due course Software and Services No back doors Respecting user s privacy 08.11.16 PROF. DR. SACHAR PAULUS 6
Options for Validation Customer Audits Include Minimum Standard into contracts Grant customers audit rights Independent Validation Define criteria covering the minimum standard Independent bodies perform validation Industry Standard Standards body working group develops criteria Certification by established organizations 08.11.16 PROF. DR. SACHAR PAULUS 7
EICAR s approach Customer Audits Include Minimum Standard into contracts Grant customers audit rights Independent Validation Define criteria covering the minimum standard Independent bodies perform validation Industry Standard Standards body working group develops criteria Certification by established organizations 08.11.16 PROF. DR. SACHAR PAULUS 8
Timeline Feb 2017 Validation criteria defined Dec 2017 First validation performed by independent body June 2017 Feedback from interested parties incorporated 08.11.16 PROF. DR. SACHAR PAULUS 9
Trustworthy Software Options for Proofing Mechanisms in the Context of Public Security Challenges SACHAR PAULUS FACULTY OF COMPUTER SCIENCE, MANNHEIM UNIVERSITY OF APPLIED SCIENCES EUROPEAN EXPERT GROUP FOR IT SECURITY (EICAR), SCIENTIFIC DIRECTOR
Panel Discussion The EICAR Minimum Standard and how it Contributes to the Security of our Devices ANTHONY ARROT, CHECKVIR GERNOT BEKK-HUBER, ERGON INFORMATIK UDO SCHNEIDER, TREND MICRO MODERATOR: EICAR CHAIRMAN RAINER FAHS