Ist Ihr Netzwerk sicher genug für ein mobiles Unternehmen?
Agenda 14.00 Uhr Begrüssung Die Gefahren und Risiken in einer vernetzten Welt (Max Klaus, stv. Leiter, MELANI) 14.45 Uhr Mobile-First: Aruba s sichere Netzwerkarchitektur für die #GenMobile (Jörg Hofmann, HPE Aruba) 15.30 Uhr Kurze Pause 15.45 Uhr Aruba ClearPass Die Lösung für einen sicheren Netzwerkzugang (Manuel Bitzi, SOFTEC) 16.30 Uhr Aruba ClearPass Live (Manuel Bitzi, SOFTEC) 17.00 Uhr Apéro und Networking 2
Informatiksteuerungsorgan des Bundes ISB Nachrichtendienst des Bundes NDB Melde- und Analysestelle Informationssicherung MELANI Die Gefahren und Risiken in einer vernetzten Welt Max Klaus, stv. Leiter MELANI
Inhalt Die Melde- und Analysestelle Informationssicherung MELANI Aktuelle Bedrohungslage ISB / NDB Melde- und Analysestelle Informationssicherung MELANI Titel / Datum / AutorIn 4
BR-Auftrag / PPP Schutz kritischer Infrastrukturen in der Schweiz nur in enger Zusammenarbeit mit der Wirtschaft möglich Public Private Partnership Quelle: http://venturesafrica.com/wp-content/uploads/2014/06/ppp_2q2012.jpg ISB / NDB Melde- und Analysestelle Informationssicherung MELANI
Rahmenbedingungen für MELANI Keine Meldepflicht für Cybervorfälle Subsidiarität Keine Weisungsbefugnis ausserhalb der Bundesverwaltung ISB / NDB Melde- und Analysestelle Informationssicherung MELANI
Informatiksteuerungsorgan des Bundes ISB Nachrichtendienst des Bundes NDB Melde- und Analysestelle Informationssicherung MELANI EFD / ISB Leitung und Strategie GovCERT.ch Technische Analysen VBS / NDB OIC MELANI Nachrichtendienstliche Analysen MELANI Geschlossener Kundenkreis Chemie und Pharma Energie Finanz Gesundheitswesen Industrie Medien Rüstung Telekommunikation Transport/Logistik Versicherungen Verwaltung Öffentlicher Teil KMU und Bürger www.melani.admin.ch Wissenschaft und Forschung -Universitäten - Fachhochschulen Software und Antivirenhersteller -Microsoft - Google -Avira - F-Secure. Swiss Cyber Experts Internationale Beziehungen - Interpol - Europol EGC European Gov. CERTs FIRST Forum of Incident Response and Security Teams Andere Regierungen - CPNI - BSI - A-SIT -...
Aufgaben von MELANI Beobachtung und Darstellung der nationalen Lage: Prävention/Alarmierung ISB / NDB Melde- und Analysestelle Informationssicherung MELANI
Aufgaben von MELANI Geschlossener Kundenkreis (KI-Betreiber) Prävention dank Informationen aus öffentlich nicht zugänglichen Quellen Unterstützung bei der Behebung von Cyber-Vorfällen Offener Kundenkreis (KUM, NPO, Privatpersonen) Sensibilisierung Prävention ISB / NDB Melde- und Analysestelle Informationssicherung MELANI
Öffentliche Produkte von MELANI (1/4) ISB / NDB Melde- und Analysestelle Informationssicherung MELANI
Öffentliche Produkte von MELANI (2/4) ISB / NDB Melde- und Analysestelle Informationssicherung MELANI
Öffentliche Produkte von MELANI (3/4) ISB / NDB Melde- und Analysestelle Informationssicherung MELANI
Öffentliche Produkte von MELANI (4/4) ISB / NDB Melde- und Analysestelle Informationssicherung MELANI
Phishing DB ISB / NDB Melde- und Analysestelle Informationssicherung MELANI
Inhalt Die Melde- und Analysestelle Informationssicherung MELANI Aktuelle Bedrohungslage ISB / NDB Melde- und Analysestelle Informationssicherung MELANI Titel / Datum / AutorIn 15
Veränderung der Bedrohungslage 19. Jahrhundert Vor 10 Jahren heute morgen? derstandard..at augsburgerallgemeine..de jdpower..com infosecisland.com Modernere Mittel Vernetzte Bevölkerung Zu geringes Sicherheitsbewusstsein ISB / NDB Melde- und Analysestelle Informationssicherung MELANI
Am Anfang (fast) allen Übels: Social Engineering Social Engineering ist die Kunst, eine Person zu einer Tat zu bewegen, die in ihrem Interesse sein kann oder die ihr Schaden zufügen kann Quelle: www.social-engineer.org ISB / NDB Melde- und Analysestelle Informationssicherung MELANI
Öffentliche WLAN und Gastzugänge ISB / NDB Melde- und Analysestelle Informationssicherung MELANI Titel / Datum / AutorIn 18
Botnetze webreaders.de/wp-content/uploads/2008/01/botnetz.jpg ISB / NDB Melde- und Analysestelle Informationssicherung MELANI
Botnetze als DAS Mittel zum Zweck Botnetze liegen praktisch allen kriminellen Aktivitäten im Bereich des Internets zu Grunde. Kontrollserver Botnetzbetreiber DDoS www.anbieter Bots Spam Malware ISB / NDB Melde- und Analysestelle Informationssicherung MELANI
So billig sind Botnetze zu mieten Produkt Einfacher Windows Bot Bot mit guter Bandbreite Spezialanfertigung Preis 10 Cents / Bot&Tag 1$ / Bot&Tag 40$ / Bot Quelle: SWITCH-CERT ISB / NDB Melde- und Analysestelle Informationssicherung MELANI
Denial of Service ISB / NDB Melde- und Analysestelle Informationssicherung MELANI
Protonmail Kontrollserver Armada Collective Bots ISB / NDB Melde- und Analysestelle Informationssicherung MELANI
Protonmail ISB / NDB Melde- und Analysestelle Informationssicherung MELANI
Der schwarze Montag 2016 ISB / NDB Melde- und Analysestelle Informationssicherung MELANI
Mirai Botnet by «New World Hackers» Angriffswelle vom 21.10.2016 (ca. 50 000 100 000 Bots) Source Code geleakt Trittbrettfahrer! Konkurrenz zu «Bashlight» gegenseitiges Kapern! ISB / NDB Melde- und Analysestelle Informationssicherung MELANI
DDos: Empfehlungen Prävention: Businesskritische Systeme identifizieren Schutzmassnahmen mit Provider definieren Reaktion: «Aussitzen» Keinesfalls Lösegeld bezahlen! Meldung an MELANI/KOBIK, allenfalls Anzeige gegen Unbekannt bei KaPo ISB / NDB Melde- und Analysestelle Informationssicherung MELANI
CEO Fraud ISB / NDB Melde- und Analysestelle Informationssicherung MELANI
CEO Fraud ISB / NDB Melde- und Analysestelle Informationssicherung MELANI
Betrug: Empfehlungen Klare Weisungen bezüglich Zahlungen erteilen Keine internen Informationen weitergeben Im Zweifelsfall bei der GL nachfragen Vorsicht auch bei Mails von vermeintlich bekannten Personen Information an MELANI / KOBIK, allenfalls Strafanzeige gegen Unbekannt bei KaPo ISB / NDB Melde- und Analysestelle Informationssicherung MELANI
Spionage ISB / NDB Melde- und Analysestelle Informationssicherung MELANI
Spionageangriff auf BV ISB / NDB Melde- und Analysestelle Informationssicherung MELANI
Spionage: Beispiel aus der Schweiz ISB / NDB Melde- und Analysestelle Informationssicherung MELANI
Spionage: Empfehlungen Klassifizierung von Dokumenten Regeln für die verschiedenen Klassfizierungen durchsetzen Netzwerkmonitoring betr. verdächtigem Datenverkehr Information an MELANI / KOBIK, allenfalls Strafanzeige gegen Unbekannt bei KaPo ISB / NDB Melde- und Analysestelle Informationssicherung MELANI
Erpressung http://www.trustedwatch.de ISB / NDB Melde- und Analysestelle Informationssicherung MELANI
Verschlüsselungstrojaner «Locky» (1/2) ISB / NDB Melde- und Analysestelle Informationssicherung MELANI
Verschlüsselungstrojaner «Locky» (2/2) ISB / NDB Melde- und Analysestelle Informationssicherung MELANI
Verschlüsselungstrojaner: Empfehlungen Regelmässige Datensicherung Datenträger nach Backup vom PC / Netz trennen Qualität der Backups sporadisch überprüfen Keinesfalls Lösegeld bezahlen! Information an MELANI / KOBIK, allenfalls Strafanzeige gegen Unbekannt bei KaPo ISB / NDB Melde- und Analysestelle Informationssicherung MELANI
Herzlichen Dank für Ihre Aufmerksamkeit Max Klaus Stv. Leiter Melde- und Analysestelle Informationssicherung MELANI Schwarztorstrasse 59 3003 Bern ISB / NDB Melde- und Analysestelle Informationssicherung MELANI
Mobile-First: Aruba s sichere Netzwerkarchitektur für die #GenMobile Jörg Hofmann, HPE Aruba
MOBILE-FIRST: Sichere Netzwerkarchitektur für die #GenMobile People Move. Networks Must Follow.
WHO ARE WE? Founded: 2002, IPO: 2007 HPE s IT Edge portfolio since June 2015 $2.4B+ annual revenue run rate Biggest Small Company High touch business model Customer First, Customer Last Home of 45K+ Mobility Engineers @ Airheads Community Clients globally should consider Aruba for all wired and wireless access layer opportunities. Gartner MQ for Wired and Wireless LAN Access Infrastructure, August 2016 Source: Gartner Magic Quadrant for the Wired and Wireless LAN Access Infrastructure September 2015. Tim Zimmerman, Bill Menezes, Andrew Lerner, ID Number: G00277052 This Magic Quadrant graphic was published by Gartner Inc. as part of a larger research note and should be evaluated in the context of the entire report. The Gartner report is available upon request from HP. The Magic Quadrant is a graphical representation of a marketplace at and for a specific time period. It depicts Gartner's analysis of how certain vendors measure against criteria for that marketplace, as defined by Gartner. Gartner does not endorse any vendor, product or service depicted in the Magic Quadrant, and does not advise technology users to select only those vendors placed in the "Leaders" quadrant. The Magic Quadrant is intended solely as a research tool, and is not meant to be a specific guide to action. Gartner disclaims all warranties, express or implied, with respect to this research, including any warranties of merchantability or fitness for a particular purpose.
ENABLING GREAT DIGITAL EXPERIENCES FOR GENMOBILE
70% SAY A MOBILE DEVICE MAKES THEM MORE PRODUCTIVE AT WORK By 2018 60% of users in mature markets will own and use more than 3 personal devices 50% of enterprises will allow employees to supply their own devices by 2017 Forrester CIOs Must Empower the Digital Workplace Forrester The State of Enterprise Worker Mobility Gartner The Role of the Desktop in Our Multi-Device World
BY 2020, 50% OF THE GLOBAL WORKFORCE WILL BE MILLENNIALS Millennials believe their personal technology is more effective at work 63% of millennials work for a company that offers a flexible work environment Trends 2016 Code Conference, Mary Meeker Annual Presentation Gartner Millennial Digital Workers Really Are Different From Their Elders
LESS THAN 50% OF EMPLOYEES ARE SATISFIED WITH TECH THEY HAVE AT WORK Employees want an environment where they can access and use the technology hey need to do their best work Enterprises need to think how untethered employees can move easily and seamlessly from personal workspace to huddle area to open areas Trends 2016 Code Conference, Mary Meeker Annual Presentation Gartner Millennial Digital Workers Really Are Different From Their Elders
80%+ NEW IOT PROJECTS TO BE DEPLOYED WITH WIRELESS NETWORK ARCHITECTURE Installed base of IoT endpoints will grow from 12.1B in 15 to 30B+ in 20 WLAN will become IoT connectivity method of choice for many organizations and choosing the wrong wireless tech can hinder the value of IoT IDC Planscape Optimizing the WLAN for IoT IDC Worldwide, Internet of Things Forecast Update, 2016-2020
THE PERFECT STORM: MOBILE, IoT and CLOUD
OLD STYLE IT INFRASTRUCTURE Gen Y
NEW STYLE IT INFRASTRUCTURE GenMobile
OUR APPROACH Legacy Separate architectures Port, VLAN aware Proprietary systems Mobile First Single set of infrastructure Insightful, context-rich Developer ready
REQUIREMENTS FOR IT ORGANIZATIONS Scale network ops across wireless and wired infrastructure Enable high quality experience on mobile UC Stay compliant, while embracing BYOD and IoT Deliver apps to remote locations in a heartbeat Improve workplace productivity and influence revenue growth
EASY TO CONSUME, DEVELOPER READY INFRASTRUCTURE INNOVATION AT THE SPEED OF THE ECOSYSTEM NOT A SINGLE VENDOR x IT services Network controls Network management Policy management Business and user facing applications Aruba infrastructure: Wi-Fi, BLE, Wired, WAN Cloud networking Location analytics Micro-location services Aruba Mobile First Platform
EMPLOYEE EXPERIENCE
09:00 ENROLL MOBILE DEVICE
11:00 PRIVILEGED ACCESS WITH MULTI-FACTOR AUTHENTICATION
13:00 BOOK MEETING ROOM
OPERATIONAL EXPERIENCE
09:30 UNDERSTAND APP USAGE Aruba AppRF
15:30 MONITOR HEALTH OF THE SMART BUILDING
IT EXPERIENCE
11:00 PREDICT, DON T JUST TROUBLESHOOT Aruba Clarity
13:30 UNDERSTAND, DON T JUST MONITOR
ONCE BYOD AND IoT ARE ON YOUR NETWORK SECURING THE PERIMETER IS NO LONGER ENOUGH
STAY COMPLIANT, WHILE EMBRACING BYOD AND IOT Auto-classify unknown devices, on any network with Aruba ClearPass Automate onboarding of each device to the network and enforce policy Detect & eliminate threats with ClearPass Exchange partners
SOFTWARE CONTROLS FOR NETWORK ACCESS SECURITY Internet of Things (IoT) Multi-vendor switching REST API Security monitoring and threat prevention Device management and multi-factor authentication BYOD and corporate owned Multi-vendor WLANs Aruba ClearPass with Exchange Ecosystem Helpdesk and voice/sms service in the cloud
SOFTWARE CONTROLS FOR COLORLESS PORTS Device and user identity stores IoT devices on the wired network connecting to any port Aruba switches Ports assigned to new VLANs through ClearPass based on device type Prevention against malware and insider threats Secure per device tunneling to Aruba Mobility Controller
LEADING SWISS BRANDS TRUST US
Pause
Aruba ClearPass Die Lösung für einen sicheren Netzwerkzugang Manuel Bitzi, SOFTEC AG
Evolution of Access Management and Control YESTERDAY TODAY Desktops & Wired Basic AAA with User/Port Control High touch IT model Windows Vulnerabilities Perimeter security via platform silos Mobile Devices, BYOD & Wireless Multi-factor policy control with visibility Self Service, automated process Multiple Attack Vectors Cooperative trust via context sharing
Time For A New Mobility Defense Model Static Perimeter Defense Adaptive Trust Defense Anti/Virus IDS/IPS Firewalls Physical Components Web gateways Perimeter Defense Security and Policy for each user or group
Was sind die Hauptgründe für ein NAC? Authentifizierung, Zugriffsschutz Automatische Konfiguration, Workflows Visibilität, Nachvollziehbarkeit
Top IT NAC Business Drivers Authentication and Authorization NAC Services Deployment Architecture and Coverage Deployment Services Provide secure wired and wireless access Enhance mobile and cloud app access Use of certificates Offer differentiated access (IT-owned, BYOD, IoT) Deliver managed and reliable guest access Provide consistent privileges regardless of location Leverage 3rd-party security solutions IT-controlled access Automate workflows Simplicity Possible Userintervention
ClearPass Policy Manager and NAC Solution Built-in: Policy Engine RADIUS/CoA/TACACS Profiling Accounting/reports Identity store Expandable Applications Remote Location BYOD onboarding Simple guest access Health assessments Onboard Guest OnGuard
What s Inside? VISIBILITY Device Profiling Troubleshooting Per Session Tracking WORKFLOW Onboarding and Self-Registration Guest Management MDM/EMM Integration RULES Context based Device Posture Checks Built-in Certificate Authority
Authentication based on Device Context EMM/MDM/OnGuard Device Profiling Samsung SM-G900 Android Jons-Galaxy Personal owned Registered OS up-to-date Hansen, Jon [Sales] MDM enabled = true In-compliance = true Hansen, Jon [Sales] Title COO Dept Executive office City London Network Devices Identity Stores Location Bldg 10 Floor 3 Bandwidth 10Mbps
Value of a Policy Engine Remove SSID Overload OLD WAY: Separate access & traffic by SSIDs NEW WAY: Simplify, separate traffic dynamically by context
ClearPass Exchange End-to-End Control, Information and Visibility Multi-Vendor Infrastructure Combine Identity Information Traffic control & threat prevention Device management and multi-factor authentication Standard Protocols for custom extensions REST API XML SQL HTTP LDAP TACACS RADIUS Helpdesk and voice/sms service in the cloud
ClearPass Exchange Example Extensions for Intel Security - McAfee epo Corporate owned and IoT 2 Devices profiled 3 ClearPass checks McAfee epo for endpoint status 1 Devices establish connections Multi-vendor switching 4 ClearPass enforces access privileges McAfee epo BYOD and corporate owned Multi-vendor WLAN
ClearPass Exchange Example Bi-directional Exchange Firewall/IPS Event user connects and 1 2 uploads threat detects and blocks event 5 isolates user 4 informs infrastructure Firewall/IPS/SIEM/etc sends event to 3 ClearPass 6 notifies user, opens service ticket, notify third-party devices
ClearPass Profiler Engine DHCP SNMP TCP SSH NMAP CDP, LLDP WMI OnGuard Mac OUI HTTP ClearPass sammelt so viele Informationen wie möglich um einen Gerätetyp zu bestimmen. Category, Family, Product Name Fingerprint-Datenbank wird regelmässig aktualisiert Eigene Fingerprints erstellen Credentials für SMNP, SSH, etc hinterlegen Profiling bei Authentifizierung oder nach Bedarf Erkennen von IoT Devices
ClearPass Profiler Engine Profiling on authentication, discover IoT Before After unknown Lighting Sensor unknown send to quarantine profiling Temperature Sensor assign new policy discover IoT, assign appropriated policy
ClearPass Profiler Engine Custom Fingerprints Rules OLD WAY: Wait for new Fingerprints to be made and/or manually override devices 1:1 NEW WAY: Create your own Fingerprints!
ClearPass Universal Profiler Standalone Profiling Engine ClearPass Universal Profiler Standalone profiling engine Wired and wireless networks Easily distributed for coverage and scalability New device visibility dashboard Reports Gain Visibility of your Network GA February 2017
DEMO Profiling
Clearpass Modules / Workflows OnGuard Client Health Check Automated Healthcheck before Access Wired/Wireless: Ensures posture compliance for laptops/computers Security: Forces use of Anti-Virus, Anti-Spyware, firewalls, disk encryption Remediation: Manual or auto Visibility: Identifies poor behavior User Notification: Tells User about failed checks Type: Service or dissolvable Web Checker
DEMO OnGuard
Clearpass Modules / Workflows Secure Guest Login Flexible Guest Logins for Any Visitor Customizable Splash Pages Self-Service Workflows SMS Authentication Sponsoring Social Login Vouchers Predefined User/Password MAC Caching for repeat visitors Suitable for Mobile Devices
Clearpass Modules / Workflows Secure Guest Login, Look and Feel
Clearpass Modules / Workflows OnBoard Employee Device BYOD: Employees Login with Personal Devices User and IT friendly: One time user registration / no IT intervention Security: IT managed, 802.1X and Certificates Context: Data added to profile for adaptive policy and troubleshooting Selfmanaged: User can manage, delete and block devices by their own
Clearpass Modules / Workflows Certificate Distribution for BYOD VA CA RA AD CA Validation Authority Certificate Authority Registration Authority Active Directory Certificate Authority IT-Managed Devices Domain Key & Certificate Personal Devices Domain User Device Key & Unique Certificate Enterprise PKI and CA Built-in ClearPass CA
Clearpass Modules / Workflows Multi-Factor Authentication Additional Authentication for Guest and Onboard Workflows Multiple Support SMS Verification Code RSA Security Duo Zoom Facial Network Kasada More to come
DEMO OnBoard BYOD
Mögliches Zugriffskonzept Wireless Internet Gäste SSID: open Captive-Portal Internet only BYOD SSID: secure Dot1x Corp-PC Corp LAN others SSID: IoT PSK/MAC/Profiling
Mögliches Zugriffskonzept Wired Internet Gäste Captive-Portal Internet only Cert Corp-PC Dot1x Corp LAN others MAC-Auth, Profiling
Wie geht man ein NAC Projekt an? Best Practice und Erfahrungen Die Geräte im Netzwerk kennen Was gibt es? Wo sind diese? Neue? Inventar, Profiling Use Cases definieren Was für Anspruchsgruppen gibt es? Abläufe? Prozesse? Zugriffe? Einfach und Wenige, Keep it Simple Genug Zeit für einen Proof of Concept einplanen Erfahrungen aus PoC einbringen und anpassen Implementierung Schritt für Schritt Nicht alles auf ein Mal Aber schlussendlich flächendeckend
Herzlichen Dank für Ihre Aufmerksamkeit. Manuel Bitzi Projektleiter Network Engineering manuel.bitzi@softec.ch
Apéro und Networking
Herzlichen Dank für Ihren Besuch SOFTEC AG Industriestrasse 51 CH-6312 Steinhausen kurt.christen@softec.ch +41 41 747 07 60 101