Ist Ihr Netzwerk sicher genug für ein mobiles Unternehmen?

Ist Ihr Netzwerk sicher genug für ein mobiles Unternehmen?

Agenda 14.00 Uhr Begrüssung Die Gefahren und Risiken in einer vernetzten Welt (Max Klaus, stv. Leiter, MELANI) 14.45 Uhr Mobile-First: Aruba s sichere Netzwerkarchitektur für die #GenMobile (Jörg Hofmann, HPE Aruba) 15.30 Uhr Kurze Pause 15.45 Uhr Aruba ClearPass Die Lösung für einen sicheren Netzwerkzugang (Manuel Bitzi, SOFTEC) 16.30 Uhr Aruba ClearPass Live (Manuel Bitzi, SOFTEC) 17.00 Uhr Apéro und Networking 2

Informatiksteuerungsorgan des Bundes ISB Nachrichtendienst des Bundes NDB Melde- und Analysestelle Informationssicherung MELANI Die Gefahren und Risiken in einer vernetzten Welt Max Klaus, stv. Leiter MELANI

Inhalt Die Melde- und Analysestelle Informationssicherung MELANI Aktuelle Bedrohungslage ISB / NDB Melde- und Analysestelle Informationssicherung MELANI Titel / Datum / AutorIn 4

BR-Auftrag / PPP Schutz kritischer Infrastrukturen in der Schweiz nur in enger Zusammenarbeit mit der Wirtschaft möglich Public Private Partnership Quelle: http://venturesafrica.com/wp-content/uploads/2014/06/ppp_2q2012.jpg ISB / NDB Melde- und Analysestelle Informationssicherung MELANI

Rahmenbedingungen für MELANI Keine Meldepflicht für Cybervorfälle Subsidiarität Keine Weisungsbefugnis ausserhalb der Bundesverwaltung ISB / NDB Melde- und Analysestelle Informationssicherung MELANI

Informatiksteuerungsorgan des Bundes ISB Nachrichtendienst des Bundes NDB Melde- und Analysestelle Informationssicherung MELANI EFD / ISB Leitung und Strategie GovCERT.ch Technische Analysen VBS / NDB OIC MELANI Nachrichtendienstliche Analysen MELANI Geschlossener Kundenkreis Chemie und Pharma Energie Finanz Gesundheitswesen Industrie Medien Rüstung Telekommunikation Transport/Logistik Versicherungen Verwaltung Öffentlicher Teil KMU und Bürger www.melani.admin.ch Wissenschaft und Forschung -Universitäten - Fachhochschulen Software und Antivirenhersteller -Microsoft - Google -Avira - F-Secure. Swiss Cyber Experts Internationale Beziehungen - Interpol - Europol EGC European Gov. CERTs FIRST Forum of Incident Response and Security Teams Andere Regierungen - CPNI - BSI - A-SIT -...

Aufgaben von MELANI Beobachtung und Darstellung der nationalen Lage: Prävention/Alarmierung ISB / NDB Melde- und Analysestelle Informationssicherung MELANI

Aufgaben von MELANI Geschlossener Kundenkreis (KI-Betreiber) Prävention dank Informationen aus öffentlich nicht zugänglichen Quellen Unterstützung bei der Behebung von Cyber-Vorfällen Offener Kundenkreis (KUM, NPO, Privatpersonen) Sensibilisierung Prävention ISB / NDB Melde- und Analysestelle Informationssicherung MELANI

Öffentliche Produkte von MELANI (1/4) ISB / NDB Melde- und Analysestelle Informationssicherung MELANI

Öffentliche Produkte von MELANI (2/4) ISB / NDB Melde- und Analysestelle Informationssicherung MELANI

Öffentliche Produkte von MELANI (3/4) ISB / NDB Melde- und Analysestelle Informationssicherung MELANI

Öffentliche Produkte von MELANI (4/4) ISB / NDB Melde- und Analysestelle Informationssicherung MELANI

Phishing DB ISB / NDB Melde- und Analysestelle Informationssicherung MELANI

Inhalt Die Melde- und Analysestelle Informationssicherung MELANI Aktuelle Bedrohungslage ISB / NDB Melde- und Analysestelle Informationssicherung MELANI Titel / Datum / AutorIn 15

Veränderung der Bedrohungslage 19. Jahrhundert Vor 10 Jahren heute morgen? derstandard..at augsburgerallgemeine..de jdpower..com infosecisland.com Modernere Mittel Vernetzte Bevölkerung Zu geringes Sicherheitsbewusstsein ISB / NDB Melde- und Analysestelle Informationssicherung MELANI

Am Anfang (fast) allen Übels: Social Engineering Social Engineering ist die Kunst, eine Person zu einer Tat zu bewegen, die in ihrem Interesse sein kann oder die ihr Schaden zufügen kann Quelle: www.social-engineer.org ISB / NDB Melde- und Analysestelle Informationssicherung MELANI

Öffentliche WLAN und Gastzugänge ISB / NDB Melde- und Analysestelle Informationssicherung MELANI Titel / Datum / AutorIn 18

Botnetze webreaders.de/wp-content/uploads/2008/01/botnetz.jpg ISB / NDB Melde- und Analysestelle Informationssicherung MELANI

Botnetze als DAS Mittel zum Zweck Botnetze liegen praktisch allen kriminellen Aktivitäten im Bereich des Internets zu Grunde. Kontrollserver Botnetzbetreiber DDoS www.anbieter Bots Spam Malware ISB / NDB Melde- und Analysestelle Informationssicherung MELANI

So billig sind Botnetze zu mieten Produkt Einfacher Windows Bot Bot mit guter Bandbreite Spezialanfertigung Preis 10 Cents / Bot&Tag 1$ / Bot&Tag 40$ / Bot Quelle: SWITCH-CERT ISB / NDB Melde- und Analysestelle Informationssicherung MELANI

Denial of Service ISB / NDB Melde- und Analysestelle Informationssicherung MELANI

Protonmail Kontrollserver Armada Collective Bots ISB / NDB Melde- und Analysestelle Informationssicherung MELANI

Protonmail ISB / NDB Melde- und Analysestelle Informationssicherung MELANI

Der schwarze Montag 2016 ISB / NDB Melde- und Analysestelle Informationssicherung MELANI

Mirai Botnet by «New World Hackers» Angriffswelle vom 21.10.2016 (ca. 50 000 100 000 Bots) Source Code geleakt Trittbrettfahrer! Konkurrenz zu «Bashlight» gegenseitiges Kapern! ISB / NDB Melde- und Analysestelle Informationssicherung MELANI

DDos: Empfehlungen Prävention: Businesskritische Systeme identifizieren Schutzmassnahmen mit Provider definieren Reaktion: «Aussitzen» Keinesfalls Lösegeld bezahlen! Meldung an MELANI/KOBIK, allenfalls Anzeige gegen Unbekannt bei KaPo ISB / NDB Melde- und Analysestelle Informationssicherung MELANI

CEO Fraud ISB / NDB Melde- und Analysestelle Informationssicherung MELANI

CEO Fraud ISB / NDB Melde- und Analysestelle Informationssicherung MELANI

Betrug: Empfehlungen Klare Weisungen bezüglich Zahlungen erteilen Keine internen Informationen weitergeben Im Zweifelsfall bei der GL nachfragen Vorsicht auch bei Mails von vermeintlich bekannten Personen Information an MELANI / KOBIK, allenfalls Strafanzeige gegen Unbekannt bei KaPo ISB / NDB Melde- und Analysestelle Informationssicherung MELANI

Spionage ISB / NDB Melde- und Analysestelle Informationssicherung MELANI

Spionageangriff auf BV ISB / NDB Melde- und Analysestelle Informationssicherung MELANI

Spionage: Beispiel aus der Schweiz ISB / NDB Melde- und Analysestelle Informationssicherung MELANI

Spionage: Empfehlungen Klassifizierung von Dokumenten Regeln für die verschiedenen Klassfizierungen durchsetzen Netzwerkmonitoring betr. verdächtigem Datenverkehr Information an MELANI / KOBIK, allenfalls Strafanzeige gegen Unbekannt bei KaPo ISB / NDB Melde- und Analysestelle Informationssicherung MELANI

Erpressung http://www.trustedwatch.de ISB / NDB Melde- und Analysestelle Informationssicherung MELANI

Verschlüsselungstrojaner «Locky» (1/2) ISB / NDB Melde- und Analysestelle Informationssicherung MELANI

Verschlüsselungstrojaner «Locky» (2/2) ISB / NDB Melde- und Analysestelle Informationssicherung MELANI

Verschlüsselungstrojaner: Empfehlungen Regelmässige Datensicherung Datenträger nach Backup vom PC / Netz trennen Qualität der Backups sporadisch überprüfen Keinesfalls Lösegeld bezahlen! Information an MELANI / KOBIK, allenfalls Strafanzeige gegen Unbekannt bei KaPo ISB / NDB Melde- und Analysestelle Informationssicherung MELANI

Herzlichen Dank für Ihre Aufmerksamkeit Max Klaus Stv. Leiter Melde- und Analysestelle Informationssicherung MELANI Schwarztorstrasse 59 3003 Bern ISB / NDB Melde- und Analysestelle Informationssicherung MELANI

Mobile-First: Aruba s sichere Netzwerkarchitektur für die #GenMobile Jörg Hofmann, HPE Aruba

MOBILE-FIRST: Sichere Netzwerkarchitektur für die #GenMobile People Move. Networks Must Follow.

WHO ARE WE? Founded: 2002, IPO: 2007 HPE s IT Edge portfolio since June 2015 $2.4B+ annual revenue run rate Biggest Small Company High touch business model Customer First, Customer Last Home of 45K+ Mobility Engineers @ Airheads Community Clients globally should consider Aruba for all wired and wireless access layer opportunities. Gartner MQ for Wired and Wireless LAN Access Infrastructure, August 2016 Source: Gartner Magic Quadrant for the Wired and Wireless LAN Access Infrastructure September 2015. Tim Zimmerman, Bill Menezes, Andrew Lerner, ID Number: G00277052 This Magic Quadrant graphic was published by Gartner Inc. as part of a larger research note and should be evaluated in the context of the entire report. The Gartner report is available upon request from HP. The Magic Quadrant is a graphical representation of a marketplace at and for a specific time period. It depicts Gartner's analysis of how certain vendors measure against criteria for that marketplace, as defined by Gartner. Gartner does not endorse any vendor, product or service depicted in the Magic Quadrant, and does not advise technology users to select only those vendors placed in the "Leaders" quadrant. The Magic Quadrant is intended solely as a research tool, and is not meant to be a specific guide to action. Gartner disclaims all warranties, express or implied, with respect to this research, including any warranties of merchantability or fitness for a particular purpose.

ENABLING GREAT DIGITAL EXPERIENCES FOR GENMOBILE

70% SAY A MOBILE DEVICE MAKES THEM MORE PRODUCTIVE AT WORK By 2018 60% of users in mature markets will own and use more than 3 personal devices 50% of enterprises will allow employees to supply their own devices by 2017 Forrester CIOs Must Empower the Digital Workplace Forrester The State of Enterprise Worker Mobility Gartner The Role of the Desktop in Our Multi-Device World

BY 2020, 50% OF THE GLOBAL WORKFORCE WILL BE MILLENNIALS Millennials believe their personal technology is more effective at work 63% of millennials work for a company that offers a flexible work environment Trends 2016 Code Conference, Mary Meeker Annual Presentation Gartner Millennial Digital Workers Really Are Different From Their Elders

LESS THAN 50% OF EMPLOYEES ARE SATISFIED WITH TECH THEY HAVE AT WORK Employees want an environment where they can access and use the technology hey need to do their best work Enterprises need to think how untethered employees can move easily and seamlessly from personal workspace to huddle area to open areas Trends 2016 Code Conference, Mary Meeker Annual Presentation Gartner Millennial Digital Workers Really Are Different From Their Elders

80%+ NEW IOT PROJECTS TO BE DEPLOYED WITH WIRELESS NETWORK ARCHITECTURE Installed base of IoT endpoints will grow from 12.1B in 15 to 30B+ in 20 WLAN will become IoT connectivity method of choice for many organizations and choosing the wrong wireless tech can hinder the value of IoT IDC Planscape Optimizing the WLAN for IoT IDC Worldwide, Internet of Things Forecast Update, 2016-2020

THE PERFECT STORM: MOBILE, IoT and CLOUD

OLD STYLE IT INFRASTRUCTURE Gen Y

NEW STYLE IT INFRASTRUCTURE GenMobile

OUR APPROACH Legacy Separate architectures Port, VLAN aware Proprietary systems Mobile First Single set of infrastructure Insightful, context-rich Developer ready

REQUIREMENTS FOR IT ORGANIZATIONS Scale network ops across wireless and wired infrastructure Enable high quality experience on mobile UC Stay compliant, while embracing BYOD and IoT Deliver apps to remote locations in a heartbeat Improve workplace productivity and influence revenue growth

EASY TO CONSUME, DEVELOPER READY INFRASTRUCTURE INNOVATION AT THE SPEED OF THE ECOSYSTEM NOT A SINGLE VENDOR x IT services Network controls Network management Policy management Business and user facing applications Aruba infrastructure: Wi-Fi, BLE, Wired, WAN Cloud networking Location analytics Micro-location services Aruba Mobile First Platform

EMPLOYEE EXPERIENCE

09:00 ENROLL MOBILE DEVICE

11:00 PRIVILEGED ACCESS WITH MULTI-FACTOR AUTHENTICATION

13:00 BOOK MEETING ROOM

OPERATIONAL EXPERIENCE

09:30 UNDERSTAND APP USAGE Aruba AppRF

15:30 MONITOR HEALTH OF THE SMART BUILDING

IT EXPERIENCE

11:00 PREDICT, DON T JUST TROUBLESHOOT Aruba Clarity

13:30 UNDERSTAND, DON T JUST MONITOR

ONCE BYOD AND IoT ARE ON YOUR NETWORK SECURING THE PERIMETER IS NO LONGER ENOUGH

STAY COMPLIANT, WHILE EMBRACING BYOD AND IOT Auto-classify unknown devices, on any network with Aruba ClearPass Automate onboarding of each device to the network and enforce policy Detect & eliminate threats with ClearPass Exchange partners

SOFTWARE CONTROLS FOR NETWORK ACCESS SECURITY Internet of Things (IoT) Multi-vendor switching REST API Security monitoring and threat prevention Device management and multi-factor authentication BYOD and corporate owned Multi-vendor WLANs Aruba ClearPass with Exchange Ecosystem Helpdesk and voice/sms service in the cloud

SOFTWARE CONTROLS FOR COLORLESS PORTS Device and user identity stores IoT devices on the wired network connecting to any port Aruba switches Ports assigned to new VLANs through ClearPass based on device type Prevention against malware and insider threats Secure per device tunneling to Aruba Mobility Controller

LEADING SWISS BRANDS TRUST US

Pause

Aruba ClearPass Die Lösung für einen sicheren Netzwerkzugang Manuel Bitzi, SOFTEC AG

Evolution of Access Management and Control YESTERDAY TODAY Desktops & Wired Basic AAA with User/Port Control High touch IT model Windows Vulnerabilities Perimeter security via platform silos Mobile Devices, BYOD & Wireless Multi-factor policy control with visibility Self Service, automated process Multiple Attack Vectors Cooperative trust via context sharing

Time For A New Mobility Defense Model Static Perimeter Defense Adaptive Trust Defense Anti/Virus IDS/IPS Firewalls Physical Components Web gateways Perimeter Defense Security and Policy for each user or group

Was sind die Hauptgründe für ein NAC? Authentifizierung, Zugriffsschutz Automatische Konfiguration, Workflows Visibilität, Nachvollziehbarkeit

Top IT NAC Business Drivers Authentication and Authorization NAC Services Deployment Architecture and Coverage Deployment Services Provide secure wired and wireless access Enhance mobile and cloud app access Use of certificates Offer differentiated access (IT-owned, BYOD, IoT) Deliver managed and reliable guest access Provide consistent privileges regardless of location Leverage 3rd-party security solutions IT-controlled access Automate workflows Simplicity Possible Userintervention

ClearPass Policy Manager and NAC Solution Built-in: Policy Engine RADIUS/CoA/TACACS Profiling Accounting/reports Identity store Expandable Applications Remote Location BYOD onboarding Simple guest access Health assessments Onboard Guest OnGuard

What s Inside? VISIBILITY Device Profiling Troubleshooting Per Session Tracking WORKFLOW Onboarding and Self-Registration Guest Management MDM/EMM Integration RULES Context based Device Posture Checks Built-in Certificate Authority

Authentication based on Device Context EMM/MDM/OnGuard Device Profiling Samsung SM-G900 Android Jons-Galaxy Personal owned Registered OS up-to-date Hansen, Jon [Sales] MDM enabled = true In-compliance = true Hansen, Jon [Sales] Title COO Dept Executive office City London Network Devices Identity Stores Location Bldg 10 Floor 3 Bandwidth 10Mbps

Value of a Policy Engine Remove SSID Overload OLD WAY: Separate access & traffic by SSIDs NEW WAY: Simplify, separate traffic dynamically by context

ClearPass Exchange End-to-End Control, Information and Visibility Multi-Vendor Infrastructure Combine Identity Information Traffic control & threat prevention Device management and multi-factor authentication Standard Protocols for custom extensions REST API XML SQL HTTP LDAP TACACS RADIUS Helpdesk and voice/sms service in the cloud

ClearPass Exchange Example Extensions for Intel Security - McAfee epo Corporate owned and IoT 2 Devices profiled 3 ClearPass checks McAfee epo for endpoint status 1 Devices establish connections Multi-vendor switching 4 ClearPass enforces access privileges McAfee epo BYOD and corporate owned Multi-vendor WLAN

ClearPass Exchange Example Bi-directional Exchange Firewall/IPS Event user connects and 1 2 uploads threat detects and blocks event 5 isolates user 4 informs infrastructure Firewall/IPS/SIEM/etc sends event to 3 ClearPass 6 notifies user, opens service ticket, notify third-party devices

ClearPass Profiler Engine DHCP SNMP TCP SSH NMAP CDP, LLDP WMI OnGuard Mac OUI HTTP ClearPass sammelt so viele Informationen wie möglich um einen Gerätetyp zu bestimmen. Category, Family, Product Name Fingerprint-Datenbank wird regelmässig aktualisiert Eigene Fingerprints erstellen Credentials für SMNP, SSH, etc hinterlegen Profiling bei Authentifizierung oder nach Bedarf Erkennen von IoT Devices

ClearPass Profiler Engine Profiling on authentication, discover IoT Before After unknown Lighting Sensor unknown send to quarantine profiling Temperature Sensor assign new policy discover IoT, assign appropriated policy

ClearPass Profiler Engine Custom Fingerprints Rules OLD WAY: Wait for new Fingerprints to be made and/or manually override devices 1:1 NEW WAY: Create your own Fingerprints!

ClearPass Universal Profiler Standalone Profiling Engine ClearPass Universal Profiler Standalone profiling engine Wired and wireless networks Easily distributed for coverage and scalability New device visibility dashboard Reports Gain Visibility of your Network GA February 2017

DEMO Profiling

Clearpass Modules / Workflows OnGuard Client Health Check Automated Healthcheck before Access Wired/Wireless: Ensures posture compliance for laptops/computers Security: Forces use of Anti-Virus, Anti-Spyware, firewalls, disk encryption Remediation: Manual or auto Visibility: Identifies poor behavior User Notification: Tells User about failed checks Type: Service or dissolvable Web Checker

DEMO OnGuard

Clearpass Modules / Workflows Secure Guest Login Flexible Guest Logins for Any Visitor Customizable Splash Pages Self-Service Workflows SMS Authentication Sponsoring Social Login Vouchers Predefined User/Password MAC Caching for repeat visitors Suitable for Mobile Devices

Clearpass Modules / Workflows Secure Guest Login, Look and Feel

Clearpass Modules / Workflows OnBoard Employee Device BYOD: Employees Login with Personal Devices User and IT friendly: One time user registration / no IT intervention Security: IT managed, 802.1X and Certificates Context: Data added to profile for adaptive policy and troubleshooting Selfmanaged: User can manage, delete and block devices by their own

Clearpass Modules / Workflows Certificate Distribution for BYOD VA CA RA AD CA Validation Authority Certificate Authority Registration Authority Active Directory Certificate Authority IT-Managed Devices Domain Key & Certificate Personal Devices Domain User Device Key & Unique Certificate Enterprise PKI and CA Built-in ClearPass CA

Clearpass Modules / Workflows Multi-Factor Authentication Additional Authentication for Guest and Onboard Workflows Multiple Support SMS Verification Code RSA Security Duo Zoom Facial Network Kasada More to come

DEMO OnBoard BYOD

Mögliches Zugriffskonzept Wireless Internet Gäste SSID: open Captive-Portal Internet only BYOD SSID: secure Dot1x Corp-PC Corp LAN others SSID: IoT PSK/MAC/Profiling

Mögliches Zugriffskonzept Wired Internet Gäste Captive-Portal Internet only Cert Corp-PC Dot1x Corp LAN others MAC-Auth, Profiling

Wie geht man ein NAC Projekt an? Best Practice und Erfahrungen Die Geräte im Netzwerk kennen Was gibt es? Wo sind diese? Neue? Inventar, Profiling Use Cases definieren Was für Anspruchsgruppen gibt es? Abläufe? Prozesse? Zugriffe? Einfach und Wenige, Keep it Simple Genug Zeit für einen Proof of Concept einplanen Erfahrungen aus PoC einbringen und anpassen Implementierung Schritt für Schritt Nicht alles auf ein Mal Aber schlussendlich flächendeckend

Herzlichen Dank für Ihre Aufmerksamkeit. Manuel Bitzi Projektleiter Network Engineering manuel.bitzi@softec.ch

Apéro und Networking

Herzlichen Dank für Ihren Besuch SOFTEC AG Industriestrasse 51 CH-6312 Steinhausen kurt.christen@softec.ch +41 41 747 07 60 101