Vulnerability Management



Ähnliche Dokumente
BCM Business Continuity Management

Data Center Risk & Compliance Management

IT-Value Der Wert der IT im Unternehmen

360 - Der Weg zum gläsernen Unternehmen mit QlikView am Beispiel Einkauf

Business Continuity Management - Ganzheitlich. ein anderer Ansatz itmcp it Management Consulting & Projekte

IT-Services aus der Cloud

CeBIT CARMAO GmbH

Datenschutz. und Synergieeffekte. Verimax GmbH. Blatt 1. Autor:Stefan Staub Stand

IT-Security Portfolio

Systemen im Wandel. Autor: Dr. Gerd Frenzen Coromell GmbH Seite 1 von 5

Vom Prüfer zum Risikomanager: Interne Revision als Teil des Risikomanagements

IT-Security Portfolio

ERP-Evaluation systematisch und sicher zum optimalen ERP-System

Was ist bei der Entwicklung sicherer Apps zu beachten?

N N O B O X E N C H E C K. Learn more about (your) Innovation Management and how to make it even better! M A R I A T A G W E R K E R - S T U R M

Rudolf Schraml. Beratung und Vertrieb IT-Security und Datenschutz

Produktvorstellung: CMS System / dynamische Webseiten. 1. Vorwort

Change Management. Hilda Tellioğlu, Hilda Tellioğlu

Integration mit. Wie AristaFlow Sie in Ihrem Unternehmen unterstützen kann, zeigen wir Ihnen am nachfolgenden Beispiel einer Support-Anfrage.

IT-Revision als Chance für das IT- Management

Modul 1 Modul 2 Modul 3

GPP Projekte gemeinsam zum Erfolg führen

IT-Beratung: Vom Geschäftsprozess zur IT-Lösung

Sicherheit auf dem Weg in die Microsoft Office365 Cloud Hybrider Exchange Schutz. Philipp Behmer Technical Consultant

Agile Vorgehensmodelle in der Softwareentwicklung: Scrum

am Beispiel - SQL Injection

4. FIT-ÖV Juli 2009 in Aachen Informationssicherheit im IT Service Management

RISIMA Consulting: Beratung, Planung, Produkte und Services für kleine und mittelständische Unternehmen.

Security Reporting. Security Forum FH Brandenburg Guido Gluschke 2012 VICCON GmbH

Modernes Vulnerability Management. Christoph Brecht Managing Director EMEA Central

BPM im Kontext von Unternehmensarchitekturen. Konstantin Gress

InfoSEC AWARENESS RESSOURCEN BESTMÖGLICH NUTZEN. RISIKEN PRAKTIKABEL REDUZIEREN. InfoSEC Awareness Ein Workshop von ExpertCircle.

Operational Big Data effektiv nutzen TIBCO LogLogic. Martin Ulmer, Tibco LogLogic Deutschland

Unternehmens durch Integratives Disaster Recovery (IDR)

Modul 3: Service Transition

IDV Assessment- und Migration Factory für Banken und Versicherungen

Risiken auf Prozessebene

Lokale Installation von DotNetNuke 4 ohne IIS

Checkliste zur qualitativen Nutzenbewertung

UNTERNEHMENS-NACHFOLGE PL ANEN. Mit dem St. Galler Nachfolge-Prozess weitsichtig und frühzeitig planen

Vertraulich. Nachname: Vorname: Matrikel-Nummer: Studiengang: Datum: 30. Januar 2015

ITIL & IT-Sicherheit. Michael Storz CN8

Datenschutz-Management

Smart Innovation by Festo Industrie Consulting

IT-Governance und COBIT. DI Eberhard Binder

Pensionskasse des Bundes Caisse fédérale de pensions Holzikofenweg 36 Cassa pensioni della Confederazione

Public-Private-Hybrid Cloud Die Daten entscheiden über den Weg in die Cloud. Berlin, Oktober 2014

Risikomanagement in der Praxis Alles Compliance oder was?! 1. IT-Grundschutz-Tag

white sheep GmbH Unternehmensberatung Schnittstellen Framework

Governance, Risk & Compliance für den Mittelstand


BETTER.SECURITY AWARENESS FÜR INFORMATIONSSICHERHEIT

Agenda: Richard Laqua ISMS Auditor & IT-System-Manager

SICHERHEITSANALYSE & PENTEST SCHWÄCHEN ERKENNEN HEISST STÄRKE GEWINNEN.

WELCOME TO SPHERE SECURITY SOLUTIONS

Sicherheits-Audit-Erkenntnisse / Software-as-a-Service TeFo10, World Trade Center Zürich, 21. September 2010

SSZ Policy und IAM Strategie BIT

Wir beraten Sie. Wir unterstützen Sie. Wir schaffen Lösungen. Wir bringen Qualität. Wir beraten Sie. Wir unterstützen Sie. Wir schaffen Lösungen

9001 weitere (kleinere) Änderungen

Projektsteuerung Projekte effizient steuern. Welche Steuerungsinstrumente werden eingesetzt?

Vertriebssteuerung & Controlling Konkrete Vertriebsziele, passend zur Unternehmensstrategie

Änderungen ISO 27001: 2013

IT-Risikomanagement Governance, Risk & Compliance für die IT

Beratung, Projektmanagement und Coaching

DIGITALKONSULAT DK. Unsere Leistungen

Andrea Grass & Dr. Marcus Winteroll oose Innovative Informatik GmbH. Geschäftsprozessmanagement und Agilität geht das zusammen?

Chancen und Risiken. The risk of good things not happening can be just as great as that of bad things happening."

Medizintechnik und Informationstechnologie im Krankenhaus. Dr. Andreas Zimolong

Herzlich willkommen zur Kurzvorlesung: Die häufigsten Fehlerquellen bei der Erstellung von Webapplikationen. Udo H. Kalinna. Nürnberg, den

Managementbewertung Managementbewertung

UNTERNEHMENSVORSTELLUNG. Die Riometa GmbH stellt sich vor.

Mehr Effizienz und Wertschöpfung durch Ihre IT. Mit unseren Dienstleistungen werden Ihre Geschäftsprozesse erfolgreicher.

Softwareentwicklung. Software, mit der Sie gerne arbeiten

Wir nehmen Aufgaben und Ideen wahr. Wir suchen Lösungen zu Ideen.

Sourcing Modell Phase 3

Führungsgrundsätze im Haus Graz

Modul 5: Service Transition Teil 1

Risikomanagement für IT- Netzwerke im medizinischen Umfeld

TRAINING & LEARNING. So werden Sie von SELECTEAM unterstützt

ISO und IEC Team im Krankenhaus integriertes Managementsystem für Informations-Sicherheit im Medizinbetrieb PDCA statt DDDP*

Risikobasierte Bewertung von Hilfsstoffen

Name: Seite 1. Matrikelnummer: Dauer 90 min, 1 Punkt = 1 min

IT OUTSOURCING. Wie die IT durch Transparenz zum internen Dienstleister wird. Herford, , Steffen Müter

Erfolgreicher im Vertrieb durch strategische Personalentwicklung Einfach nur Training?

Thema: - DWF. Das Business Process Management System aus dem Hause PRAXIS AG. Wolfgang Lammel PRAXIS-Consultant

Die 7 Vorteile von Business Excellence nach EFQM

Die CLC-Mitarbeiterbefragung. Eine solide Datenbasis für Ihre Unternehmensentwicklung.

EEX Kundeninformation

Vom Business Process Model zum Workflow

Fachhochschule für Technik und Wirtschaft Berlin FB4: Wirtschaftsinformatik

IT-Service Level Management Service Levels nachvollziehbar spezifizieren und prüfbar darstellen

Über mich. IT-Governance für KMU Luxus oder Fundament? ISACA After Hours Seminar vom 29. Januar 2013 Peter Josi.

Kosten senken und Innovation finanzieren.

Transkript:

Quelle. fotolia Vulnerability Management The early bird catches the worm Dipl.-Ing. Lukas Memelauer, BSc lukas.memelauer@calpana.com calpana business consulting gmbh Blumauerstraße 43, 4020 Linz 1

Agenda Was ist Vulnerability Management? Warum Vulnerability Management? Vulnerability Management Prozess CRISAM Vorgehensmodell CRISAM Vulnerability Knowledge Pack Live-Demo (Tool, Reporting) 2

Was ist Vulnerability Management? Vulnerability management is the process surrounding vulnerability scanning, which leads to correcting the vulnerabilities and removing or accepting associated risks. Quelle: SANS 3

Warum Vulnerability Management? By failing to prepare, you are preparing to fail. - Benjamin Franklin Zunahme an Cyber-Crime und damit verbundenen Risiken Aktueller Überblick über Schwachstellen und damit verbundener Risiken Verhindern, dass Angreifer Zugang zum eigenen Netz bekommen und Informationen stehlen können Vulnerability Management/Scanning zur Erkennung und Korrektur von neuen Schwachstellen Quelle: heise.de/security, 6.11.2013 Quelle: heise.de/security, 6.11.2013 4

Der Vulnerability Management Prozess Vorbereitung Ziele und Scope definieren, Betroffene informieren, Planen der Scans Vulnerability Scan Überwachung der gescannten Systeme, Ergebnisse überprüfen Korrigierende Maßnahmen definieren Analyse der gefundenen Schwachstellen, Maßnahmen planen, Risiken akzeptieren Korrigierende Maßnahmen umsetzen Implementierung der geplanten Maßnahmen, Finden von Alternativen Re-Scan Scan durchführen, Ergebnisse analysieren, Überprüfen der implementierten Maßnahmen (Korrigierende Maßnahmen umsetzen) 5

CRISAM Vorgehens- und Prozessmodell Strukturiertes Vorgehens- und Prozessmodell deckt alle Anforderungen des IT- Risikomanagements ab (ISO 31000 konform) Inputs Outputs 1 Unternehmensstrategie, allg. Rahmenbedingungen FESTLEGEN DER RAHMENBEDINGUNGEN Risikopolitik/ -strategie, Zielvorgabe, Rahmenbedingungen für das Risikomanagement 2 Risikopolitik / -strategie Zielvorgabe, Rahmenbedingungen Unternehmensdaten ANALYSE DES UMFELDS (BUSINESS IMPACT) Business Impact im betrachteten Scope 3 Risikostrategie, Risikomodelle, Risikoinventar, Risikogrenzen RISIKOANALYSE Risikowert, Risikokennzahlen Risikodeckungsbedarf 4 5 Risikopolitik/ -strategie, Risikowert, Risikodeckungsbedarf Risiko IST-Wert, Eigenkapitaleinsatz geplant RISIKOSTEUERUNG MASSNAHMEN- PLANUNG KOSTEN-NUTZEN ANALYSE SOLL-IST Abweichung Maßnahmenplan Maßnahmen-Priorisierung, Risikokosten, Eigenkapitaleinsatz erforderlich 6 Maßnahmenplan, Budget, Ressourcen, Termine IMPLEMENTIERUNG Implementierungsprojekte, Projektpläne, Prüfschritte für Maßnahmenverfolgung (CRISAM... Corporate Risk Application Method) 6

wirkt auf -> IT-Risiko im Unternehmensverbund Typischerweise sind Schäden, die in den Geschäftsprozessen aufgrund der IT entstehen, wesentlich höher als jene, die direkt in der IT entstehen IT wird als Risikoobjekt betrachtet, welches potentiell Schaden in den Geschäftsprozessen verursachen kann Unternehmen Unternehmen Vertrieb Human Ressource Finanz und Controlling Zentrale Services Produktion Organisation Prozesse / Bereiche Markt Lieferant Rechtssprechung Personalmarkt Informations -technologie Rohstoff- u. Energiepreis Finanzierung s-kosten Risikoobjekte operational, finanz., strategisch 7

Prozessmodell des Unternehmens Verfügbarkeit Integrität Vertraulichkeit Wie funktioniert CRISAM bzw. was sind Kataloge? Kataloge sind gebündeltes Fachwissen Kataloge enthalten Bausteine Fragen Gewichtungen Bewertungsleitfäden Mapping zu Kriterien Mapping zu Quellen 8

CRISAM Vulnerability Knowledge Pack Ziele und Status Ziel Organisatorische Mängel im Vorhinein verhindern Verbessern der Systeme und Applikationen vor dem Test Qualität des Penetration Tests sicherstellen und erhöhen Befindet sich im Moment in Überarbeitung Entwicklung gemeinsam mit einem Partner aus dem Bereich Penetration-Testing Veröffentlichung Anfang 2014 9

CRISAM Vulnerability Knowledge Pack Quellen Institute for Security and Open Methodologies (ISECOM) Common bzw. Best Practice für Vorbereitung und Durchführung von Pen- Tests A methodology to test the operational security of physical locations, human interactions, and all forms communications such as wireless, wired, analog, and digital. 10

CRISAM Vulnerability Knowledge Pack Weitere Quellen Zusätzlich zu OSSTMM v3 Organisatorische Aspekte Secure Software Development Webserver Security Organisatorische Aspekte Basierend auf einer Studie des BSI Secure Software Development Basierend auf OWASP Secure Coding Practices Quick Reference Guide Webserver Security CRISAM RV ÖNORM A7700 Pack 11

CRISAM Vulnerability Knowledge Pack Aufbau und Gliederung Modularer Aufbau um auf die unterschiedlichen Zielsetzungen von Penetration Tests und der Entwicklung von Applikationen eingehen zu können Zusätzliche Bausteine Organisatorische Aspekte Zusätzliche Bausteine für z.b. Datenbank Windows-Server etc. Secure Software Development Input Validation File Management Database Security etc. 12

Reporting Stufe 4: Compliance Report für Vulnerability Management CRISAM Vulnerability Management Compliance Report Organisatorische Aspekte Penetration Test Secure Software Development 13

Live Demo - Beispielszenario A Dieses Beispiel setzt auf dem CRISAM Musterprojekt auf. Die Abteilung Finanzen und Controlling delegiert einen Pen-Test an einen unabhängigen Drittanbieter. Im Scope befindet sich die das gesamte E-Mail Service inklusive der zugrundeliegenden Infrastruktur. Weiters soll das gesamte Unternehmensnetzwerk näher beleuchtet werden. Ziel ist es, sich auf den bevorstehenden Pen-Test vorzubereiten um die künftigen Ergebnisse zu verbessern Die folgenden CRISAM Bausteine werden für die Modellierung benötigt: Pen-Test Documents (Pen-Test Organizational) Pen-Test Exchange (Pen-Test Application) Pen-Test Node101, Pen-Test Node102 (Pen-Test Server) Pen-Test Network (Pen-Test Network) 14

Live Demo - Beispielszenario B Dieses Beispiel setzt auf dem CRISAM Musterprojekt auf. Die Abteilung Forschung und Entwicklung entwickelt ein internes Tool und wird vom Management dazu verpflichtet, sicherheitsrelevante Aspekte bei der Entwicklung zu berücksichtigen. Die folgenden Aspekte sind relevant: Input Validation, Output Encoding, Access Control, Memory Management Die Entwicklung will sich auf die Überprüfung der sicheren Softwareentwicklung vorbereiten. Die folgenden Bausteine werden für die Modellierung benötigt: Secure Tool (Individual Development) Input Validation (SSD Input Validation) Output Encoding (SSD Output Encoding) Access Control (SSD Access Control) Memory Management (SSD Memory Management) 15

Key Findings 1. Verstehen der Notwendigkeit und des Aufbaus des Vulnerability Management Prozesses 2. Vorbereitung auf Pen-Tests unter Zuhilfenahme des CRISAM Risikomanagement-Frameworks sparen Sie sich das böse Erwachen! Vielen Dank für Ihre Aufmerksamkeit! einfach präzise wertorientiert nachvollziehbar calpana business consulting gmbh A-4020 Linz, Blumauerstraße 43 Tel: +43 (732) 601216-0 www.calpana.com, www.crisam.net Copyright 2013 www.calpana.com www.crisam.net 16

2026 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback