Die gesamte Systemumgebung physisch getrennt vom Internet betrieben! Ivo Stragiotti Chef IT Services VBS-FUB-ZEO September 2017
Agenda Über VBS-FUB-ZEO Wie schaut die «Die totale Isolation» aus Wie gross ist der Schutz wirklich? Was wird einfacher? Die Herausforderungen Welche Probleme treten im Business auf? Wo hilft die Technik? Und bei ihnen
Über VBS-FUB-ZEO Das ZEO ist das Kompetenzzentrum für elektronische Operationen und Informationssicherheit. Es beschafft Informationen für den Nachrichtendienst des Bundes und schafft die Voraussetzungen für den Einsatz der elektronischen Kriegführung. Kryptologie Cyber Defense Computer Network Operations Plant, führt und koordiniert den Einsatz der EKF Stufe Armee Planung, Entwicklung und Betrieb der dazu notwendigen Infrastruktur
Die totale Isolation In hochsensiblen Bereichen kann es erforderlich sein, dass interne Netzwerke komplett von der Aussenwelt abgeschottet sind. Eine Firewall bildet hier keinen genügenden Schutz, da die Software sowohl absichtlich als auch aus Versehen manipuliert werden kann. Wird das in Zukunft zum Standard für alle Firmen? Wird damit die IT Security einfacher? Security Connectivity Mit diesem Beitrag will ich nicht die einzig glücklich machende Lösung anpreisen ich will zum Nachdenken anregen
Auswirkung Wovor schützt die totale Isolation? Was schützen wir (nach C-I-A) mit der totalen Isolation? Confidentiality Ja (Datenabfluss) Integrity Ja (gezielter Angriff) Availibility Ja (Ransomware) Welche Angriffsvektoren haben wir? Hoch 3 Hoch Cyberkriminalität 1 Mittel 2 Mittel 1 Der gezielte Angriff 2 Niedrig Niedrig Unzufriedene Mitarbeiter 3 Niedrig Mittel Hoch Wahrscheinlichkeit
Wie gross ist der Schutz wirklich? Der Schutz ist so gross (gut) wie sämtliche kompensierenden Lösungen kontrolliert sind! Ein Minimum an Schnittstellen mit der Aussenwelt ist immer notwendig, daher ist es relevant wie diese realisiert und kontrolliert werden Jeder Mitarbeiter sucht nach einer bequemen Lösung, und torpediert damit alle Schutzanstrengungen
Was wird einfacher? Durch die totale Isolation wird die IT Security definitiv einfacher. Vielen Themen können ignoriert oder mit sehr wenig Aufwand abgehandelt werden. Die internen Systeme müssen nicht ständig Patched werden Keine aufwändigen FW/IDS/IPS/Proxy/AV/AM/ Lösungen nötig
Herausforderungen (im Business) Die Isolation steht im totalen Wiederspruch zu modernen Trends: Mobilität und Homework Vernetzung von Niederlassungen und Globalisierung Internet Business Cloud Um die Isolation zu kompensieren sind verschiedene Lösungen notwendig: Zwei Arbeitsstationen (eine Interne und eine Externe) Zwei E-Mail Systeme (ein Internes und ein Externes) Eine Vielzahl von Schnittstellen (zwischen intern und extern) Die gute alte Pt-Pt Leased Line mit Chiffriergerät
Herausforderungen (im IT Betrieb) Sehr viele IT Lösungen basieren auf einer funktionierenden Internetanbindung. Nun fehlt diese Produkte Aktualisierungen (z.b. WSUS) Extern herunterladen, DB transferieren AV Pattern Update Aktuelle Pattern extern herunterladen und kopieren Produkte Aktivierungen Bei Beschaffung auf offline Möglichkeiten achten Fernwartung (viele Produkte telefonieren nach Hause, viele Hersteller gehen von einem remote Support aus) Bei Beschaffung darauf achten, allenfalls Lieferanten mit CH Niederlassung wählen
Die technischen Möglichkeiten Schnittstellen Automatisiert Diode (Unidirektionaler Datenverkehr) Schleuse (Asynchroner, bidirektionaler Datenverkehr) Manuell Mobile Datenträger (Schleuse für mobile Datenträger)
Und bei ihnen Klar ist, dass heute eine Vielzahl von Bedrohungen C-I-A gefährden. Durch die totale Isolation der internen Netzwerkinfrastruktur zur Aussenwelt können viele Bedrohungen eliminiert werden. Leider muss die Isolation mit verschiedenen Lösungen kompensiert werden: Dies bringt neue Risiken Das ist aufwändig und exotisch Wie ist die Situation bei ihnen? Denken sie darüber nach Security Connectivity
Vielen Dank für ihre Aufmerksamkeit!