Im Zielvisier der Hacker Gegenmaßnahmen leicht gemacht

Ähnliche Dokumente
Netzwerk Management Potentielle Systemausfälle bereiten Ihnen Sorgen?

Sicherheits-Tipps für Cloud-Worker

Datenschutz und Informationssicherheit

HTBVIEWER INBETRIEBNAHME

Sicherheit in industriellen Anlagen als Herausforderung für Forschung und Lehre

Protect 7 Anti-Malware Service. Dokumentation

Teamschool Installation/ Konvertierungsanleitung

Wo finde ich die Software? - Jedem ProLiant Server liegt eine Management CD bei. - Über die Internetseite

OP-LOG

How-to: Webserver NAT. Securepoint Security System Version 2007nx

SharePoint Demonstration

Patchmanagement. Jochen Schlichting Jochen Schlichting

IT-Schwachstellenampel: Produktsicherheit auf einen Blick+

Software zur Anbindung Ihrer Maschinen über Wireless- (GPRS/EDGE) und Breitbandanbindungen (DSL, LAN)

Information über das Virtual Private Networks (VPNs)

Albert HAYR Linux, IT and Open Source Expert and Solution Architect. Open Source professionell einsetzen

Deep Security. Die optimale Sicherheitsplattform für VMware Umgebungen. Thomas Enns -Westcon

Die Installation eines MS SQL Server 2000 mit SP3a wird in diesem Artikel nicht beschrieben und vorausgesetzt.

Freifunk Halle. Förderverein Freifunk Halle e.v. IT Sicherheitskonzept. Registernummer bei der Bundesnetzagentur: 14/234

Warum werden täglich tausende von Webseiten gehackt?

Eigenen WSUS Server mit dem UNI WSUS Server Synchronisieren

Anleitung zur Nutzung des SharePort Utility

Keine Kompromisse. Optimaler Schutz für Desktops und Laptops CLIENT SECURITY

Prof. Dr. Norbert Pohlmann, Institut für Internet Sicherheit - if(is), Fachhochschule Gelsenkirchen. Lage der IT-Sicherheit im Mittelstand

Web Application Security

Daten Monitoring und VPN Fernwartung

Anleitung zur Online-Schulung

SolarWinds Engineer s Toolset

1. Voraussetzungen S Installation des OpenVPN Clients S OpenVPN Client installieren S Entpacken des Zip Ordners S.

Surfen, aber sicher! Basisschutz leicht gemacht. 10 Tipps für ein ungetrübtes und nachhaltiges Surf-Vergnügen.

Qualität und Verlässlichkeit Das verstehen die Deutschen unter Geschäftsmoral!

AV-TEST. Sicherheitslage Android

Die Kunst des Krieges Parallelen zu Cybercrime. Michael Simon, Security Consultant

Installation Hardlockserver-Dongle

ERPaaS TM. In nur drei Minuten zur individuellen Lösung und maximaler Flexibilität.

Dynamische Verschlüsselung in Wireless LANs

Einrichtung des Cisco VPN Clients (IPSEC) in Windows7

:: Anleitung Hosting Server 1cloud.ch ::

Anforderungen und Umsetzung einer BYOD Strategie

1 Was ist das Mediencenter?

Secure Coding & Live Hacking von Webapplikationen. Conect Informunity

Handbuch Installation und Nutzung von KVSAonline über KV-FlexNet

Installationsanleitung. Installieren Sie an PC1 CESIO-Ladedaten einschl. dem Firebird Datenbankserver, wie in der Anleitung beschrieben.

{ Wirkungsvoller Netzwerkschutz mit Windows Server 2008 }

Anleitung zur Verwendung der UHH-Disk am. Universitätskolleg

Herzlich willkommen zur Kurzvorlesung: Die häufigsten Fehlerquellen bei der Erstellung von Webapplikationen. Udo H. Kalinna. Nürnberg, den

Der Handytrojaner Flexispy im Praxistest

AbaWeb Treuhand. Hüsser Gmür + Partner AG 30. Oktober 2008

Software-Validierung im Testsystem

lldeckblatt Einsatzszenarien von SIMATIC Security-Produkten im PCS 7-Umfeld SIMATIC PCS 7 FAQ Mai 2013 Service & Support Answers for industry.

Cloud Computing. Ergebnisse einer repräsentativen Erhebung für das BMELV

Anleitung zur Anmeldung mittels VPN

IT-Security Herausforderung für KMU s

Advoware mit VPN Zugriff lokaler Server / PC auf externe Datenbank

Einführung Inhaltsverzeichnis

Einrichten einer VPN-Verbindung zum Netzwerk des BBZ Solothurn-Grenchen

ecaros2 - Accountmanager

Was ist bei der Entwicklung sicherer Apps zu beachten?

Herzlich Willkommen. Der Weg zur eigenen Homepage. vorgestellt von Frank Kullmann

Dieser Artikel beschreibt die Veröffentlichung eines Microsoft SQL Server 2000 über einen ISA Server 2004.

Herausforderungen des Enterprise Endpoint Managements

Tools are a IT-Pro's Best Friend Diverse Tools, die Ihnen helfen zu verstehen, was auf dem System passiert oder das Leben sonst erleichtern.

Umstieg auf Microsoft Exchange in der Fakultät 02

Lokale Installation von DotNetNuke 4 ohne IIS

ICS-Addin. Benutzerhandbuch. Version: 1.0

Bedrohung durch Cyberangriffe - Reale Gefahr für Ihr Unternehmen. Networker NRW, 23. Oktober 2012, S-IHK Hagen

I N S T A L L A T I O N S A N L E I T U N G

Windows 10 > Fragen über Fragen

Aufbau und Funktion eines VPN- Netzwerkes

mmone Internet Installation Windows XP

Mobile Konsole von NetSupport DNA Erste Schritte. Copyright 2011 NetSupport Ltd alle Rechte vorbehalten

Adressen der BA Leipzig

IT Security Investments 2003

Karten-Freischaltung mit dem UNLOCK MANAGER

Virtual Private Network

Stadtwerke Hammelburg GmbH Geschäftsbereich HAB-Net

Inbetriebnahme einer Fritzbox-Fon an einem DSLmobil Anschluss Konfiguration einer DSL-Einwahl (DSLmobil per Kabel)

MSXFORUM - Exchange Server 2003 > SMTP Konfiguration von Exchange 2003

Einrichtung einer VPN-Verbindung (PPTP) unter Windows XP

GSM: Airgap Update. Inhalt. Einleitung

TIA - Rechenzentrum. Systemvoraussetzungen

Verwendung des IDS Backup Systems unter Windows 2000

1 Schritt: Auf der Seite einloggen und. ODER Zertifikat für VPN, wenn sie nur VPN nutzen möchten

SharePoint Workspace 2010 Installieren & Konfigurieren

Anbindung des eibport an das Internet

Alle Jahre wieder... Eckard Brandt. Regionales Rechenzentrum für Niedersachsen Eckard Brandt Gruppe Systemtechnik

Handout zum Praxisteil Windows XP

Verwaltung von Geräten, die nicht im Besitz des Unternehmens sind Ermöglich mobiles Arbeiten für Mitarbeiter von verschiedenen Standorten

IT- Wir machen das! Leistungskatalog. M3B Service GmbH Alter Sportplatz Lake Schmallenberg

GeODin 7 Installationsanleitung

Stecken Sie Ihren USB Stick oder Ihre externe USB Festplatte in den USB Steckplatz des Sinus 154 DSL SE.

Handout zum Praxisteil Windows 7

Informationen schützen Ihr Geschäft absichern ConSecur GmbH

Family Safety (Kinderschutz) einrichten unter Windows 7

Das Projekt wird durchgeführt von den Bezirksregierungen in Nordrhein- Westfalen in ihrer Funktion als Fachstelle für die öffentlichen Bibliotheken

Handout zum Praxisteil Windows Vista

SICHERHEITSANALYSE & PENTEST SCHWÄCHEN ERKENNEN HEISST STÄRKE GEWINNEN.

INTERNETZUGANG UND DATENBANKEN IM ZRS

5. Testen ob TLS 1.0 auf Ihrem System im Internet-Explorer fehlerfrei funktioniert

Um die Installation zu starten, klicken Sie auf den Downloadlink in Ihrer (Zugangsdaten für Ihre Bestellung vom...)

Transkript:

Im Zielvisier der Hacker Gegenmaßnahmen leicht gemacht

Hochschule Augsburg HSASec Forschungsgruppe IT- Security + Forensik Vorstellung der HSASec Benjamin Kahler PenetraAonstests ISO 27000- bezogene Tests, NoIallkonzepte Gordon Rohrmair WissenschaNlicher Leiter Telefon: 0821 5586 3462 E- Mail: benjamin.kahler, peter.schulik, sebasaan.kraemer <@hs- augsburg.de> Peter Schulik Computer Forensik PenetraAonstest SebasAan Kraemer Websecurity PenetraAonstests von Webanwendungen

Agenda Angriffsszenarien und Gegenmaßnahmen Webseiten Social Engineering Aktuelle SoDwarestände Unsichere Netzwerke Aspekte der Unternehmensicherheit: Zusammenfassung

AuLau Wie läun ein Angriff ab? Wo lag das Sicherheits- Problem? Welche Lösungen gibt es? Wo finden Sie weitere InformaAonen?

Angriffe und Gegenmaßnahmen Webseiten

Angreifer können Unternehmensdaten über Webanwendungen erlangen

Angreifer können Unternehmensdaten durch schlecht gesicherte WebauDriOe erlangen Webseiten Aufrufe werden veränderthhp://webserver/ cgi- bin/find.cgi?id=42+union+select+login, +password,+'x'+from+user Angreifer kann Datenbank- Inhalte auslesen Angreifer hat Zugriff auf: Login- Daten KalkulaAonen Produktdaten Personaldaten

Wo liegt das Problem bei diesem Angriff? Nutzereingaben wurden nicht sauber abgefangen Egal ob SQL- InjecAon, Path- Traversal, XSS,... Daraus: Verlust von Unternehmensdaten Siehe Gerichtsverhandlung in Augsburg: hhp://anyurl.com/hsasec- Erpressung- Firma Erpressung, Verkauf an Konkurrenz,...

Was können Sie dagegen tun? Nutzereingaben überwachen Validierung von Input und Output Sicherheitstests Installieren von Web- App Firewalls Beispielsweise: ModSecurity Rechtemanagement Kontext: Webserver Datenbank

Wo kann ich weitere InformaRonen suchen? OWASP Top 10 hhp://anyurl.com/hsasec- OWASP CWE Top 25 Most Dangerous SoNware Errors hhp://anyurl.com/hsasec- CWE25 BSI Grundschutz Baustein 5.21: Webanwendungen hhp://anyurl.com/hsasec- BSI521 ModSecurity hhp://www.modsecurity.org/

Angriffe und Gegenmaßnahmen Social Engineering

Angreifer verhelfen sich zum Erfolg durch den Faktor Mensch Gute Perimetersicherheit Angreifer Wasser Faktor Mensch Vertrauen Neugierde Tarnen und Täuschen Einfacher FunkAoniert immer

Ein Angreifer hat mehrere Möglichkeiten Nutzer zu schadhadem Verhalten zu verleiten Teensy- USB Windows Powershell Tastatur wird emuliert Angreifer benöagt Zugang zu einem unbeobachteten PC USB SAck Verteilen auf dem Firmengelände: Personaleinsparungen2014.xls Datei ausdrucken lassen E- Mail mit Anhang Der Klassiker

// Demo

Warum ist dieser Angriff so gefährlich? Austricksen der Nutzer Neugierde und Vertrauen Cybercrime ist die Kapitalisierung von Vertrauen Zielgerichtet Abwehr dagegen auf technischer Ebene: Schwierig bis unmöglich

Auf organisatorischer Ebene kann diesem Angriff entgegengewirkt werden Sicherheits- Policy USB- Geräte Sperren der ArbeitstaAonen Awareness- Schulungen Bei den Mitarbeitern muss ein Sicherheitsbewusstsein geschaffen werden Gesundes Misstrauen

Auf technischer Ebene können die Auswirkungen des Angriffs verringert werden Schlagwort: Damage Containment Zonierung von Netzen Aufsplihen des Unternehmensnetzwerkes Zonen gegeneinander durch Firewalls trennen VLANs Einsperren des Angreifers in einem Netzwerksegment Ziel dieser Vorgehensweise Security in Depth Schutz und Abkapselung der wichagsten Unternehmensdaten (die Kronjuwelen )

Wo gibt es weitere InformaRonen? LeiIaden IT- Security Policy hhp://anyurl.com/hsasec- TSE- LeiIaden SANS: InformaAon Security Policy Templates hhp://anyurl.com/hsasec- SANS- Templates BSI Grundschutz: Hilfsmihel Security Policy hhp://anyurl.com/hsasec- BSI- SecPol ebusinesslotse Nürnberg: LeiIaden Gefahr durch Social Engineering hhp://anyurl.com/hsasec- eblnuernberg- SE HSASec, LfV: Soziale Netzwerke Sicherheit und Privatsphäre hhp://anyurl.com/hsasec- SNSP

Angriffe und Gegenmaßnahmen Patchmanagement und Softwareupdates

Systemupdates verhindern viele Angriffe

Auch DriOanbieter SoDware bietet Angreifer die Möglichkeit ein System zu übernehmen

Fast täglich wird über Softwareschwachstellen berichtet die auch missbraucht werden

Nicht jede Internetquelle enthält belanglose InformaRon

Die Anzahl der veröffentlichten Schwachstellen ist enorm

Die eingesetzten IT- Lösungen werden zunehmend komplexer Es werden zunehmend mehr und mehr Komponenten von Drihherstellern verwendet (bis zu 70 pro Produkt*) Zunehmender Einsatz von Standardprotokollen (IP, TCP, UDP) Zunehmende Komplexität und Verbindungsdichte der Netzwerke (mobile Devices) *= Siemens AG ProduktporIolio

Ja aber ist es wirklich so einfach die Unternehmen anzugreifen?

Die Gegenmaßnahmen gliedern sich in drei Teilbereiche auf Update Härten (Workaround) Begrenzen

Wo gibt es weitere InformaRonen? BSI: Update und Patch- Management hhp://anyurl.com/hsasec- BSI- Patch MicrosoN Windows Server Update Service hhp://anyurl.com/hsasec- MS- WSUS Unterstützung durch Tools diverser Hersteller Baramundi, Secunia,...

Angriffe und Gegenmaßnahmen Unsichere Netzwerke

Öffentliche W- LANs bergen die Gefahr von jedermann abgehört zu werden

Das Übertragungsmedium unterstützt den Lauschangriff

Tools ermöglichen einfaches Abhören und Knacken von KommunikaRon

Tools ermöglichen einfaches Abhören und Knacken von KommunikaRon

Unsichere Netzwerke beeinflussen die Sicherheit des Unternehmens Außerhalb des Unternehmens Abhören Datenverlust UnbedarNe Nutzer Nur mal kurz eine Mail verschicken Probleme Daten und Zugangsdaten werden mitgehört Unbemerkbar Angriff auf Geräte

Durch technische und organisatorische Maßnahmen kann diese ProblemaRk gelöst werden Organisatorisch Guidelines W- LAN, VPN,... Technisch Härtung VPN Keine Klartextprotokolle

Wo gibt es weitere InformaRonen? BSI: Leitlinie Virtuelles Privates Netz hhp://anyurl.com/hsasec- BSI- VPN MicrosoN: VPN Verbindung einrichten hhp://anyurl.com/hsasec- MStechnet- VPN OpenVPN: How To hhp://anyurl.com/hsasec- OpenVPN Produkt- Handbücher sonsager Hersteller von VPN- Geräten Cisco, Juniper,...

Aspekte der Unternehmensicherheit Organisation - Personal - Technik

OrganisaRon Au~au einer OrganisaAonsstruktur Formulierung einer Leitlinie zur InformaAonssicherheit Entwicklung eines Sicherheitskonzeptes

OrganisaRon Au~au einer OrganisaAonsstruktur Formulierung einer Leitlinie zur InformaAonssicherheit Entwicklung eines Sicherheitskonzeptes Aufgaben, Verantwortungen und Kompetenzen IntegraAon in bestehende Abläufe und Prozesse IT- SicherheitsbeauNragter DatenschutzbeauNragter Resourcenbereitstellung Geltungsbereich OrganisaAonsstruktur Sicherheitsziele Sicherheitsstrategie Bestandsaufnahme Schutzbedarfsfeststellung Auswahl und Anpassung von Maßnahmen Basis- Sicherheitscheck Ergänzende Sicherheitsanalyse

OrganisaRon IT- Sicherheit ist ein fortwährender Prozess

Personal Regelmäßige Schulungen Security Policy muss gelebt werden Security vs. Usability

Technik Auswahl geeigneter Techniken gemäß Sicherheitskonzept RichAge ImplemenAerung Tests der ImplemenAerung

Wo gibt es weitere InformaRonen? BSI: IT- Grundschutz hhp://anyurl.com/hsasec- BSI

HSASec HSASec Forschungsgruppe IT- Security + Forensik Noch Fragen?

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback