Im Zielvisier der Hacker Gegenmaßnahmen leicht gemacht
Hochschule Augsburg HSASec Forschungsgruppe IT- Security + Forensik Vorstellung der HSASec Benjamin Kahler PenetraAonstests ISO 27000- bezogene Tests, NoIallkonzepte Gordon Rohrmair WissenschaNlicher Leiter Telefon: 0821 5586 3462 E- Mail: benjamin.kahler, peter.schulik, sebasaan.kraemer <@hs- augsburg.de> Peter Schulik Computer Forensik PenetraAonstest SebasAan Kraemer Websecurity PenetraAonstests von Webanwendungen
Agenda Angriffsszenarien und Gegenmaßnahmen Webseiten Social Engineering Aktuelle SoDwarestände Unsichere Netzwerke Aspekte der Unternehmensicherheit: Zusammenfassung
AuLau Wie läun ein Angriff ab? Wo lag das Sicherheits- Problem? Welche Lösungen gibt es? Wo finden Sie weitere InformaAonen?
Angriffe und Gegenmaßnahmen Webseiten
Angreifer können Unternehmensdaten über Webanwendungen erlangen
Angreifer können Unternehmensdaten durch schlecht gesicherte WebauDriOe erlangen Webseiten Aufrufe werden veränderthhp://webserver/ cgi- bin/find.cgi?id=42+union+select+login, +password,+'x'+from+user Angreifer kann Datenbank- Inhalte auslesen Angreifer hat Zugriff auf: Login- Daten KalkulaAonen Produktdaten Personaldaten
Wo liegt das Problem bei diesem Angriff? Nutzereingaben wurden nicht sauber abgefangen Egal ob SQL- InjecAon, Path- Traversal, XSS,... Daraus: Verlust von Unternehmensdaten Siehe Gerichtsverhandlung in Augsburg: hhp://anyurl.com/hsasec- Erpressung- Firma Erpressung, Verkauf an Konkurrenz,...
Was können Sie dagegen tun? Nutzereingaben überwachen Validierung von Input und Output Sicherheitstests Installieren von Web- App Firewalls Beispielsweise: ModSecurity Rechtemanagement Kontext: Webserver Datenbank
Wo kann ich weitere InformaRonen suchen? OWASP Top 10 hhp://anyurl.com/hsasec- OWASP CWE Top 25 Most Dangerous SoNware Errors hhp://anyurl.com/hsasec- CWE25 BSI Grundschutz Baustein 5.21: Webanwendungen hhp://anyurl.com/hsasec- BSI521 ModSecurity hhp://www.modsecurity.org/
Angriffe und Gegenmaßnahmen Social Engineering
Angreifer verhelfen sich zum Erfolg durch den Faktor Mensch Gute Perimetersicherheit Angreifer Wasser Faktor Mensch Vertrauen Neugierde Tarnen und Täuschen Einfacher FunkAoniert immer
Ein Angreifer hat mehrere Möglichkeiten Nutzer zu schadhadem Verhalten zu verleiten Teensy- USB Windows Powershell Tastatur wird emuliert Angreifer benöagt Zugang zu einem unbeobachteten PC USB SAck Verteilen auf dem Firmengelände: Personaleinsparungen2014.xls Datei ausdrucken lassen E- Mail mit Anhang Der Klassiker
// Demo
Warum ist dieser Angriff so gefährlich? Austricksen der Nutzer Neugierde und Vertrauen Cybercrime ist die Kapitalisierung von Vertrauen Zielgerichtet Abwehr dagegen auf technischer Ebene: Schwierig bis unmöglich
Auf organisatorischer Ebene kann diesem Angriff entgegengewirkt werden Sicherheits- Policy USB- Geräte Sperren der ArbeitstaAonen Awareness- Schulungen Bei den Mitarbeitern muss ein Sicherheitsbewusstsein geschaffen werden Gesundes Misstrauen
Auf technischer Ebene können die Auswirkungen des Angriffs verringert werden Schlagwort: Damage Containment Zonierung von Netzen Aufsplihen des Unternehmensnetzwerkes Zonen gegeneinander durch Firewalls trennen VLANs Einsperren des Angreifers in einem Netzwerksegment Ziel dieser Vorgehensweise Security in Depth Schutz und Abkapselung der wichagsten Unternehmensdaten (die Kronjuwelen )
Wo gibt es weitere InformaRonen? LeiIaden IT- Security Policy hhp://anyurl.com/hsasec- TSE- LeiIaden SANS: InformaAon Security Policy Templates hhp://anyurl.com/hsasec- SANS- Templates BSI Grundschutz: Hilfsmihel Security Policy hhp://anyurl.com/hsasec- BSI- SecPol ebusinesslotse Nürnberg: LeiIaden Gefahr durch Social Engineering hhp://anyurl.com/hsasec- eblnuernberg- SE HSASec, LfV: Soziale Netzwerke Sicherheit und Privatsphäre hhp://anyurl.com/hsasec- SNSP
Angriffe und Gegenmaßnahmen Patchmanagement und Softwareupdates
Systemupdates verhindern viele Angriffe
Auch DriOanbieter SoDware bietet Angreifer die Möglichkeit ein System zu übernehmen
Fast täglich wird über Softwareschwachstellen berichtet die auch missbraucht werden
Nicht jede Internetquelle enthält belanglose InformaRon
Die Anzahl der veröffentlichten Schwachstellen ist enorm
Die eingesetzten IT- Lösungen werden zunehmend komplexer Es werden zunehmend mehr und mehr Komponenten von Drihherstellern verwendet (bis zu 70 pro Produkt*) Zunehmender Einsatz von Standardprotokollen (IP, TCP, UDP) Zunehmende Komplexität und Verbindungsdichte der Netzwerke (mobile Devices) *= Siemens AG ProduktporIolio
Ja aber ist es wirklich so einfach die Unternehmen anzugreifen?
Die Gegenmaßnahmen gliedern sich in drei Teilbereiche auf Update Härten (Workaround) Begrenzen
Wo gibt es weitere InformaRonen? BSI: Update und Patch- Management hhp://anyurl.com/hsasec- BSI- Patch MicrosoN Windows Server Update Service hhp://anyurl.com/hsasec- MS- WSUS Unterstützung durch Tools diverser Hersteller Baramundi, Secunia,...
Angriffe und Gegenmaßnahmen Unsichere Netzwerke
Öffentliche W- LANs bergen die Gefahr von jedermann abgehört zu werden
Das Übertragungsmedium unterstützt den Lauschangriff
Tools ermöglichen einfaches Abhören und Knacken von KommunikaRon
Tools ermöglichen einfaches Abhören und Knacken von KommunikaRon
Unsichere Netzwerke beeinflussen die Sicherheit des Unternehmens Außerhalb des Unternehmens Abhören Datenverlust UnbedarNe Nutzer Nur mal kurz eine Mail verschicken Probleme Daten und Zugangsdaten werden mitgehört Unbemerkbar Angriff auf Geräte
Durch technische und organisatorische Maßnahmen kann diese ProblemaRk gelöst werden Organisatorisch Guidelines W- LAN, VPN,... Technisch Härtung VPN Keine Klartextprotokolle
Wo gibt es weitere InformaRonen? BSI: Leitlinie Virtuelles Privates Netz hhp://anyurl.com/hsasec- BSI- VPN MicrosoN: VPN Verbindung einrichten hhp://anyurl.com/hsasec- MStechnet- VPN OpenVPN: How To hhp://anyurl.com/hsasec- OpenVPN Produkt- Handbücher sonsager Hersteller von VPN- Geräten Cisco, Juniper,...
Aspekte der Unternehmensicherheit Organisation - Personal - Technik
OrganisaRon Au~au einer OrganisaAonsstruktur Formulierung einer Leitlinie zur InformaAonssicherheit Entwicklung eines Sicherheitskonzeptes
OrganisaRon Au~au einer OrganisaAonsstruktur Formulierung einer Leitlinie zur InformaAonssicherheit Entwicklung eines Sicherheitskonzeptes Aufgaben, Verantwortungen und Kompetenzen IntegraAon in bestehende Abläufe und Prozesse IT- SicherheitsbeauNragter DatenschutzbeauNragter Resourcenbereitstellung Geltungsbereich OrganisaAonsstruktur Sicherheitsziele Sicherheitsstrategie Bestandsaufnahme Schutzbedarfsfeststellung Auswahl und Anpassung von Maßnahmen Basis- Sicherheitscheck Ergänzende Sicherheitsanalyse
OrganisaRon IT- Sicherheit ist ein fortwährender Prozess
Personal Regelmäßige Schulungen Security Policy muss gelebt werden Security vs. Usability
Technik Auswahl geeigneter Techniken gemäß Sicherheitskonzept RichAge ImplemenAerung Tests der ImplemenAerung
Wo gibt es weitere InformaRonen? BSI: IT- Grundschutz hhp://anyurl.com/hsasec- BSI
HSASec HSASec Forschungsgruppe IT- Security + Forensik Noch Fragen?