Informationssicherheit ist unser Geschäft

Präsentation zum Thema: "Informationssicherheit ist unser Geschäft"—  Präsentation transkript:

1 Informationssicherheit ist unser Geschäft
Jeder hat einen Blind Spot ! Wie Sie die „Bösen“ in Ihren IT-Systemen aufspüren und aussperren!

2 ConSecur GmbH Unsere Mission Wissen Information Erfolg Sicherheit
generiert bedingt schützt bringt Unser Ziel ist es, durch das geplante Zusammenspiel von Mensch, Organisation und Technik die Sicherheit und Zuverlässigkeit des Produktionsfaktors Information dauerhaft für unsere Kunden zu erreichen.

3 ConSecur GmbH Unsere Leistungen Wir unterstützen unsere Kunden bei der
Bewertung, Planung, Umsetzung und Aufrechterhaltung eines Systems zum Management der Informationssicherheit (ISMS).

4 ConSecur GmbH Portfolio

5 ConSecur GmbH Daten und Fakten Unternehmensgründung: Januar 1999
zur Zeit 20 Mitarbeiter umfangreiche Organisations-, Prozess- und Systemkenntnisse diverse Zertifizierungen bzgl. Methoden und Prozessen sowie IT-Lösungen verschiedener Hersteller Das Gründungsteam (1 Geschäftsführern,9 IT-Security Beratern), Das Team arbeitete in der Zusammensetzung schon seit 10 Jahren zusammen, Eingespieltes Team Nach erfolgreicher Marktpositionierung als unabhängiger IT-Security - Dienstleister mit einem Kundenprofil aus den Bereichen Konzerne, Banken, Versicherungen, Industrie:, Erschließung neuer Kundenstruckturen, Erweiterung des Angebotes um Security – Software, Vergrößerung des Teams Unser stärkstes Produkt „Die gesammelten Erfahrungen der Mitarbeiter“, Macht bei einer Summierung ca. 150 Mannjahre mit einem Schwerpunkt auf dem „Security-Sector“, Umfangreiche Erfahrungen im Projektmanagement, Dienstleistungserweiterung im Bereich des Projektmanagement Die Mitarbeiter besitzen aus den vielen unterschiedlichen Projekten Erfahrungen in den unterschiedlichsten Systemen. Für viele Systeme haben die Mitarbeiter für die Systeme Zertifizierungen der Hersteller Betriebssystem Sicherheitssystem Windows Firewall: Checkpoint, Stonesoft, Sonicwall, Netscreen Linux AntiViren: F-Secure, TrendMicro, Unix IDS: ISS, Solaris Verschlüsselung: PGP, Utimaco, … Authentisierung: ActivCard, RSA Microsoft, Checkpoint, Utimaco, F-Secure, Sonicwall, ActivCard,

6 ConSecur GmbH Auszug aus der Kundenliste Bundeskanzleramt E.on
Lufthansa Postbank

7 Grundlegende Fragen Wozu Informationssicherheit?
Was sind meine kritischen Informationen und Funktionen? Leitgedanken: Vertraulichkeit  Know-how, Image Verfügbarkeit  Business Continuity Management Risikobetrachtung Was wollen Sie tolerieren und was nicht? Diskussion mit Zuhörer; Interaktion; Fax Server; Etikettendrucker Klassifizierung 0 bis 3 Risiko Diskussion: am geht die Welt unter einmal machen, aufschreiben, jedes Jahr überprüfen; am besten bevor sie die IT Budgets festlegen

8 Ausgangssituation Online Handel
Erreichbarkeit via Internet – ein Muss! Kritische Daten Kundendaten Zugangsdaten … Online Shop meist lebensnotwenig.

9 Grundlegende Fragen Wo muss ich hinschauen?
Wo sind meine kritischen Informationen? In welchem Umfang sind Informationen kritisch? Wo liegen meine Gefährdungen und Risiken? Leitgedanken: „Need to Know!“ z. B. Vertrieb benötigt Kundendaten, Produktinformationen, Markt Daten etc. aber meist nicht die komplette Kundendatenbank auf seinem Laptop Analysieren! Diskussion mit Zuhörer; Interaktion ERP System; Datensicherung; online Zugang; Download Funktion; Dritte im internen Netz; mobile Devices; Smart Phones Black Berry in China;

10 OWASP Top 10 Application Security Risks
A1 – Injection Injection flaws, such as SQL, OS, and LDAP injection occur when untrusted data is sent to an interpreter as part of a command or query. The attacker’s hostile data can trick the interpreter into executing unintended commands or accessing data without proper authorization. A2 – Broken Authentication and Session Management Application functions related to authentication and session management are often not implemented correctly, allowing attackers to compromise passwords, keys, or session tokens, or to exploit other implementation flaws to assume other users’ identities. A3 – Cross-Site Scripting (XSS) XSS flaws occur whenever an application takes untrusted data and sends it to a web browser without proper validation or escaping. XSS allows attackers to execute scripts in the victim’s browser which can hijack user sessions, deface web sites, or redirect the user to malicious sites. A4 – Insecure Direct Object References A direct object reference occurs when a developer exposes a reference to an internal implementation object, such as a file, directory, or database key. Without an access control check or other protection, attackers can manipulate these references to access unauthorized data. A5 – Security Misconfiguration Good security requires having a secure configuration defined and deployed for the application, frameworks, application server, web server, database server, and platform. Secure settings should be defined, implemented, and maintained, as defaults are often insecure. Additionally, software should be kept up to date. A6 – Sensitive Data Exposure Many web applications do not properly protect sensitive data, such as credit cards, tax IDs, and authentication credentials. Attackers may steal or modify such weakly protected data to conduct credit card fraud, identity theft, or other crimes. Sensitive data deserves extra protection such as encryption at rest or in transit, as well as special precautions when exchanged with the browser. A7 – Missing Function Level Access Control Most web applications verify function level access rights before making that functionality visible in the UI. However, applications need to perform the same access control checks on the server when each function is accessed. If requests are not verified, attackers will be able to forge requests in order to access functionality without proper authorization. A8 - Cross-Site Request Forgery (CSRF) A CSRF attack forces a logged-on victim’s browser to send a forged HTTP request, including the victim’s session cookie and any other automatically included authentication information, to a vulnerable web application. This allows the attacker to force the victim’s browser to generate requests the vulnerable application thinks are legitimate requests from the victim. A9 - Using Components with Known Vulnerabilities Components, such as libraries, frameworks, and other software modules, almost always run with full privileges. If a vulnerable component is exploited, such an attack can facilitate serious data loss or server takeover. Applications using components with known vulnerabilities may undermine application defenses and enable a range of possible attacks and impacts. A10 – Unvalidated Redirects and Forwards Web applications frequently redirect and forward users to other pages and websites, and use untrusted data to determine the destination pages. Without proper validation, attackers can redirect victims to phishing or malware sites, or use forwards to access unauthorized pages. Meist nicht nur eine einzelne Schwäche sondern eine Kombination  Hinleiten über Fallbeispiel  Cyber Kill Chain. Quelle:

11 Grundlegende Fragen Was muss ich tun? Wie gehen meine Gegner vor?
Wie kann ich sie abwehren? Was muss ich verbessern? Leitgedanken: „Cyber Kill Chain“ Modell Diskussion mit Zuhörer; Interaktion ERP System; Datensicherung; online Zugang; Download Funktion; Dritte im internen Netz; mobile Devices; Smart Phones Black Berry in China;

12 Cyber Kill Chain Reconnaissance
Informationsbeschaffung: Adressen, Org-Strukturen, alles was dem Angreifer nützt, sein Ziel zu erreichen Weaponization Verbinden eins “Exploits” mit einer Hintertür (backdoor) zu einer auslieferbaren Einheit (payload) Delivery Ausliefern des Angriffsbündels zum Opfer per , Web, USB etc. etc. Exploitation Finden einer Schwachstelle um Angriffs-Code beim Opfer ausführen zu können Installation Installieren von Malware auf dem Ziel-System Command & Control Öffnen eines Kommunikationskanals, um das Zielobjekt manipulieren zu können Actions on Target “Hands on” Zugriff, um das eigentliche Ziel zu erreichen; ggf. in Kombination mit Seitwärtsbewegungen

13 Fallbeispiel: Target Corporation
Das Opfer: Die Target Corp. gehört zu den größten Einzelhändlern der USA und ist nach Wal-Mart der zweitgrößte Discounteinzelhändler des Landes. Das Unternehmen hat seinen Firmensitz in Minneapolis, Minnesota und ist im Aktienindex S&P 500 gelistet. Der Schaden: Diebstahl von Kreditkarteninformationen und persönlichen Daten von mehr als 110 Mio. Kunden Quelle:

14 Fallbeispiel: Target Corporation
Der Angriff: Diebstahl von Netzwerk-Zugangsdaten von Fazio Mechanical, einem Heizungs- und Klima-Unternehmen mit Hilfe eines Malware Angriffs zwei Monate zuvor. Unbestätigten Meldungen zufolge wurde dazu das Passwortspähprogramm CITADEL genutzt, einem Ableger von ZeuS, einem Bank Trojaner. Bei Fazio war offensichtlich nur eine frei Version eines Anti-Malware Schutzprogramms im Einsatz ohne Echtzeit Scanning Funktion. Nicht veröffentlich ist, welche Systeme Fazio bei Target Corp. erreichen konnte. Sicher scheint, dass zumindest das externe Abrechnungssystem, ARIBA, von Target Partnern genutzt werden kann. Unklar ist auch, wie der Angreifer von ARIBA auf das interne Abrechnungssystem mit den gestohlen Daten zugreifen konnte, das netzseitig von dem externen Partnernetz getrennt ist. Vermutet wird, dass ARIBA, wie auch alle internen Systeme das AD genutzt hat, und dieses AD als Brücke ins interne Netz ausgenutzt werden konnte. Erleichternd für den Angreifer kam hinzu, dass umfangreiche Dokumentation für die Partner öffentlich im Portal verfügbar ist. Quelle:

15 WAS hätte Target sehen können? - Indicators of Compromise -
Cyber Kill Chain Indikatoren Reconnaissance Passive Suche Organigramme IP Adressen Port Scans Externe Hosts Weaponization Payload erstellen Malware Systeme liefern Delivery Phishing Infizierte Webseite Service Provider Exploitation Aktivierung des Angriffs-Codes Fuß fassen Partner Kompromitt. Installation Trojaner, Backdoor Festsetzen Privilegien ausweiten Benutzernamen & Passwörter Command & Control Kanal zum Ziel Laterale Bewegungen Interne Aufklärung Festsetzen ausbauen Actions on Target Weitere Kompromitt. Daten Exfiltration Schaden anrichten

16 Cyber Kill Chain - Abwehr
Aktionen Phasen Entdecken Zurück-weisen Unter-brechen Schwächen Täuschen Eingrenzen Reconnaissance Web Analyse Firewall ACL Weaponization NIDS NIPS Delivery Wachsam-keit Proxy-, Web-, Mail filter Inline AV Account Restriktionen Application Firewall Exploitation HIDS Patch, AV, HIPS Datenausf.-Verhinderung Inter-Zone NIPS Installation CHROOT Jail, App white list AV EPP Command & Control „Teergrube“ (sinkhole, tarpit) DNS redirect Trust Zones Actions on Target Audit Logs Ausgehende ACL DLP Quality of Service Honeypot

17 Cyber Defense Center Cyber Defense Center
Aktionen Phasen Entdecken Zurück-weisen Unterbrechen Schwächen Täuschen Eingrenzen Reconnaissance Web Analyse Firewall ACL Weaponization NIDS NIPS Delivery Wachsam-keit Proxy-, Web-, Mail filter Inline AV Account Restriktionen Application Firewall Exploitation HIDS Patch, AV, HIPS Datenausf.-Verhinderung Inter-Zone NIPS Installation CHROOT Jail, App white list AV EPP Command & Control „Teergrube“ (sinkhole, tarpit) DNS redirect Trust Zones Actions on Target Audit Logs Ausgehende ACL DLP Quality of Service Honeypot Cyber Defense Center Orchestrierung & Log Management Monitoring & Alarmierung Security Incident Management Intervention & Abwehr

18 Cyber Defence Center - SIEM – Security Information & Event Management -

19 Fazit Der erste Schritt ist der Beginn … Cyber Defense Center:
Standortbestimmung mit einfachen Fragen Wozu? Was? Womit? Cyber Kill Chain als Methode: Verstehen, wie Angreifer vorgehen Aufdecken der „Blind Spots“ Informations-Sicherheits-Roadmap für Ihren Schutz Cyber Defense Center: Sehen, was passiert. Handeln, bevor es zu spät ist. Vorbereitet sein, sobald neue Bedrohungen auftreten.

20 Vielen Dank für Ihre Aufmerksamkeit!
Fragen? Wir haben Antworten und Lösungen! ConSecur GmbH Hier finden Sie uns: Nödiker Straße 118, Meppen Fon –0 | Fax Ihre Ansprechpartner: Norbert Book Jens Wuebker