Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

Sichere IT Infrastrukturen – was der Entwickler wissen sollte Michael Kalbe.

Ähnliche Präsentationen


Präsentation zum Thema: "Sichere IT Infrastrukturen – was der Entwickler wissen sollte Michael Kalbe."—  Präsentation transkript:

1

2 Sichere IT Infrastrukturen – was der Entwickler wissen sollte Michael Kalbe

3 Sichere IT Infrastrukturen – was der Entwickler wissen sollte Michael Kalbe Technologieberater - Infrastruktur Sicherheit Microsoft Deutschland GmbH

4 Wir bauen eine Infrastruktur…

5 Infrastruktur Grundlage: TCP/IP IPv4 früher einfach IP, ist die vierte Version des Internet Protocols (IP). Es war die erste Version des Internet Protocols das weit verbreitet und eingesetzt wurde und bildet eine wichtige technische Grundlage des Internets. Es wurde in RFC791 im Jahr 1981 von Jon Postel definiert.

6 Fundamental Security Tradeoff Sicher Anwender- freundlich Preiswert Suchen Sie sich zwei Bedingungen aus…

7 Low High Risk Asset Value High Risk tolerance What? Me worry? Yes! We worry! Security is all about risk management!

8 Management von Sicherheitsrisiken Bewertung Bewerten und Evaluieren von Ressourcen Identifizieren von Sicherheitsrisiken Analysieren und Festlegen der Priorität von Sicherheitsrisiken Sicherheitsrisiken regelmäßig beobachten und nachverfolgen Entwicklung und Implementierung Entwickeln der Sicherheitsoptimierung Testen der Sicherheitsoptimierung Dokumentation von Sicherheitsrichtlinien Betrieb Neubewerten von neuen und geänderten Ressourcen sowie Sicherheitsrisiken Stabilisieren und Bereitstellen von neuen und geänderten Gegenmaßnahmen

9 Sicherheits Strategie

10 Mehrstufige Verteidigung Verwenden eines mehrschichtigen Sicherheitsmodells –Erhöht die Wahrscheinlichkeit, dass ein Angreifer entdeckt wird –Verringert die Erfolgsaussichten eines Angriffs Richtlinien, Verfahren und Bewusstsein Benutzerschulung Warum ?

11 OSI Schicht 8 Es existiert noch kein Computersystem welches nicht auf Menschen angewiesen ist Was ist also das schwächste Glied beim Angriff auf Computersysteme?

12 Dumpster diving

13 Wo gebe ich was preis?

14 Passwörter

15 Passwort Cracking auf Ebene 8

16

17 Gutes Passwort, schlechte Implementierung Admin password Admin.R386W

18 PassSatz versus PassWort

19 Je länger desto besser!

20 Mehrstufige Verteidigung

21 Verwenden eines mehrschichtigen Sicherheitsmodells –Erhöht die Wahrscheinlichkeit, dass ein Angreifer entdeckt wird –Verringert die Erfolgsaussichten eines Angriffs Richtlinien, Verfahren und Bewusstsein Betriebssystemhärtung, Authentifizierung, Patchmanagement, HIDS Firewall, VPN-Quarantäne Sicherheitskräfte, Schlösser, Überwachungsgeräte Netzwerksegmente, IPSec, NIDS Anwendungshärtung, Antivirussoftware, Patchmangement Zugriffskontrolle, Verschlüsselung Benutzerschulung Physische Sicherheit Perimeter Internes Netzwerk Host Anwendung Daten

22 Mehrstufige Verteidigung für Entwickler?

23 BDSG §9 Dabei sind insbesondere Maßnahmen zu treffen, die je nach der Art der zu schützenden personenbezogenen Daten oder Datenkategorien geeignet sind, Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten Verarbeitet oder genutzt werden, zu verwehren (Zutrittskontrolle), zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können (Zugangskontrolle), zu gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können (Zugriffskontrolle), … personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports … nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können … (Weitergabekontrolle) … ob und von wem personenbezogene Daten eingegeben, verändert oder entfernt worden sind (Eingabekontrolle) … nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können… (Auftragskontrolle) … gegen Zerstörung oder Verlust geschützt …(Verfügbarkeitskontrolle) zu gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können.

24 Administrator Berechtigungen? Anwendung benötigt zwingend Administrator Privilegien Die Lösung: Benutzer in die Gruppe der lokalen Administratoren aufnehmen!

25 Dateiablage %SystemRoot% %ProgramFiles% %CommonProgramFiles% %AllUsersProfile% %UserProfile% \Application Data \Local Settings

26 Implementierung von Sicherheitsmechanismen mit Weitsicht…

27 Links Microsoft-Tool zur IT-Risiko-Selbsteinschätzung Security Guidance Center Michaels Security Talk Developing Software in Visual Studio.NET with Non-Administrative Privileges us/dv_vstechart/html/tchDevelopingSoftwareInVisualStudioNETWithNon- AdministrativePrivileges.asp us/dv_vstechart/html/tchDevelopingSoftwareInVisualStudioNETWithNon- AdministrativePrivileges.asp How To: Secure Your Developer Workstation x?pull=/library/en- us/dnnetsec/html/htworkstat.asp#htworkstat_001#htworkstat_001 x?pull=/library/en- us/dnnetsec/html/htworkstat.asp#htworkstat_001#htworkstat_001

28

29


Herunterladen ppt "Sichere IT Infrastrukturen – was der Entwickler wissen sollte Michael Kalbe."

Ähnliche Präsentationen


Google-Anzeigen