Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

Schwachstellenanalyse in Netzen

Ähnliche Präsentationen


Präsentation zum Thema: "Schwachstellenanalyse in Netzen"—  Präsentation transkript:

1 Schwachstellenanalyse in Netzen
Martin Freiss,

2 Noch Fragen? Dipl. Ing. Martin Freiss
Siemens Nixdorf Information Systems Competence Center IT Networks Solution Team Internet/Intranet Tel

3 Risiken GAO study (General Accounting Office, US Department of Defense) GAO EXECUTIVE REPORT - B , Die Ergebnisse sind niederschmetternd: DISA (Defense Information Systems Agency) geht von Angriffen im Jahr aus, mit exponentiellem Anstieg. Davon sind 65% erfolgreich! Nur 4% werden entdeckt Nur 0,67% wurden gemeldet Eine Untersuchung von Dan Farmer kommt zu ähnlichen Ergebnissen (http://www.trouble.org/survey)

4 Risiken: Modewelle Webhacking
Von Ego-Tripping.... (http://www.thermocrete.com) 5 5

5 Risiken: Modewelle Webhacking
...zu ernsthaftem Schaden 5 5

6 Der Unsinn Einführung von techn. Sicherheitsvorkehrungen ohne Konzept
Firewalls, Authentifizierungsmechanismen,Verschlüsselung Überbetonung von Teilaspekten Verschlüsselte Übertragung, aber unsichere Anlagen... Die Welt besteht aus mehr als TCP/IP Sicherheit ist mehr als Viren Einbrüche werden nicht nur von “Hackern” durchgeführt Überbetonung von Produkten Sie wollen primär Sicherheit, nicht das Produkt 3

7 Sicherheitskonzept Integriertes Sicherheitskonzept:
Istzustand - Wo sind wir? Bedarfsanalyse - Was brauchen wir? Bedrohungsanalyse - Wo ist die Gefahr? Sicherheitskonzept - Technik und Organisation Umsetzung - Einführung, Schulung Validierung - Ist der Bedarf erfüllt? Aktualisierung - Sind diese Schritte noch korrekt? 2

8 Integriertes Sicherheitskonzept
Systemsicherheit Netzwerksicherheit Zugriffskontrolle Zugangsschutz Virenschutz Datenschutz Wichtig: Notfallplan ! Integration in Netzwerk- management

9 Vorgehensweise Bestimmung von trust domains
Istzustand, Bedarf und Bedrohungen innerhalb der Domain analysieren Anforderungen an die Übergänge zwischen den Domains definieren Technische u. organisatorische Maßnahmen ableiten Dokumentation Methodiken zur Validierung und Aktualisierung festlegen 3

10 Vorgehensweise bei der Schwachstellenanalyse
Bedrohungsanalyse Vertraulichkeit Integrität Verfügbarkeit Authentizität Schwachstellenanalyse technisch organisatorisch Risikoanalyse Schadensbewertung Ziel: Maßnahmen definieren können Istanalyse was ist vorhanden? 3

11 Vorgehensweise bei der Schwachstellenanalyse
Formal Checklisten zur Aufnahme von Bedrohungen 3

12 Vorgehensweise bei der Schwachstellenanalyse
Formal Checklisten zur Aufnahme techn. Bedrohungen - Protokolle - Dienste - Betriebssysteme (-versionen) von Rechnern und Komponenten Checklisten zur Aufnahme org. Schwachstellen - Notfallplan - Meldeketten / Zuständigkeiten 3

13 Vorgehensweise bei der Schwachstellenanalyse
Schwierigkeiten bei der formalen Analyse setzt umfassende Ist-Analyse voraus techn. Bedrohungspotential muß a priori bekannt sein Bewertung insbesondere organisatorischer Mängel schwierig abstraktes Modell Abhilfe: “praktische” Schwachstellenanalyse 3

14 Vorgehensweise bei der Schwachstellenanalyse
Praktisch orientierte Schwachstellenanalyse Überprüfung der Organisation durch simulierte Vorfälle Technische Überprüfung mit Frameworks wie Nessus, SATAN etc. Kann formale Schwachstellenanalyse nicht ersetzen, aber ergänzen Neue Mängel aufzeigen, Funktionsfähigkeit der IS-Organisation prüfen 3

15 Risikoanalyse Bewertung der gefundenen Schwachstellen
Risiko = Eintrittswahrscheinlichkeit * Schaden Ziel: Konzentration auf das Wesentliche, Maßnahmen für die Netze mit höchstem Risiko ergreifen Schwierigkeit: Definition der Eintrittswahrscheinlichkeit 3


Herunterladen ppt "Schwachstellenanalyse in Netzen"

Ähnliche Präsentationen


Google-Anzeigen