Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

IT Networks CC IT NET Intranet/Internet Team / 25-Apr-98 Seite 1 Schwachstellenanalyse in Netzen Martin Freiss,

Ähnliche Präsentationen


Präsentation zum Thema: "IT Networks CC IT NET Intranet/Internet Team / 25-Apr-98 Seite 1 Schwachstellenanalyse in Netzen Martin Freiss,"—  Präsentation transkript:

1 IT Networks CC IT NET Intranet/Internet Team / 25-Apr-98 Seite 1 Schwachstellenanalyse in Netzen Martin Freiss,

2 IT Networks CC IT NET Intranet/Internet Team / 25-Apr-98 Seite 2 Noch Fragen? Dipl. Ing. Martin Freiss Siemens Nixdorf Information Systems Competence Center IT Networks Solution Team Internet/Intranet Tel

3 IT Networks CC IT NET Intranet/Internet Team / 25-Apr-98 Seite 3 GAO study (General Accounting Office, US Department of Defense) GAO EXECUTIVE REPORT - B , Die Ergebnisse sind niederschmetternd: DISA (Defense Information Systems Agency) geht von Angriffen im Jahr aus, mit exponentiellem Anstieg. Davon sind 65% erfolgreich! Nur 4% werden entdeckt Nur 0,67% wurden gemeldet Eine Untersuchung von Dan Farmer kommt zu ähnlichen Ergebnissen (http://www.trouble.org/survey) Risiken

4 IT Networks CC IT NET Intranet/Internet Team / 25-Apr-98 Seite 4 Von Ego-Tripping.... (http://www.thermocrete.com) Risiken: Modewelle Webhacking

5 IT Networks CC IT NET Intranet/Internet Team / 25-Apr-98 Seite 5...zu ernsthaftem Schaden Risiken: Modewelle Webhacking

6 IT Networks CC IT NET Intranet/Internet Team / 25-Apr-98 Seite 6 è Einführung von techn. Sicherheitsvorkehrungen ohne Konzept –Firewalls, Authentifizierungsmechanismen,Verschlüsselung è Überbetonung von Teilaspekten –Verschlüsselte Übertragung, aber unsichere Anlagen... –Die Welt besteht aus mehr als TCP/IP –Sicherheit ist mehr als Viren –Einbrüche werden nicht nur von Hackern durchgeführt è Überbetonung von Produkten –Sie wollen primär Sicherheit, nicht das Produkt è Einführung von techn. Sicherheitsvorkehrungen ohne Konzept –Firewalls, Authentifizierungsmechanismen,Verschlüsselung è Überbetonung von Teilaspekten –Verschlüsselte Übertragung, aber unsichere Anlagen... –Die Welt besteht aus mehr als TCP/IP –Sicherheit ist mehr als Viren –Einbrüche werden nicht nur von Hackern durchgeführt è Überbetonung von Produkten –Sie wollen primär Sicherheit, nicht das Produkt Der Unsinn

7 IT Networks CC IT NET Intranet/Internet Team / 25-Apr-98 Seite 7 Integriertes Sicherheitskonzept: Istzustand - Wo sind wir? Bedarfsanalyse - Was brauchen wir? Bedrohungsanalyse - Wo ist die Gefahr? Sicherheitskonzept - Technik und Organisation Umsetzung - Einführung, Schulung Validierung - Ist der Bedarf erfüllt? Aktualisierung - Sind diese Schritte noch korrekt? Sicherheitskonzept

8 IT Networks CC IT NET Intranet/Internet Team / 25-Apr-98 Seite 8 Integriertes Sicherheitskonzept Integration in Netzwerk- management Systemsicherheit Netzwerksicherheit Zugriffskontrolle Zugangsschutz Virenschutz Datenschutz Wichtig: Notfallplan !

9 IT Networks CC IT NET Intranet/Internet Team / 25-Apr-98 Seite 9 è Bestimmung von trust domains è Istzustand, Bedarf und Bedrohungen innerhalb der Domain analysieren è Anforderungen an die Übergänge zwischen den Domains definieren è Technische u. organisatorische Maßnahmen ableiten è Dokumentation è Methodiken zur Validierung und Aktualisierung festlegen è Bestimmung von trust domains è Istzustand, Bedarf und Bedrohungen innerhalb der Domain analysieren è Anforderungen an die Übergänge zwischen den Domains definieren è Technische u. organisatorische Maßnahmen ableiten è Dokumentation è Methodiken zur Validierung und Aktualisierung festlegen Vorgehensweise

10 IT Networks CC IT NET Intranet/Internet Team / 25-Apr-98 Seite 10 è Bedrohungsanalyse –Vertraulichkeit –Integrität –Verfügbarkeit –Authentizität è Schwachstellenanalyse –technisch –organisatorisch è Risikoanalyse –Schadensbewertung –Ziel: Maßnahmen definieren können è Bedrohungsanalyse –Vertraulichkeit –Integrität –Verfügbarkeit –Authentizität è Schwachstellenanalyse –technisch –organisatorisch è Risikoanalyse –Schadensbewertung –Ziel: Maßnahmen definieren können Vorgehensweise bei der Schwachstellenanalyse è Istanalyse –was ist vorhanden?

11 IT Networks CC IT NET Intranet/Internet Team / 25-Apr-98 Seite 11 è Formal Checklisten zur Aufnahme von Bedrohungen è Formal Checklisten zur Aufnahme von Bedrohungen Vorgehensweise bei der Schwachstellenanalyse

12 IT Networks CC IT NET Intranet/Internet Team / 25-Apr-98 Seite 12 è Formal Checklisten zur Aufnahme techn. Bedrohungen - Protokolle - Dienste - Betriebssysteme (-versionen) von Rechnern und Komponenten Checklisten zur Aufnahme org. Schwachstellen - Notfallplan - Meldeketten / Zuständigkeiten è Formal Checklisten zur Aufnahme techn. Bedrohungen - Protokolle - Dienste - Betriebssysteme (-versionen) von Rechnern und Komponenten Checklisten zur Aufnahme org. Schwachstellen - Notfallplan - Meldeketten / Zuständigkeiten Vorgehensweise bei der Schwachstellenanalyse

13 IT Networks CC IT NET Intranet/Internet Team / 25-Apr-98 Seite 13 Schwierigkeiten bei der formalen Analyse è setzt umfassende Ist-Analyse voraus è techn. Bedrohungspotential muß a priori bekannt sein è Bewertung insbesondere organisatorischer Mängel schwierig è abstraktes Modell Abhilfe: praktische Schwachstellenanalyse Schwierigkeiten bei der formalen Analyse è setzt umfassende Ist-Analyse voraus è techn. Bedrohungspotential muß a priori bekannt sein è Bewertung insbesondere organisatorischer Mängel schwierig è abstraktes Modell Abhilfe: praktische Schwachstellenanalyse Vorgehensweise bei der Schwachstellenanalyse

14 IT Networks CC IT NET Intranet/Internet Team / 25-Apr-98 Seite 14 è Praktisch orientierte Schwachstellenanalyse Überprüfung der Organisation durch simulierte Vorfälle Technische Überprüfung mit Frameworks wie Nessus, SATAN etc. è Kann formale Schwachstellenanalyse nicht ersetzen, aber ergänzen è Neue Mängel aufzeigen, Funktionsfähigkeit der IS- Organisation prüfen è Praktisch orientierte Schwachstellenanalyse Überprüfung der Organisation durch simulierte Vorfälle Technische Überprüfung mit Frameworks wie Nessus, SATAN etc. è Kann formale Schwachstellenanalyse nicht ersetzen, aber ergänzen è Neue Mängel aufzeigen, Funktionsfähigkeit der IS- Organisation prüfen Vorgehensweise bei der Schwachstellenanalyse

15 IT Networks CC IT NET Intranet/Internet Team / 25-Apr-98 Seite 15 è Bewertung der gefundenen Schwachstellen Risiko = Eintrittswahrscheinlichkeit * Schaden è Ziel: Konzentration auf das Wesentliche, Maßnahmen für die Netze mit höchstem Risiko ergreifen Schwierigkeit: Definition der Eintrittswahrscheinlichkeit è Bewertung der gefundenen Schwachstellen Risiko = Eintrittswahrscheinlichkeit * Schaden è Ziel: Konzentration auf das Wesentliche, Maßnahmen für die Netze mit höchstem Risiko ergreifen Schwierigkeit: Definition der Eintrittswahrscheinlichkeit Risikoanalyse


Herunterladen ppt "IT Networks CC IT NET Intranet/Internet Team / 25-Apr-98 Seite 1 Schwachstellenanalyse in Netzen Martin Freiss,"

Ähnliche Präsentationen


Google-Anzeigen