NUBIT 2005 IT Security – aktuelle Gefahren und Lösungen Walter Jekat CTO NOXS Europe

Einige Worte über NOXS Value Added Distributor spezialisiert auf IT Security Langjähriger Partner der NetUSE AG Aktiv in 8 europäischen Ländern, 350 Mitarbeiter, ca. € 150 mio profitabler Umsatz Breites Spektrum an relevanten Dienstleistungen Fokussierung auf Markt- und Technologieführeren

Agenda Herstellerthemen: –Microsoft & Sybari –Konsolidierung der Security Branche Hotbuttons: 1.Die wunderbare E-Müll Welt 2.Security ist zu komplex 3.Die Welt ist mein LAN 4.Vertraulich? Sie scherzen!

Microsoft & Sybari Microsoft auf Einkaufstour: –RAV –Giant Software –Sybari Über Sybari: –1.6% Marktanteil Enterprise A/V –$34 mio Umsatz in 2003 –Erwarten 22% Wachstum für 2004 –Hauptfokus Messaging Server – 9.3% Anteil –Behaupten 10k Kunden and 10mio Mailboxen –Nur 3 rd Party Scan Engines: CA, Sophos, Norman, Kaspersky…. –Betonen Unterstützung mehrerer Scan Engines

Microsoft & Sybari Aktuelle Marktsituation:

Konsolidierung der Security Branche Firmenübernahmen im Bereich IT Security

Konsolidierung der Security Branche Zu Wachstumssicherung müssen Marktführer in Einzelsegmenten sich in neue Segmente ausdehnen Etliche Hersteller sitzen auf sehr hohe Bargeldbestände und „müssen“ investieren Wie lange noch wird „best-of-breed“ im Security Bereich dominieren? Vgl. Check Point Entwicklung hin zu integrierten Lösungen also technisch, als auch betriebswirtschaftlich getrieben Immer weniger Hersteller werden den Markt dominieren Umso wichtiger ist es neue innovative Hersteller/Technologien aufzudecken

Hot Button #1 – die wunderbare E-Müll Welt Die Killerapplikation „ “ ist kurz vorm Zusammenbruch: –Die Spamflut (Typische Schätzungen 60-70% des Aufkommens) –Phishing als Zusammenwachsen von Kriminalität und Spam Radicati: The number of phishing attacks expected to grow 115% in % of phishers are launching their attacks from Eastern Europe and Southeast Asia.

Hot Button #1 – die wunderbare E-Müll Welt Die Killerapplikation „ “ ist kurz vorm Zusammenbruch: –Lt. Symantec durchschnittlich 5,8 Tage zwischen Aufdecken einer Schwachstelle und Auftauchen von Exploit Code –Z.B. Witty Wurm erschien zwei Tage nach Veröffentlichung der Vulnerabilty – als Transportmechanismus für Adware und Spyware –Immer schnellere Permutation der Viren/Würmer

Der Anti-Spam Markt ist extrem fragmentiert….

Der Anti-Spam Markt Wird früher oder später mit A/V zusammenwachsen (Symantec – Brightmail!) Viele kleinere Hersteller haben keine eigene Technologie Erstmals relativ hohe Akzeptanz (lt. Radicati Group ca. 25% Marktanteil) von Managed Lösungen (Brightmail MSPs, Postini, Messagelabs, Blackspider....) Eine Technologie reicht nicht! Kontinuierlicher Tuningaufwand False Positive schlimmer als False Negative (vgl. A/V!)

Der Anti-Spyware Markt Pest Patrol hat vor einigen Jahren diesen Markt „erfunden“ Spyware/Adware - Ärgernis oder Gefahr? Bereinigen recht schwierig Zum Teil bewusstes Schüren einer Hysterie Lethargie der A/V Hersteller Pest Patrol Übernahme durch CA erzwang Reaktion seitens McAfee und Symantec Übernahme von Giant Software durch Microsoft und sofortiges Beta Release Ist der Markt jetzt schon tot?

Was ist los mit den A/V Herstellern? Einige provokante Gedanken 1.Wie lange können Signatur-basierte Ansätze noch skalieren? Intelligentere Ansätze müssen her! 2.Wie können Zero Day Exploits erkannt werden? (interessante Ansätze bei Aladdin und Finjan) 3.Viele A/V Hersteller sehen nur Viren und ignorieren die komplexere Realitäten. Vgl. Spyware, Worm Containment, Integrated Endpoint Security usw. 4.Gateway A/V ist zu langsam, zu komplex und zu teuer. Ein A/V „Netscreen“ muss die Regeln ändern. 5.Die A/V Hersteller können mit dem Thema „Microsoft“ noch nicht umgehen....

Hot Button #2 – Security ist zu komplex Neue Bedrohungen = Neue Produktkategorien Jedes System stellt eine Fehlerquelle dar Jedes System liefert Logdaten Integration von Remote Standorten und Usern in das Sicherheitskonzept Im ersten Halbjahr 2004 wurden 1237 Vulnerabilities aufgedeckt – wie reagieren? Zunehmender Personalaufwand

Lösungsansatz - Magic Boxes Zusammenwachsen unterschiedlichster Funktionen auf einer Appliance: –Firewall/VPN –Intrusion Prevention –Gateway A/V and Anti-Spam –Content Filtering –Switches, Routers, WLAN Access Points... Integrierte Administration Kernfrage: „good-enough“ vs. „best-of-breed“? Wer besitzt das geistige Eigentum? Unternehmensgateway vs. ROBO/SOHO?

Lösungsansatz - Magic Boxes Attraktiv für Hersteller zur Erhöhung der Wertschöpfung Vendors to watch: –Check Point (+ Nokia, Crossbeam) –Fortinet –ISS –Juniper –SonicWALL –Symantec –WatchGuard

Lösungsansatz – Security und Vulnerability Management Im Enterprise Bereich sehen wir eine Explosion an Security Events, Reports, Vulnerabilties und Management Konsolen. Wie konsolidieren und korrelieren? Wie mit Netzwerk- und Systemmanagement integrieren? „Regulatory Compliance“ ist das Schlagwort! Allerdings: die Vision ist momentan besser als die Realität Bisher zahllose no-names, CA und Symantec als Anbieter

Hersteller Ansätze?

Markteintritt von Check Point Vor wenigen Tagen Ankündigung von „Eventia Analyzer“ Höchst interessant, da zentrales Management DIE Kernkompetenz von CHKP ist Korreliert Daten von CHKP, Cisco Router und Switches, ISS, Snort, Apache Web Server, Cisco und Juniper Firewalls

Markteintritt von Check Point

Intelligenter Selbstlernmodus um „normale“ Aktivität zu erkennen Vordefinierte und konfigurierbare Security Events Real-time Alerts und automtisches Blocken schädlicher Aktivitäten Automatisierte Berichtserstellung und - verteilung Integration mit Check Point SMART Management

Hot Button #3 – die Welt ist mein LAN Netzwerkgrenzen sind vollkommen aufgelöst (WLAN, 3G, IPSEC VPN, SSL VPN, Web Services...)

Endpoint Security Wir können uns nicht mehr auf die Integrität der Endgeräte verlassen Vorm Netzwerkzugang muss die Identität der Zugangsgeräte überprüft werden  und Cisco NAC Vorm Netzwerkzugang muss die Integrität der Zugangsgeräte überprüft werden  Revisionstände, Securitysoftware etc. Zentrales Management ist unabdingbar Auch hier werden wir eine Konvergenz der Hersteller erleben –Firewall Hersteller: Check Point Zonelabs, Sygate –IDP Hersteller: ISS Blackice, Cisco Okena –A/V Hersteller: McAfee, Symantec

WLAN Security Herausforderung: WLAN‘s tauchen überall auf. Sie sind nützlich, sexy, preiswert und unsicher....

WLAN Security Kern Security Themen: –Fehlerhafte Access Point Konfiguration –Rogue AP‘s –AP Spoofing WLAN aktuell sehr gefragt in vertikalen Märkten, wie like Handel, Logistik, Gesundheitswesen und Bildung Wir erwarten grosse allgemeine Roll-outs in 2005 und 2006 „Jedes“ Notebook hat einen Centrino Chipsatz und wird Nachfrage durch Endanwender und Management forcieren „Jeder“ kann einen ungesicherten €39 Access Point installieren Die Firewall wird elegant umgangen

WLAN Security Die wichtigsten Subsegmente: –Secure („fat“) Access Points (Cisco, Sonicwall, Fortinet, Check Point, Juniper....) und Management Tools (z.B. Cisco WLSE) –Wireless Intrusion und Rogue AP Detection (Airdefense, Airmagnet, Red-M, Airwave....) –IPSEC via WLAN (Bluesocket, Vernier...) –Wireless Switching (Aruba, Chantry, Trapeze, Airespace...vgl Cisco and Siemens Übernahmen) –Backend Authentifizierung (Funk, Infoblox...)

Was ist ein Wireless Switch? Consolidate all enterprise WLAN security and management on one device Use many “dumb and cheap” access points instead of a few “fat and expensive” AP’s Wireless Intrusion Detection Layer-3 Roaming Stateful Firewall RF Management Voice Support VPN

Hot Button #4 – Vertraulich? Sie scherzen? In typischen Konstellationen haben wir keinerlei Sicherheit, dass vertrauliche Daten nicht: –im Strom mitgelesen werden –auf Netzwerklaufwerken gelesen werden –das Unternehmen unkontrolliert verlassen –mit Notebooks geklaut werden –....

Verschlüsselung PGP und S/MIME als akzeptierte Standards Einsatz fast nur durch „Profis“ Klassische Lösungen erwarten, dass Enduser Entscheidungen treffen Sinnvoller Gateway Lösungen die unternehmenweite Policies durchsetzen und Schlüssel verwalten Interessante Ansätze von PGP Corp. und Glück & Kanja

Datei Verschlüsselung Microsoft „Lösung“ nicht skalierbar, kaum administrierbar und nicht für Arbeitsgruppen einsetzbar Kernthemen Multibenutzerfähigkeit, Schlüsselhinterlegung und Benutzerrollen Brauchbare Lösungen z.B. von ControlBreak, Utimaco, WinMagic

Virtuelle Tresore Kerngedanke: vertrauliche Information wird im Intra/Internet in besonders gehärtete Repositories abgelegt Erst nach erfolgter Authentisierung erfolgt ein gesicherter, rollenbasierter Zugriff auf Daten Revisionssichere Zugriffsprotokollierung Hochinteressanter Ansatz von CyberArk bei Grossbanken im Einsatz

Herzlichen Dank