Schwachstellenanalyse in Netzen Martin Freiss, freiss.pad@sni.de
Noch Fragen? Dipl. Ing. Martin Freiss Siemens Nixdorf Information Systems Competence Center IT Networks Solution Team Internet/Intranet Tel. +49 221 679 2162 freiss.pad@sni.de
Risiken GAO study (General Accounting Office, US Department of Defense) GAO EXECUTIVE REPORT - B-266140, 22.5.1996 Die Ergebnisse sind niederschmetternd: DISA (Defense Information Systems Agency) geht von 250.000 Angriffen im Jahr aus, mit exponentiellem Anstieg. Davon sind 65% erfolgreich! Nur 4% werden entdeckt Nur 0,67% wurden gemeldet Eine Untersuchung von Dan Farmer kommt zu ähnlichen Ergebnissen (http://www.trouble.org/survey)
Risiken: Modewelle Webhacking Von Ego-Tripping.... (http://www.thermocrete.com) 5 5
Risiken: Modewelle Webhacking ...zu ernsthaftem Schaden 5 5
Der Unsinn Einführung von techn. Sicherheitsvorkehrungen ohne Konzept Firewalls, Authentifizierungsmechanismen,Verschlüsselung Überbetonung von Teilaspekten Verschlüsselte Übertragung, aber unsichere Anlagen... Die Welt besteht aus mehr als TCP/IP Sicherheit ist mehr als Viren Einbrüche werden nicht nur von “Hackern” durchgeführt Überbetonung von Produkten Sie wollen primär Sicherheit, nicht das Produkt 3
Sicherheitskonzept Integriertes Sicherheitskonzept: Istzustand - Wo sind wir? Bedarfsanalyse - Was brauchen wir? Bedrohungsanalyse - Wo ist die Gefahr? Sicherheitskonzept - Technik und Organisation Umsetzung - Einführung, Schulung Validierung - Ist der Bedarf erfüllt? Aktualisierung - Sind diese Schritte noch korrekt? 2
Integriertes Sicherheitskonzept Systemsicherheit Netzwerksicherheit Zugriffskontrolle Zugangsschutz Virenschutz Datenschutz Wichtig: Notfallplan ! Integration in Netzwerk- management
Vorgehensweise Bestimmung von trust domains Istzustand, Bedarf und Bedrohungen innerhalb der Domain analysieren Anforderungen an die Übergänge zwischen den Domains definieren Technische u. organisatorische Maßnahmen ableiten Dokumentation Methodiken zur Validierung und Aktualisierung festlegen 3
Vorgehensweise bei der Schwachstellenanalyse Bedrohungsanalyse Vertraulichkeit Integrität Verfügbarkeit Authentizität Schwachstellenanalyse technisch organisatorisch Risikoanalyse Schadensbewertung Ziel: Maßnahmen definieren können Istanalyse was ist vorhanden? 3
Vorgehensweise bei der Schwachstellenanalyse Formal Checklisten zur Aufnahme von Bedrohungen 3
Vorgehensweise bei der Schwachstellenanalyse Formal Checklisten zur Aufnahme techn. Bedrohungen - Protokolle - Dienste - Betriebssysteme (-versionen) von Rechnern und Komponenten Checklisten zur Aufnahme org. Schwachstellen - Notfallplan - Meldeketten / Zuständigkeiten 3
Vorgehensweise bei der Schwachstellenanalyse Schwierigkeiten bei der formalen Analyse setzt umfassende Ist-Analyse voraus techn. Bedrohungspotential muß a priori bekannt sein Bewertung insbesondere organisatorischer Mängel schwierig abstraktes Modell Abhilfe: “praktische” Schwachstellenanalyse 3
Vorgehensweise bei der Schwachstellenanalyse Praktisch orientierte Schwachstellenanalyse Überprüfung der Organisation durch simulierte Vorfälle Technische Überprüfung mit Frameworks wie Nessus, SATAN etc. Kann formale Schwachstellenanalyse nicht ersetzen, aber ergänzen Neue Mängel aufzeigen, Funktionsfähigkeit der IS-Organisation prüfen 3
Risikoanalyse Bewertung der gefundenen Schwachstellen Risiko = Eintrittswahrscheinlichkeit * Schaden Ziel: Konzentration auf das Wesentliche, Maßnahmen für die Netze mit höchstem Risiko ergreifen Schwierigkeit: Definition der Eintrittswahrscheinlichkeit 3