-
1
Am IT-Puls der UnternehmenPerspektiven und Erfahrungen
Cyber Security für KMU – Umgang mit Risiken der
Digitalisierung
Veranstaltungsreihe des Instituts für Informations- und
Prozessmanagement
[email protected]://www.fhsg.ch/ipm
Prof. Dr. Peter Jaeschke
mailto:[email protected]://www.fhst.ch/ipm
-
2
In s t itu t fü r In fo r m at ion s - u n d Pr oz es s m an
agem en t
-
3
AgendaBegrüssung Peter Jaeschke, IPM-FHS
Darknet und Cyber Security - Christian Thiel, IPM-FHSAktuelle
Bedrohungslage
Erfahrungen mit einem Schutzdispositiv Alexander Odenthal,bei
der Security Prophylaxe StV. CISO, Raiffeisen Schweiz
Cyber-Abwehrkräfte stärken mit einem Aldo Frick, CIO,SOC as a
Service Telecom Liechtenstein AG
Fragen und Diskussionen
Apéro
-
4
Dis k u s s ion
-
Darknet und Cyber Security
Aktuelle Bedrohungslage
-
Das Netz – der grösste Teil ist unter Wasser
-
TOR – The Onion Router
-
TOR Verwenden
1. Spezialisierte Linux Distributionen wie z.B. Whonix oder
Tails Linux
• Leiten sämtlichen Traffic via TOR Netzwerk
• Plus weitere Elemente zur Sicherung der Privatsphäre
(Verschlüsselung, Löschen, etc.)
2. TOR Browser (nur der Webtraffic ist geschützt)
-
Marktplätze:Illegale Angebote• Drogen• Waffenhandel•
Pornographie• Software• Film / Music / ebooks•
(Produkt-)Fälschungen
• Daten / Informationen• Services (Crime as a Service)• Hacking
Tools (Crime Ware)
-
Auftragsmord
Quelle: https://www.scip.ch/?labs.20160114 (2016)
-
Darknet und Strafermittlung
• Strafermittlung im Darknet ist sehr aufwändig, aber nicht
unmöglich
• Verbrecher machen Fehler und mit Hilfe dieser Fehler werden
sie gefunden.
• TOR Software kann Fehler enthalten
• Netzwerkdaten können «leaken», d.h. nicht via TOR verschickt
werden (z.B. DNS, IPv6)
-
Cybercrime Inc. – Professionalisierung des Cyber Crime80% der
Hacker arbeiten mit der organisierten Kriminalität zusammen.▪ Cosa
Nostra, Japanische Yakuza, Chinesische Triaden, Russische Mafia,
Südamerikanische
Kartelle,…
Cyberkriminalitätsorganisationen▪ "businessorientiert"▪ gut
organisiert▪ Unternehmensstrategien▪ Anonymitätsmethoden:
▪ Darknet▪ Kryptowährungen
-
Crime Ware Preise:
Autolog keylogger
Malware Trends on ‘Darknet’ Crypto-markets: Research Review:
Report of the Australian National University Cybercrime Observatory
for theKorean Institute of Criminology 2018
-
Ausbildung und Support
• Tutorials• Sammlungen• Geräte
-
DDoS as a Service
• Distributed Denial of Service
-
Schadsoftware / Ransomware as a Service
-
Allgemein: Botnets as a Service
-
Hacking-as-a-Service
-
Bot Map
15
GovCERT.chComputer Emergency Response Team (GovCERT) of the
Swiss government
-
Phishing Statistik
16
GovCERT.ch
-
Ablauf einer zielgerichteten Attacke
-
Anatomie eines Advanced Persistent Threat
18ISSS Zürcher Tagung 2015 9ISSS2010XZ643293
Anatomie eines Advanced Persistent Threat
Vorbereitung
Initial Kompromittierung
Spear phishing, 0-day, watering hole
Fuss fassenBackdoor oder
Malware
Erweiterung von Rechten
Erkundung
Verankerung
Laterale AusbreitungBackdoors
AusführungDatendiebstahl
und –aggregation
Abschluss Datenexfiltration
1
Command & Control (CnC)
2
3
4
Command & Control (CnC)
5
Benutzer verhält sich riskant und erhält Firmen-E-mail über sein
privates Social Netzwerk Konto
Abnormales Verhalten von Geräten und Netzwerk; DNS Abfragen
seltsamer Namen; abnormale Verkehrsmuster
Benutzerverhalten ist abnormal;Gerät kontaktiert neue
Hosts;Netzverkehrsmuster sind abnormal
Benutzerverhalten ist abnormal;Datenzugriffe sind abnormal;
Daten werden schnell aggregiert
Verschieben von sensiblen Daten; Benutzer zeigt
abnormalesZugriffsmuster auf viele Ressourcen;Gerät kontaktiert
abnormale Hosts
Quelle: Dr. Marc Ph. Stoecklin IBM Research
-
Repräsentative Umfrage bei 300 CEOs von KMUStudie von SVV, SQS,
ICTswitzerland, ISSS, ISB, Expertenkommission Bund: Publikation
12.12.2017,
https://ictswitzerland.ch/publikationen/studien/cyberrisiken-in-schweizer-kmu
19
Risiko von Cyberangriffen wird stark unterschätzt▪ Die Mehrheit
fühlen sich gut bis sehr gut geschützt▪ Nur 4% der CEOs sehen es
als grosse oder sehr grosse Gefahr, durch einen
Cyberangriff in der Existenz gefährdet zu
werden.Studienergebnisse zeigen eine andere Realität▪ Mehr als ein
Drittel sind von Cyberattacken betroffen▪ Die Anzahl der erpressten
Firmen wird auf 23‘000 (4%) geschätzt
▪ Nur 60% geben an, Grundschutzmassnahmen voll und ganz
umzusetzen▪ Systeme zur Erkennung von Cybervorfällen wurden nur von
jedem fünften
Unternehmen vollständig umgesetzt▪ Prozesse zur Behandlung von
Cybervorfällen wurden nur von 18% der
Unternehmen vollständig umgesetzt▪ Mitarbeiter-Schulungen über
den sicheren Gebrauch IT wurden lediglich bei
15% der KMU vollständig umgesetzt
-
Erfahrungen mit einem Schutzdispositiv bei der Security
Propyhlaxe
Alexander Odenthal
StV. CISO Raiffeisen Schweiz
Vorstandsmitglied ISSS.ch
-
Agenda
1. Cyberraum und «intern»: Wer kontrolliert wen?
2. Anforderungen an die «Cyber-Resilienz»
3. Management System(e)
4. Erfahrungswerte
-
Cyberraum: Wer kontrolliert wen?
3
-
Controls Ebenen: Wer kontrolliert «intern»?
4
-
Anforderungen an die «Cyber» Resilienz
-
Risikomanagement und Controlling
6
Quelle: ISACA:
https///www.isaca.de/sites/default/files/attachements/isaca_leitfaden_i_gesamt_web.pdf
-
Komplexität am Beispiel ISO 27001 / ISO 27002
7
Quelle: ISACA:
https///www.isaca.de/sites/default/files/attachements/isaca_leitfaden_i_gesamt_web.pdf
-
Datenzentrisch: Klassifikation (vereinfacht)
8
-
Prüfmassnahmen: Standard Kategorien
9
(Geheim)(Vertraulich)(Bsp: Intern)
OWASP: Open Web Application Sec. Project; ASVS: Application
Security Verification Standard
https://www.owasp.org/index.php/Main_Page
-
Sourcing: Due Diligence Vorgaben (Beispiele)
10
BCM: Business Continuity Management
-
Security Projekte: NIST Cybersecurity Framework
11
Quelle:
https://nvlpubs.nist.gov/nistpubs/CSWP/NIST.CSWP.04162018.pdf
-
12
Empfehlungen gegen Cyber-Risiken
Security:
-
Reporting: Security Dashboard
13
Quelle: NIST Categories:
https://nvlpubs.nist.gov/nistpubs/CSWP/NIST.CSWP.04162018.pdf
Farben sind illustrativ
-
Erkennung und Agilität sind wesentlich für eine
Cyber-Resilienz
Erfahrungswerte 1 – «Security Prophylaxe»
Kern-aussagen
IT Security Experten spielen gegen eine Liga ohne Gentlemen:
>> 1 Million Hacker und >> 100.000 Profi Hacker bei
Geheimdiensten.
Schutzmassnahmen sind Pflicht –das Internet ist 24x7 online.
Wer sich «nur» mit Abwehr schützt –bleibt teilweise blind und
verliert.
Cyber-Resilienz erfordert schnelleErkennung & Reaktion:
«SOC».
-
Awareness und Wirksamkeit sind wesentlich für
Cyber-Resilienz
Erfahrungswerte 2 – «Security Prophylaxe»
Kern-aussagen
Der zunehmenden Bedrohungslage bei Cyberrisiken ist mit einer
aktiven Strategie zu begegnen – Kompetenz und Geld.
Gegen Cyberangriffe hilft nur die Wirksam-keit aller Massnahmen,
Compliance ist ein Weg dorthin.
Hilfsmittel die niemand versteht sind wertlos. Darum: einfach
und verständlich.
Security (Awareness) und Datenschutz wird durch die
Geschäftsleitung verantwortet.
-
Cyber-Abwehrkräfte stärken mit einem SOC as a Service
Fachhochschulzentrum St.Gallen, 7.5.2019Aldo Frick, CIO
-
Telecom Liechtenstein AG | Internationaler Footprint
2
48KKunden
300 Mio.Kunden
24 Mio. Kunden
FürstentumLiechtenstein
75.1%
Telekom Austria Group
24.9%América
móvil50.1%
-
Telecom Liechtenstein AG | Security-Portfolio
3
Mobile Network Security Monitoring Services- FL1 Overwatch®
GPS/GNSS Security Monitoring Services- FL1 Overwatch®
IT & OT Security Monitoring Services - powered by
RadarServices
Fully managed services with own SOC in Vaduz
-
AusgangslageHerausforderungen ohne SOC
-
Komplexe Herausforderungen
5
Wie optimiere ich Risikoerkennung und Risikomanagement? − Wie
erkenne ich moderne, gezielte Angriffsszenarien?− Wie stelle ich
Korrelation über Ereignisse oder Ereignisketten her?− Wie bewerte
ich das Risikopotential?− Wie erhalte ich anwendbare Anleitungen
für die Behandlung von Risiken?− Wie wird überprüft, ob
Verbesserungen erfolgreich waren?− Wie gestalte ich einen
effizienten Informationsfluss zu allen Beteiligten?
Wie erhalte ich gesamtheitlich, aussagekräftig und aktuell einen
Überblick über meine IT-Sicherheit?
Wie schaffe ich Risikotransparenz (vom IT- zu
Geschäftsrisiko)?
-
Die wichtigsten Ergebnisse der Global Information Security
Survey im Überblick (Ernst & Young)
69. Mai 2019 Klassifizierung: public
Quel
le: h
ttps:
//w
ww
.ey.
com
/de/
de/s
ervi
ces/
advi
sory
/ey-
cybe
rsich
erhe
it
87%Der befragten halten eine Erhöhung ihrer Mittel für
Cybersicherheit um bis zu 50 Prozent für notwendig.
77%betrachten unvorsichtige Mitarbeiter als das grösste
Risiko.
12%glauben, dass sie einen raffinierten Cyberangriff sehr
wahrscheinlich aufdecken würden.
63%der Unternehmen überlassen die Berichterstattung über
IT-Risiken noch immer weitgehend ihrer IT-Abteilung.
48%haben kein Security Operations Center, obwohl diese immer
mehr an Bedeutung gewinnen.
17%der Unternehmensvorstände haben ausreichende Kenntnisse zur
Cybersicherheit, um Cyberrisiken wirksam zu kontrollieren.
57%haben kein - oder nur ein informelles - Programm das proaktiv
Informationen über potenzielle Cyberbedrohungen sammelt und
analysiert
89%gaben an, dass ihre Cybersicherheitsfunktion nicht in vollem
Umfang den Anforderungen ihres Unternehmens.
-
Wie können die ‘Silos’ in der IT- Security überwunden
werden?
79. Mai 2019 Klassifizierung: Intern
Organisation
AVAuthentifizierung
…
FirewallIDS / IPS
…
AVVirtualisation
Zugriff
ZutrittBCM Schulungen
Workplace Network Server InfrastrukturMitarbeiter
Virtualisierung (Cloud)
-
Security Operations Centeras a ServiceDas Frühwarnsystem für die
IT.
-
RADA
RSER
VICE
SDA
S SY
STEM
9
-
Vorhersagen
Verhindern
Erkennen
BewertenBerichten
Beheben
Prüfen
PROC
ESSE
SRI
SK A
NALI
SYS
WOR
KFLO
W
10
Response
Risk & Security Intelligence TeamKunde
-
Lösungsansatz: Auflösen der Silos und Einbindung in die
Prozesse
119. Mai 2019
Vorhersagen
Verhindern
Erkennen
BewertenBerichten
Beheben
Prüfen
Klassifizierung: public
-
CUST
OMIZ
ED R
EPOR
TS
& AL
ARM
IERU
NG
12
− Alarmierung in dringenden Fällen − Durchgehender
Risikobehebungs-Workflow im Cockpit− Nachrichten-/Feedback-System
zur Kommunikation mit dem Intelligence Team− Integrierter Business
Process Risk View zeigt die durch die IT-Sicherheitsprobleme
gefährdeten Geschäftsprozesse auf− Asset Management Funktionen
für den Überblick über alle Geräte im Netz
RESULTAT
Zentrale Präsentation aller Risiko- und
Sicherheitsinformationen
Massgeschneiderte, leicht verständliche Berichte &
Statistikenin der gewünschten Detailtiefe
-
CUST
OMIZ
ED R
EPOR
TS
IM F
OKUS
13
-
Warum RadarServices (SOC as a Service)?
14
Das Ergebnis: modernste Eigentechnologie (Forschung &
Entwicklung)
Das Ergebnis: Effektivität in der Erkennung von IT-
Sicherheitsproblemen
Das Ergebnis: Aus Billionen Events aus unterschiedlichen
Quellen wird ein einfacher CyberRisk Management Prozess
RadarServices unterliegt nicht dem US Patriot Act und damit
nicht der Pflicht, Kundendaten an US-Behörden auf deren
Verlangen weiterzugeben.
Die oberste Maxime: Daten müssen Ihr Unternehmen niemals
verlassen, ausser Sie erteilen uns
den expliziten Auftrag dazu
Spitzentechnologiemade in Europe
Perfektionin der Analysetiefe
Komplettabdeckungin der Ereignisbreite
Höchste Sicherheitsstandardsim Markt
Europäischer Datenschutzals Rechtsrahmen
-
Das grösste SOC & Cyber Defense Center in Europa
15
Daten933 Petabyte analysierte Daten 99 Billionen Events1,2
Milliarden analysierte Schwachstelleninformationen 4,2 Millionen
identifizierte IncidentsAngaben pro Jahr (Stand Sep 18)
Technologie im EinsatzUnsere Technologie ist die Basis von CDCs
bei börsen-gelisteten Kritis-Unternehmen sowie in Kunden-CDCs von
Telekommunikationsunternehmen und MSSPs.
Referenzen für Managed Services:
Referenzen für Solutions:
-
Vielen DankFL1 Cyber Security | Telecom Liechtenstein AG |
Schaanerstrasse 1 | LI-9490 [email protected] |
https://cybersecurity.fl1.li
Begrüssung Peter Jaeschke_Cyber Security für
KMU_07.05.2019Foliennummer 1Institut für Informations- und
ProzessmanagementAgendaDiskussion
IT Puls darknet
CybersecurityFHSG_ISSS_Cyberangriffe_Schutzdispositif_2019-05-07_v1.2_öffentlichFHSG
Präsenation V1Cyber-Abwehrkräfte stärken mit einem SOC as a Service
Telecom Liechtenstein AG | Internationaler FootprintTelecom
Liechtenstein AG | Security-PortfolioAusgangslageKomplexe
HerausforderungenDie wichtigsten Ergebnisse der Global Information
Security Survey im Überblick (Ernst & Young) Wie können die
‘Silos’ in der IT- Security überwunden werden?Security Operations
Center�as a ServiceRADARSERVICES�DAS SYSTEMPROCESSES�RISK ANALISYS
WORKFLOWLösungsansatz: �Auflösen der Silos und Einbindung in die
ProzesseCUSTOMIZED REPORTS �& ALARMIERUNGCUSTOMIZED REPORTS �IM
FOKUSWarum RadarServices (SOC as a Service)?Das grösste SOC &
Cyber Defense Center in EuropaVielen Dank
