Upload
others
View
2
Download
0
Embed Size (px)
Citation preview
Langweilige Pflichten, und kurzweiligen Geschichten aus
dem CyberraumDr. Claudia Johnson
Cloud Technologist
Oracle Germany
Überblick
• Wo sind wir heute?
• Governance
• Schwachstellen-Management
• Patch, Patch, Patch
• SaaS als Alternative (Patching ausgelagert): welche Risiken?
• Beispiel: warum keine 100% Informationssicherheit
• Zusammenfassung
Wo sind wir heute und warum?
0
200
400
600
800
1000
1200
1400
1600
1800
2005 2006 2007 2008 2009 2010 2011 2012 2013 2014 2015 2016 2017
Millions of data records exposed*
* Source: Statista.com
Exponentiale Wachstum, trotz steigende Ausgaben für Informationssicherheit, weil:• Immer mehr Daten gesammelt
werden• Cybercrime lohnt sich, es ist eine
„Wachstumindustrie“
(Crime Congress, Wien, 2015)
Überblick
• Wo sind wir heute?
• Governance
• Schwachstellen-Management
• Patch, Patch, Patch
• SaaS als Alternative (Patching ausgelagert): welche Risikien?
• Beispiel: warum keine 100% Informationssicherheit
• Zusammenfassung
Governance: was ist, wenn es fehlt?
Governance: welche Kriterien?
Fragen für potentielle Cloud / IT Lieferanten:
• Dokumentation über technische, organisatorische Maßnahmen
• Transparenz bezüglich Datenschutzmaßnahmen, DSGVO
• Zertifizierungen
• Audit-, Pentest-Berichte
• Schwachstellen-, Patching-Management Governance
• Bekannte Datenklau-Vorfälle?
Überblick
• Wo sind wir heute?
• Governance
• Schwachstellen-Management
• Patch, Patch, Patch
• SaaS als Alternative (Patching ausgelagert): welche Risikien?
• Beispiel: warum keine 100% Informationssicherheit
• Zusammenfassung
Schwachstellen-Management
• Exploit einer Applikationsschwachstelle ist nach wie vor die erfolgversprechendste Methode für Datenklau (einschliesslich Credential-Missbrauch)
• Wie identifiziert, und priorisiert Ihre Cloud / IT Lieferant Schwachstellen?
• 2017: fast 60 Schwachstellen täglich im Durchschnitt
• => Priorisierung / Risikoanalyse absolut notwendig
• Best Practice: Common Vulnerability Scoring System, „CVSS“ um Risiko zu bewerten, z.B. potentielle Auswirkung, Einfachheit des Exploits,...
• Anwender-Schutz (z.B. Multi FactorAuthentication „2FA“, Training,...)
Überblick
• Wo sind wir heute?
• Governance
• Schwachstellen-Management
• Patch, Patch, Patch
• SaaS als Alternative (Patching ausgelagert): welche Risikien?
• Beispiel: warum keine 100% Informationssicherheit
• Zusammenfassung
Patch, Patch, Patch
• Die meisten Exploits betreffen Schwachstellen, die seit mehr als ein Jahr bekannt sind
• Warum wird nicht zeitig gepatch?• Unvollständige oder nicht zufriedenstellende Kompatibilitätstests• Verwendung von nicht mehr unterstützte SW-Versionen (z.B. Microsoft XP)• Legacy-Software, für das es keinen Experten mehr gibt, der das Patch
erstellen kann
• => wenn man einen Weg findet zeitig zu patchen, gäbe es wesentlich weniger Datenklau
• => Auslagerung der Patchverantwortung durch geprüfte SaaS-Provider
Equifax: brisantes Beispiel von Datenklau• Equifax: amerikanische Pendant zum deutschen Schufa
• Daten:• 140+M amerikanische Staatsbürger betroffen
• Name, Social Security Number, Adresse, ...
• Identitätsrelevant, z.B. Wählerregistrierung
• Nicht nur für Equifax, sondern auch gesellschaftliche Schäden
• Exploit:
• nicht gepatchte Apache Struts
• SQLi
• Exploit teilweise unterstützt durch Metasploit im April 2017
Überblick
• Wo sind wir heute?
• Governance
• Schwachstellen-Management
• Patch, Patch, Patch
• SaaS als Alternative (Patching ausgelagert): welche Risikien?
• Beispiel: warum keine 100% Informationssicherheit
• Zusammenfassung
SaaS als Alternative (vs. Eigene Patchverantwortung)
• SaaS-Provider zuständig für Datenschutz, Informationssicherheit (Kernkompetenz)
• „Economy of Scale“ bei großen Provider: professionelles Schwachstellen-, Patchmanagement
• => es gilt den SaaS-Provider sorgfältig zu prüfen:• Schwachstellen-, Patchmanagement-Governance• Auditberichte, Zertifizierungen, Datenzentren• Governance bei Zugriffskontrolle, z.B. Segregation of Duties• Netzwerkschutz: Abhärtung, bzw Abschottung gegenüber des Internets• Intrusion Prevention, Security Information and Event Management-Systeme• ...und vieles mehr
SaaS Tenancy und Datenschutz• Tenancy:
• „SaaS 1.0 Multi-Tenant, d.h.: Tenants (Kunden) teilen der gleichen HW, OS, Applikationssoftware, DB
• SaaS 2.0: Isolated-, und Single-Tenancy• Isolated: d.h.: Tenants (Kunden) teilen der gleichen HW, jedes
Tenant hat eigenen Virtuellen-Instanz auf geteilten OS, => Applikationssoftware, DB auf eigene Instanz (keine Teilung)
• Single-Tenancy: Tenants (Kunden) verwenden eigene HW, OS, Applikationssoftware, DB
• => Isolated-Tenancy bietet zusätzliche Flexibilität, Datenschutz:• Upgrades, Patche müssen nicht mehr zur gleichen Zeit für
alle Tenants eingespielt werden• Daten, Applikationssw getrennt: Vorteile aus
Informationssicherheitssicht (z.B. Keine Kundendatenteilung bei API-Schwachstelle)
Enisa: Cloud and Security
“…Therefore the same amount ofinvestment in security buys betterprotection. ”3
3) Cloud Security Risk Assessment, ENISA
Überblick
• Wo sind wir heute?
• Governance
• Schwachstellen-Management
• Patch, Patch, Patch
• SaaS als Alternative (Patching ausgelagert): welche Risikien?
• Beispiel: warum keine 100% Informationssicherheit
• Zusammenfassung
Advanced Persistent Threats (APT)
• Trotz Patchen, aufwendige Technologie, Governance: keine 100% Schutz• Beispiel: Snake Attack an das Bundesnetz, 2018
• Ein Netz, das durch IT-Sicherheitsexperten und das BSI aufmerksam geschützt wird• „Snake“ APT: russische Hacker• "technisch anspruchsvollen und von langer Hand geplanten Angriff„ (Maiziere)• Erstinfizierung über Freundin eines MA des Auswärtigenamts (SZ, Mai 2018);• Nach Aktivierung Command and Control „C2“ Kommunikation über Email-Server (SZ,
März 2018)• C2-Kommunikation durch Mailserver wird normalerweise nicht geprüft (sondern z.B.
Endanwender)• "elegant, weil es unauffällig ist"
• Schaden begrenzt, weil Angreifer früh entdeckt, und schliesslich beobachtet wurde
Überblick
• Wo sind wir heute?
• Governance
• Schwachstellen-Management
• Patch, Patch, Patch
• SaaS als Alternative (Patching ausgelagert): welche Risikien?
• Beispiel: warum keine 100% Informationssicherheit
• Zusammenfassung
Zusammenfassung• Langweilige Wahrheiten:
• Patchen bringt mehr als ZeroDay-Schutz• Konsequente Governance kritische Voraussetzung für
ausreichend Schutz• Anwender Training, IAM (Identity und Access Management, 2FA)
• Zielsetzung:• Nicht 100% Sicherheit• Kosten eines potentiellen Vorfalls minimieren
• Cloud: insbesonders SaaS durch geprüfte Cloudprovider bringt Abhilfe, wichtige Prüfkriterien aufgelistet