NUBIT 2005IT Security – aktuelle Gefahren

und Lösungen

Walter JekatCTO NOXS Europe

Einige Worte über NOXS

• Value Added Distributor spezialisiert auf IT Security

• Langjähriger Partner der NetUSE AG• Aktiv in 8 europäischen Ländern, 350

Mitarbeiter, ca. € 150 mio profitabler Umsatz

• Breites Spektrum an relevanten Dienstleistungen

• Fokussierung auf Markt- und Technologieführeren

Agenda

• Herstellerthemen:– Microsoft & Sybari– Konsolidierung der Security Branche

• Hotbuttons:1. Die wunderbare E-Müll Welt2. Security ist zu komplex3. Die Welt ist mein LAN4. Vertraulich? Sie scherzen!

Microsoft & Sybari

• Microsoft auf Einkaufstour:– RAV– Giant Software– Sybari

• Über Sybari:– 1.6% Marktanteil Enterprise A/V– $34 mio Umsatz in 2003– Erwarten 22% Wachstum für 2004– Hauptfokus Messaging Server – 9.3% Anteil– Behaupten 10k Kunden and 10mio Mailboxen– Nur 3rd Party Scan Engines: CA, Sophos, Norman,

Kaspersky….– Betonen Unterstützung mehrerer Scan Engines

Microsoft & Sybari

• Aktuelle Marktsituation:

Konsolidierung der Security Branche

Date Acquirer Target Price CategoryDec 04 Symantec Veritas $13.5 bill SANDec 04 AEP Netilla unknown SSL VPNDec 04 3COM Tipping Point $430 million IPSDec 04 Cisco Protego $65 mio Security MonitoringOct 04 Cisco Perfigo $74 mio NW admisson controlSep 04 Symantec LIRIC Associates unknown Prof. Svcs. UKSep 04 Symantec @stake unknown Prof. Svcs. USAug 04 CA PestPatrol unknown Anti-SpywareAug 04 McAfee Foundstone $86 million vulnerability mgt.May 04 Symantec Brightmail $370 million Anti SpamApr 04 CyberGuard webwasher $50 million Content SecurityMar 04 Cisco Riverhead $39 mio DDoS mitigationMar 04 Cisco Twingo $5 mio SSL VPNJan 04 ISS Cobion $32.9 million Content SecurityDec 03 Check Point Zone Labs $205 million Desktop SecurityOct 03 SafeNet Rainbow Tech. $450 million SSL VPN/AuthenticationOct 03 Symantec On Technology $100 million Patch ManagementOct 03 Symantec SafeWeb $26 million SSL VPN Oct 03 Netscreen Neoteris $265 million SSL VPNApr 03 McAfee Entercept $120 million Host based IDSApr 03 McAfee IntruVert Networks $100 million Network based IDSJan 03 Cisco Okena $154 million Host based IDSOct 02 NetIQ Pentasafe $267 million Security ManagementAug 02 Netscreen OneSecure $40 million Network based IDSJul 02 Symantec Recourse $137 million Network based IDSJul 02 Symantec Riptech $145 million Managed Security ServicesJul 02 Symantec SecurityFocus $75 million Threat Detection

Firmenübernahmen im Bereich IT Security

Konsolidierung der Security Branche

• Zu Wachstumssicherung müssen Marktführer in Einzelsegmenten sich in neue Segmente ausdehnen

• Etliche Hersteller sitzen auf sehr hohe Bargeldbestände und „müssen“ investieren

• Wie lange noch wird „best-of-breed“ im Security Bereich dominieren? Vgl. Check Point

• Entwicklung hin zu integrierten Lösungen also technisch, als auch betriebswirtschaftlich getrieben

• Immer weniger Hersteller werden den Markt dominieren

• Umso wichtiger ist es neue innovative Hersteller/Technologien aufzudecken

Hot Button #1 – die wunderbare E-Müll Welt

• Die Killerapplikation „E-Mail“ ist kurz vorm Zusammenbruch:– Die Spamflut (Typische Schätzungen 60-

70% des E-mail Aufkommens)– Phishing als Zusammenwachsen von

Kriminalität und Spam• Radicati: The number of phishing attacks expected to

grow 115% in 2005• 70% of phishers are launching their attacks from

Eastern Europe and Southeast Asia.

Hot Button #1 – die wunderbare E-Müll Welt

• Die Killerapplikation „E-Mail“ ist kurz vorm Zusammenbruch:– Lt. Symantec durchschnittlich 5,8 Tage

zwischen Aufdecken einer Schwachstelle und Auftauchen von Exploit Code

– Z.B. Witty Wurm erschien zwei Tage nach Veröffentlichung der Vulnerabilty

– E-Mail als Transportmechanismus für Adware und Spyware

– Immer schnellere Permutation der Viren/Würmer

Der Anti-Spam Markt

• ist extrem fragmentiert….

Der Anti-Spam Markt

• Wird früher oder später mit A/V zusammenwachsen (Symantec – Brightmail!)

• Viele kleinere Hersteller haben keine eigene Technologie

• Erstmals relativ hohe Akzeptanz (lt. Radicati Group ca. 25% Marktanteil) von Managed Lösungen (Brightmail MSPs, Postini, Messagelabs, Blackspider....)

• Eine Technologie reicht nicht!• Kontinuierlicher Tuningaufwand• False Positive schlimmer als False Negative

(vgl. A/V!)

Der Anti-Spyware Markt

• Pest Patrol hat vor einigen Jahren diesen Markt „erfunden“

• Spyware/Adware - Ärgernis oder Gefahr?• Bereinigen recht schwierig• Zum Teil bewusstes Schüren einer Hysterie• Lethargie der A/V Hersteller• Pest Patrol Übernahme durch CA erzwang

Reaktion seitens McAfee und Symantec • Übernahme von Giant Software durch

Microsoft und sofortiges Beta Release• Ist der Markt jetzt schon tot?

Was ist los mit den A/V Herstellern?

• Einige provokante Gedanken

1. Wie lange können Signatur-basierte Ansätze noch skalieren? Intelligentere Ansätze müssen her!

2. Wie können Zero Day Exploits erkannt werden? (interessante Ansätze bei Aladdin und Finjan)

3. Viele A/V Hersteller sehen nur Viren und ignorieren die komplexere Realitäten. Vgl. Spyware, Worm Containment, Integrated Endpoint Security usw.

4. Gateway A/V ist zu langsam, zu komplex und zu teuer. Ein A/V „Netscreen“ muss die Regeln ändern.

5. Die A/V Hersteller können mit dem Thema „Microsoft“ noch nicht umgehen....

Hot Button #2 – Security ist zu komplex

• Neue Bedrohungen = Neue Produktkategorien

• Jedes System stellt eine Fehlerquelle dar• Jedes System liefert Logdaten• Integration von Remote Standorten und

Usern in das Sicherheitskonzept• Im ersten Halbjahr 2004 wurden 1237

Vulnerabilities aufgedeckt – wie reagieren?• Zunehmender Personalaufwand

Lösungsansatz - Magic Boxes

• Zusammenwachsen unterschiedlichster Funktionen auf einer Appliance:– Firewall/VPN– Intrusion Prevention– Gateway A/V and Anti-Spam– Content Filtering– Switches, Routers, WLAN Access Points...

• Integrierte Administration• Kernfrage: „good-enough“ vs. „best-of-breed“?• Wer besitzt das geistige Eigentum?• Unternehmensgateway vs. ROBO/SOHO?

Lösungsansatz - Magic Boxes

• Attraktiv für Hersteller zur Erhöhung der Wertschöpfung

• Vendors to watch:– Check Point (+ Nokia, Crossbeam)– Fortinet– ISS– Juniper– SonicWALL– Symantec– WatchGuard

Lösungsansatz – Security und Vulnerability Management

• Im Enterprise Bereich sehen wir eine Explosion an Security Events, Reports, Vulnerabilties und Management Konsolen.

• Wie konsolidieren und korrelieren?

• Wie mit Netzwerk- und Systemmanagement integrieren?

• „Regulatory Compliance“ ist das Schlagwort!

• Allerdings: die Vision ist momentan besser als die Realität

• Bisher zahllose no-names, CA und Symantec als Anbieter

Hersteller Ansätze?

Markteintritt von Check Point

• Vor wenigen Tagen Ankündigung von „Eventia Analyzer“

• Höchst interessant, da zentrales Management DIE Kernkompetenz von CHKP ist

• Korreliert Daten von CHKP, Cisco Router und Switches, ISS, Snort, Apache Web Server, Cisco und Juniper Firewalls

Markteintritt von Check Point

Markteintritt von Check Point

• Intelligenter Selbstlernmodus um „normale“ Aktivität zu erkennen

• Vordefinierte und konfigurierbare Security Events

• Real-time Alerts und automtisches Blocken schädlicher Aktivitäten

• Automatisierte Berichtserstellung und -verteilung

• Integration mit Check Point SMART Management

Hot Button #3 – die Welt ist mein LAN

Netzwerkgrenzen sind vollkommen aufgelöst (WLAN, 3G,IPSEC VPN, SSL VPN, Web Services...)

Endpoint Security

• Wir können uns nicht mehr auf die Integrität der Endgeräte verlassen

• Vorm Netzwerkzugang muss die Identität der Zugangsgeräte überprüft werden 802.1 und Cisco NAC

• Vorm Netzwerkzugang muss die Integrität der Zugangsgeräte überprüft werden

Revisionstände, Securitysoftware etc.• Zentrales Management ist unabdingbar• Auch hier werden wir eine Konvergenz der

Hersteller erleben– Firewall Hersteller: Check Point Zonelabs, Sygate– IDP Hersteller: ISS Blackice, Cisco Okena– A/V Hersteller: McAfee, Symantec

WLAN Security

Herausforderung: WLAN‘s tauchen überall auf. Sie sind nützlich, sexy, preiswert und

unsicher....

WLAN Security

• Kern Security Themen:– Fehlerhafte Access Point Konfiguration– Rogue AP‘s– AP Spoofing

• WLAN aktuell sehr gefragt in vertikalen Märkten, wie like Handel, Logistik, Gesundheitswesen und Bildung

• Wir erwarten grosse allgemeine Roll-outs in 2005 und 2006

• „Jedes“ Notebook hat einen Centrino Chipsatz und wird Nachfrage durch Endanwender und Management forcieren

• „Jeder“ kann einen ungesicherten €39 Access Point installieren

• Die Firewall wird elegant umgangen

WLAN Security

• Die wichtigsten Subsegmente:– Secure („fat“) Access Points (Cisco,

Sonicwall, Fortinet, Check Point, Juniper....) und Management Tools (z.B. Cisco WLSE)

– Wireless Intrusion und Rogue AP Detection (Airdefense, Airmagnet, Red-M, Airwave....)

– IPSEC via WLAN (Bluesocket, Vernier...)– Wireless Switching (Aruba, Chantry,

Trapeze, Airespace...vgl Cisco and Siemens Übernahmen)

– Backend Authentifizierung (Funk, Infoblox...)

Was ist ein Wireless Switch?

Consolidate all enterprise WLAN

security and management on one

device

Use many “dumb and cheap” access points

instead of a few “fat and expensive” AP’s

WirelessIntrusionDetection

Layer-3Roaming

StatefulFirewall

RFManagement

VoiceSupport

VPN

Hot Button #4 – Vertraulich? Sie scherzen?

• In typischen Konstellationen haben wir keinerlei Sicherheit, dass vertrauliche Daten nicht:– im E-mail Strom mitgelesen werden– auf Netzwerklaufwerken gelesen

werden– das Unternehmen unkontrolliert

verlassen– mit Notebooks geklaut werden– ....

E-Mail Verschlüsselung

• PGP und S/MIME als akzeptierte Standards

• Einsatz fast nur durch „Profis“• Klassische Lösungen erwarten, dass

Enduser Entscheidungen treffen• Sinnvoller Gateway Lösungen die

unternehmenweite Policies durchsetzen und Schlüssel verwalten

• Interessante Ansätze von PGP Corp. und Glück & Kanja

Datei Verschlüsselung

• Microsoft „Lösung“ nicht skalierbar, kaum administrierbar und nicht für Arbeitsgruppen einsetzbar

• Kernthemen Multibenutzerfähigkeit, Schlüsselhinterlegung und Benutzerrollen

• Brauchbare Lösungen z.B. von ControlBreak, Utimaco, WinMagic

Virtuelle Tresore

• Kerngedanke: vertrauliche Information wird im Intra/Internet in besonders gehärtete Repositories abgelegt

• Erst nach erfolgter Authentisierung erfolgt ein gesicherter, rollenbasierter Zugriff auf Daten

• Revisionssichere Zugriffsprotokollierung

• Hochinteressanter Ansatz von CyberArk bei Grossbanken im Einsatz

Herzlichen Dank