Controlware 3650 Cyber Security Maturity Assessment) · Analytics Incident Response / CERT-Services...

© 2019 Controlware GmbH 3

Christoph Schmidt

Competence Center Security

Kassel, Juni 2019

Controlware 3650 Cyber Security Maturity Assessment„Wir können den Wind nicht ändern, aber die Segel anders setzen“

Eine Reifegradanalyse für „Security Architecture – Best Practices“ auf Basis der ISO 27001


Positionsbestimmung

Kursbestimmung und

–korrektur

Das Navigations-

modell


Cyber Security – Versuch einer Standortbestimmung

*Quelle: Verizon Data Breach Report 2016

92%

aller Security*

Vorfälle können

wie folgt kate-

gorisiert werden

Cyber-

Spionage

Fehler PoS Angriffe

Crimeware Insider

Missbrauch

Skimming Webbasierte

Angriffe

Denial

of service

Diebstahl

Verlust

80%

63%2016

aller Vorfälle

waren finanziell motiviert*

von über 2000

Vorfällen gelangen aufgrund schwacher

oder gestohlener Passwörter*

>22019: Millionen fehlende

Cyber Security Professionals


Gesetze, Regulierungen, Security Frameworks & Standards

IT-Sig:

„Auf Grund der … Auswirkungen ist bei den technischen

und organisatorischen Vorkehrungen der Stand der

Technik zu berücksichtigen. …“

Stand der Technik

Maßgeblicher Sicherheitsstandard im IT-

Sicherheitsrecht

Keine konkrete einheitliche Definition

Unbestimmter Rechtsbegriff


Maßgeblicher Sicherheitsstandard im IT-Sicherheitsrecht

Es existiert keine konkrete einheitliche Definition des Begriffs

„Stand der Technik“

Unbestimmter Rechtsbegriff

Vorteil: Keine Anpassung an technische und wissenschaftliche

Entwicklung notwendig

Versuch einer Deutung des Begriffs „Stand der Technik“

Zeit

Wissen

Stand von Wissenschaft und

Technik

Stand der Technik

Anerkannte Regeln der Technik

Anpassung der technischen Regeln an den

jeweils aktuellen Stand der Technik

Best Practices ?


All models are wrong,

but some are useful

George E. P. Box


Die Basis bildet ein Mapping von Kontrollanforderungen auf die

(eingesetzten) technischen Maßnahmen und Schutzziele

Durchführung einer Gap Analyse zur Bewertung der

eingesetzten und fehlenden Schutzmaßnahmen anhand von

Bedrohungsszenarien

Gefährdungslagen

Marktüblichkeit auf der Basis von Best Practices und branchenüblicher

Standards

Grundlagen / Definitionen

Ziel:

Ganzheitliche und umfängliche Ist-Aufnahme und Bewertung einer IT

Security-Infrastruktur anhand der Vorgaben aus den relevanten ISO 2700x

Controls und dem NIST Cybersecurity Frameworks

Bewertung des Reifegrads und Entwicklung eines Maßnahmenplans


(2) Etablierung eines vierstufigen Ebenenmodells

Security Domains 9

Security Service 26

Security Architekturbaustein ~73

Security Lösung


Control A.13.1.1 – Netzwerksteuerungsmaßnahmen

Netzwerke werden verwaltet und gesteuert, um Information in Systemen und Anwendungen zu schützen

(1) Basis: Mapping der Architekturbausteine zu den Anforderungen

A.13.1.1*

* Auszug

8.2 Zugriffsmonitoring

4.2 Perimeterschutz

8.1 Netzwerkmonitoring


(1) Basis: Mapping der Architekturbausteine zu den Anforderungen

A.13.1.1*

NextGen Firewall

IDS/IPS

DOS-Protection

Verschlüsselung - Kommunikation

SSL Interception

Breach Detection

Data Exfiltration Detection

UEBA (User Entity Behaviour Analysis)

CASB (Cloud Access Security Broking)

* Auszug


4.2 Perimeterschutz


Control A.13.1.1 – Netzwerksteuerungsmaßnahmen

Netzwerke werden verwaltet und gesteuert, um Information in Systemen und Anwendungen zu schützen


(3) Definition der zu betrachtenden Security Domains

Physische Sicherheit

Zugangskontrolle System- und

Device-

Management

Netzsicherheit Schutz gegen

Schadsoftware

Kryptografische

MaßnahmenÜberwachung

Betrieb der

Sicherheitsarchitektur

97

5

3

1

8

6

42

Sicherheit

von Daten /

Informationen



Zugangskontrolle System- und

Device-

Management

Netzsicherheit Schutz gegen

Schadsoftware

Kryptografische

MaßnahmenÜberwachung

Betrieb der


Sicherheit

von Daten /

Informationen

(4) Zuordnung der Security Services

Security Domains


Zugangskontrolle

System- und Device-

Management

Netzsicherheit

Schutz gegen

Schadsoftware

Kryptografische

Maßnahmen

Sicherheit von Daten /

Informationen

Überwachung

Betrieb der


2

97

5

3

8

6

4

1

9

8

7

6

5

4

3

2

1




Zugangskontrolle

System- und Device-

Management

Netzsicherheit

Schutz gegen

Schadsoftware

Kryptografische

Maßnahmen


Informationen

Überwachung

Betrieb der

Sicherheitsarchitektur9

8

7

6

5

4

3

2

1

Governance, Risk- &

Compliance Mgmt.

Security Intelligence &

Analytics

Incident Response /

CERT-Services

Netzwerkmonitoring Zugriffsmonitoring Systemmonitoring

KlassifizierungSchutz von

InformationswertenTransaktionssicherheit Sichere Vernichtung

Verschlüsselung

TransportVerschlüsselung Ablage

Verschlüsselungs-

management

Netzwerkzugang PerimeterschutzSichere

Netzwerkdienste

SystemverwaltungSchwachstellen-

management

Behebung von

Schwachstellen

Benutzer- und

Rollenverwaltung

Account- und

Passwortverwaltung

Schutz privilegierter

Account

Zutrittskontrolle und

Zutrittsüberwachung

Physischer Schutz für

Räume und Systeme

Hostbasierter Schutz vor

Schadcode

Netzwerkbasierter Schutz

vor Schadcode

Security Domains Security Services


(6) Fertiges Mapping der Security Domains (Beispiel)

Schutz gegen Schadsoftware

5.1.2 Malwareschutz -

File/Folder

5.1.3 Malwareschutz - Server

5.1 Hostbasierter Schutz vor

Schadcode

5.2 Netzwerkbasierter Schutz

vor Schadcode

5

5.1.4 Advanced Endpoint

Protection

5.1.5 Advanced Endpoint

Detection & Response

6.2.1 Mobile device policy

6.2.2 Teleworking

12.2.1 Controls against malware

Protect AC-3

Protect DS-6

Detect CM-4

Response MI-2

ISO - Controls

Mapping in bestehende

Security Management Systeme

Infrastrukturkomponente

Infrastrukturkomponente

Security Solutions

Architektur

5.1.1 Malwareschutz - Client

NIST - Framework




Physische Sicherheit1

Security Domains Security Services / Architekturbausteine

Zugangskontrolle2

Videoüberwachung

Zutrittskontrolle

Physischer Schutz

IAM –

(Starke) Authentifizierung

IAM -

BerechtigungsmanagementIAM - Federation Services

IAM –

BenutzermanagementIAM - Directory Service

IAM - Privileged Account

Management

Zutrittskontrolle und

Zutrittsüberwachung

Physischer Schutz für

Räume und Systeme

Benutzer- und

Rollenverwaltung

Account- und

Passwortverwaltung

Schutz privilegierter

Account


Der Prozess (vereinfachte Darstellung)

Scopedefinition

Organisation

Unternehmensweit

Auf BU / Fachebene

Domains / Services

1

Aufnahme

IST / SOLL / PLAN

Workshops

Dokumentensichtung

2 Abstimmung mit den involvierten Fachbereichen

Sichtung von bestehenden Richtlinien, Handlungsanweisungen und Fachinformationen

Sichtung von Konzept- und Strategiepapieren

Gemeinsame Abstimmung und Bewertung der gewonnenen Daten



Betrachtung und

Bewertung IST / PLAN

Maßnahmenempfehlung

Reifegradmodell

GAP Analyse

Globale Betrachtung

Dezidierte Vertiefungs-

workshops

3

Betrachtung der Gefährdungslage für die einzelnen

Architekturbausteine bzw. Services

Bewertung der Architekturbausteine / Services anhand Marktüblichkeit

auf der Basis von Best Practices und branchenüblicher Standards

Gemeinsame Bewertung und Empfehlung

Scopedefinition

Organisation

Unternehmensweit

Auf BU / Fachebene

Domains / Services

1

Aufnahme

IST / SOLL / PLAN

Workshops

Dokumentensichtung

2


Bewertungskriterien (auf der Ebene Architekturbaustein)


Exemplarische Bewertungsfolie

Baustein 2.3.1 - IAM - Privileged Account Management

Regulatorien

ISO 27001:2013 A.6.1.2, A.9.2.1, A.9.2.3-6, A.9.4.1,

A.9.4.3, A.9.4.5, A.12.1.2, A.12.1.4, A.12.4.1-3, A.14.3.1

NIST PR.AC-1/4/6, PR.DS-5/7, PR.IP-1/3, PR.PT-1,

DE.CM-3, DE.DP-4, RS.CO-2/3, RS.AN-1

Reifegrad /

Marktlage

(Missbräuchliche) Nutzung privilegierter Benutzer-konten sind

ein entscheidender Bestandteil für einen erfolgreichen Angriff

Kein zentrales Logging und Accounting sowie (unkontrollierte)

Nutzung von „shared Accounts“

Keine oder erschwerte Kontrolle von Dienstleistern Die Maßnahme ergänzt die bisherige Verwaltung von

Zugriffsrechten (IAM)

Etablierung einer zentralen Logging Schnittstelle zu Log-

Management- / SIEM-Systemen möglich

Erweiterung des Schutzes von administrativen Remote

Zugriffen

Interopera-

bilität

Aufwand

Implemen-

tierung

Hocheffiziente zentrale Verwaltung und Auditierung von hoch

privilegierten Zugriffsrechten und Anwendern

Möglichkeit der Abdeckung von Monitoring Anforderungen für

privilegierte Zugriffe (Intern und Extern)

Erleichtert die zentrale Umsetzung von Passwort- und

Accountrichtlinien

Effektivität /

Nutzen

Gefährdung

Produkte zur Verwaltung privilegierter Accounts sind am

Markt etabliert und in vielen Unternehmen z. B. der

Finanzbranche und im Bereich kritischer Infrastrukturen

eingesetzt

Hohe Implementierungsaufwände bis alle accountführenden

Systeme erkannt und integriert sind

Neue Anforderungs- und Betriebsprozesse für Nutzung und

Verwaltung privilegierter Accounts erforderlich

(Neue) Sicherheitsmaßnahmen zur Absicherung dieser

kritischen neuen Komponente erforderlich

Bewertung Die Einführung eines Privileged Account Managements ist ein

wichtiger Baustein zum Schutz der IT-Infrastruktur innerhalb

der ACME GmbH und sollte umgesetzt werden.

Die vorhandene Authentisierung würde hierbei als solide

Basis für ein etwaiges PAM dienen

Die Verwaltung und Authentisierung erfolgt über

TACACS/Radius/LDAP/AD

Aufgrund der Vorschriften innerhalb der ACME GmbH findet

eine vierteljährliche Account-Revalidierung statt.

Des Weiteren wird dieser Punkt (Einführung eines IAM) auch

bei den regelmäßig stattfinden externen Audits gefordert und

geprüft

Empfehlung

SOLL

51 30

IST (nicht bewertet)

51 30

PLAN

51 30


Exemplarische Bewertungsfolie

Baustein 5.2.3 - Advanced Malware/Threat Detection

Regulatorien

ISO 27001:2013 A.12.2.1, A.14.1.2-3, A.14.2.7

NIST PR.DS-2/5/6, DE.CM-4/6, RS.MI-2

Reifegrad /

Marktlage

Veränderung im Angriffsverhalten feststellbar: Zielgerichte

und unauffällige Attacken die professionell durchgeführt

werden setzen vermehrt auf hochentwickelte und individuelle

Malware

Keine Schutzmaßnahmen gegen den Einsatz von

unbekanntem Schadcode (Zero Day) vorhanden

Erweiterung der Maßnahmen des bestehenden Schutzes vor

Schadcode

Tiefgehende Schadcode Analyse als Ergänzung zu

signaturbasierenden Verfahren

Einbindung in existierende Log-Management und SIEM

Lösungen möglich

Interopera-

bilität

Aufwand

Implemen-

tierung

Reaktion auf die veränderte Bedrohungslage mit

zielgerichteten Angriffen mit unbekanntem Code

Verbesserung des Schutzpotenzials durch die Ergänzung der

AV-Schutzmaßnahmen

Zentral implementierbare Schutzmaßnahme die vor

Ausnutzung unbekannter Schwachstellen in Systemen und

Applikationen schützt

Effektivität /

Nutzen

Gefährdung

Verfahren ist seit ca. 3 Jahren am Markt und wird von immer

mehr Herstellern angeboten

Maßnahme hat sich etabliert und wird verstärkt im

Industrieumfeld eingesetzt

Kann als Inline oder Passiv Monitoring Variante am

Internetübergang eingesetzt werden

Keine Veränderung von Adresskonzepten, etc. notwendig

Bewertung Gängige und wichtige Schutzmaßnahme zur Abwendung

neuer Schadcodebedrohungen und dem Erkennen

zielgerichteter Angriffe

Maßnahme reagiert auf die neue Bedrohungslage und sollte

umgesetzt werden

Die Internet und E-Mailübergänge innerhalb der ACME GmbH

sollte um eine APT Lösung ergänzt werden.

Aktuell wird kommt diese Technologie innerhalb der ACME

GmbH nicht zum Einsatz, weder für den Web noch für den E-

Mail Bereich.

Empfehlung

SOLL

51 30

IST (nicht bewertet)

51 30

PLAN

51 30


Die Basis bildet ein 5-stufiges Reifegradmodell

Grundlage: ISO/IEC 21827 System Security Engineering Capability Maturity Model (SSE-CMM)

Das Reifegradmodell (1)

Wiederholbar

Initial / Ad-Hoc

Optimiert

(PDCA)

Definiert

Gemanaged /

Messbar

0

2

1

3

4

5


Bessere Anwendbarkeit im Rahmen von Workshops

Für praxisnahe Bewertung der Umsetzung von

getroffenen Maßnahmen ausreichend

Im Bedarfsfall auf 5 Stufen erweiterbar

Entscheidung für ein dreistufiges Reifegrad / Maturity Modell

Das Reifegradmodell (1)

Wiederholbar

Initial / Ad-Hoc

Optimiert

(PDCA)

Definiert

Gemanaged /

Messbar

0

2

1

3

4

5


Fokussierung auf die Security Domains

Das Reifegradmodell in der Anwendung (1)


Zugangskontrolle

System- und

Device-Management

Netzsicherheit

Schutz gegen

SchadsoftwareKryptografische

Maßnahmen

Sicherheit von

Informationen

Überwachung

Betrieb der


1

2

3

4

56

7

8

9

1

3

5

Aktueller Reifegrad (IST)

Due Diligence (SOLL) /

Akzeptierter Stand der Technik

Zielvorgabe für FY+1 (PLAN)


59.1 GRC Mgmt.

9.2 Security Intelligence & Analytics

9.3 Incident Response / CERT-Services



8.3 Systemmonitoring

7.1 Klassifizierung

7.2 Schutz des Informationswerts

7.3 Transaktionssicherheit

7.4 Sichere Vernichtung

6.1 Verschlüsselung Transport

6.2 Verschlüsselung Ablage

6.3 Verschlüsselungsmanagement

4.1 Netzwerkzugang

4.2 Perimeterschutz

4.3 Sichere Netzwerkdienste

3.1 Systemverwaltung

3.2 Schwachstellenmanagement

3.3 Behebung von Schwachstellen

2.1 Benutzer- und Rollenverwaltung

2.2 Account- und Passwortverwaltung

2.3 Schutz privilegierter Account

1.1 Zutrittskontrolle und Zutrittsüberwachung

1.2 Physischer Schutz für Räume und Systeme

5.1 Hostbasierter Schutz vor Schadcode

5.2 Netzwerkbasierter Schutz vor Schadcode

3

1

Das Reifegradmodell in der Anwendung (2)


Zugangskontrolle

System- und Device-

Management

Netzsicherheit

Schutz gegen

Schadsoftware

Kryptografische

Maßnahmen


Informationen

Überwachung

Betrieb der

Sicherheitsarchitektur9

8

7

6

5

4

3

2

1

Security Domains


Das Reifegradmodell auf Architekturebene (Auszug)

4.3.3 DNSSec

4.3.4 NTP

4.2.8 SSL Interception

4.3.1 IPAM (DHCP)

4.3.2 IPAM (DNS)

4.2.5 Secure Web Gateway

4.2.6 Secure Mail Gateway

4.2.7 DOS-Protection

4.2 Perimeterschutz

4.2.1 Segmentierung / Zonenbildung

4.2.2 Segmentierung / Firewall

4.2.3 IDS/IPS

4.2.4 Next Gen Firewall

5.1.3 Malwareschutz - Server

5.1.5 Advanced Endpoint Detection & Response


5.1.2 Malwareschutz - File/Folder

5.1.4 Advanced Endpoint Protection

4.3 Sichere Netzwerkdienste

5.1 Hostbasierter Schutz vor Schadcode

5.2.1 Malwareschutz - Mail

5.2.2 Malwareschutz - Web

5.1 Netzwerkbasierter Schutz vor Schadcode

4.1.1 (N)AC

4.1.2 VPN/RAS

4.1 Netzwerkzugang

4 N

etz

sic

he

rheit

5 S

ch

utz

geg

en

Sc

ha

ds

oft

wa

reDomains / Security Service / Architektur

5.2.3 Advanced Malware/Threat Detection

Initial / Ad-Hoc Optimiert (PDCA)Definiert

Q2/19

Q2/19

Q2/19

Q2/19

Q2/19

Q2/19

Q2/20

Q2/20

Q2/20

Q2/19

Q2/20


P1 – Scope Definition

P1.1

P1.2

Scope Definition

Mögliche Arbeitspakete

P3 – GAP-Analyse

P2 – IST- Aufnahme

Vorbereitung

Kick-Off – Initialer Workshop

IST-Aufnahme Workshop(s) – Global (Anzahl abhängig vom Umfang / Scope)

Zusammenfassung der Ergebnisse / Dokumentation

Abstimmung / Review - Risikoabhängige Priorisierung der Maßnahmen

Auswertung der Ergebnisse / Dokumentensichtung

Abstimmung / Festlegung der Vertiefungsworkshops

P2.1

P2.2

P2.3

P2.4

P3.1.1-n

P3.2

P3.3

• Vertiefungsworkshops

• Vorbereitung – Durchführung – Nachbereitung n-Mal, abhängig von den während der IST-

Aufnahme identifizierten Schwerpunkten

P4 – Maßnahmen-Empfehlung (High Level Design)

Ausdefinition der Maßnahmen / Architekturbausteine

Abstimmung / Review

Dokumentation der Ergebnisse

P4.1.1-n

P4.2

n-Mal, Aufwand abhängig von der Anzahl

der zu definierenden Bausteine / Maßnahmen


Optionale Erweiterung


GAP Analyse

Globale Betrachtung

Dezidierte Vertiefungs-

workshops

3

Scopedefinition

Organisation

Unternehmensweit

Auf BU / Fachebene

Domains / Services

1

Aufnahme

IST / SOLL / PLAN

Workshops

Dokumentensichtung

2

Zyklische Überprüfung

High Level Design

Architektur

Maßnahmen

Roadmap

4

Inititative(n)5

Betrachtung und

Bewertung IST / PLAN

Maßnahmenempfehlung

Reifegradmodell


Zusammenfassung

Basis bildet ein „Stand der Technik“ Mapping auf

international anerkannte Standards

Modulare und auf individuelle

Anforderungen anpassbare

Vorgehensweise

Vorgehensweise bietet Schnittstellen in

bestehende Managementsysteme

Ergebnisse ermöglichen die Steuerung

der Security Services


Vielen Dank für Ihre Aufmerksamkeit!

Thank you very much for your attention!

Controlware 3650 Cyber Security Maturity Assessment) · Analytics Incident Response / CERT-Services...

Documents

Transcript of Controlware 3650 Cyber Security Maturity Assessment) · Analytics Incident Response / CERT-Services...