Datendiebstahl zwecklos - Security-Finder Schweiz · 2. Key Management Server • Dynamische...

Datendiebstahl zwecklosAndreas DortaSales Manager Enterprise Security Products Switzerland & Austria Manuel Krautwurst Management Beratung und Auditor

24./25. Mai 2016

Agenda

Explore part of Reimagine 2016 2

–Warum sollen Daten geschützt werden?

–Wie schützt man Daten, um Datendiebstahl zwecklos zu machen?– Daten-zentrierter Sicherheitsansatz– Revolutionäre Technologien wie:

Format Erhaltender Verschlüsselung etc.

–Wie startet man ein solches Projekt?

Grosse Security Breaches passieren weiterhin...

… trotz erhöhter Sicherheitsmassnahmen und Compliance-Anforderungen

2013

2011

2009

2013

2014

2015

3Explore part of Reimagine 2016

…nicht nur über dem grossen Teich, auch bei uns…

2012

2002

2002 & 2012

2012

2012

2016

4

Nachrichtendienst des Bundes

Explore part of Reimagine 2016

Gründe für den Schutz der Daten

IT TransformationIT Off-Loading in die Cloud

Managed ServicesBig Data Explosion

SW Entwicklung Off-Shoren

Gesetze & RegulatorienEuropäische-Datenschutz-Grundverordnung (GDPR)

Bundesgesetz über den Datenschutz (DSG)Bundesgesetz über die Informationssicherheit (ISG)

Eidgenössische Finanzmarktaufsicht (FINMA)Payment Card Industry Data Security Standard (PCI DSS)

Eigenes InteresseGeistiges Eigentum (IP)

Kunden Identifizierbare Daten (CID)Nutzung neuer Technologien für eigene

Produkte


Datenzentrierter Schutz-AnsatzWie schützt man Daten, um Datendiebstahl zwecklos zu machen?


HPE SecureData – Datenzentrierte Technologien

HPE Format-Preserving Encryption, HPE Secure Stateless Tokenization , HPE Page-Integrated Encryption– Strukturierte Daten schützen und gleichzeitig funktionale und analytische Integrität behalten

– Hochoktane-tokenisierungs-Leistung ohne Datenbank-Management-Kopfschmerzen

– Verlängert End-to-End-Schutz über Internet-Browser, durch und über den SSL-Tunnel hinaus

– Minimiert Implementierungszeit mit maximierter Datenwerten

Vorname: PeterNachname: Muster

Geburtstag: 22.07.1966AHV Nr.: 298.69.322.112

Vormane: UylqoNachname: Wruwwb

DOB: 08.06.1972AHV Nr.: 412.32.358.342

Ija&3k24kQotugDF2390 3̂2 0OWioNu2(*872weWaasIUahj

w2%quiFIWUYBw3Oiuqwriuweuwr%oIUOw1@

Clear-Text-Data Traditionelle Verschlüsselung

HPE Format-Preserving Encryption


HPE Security Voltage Product Lines

Broad Platform Support

Encryption + Tokenization

HPE Stateless Key Management

HPE SecureData

HPE SecureDataWeb Services API

HPE SecureDataCommand Line and Automated Parsers

HPE SecureDataNative APIs

(C, Java, C#, .NET)

HPE SecureDataKey Servers

HPE SecureDataCentral Management Console


HPE SecureData

– Eingebautes HPE Stateless Key Management

− Keine Schlüssel DB zu speichern oder managen

− Höchste Performance, unlimitiert skalierbar

– Bietet Verschlüsselung und Tokenisierung

− Anpassbar um genaue Anforderungen zu erfüllen

– Breite Plattformunterstützung

− On-premise/Cloud/Big Data

− Strukturiert/Unstrukturiert

− Linux, Windows, z/OS, HPE NonStop, Teradata, Hadoop, AWS, ...

– Sehr schneller time-to-value

− Komplette End-to-End-Schutz innerhalb einer Plattform

− Format Erhaltung reduziert den Implementationsaufwand drastisch

HPE SecureDataWeb Services API

HPE SecureDataCommand Line and Automated Parsers

HPE SecureDataNative APIs

(C, Java, C#, .NET)

HPE SecureDataKey Servers

HPE SecureDataCentral Management Console


HPE SecureData Stateless Architecture

HPE Stateless Key Management & HPE Identity-BasedEncryption (IBE)– Eckpfeiler der HPE SecureData durch Einfachheit und

Skalierbarkeit– Die Schlüssel werden basierend auf der Identität dynamisch

abgeleitet– Kein Schlüssel-Datenbank zu speichern, zu schützen und

Backupen– Schlüssel müssen nicht manuell betrieben werden, keine

Zertifikate oder Schlüssel-Datenbanken werden verwaltet– Ermöglicht hochleistungsfähige und skalierbaren Datenschutz– HPE Stateless Key Management wird für strukturierte Daten

verwendet– HPE Identitätsbasierte Verschlüsselung wird für unstrukturierte

Daten verwendet


HPE Security Voltage Framework

PCI Scope and Risk Reduction Data De-identification PII & PHI ProtectionUse Cases

EnvironmentsMobile |Cloud | Enterprise| Payments | Big Data

Physical Environments

HPE SecureMailHPE SecureDataProducts

Data Security Policy Control Policy Control

New Data Security StandardsANSI | NIST | IEEE | IETF

Standards Foundation

Stateless ArchitectureHPE IBE | HPE Stateless Key Management

Innovative Architecture

Data-centric Security TechnologyHPE FPE | HPE SST | HPE PIE

Breakthrough Technologies


Security Standards & Peer Reviews

– HPE SecureData ist aktiv bei der Förderung von Krypto-Standards

– Offene Standards sind Herstellerunabhängig, reduziert Risiken

– Nicht-Standards und unveröffentlichten Kryptohaben Auswirkungen auf die Sicherheit und Haftung

• HPE Identity-Based Encryption – IETF 5091, 5408,5408 (2007)– ISO 15946-1 –Pairings-based crypto (2008)– IEEE 1363.3 – Final standard (2013)

• HPE Format-Preserving Encryption– NIST FFX-mode AES - NIST SP800-38G– ANSI X9.124 (draft)– ANSI X9.119 (draft)

• HPE Secure Stateless Tokenization– Security validation - Coalfire– Independent security proofs (UC Davis et al)– PCI scope reduction validation (Coalfire)

• HPE Page-Integrated Encryption– Patented applied cryptographic technique using FPE– Independent validation and PCI scope reduction

assessment


Data Centric Security

13

Übersicht über Verfahrensweisen zur Verschlüsselung

Container-Verfahren

Cleartext während der gesamten VerarbeitungszeitHohe Ent- und Verschlüsselungsaufwände (kompletter Datenbestand)

Recordbasiertes-Verfahren

Cleartext während der gesamten TransaktionBegrenzte Ent- und Verschlüsselungsaufwände (lediglich betroffene Datensätze)

Atttributbasiertes-Verfahren

Cleartext für definierte Attribute der RecordsMinimale Ent- und Verschlüsselungsaufwände (ausschließlich betroffene Felder)

Cleartext Entschlüsseln Verschlüsseln


Schutz auf Feldebene, ermöglicht Business Prozesse & AnalyticsFormat-erhaltende Verschlüsselung oder Schwärzung

14

FPE

Kreditkarten-nummer

Sozialversich.-nummer E-Mailadresse

Geburts-datum

5212 3456 7890 1234 959 355 1234 5 [email protected] 12.10.1988

AESLÜ?ADHKJssj3487698&"&/&!xaasakjhkaskjh

ÖK/&!xaasakjhkaskjhjxkvhgsdf

aasakjhkaskjhfhiuw0985z7z89iup&7

ALJDHUIfnn,m3287zacj

Verwendung im Kontext von SQL und semantischen Auswertungen nicht geeignet

VOLL 8735 5543 1470 9876 386 498 7654 7 [email protected] 24.06.1925

Verwendung als Testdaten, Softwareentwicklung intern / extern und Auslagerung

Teil 5212 3470 6528 1234 572 786 1234 9 [email protected] xx.yy.1988Teilverschlüsselung nach Verwendungszweck und autorisierter Aufgabe

Format-offen 5212 34xy acxz 1234 abc def 1234 x [email protected] 01.01.1900

Verfremdung für zweckbestimmte Aufgaben (z.B. Audit, Forensik etc.)


mailto:[email protected]




HPE SecureData Architektur

HPE SecureDataAppliance(s)

Management Console

Native APIsCommand Line ToolsWeb Services

HSMEvent Monitoring

AuthenticationAD/LDAP

Production Databases

MainframeApplications &

Databases

3rd Party Applications

Teradata& Hadoop

ETL & Data Integration

Suites

XMLGateways

Web & Browser Applications

PaymentDevices

Plattform Tools

Applikationen

Infrastructure


Architekturschema (Beispiel)

16

1

2

3 4 56


Architekturschema (Beispiel)

17

1. Management Console• Webbasierende Steuerung aller administrativen Funktionen und Überwachung2. Key Management Server• Dynamische Schlüsselgenerierung auf Basis patentierter Cryptomodelle• Einfache Integration in bestehende IAM Umgebungen • HSM Modulunterstürtung nach FIPS 140-23. Web Services • Skalierbare Web Services Plattform für SOA Implementierungen • Standardisierte Web Service Protokollunterstützung 4. SecureData Simple API• Systemintegration durch anwendungsnahe API Unterstützung• Höchste Performance • Breites Plattformangebot 5. SecureData z/Protect und z/FPE• Mainframe Unterstützung 6. Voltage SecureData Command Line • Batch Prozesse mit Skript Unterstützung in eigener Konsolumgebung


HPE SecureData Partner NetzwerkOEM PartnersPayments Partners

Device Platforms

Payment & Gateway Platforms

Technology Partners

Global Systems Integrators

Reseller Partners


Datenzentrierter Schutz-AnsatzWie startet man am besten?


Datenzentrierter Sicherheitsansatz und Start mit PoCAuswahl des Anwendungsfalles

20

Finanzen • Versicherungen

• Kreditkarten (PCI DSS)

• E-Banking

Gesundheit

ÖffentlicheHand

• Krankenkassen

• Spitäler, Psychiatrien etc.

• Pharma: klinische Studien

• Internet der Dinge (IOT)

• Sicherheitsdienste

• Steuerwesen

Handel

Information

• E-Kommerz

• Logistik

• Marketing, Werbung

• SharePoint & Co

• Azure & AWS

• Big Data

Hoch-Technologie

• Luftfahrt

• Autobau, Verkehr

• Mobile Data


Datenzentrierter SicherheitsansatzZusammenfassung

– Datenzentrischer Schutz der Daten mit der Hilfe von FPE, SST, PIE– Strukturierte Daten schützen und gleichzeitig funktionale und analytische Integrität behalten– End-to-End-Schutz über Internet-Browser, durch und über den SSL-Tunnel hinaus– Minimiert Implementierungszeit mit maximierter Datenwerten

– Eingebautes HPE Stateless Key Management– Keine Schlüssel DB zu speichern oder managen– Höchste Performance, unlimitiert skalierbar– Bietet Verschlüsselung und Tokenisierung– Breite Plattformunterstützung, sowie On-premise/Cloud/Big Data– Sehr schneller time-to-value

– Starten mit einem PoC bei einen Anwendungsfall der für Ihr Unternehmen wichtig ist


Danke für Ihr Interesse



KONTAKT:Andreas DortaSales Manager Enterprise Security Products Switzerland & AustriaHewlett Packard Schweiz GmbHÜberlandstrasse 1, 8600 Dübendorf+41 76 560 66 66, Skype +41 58 199 01 [email protected] | hpe.com/security

WEITERE INFORMATIONEN:HPE Software in der ExpoProtect Stand

• ArcSight SIEM

• Applikations Sicherheit• SecureData (Voltage)

Datendiebstahl zwecklos - Security-Finder Schweiz · 2. Key Management Server • Dynamische...

Documents

Transcript of Datendiebstahl zwecklos - Security-Finder Schweiz · 2. Key Management Server • Dynamische...