Langweilige Pflichten, und kurzweiligen Geschichten aus ...Advanced Persistent Threats (APT)...
Transcript of Langweilige Pflichten, und kurzweiligen Geschichten aus ...Advanced Persistent Threats (APT)...
Langweilige Pflichten, und kurzweiligen Geschichten aus
dem CyberraumDr. Claudia Johnson
Cloud Technologist
Oracle Germany
Überblick
• Wo sind wir heute?
• Governance
• Schwachstellen-Management
• Patch, Patch, Patch
• SaaS als Alternative (Patching ausgelagert): welche Risiken?
• Beispiel: warum keine 100% Informationssicherheit
• Zusammenfassung
Wo sind wir heute und warum?
0
200
400
600
800
1000
1200
1400
1600
1800
2005 2006 2007 2008 2009 2010 2011 2012 2013 2014 2015 2016 2017
Millions of data records exposed*
* Source: Statista.com
Exponentiale Wachstum, trotz steigende Ausgaben für Informationssicherheit, weil:• Immer mehr Daten gesammelt
werden• Cybercrime lohnt sich, es ist eine
„Wachstumindustrie“
(Crime Congress, Wien, 2015)
Überblick
• Wo sind wir heute?
• Governance
• Schwachstellen-Management
• Patch, Patch, Patch
• SaaS als Alternative (Patching ausgelagert): welche Risikien?
• Beispiel: warum keine 100% Informationssicherheit
• Zusammenfassung
Governance: was ist, wenn es fehlt?
Governance: welche Kriterien?
Fragen für potentielle Cloud / IT Lieferanten:
• Dokumentation über technische, organisatorische Maßnahmen
• Transparenz bezüglich Datenschutzmaßnahmen, DSGVO
• Zertifizierungen
• Audit-, Pentest-Berichte
• Schwachstellen-, Patching-Management Governance
• Bekannte Datenklau-Vorfälle?
Überblick
• Wo sind wir heute?
• Governance
• Schwachstellen-Management
• Patch, Patch, Patch
• SaaS als Alternative (Patching ausgelagert): welche Risikien?
• Beispiel: warum keine 100% Informationssicherheit
• Zusammenfassung
Schwachstellen-Management
• Exploit einer Applikationsschwachstelle ist nach wie vor die erfolgversprechendste Methode für Datenklau (einschliesslich Credential-Missbrauch)
• Wie identifiziert, und priorisiert Ihre Cloud / IT Lieferant Schwachstellen?
• 2017: fast 60 Schwachstellen täglich im Durchschnitt
• => Priorisierung / Risikoanalyse absolut notwendig
• Best Practice: Common Vulnerability Scoring System, „CVSS“ um Risiko zu bewerten, z.B. potentielle Auswirkung, Einfachheit des Exploits,...
• Anwender-Schutz (z.B. Multi FactorAuthentication „2FA“, Training,...)
Überblick
• Wo sind wir heute?
• Governance
• Schwachstellen-Management
• Patch, Patch, Patch
• SaaS als Alternative (Patching ausgelagert): welche Risikien?
• Beispiel: warum keine 100% Informationssicherheit
• Zusammenfassung
Patch, Patch, Patch
• Die meisten Exploits betreffen Schwachstellen, die seit mehr als ein Jahr bekannt sind
• Warum wird nicht zeitig gepatch?• Unvollständige oder nicht zufriedenstellende Kompatibilitätstests• Verwendung von nicht mehr unterstützte SW-Versionen (z.B. Microsoft XP)• Legacy-Software, für das es keinen Experten mehr gibt, der das Patch
erstellen kann
• => wenn man einen Weg findet zeitig zu patchen, gäbe es wesentlich weniger Datenklau
• => Auslagerung der Patchverantwortung durch geprüfte SaaS-Provider
Equifax: brisantes Beispiel von Datenklau• Equifax: amerikanische Pendant zum deutschen Schufa
• Daten:• 140+M amerikanische Staatsbürger betroffen
• Name, Social Security Number, Adresse, ...
• Identitätsrelevant, z.B. Wählerregistrierung
• Nicht nur für Equifax, sondern auch gesellschaftliche Schäden
• Exploit:
• nicht gepatchte Apache Struts
• SQLi
• Exploit teilweise unterstützt durch Metasploit im April 2017
Überblick
• Wo sind wir heute?
• Governance
• Schwachstellen-Management
• Patch, Patch, Patch
• SaaS als Alternative (Patching ausgelagert): welche Risikien?
• Beispiel: warum keine 100% Informationssicherheit
• Zusammenfassung
SaaS als Alternative (vs. Eigene Patchverantwortung)
• SaaS-Provider zuständig für Datenschutz, Informationssicherheit (Kernkompetenz)
• „Economy of Scale“ bei großen Provider: professionelles Schwachstellen-, Patchmanagement
• => es gilt den SaaS-Provider sorgfältig zu prüfen:• Schwachstellen-, Patchmanagement-Governance• Auditberichte, Zertifizierungen, Datenzentren• Governance bei Zugriffskontrolle, z.B. Segregation of Duties• Netzwerkschutz: Abhärtung, bzw Abschottung gegenüber des Internets• Intrusion Prevention, Security Information and Event Management-Systeme• ...und vieles mehr
SaaS Tenancy und Datenschutz• Tenancy:
• „SaaS 1.0 Multi-Tenant, d.h.: Tenants (Kunden) teilen der gleichen HW, OS, Applikationssoftware, DB
• SaaS 2.0: Isolated-, und Single-Tenancy• Isolated: d.h.: Tenants (Kunden) teilen der gleichen HW, jedes
Tenant hat eigenen Virtuellen-Instanz auf geteilten OS, => Applikationssoftware, DB auf eigene Instanz (keine Teilung)
• Single-Tenancy: Tenants (Kunden) verwenden eigene HW, OS, Applikationssoftware, DB
• => Isolated-Tenancy bietet zusätzliche Flexibilität, Datenschutz:• Upgrades, Patche müssen nicht mehr zur gleichen Zeit für
alle Tenants eingespielt werden• Daten, Applikationssw getrennt: Vorteile aus
Informationssicherheitssicht (z.B. Keine Kundendatenteilung bei API-Schwachstelle)
Enisa: Cloud and Security
“…Therefore the same amount ofinvestment in security buys betterprotection. ”3
3) Cloud Security Risk Assessment, ENISA
Überblick
• Wo sind wir heute?
• Governance
• Schwachstellen-Management
• Patch, Patch, Patch
• SaaS als Alternative (Patching ausgelagert): welche Risikien?
• Beispiel: warum keine 100% Informationssicherheit
• Zusammenfassung
Advanced Persistent Threats (APT)
• Trotz Patchen, aufwendige Technologie, Governance: keine 100% Schutz• Beispiel: Snake Attack an das Bundesnetz, 2018
• Ein Netz, das durch IT-Sicherheitsexperten und das BSI aufmerksam geschützt wird• „Snake“ APT: russische Hacker• "technisch anspruchsvollen und von langer Hand geplanten Angriff„ (Maiziere)• Erstinfizierung über Freundin eines MA des Auswärtigenamts (SZ, Mai 2018);• Nach Aktivierung Command and Control „C2“ Kommunikation über Email-Server (SZ,
März 2018)• C2-Kommunikation durch Mailserver wird normalerweise nicht geprüft (sondern z.B.
Endanwender)• "elegant, weil es unauffällig ist"
• Schaden begrenzt, weil Angreifer früh entdeckt, und schliesslich beobachtet wurde
Überblick
• Wo sind wir heute?
• Governance
• Schwachstellen-Management
• Patch, Patch, Patch
• SaaS als Alternative (Patching ausgelagert): welche Risikien?
• Beispiel: warum keine 100% Informationssicherheit
• Zusammenfassung
Zusammenfassung• Langweilige Wahrheiten:
• Patchen bringt mehr als ZeroDay-Schutz• Konsequente Governance kritische Voraussetzung für
ausreichend Schutz• Anwender Training, IAM (Identity und Access Management, 2FA)
• Zielsetzung:• Nicht 100% Sicherheit• Kosten eines potentiellen Vorfalls minimieren
• Cloud: insbesonders SaaS durch geprüfte Cloudprovider bringt Abhilfe, wichtige Prüfkriterien aufgelistet