Langweilige Pflichten, und kurzweiligen Geschichten aus

dem CyberraumDr. Claudia Johnson

Cloud Technologist

Oracle Germany

Überblick

• Wo sind wir heute?

• Governance

• Schwachstellen-Management

• Patch, Patch, Patch

• SaaS als Alternative (Patching ausgelagert): welche Risiken?

• Beispiel: warum keine 100% Informationssicherheit

• Zusammenfassung

Wo sind wir heute und warum?

0

200

400

600

800

1000

1200

1400

1600

1800

2005 2006 2007 2008 2009 2010 2011 2012 2013 2014 2015 2016 2017

Millions of data records exposed*

* Source: Statista.com

Exponentiale Wachstum, trotz steigende Ausgaben für Informationssicherheit, weil:• Immer mehr Daten gesammelt

werden• Cybercrime lohnt sich, es ist eine

„Wachstumindustrie“

(Crime Congress, Wien, 2015)

Überblick

• Wo sind wir heute?

• Governance

• Schwachstellen-Management

• Patch, Patch, Patch

• SaaS als Alternative (Patching ausgelagert): welche Risikien?

• Beispiel: warum keine 100% Informationssicherheit

• Zusammenfassung

Governance: was ist, wenn es fehlt?

Governance: welche Kriterien?

Fragen für potentielle Cloud / IT Lieferanten:

• Dokumentation über technische, organisatorische Maßnahmen

• Transparenz bezüglich Datenschutzmaßnahmen, DSGVO

• Zertifizierungen

• Audit-, Pentest-Berichte

• Schwachstellen-, Patching-Management Governance

• Bekannte Datenklau-Vorfälle?

Überblick

• Wo sind wir heute?

• Governance

• Schwachstellen-Management

• Patch, Patch, Patch

• SaaS als Alternative (Patching ausgelagert): welche Risikien?

• Beispiel: warum keine 100% Informationssicherheit

• Zusammenfassung

Schwachstellen-Management

• Exploit einer Applikationsschwachstelle ist nach wie vor die erfolgversprechendste Methode für Datenklau (einschliesslich Credential-Missbrauch)

• Wie identifiziert, und priorisiert Ihre Cloud / IT Lieferant Schwachstellen?

• 2017: fast 60 Schwachstellen täglich im Durchschnitt

• => Priorisierung / Risikoanalyse absolut notwendig

• Best Practice: Common Vulnerability Scoring System, „CVSS“ um Risiko zu bewerten, z.B. potentielle Auswirkung, Einfachheit des Exploits,...

• Anwender-Schutz (z.B. Multi FactorAuthentication „2FA“, Training,...)

Überblick

• Wo sind wir heute?

• Governance

• Schwachstellen-Management

• Patch, Patch, Patch

• SaaS als Alternative (Patching ausgelagert): welche Risikien?

• Beispiel: warum keine 100% Informationssicherheit

• Zusammenfassung

Patch, Patch, Patch

• Die meisten Exploits betreffen Schwachstellen, die seit mehr als ein Jahr bekannt sind

• Warum wird nicht zeitig gepatch?• Unvollständige oder nicht zufriedenstellende Kompatibilitätstests• Verwendung von nicht mehr unterstützte SW-Versionen (z.B. Microsoft XP)• Legacy-Software, für das es keinen Experten mehr gibt, der das Patch

erstellen kann

• => wenn man einen Weg findet zeitig zu patchen, gäbe es wesentlich weniger Datenklau

• => Auslagerung der Patchverantwortung durch geprüfte SaaS-Provider

Equifax: brisantes Beispiel von Datenklau• Equifax: amerikanische Pendant zum deutschen Schufa

• Daten:• 140+M amerikanische Staatsbürger betroffen

• Name, Social Security Number, Adresse, ...

• Identitätsrelevant, z.B. Wählerregistrierung

• Nicht nur für Equifax, sondern auch gesellschaftliche Schäden

• Exploit:

• nicht gepatchte Apache Struts

• SQLi

• Exploit teilweise unterstützt durch Metasploit im April 2017

Überblick

• Wo sind wir heute?

• Governance

• Schwachstellen-Management

• Patch, Patch, Patch

• SaaS als Alternative (Patching ausgelagert): welche Risikien?

• Beispiel: warum keine 100% Informationssicherheit

• Zusammenfassung

SaaS als Alternative (vs. Eigene Patchverantwortung)

• SaaS-Provider zuständig für Datenschutz, Informationssicherheit (Kernkompetenz)

• „Economy of Scale“ bei großen Provider: professionelles Schwachstellen-, Patchmanagement

• => es gilt den SaaS-Provider sorgfältig zu prüfen:• Schwachstellen-, Patchmanagement-Governance• Auditberichte, Zertifizierungen, Datenzentren• Governance bei Zugriffskontrolle, z.B. Segregation of Duties• Netzwerkschutz: Abhärtung, bzw Abschottung gegenüber des Internets• Intrusion Prevention, Security Information and Event Management-Systeme• ...und vieles mehr

SaaS Tenancy und Datenschutz• Tenancy:

• „SaaS 1.0 Multi-Tenant, d.h.: Tenants (Kunden) teilen der gleichen HW, OS, Applikationssoftware, DB

• SaaS 2.0: Isolated-, und Single-Tenancy• Isolated: d.h.: Tenants (Kunden) teilen der gleichen HW, jedes

Tenant hat eigenen Virtuellen-Instanz auf geteilten OS, => Applikationssoftware, DB auf eigene Instanz (keine Teilung)

• Single-Tenancy: Tenants (Kunden) verwenden eigene HW, OS, Applikationssoftware, DB

• => Isolated-Tenancy bietet zusätzliche Flexibilität, Datenschutz:• Upgrades, Patche müssen nicht mehr zur gleichen Zeit für

alle Tenants eingespielt werden• Daten, Applikationssw getrennt: Vorteile aus

Informationssicherheitssicht (z.B. Keine Kundendatenteilung bei API-Schwachstelle)

Enisa: Cloud and Security

“…Therefore the same amount ofinvestment in security buys betterprotection. ”3

3) Cloud Security Risk Assessment, ENISA

Überblick

• Wo sind wir heute?

• Governance

• Schwachstellen-Management

• Patch, Patch, Patch

• SaaS als Alternative (Patching ausgelagert): welche Risikien?

• Beispiel: warum keine 100% Informationssicherheit

• Zusammenfassung

Advanced Persistent Threats (APT)

• Trotz Patchen, aufwendige Technologie, Governance: keine 100% Schutz• Beispiel: Snake Attack an das Bundesnetz, 2018

• Ein Netz, das durch IT-Sicherheitsexperten und das BSI aufmerksam geschützt wird• „Snake“ APT: russische Hacker• "technisch anspruchsvollen und von langer Hand geplanten Angriff„ (Maiziere)• Erstinfizierung über Freundin eines MA des Auswärtigenamts (SZ, Mai 2018);• Nach Aktivierung Command and Control „C2“ Kommunikation über Email-Server (SZ,

März 2018)• C2-Kommunikation durch Mailserver wird normalerweise nicht geprüft (sondern z.B.

Endanwender)• "elegant, weil es unauffällig ist"

• Schaden begrenzt, weil Angreifer früh entdeckt, und schliesslich beobachtet wurde

Überblick

• Wo sind wir heute?

• Governance

• Schwachstellen-Management

• Patch, Patch, Patch

• SaaS als Alternative (Patching ausgelagert): welche Risikien?

• Beispiel: warum keine 100% Informationssicherheit

• Zusammenfassung

Zusammenfassung• Langweilige Wahrheiten:

• Patchen bringt mehr als ZeroDay-Schutz• Konsequente Governance kritische Voraussetzung für

ausreichend Schutz• Anwender Training, IAM (Identity und Access Management, 2FA)

• Zielsetzung:• Nicht 100% Sicherheit• Kosten eines potentiellen Vorfalls minimieren

• Cloud: insbesonders SaaS durch geprüfte Cloudprovider bringt Abhilfe, wichtige Prüfkriterien aufgelistet