Mapping technischer Schwachstellen aus der OWASP Top 10 ... · -Standards von ISO/IEC 27000 bis...

12
Mapping technischer Schwachstellen aus der OWASP Top 10 auf ISO/IEC 27001 Controls Tobias Kappert Münster, November 2018

Transcript of Mapping technischer Schwachstellen aus der OWASP Top 10 ... · -Standards von ISO/IEC 27000 bis...

Page 1: Mapping technischer Schwachstellen aus der OWASP Top 10 ... · -Standards von ISO/IEC 27000 bis 27050 und 27799 Informations-Sicherheits-Management-System (ISMS)-ISO/IEC 27001-Zertifizierbar-Annex

Mapping technischer Schwachstellen aus der OWASP Top 10 auf ISO/IEC 27001 Controls

Tobias KappertMünster, November 2018

Page 2: Mapping technischer Schwachstellen aus der OWASP Top 10 ... · -Standards von ISO/IEC 27000 bis 27050 und 27799 Informations-Sicherheits-Management-System (ISMS)-ISO/IEC 27001-Zertifizierbar-Annex

2 von 11

ISO/IEC 27001

Standard für IT-Sicherheitsmanagement in Unternehmen nach ISO/IEC

- Schutz von Assets

ISO/IEC 27000-Familie ist sehr umfangreich

- Standards von ISO/IEC 27000 bis 27050 und 27799

Informations-Sicherheits-Management-System (ISMS)

- ISO/IEC 27001

- Zertifizierbar

- Annex A - Controls

Tobias Kappert Mapping technischer Schwachstellen aus der OWASP Top 10 auf ISO/IEC 27001 Controls 20.11.2018

Page 3: Mapping technischer Schwachstellen aus der OWASP Top 10 ... · -Standards von ISO/IEC 27000 bis 27050 und 27799 Informations-Sicherheits-Management-System (ISMS)-ISO/IEC 27001-Zertifizierbar-Annex

3 von 11

ISO/IEC 27001Annex A - Controls

Aufbau Annex A

– Sicherheitsthema (14 Themen)

– Maßnahmenziel (35 Ziele)

– Abstrakte Zieldefinition

– 1 bis n Controls je Ziel (114 Controls)

Hoher Abstraktionsgrad

– Controls definieren was geschützt werden soll

– Keine Vorgabe über das “Wie“

Control-Aufbau

– Nummer, Titel, Kurzbeschreibung

Tobias Kappert Mapping technischer Schwachstellen aus der OWASP Top 10 auf ISO/IEC 27001 Controls 20.11.2018

Page 4: Mapping technischer Schwachstellen aus der OWASP Top 10 ... · -Standards von ISO/IEC 27000 bis 27050 und 27799 Informations-Sicherheits-Management-System (ISMS)-ISO/IEC 27001-Zertifizierbar-Annex

4 von 11

ISO/IEC 27001 und ISMS

Mapping technischer

Schwachstellen aus den

OWASP Top 10 auf ISO

27001-Controls

Tobias Kappert Mapping technischer Schwachstellen aus der OWASP Top 10 auf ISO/IEC 27001 Controls 20.11.2018

Page 5: Mapping technischer Schwachstellen aus der OWASP Top 10 ... · -Standards von ISO/IEC 27000 bis 27050 und 27799 Informations-Sicherheits-Management-System (ISMS)-ISO/IEC 27001-Zertifizierbar-Annex

5 von 11

VorgehensweiseGenerelles Vorgehen und Kriterien

Tobias Kappert Mapping technischer Schwachstellen aus der OWASP Top 10 auf ISO/IEC 27001 Controls 20.11.2018

Analyse

- OWASP Top 10

- Annex A – ISO Controls

Eigenschaften und Kriterien

- Risiken (Technischer und Business Impact)

- Angriffsmodell

- Direkter Angriff

- Angriff durch Ausnutzen menschlicher Komponente (Phishing)

- Schwachstellenart

- Web oder Desktop

Mapping – direkt oder mittelbar

Page 6: Mapping technischer Schwachstellen aus der OWASP Top 10 ... · -Standards von ISO/IEC 27000 bis 27050 und 27799 Informations-Sicherheits-Management-System (ISMS)-ISO/IEC 27001-Zertifizierbar-Annex

6 von 11

VorgehensweiseBeispiel einer OWASP Top 10 Schwachstelle (SQL-Injection)

String sql = "SELECT * FROM users";sql += "WHERE username='" + username + "' ";sql += "AND password='" + password + "' ";ResultSet rs = st.executeQuery(sql);

False OR

True

Attack: username=admin, password=' or '1' = '1

Tobias Kappert Mapping technischer Schwachstellen aus der OWASP Top 10 auf ISO/IEC 27001 Controls 20.11.2018

Resulting SQL command:SELECT * FROM usersWHERE username='admin' AND password='' or '1' = '1'

True

Page 7: Mapping technischer Schwachstellen aus der OWASP Top 10 ... · -Standards von ISO/IEC 27000 bis 27050 und 27799 Informations-Sicherheits-Management-System (ISMS)-ISO/IEC 27001-Zertifizierbar-Annex

7 von 11

VorgehensweiseMapping am Beispiel der SQL-Injection

Tobias Kappert Mapping technischer Schwachstellen aus der OWASP Top 10 auf ISO/IEC 27001 Controls 20.11.2018

Relevant SQL-InjectionA 11 Physical and environmental security Nein -

… … …A 12.6.1 Management of technical vulnerabilities Ja DirektA 14.2.1 Secure development policy Ja DirektA 14.2.8 System security testing Ja MittelbarA 18.1.3 Protection of Records Ja Direkt

Page 8: Mapping technischer Schwachstellen aus der OWASP Top 10 ... · -Standards von ISO/IEC 27000 bis 27050 und 27799 Informations-Sicherheits-Management-System (ISMS)-ISO/IEC 27001-Zertifizierbar-Annex

8 von 11

VorgehensweiseMapping am Beispiel einer Security Misconfiguration

Tobias Kappert Mapping technischer Schwachstellen aus der OWASP Top 10 auf ISO/IEC 27001 Controls 20.11.2018

Relevant Security Misconfiguration

A 11 Physical and environmental security Nein -… … …

A 12.6.1 Management of technical vulnerabilities Ja DirektA 14.2.1 Secure development policy Ja MittelbarA 14.2.8 System security testing Ja MittelbarA 18.1.3 Protection of records Ja Direkt

Page 9: Mapping technischer Schwachstellen aus der OWASP Top 10 ... · -Standards von ISO/IEC 27000 bis 27050 und 27799 Informations-Sicherheits-Management-System (ISMS)-ISO/IEC 27001-Zertifizierbar-Annex

9 von 11

ErgebnisMapping-Kreuz-Tabelle

Tobias Kappert Mapping technischer Schwachstellen aus der OWASP Top 10 auf ISO/IEC 27001 Controls 20.11.2018

• Alle Schwachstellen direkt

• Alle Schwachstellen mittelbar

• Alle Schwachstellen direkt/mittelbar

• Spezifische Schwachstellen

Cluster

Page 10: Mapping technischer Schwachstellen aus der OWASP Top 10 ... · -Standards von ISO/IEC 27000 bis 27050 und 27799 Informations-Sicherheits-Management-System (ISMS)-ISO/IEC 27001-Zertifizierbar-Annex

10 von 11

ErgebnisseErgebnisse der Arbeit

114

Tobias Kappert Mapping technischer Schwachstellen aus der OWASP Top 10 auf ISO/IEC 27001 Controls 20.11.2018

Page 11: Mapping technischer Schwachstellen aus der OWASP Top 10 ... · -Standards von ISO/IEC 27000 bis 27050 und 27799 Informations-Sicherheits-Management-System (ISMS)-ISO/IEC 27001-Zertifizierbar-Annex

11 von 11

GithubErgebnisse der Arbeit

Tobias Kappert Mapping technischer Schwachstellen aus der OWASP Top 10 auf ISO/IEC 27001 Controls 20.11.2018

https://github.com/puQy/OWASP_ISO27k1Mapping

Page 12: Mapping technischer Schwachstellen aus der OWASP Top 10 ... · -Standards von ISO/IEC 27000 bis 27050 und 27799 Informations-Sicherheits-Management-System (ISMS)-ISO/IEC 27001-Zertifizierbar-Annex

Vielen Dank für Ihre Aufmerksamkeit!

Tobias Kappert