Präsi - Konzept - PoC...Ausmass eines Angriffs und das Schadenspotenzial gedämpft oder...
Transcript of Präsi - Konzept - PoC...Ausmass eines Angriffs und das Schadenspotenzial gedämpft oder...
CyberSecurity-Digitalisierung-Awareness
About execure cloud division• Spezialisierte Cloud-&Security-Company «know how & do how», Microsoft Gold Certified Partner
• Fokus (Hybrid)Cloud-Plattform und Lösungen von Microsoft (Azure, MDM EMS, Office 365 etc.)
• Partner für Transformation / Organisationsoptimierung / «Empowering» zur Digitalisierung
• Standardisierung, Konsolidierung, Homogenisierung, Optimierung, Automatisierung
• ICT-Consulting, ICT-Engineering, ICT-Audit, ICT-Coaching, ICT-Optimierung, Business Engineering
• Kunden: Unternehmen von 2 Arbeitsplätzen bis internationale Konzerne
• Seit Juli 2018 Mitglied Swiss-IT-Security-Gruppe (ca. 300 Ma.) www.sits-group.chBrückenschlag (Hybrid) / Public Cloud <> Cybersecurity <> DEV
• Ab Januar 2019: Cloud Division der execure AG www.execure.ch
Themen
Next?AboutCyberSecurity
Digitalisierung
Awareness
CyberSecurity-Digitalisierung Awareness
Publizierter Fachartikel:
https://fridelonroad.wordpress.com/2017/11/19/cybersecurity-und-sicherheit-ist-eine-
gemeinsam-geteilte-verantwortung-security-awareness-7/
CyberSecurity is a shared responsibility -> Technologie kommt ohne Mithilfe durch Schwachstelle Mensch oder «Stand der Technik» an Grenzen
90%
90% Schwachstelle
Mensch
CyberSecurity-Digitalisierung Awareness BIM / Digitalisierung
IoT, 5G, Cloud
«Digital Twins / Zwillinge» im Universum von «massiv interconnected everything» & «secure digital services and fabrication»
Digitalisierung & Transformation bei Firmen
«massive interconnection of everything» - unpatched
IoT, 5G, AI, Big Data, machine learning, deep learning
Smart / connected home & everything - unpatched
Umfassende Verbindung virtuelle / physische Welt
Vernetzt I Digitalisiert I Interdisziplinär I Teams
coWorking Offices, «unsichere» Zugänge
Mobility / Teleworking / HomeOffice
Bring your own device (BYOD), App (Store) Security
Device- & speziell Identity-Security >MDM / MAM
Geräte- und Standort-unabhängigkeit
Digitale Aufputschmittel gegen analoge Trägheit
CyberSecurity-Digitalisierung Awareness 2Mio Devices
50’000Mutationen
CyberSecurity-Digitalisierung Awareness
Publizierter Fachartikel:
https://fridelonroad.wordpress.com/2017/11/19/cybersecurity-und-sicherheit-ist-eine-
gemeinsam-geteilte-verantwortung-security-awareness-7/
CyberSecurity is a shared responsibility -> Technologie kommt ohne Mithilfe durch Schwachstelle Mensch oder «Stand der Technik» an Grenzen
Wenn Sie denken, dass Technologie Ihre
Sicherheitsprobleme lösen kann
dann verstehen Sie die Grundproblematik
nicht umfassend und verstehen auch
die Technologie nicht genügend tief.
Schlaflos mangels
Cyber-Resilienz
CyberSecurity-Digitalisierung Awareness
Publizierter Fachartikel:
https://fridelonroad.wordpress.com/2017/11/19/cybersecurity-und-sicherheit-ist-eine-
gemeinsam-geteilte-verantwortung-security-awareness-7/
CyberSecurity is a shared responsibility -> Technologie kommt ohne Mithilfe durch Schwachstelle Mensch oder «Stand der Technik» an Grenzen
Hochinformiertes
Halb-Wissen
CyberSecurity-Digitalisierung Awareness
Publizierter Fachartikel:
https://fridelonroad.wordpress.com/2017/11/19/cybersecurity-und-sicherheit-ist-eine-
gemeinsam-geteilte-verantwortung-security-awareness-7/
CyberSecurity is a shared responsibility -> Technologie kommt ohne Mithilfe durch Schwachstelle Mensch oder «Stand der Technik» an Grenzen
«Gottes-Vertrauen» reicht nicht mehr
«Zero Trust» (Null Vertrauen) ist das
neue «Ave Maria»
gemäss «Stand der Technik»
als einneues «Gebot»
“Gottes-Vertrauen”
“Null-Vertrauen”
CyberCrime ist ein globaler Wirtschaftsfaktor (tax free) mit lohnenswerten Investitionen in immer mächtigeren Angriffsvektoren
-Staats-Spionage 4.0 mit CyberCrime > Internet / Root DNS
-Industrie-Spionage > Industrie-/Root-Hacks > Sollbruch
-Data is new currency > Identity is the new security perimeter
-Security Hygiene is critical > Zero Trust als Awareness
-»Cybercrime as a service» CaaS -> 80 – 200Mia taxfree
-Darknet -> Shop, Parallelwelt, mit auch Bewertung
-Plattform Kapitalismus -> Systemgläubigkeit, FakeNews
-Klassische Viren > neue Ransomware / Malware / USB
>Klassische Schutzmassnahmen haben ausgedient > ATP
-Social Engineering > CxO Fraud, StoryTelling
-Rise of massive Interconnection / dual use > IoT, 5G, AI
-Umfassende Verbindung virtuelle / physische Welt
-Distributed Denial of Service (DDoS) … as a service …
-Reputation Management -> IP, DataBreaches
-Beeinträchtigung des Kerngeschäfts -> Risk Mgt.
-Datenschutz-Regulationen DSGVO / GDPR / DSG
auch z.B. EU Leitlinien zur KI und zum Datenschutz
-CyberSouveranität der Schweiz -> NCS1 / NCS2
-Aus- und Weiterbildungs-Offensiven CyberSec -> auch Ethics
-Mrs. oder Mr. CyberSecurity in der Schweiz
CyberSecurity-Digitalisierung Awareness
Publizierter Fachartikel:
https://fridelonroad.wordpress.com/2018/06/22/cybersecurity-sensibilisierung-und-
staerkung-der-schwachstelle-mensch-zugunsten-der-gesamtsicherheit/
Cyber-Crime
DualUse / DarkSide
CyberSecurity is a shared responsibility -> Technologie kommt ohne Mithilfe durch Schwachstelle Mensch oder «Stand der Technik» an Grenzen
CyberSecurity und Sicherheit ist eine gemeinsam geteilte Verantwortung > Faktor Mensch
-Ca. 90% der erfolgreichen CyberAttacken starten mit einem Email (oder Webseite) > Malware
> Social Engineering > Phishing > Insider-Wissen > Tel-Anrufe Swisscom / Microsoft > CEO-Fraud
-Paradigmenwechsel von Device zu Identity Security und Selbstverantwortung > Zero Trust
-Danach sind bis zu 80% der Fälle dann mittels einfachen oder gestohlenen Kennwörtern
ermöglicht, und mit zu hohen Rechten / Insiderwissen
-Massive Zunahme von CyberAttacken pro Jahr > auch multipliziert durch IoT
-Durchschnittliche Erkennung von komplexen Attacken zwischen einzelnen Wochen bis mehrere
Monate -> Beispiel Cyberangriffe auf RUAG (Dez. 2015 bis Mai 2016)
-Benutzer oder Devices mit zu hohen Rechten oder gar Adminrechten erhöhen Schadenspotential -
> «reduce to the max» rights & access, conditional access CA
-Weiterentwicklung von Device Security zu "user centric" Security / Identity > sicherheitstechnisch
schwächster User mit grösstem Schadenspotenzial
-Security by design / by default > Stand der Technik > «reduce to the max» > GDPR > BIM, IoT,
SmartCity, AI (massive interconnected) -> Resilienz,
-Datensicherheit > Datenschutz > GDPR > Email ist unsicher by design … -> Sharepoint, OneDrive,
OneNote, AIP, EMS MDM, ATP
-Mehrschichtiger, gesamtheitlicher Schutz (multilayered security) > don’t forget: USB-Stick, DVD-CD,
externes unsicheres WLAN, Papier-Shredder gegen Insiderwisen...
-Dokumentation > KnowHow-Transfer > Monitoring, Advanced Threat Protection / Analytics
-ICT Security Policy und Sensibilisierung als effektivste Prävention auf Seite Anwender
-Backup, Backup, Backup, Backup
-HealthCheck, Assessment, Tests, OnlinePrüfung, Security Score Board
Qualität - und darum auch Sicherheit - nimmt vom Stellenwert her zu > auch bei (K)MU
Zukunft? Cyber- und Digitalisierung-Souveränität und Resilienz > in verteilten / massive
interconnected Systemen, BIM > SmartCity > IoT > AI (dual use) > ATP > ATA > WaaS
CyberSecurity-Digitalisierung Awareness
Publizierter Fachartikel:
https://fridelonroad.wordpress.com/2017/11/19/cybersecurity-und-sicherheit-ist-eine-
gemeinsam-geteilte-verantwortung-security-awareness-7/
Seit letztem halben Tag:
- Rund 1Mio neue Devices mit dem Internet verbunden …
- Rund 25’000 neue Malicious Codes / Varianten / Mutationen im Angriff
- Technologie ist am Ende… > Security by design / Advanced Threat Protection
& Faktor Mensch / Mitverantwortung
Im Jahr 2018 (statische Anteile, auch in Kombinationen):
- Cirka 50% finanziell motiviert
- Cirka 30% politisch, «hacktivistisch» oder sozial motiviert
- Cirka 25% Insider Threats und cirka 25% Firmenspionage
- Cirka 20% CyberWar auf Staats-/Regierungs-/Politik-Ebene
- Durchschnittliche Kosten einer CyberAttacke cirka 1Mio $
Stand der Technik
Security by design
CyberSecurity-Digitalisierung Awareness
Publizierter Fachartikel:
https://fridelonroad.wordpress.com/2019/01/16/digitalisierung-%c2%a6-
cybersecurity-sensibilisierung-mehrschichtige-sicherheitsstrategie/
«multilayered Security Strategy» -> Intelligente, umfassende Orchestrierung und Kombination zugunsten «Angriffs- und Betriebs-Sicherheit»
«massive interconnected everything / clouds»
Regulation oder Industrie-Standards ? ->
Stand der Technik, Security by design
Beispiel DSGVO / GDPR: Seit Mai 2018 wurden den europäischen
Datenschutzbehörden fast 60'000 Verstösse gemeldet. Bussen wurden aber
noch keine 100 verhängt.
Root-DNS-Attacken 2018 -> DNSSEC, DDoS
Social Engineering, Sextortion, Ransomware, CxO-Frauds
Rise of DDoS-Attacks
Zeitalter von IoT, 5G, Smart Cities -> unpatched, DDoS
«Internet-Redesign» zu sicherem Internet, Security by design Webplattformen
Dual-Use Technologies > AI, ML, Botnets, Industry Hacks, Malicious Mining
Smart xyz
Connected xyz
«multilayered Security Strategy»
Mensch, Prozesse und Maschine / AI / ML
= 99% Security > Rest im Riskmanagement
Die Sicherheitsfrage lässt sich nicht auf Knopfdruck oder
mittels nur einem System lösen, und es gibt keine
Universallösung für alle Sicherheitsprobleme in der Vision
von «Security automation». Die umfassende Verteidigung
mittels einer mehrschichtigen Sicherheit und Ausrichtung auf
«security automation» in der nötigen Tiefe und
Ganzheitlichkeit ist jedoch eine Strategie, bei der mithilfe
zahlreicher Mechanismen und mehreren Schutzebenen das
Ausmass eines Angriffs und das Schadenspotenzial gedämpft
oder entschleunigt wird, der darauf abzielt, unberechtigten
Zugriff auf personen- oder firmensensitive Informationen zu
erlangen.
CyberSecurity-Digitalisierung Awareness
Publizierter Fachartikel:
https://fridelonroad.wordpress.com/2019/01/16/digitalisierung-%c2%a6-cybersecurity-
sensibilisierung-mehrschichtige-sicherheitsstrategie/
«multilayered Security Strategy» -> Intelligente, umfassende Orchestrierung und Kombination zugunsten «Angriffs- und Betriebs-Sicherheit»
Multilayered Sec
Cyber Resilienz
«multilayered Security Strategy»
Mensch, Prozesse und Maschine / AI / ML
= 99% Security > Rest im Riskmanagement
Die Sicherheitsfrage lässt sich nicht auf Knopfdruck oder
mittels nur einem System lösen, und es gibt keine
Universallösung für alle Sicherheitsprobleme in der Vision
von «Security automation». Die umfassende Verteidigung
mittels einer mehrschichtigen Sicherheit und Ausrichtung auf
«security automation» in der nötigen Tiefe und
Ganzheitlichkeit ist jedoch eine Strategie, bei der mithilfe
zahlreicher Mechanismen und mehreren Schutzebenen das
Ausmass eines Angriffs und das Schadenspotenzial gedämpft
oder entschleunigt wird, der darauf abzielt, unberechtigten
Zugriff auf personen- oder firmensensitive Informationen zu
erlangen.
CyberSecurity-Digitalisierung Awareness
Publizierter Fachartikel:
https://fridelonroad.wordpress.com/2019/01/16/digitalisierung-%c2%a6-cybersecurity-
sensibilisierung-mehrschichtige-sicherheitsstrategie/
«multilayered Security Strategy» -> Intelligente, umfassende Orchestrierung und Kombination zugunsten «Angriffs- und Betriebs-Sicherheit»
Multilayered Sec
Cyber Resilienz
Angriffsvektoren -> Orchestrierung und Kombination auf der «dunklen Seite der Macht» führt zu sehr «dynamischen Bedrohungslage»
-Managed Security Services (MSS)
-Endpoint Protection > Identity Security
-Data Leak / Loss Prevention (DLP)
-Information Rights Management, Labeling (IRM)
-Advanced Threat Protection (ATP) -> Enterprise Class Technology
-Advanced Monitoring / anomaly detection gegenüber Baselines
-Kombination von Data Protection & Data Security
-Mailsecurity > Collaboration & Datenaustausch ohne unsicheres Mail
-Security Operation Center as a Services (SOCaaS), SIEM
-»Security automation» zugunsten «Angriff- und Betrieb-Sicherheit OT»
-ICT Security Policy / Weisungen für Mitarbeiter / Kennworttrennungen
-Multi Factor Authentication (MFA), Single Sign On (SSO)
-Conditional Access (CA) -> «reduce to the max» access & rights
-CyberSecurity Awareness / Training für Mitarbeiter / Security Hygiene
auch mit z.B. MELANI, digitale Mündigkeit / Maturität, Ethik
-Komplexere Angriffsvektoren und –Anatomien -> Dual Use / AI / ML
«multilayer Security Strategy» -> Security Maturity Model, ISO 27001
-BCM und Krisenmanagement im Rahmen des Risk-Management / ISMS
CyberSecurity-Digitalisierung Awareness
Publizierter Fachartikel:
https://fridelonroad.wordpress.com/2019/01/16/digitalisierung-%c2%a6-cybersecurity-
sensibilisierung-mehrschichtige-sicherheitsstrategie/
Angriffsvektoren
CyberWeapon Zero
Angriffsvektoren -> Orchestrierung und Kombination auf der «dunklen Seite der Macht» führt zu sehr «dynamischen Bedrohungslage»
-Managed Security Services (MSS)
-Endpoint Protection > Identity Security
-Data Leak / Loss Prevention (DLP)
-Information Rights Management, Labeling (IRM)
-Advanced Threat Protection (ATP) -> Enterprise Class Technology
-Advanced Monitoring / anomaly detection gegenüber Baselines
-Kombination von Data Protection & Data Security
-Mailsecurity > Collaboration & Datenaustausch ohne unsicheres Mail
-Security Operation Center as a Services (SOCaaS), SIEM
-»Security automation» zugunsten «Angriff- und Betrieb-Sicherheit OT»
-ICT Security Policy / Weisungen für Mitarbeiter / Kennworttrennungen
-Multi Factor Authentication (MFA), Single Sign On (SSO)
-Conditional Access (CA) -> «reduce to the max» access & rights
-CyberSecurity Awareness / Training für Mitarbeiter / Security Hygiene
auch mit z.B. MELANI, digitale Mündigkeit / Maturität, Ethik
-Komplexere Angriffsvektoren und –Anatomien -> Dual Use / AI / ML
«multilayer Security Strategy» -> Security Maturity Model, ISO 27001
-BCM und Krisenmanagement im Rahmen des Risk-Management / ISMS
CyberSecurity-Digitalisierung Awareness
Publizierter Fachartikel:
https://fridelonroad.wordpress.com/2019/01/16/digitalisierung-%c2%a6-cybersecurity-
sensibilisierung-mehrschichtige-sicherheitsstrategie/
OSI Layer
Mehrschichten
Data Breaches schon lange auch in der Schweiz angekommen -> Mehrschichtige, orchestrierte Gegenmassnahmen noch lange nicht …
-Beispiele Databreaches / Social Engineering / Disinformation / Fake
-Hochkomplexe Anatomie einer CyberAttacke -> MSS / SOCaaS
-Top 10 Gegenmassnahmen -> z.B. Backup, Klassifizierung, MFA, CA,
Kennworttrennung / PW-Tresor, Monitoring, Mobile Security MDM /
MAM / ATP, APP Store Security, UNLearning Dogma Kennwortdesign
-Frameworks, Methoden, Industrie Standards, Risk Mgt., ISO27001
-Regulationen, Strategie > NCS1 / NCS2 / EU-GDPR / CH-DSG > BDSV
-best practices -> z.B. Datenschutzfolgenabschätzungen, DPO, DNSSEC
-Stand der Technik -> by design / by default / Orchestrierung / Monitor
-Security by design / security by default / Auditing / ISMS / Zero Trust
-Secure Coding, Open Source, Code Offenlegung, Ethics
-Multi Cloud Provider Services und Outsourcing-Vertragsmanagement
CyberSecurity-Digitalisierung Awareness
Publizierter Fachartikel:
https://fridelonroad.wordpress.com/2018/11/28/digitalisierung-%c2%a6-
cybersecurity-sensibilisierung-festtage-fuer-cybercrime-trotz-
weihnachten/
Massnahmen
Frameworks
Data Breaches schon lange auch in der Schweiz angekommen -> Mehrschichtige, orchestrierte Gegenmassnahmen noch lange nicht …
CyberSecurity-Digitalisierung Awareness Cyber Kill Chain
Anatomie
CyberSecurity-Digitalisierung AwarenessCyber Souveränität > Resilienz > Sensibilisierung > UN-learning
> Bildung > Datenschutz > Persönlichkeitsrechte > digitale Mündigkeit
> Mitgestaltung > Mitbestimmung > (Teil)Kontrolle > Transparenz > Vertrauen
Attackers
Anatomie
CyberSecurity-Digitalisierung Awareness
Publizierter Fachartikel:
https://fridelonroad.wordpress.com/2019/01/16/digitalisierung-%c2%a6-
cybersecurity-sensibilisierung-mehrschichtige-sicherheitsstrategie/
«multilayered Security Strategy» -> Intelligente, umfassende Orchestrierung und Kombination zugunsten «Angriffs- und Betriebs-Sicherheit»
«multilayered Security Strategy»
Mensch, Prozesse und Maschine / AI / ML
= 99% Security > Rest im Riskmanagement
Die Sicherheitsfrage lässt sich nicht auf Knopfdruck oder
mittels nur einem System lösen, und es gibt keine
Universallösung für alle Sicherheitsprobleme in der Vision
von «Security automation». Die umfassende Verteidigung
mittels einer mehrschichtigen Sicherheit und Ausrichtung auf
«security automation» in der nötigen Tiefe und
Ganzheitlichkeit ist jedoch eine Strategie, bei der mithilfe
zahlreicher Mechanismen und mehreren Schutzebenen das
Ausmass eines Angriffs und das Schadenspotenzial gedämpft
oder entschleunigt wird, der darauf abzielt, unberechtigten
Zugriff auf personen- oder firmensensitive Informationen zu
erlangen.
Orchestrierung
(Un)Sec aus Cloud
CyberSecurity-Digitalisierung AwarenessUN-learning… «Platz für neue
Paradigmen…» Cyber Souveränität > Resilienz > Sensibilisierung > UN-learning
> Bildung > Datenschutz > Persönlichkeitsrechte > digitale Mündigkeit
> Mitgestaltung > Mitbestimmung > (Teil)Kontrolle > Transparenz > Vertrauen
(aber Zero Trust …)
https://www.youtube.com/watch?v=pzirMJPoOH0
Reality Check
“let’s face it” …
Wünsche Ihnen
guten Schlaf!
Und Vertrauen!
CyberSecurity-Digitalisierung Awareness Guten Schlaf! Trust!
CyberSecurity-Digitalisierung Awareness
CyberSecurity-Digitalisierung Awareness
CyberSecurity-Digitalisierung Awareness
CyberSecurity-Digitalisierung Awareness
CyberSecurity-Digitalisierung Awareness
CyberSecurity-Digitalisierung Awareness
CyberSecurity-Digitalisierung Awareness
CyberSecurity-Digitalisierung Awareness
CyberSecurity-Digitalisierung Awareness
Themen
Next?AboutCyberSecurity
Digitalisierung
Awareness
Fragen?
Fridel Rickenbacher ist ein Schweizer Unternehmer mit Erfahrung als co-founder, Verwaltungsrat, Geschäftsführer, Projektleiter, Auditor und Senior Consultant für auch CyberSecurity- und Datenschutz-Themen (wie DSGVO), mit abgeschlossenen Ausbildungen und diversen Zertifizierungen für Wirtschaftsinformatik, Cloudlösungen, ICT-Coaching, ICT-Engineering, ICT-Auditing, Digitalisierung und Cybersecurity, unteranderem an der Fachhochschule HSLU Luzern und bei Microsoft.Auf seinem ersten Bildungsweg war er tätig in der Bauindustrie bei unterschiedlichen Ingenieurbüro, Architekturbüro, Totalunternehmen und bildete sich aus und weiter als Bauzeichner, Bauleiter, Projektleiter, Immobilien an der Fachhochschule HSLU Luzern und HWZ Baar. Des Weiteren ist er Mitglied und Projektleiter bei diversen Branchen- und Fachverbänden (z.B. auch bauen-digital.ch (Projektleiter «Security & ICT Architektur Framework in BIM») oder 15 Jahre beim SIA.ch in der Informatik Kommission) als „Verbands-Aktivist“ engagiert und tätig in diversen Redaktionen auf seiner wissens- und impuls-vermittelnden Mission "sh@re toevolve". Als Aktionär und Akteur bei z.B. BuildUP AG Schweiz ist er auch monetär überzeugt engagiert.In Gesetzesvernehmlassungen arbeitet er via den Verbänden mit und war aktiv bei z.B. CH-DSG in Anlehnung an DSGVO / GDPR und EPDG.Als Akteur bei «Nationale Strategie zum Schutz der Schweiz vor Cyber-Risiken (NCS)» bringt er sich zudem ein auf Bundesebene bei Workshops, Vernehmlassungen und Inhalten.Seine Impulsartikel und Interviews mit interessanten Menschen und Influencern rund um die Digitalisierung, CyberSecurity, ICT-Fachthemen werden in diversen Print- und Online-Medien publiziert und referenziert.
https://fridelonroad.wordpress.com/