Upload
digicomp-academy-ag
View
609
Download
1
Embed Size (px)
Citation preview
1
Dreamlab Technologies AGSecurity Testing & Vulnerability Landscape Switzerland
Today. Tomorrow. Secure.
1
© by Dreamlab Technologies AG 2011
2
Referent
Robert Randall
OSSTMM Instruktor, Produkt Manager, Projekt ManagerDreamlab Technologies AGDipl. Ing. FH IT Security, OPSA, OPST
15 Jahre zwischen Technik und Business und immer mit Sicherheit
Email: [email protected]: +41313986666
2
© by Dreamlab Technologies AG 2011
3
Dreamlab Technologies AG
Dreamlab Technologies arbeitet seit fast 15 Jahren
erfolgreich in der Sicherheitsindustrie.
Standorte in:
Berne (Headquarter)ZürichLyon (F)Chile / LATAM
3
© by Dreamlab Technologies AG 2011
4
Dreamlab Technologies AG
Consulting
EducationSolutions/ Operation
Audit
Security
Open standards
Security Consulting
Security Testing
Security Operations
Operational excellence
Bringing together research and industry
4
© by Dreamlab Technologies AG 2011
5
Agenda
Sicherheitstests, wozu?Wie man Diamanten raubt.
Wie man Sicherheit misst.
Wie man eindringt.
Wie man das Risiko managt.
Zusammenfassung
Diskussion
5
© by Dreamlab Technologies AG 2011
9
Etwas schützen.
Der Wert, der geschützt werden sollte: Information.
9
© by Dreamlab Technologies AG 2011
10
Schutzziele
Vertraulichkeit
Nachvollziehbarkeit
Integrität
Verfügbarkeit
10
© by Dreamlab Technologies AG 2011
12
Geräte, die einfach funktionieren sollten.
Wie der Sydney Morning Herald berichtet, ermittelte eine Studie, dass mehr als 100'000 Patienten einen Herzschrittmacher im Körper haben, der via WLAN gehackt werden kann.
12
© by Dreamlab Technologies AG 2011
16
Was im Film funktioniert, klappt auch in der Realität...Quelle: Wired 14.04
16
© by Dreamlab Technologies AG 2011
19
Das Methodenhandbuch für Sicherheitstests
Standardisiert Sicherheitstests, macht sie objektiv überprüfbar und leicht reproduzierbar.
Ist offen zugänglich (www.osstmm.org), von Herstellern und Technologien unabhängig.
Setzt auf die Kreativität der Tester und auf Wissen statt Automatismen.
Wurde von der ISECOM entwickelt.
OSSTMM
19
© by Dreamlab Technologies AG 2011
20
Ein OSSTMM-Sicherheitstest ist
Eine qualifizierte Untersuchung
Eine Messung von
• Konfiguration, • Best Practice, • Belastbarkeit (rechtlichen Aspekten), • Prozesssicherheit,• Limitationen & Kontrollen.
Quantitativ + Qualitativ
20
© by Dreamlab Technologies AG 2011
22
Strukturierte Tests
Target
Channels
Find
ings
Vektor Scope
PHYSEC
COMSEC
SPECSEC
OSSTMM
21
© by Dreamlab Technologies AG 2011
23
Wirtschaftlicher Nutzen• Erfolgsfaktor Sicherheit: Return on Investment
• Managementkompatibel: Key Performance Index (KPI)
• Reproduzierbare Resultate: Risk Assesment Value (RAV)
OSSTMM
22
© by Dreamlab Technologies AG 2011
24
Technischer Nutzen• Sicherheit wird messbar.
• Maximale Testqualität.
• Unabhängigkeit und Kreativität.
OSSTMM
23
© by Dreamlab Technologies AG 2011
26
Systematisches Vorgehen
Zielsystem definieren (Scope). Einflussfaktoren definieren (Scope). Angriffswinkel definieren (Vektor). Angriffsmethode wählen (Channel).
25
© by Dreamlab Technologies AG 2011
28
Operative Sicherheit
Sichtbarkeit
Zugang
Vertrauensstellung
Limitationen
Kontrollen
Prozesse
27
© by Dreamlab Technologies AG 2011
33
Diamantenraub
Gründliches und methodisches VorgehenEinbruch ist ein Handwerk
32
© by Dreamlab Technologies AG 2011
34
OSSTMM: Risk Assessment Value
- +
Limitations ControlsOperational Security
33
© by Dreamlab Technologies AG 2011
35
OSSTMM: Risk Assessment Value
- +
Visibility
Limitations ControlsOperational Security
Access
Trust
Vulnerability
Weakness
Anomaly
Exposure
Concern
VerschlüsselungConfidentiality
Alarming
Authentication
Monitoring
...
34
© by Dreamlab Technologies AG 2011
38
30. März 2011Basel: Diamanten für Millionen geraubt
An der Uhren- und Schmuckmesse „Baselworld“ haben Unbekannte vier Diamanten mit Millionenwert gestohlen. Trotz sofort verriegelter Halle gelang es den Tätern zu entkommen. Drei Unbekannte hätten die Angestellten eines Diamantenhändlers abgelenkt, sagte ein Sprecher der Staatsanwaltschaft. Derweil stahlen weitere Unbekannte die vier Diamanten aus einer Vitrine.
Quelle: Tamedia.
37
© by Dreamlab Technologies AG 2011
40
Beispiele für systematisches Vorgehen
Treiber-Attacke Anatomie eines Webangriffes Aktuelle Ereignisse
39
© by Dreamlab Technologies AG 2011
41
Oktober 2009
Tausende Login-Daten bei Hotmail geklautPhishing: Täter veröffentlichen Passwörter von etwa 10'000 E-Mail-Konten im Internet. Auch Konten von Google's Gmail sollen betroffen sein.
Quelle: http://www.abendblatt.de/ratgeber/multimedia/article1216906/Tausende-Login-Daten-bei-Hotmail-geklaut.html
40
© by Dreamlab Technologies AG 2011
42
Aug. 2010iPhone und iPad mit SicherheitslückeDass man das iPhone, iPad und iPod Touch einfach per Webseitenbesuch hacken kann, ist für manche User praktisch, doch sicherheitstechnisch sehr bedenklich. Das Öffnen eines PDFs genügt, um die Kontrolle über das System zu verlieren.
Quelle: Computerworld.de; http://www.f-secure.com/weblog/archives/00002003.html
41
© by Dreamlab Technologies AG 2011
43
April 2011FBI gelingt massiver Schlag gegen Coreflood-BotnetzDer US-Polizeibehörde FBI ist ein massiver Schlag gegen Online-Kriminelle gelungen. Ein durch den Computervirus Coreflood aufgebautes Botnetz, in dem fast zweieinhalb Millionen Computer eingebunden waren, konnte abgeschaltet werden. Mit dem Botnetz sollen vermutlich aus Russland stammenden Cybergangster bis zu 100 Millionen US-Dollar erbeutet haben.
http://computer.t-online.de/coreflood-fbi-legt-gefaehrliches-mega-botnetz-lahm/id_45751270/index
42
© by Dreamlab Technologies AG 2011
44
HB Gary's Firmen-E-Mails gehackt und publiziert
Quelle: http://search.hbgary.anonleaks.ch/43
© by Dreamlab Technologies AG 2011
46
Risk Assessment Value (RAV)Ist ein Prozentwert, basierend auf verschiedenen
Einflussgrössen:
Operative Sicherheit
Verwundbarkeit
Schutzmassnahmen
Er basiert auf technisch schlüssigen, verifizierbaren Fakten.
Risiko-Management kann damit objektiv unterstützt werden.
45
© by Dreamlab Technologies AG 2011
48
Risk Management & RAV
probability impact* = Rx
RAV
Critical application
CMS
DHCP / DNS
...
RAVx
RAVx
RAVx
RAVx
RAVx
47
© by Dreamlab Technologies AG 2011
49
Risk Map
Med
Med
High
Low
Rx
RxRx
Rx
Rx
Rx
Rx
Rx
RxRx
Rx
impact CHF
probability
48
© by Dreamlab Technologies AG 2011
50
Return on Investment:Better RAV, lower probability
Rx
impact CHF
probability
Target
RAV = 90 %
Probability Impact* Rx = Probability Impact* Rx =
49
© by Dreamlab Technologies AG 2011
51
Return on Investment:Lower probability, lower risk.
Rx
impact CHF
probability
Target
RAV = 90 %
Probability Impact* Rx =
50
© by Dreamlab Technologies AG 2011
54
Vorteile des OSSTMM (1):Sie haben den Zustand Ihrer Systeme im Blick.
53
© by Dreamlab Technologies AG 2011
55
Vorteile des OSSTMM (2):Sie erhalten zuverlässige und vergleichbare Daten.
54
© by Dreamlab Technologies AG 2011
56
Vorteile des OSSTMM (3):Grundlage von Compliance
Vision
Strategy
Operation
Implementation
Regulatorien & Standards
Gesetze
OSSTMM erfüllt alle Anforderungen von Regulatorien, Standards & Gesetzen zur Überprüfung der Compliance
55
© by Dreamlab Technologies AG 2011
59
Messbare Sicherheit
Rav = 77 %
Rav = 73,5 %
Rav = 88 %Rav = 95 %
Rav = 70 %
Rav = 96 %
Rav = 60 %
Rav = 86 %
58