SCHWACHSTELLEN-MANAGEMENT - Webcast-Reihe IT-Compliance, 29.04.2021
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
SCHWACHSTELLEN-
MANAGEMENT
Webcast-Reihe IT-Compliance, 29.04.2021
© Materna
© Materna 20212021 www.materna.de
www.materna.de
Agenda
1 Grundlagen
2 Schwachstellenmanagement als Teil einer
Schutzmauer
3 Drei typische Schwachstellen-
management-Szenarien
© Materna 2021 www.materna.de
www.materna.de 2
Agenda
1 Grundlagen
2 Schwachstellenmanagement als Teil einer
Schutzmauer
3 Drei typische Schwachstellen-
management-Szenarien
© Materna 2021 www.materna.de
www.materna.de 3
Kleines Glossar
#
Infrastruktur
▪ Verfügbarkeit
▪
▪
Bedrohung Schwachstelle Risiko
▪ ▪ Bekannte ▪
Ausnutzens ▪
▪
➢ ▪ bestehende
▪
Daten
▪
▪
▪
© Materna 2021 www.materna.de 4
Einführung Schwachstellenmanagement
Quellcode Web Software Hardware
▪ ▪ ▪ ▪
▪ ▪ ▪ ▪
▪ ▪ ▪ ▪
Schwachstellenmanagement-Arten
Automatisierte Source Code Analyse Regelmäßige Schwachstellenscans
Toolbasierte automatische Suche nach Schwachstellen im Programmcode. Externer Scan von automatisierten Tools nach Schwachstellen
Unterscheidung in dynamische und statische Analyse. Durch regelmäßige im fertigen Produkt. Durch regelmäßige Scans und einen
Source Code Audits und einen Behebungsprozess (rework) entsteht ein Behebungsprozess (patching) entsteht ein Schwachstellen-
Schwachstellenmanagement. management.
Pentesting
© Materna 2021 www.materna.de 5
Einführung Schwachstellenmanagement Quellcode Web ▪ ▪ ▪ ▪ ▪ ▪ © Materna 2021 www.materna.de 6
Einen tieferen Einblick in das Thema
Was ist das?
erhalten Sie im Rahmen der Webcast-
▪ Entwicklerleitfaden zur sicheren Programmentwicklung
Reihe
▪ Repräsentiert die TOP am:
10 Sicherheitsrisiken von Web-
Anwendungen
16.12.2021
Wofür?
▪ Einführung einer Sicherheitskultur für
Cyber Security
Softwareentwicklung – OWASP Top 10
im Unternehmen
▪ Hilfestellung für Entwickler durch Beispiele, Kurse oder
Vermeidungsvorschläge
OWASP
TOP 10
© Materna 2021 www.materna.de 7
Einführung Schwachstellenmanagement
Software Hardware
▪ ▪
▪ ▪
▪ ▪
CVSS v2 Vector: AV:N/AC:L/Au:N/C:C/I:C/A:C/E:H/RL:OF/RC:C
© Materna 2021 www.materna.de 8Aufbau CVSS Base Score
CVSS v2 Vector: AV:N/AC:L/Au:N/C:C/I:C/A:C/E:H/RL:OF/RC:C AV: N - Zugriffs Vektor: Netzwerk
Eine Schwachstelle, die über das Netzwerk
ausgenutzt werden kann.
AC:L – Ausnutzungskomplexität: niedrig
Das Produkt erlaubt Zugriff von einer Vielzahl von
Systemen oder (anonymen) Benutzern. Der Angriff
erfordert wenig Geschick oder Informationen.
Au:N – Authentifikation: keine
Es ist keine Authentifizierung auf das System nötig,
um die Schwachstelle auszunutzen.
C:C – Informationsoffenlegung: Alles
Der Angreifer ist in der Lage, alle Daten des
Systems (Speicher, Dateien usw.) zu lesen.
I:C – Systemintegrität: totaler Verlust
Es besteht ein vollständiger Verlust des System-
Schutzes, wodurch das gesamte System
kompromittiert wird. Der Angreifer ist in der Lage,
beliebige Dateien auf dem Zielsystem zu ändern.
A:C – Verfügbarkeitsauswirkung: Vollständig
Der Angreifer ist in der Lage, das System vollständig
unerreichbar zu machen.
© Materna 2021 www.materna.de 9Aufbau CVSS Temporal Score
CVSS v2 Vector: AV:N/AC:L/Au:N/C:C/I:C/A:C/E:H/RL:OF/RC:C E: H – Ausnutzbarkeit : Hoch
Es existiert ein Exploit (Software), um die
Schwachstelle auszunutzen.
RL:OF – Behebungsmöglichkeit: Einfach
Es existiert ein offizieller Fix/Patch.
RC:C – Glaubhaftigkeit: Bestätigt
Der Hersteller hat die Schwachstelle bestätigt.
© Materna 2021 www.materna.de 101
Was soll auf Basis der Risiken priorisiert werden?
Kritisch eingestufte Assets immer in die Untersuchungen mit
einbeziehen und vor allem die Systeme, die direkt mit dem
Internet verbunden sind.
2
Welche Schwachstellen werden am ehesten ausgenutzt?
Schwachstellen, die ausgenutzt werden können (z. B. Exploits sind
vorhanden). Hierbei helfen Schwachstellenmanagement-
Programme, die entsprechend Threat Intelligence mitverarbeiten.
3
Vorgehens- Was sollen wir zuerst beheben?
weise zur Schwachstellen, die vermeintlich in den nächsten Wochen ausgenutzt
werden, sind bereits in der Vorhersage. Hier bieten Schwachstellen-
richtigen management-Anbieter Lösungen auf Basis von Massendaten-
Priorisierung auswertungen in Kombination mit Maschinellem Lernen an.
© Materna 2021 www.materna.de 11Agenda
1 Grundlagen
2 Schwachstellenmanagement als Teil einer
Schutzmauer
3 Drei typische Schwachstellen-
management-Szenarien
© Materna 2021 www.materna.de
www.materna.de 12Phasen des Schwachstellenmanagements
3. Scannen
▪
▪ 4. Incident Handling
1. Konzept und ▪ ▪
Planung ▪
2. Inventarisieren
5. Überprüfung und Feintuning
▪
▪
© Materna 2021 www.materna.de 13Schwachstellenmanagement FAZ – 12.2.2020 PwC – 12.2020
Liebesgrüße aus Teheran IT-Sicherheitsrichtlinien
„Verkleidet“ als Journalist oder zahlen sich aus
Google: Die Cyber-Spionage- Mit der Implementierung von IT-
Gruppe „Charming Kittens“ Sicherheitsmaßnahmen können
15.03.2021 imitiert öffentliche Personen und Unternehmen sich gegen viele
12.6.2019 Die schweren Sicherheitslücken fälscht Websites, um Infor- Cyberangriffe wappnen. So sind
Windows-Schwachstelle im Microsoft Exchange Server mationen für den iranischen Unternehmen, die regelmäßig
"Bluekeep": Erneute Warnung locken zahlreiche Hacker- Geheimdienst zu sammeln. die Einhaltung ihrer IT-
vor wurmartigen Angriffen. gruppen an. Allein in Deutschland Sicherheitsrichtlinien prüfen und
wurden 11.000 Server It-daily.net - ´07.10.2020 Verstöße gegebenenfalls
23.9.2019 kompromittiert. 46 Prozent der Unternehmen ahnden, mit 35 Prozent
Cyber-Angriffe mit der Schadsoftware melden IT-Angriffe deutlich weniger stark
Emotet haben in den vergangenen Fast die Hälfte aller betroffen, als Unternehmen, die
Tagen erhebliche Schäden in der Unternehmen in Deutschland dies nicht tun (55 Prozent).
deutschen Wirtschaft, aber auch bei 16.1.2020 (46 Prozent) vermeldete in den Auch Mindestanforderungen für
Behörden und Organisationen Dem Bundesamt für Sicherheit in der vergangenen Monaten Passwörter und Sicherheits-
verursacht. Informationstechnik (BSI) liegen zahlreiche Cyberangriffe auf ihr zertifizierungen senken das
Meldungen vor, nach denen Citrix-Systeme Unternehmen, das zeigt der Risiko, von Cyberangriffen
erfolgreich angegriffen werden. Mit DsiN-Praxisreport Mittelstand getroffen zu werden.
Veröffentlichung der Schwachstellenmeldung 2020, der am Dienstag den 6.
hat die Firma Citrix Workaround-Maßnahmen Oktober im Rahmen der it-sa
zur Filterung empfohlen. 365 erstmalig vorgestellt wird.
18.12.2019
Derzeit werden vermehrt Spam-
Mails mit schädlichem Anhang oder
Links im Namen mehrerer
Bundesbehörden verschickt.
Reicht es nicht,
einmal jährlich zu
scannen?
© Materna 2021 www.materna.de 14Unterschiede Schwachstellenscan - Pentest
Pentester
Pentest
▪
▪
▪
▪
▪
▪
▪
Website Backendsysteme Innere IT
Hacker
▪
Schwachstellenscan
▪
▪
▪
▪
© Materna 2021 www.materna.de 15Unterschiede Schwachstellenscan - Pentest
Pentester
Pentest
▪
▪
▪
▪
▪
▪
▪
Website Backendsysteme Innere IT
Hacker
▪
Schwachstellenscan
▪
▪
▪
▪
© Materna 2021 www.materna.de 16Technischer Aufbau Schwachstellenmanagement
Vulnerability Assessment Scanner
Schwachstellenmanagement
Netz1
Web Traffic
Monitoring
Endpoint DMZ
Protection
SOC
Security Operations Center
DMZ 2
SIEM
Scan
Manager
Management
Clients
Network
Traffic
Monitoring
E-Mail- Kundennetze
Traffic Intrusion
Monitoring Prevention
© Materna 2021 www.materna.de 17Technischer Aufbau Schwachstellenmanagement
Vulnerability Assessment Scanner
Schwachstellenmanagement
Netz1
Web Traffic
Monitoring
Endpoint DMZ
Protection
SOC
Security Operations Center
DMZ 2
SIEM
Scan
Manager
Management
Clients
Network
Traffic
Monitoring
E-Mail- Kundennetze
Traffic Intrusion
Monitoring Prevention
© Materna 2021 www.materna.de 18Technischer Aufbau Schwachstellenmanagement
Vulnerability Assessment
Schwachstellenmanagement
Web Traffic
Monitoring
Endpoint
▪ Proaktive Überwachung SOC
Protection
▪ Erkennen und beseitigen von Schwachstellen Security Operations Center
▪ Zentrales Sicherheitsmanagement
▪ Alarmierung
▪ Direkte Abwehrmaßnahmen zur Schadensbegrenzung
▪ Durchführen von Security-Assessments SIEM
▪ Technische Unterstützung Scan
▪ Reporting Manager
Network
Traffic
Monitoring
E-Mail-
Traffic Intrusion
Monitoring Prevention
© Materna 2021 www.materna.de 19Quo vadis
Regelmäßiges Überprüfen der Sicherheitskonzepte für alle Systeme und Netzwerke
Regelmäßige Netzwerk-Audits, Schwachstellenscans und Penetrationstests durchführen
Hinterfragen der Backup-Strategie, Einführung von Offline-Backups
Erstellen von Notfallkonzepten
Proben des Ernstfalles
Regelmäßige Mitarbeitersensibilisierung
© Materna 2021 www.materna.de 20Agenda
1 Grundlagen
2 Schwachstellenmanagement als Teil einer
Schutzmauer
3 Drei typische Schwachstellen-
management-Szenarien
© Materna 2021 www.materna.de
www.materna.de 21Typische Vulnerability Assessment Szenarien
mit Standort und Abteilung
Einmaliger Schwachstellen- Tiefgreifendes
Schwachstellenscan management Sicherheitsaudit
One Durchgehende Website
Shot Überwachung Scan
© Materna 2021 www.materna.de 22Zielgruppe
▪ Jedes Unternehmen mit einer Server Infrastruktur
Durchführung
▪ Einzelne Systeme oder unternehmensweit
▪ Als Black Box oder authentifizierter Scan möglich
▪ Risikoeinschätzung von IT-Security-Experten
Ziele
▪ Erste Lageeinschätzung / Standortbestimmung
▪ Inventarisierung / Kontrolle CMDB
▪ Aufklärung von Schatten IT
▪ Bewertung der Gefahrenlage
▪ Hinweise zur Schwachstellenbeseitigung
Einmaliger ▪ S cReporting
h w a c h s t e aller
l l e n gefundenen bekannten
Tiefgreifendes
Schwachstellenscan Management Sicherheitsaudit
Schwachstellen
One
Basis Durchgehend Web- &
Shot
Paket e Infrastruktur
Überwachung Pentesting
© Materna 2021 www.materna.de 23
23Zielgruppe
▪ Jedes Unternehmen mit einer Server-Infrastruktur
Durchführung
▪ Unternehmensweit
▪ Üblicherweise als authentifizierter Scan
Inhalt
▪ Unternehmensweite konstante Überwachung
▪ Ständig aktuelle Schwachstellensituation
Ziele
▪ Ziele der des One Shot mit Standort und Abteilung
▪ Schnelle Reaktion auf neue Schwachstellen
▪ Reporting aller gefundenen bekannten
Schwachstellen
▪ Schwachstellenbeseitigung
Schwachstellen- ▪ Compliance Check z. B. nach BSI
T i eGrundschutz
fgreifendes
management Sicherheitsaudit
Extras
Durchgehende ▪ Integration ins SOC-Team Web- &
Überwachung ▪ Durchführung einer Risikobewertung
Infrastruktur
▪ Vorbereitung von Entscheidungsvorlagen
Pentesting
▪ Hilfe bei der Maßnahmenimplementierung
▪ Alarmierung durch SOC-Team
© Materna 2021 www.materna.de 24
24Zielgruppe
▪ Jedes Unternehmen mit eigener Website
▪ Interne und externe Websites
▪ Lokal und Cloud gehostet
Durchführung
▪ Bereits etablierte Websites
▪ Softwareentwicklungsprojekte
▪ Über den Entwicklungszeitraum in Teilprojekten
mit Standort und Abteilung ▪ Als Abschluss oder zur Erlangung einer
Zertifizierung
▪ Regelmäßig bei größeren Updates
▪ Nach OWASP Top 10
Tiefgreifendes Inhalt
Sicherheitsaudit
▪ Tiefgreifendes Sicherheitsaudit bestehender und neu
entwickelter Web-Systeme
Website
Scan Ziele
▪ Auswertung bestehender Sicherheitslücken zur
Härtung des Webservers
© Materna 2021 www.materna.de
www.materna.de 25Ausblick
Thema unseres nächsten Webcast der IT-Compliance-Reihe:
ePrivacy-Verordnung und das neue Datenschutzrecht für
Telekommunikation & Telemedien (TTDSG) – beyond Planet49
28.05.2021 ab 12:00 Uhr
© Materna 2021 www.materna.de 26Vielen Dank für Ihre
Aufmerksamkeit Kontakt
Materna Information &
Communications SE
Tel. +49 231 5599 00
E-Mail: marketing@materna.de
www.materna.de
© Materna
© Materna 2021 2021 www.materna.de 27Vielen Dank für Ihre
Aufmerksamkeit Ansprechpartner
Eugenio Carlon
Tel. +49 211 520565-21
E-Mail: eugenio.carlon@materna.de
Dominik Foert
Tel. +49 211 520565-48
E-Mail: dominik.foert@materna.de
© Materna
© Materna 2021 2021 www.materna.de 28Sie können auch lesen
