Wer gewinnt den Cyberwar? - Digitalisierung, aber mit Sicherheit! - DWT-SGW
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
Wer gewinnt den Cyberwar? Digitalisierung, aber mit Sicherheit!
Was den Markt bewegt It-Security im überblick
Das umfeld
Evolution der Angreifer
Binary
hoch encryption
„stealth“/advanced
scanning techniques
Distributed
Mailcious attack tools
Code
Denial
Network of Service www Attacks
Management
Diagnostics Packet Spoofing
Sweepers Hijacking Sessions
Black
Doors Password Cracking
Password Guessing Angreiferwissen
niedrig
1980 jetzt
Das notwendige Wissen der Angreifer Die eingesetzten Technologien werden
nimmt tendenziell ab. zunehmend mächtiger und
automatisierter.
Wer gewinnt den Cyberwar? Digitalisierung aber mit Sicherheit 26.06.2018 3
Herausforderungen
Verschiedene Domänen
Mitarbeiter Prozesse Kommunikation Applikation
Sind sich Ihre Hatte Ihr Unternehmen Können Sie vertraulich Sind Ihre
Mitarbeiter der einen ungeplanten IT- kommunizieren? Applikationen robust
Sicherheitsrisiken Ausfall? genug?
bewusst?
Mobile Geräte Cloud-Dienste Datenbanken Netzwerk
Wissen Sie welche Sind Ihre Daten Sind Ihre Datenbanken Haben Sie Ihre
Daten auf den Geräten trotzdem sicher? geschützt? Netzwerke im Blick?
erhoben werden?
Wer gewinnt den Cyberwar? Digitalisierung aber mit Sicherheit 26.06.2018 4
Bedrohungen
Angriffsvektoren
Mitarbeiter Prozesse Kommunikation Applikation
System- Abhören sensibler Ausnutzen von
Social Engineering manipulation und - Daten Schwachstellen
ausfall
Mobile Geräte Cloud-Dienste Datenbanken Netzwerk
Datenschutz- und Ports scannen
Berechtigungs- Unbefugter Zugriff SQL-Injection Man-in-the-Middle
verletzung
Wer gewinnt den Cyberwar? Digitalisierung aber mit Sicherheit 26.06.2018 5
Verfahrensweise
Reduzierung des Risikos
Mitarbeiter Prozesse Kommunikation Applikation
Training & Aware- Sicherheits- Sicherheits- Security by Design
ness-Schulungen management konzepte
Mobile Geräte Cloud-Dienste Datenbanken Netzwerk
Datenschutz- Cloud Data Web Application Security Incident &
konzepte Protection Firewall Event Management
Wer gewinnt den Cyberwar? Digitalisierung aber mit Sicherheit 26.06.2018 6
Netzwerksicherheit Absicherung ihrer it- und ot- infrastruktur
vernetzung
Geräte im Internet der Dinge
Neue Herausforderungen meistern
2018 – 8 MRd. Vernetze Geräte
2022 – 25 MRD. Vernetzte Geräte
Probleme
Vergrößerung und Vermehrung der Angriffsvektoren
Umfassendere Sicherheitskonzepte Notwendig
Höhere Investitionen in die IT Sicherheit
Wer gewinnt den Cyberwar? Digitalisierung aber mit Sicherheit 26.06.2018 8
APT Phase 1: Übergriff
Ziele kennen lernen und
erste Attacken starten
Aufklärung
Akribisches ausspionieren
des Ziels über Monate
Social Engineering
Ausnutzung der
„Schwachstelle Mensch“
Zero-Day Vulnerabilities
Unbekannte Einfallstore
nutzen
Bild: Symantec 2011; APT a Symatec Perspective
Wer gewinnt den Cyberwar? Digitalisierung aber mit Sicherheit 26.06.2018 9
APT Phase 2: Ausspionieren
Scan der Netzwerke um
Schwachstellen zu finden
Multiple Angriffsvektoren
Alle Schwachstellen im
System erkennen
Leise und tiefes Vordringen
Unentdeckt vordringen und
Informationen sammeln
Erforschen und Analysieren
Wichtige Informationen für
den Angriff erarbeiten
Bild: Symantec 2011; APT a Symatec Perspective
Wer gewinnt den Cyberwar? Digitalisierung aber mit Sicherheit 26.06.2018 10APT Phase 3: Kompromittierung
Zugriff auf ungesicherte
Systeme & Datensammlung
Langzeit Belagerung
Ziel: So lang wie möglich
unentdeckt bleiben
Kontrolle
Chaos stiften durch
Systemabschaltungen
Bild: Symantec 2011; APT a Symatec Perspective
Wer gewinnt den Cyberwar? Digitalisierung aber mit Sicherheit 26.06.2018 11APT Phase 4: Datenauswertung
Gesammelte Informationen
für neue Angriffe nutzen
Datenübertragung
Verschlüsselt oder im
Klartext bspw. via Mail
Weiterführende Analyse n
Auswertung der Daten und
ggf. Verkauf
Bild: Symantec 2011; APT a Symatec Perspective
Wer gewinnt den Cyberwar? Digitalisierung aber mit Sicherheit 26.06.2018 12Security-Added Safety
Aber wie?
Kommunikation in Anomalie-Erkennung
bestehenden durch Netzwerk-
Systemen sichern überwachung
Einsatz optimal Sensorische Detektion
angepasster Standards von Angriffen und
Umsetzung einer Bedrohungen im
ganzheitlichen Firmennetz
Sicherheits-Strategie
Präventiv-Maßnahmen ergreifen Reaktionszeiten verkürzen
Wer gewinnt den Cyberwar? Digitalisierung aber mit Sicherheit 26.06.2018 13Encryption gateways
Absicherung der Kommunikation
Vernetzte Geräte im Griff
Features
Kontrollierter Fernzugriff auf Maschinen- und
Betriebsdaten
Zentral gesteuerte symmetrische Schlüsselstruktur
Kompatibel mit allen gängigen Betriebssystemen
und Steuerungssystemen
Benefits
Absicherung bestehender und neuer IT-Netzwerke
Modular aufgebaut, schnell und einfach zu
implementieren
Wer gewinnt den Cyberwar? Digitalisierung aber mit Sicherheit 26.06.2018 14Honig im netz
Siem, honeypots und co
Probleme frühzeitig erkennen
Features
Anomalie-Erkennung
Analyse der Steuerkommunikation
Visualisierung & Fehlerdiagnose
Forensische Analyse & Network-Management-
Integration
Benefits
Zeitiges Erkennen von Gefahren
Reduzieren von Ausfallzeiten
Vermeiden von Ausfallkosten
Wer gewinnt den Cyberwar? Digitalisierung aber mit Sicherheit 26.06.2018 15Sensitive Daten in der Cloud DER WEG MIT MAXIMALER IT SICHERHEIT
Der weg in die sichere cloud nutzung
Kontrolle konformität Transparenz
Daten befinden sich Verantwortungsübergang Was geschieht mit meinen
außerhalb meiner Kontrolle der Daten führt zu Daten in der Cloud
Konformitätsfragen
Privatsphäre Compliance Wie operiert der Service?
Sicherheit Datenschutz Welche Drittdienstleister
geistiges Eigentum Data-Outsourcing sind beteiligt?
Wo liegen die Daten
(Dateien, Kopien, Backups?)
Analysieren Bewerten schützen
Wer gewinnt den Cyberwar? Digitalisierung aber mit Sicherheit 26.06.2018 17Analysieren – cloud security readiness
Analyse erarbeitung roadmap umsetzung
Soll-Ist Analyse der Vorgehensmodells Erstellung der Unterstützung
bestehenden und zum Umsetzung Roadmap mit bei der
zukünftig geplanten einer ganzheitlichen detaillierten Implementierung
Cloud-Strategie und sichereren Handlungs- der entsprechenden
Cloud-Strategie empfehlungen Cloud-Strategie
Wer gewinnt den Cyberwar? Digitalisierung aber mit Sicherheit 26.06.2018 18Bewerten – cloud discovery scan
erfassung Analyse Auswertung
Scan und Identifikation und Visualisierung der
Informationsgewinnung Risikobetrachtung aller Ergebnisse und
des Netzwerkverkehrs genutzten Cloud-Dienste Kategorisierung nach
durch Analyse von und Nutzergruppen Nutzung, Datenvolumen
Logdaten und Anbietern
Wer gewinnt den Cyberwar? Digitalisierung aber mit Sicherheit 26.06.2018 19schützen – Cloud Data protection
Name: Max Müller Name: Tp5. &ql fcj4&kL
Benutzer- Account: 1223123 Account: 378338590 Cloud-
SichT Blutgruppe: AB Blutgruppe: AB Daten
Hämoglobin-Wert: 16,5 g/dl Hämoglobin-Wert: 13,2 g/dl
Mobile
User
Storage & Data Base
Enterprise
Control
Cloud Apps
Gateway
Schlüssel-
verwaltung
Remote
User
Wer gewinnt den Cyberwar? Digitalisierung aber mit Sicherheit 26.06.2018 20IT Security SChulung Social Engineering at ist best
Herausforderungen IT-Sicherheit
Vielfältige Aspekte
Mitarbeiter Prozesse Kommunikation Applikationen
Sind sich Ihre Mitarbeiter Hatte Ihr Unternehmen Können Sie vertraulich Sind Ihre Applikationen
der Sicherheitsrisiken einen ungeplanten IT- kommunizieren? robust genug?
bewusst? Ausfall?
Mobile Geräte Cloud-Dienste Datenbanken Netzwerk
Wissen Sie welche Daten Sind Ihre Daten trotzdem Sind Ihre Datenbanken Haben Sie Ihre
auf den Geräten erhoben sicher? geschützt? Netzwerke im Blick?
werden?
Wer gewinnt den Cyberwar? Digitalisierung aber mit Sicherheit 26.06.2018 22Heterogene Bedrohungen
Angriffsvektoren
Mitarbeiter Prozesse Kommunikation Applikationen
System- Abhören sensibler Ausnutzen von
Social Engineering manipulation und - Daten Schwachstellen
ausfall
Mobile Geräte Cloud-Dienste Datenbanken Netzwerk
Datenschutz- und Ports scannen
Berechtigungs- Unbefugter Zugriff SQL-Injection Man-in-the-Middle
verletzung
Wer gewinnt den Cyberwar? Digitalisierung aber mit Sicherheit 26.06.2018 23Hackerangriff
Kennen sie die bedrohung?
Wer gewinnt den Cyberwar? Digitalisierung aber mit Sicherheit 26.06.2018 24Was sind hacker?
Black vs white
Hacker = Leute mit Technik Know-How, um in Systeme einzudringen
Hacker im Auftrag von Firmen Böswillige Hacker heißen Cracker.
Spüren Sicherheitslücken auf Dringen in Systeme ein, um dort Schaden anzurichten.
Bezeichnung: „Penetrationstester“ Löschung, Veränderung oder Missbrauch geschützter
Datenbestände oder Programme
Handeln legal, da eine direkte Beauftragung der
Überprüfung erfolgt Entstehung von Schäden in Millionenhöhe
Wer gewinnt den Cyberwar? Digitalisierung aber mit Sicherheit 26.06.2018 25Social engineering
Was ist das?
„Soziale Manipulation oder auch ‚Social Engineering‘
kostet nichts und überwindet alle technologischen
Barrieren, weil es geschickt das Vertrauen und die
Neugier der Menschen ausnutzt.“
Kevin Mitnick, ehemaliger Hacker und Sicherheitsexperte
Wer gewinnt den Cyberwar? Digitalisierung aber mit Sicherheit 26.06.2018 26Social engineering
Ausnutzung oder Ablenkung?
Wer gewinnt den Cyberwar? Digitalisierung aber mit Sicherheit 26.06.2018 27Social engineering
Verschiedene angriffsarten
Möglichkeiten der Social Engineering Angriffe
Menschlich basiertes Social Engineering
Klassische Form
Nutzung sozialer Interaktion
Computer basiertes Social Engineering
manipulierte Internetseiten, PopUp-Fenster, Emails
Reverse Social Engineering
Verursachung von Problemen
Ausgabe als Teil der Lösung
Mischformen sind möglich
Wer gewinnt den Cyberwar? Digitalisierung aber mit Sicherheit 26.06.2018 28Passwort Policy
Länge VS Komplexität
Allgemeine Vorgaben einer Passwort Policy
1. Wählen Sie ein Passwort von mindestens 8 Zeichen
2. Darf nicht den Kontonamen enthalten
3. Keine zwei aufeinanderfolgenden Buchstaben aus dem vollen
Namen des Benutzers
4. Es müssen enthalten sein:
Großbuchstaben (A bis Z)
Kleinbuchstaben (a bis z)
Zahlen zur Basis 10, (0 bis 9)
Nicht alphabetische Zeichen (!,$,#.%)
Wer gewinnt den Cyberwar? Digitalisierung aber mit Sicherheit 26.06.2018 29PhishIng e-Mails
Trauen sie keinem absender …
Sobald es was zu gewinnen gibt, setzt das Gehirn aus …
„Phishing“ - betrügerische E-Mails
Ziele: Personenbezogene Daten, wie: Passwörter oder
Kreditkartendaten
E-Mail gibt vor von einer legitimen Stelle oder Person gesendet
worden zu sein
Häufige Phishing-Techniken nutzen Links zu einer scheinbar
legitimen Website
Wahrheit: Von Angreifern sehr detailgetreu nachgebaute
Webseite, um der vermeintlichen
nur zu ähneln
Wer gewinnt den Cyberwar? Digitalisierung aber mit Sicherheit 26.06.2018 30Ceo - fraud (Chef Masche)
Bitte überweisen sie 100.000 €
Angreifer gibt sich als Geschäftsführer aus
Vorbereitung
Nutzung allgemein zugängliche Unternehmensinformationen
Unternehmens-Homepage und sonstige Webseiten
Wirtschaftsbericht
Handelsregister
Soziale Netze
Augenmerk auf Angaben zu Geschäftspartnern und
Investments
Angriff
Kontaktaufnahme mit „ausgeforschtem“ Mitarbeiter als
leitender Angestellter
Aufforderung zu Geldtransfer z. B. mit Hinweis auf angebliche
Unternehmensübernahme
Wer gewinnt den Cyberwar? Digitalisierung aber mit Sicherheit 26.06.2018 31Wie sie vorgehen sollten Wir unterstützen sie gern
Der Sichere Digitalisierungsprozess
Datenschutz und –sicherheit integriert
Anforderung
Sicherheits- und,
Datenschutzanforderungen,
Gesetze, Regularien,
Risikoanalysen
Optimierung Design
1
Security Datenschutz- &
Management, Audits, Sicherheits-
Zertifizierungs- konzepte,
vorbereitung, 6 2 Security by Design,
Workshops Privacy by Design
Betrieb
Managed Security
5 Kunde 3 Realisierung
Sichere
Services, SOC, Entwicklung,
Integration von
IT-Forensik, 4 Sicherheits-
Unterstützung von lösungen, Source
Betriebsteams Einführung
Code Analyse
Penetrationstest,
Härtungsrichtlinien,
Prüfungen und Zertifizierung,
Schulungen & Trainings,
Datenanonymisierung
Wer gewinnt den Cyberwar? Digitalisierung aber mit Sicherheit 26.06.2018 33Top 10
Maßnahmen und nutzen auf einen blick
1. 2. 3. 4. 5.
Inventarliste Sichere Awareness Schutz vor Need-to-Know
Konfiguration Kampagnen Schadsoftware Least-Privilege
Übersicht behalten Low-Hanging Fruits Technische Einfallstor Client-PC Lieferanten aktiv
Angriffsfläche Standard- Maßnahmen absichern prüfen
verringern Zugriffswege organisatorisch leben Mail Zugriff auf sensitive
Software- beseitigen Webbrowsing Informationen
Management einschränken
etc.
Wer gewinnt den Cyberwar? Digitalisierung aber mit Sicherheit 26.06.2018 34Top 10
Maßnahmen und nutzen auf einen blick
6. 7. 8. 9. 10.
Netze sichern Backups Vulnerability Trafficanalyse Notfallvorsorge
Management
Schutz vor Wieder-herstellung Proaktives Kommunikationswege Bestand und
unautorisierten nach Datenverlust Identifizieren von transparent machen Reputation des
Netzwerkzugriff Ausfallzeiten Sicherheits-lücken Unternehmens
Zonenkonzept minimieren sicherstellen
Wer gewinnt den Cyberwar? Digitalisierung aber mit Sicherheit 26.06.2018 35T-Systems
It security & Data Privacy
Digitale Werte Schützen
Cloud IoT / Industrie 4.0 Big Data DevOps Mobile
Governance, Risk & Datenschutz Security Managed Security Training & Awareness
Compliance (GRC) Datenschutzberatung Security Consulting Services Beratung
Security Management Privacy by Design Security by Design Technologie- und Schulungskonzepte
Systeme (ISO 27001, Implementierungs-
BSI, KRITIS, ITSiG) Datenschutz Architekturberatung beratung Awareness
Management Security Officer Kampagnen
Compliance, Risiko- Transition & Service
und Notfall Manage- Datenschutz- Sicherheitskonzepte Seminare (Präsenz)
beauftragter Themen: Encryption
ment (SDSK, PSA, BSI…) Gateways, WAF, XML Fachspezifische
Assessments & Audits Anonymisierung Public Key Gateways, SIEM, IAM, Workshops
Gap-Analysen Datenschutzkonzepte Infrastructure (PKI) Session Monitoring, Social Engineering
Erstellung von ADVs IAM Consulting Network Security eLearning (WBT)
Zertifizierungen (VPN, Honeypots,
Blockchain Industrieprotokolle)
Alle Leistungen aus einer Hand
Wer gewinnt den Cyberwar? Digitalisierung aber mit Sicherheit 26.06.2018 36Unser team
Alle Leistungen aus einer Hand
Unsere Experten für Datenschutz und Informationssicherheit
IT-Berater Betriebliche Datenschutzbeauftrage
IT Service Manager
Information Security Manager
EFQM Excellence Assessor
Technische Sicherheitsexperten Datenschutzkoordinatoren
Projektleiter Trainer
Juristen Revisoren
Information System Auditor IT Sicherheitsbeauftragte
Auditoren Auditteamleiter für ISO 27001
Security System Engineers Anforderungsmanager
Certified Information Systems Security Professionals
Wer gewinnt den Cyberwar? Digitalisierung aber mit Sicherheit 26.06.2018 37Attila Misota
Presales & Business Development
T-Systems Multimedia Solutions GmbH
Phone: +49 351 2820 5745
Mobil: +49 171 3077 245
Mail: Attila.Misota@t-systems.com
Vielen Dank
Für Ihre AufmerksamkeitSie können auch lesen
