Insight Proprietary & Confidential. Do Not Copy or Distribute. © 2017 Insight Direct USA, Inc. All Rights Reserved. 1Insight PresentationInsight’s Tagline Would Go HereInsight Presentation

Cyber-Threatserkennen, verstehen und erfolgreich abwehren

Markus HorschigInsight License Consulting Services Manager

Willkommen zu heutigen Webinar:

Insight Proprietary & Confidential. Do Not Copy or Distribute. © 2017 Insight Direct USA, Inc. All Rights Reserved. 2Insight Presentation

Insight Proprietary & Confidential. Do Not Copy or Distribute. © 2017 Insight Direct USA, Inc. All Rights Reserved. 3Insight Presentation

Cyber threats

286

days

80 days

63%

58%

90%

80%

55,000

$1 Billion

53 seconds

Insight Proprietary & Confidential. Do Not Copy or Distribute. © 2017 Insight Direct USA, Inc. All Rights Reserved. 4Insight Presentation

Jun

OctJan Feb Mar AprMay

Ju

n

Central

Bank

of Russi

a

July

Aug

Sept Oct

No

v

De

cJan

Data Breaches

Source: Breach level index: www.breachlevelindex.com

Die Realität

Insight Proprietary & Confidential. Do Not Copy or Distribute. © 2017 Insight Direct USA, Inc. All Rights Reserved. 6Insight PresentationInsight Presentation

The Human ErrorERROR-40

Insight Proprietary & Confidential. Do Not Copy or Distribute. © 2017 Insight Direct USA, Inc. All Rights Reserved. 7Insight Presentation

Human Error

Insight Proprietary & Confidential. Do Not Copy or Distribute. © 2017 Insight Direct USA, Inc. All Rights Reserved. 8Insight PresentationInsight Presentation

Information Security Management System (ISMSBSI IT-Grundschutz, ISO 27001, NIST

8

Insight Proprietary & Confidential. Do Not Copy or Distribute. © 2017 Insight Direct USA, Inc. All Rights Reserved. 9Insight Presentation

BSI Cyber-Sicherheits-Exposition

Wert der Informationen und Prozesse

Welche Daten stellen den größten Wert dar, sowohl im Hinblick auf ihre Vertraulichkeit als auch ihre Verfügbarkeit und Integrität?

Welche Prozesse stellen den größten Wert dar, sowohl im Hinblick auf ihre Vertraulichkeit als auch ihre Verfügbarkeit und Integrität?

Wie abhängig sind geschäftskritische Prozesse der Institution von den Daten?

Insight Proprietary & Confidential. Do Not Copy or Distribute. © 2017 Insight Direct USA, Inc. All Rights Reserved. 10Insight Presentation

BSI Cyber-Sicherheits-Exposition

Attraktivität für Angreifer

Wie attraktiv ist es für Angreifer, Zugriff auf die vertraulichen Daten zu erlangen?

Wie attraktiv ist es für Angreifer, die Verfügbarkeit der Daten oder Prozesse einzuschränken?

Wie attraktiv ist es für Angreifer, die Integrität der Daten oder Prozesse durch Manipulationen zu verletzen

Insight Proprietary & Confidential. Do Not Copy or Distribute. © 2017 Insight Direct USA, Inc. All Rights Reserved. 11Insight Presentation

BSI Cyber-Sicherheits-Exposition

Charakterisierung der Angreifer

Wer kommt für Angriffe gegen die Vertraulichkeit, die Verfügbarkeit und/oder die Integrität in Betracht?

Hobbyisten?

IT-Sicherheitsforscher, die ihre Ergebnisse dann jedoch auch breit veröffentlichen?

Cyber-Kleinkriminelle?

Profi Cyber-Kriminelle bzw. Konkurrenz-Spionage?

Hacktivisten, die mit ihren Angriffen politische und gesellschaftliche Ziele verfolgen?

Staatliche Stellen wie z. B. Nachrichtendienste, die auf umfangreiche Ressourcen zur Planung und Durchführung ihrer Angriffe zurückgreifen können?

Insight Proprietary & Confidential. Do Not Copy or Distribute. © 2017 Insight Direct USA, Inc. All Rights Reserved. 12Insight Presentation

NIST Cybersecurity Framework

Identifizieren von Assets

Schutz der Assets

Erkennung von Zwischenfällen

Maßnahme-Plan

Wiederherstellungdes Regelbetriebs

Insight Proprietary & Confidential. Do Not Copy or Distribute. © 2017 Insight Direct USA, Inc. All Rights Reserved. 13Insight Presentation

Incident Response Management ISO 27k

Planen und Vorbereiten

Incident Response Plan (IRP) festlegen

Incident Response Team (IRT) etablieren

Maßnahmen für relevante denkbare IS-Vorfälle definieren

Melde- und Kontaktlisten pflegen/veröffentlichen/ Awareness schaffen

Eskalationswege definieren

Insight Proprietary & Confidential. Do Not Copy or Distribute. © 2017 Insight Direct USA, Inc. All Rights Reserved. 14Insight Presentation

Incident Response Management ISO 27k

Erkennen und Annehmen

Eindeutige Meldewege und Verhaltensregeln für relevante Gruppen

Definierter Meldeprozess

Insight Proprietary & Confidential. Do Not Copy or Distribute. © 2017 Insight Direct USA, Inc. All Rights Reserved. 15Insight Presentation

Incident Response Management ISO 27k

Klassifizieren und Entscheiden

Prüfung und ggf. Verifikation des gemeldeten Vorfalls

Bei Bestätigung des Verdachts initiale Erfassung und Bewertung inkl. Risikoklassifizierung

Festlegen des weiteren Vorgehens/Zusammenstellen Incident Response Team (IRT)

Insight Proprietary & Confidential. Do Not Copy or Distribute. © 2017 Insight Direct USA, Inc. All Rights Reserved. 16Insight Presentation

Incident Response Management ISO 27k

Incident Response

Reaktion auf den IS-Vorfall gemäß vereinbartem Vorgehen

Organisatorisch: Kommunikation/Information

Technisch: Beweise sichern/Ursachenfindung, Forensik, Eindämmung, Beseitigung/ Wiederher-stellung

Insight Proprietary & Confidential. Do Not Copy or Distribute. © 2017 Insight Direct USA, Inc. All Rights Reserved. 17Insight Presentation

Incident Response Management ISO 27k

Lessons Learned/Nachbereitung

Formaler Abschluss

Reflexion/Identifikation von Verbesserungs-möglichkeiten

Insight Proprietary & Confidential. Do Not Copy or Distribute. © 2017 Insight Direct USA, Inc. All Rights Reserved. 18Insight PresentationInsight Presentation

Technische Syteme..wären ohne Prozesse und Verantwortlichkeiten nutzlos

Insight Proprietary & Confidential. Do Not Copy or Distribute. © 2017 Insight Direct USA, Inc. All Rights Reserved. 19Insight Presentation

Präventivmaßnahmen

Tier 1 Security

Firewall or Next-Generation Firewall

Next-Generation Firewalls integrieren drei Schlüsselfunktionen: Techniken von professionellen Firewalls, Intrusion Prevention Systemen (IPS) und Applikations-Kontrolle.

Desktop Anti-Virus Tool

Secure Web Gateways untersuchen den Web-Traffic durchgängig auf Malware und überprüfen jede angesteuerte Webseite auf ihre Zulässigkeit sowie eventuelle Risiken.

Intrusion Detection/Prevention System Vergleich mit bekannten Angriffssignaturen

Heuristische Methoden. Ziel nicht nur bereits bekannte Angriffe, sondern auch ähnliche Angriffe oder ein Abweichen von einem Normalzustand zu erkennen.

Insight Proprietary & Confidential. Do Not Copy or Distribute. © 2017 Insight Direct USA, Inc. All Rights Reserved. 20Insight Presentation

Präventivmaßnahmen

Tier 2 Security:

Netzwerk Forensik-> Suche von gerichtsfesten Beweisen innerhalb eines Kommunkationsverhaltens

Computer Forensik -> Analyse vonDatenträgern

Data leakage protection (network/desktop) sensible Daten im Unternehmen zu identifizieren und deren Verbreitung sowie Nutzung zu kontrollieren

Verhaltensanalyse sowohl von Programmen als auch vinMitarbeitern

Insight Proprietary & Confidential. Do Not Copy or Distribute. © 2017 Insight Direct USA, Inc. All Rights Reserved. 21Insight PresentationInsight Presentation

Schutz von Datenauf Ordner- oder Datei- Ebene durch

Access-Control-Lists geregelt

Insight Proprietary & Confidential. Do Not Copy or Distribute. © 2017 Insight Direct USA, Inc. All Rights Reserved. 22Insight Presentation

1. User A erstellt neue Datei

und speichert diese in einem

passwoertgeschützen Ordner

2. User B der kein Zugriffsrecht

hat möchte Datei abrufen, dies

ist aber nicht möglich

3. User C erstellt eine neue Datei

mit besonders sensibln

Informationen und speichert diese in einem Ordner der eine Zwei-Faktor-

Authentifizierung erfordert.

?

Insight Proprietary & Confidential. Do Not Copy or Distribute. © 2017 Insight Direct USA, Inc. All Rights Reserved. 23Insight PresentationInsight Presentation

Back to DaveERROR-40

Insight Proprietary & Confidential. Do Not Copy or Distribute. © 2017 Insight Direct USA, Inc. All Rights Reserved. 24Insight Presentation

Human Error

Insight Proprietary & Confidential. Do Not Copy or Distribute. © 2017 Insight Direct USA, Inc. All Rights Reserved. 25Insight Presentation

4. User C schreibt dieselbe Datei auf

einen USB Stick um diese zuhause

weiterbearbeiten zu können.

5. User C nimmt diesen USB Stick

mit nachhause

6. Ein Hacker bricht mithilfe eines

Schädlings in den privaten Rechner

von C. ein und entwendet die Dateimit besonders sensiblen

Unternehmensdateien.

?7. Der Hacker

sendet die Datei an

seinen anonymenAuftraggeber

Insight Proprietary & Confidential. Do Not Copy or Distribute. © 2017 Insight Direct USA, Inc. All Rights Reserved. 26Insight Presentation

1. User D der kein Zugriffs-

recht auf die Datei von User

C hat möchte diese aberabrufen.

?

2. User D bittet User C um die

Datei. Da User C und User D in

einem Projekt arbeiten, hinterfragtC die Anfrage nicht und sendet die

Datei

3. User D speichert per USB die

Datei auf seinem privaten

Smartphone und damit in der Cloud auf Servern außerhalb der EU

4. Auftrag des

Geheimdienstes X ist

unter anderemIndustriespionage,

aus diesem Grund

gibt es eine Backdoor

in die Cloud

Insight Proprietary & Confidential. Do Not Copy or Distribute. © 2017 Insight Direct USA, Inc. All Rights Reserved. 27Insight Presentation

1. User KK möchte seinem Kollegen JJ, der

in seinem Team arbeitet aber immer noch

keinen Zugriff auf den Dateiordner hat, eineDatei per E-Mail senden.

2. Versehentlich sendet er die E-Mail an den

externen Mitarbeiter KJ der auch für

Konkurenzunternehmen tätig ist.

3. Dieser speichert die Datei

auf seiner privaten Festplatte

4. Er nimmt Kontakt zu einem

Konkurenzunternehmen auf

und verkauft die besonderssensiblen Unternehmensdaten.

Insight Proprietary & Confidential. Do Not Copy or Distribute. © 2017 Insight Direct USA, Inc. All Rights Reserved. 28Insight PresentationInsight Presentation

Die AlternativeInformation Rights Management

Am Beispiel Microsoft Rights Management Services

Insight Proprietary & Confidential. Do Not Copy or Distribute. © 2017 Insight Direct USA, Inc. All Rights Reserved. 29Insight Presentation

2. User A stellt über Anwendung Anfrage an den AD RMS Server

3. User A erhält mit demLicensor Certificate, welches einmalig von dem RMS-Server ausgestellt wird, den Public Key.

4. Die Datei wird mit dem Public Key des RMS verschlüsselt. In der Publishing License sind die Zugriffsrechte für andere Benutzer hinterlegt

1. User A erstellt in einer RMS kompatiblen Anwendung eine neue Datei und möchte diese schützen

6. Die Informationen werden in einer SQL Datenbank gespeichert

Insight Proprietary & Confidential. Do Not Copy or Distribute. © 2017 Insight Direct USA, Inc. All Rights Reserved. 30Insight Presentation

1. AD authentifizierterNutzer B möchte eine Datei von dem Server herunterladen.

2. AD RMS prüft die Berechtigung

3. Sollte der User noch kein RMS Zertifikat erhalten haben wird eins ausgestellt und an den User Versendet

?

4. Die Use License wird an den Nutzer gesendet und mit seinem Public-Key verschlüsselt.Zugriffsrechte werden gesetzt.

5. Der Nutzer öffnet die Datei mit einer Microsoft Anwendung.

7. Der Nutzer kann die Datei innerhalb seiner Zugriffsrechte nutzen

6. Die Datei wird mit dem Private-Key des Users entschlüsselt.

4. Der Zugriff von Nutzer B wird in einer SQL Datenbank dokumentiert

Insight Proprietary & Confidential. Do Not Copy or Distribute. © 2017 Insight Direct USA, Inc. All Rights Reserved. 31Insight Presentation

1. AD authentifizierterNutzer B möchte eine Datei von dem Server abrufen.

2. AD RMS prüft die Berechtigung

?

3.B hat keine Berechtigung kann und kann nicht auf die Datei zugreifen

4. Der Zugriffsversuch von Nutzer B wird in einer SQL Datenbank dokumentiert

Insight Proprietary & Confidential. Do Not Copy or Distribute. © 2017 Insight Direct USA, Inc. All Rights Reserved. 32Insight Presentation

1. Die Microsoft Anwendung fragt beidem AD RMS Server nach dem Schlüssel.

2. AD RMS prüft die Berechtigung

?

3.B hat keine Berechtigung kann und die Datei nicht öffnen.

1. A sendet B per E-Mail eine Datei, die B nicht vom Server abrufen kann

2. B möchte die Dateimit einer Microsoft Anwendung öffnen

4. Der Zugriffsversuch von Nutzer B wird in einer SQL Datenbank dokumentiert

Insight Proprietary & Confidential. Do Not Copy or Distribute. © 2017 Insight Direct USA, Inc. All Rights Reserved. 33Insight PresentationInsight Presentation

Back to DaveERROR-40

Insight Proprietary & Confidential. Do Not Copy or Distribute. © 2017 Insight Direct USA, Inc. All Rights Reserved. 34Insight Presentation

Human Error