Weak Spots im Enterprise Mobility Umfeld Dennis Schröder · BYOD vs. COBO bzw. Container-Lösung...
10
Weak Spots im Enterprise Mobility Umfeld Dennis Schröder 17.06.2015 Dennis Schröder, M. Sc. Produktmanager für Mobile Security BSI zertifizierter Penetrationstester GIAC zertifizierter Web Application Pentester Schwerpunkte: Mobile Security, Network Security, Application Security Projektorganisation und Durchführung von Penetrationstests, Audits und Beratungsprojekten Zur Person © TÜV Informationstechnik GmbH – TÜV NORD GROUP 17.06.2015 1
Transcript of Weak Spots im Enterprise Mobility Umfeld Dennis Schröder · BYOD vs. COBO bzw. Container-Lösung...
Weak Spots im Enterprise Mobility UmfeldDennis Schröder
17.06.2015
Dennis Schröder, M. Sc.
Produktmanager für Mobile Security
BSI zertifizierter Penetrationstester
GIAC zertifizierter Web Application Pentester
� Schwerpunkte: Mobile Security, Network Security, Application Security
� Projektorganisation und Durchführung von Penetrationstests, Audits und Beratungsprojekten
Zur Person
© TÜV Informationstechnik GmbH – TÜV NORD GROUP17.06.2015 1
Agenda
© TÜV Informationstechnik GmbH – TÜV NORD GROUP17.06.2015 2
� Einleitung „Mobile Security“
� Enterprise Mobility Management (EMM)
� Herausforderungen und Weak Spots
� Mobile Strategy
� Case Study
� Dienstleistungen im Enterprise Mobility Umfeld
� Über TÜViT
Mobile Security ist im Zuge der zunehmenden Vernetzung und Digitalisierung von Komponenten, verbunden mit allgegenwärtigem Zugriff auf Daten und Prozesse, ein wichtiges Thema geworden und erfordert angemessene Sicherheit auf verschiedenen Ebenen.
Warum Mobile Security?
© TÜV Informationstechnik GmbH – TÜV NORD GROUP17.06.2015 3
Mobile Security im „Überblick“
© TÜV Informationstechnik GmbH – TÜV NORD GROUP17.06.2015 4
� Was soll der Mitarbeiter dürfen – was nicht?
� Privatnutzung erlaubt?
� BYOD vs. COBO bzw. Container-Lösung vs. MDM
� Wer ist Admin? Wer hat welche Passwörter?
� Welche Dienste sind wie mobil nutzbar?
� Wer hat die Datenhoheit?
� Cloud vs. On-Premise
� Hersteller und Drittanbieter (Apple, Google, Samsung, HTC, … , Dropbox, Facebook, …)
� Zugangsschutz und Verschlüsselung („in transit“ und „at rest“)
Enterprise Mobility – Grundlegende Fragestellungen
© TÜV Informationstechnik GmbH – TÜV NORD GROUP17.06.2015 5
� Nutzung von Smartphones und Tablets wird oft als selbstverständlich angesehen
� Wie geschult sind die Mitarbeiter für die Risiken?
� Wie geschult sind die Administratoren?
� Keine klassische IT – erheblich größeres Risiko
� Verlust und Diebstahl
� Einfache Installation von Apps und ggf. PUA bzw. Malware
� Dienste über das Internet erreichbar
� Daten verlassen den eigenen Administrationsbereich
� Abwägung zwischen Komfort und Sicherheit
Herausforderungen
© TÜV Informationstechnik GmbH – TÜV NORD GROUP17.06.2015 6
� Gerätemanagement
� BYOD, COPE, COBO
� MDM, MAM, MCM, Container, Sicherheitsrichtlinien
� IT Infrastruktur
� Zugangspunkte, VPN, Zertifikate
� Gerätehersteller, Support
� Organisatorische Aspekte
� Schulungen, Verpflichtungserklärungen
� Notfallstrategien, bspw. bei Verlust
� Datenschutz
Eine geeignete Mobile Strategy berücksichtigtalle diese Herausforderungen
© TÜV Informationstechnik GmbH – TÜV NORD GROUP17.06.2015 7
Sicheres Enterprise Mobility erfordert einen ganzheitlichen Ansatz
© TÜV Informationstechnik GmbH – TÜV NORD GROUP17.06.2015 8
EMM
MAM
Mobile Devices� Mobile OS und OS Functions� Secure Elements� Apps� Interfaces
IT Infrastructure� Security Architecture� Business Applications� Mobile Devices
Internet Services� Security Architecture� Web Application� Web Services� Apps
Mobile Solution� Individual Solutions� Hard und Software Components� Apps und Services
Mobile Devices
IT In
frastructu
re
Internet Services
Mo
bile
So
luti
on
Mobile Strategy
Ein Global Player prüft seine Mobile Infrastruktur.
� 10k Mitarbeiter, Standorte weltweit
� 200+ Smartphones am überprüften Standort (COPE)
� iOS und Android, verteilt über alle Hierarchien
� MDM inkl. MAM umgesetzt
� Jailbreak Detection eingeschaltet inkl. Remote Wipe
� Erzwungene Verschlüsselung und PIN
…so weit so gut…
Case Study – Der Kunde
© TÜV Informationstechnik GmbH – TÜV NORD GROUP17.06.2015 9
Trotz umfangreicher flankierender Maßnahmen hatten die gekauften Geräte einen nicht gesperrten Bootloader.
� Es konnte ein eigener Kernel gebootet werden
� Kernel konnte die PIN mitlesen bzw. durchprobieren
� Sehr oft ausschließlich numerisch
� Festplattenverschlüsselung umgangen
� Sicherheitsfunktionen deaktiviert
� Keine automatische Fernlöschung, kein Report
� Daten auslesen und für weiterführende Angriffe verwenden
� PSK für das WPA2 geschützte Corporate-WiFi
Case Study – Das Problem
© TÜV Informationstechnik GmbH – TÜV NORD GROUP17.06.2015 10
� Zusammenspiel vieler Faktoren beim Enterprise Mobility Management
� Kombination von organisatorischen, prozeduralen und technischen Sicherheitsmaßnahmen
� Im konkreten Fall wurde bereits beim Beschaffungs-prozess der mobilen Endgeräte eine Fehlentscheidungen getroffen
Die identifizierte Schwachstelle ermöglichte die Umgehungaller implementierten Sicherheitsmaßnahmen undermöglichte weitere Angriffe gegen das vermeintlichabgesicherten Firmennetzwerk.
Case Study – Zusammenfassung
© TÜV Informationstechnik GmbH – TÜV NORD GROUP17.06.2015 11
Anwendungsbereiche im EMM-Umfeld
© TÜV Informationstechnik GmbH – TÜV NORD GROUP17.06.2015 12
Überprüfung auf Basis von Penetrationstests, Konfigurationsanalysen und Dokumentenreviews.
� Apps, z.B. Datenklau und -leaks
� Managementsysteme, z.B. Remote-Wipe
� Anwendungen und Services, z.B. Mandantenfähigkeit
� Sicherheitskonzept und Mobile Strategy, z.B. Datenschutz und-sicherheit
� Sicherheitskomponenten und -regelwerke, z.B. Perimeterschutz
Typische Prüfaspekte im EMM-Umfeld
© TÜV Informationstechnik GmbH – TÜV NORD GROUP17.06.2015 13
� TÜViT bietet Prüf- und Beratungsdienstleistungen im EMM-Umfeld an
� Health Check (ohne Gütesiegel)
� Assessement (mit Gütesiegel)
� Vorgehen nach internationalen Standards und Best Practices (OWASP, WASC, CESG, BSI)
� Technische und organisatorische Prüfaspekte
� Managed Services zur kontinuierlichen Überwachung
TÜViT begleitet Ihr Unternehmen auf dem Weg ineine sichere mobile Geschäftswelt
© TÜV Informationstechnik GmbH – TÜV NORD GROUP17.06.2015 14
Trusted Mobile Infrastructure
� Evaluation des Sicherheitsniveaus von IT Infrastrukturen für mobile Anwendungen und mobile Geräte
� Kunden sind Unternehmen und Organisationen, die mit mobilen Geräten interne und externe Dienste nutzen
Trusted Mobile Service
� Beurteilung des Sicherheitsniveau von Internetdiensten für Apps und Web Services
� Kunden bieten typischerweise eine Dienstleistung für mobile Geräte und Mehrwertdienste an
Portfolio
© TÜV Informationstechnik GmbH – TÜV NORD GROUP17.06.2015 15
Trusted Mobile Solution
� Evaluation der Sicherheit verarbeiteter Daten sowie zugrundeliegender Hard- und Softwarekomponenten
� Adressaten sind Service Provider und Hersteller im mobilen Umfeld mit kundenspezifischen Produkten
Trusted App
� Überprüfung von Sicherheits- und Datenschutzaspekten von Apps in Kooperation mit unserem Partner mediaTest digital (mTd)
� Analyseergebnisse in diversen MAMs verfügbar
Portfolio
© TÜV Informationstechnik GmbH – TÜV NORD GROUP17.06.2015 16
Wir gehören zu einer starken Gruppe, die eine 140-jährige Tradition vorweist.
TÜV NORD – ein kompetenter und internationaler Dienstleistungspartner
© TÜV Informationstechnik GmbH – TÜV NORD GROUP17.06.2015 17
� Gründung 1995
� 110+ Mitarbeiter
� Hauptsitz in Essen
� 14.000 Mitarbeiter weltweit
� Gesellschaften inüber 70 Ländern
© TÜV Informationstechnik GmbH – TÜV NORD GROUP09.06.2015 18
Vielen Dank!
https://www.tuvit.de
https://appsecuritycenter.com
