Transcript
© 2015 ı Classification: PUBLIC
Internet in Zeiten von Pest und C holera Dr. Norbert Schirmer Head of Endpoint Security, Sirrix AG IT’S Breakfast 25. September 2015 ı Bochum
© 2014 ı Classification: PUBLIC
Ursprünge in der Spitzenforschung Gegründet 2005 als Spin-Off der Universität des Saarlandes und des Deutschen Forschungszentrums für Künstliche Intelligenz Heute High-Tech Produkthaus für Behörden und Unternehmen, Tochter von Rohde und Schwarz Internationaler Technologieführer im Bereich „Trusted Infrastructures“
Kernziele Commercial-of-the-Shelf (COTS)-Systeme mit minimalem Aufwand für den behördlichen Einsatz sicher machen Standardsysteme nachweisbar vertrauenswürdig machen
2
© 2014 ı Classification: PUBLIC
3
© 2014 ı Classification: PUBLIC
Trends 2015 in Cybersecurity
4
© 2014 ı Classification: PUBLIC
Entwicklung Sicherheitsvorfälle
7
© 2014 ı Classification: PUBLIC
Bedrohungen
CyberCrime Rückgang bei Bankraub um 80% seit 1995 Cyber-Crime wird zu einem attraktivem BusinessModell: Bereits 2013 schätzte das BKA die Dimension in der Größenordnung des Drogenhandels! Entwicklung eines kollaborativen Eco-Systems Professionalisierung mit erheblichen Ressourcen and Finanzmitteln und technischer Expertise 9
© 2014 ı Classification: PUBLIC
NSA: Kein Anti-Spy Abkommen Auch US-Marktführer beteiligt (RSA, …) NSA kauft weiterhin Zero-Day Expolits Andere Dienste ebenfalls aktiv
CyberCrime
Advanced Persistent Threats (APT) 10
© 2014 ı Classification: PUBLIC
Collateral CyberDamage
CyberCrime
AIRBUS: 1.000 Rechner pro Monat desinfizieren und neu aufsetzen. 75% der Malware-Infektionen über Advanced Browser/Internet-Access, nur 14 % über E-Mail Persistent 2.5 % der deutschen Webseiten sind mit Malware Threats infiziert (zum Vergleich USA ~1,01; Japan ~0,51)
(APT)
11
© 2014 ı Classification: PUBLIC
Persönliche Erfahrung mit kriminellen Vorfällen: Schadprogramme sind größte Gefahr für den IT-Nutzer
BITKOM Umfrage August 2014 zu persönlichen Erfahrung mit kriminellen Vorfällen im Internet in den letzten 12 Monaten 12
© 2014 ı Classification: PUBLIC
Gefahren im Internet
13
© 2014 ı Classification: PUBLIC
IT-Sicherheitslösungen?
14
© 2014 ı Classification: PUBLIC
Aspekte der Vertrauenswürdigkeit Technologien für vertrauenswürdige IT
Lieferketten für vertrauenswürdige IT
15
© 2014 ı Classification: PUBLIC
Lösungen auf dem Stand der 90er
IDS
Vorfälle
Desktops Port-Control
FDE VPN AV
WebProxy
Mobile
Firewall
Leitungsverschlüsselung
90s
2000s
Timeline
16
© 2014 ı Classification: PUBLIC
Veränderte Bedeutung einzelner Sicherheitstechnologien
17
© 2014 ı Classification: PUBLIC
„Anti-Virus is dead“ Brian Dye, Symantec's senior vice president for information security
20
© 2014 ı Classification: PUBLIC
Beispiel Zero-Day Exploits
Die Lösung?
21
© 2014 ı Classification: PUBLIC
Paradigmenwechsel zu modernen, intelligenten, pro-aktiven Systemen
Reaktive Ansätze:
Proaktive IT-Sicherheit:
„Airbag-Methode“: Wenn‘s passiert soll es weniger „weh tun“
„ESP-Strategie“: Verhindern, dass man überhaupt ins Schleudern kommt
22
© 2014 ı Classification: PUBLIC
Intelligente, pro-aktive Konzepte Separation, Integritätsprüfung Separierung kritischer Bereiche in von einander isolierte Komponenten Reduzierung der sicherheitsrelevanten Komponenten (TCB) Integritätsschutz der Komponenten Datenaustausch nur über klar definierte Schnittstellen TECHNOLOGIEN: Virtualisierung, Sicherheitskerne
Control Creation
Informationsflusskontrolle statt Zugriffskontrolle Kontrolle der Daten über gesamten Lebenszyklus Verarbeitung nur durch integritätsgeschützte Komponenten TECHNOLOGIEN: Trusted Computing, Remote-Attestation
Use
Erase
23
© 2014 ı Classification: PUBLIC
Beispiel: Sicherer Browser
24
© 2014 ı Classification: PUBLIC
75% der Malware-Infektionen über Browser/Internet-Access, nur 14 % über E-Mail AIRBUS: 1.000 Rechner pro Monat desinfizieren und neu aufsetzen. 2.5 % der deutschen Webseiten sind mit Malware infiziert (zum Vergleich USA ~1,01; Japan ~0,51)
25
© 2014 ı Classification: PUBLIC
Risiko Internetzugriff
„Anti-Virus is dead“ Brian Dye, Symantec's senior vice president for information security Windows PC / Intranet
Internetzugriff über Proxy inkl. AV-Scanner, Content- und URLFilter. • AV-Scanner kann Schadcode nur noch teilweise erkennen und nicht sicher aufhalten.
26
© 2014 ı Classification: PUBLIC
Sichere Trennung von Intranet und Internet durch Zwei-Browser Strategie mit Browser in the Box INT RANET - BRO WSER
BROWSER IN THE BOX
Produktbezogene Daten Produktentwicklungsunterlagen Strategische Konzepte Browserbasierte in-house Anwendungen Emails
•
Recherchen, Nachrichten...
27
© 2014 ı Classification: PUBLIC
Browser-in-the-Box: Isolation auf Rechnerebene Anwenderkonto
BitBox Konto
ANWENDUNG
VirtualBox GEHÄRTETES SE-LINUX
ANWENDUNG
Windows
WEB-BROWSER
BitBox Services
Intranet
28
© 2014 ı Classification: PUBLIC
Browser-in-the-Box: Netzwerkisolation Anwenderkonto
BitBox Konto
ANWENDUNG
VirtualBox GEHÄRTETES SE-LINUX
ANWENDUNG
WEB-BROWSER
VirtualBox
Windows
BitBox Services
GEHÄRTETES SE-LINUX
IPsec
DMZ
Intranet
29
© 2014 ı Classification: PUBLIC
BitBox auf Terminal Servern und ThinClients? Anwenderkonto
BitBox Konto
Geschachtelte Virtualisierung
VirtualBox
ANWENDUNG
GEHÄRTETES SE-LINUX
ANWENDUNG
WEB-BROWSER
BitBox Services
Windows Server
Virtualisierung z.B. Citrix XenServer
30
© 2014 ı Classification: PUBLIC
Browser in the Box TS - für virtuelle Infrastrukturen
31
© 2014 ı Classification: PUBLIC
Sicheres Browsen Ermöglicht komfortables Browsen (inclusive aktiven Inhalten) Schützt vor jeglicher Malware Infektion und vor APT Angriffen Wirkt auch bei vorhandenen Expolits in Browser, Betriebssystem, Java VM oder dem PDF-Viewer. Ermöglicht Informations-Flusskontrolle (Clip-Board, Sicherer Up-/Download von Dateien)
Technologie Transparent für den Nutzer Einfache Verteilung über MSI Zentral administriert mit Anbindung an Verzeichnisdienste (z.B. AD) Verfügbar für Fat Clients als auch Terminal Server und virtuelle Infrastrukturen Im Auftrag des BSI entwickelt 32
© 2014 ı Classification: PUBLIC
Beispiel: Sicheres Smartphone
33
© 2014 ı Classification: PUBLIC
BizzTrust: Sichere Trennung von beruflichen und privaten Anwendungen Business- und Private-Umgebung • Benutzer hat volle Kontrolle über die private Umgebung • Unternehmen hat volle Kontrolle über die berufliche Umgebung
Strikte Trennung • Trennung von Apps und Benutzerdaten • Apps einer Umgebung haben keinen Zugriff auf die Apps der anderen Umgebung • Optionale Trennung von Kontakten und Kalendereinträgen • Business-Apps haben keinen direkten Zugriff auf das Internet 34
© 2014 ı Classification: PUBLIC
Sicherheitsarchitektur mit Type Enforcement
App
Business
Personal
(classified)
(unclassified)
App
App
App
App
App
Hardend Android Middleware With Security Extensions TURAYA™ Security Kernel & Type Enforcement Smartphone Hardware
Sicherheitskern
35
© 2014 ı Classification: PUBLIC
Beispiel: Trusted Desktop
36
© 2014 ı Classification: PUBLIC
TrustedDesktop
Sicherer Arbeitsplatz Umfassende Client-Sicherheit, inkl. FDE, VPN-Client, Desktop-Virtualisierung, Trusted Boot, Port-Kontrolle Schützt vor jeglichen Infektion durch Schadsoftware und APT-Angriffen, auch bei vorhandenen Schwachstellen (Expolits) in einer Anwendung oder im Betriebssystem selbst, einschließlich des Windows-Kerns. Bietet transparente Verschlüsselung und Informationsfluss-Kontrolle (Zwischenablage, USB and Fileserver) Benutzer-orientiert und transparent
Technologie Verwendet TURAYA™ Sicherheitskern und Voll-Virtualisierung, TPM-basiert Zentral administrierbar mit TOM 37
© 2014 ı Classification: PUBLIC
Security Kernel Isolation
App
App
OS
App OS
TURAYA™ Security Kernel Hardware
Policy Enforcement
38
© 2014 ı Classification: PUBLIC
TrustedDesktop – Beispiel
39
© 2014 ı Classification: PUBLIC
40
© 2014 ı Classification: PUBLIC
Aspekte der Vertrauenswürdigkeit Technologien für vertrauenswürdige IT
Lieferketten für vertrauenswürdige IT
41
© 2014 ı Classification: PUBLIC
Lieferketten: Haben wir überhaupt noch eine Wahl? -
-
Kein europäischer Betriebssystemhersteller (Microsoft und Apple bei PCs, Apple und Google bei Mobile) Kein europäischer Prozessorhersteller für PCs (Intel, für Smartphones: Core-Designer ARM, aber: kein Chipset Anbieter mehr) Kein europäischer Hardwarehersteller bei PCs und Smartphones Kein europäischer IP-Netzwerkausrüster Noch dramatischer bei Cloud Diensten: Google, Facebook, Salesforce
42
© 2014 ı Classification: PUBLIC
Konzept von Wirkungsklassen und Replacebility Wirkungsklasse 0
► Basis-IT-Sicherheit
• Bürger mit privater Nutzung
Wirkungsklasse 1
► Schutzbedarf: mittel
• Unternehmen, Organisationen, Behörden
Wirkungsklasse 2
► Schutzbedarf: hoch
• Unternehmen, Organisationen, Behörden, Infrastruktur (+ Industriespionage)
Wirkungsklasse 3
► Schutzbedarf: sehr hoch
• Unternehmen, Organisationen, Behörden, Infrastruktur (+ Cyberwar, Sabotage, …)
Wirkungsklasse 4
► Verschlusssachen, >VS-V
43
43
© 2014 ı Classification: PUBLIC
McKinsey Report zum WEF 2014
1. Prioritize information assets by business risks. Most companies lack sufficient insight into the precise information assets they need to protect—for example, the damage that might result from losing the intellectual property behind a new manufacturing process. Business leaders need to work with cybersecurity teams to assess and rank business risks across the value chain.
2. Differentiate protection by the importance of assets. Assigning levels of
controls, such as encryption and more rigorous passwords for lower-value assets, will allow management to invest time and resources in protecting the most strategic information.
3. Integrate security deeply into the technology environment to achieve scale. Executives need to instill the mind-set that security isn’t something bolted onto projects. Instead, every facet of the growing technology environment— from developing social-network applications to replacing hardware—needs to be shaped by the awareness of new vulnerabilities.
4. Deploy active defenses to uncover attacks proactively. Massive intelligence is
available about potential attacks. Much as top teams are organizing strategy around big data analytics, they must ensure that their companies can aggregate and model new information to establish robust defenses.
…
44
© 2014 ı Classification: PUBLIC
Konzept von Wirkungsklassen und Replacebility Wirkungsklasse 0
► Basis-IT-Sicherheit
• Bürger mit privater Nutzung
Wirkungsklasse 1
► Schutzbedarf: mittel
• Unternehmen, Organisationen, Behörden
Wirkungsklasse 2
► Schutzbedarf: hoch
• Unternehmen, Organisationen, Behörden, Infrastruktur (+ Industriespionage)
Wirkungsklasse 3
► Schutzbedarf: sehr hoch
• Unternehmen, Organisationen, Behörden, Infrastruktur (+ Cyberwar, Sabotage, …)
Wirkungsklasse 4
► Verschlusssachen, >VS-V
45
45
© 2014 ı Classification: PUBLIC
Beispiel für sicherer Client und „Replaceability“ Cloud: BoxCryptor/PanBox
Virtualisierungslayer Sirrix/Secunet/Genua Schafft Vertrauenswüdigkeit unabhängig vom Betriebssystem
TPM-Anbieter: Infineon UEFI-Bios: fehlt noch
Schafft Vertrauenswürdigkeit bei Storage-Clouds
Fulldisk Encryption: Sirrix Ersetzt Microsoft Bitlocker
Remote-VPN: NCP Ersetzt Windows VPN 46
© 2014 ı Classification: PUBLIC
Beispiel für „Replaceability“ beim Smartphone
Deutscher Sicherheitskern: BizzTrust Ersetzt Samsung KNOX
47
© 2014 ı Classification: PUBLIC
Zusammenfassung Neue IT-Trends und veränderte Rahmenbedingungen erfordern mehr IT-Sicherheit Bisherige IT-Sicherheitskonzepte werden dem nicht gerecht. Wir benötigen einen Paradigmenwechsel zu pro-aktiver Sicherheit Deutsche IT-Sicherheitsindustrie bereits Vorreiter Sicherheit vor Angriffen aus dem Internet durch Isolation von Intranet und Internet 48
© 2014 ı Classification: PUBLIC
Sirrix AG Im Stadtwald, Geb. D3 2 66123 Saarbrücken GERMANY Tel Fax
+49 (0)681/95986-0 +49 (0)681/95986-500
Email Web
[email protected] www.sirrix.com
49
© 2014 ı Classification: PUBLIC
TrustedDisk Produktlinien
Festplatten- und USB-Verschlüsselung
Mit Pre-Boot Authentication und Smartcard/Token-Unterstützung
Einzelplatz und Sprachverschlüsselungs T URAYA T M Version mit zentralem Management systeme TrustedInfrastructure • ISDN/VoIP/GSM • TrustedVPN Vom BSI für VS-NfD zugelassen • TÜber ET RA/BO S-D/SNS • TrustedDesktop Rahmenvertrag im KdB beschaffbar • NAT O -SC IP • TrustedServer
Fax Encryption Systeme Radio Encryption Systeme • •
Module für VHF/UHF Radios Handsets für HF-Radios
Mo bile Device Security
• T URAYA Embedded • T URAYA Mobile TM
BitBox Secure Brow sing TrustedDisk Vo lume und USB-Encryption • TrustedMobile iO S • BizzTrust™
TM
TrustedO bjects Manager Management für Appliances, Policies, Benutzer, Trusted Domains, … 50
