+ self defending network v2
DESCRIPTION
Ein Selfdefending Network ermöglicht Security Prognaosen zur Früherkennung von Attacken. Der Zugang zum internen Netz muss mit neuen Methoden geschützt werden. Nach dem Wegfall der Perimeter müssen wir wissen, welche Geräte und welche Personen sich an unsere Netze anschließen. Ein Selfdefending Network schützt vor infizierten, schlecht gesicherten Geräten durch den Security-Check der angeschlossenen Geräte, durch Aktualität der Antiviren-Signaturen, durch richtige Konfiguration und Einstellung. Zugang zum internen Netz erfolgt erst nach Authentifizierung (entsprechend dem Standard 802.1x), auch durch generelle Authentifizierung und Zuordnung der adäquaten Netzwerkberechtigung abhängig von der Rolle des Benutzers.TRANSCRIPT
Krzysztof Müller, 8 April 2008 1
Self Defending Network &
Security-Prognosen zur Früherkennung von Attacken
Mag. Krzysztof Müller CISA, CISSP8 April 2008
Krzysztof Müller, 8 April 2008 2
Die Art wie wir arbeiten ändert sich sehr rasch
• Änderungen in der Gesellschaft und in der Wirtschaft stellen sehr hohe Anforderungen an die IT der Zukunft
• Die Anzahl der Wissensarbeiter (Knowledge Worker) nimmt ständig zu
• Treiber der Veränderung:– Mobilität– Dezentralisierung– Geschwindigkeit– Flexibilität– Vernetzung– Web 2.0, 3.0, … – das Gefahrenpotential in
der digitalen Welt steigt
• IT muss flexibel genug für die Zukunft sein:– Schnelle Reaktion, schnelles Deployment– Absolute Verfügbarkeit– Einfachheit der Lösungen
Krzysztof Müller, 8 April 2008 3
Kollaboration in der Wirtschaft nimmt rasant zu!
• Unsere Mitarbeiter arbeiten oft außerhalb der Firma
• Externe Mitarbeiter arbeiten innerhalb unserer Firma
• Anzahl der Projekte mit Beteilung von Externen steigt
• Anzahl der Kooperationen steigt• Immer öfter werden Firmen gekauft und
eingegliedert• Firmen lagern viele Aktivitäten aus
(Outsourcing)
• Moderne Technik ermöglicht uns zu arbeiten wann und wo wir wollen
• Es kommen immer neue, mobile Geräte (Notebooks, Pocket PCs, Smartphones)
• Neue, flexible Zugangswege (VPN, WLAN) werden immer häufiger genutzt
Krzysztof Müller, 8 April 2008 4
Enterprise 2.0 – Neue Wege für Unternehmen im 21. Jahrhundert
• Hierarchy • Friction• Bureaucracy• Inflexibility• IT-driven technology • Top down • Centralized• Teams are in one building• Silos and boundaries• Need to know• Information systems are
structured and dictated• Taxonomies• Overly complex• Closed/ proprietary• Standards• Scheduled• Long time-to-market cycles
Enterprise 1.0• Flat Organization• Ease of Organization Flow• Agility• Flexibility• User-driven technology• Bottom up• Distributed• Teams are global• Fuzzy boundaries, open
borders• Transparency• Information systems are
emergent• Folksonomies• Simple• Open• On Demand• Short time-to-market cycles
Enterprise 2.0
Enterprise 2.0 beschreibt neue Technologien und eine Geschäftspraxis, die Zusammenarbeit auf Basis von sozialen Netzen ermöglicht. Wandel von “Struktur vor Nutzung” zu “Nutze und erst dann strukturiere”.
• Unstructured Search Tools
• Wikis• Weblogs • Tagging• RSS• Collaborative
Planning Software
• Social Networking Tools
• Mashups• …
Tools
Krzysztof Müller, 8 April 2008 5
Klassische, zentrale IT verschwindet
• Gute, alte Zeit: ein zentrales und vollkommen abgeschottetes Rechenzentrum
• 1. Revolution:PCs sind da
• 2. Revolution:Mobile Computing – Daten verlassen das Unternehmen auf Notebooks und Handys
• 3. Revolution:Internet und Web 2.0 - immer öfter werden unterschiedliche soziale Netze und Tools von Mitarbeitern genutzt
„Ach wissen Sie, das waren gute Zeiten! Und dann sind diese PCs gekommen ...“
Ein ehemaliger IT-Leiteraus der Zeit der Mainframes
Krzysztof Müller, 8 April 2008 6
Die Grenzen des Firmen-Netzwerkers verschwinden
• Internes Firmennetz wird immer offener – die Grenzen zur Außenwelt verschwinden
• Daten verlassen die Firma!• Fremde Geräte (auch Geräte
der Mitarbeiter nach längerer Zeit der Remote-Arbeit) können infiziert werden oder erfüllen unsere Sicherheitsvorgaben nicht
• Externe Projektmitarbeiter oder Lieferanten sollen als solche erkannt werden und nur einen begrenzten Zugang zum Netz erhalten
• Der Zugang zum internen Netz muss mit neuen Methoden geschützt werden• Nach dem Wegfall der Perimeter müssen wir wissen, welche Geräte und welche
Personen sich an unsere Netze anschließen.
Fremdes Netz
Internes Netz
DMZ
Internet
WLAN
VPN
Server Farm
Krzysztof Müller, 8 April 2008 7
Self Defending Network – Kontrolle in dem Chaos.
1. Schutz vor infizierten, schlecht gesicherten Geräten - Security-Check der angeschlossenen Geräte • Aktualität der Antiviren-Signaturen• Richtige Konfiguration und Einstellung.
2. Zugang zum internen Netz erst nach Authentifizierung (entsprechend dem Standard 802.1x)• Generelle Authentifizierung • Zuordnung der adäquaten Netzwerkberechtigung
abhängig von der Rolle des Benutzers.
Krzysztof Müller, 8 April 2008 8
Anomalieerkennung – die nächste Sicherheitstechnologie
• Anomalieerkennung nutzt heuristisches Verfahren. Damit kann man auch bis jetzt unbekannte Arten von Attacken erkennen – ein großer Vorteil gegenüber den klassischen Pattern- oder Signatur-basierten Systemen.
• Drei unterschiedliche Arten der Anomalieerkennung werden meistens benutzt:– Protokoll– Bandbreite– Verhalten
• Basierend auf der Analyse des Netzverkehrs wird ein Bild der „normalen“ Systemaktivität erstellt.
• Abweichungen von dem „normalen“ Zustand sind ein Zeichen für Attacke oder Missbrauch.
Krzysztof Müller, 8 April 2008 9
Anomalieerkennung ermöglicht die Reaktion auf bis jetzt unbekannte Bedrohungen
• Proaktive Erkennung von Netzwerk-anomalien
• Mitigation von Attacken – vor allem Abwehr von (D)DoS Attacken
• Analyse der Attacken und Verbesserung der Abwehrmechanismen
ALARM!
Abweichungen zum Normalzustand (Anomalien) erkennen und alarmieren
Mitigation (Gegenmaßnahmen ergreifen)
Normal-zustand durch lernen ermitteln
Krzysztof Müller, 8 April 2008 10
Vielen Dank!
Mag. Krzysztof Müller CISA, CISSPTelekom Austria TA AGLeiter Information Security
[email protected]+43 (0)59 059 147040