cyber security für kmu – umgang mit risiken der digitalisierung...2019/05/07 · 1 am it-puls...
TRANSCRIPT
-
1
Am IT-Puls der UnternehmenPerspektiven und Erfahrungen
Cyber Security für KMU – Umgang mit Risiken der Digitalisierung
Veranstaltungsreihe des Instituts für Informations- und Prozessmanagement
[email protected]://www.fhsg.ch/ipm
Prof. Dr. Peter Jaeschke
mailto:[email protected]://www.fhst.ch/ipm
-
2
In s t itu t fü r In fo r m at ion s - u n d Pr oz es s m an agem en t
-
3
AgendaBegrüssung Peter Jaeschke, IPM-FHS
Darknet und Cyber Security - Christian Thiel, IPM-FHSAktuelle Bedrohungslage
Erfahrungen mit einem Schutzdispositiv Alexander Odenthal,bei der Security Prophylaxe StV. CISO, Raiffeisen Schweiz
Cyber-Abwehrkräfte stärken mit einem Aldo Frick, CIO,SOC as a Service Telecom Liechtenstein AG
Fragen und Diskussionen
Apéro
-
4
Dis k u s s ion
-
Darknet und Cyber Security
Aktuelle Bedrohungslage
-
Das Netz – der grösste Teil ist unter Wasser
-
TOR – The Onion Router
-
TOR Verwenden
1. Spezialisierte Linux Distributionen wie z.B. Whonix oder Tails Linux
• Leiten sämtlichen Traffic via TOR Netzwerk
• Plus weitere Elemente zur Sicherung der Privatsphäre (Verschlüsselung, Löschen, etc.)
2. TOR Browser (nur der Webtraffic ist geschützt)
-
Marktplätze:Illegale Angebote• Drogen• Waffenhandel• Pornographie• Software• Film / Music / ebooks• (Produkt-)Fälschungen
• Daten / Informationen• Services (Crime as a Service)• Hacking Tools (Crime Ware)
-
Auftragsmord
Quelle: https://www.scip.ch/?labs.20160114 (2016)
-
Darknet und Strafermittlung
• Strafermittlung im Darknet ist sehr aufwändig, aber nicht unmöglich
• Verbrecher machen Fehler und mit Hilfe dieser Fehler werden sie gefunden.
• TOR Software kann Fehler enthalten
• Netzwerkdaten können «leaken», d.h. nicht via TOR verschickt werden (z.B. DNS, IPv6)
-
Cybercrime Inc. – Professionalisierung des Cyber Crime80% der Hacker arbeiten mit der organisierten Kriminalität zusammen.▪ Cosa Nostra, Japanische Yakuza, Chinesische Triaden, Russische Mafia, Südamerikanische
Kartelle,…
Cyberkriminalitätsorganisationen▪ "businessorientiert"▪ gut organisiert▪ Unternehmensstrategien▪ Anonymitätsmethoden:
▪ Darknet▪ Kryptowährungen
-
Crime Ware Preise:
Autolog keylogger
Malware Trends on ‘Darknet’ Crypto-markets: Research Review: Report of the Australian National University Cybercrime Observatory for theKorean Institute of Criminology 2018
-
Ausbildung und Support
• Tutorials• Sammlungen• Geräte
-
DDoS as a Service
• Distributed Denial of Service
-
Schadsoftware / Ransomware as a Service
-
Allgemein: Botnets as a Service
-
Hacking-as-a-Service
-
Bot Map
15
GovCERT.chComputer Emergency Response Team (GovCERT) of the Swiss government
-
Phishing Statistik
16
GovCERT.ch
-
Ablauf einer zielgerichteten Attacke
-
Anatomie eines Advanced Persistent Threat
18ISSS Zürcher Tagung 2015 9ISSS2010XZ643293
Anatomie eines Advanced Persistent Threat
Vorbereitung
Initial Kompromittierung
Spear phishing, 0-day, watering hole
Fuss fassenBackdoor oder
Malware
Erweiterung von Rechten
Erkundung
Verankerung
Laterale AusbreitungBackdoors
AusführungDatendiebstahl
und –aggregation
Abschluss Datenexfiltration
1
Command & Control (CnC)
2
3
4
Command & Control (CnC)
5
Benutzer verhält sich riskant und erhält Firmen-E-mail über sein privates Social Netzwerk Konto
Abnormales Verhalten von Geräten und Netzwerk; DNS Abfragen seltsamer Namen; abnormale Verkehrsmuster
Benutzerverhalten ist abnormal;Gerät kontaktiert neue Hosts;Netzverkehrsmuster sind abnormal
Benutzerverhalten ist abnormal;Datenzugriffe sind abnormal; Daten werden schnell aggregiert
Verschieben von sensiblen Daten; Benutzer zeigt abnormalesZugriffsmuster auf viele Ressourcen;Gerät kontaktiert abnormale Hosts
Quelle: Dr. Marc Ph. Stoecklin IBM Research
-
Repräsentative Umfrage bei 300 CEOs von KMUStudie von SVV, SQS, ICTswitzerland, ISSS, ISB, Expertenkommission Bund: Publikation 12.12.2017, https://ictswitzerland.ch/publikationen/studien/cyberrisiken-in-schweizer-kmu
19
Risiko von Cyberangriffen wird stark unterschätzt▪ Die Mehrheit fühlen sich gut bis sehr gut geschützt▪ Nur 4% der CEOs sehen es als grosse oder sehr grosse Gefahr, durch einen
Cyberangriff in der Existenz gefährdet zu werden.Studienergebnisse zeigen eine andere Realität▪ Mehr als ein Drittel sind von Cyberattacken betroffen▪ Die Anzahl der erpressten Firmen wird auf 23‘000 (4%) geschätzt
▪ Nur 60% geben an, Grundschutzmassnahmen voll und ganz umzusetzen▪ Systeme zur Erkennung von Cybervorfällen wurden nur von jedem fünften
Unternehmen vollständig umgesetzt▪ Prozesse zur Behandlung von Cybervorfällen wurden nur von 18% der
Unternehmen vollständig umgesetzt▪ Mitarbeiter-Schulungen über den sicheren Gebrauch IT wurden lediglich bei
15% der KMU vollständig umgesetzt
-
Erfahrungen mit einem Schutzdispositiv bei der Security Propyhlaxe
Alexander Odenthal
StV. CISO Raiffeisen Schweiz
Vorstandsmitglied ISSS.ch
-
Agenda
1. Cyberraum und «intern»: Wer kontrolliert wen?
2. Anforderungen an die «Cyber-Resilienz»
3. Management System(e)
4. Erfahrungswerte
-
Cyberraum: Wer kontrolliert wen?
3
-
Controls Ebenen: Wer kontrolliert «intern»?
4
-
Anforderungen an die «Cyber» Resilienz
-
Risikomanagement und Controlling
6
Quelle: ISACA: https///www.isaca.de/sites/default/files/attachements/isaca_leitfaden_i_gesamt_web.pdf
-
Komplexität am Beispiel ISO 27001 / ISO 27002
7
Quelle: ISACA: https///www.isaca.de/sites/default/files/attachements/isaca_leitfaden_i_gesamt_web.pdf
-
Datenzentrisch: Klassifikation (vereinfacht)
8
-
Prüfmassnahmen: Standard Kategorien
9
(Geheim)(Vertraulich)(Bsp: Intern)
OWASP: Open Web Application Sec. Project; ASVS: Application Security Verification Standard https://www.owasp.org/index.php/Main_Page
-
Sourcing: Due Diligence Vorgaben (Beispiele)
10
BCM: Business Continuity Management
-
Security Projekte: NIST Cybersecurity Framework
11
Quelle: https://nvlpubs.nist.gov/nistpubs/CSWP/NIST.CSWP.04162018.pdf
-
12
Empfehlungen gegen Cyber-Risiken
Security:
-
Reporting: Security Dashboard
13
Quelle: NIST Categories: https://nvlpubs.nist.gov/nistpubs/CSWP/NIST.CSWP.04162018.pdf
Farben sind illustrativ
-
Erkennung und Agilität sind wesentlich für eine Cyber-Resilienz
Erfahrungswerte 1 – «Security Prophylaxe»
Kern-aussagen
IT Security Experten spielen gegen eine Liga ohne Gentlemen: >> 1 Million Hacker und >> 100.000 Profi Hacker bei Geheimdiensten.
Schutzmassnahmen sind Pflicht –das Internet ist 24x7 online.
Wer sich «nur» mit Abwehr schützt –bleibt teilweise blind und verliert.
Cyber-Resilienz erfordert schnelleErkennung & Reaktion: «SOC».
-
Awareness und Wirksamkeit sind wesentlich für Cyber-Resilienz
Erfahrungswerte 2 – «Security Prophylaxe»
Kern-aussagen
Der zunehmenden Bedrohungslage bei Cyberrisiken ist mit einer aktiven Strategie zu begegnen – Kompetenz und Geld.
Gegen Cyberangriffe hilft nur die Wirksam-keit aller Massnahmen, Compliance ist ein Weg dorthin.
Hilfsmittel die niemand versteht sind wertlos. Darum: einfach und verständlich.
Security (Awareness) und Datenschutz wird durch die Geschäftsleitung verantwortet.
-
Cyber-Abwehrkräfte stärken mit einem SOC as a Service Fachhochschulzentrum St.Gallen, 7.5.2019Aldo Frick, CIO
-
Telecom Liechtenstein AG | Internationaler Footprint
2
48KKunden
300 Mio.Kunden
24 Mio. Kunden
FürstentumLiechtenstein
75.1%
Telekom Austria Group
24.9%América
móvil50.1%
-
Telecom Liechtenstein AG | Security-Portfolio
3
Mobile Network Security Monitoring Services- FL1 Overwatch®
GPS/GNSS Security Monitoring Services- FL1 Overwatch®
IT & OT Security Monitoring Services - powered by RadarServices
Fully managed services with own SOC in Vaduz
-
AusgangslageHerausforderungen ohne SOC
-
Komplexe Herausforderungen
5
Wie optimiere ich Risikoerkennung und Risikomanagement? − Wie erkenne ich moderne, gezielte Angriffsszenarien?− Wie stelle ich Korrelation über Ereignisse oder Ereignisketten her?− Wie bewerte ich das Risikopotential?− Wie erhalte ich anwendbare Anleitungen für die Behandlung von Risiken?− Wie wird überprüft, ob Verbesserungen erfolgreich waren?− Wie gestalte ich einen effizienten Informationsfluss zu allen Beteiligten?
Wie erhalte ich gesamtheitlich, aussagekräftig und aktuell einen Überblick über meine IT-Sicherheit?
Wie schaffe ich Risikotransparenz (vom IT- zu Geschäftsrisiko)?
-
Die wichtigsten Ergebnisse der Global Information Security Survey im Überblick (Ernst & Young)
69. Mai 2019 Klassifizierung: public
Quel
le: h
ttps:
//w
ww
.ey.
com
/de/
de/s
ervi
ces/
advi
sory
/ey-
cybe
rsich
erhe
it
87%Der befragten halten eine Erhöhung ihrer Mittel für Cybersicherheit um bis zu 50 Prozent für notwendig.
77%betrachten unvorsichtige Mitarbeiter als das grösste Risiko.
12%glauben, dass sie einen raffinierten Cyberangriff sehr wahrscheinlich aufdecken würden.
63%der Unternehmen überlassen die Berichterstattung über IT-Risiken noch immer weitgehend ihrer IT-Abteilung.
48%haben kein Security Operations Center, obwohl diese immer mehr an Bedeutung gewinnen.
17%der Unternehmensvorstände haben ausreichende Kenntnisse zur Cybersicherheit, um Cyberrisiken wirksam zu kontrollieren.
57%haben kein - oder nur ein informelles - Programm das proaktiv Informationen über potenzielle Cyberbedrohungen sammelt und analysiert
89%gaben an, dass ihre Cybersicherheitsfunktion nicht in vollem Umfang den Anforderungen ihres Unternehmens.
-
Wie können die ‘Silos’ in der IT- Security überwunden werden?
79. Mai 2019 Klassifizierung: Intern
Organisation
AVAuthentifizierung
…
FirewallIDS / IPS
…
AVVirtualisation
Zugriff
ZutrittBCM Schulungen
Workplace Network Server InfrastrukturMitarbeiter
Virtualisierung (Cloud)
-
Security Operations Centeras a ServiceDas Frühwarnsystem für die IT.
-
RADA
RSER
VICE
SDA
S SY
STEM
9
-
Vorhersagen
Verhindern
Erkennen
BewertenBerichten
Beheben
Prüfen
PROC
ESSE
SRI
SK A
NALI
SYS
WOR
KFLO
W
10
Response
Risk & Security Intelligence TeamKunde
-
Lösungsansatz: Auflösen der Silos und Einbindung in die Prozesse
119. Mai 2019
Vorhersagen
Verhindern
Erkennen
BewertenBerichten
Beheben
Prüfen
Klassifizierung: public
-
CUST
OMIZ
ED R
EPOR
TS
& AL
ARM
IERU
NG
12
− Alarmierung in dringenden Fällen − Durchgehender Risikobehebungs-Workflow im Cockpit− Nachrichten-/Feedback-System zur Kommunikation mit dem Intelligence Team− Integrierter Business Process Risk View zeigt die durch die IT-Sicherheitsprobleme
gefährdeten Geschäftsprozesse auf− Asset Management Funktionen für den Überblick über alle Geräte im Netz
RESULTAT
Zentrale Präsentation aller Risiko- und Sicherheitsinformationen
Massgeschneiderte, leicht verständliche Berichte & Statistikenin der gewünschten Detailtiefe
-
CUST
OMIZ
ED R
EPOR
TS
IM F
OKUS
13
-
Warum RadarServices (SOC as a Service)?
14
Das Ergebnis: modernste Eigentechnologie (Forschung &
Entwicklung)
Das Ergebnis: Effektivität in der Erkennung von IT-
Sicherheitsproblemen
Das Ergebnis: Aus Billionen Events aus unterschiedlichen
Quellen wird ein einfacher CyberRisk Management Prozess
RadarServices unterliegt nicht dem US Patriot Act und damit
nicht der Pflicht, Kundendaten an US-Behörden auf deren
Verlangen weiterzugeben.
Die oberste Maxime: Daten müssen Ihr Unternehmen niemals verlassen, ausser Sie erteilen uns
den expliziten Auftrag dazu
Spitzentechnologiemade in Europe
Perfektionin der Analysetiefe
Komplettabdeckungin der Ereignisbreite
Höchste Sicherheitsstandardsim Markt
Europäischer Datenschutzals Rechtsrahmen
-
Das grösste SOC & Cyber Defense Center in Europa
15
Daten933 Petabyte analysierte Daten 99 Billionen Events1,2 Milliarden analysierte Schwachstelleninformationen 4,2 Millionen identifizierte IncidentsAngaben pro Jahr (Stand Sep 18)
Technologie im EinsatzUnsere Technologie ist die Basis von CDCs bei börsen-gelisteten Kritis-Unternehmen sowie in Kunden-CDCs von Telekommunikationsunternehmen und MSSPs.
Referenzen für Managed Services:
Referenzen für Solutions:
-
Vielen DankFL1 Cyber Security | Telecom Liechtenstein AG | Schaanerstrasse 1 | LI-9490 [email protected] | https://cybersecurity.fl1.li
Begrüssung Peter Jaeschke_Cyber Security für KMU_07.05.2019Foliennummer 1Institut für Informations- und ProzessmanagementAgendaDiskussion
IT Puls darknet CybersecurityFHSG_ISSS_Cyberangriffe_Schutzdispositif_2019-05-07_v1.2_öffentlichFHSG Präsenation V1Cyber-Abwehrkräfte stärken mit einem SOC as a Service Telecom Liechtenstein AG | Internationaler FootprintTelecom Liechtenstein AG | Security-PortfolioAusgangslageKomplexe HerausforderungenDie wichtigsten Ergebnisse der Global Information Security Survey im Überblick (Ernst & Young) Wie können die ‘Silos’ in der IT- Security überwunden werden?Security Operations Center�as a ServiceRADARSERVICES�DAS SYSTEMPROCESSES�RISK ANALISYS WORKFLOWLösungsansatz: �Auflösen der Silos und Einbindung in die ProzesseCUSTOMIZED REPORTS �& ALARMIERUNGCUSTOMIZED REPORTS �IM FOKUSWarum RadarServices (SOC as a Service)?Das grösste SOC & Cyber Defense Center in EuropaVielen Dank