Information Security Management System
Werbung
Infsi 2015 Information Security Management Managementprozesse International Standardization Organization (ISO) 27000 Bundesamt für Sicherheit in der informationstechnik (BSI) IT-Grundschutz CObIT(Control Objectives for Information and related Technology) Information Technology infrastructure Library (ITIL) Definition der Begriffe ISO 20000: IT Service Management (ITIL) ISO 9001 Quality Management ISO 27000: Begriff definitionen ISO 27000: 2009 Risiko Management – Vocabluary – Guidline RFC 4949: Risiko management BSI o Fragen der IT-Sicherheit zu kümmern. Bereiche: Sicherheit in Anwendungen/Infrastruktur, Kryptologie und Abhörsicherheit, Konformitätsprüfung, Zertifizierung & Zulassung, Verwaltung Informationssicherheit Vertraulichkeit (confidentiality): Geheimhaltung der Info Echtheit (integrity), Echtheit der informationen, das sie nicht von einem dritten geändet wurden. Sender-Authentisierung, Empfänger-Auth, MeldungsAuth, Zertifizierung, Validierung, Zeitstempel etc. Verfügbarkeit (availability): o Zuverläslichkeit (Reliability) Datensicherheit: Schutz der Daten Cyber-Sicherheit: gewünschter Zielzustand(min Risk), Durch geeigneter und angemessenen Massnahmen Datenschutz: soll Einzelnen schützen, mit dem Umgang von Personendaten. Management Risikomanagment: ISO 27000: 2009 Risiko : wahrscheinlichkeit eines Ereignis, mit der ein Schaden auftritt und dem Ausmass des Schadens. Risk Avoidance: Risiko Eliminierung mit Gegenmassnahmen oder Schwachstellen entfernen. Risk Transference: Versicherung gegen ein Risiko Risk Limitation: Limitierung des Risiko durch Control Massnahmen auf ein Minimum Risk assumption: Akzeptiere das potenzielle Risiko. Wert(Asset): Information, Software, Materiell etc. Alles was wichtig für eine Institution ist. Bedrohung (Threat): möglicher Grund für ungewollten Vorfall Kontrolle Massnahme(Control): Schutz- Gegenmassnahme ISO 27000: 2009 Schwachstelle (Vulnerability) : Schwäche einer Schutzmassnahme Gefährdung (Applied Threat): Bedrohung wird durch vorhandene Schwachstelle zur Gefährdung Info-Vofall: vorfall von Info-Ereignisse mit bestehender Wahrscheinlichkeit einer Kompromittierung. Info-Ereignis: erkanntes auftreten eines möglichen Vorstoss gegen die Leitlinie der Informationssicherheit SDLC Software Development Lifecycle 1. 2. 3. 4. 5. Analysis Design Implementation Verification Release, Maintenance Der wichtigste Security Berührungspunkt eines Projektes ist beim Code Review. Standardisierung Formal Standards o International ISO(Informatics), IEC(Electrical), ITU (Telecommunication) o Berufsorganisation IEEE o Statsstellen, NIST, NVD Public (Open) Standards o Open Source Standards (RFC) De-Facto Standads: o Office, Industrie(DIX, ECMA) International Standardization Organization (ISO) Mindestens 75% der an den Abstimmung beteiligten Nationen müssen zustimmen, damit ein Standard angenommen wird. IEEE Jedermann kann teilnehmen Mitglieder einer standardisierungsgruppe, welche an genügend vielen vergangenen Sitzungen teilgenommen haben, sind Stimmberechtigt. ANSI Nur zwei Vertreter einer Firma können Mitglied sein und haben Stimmrecht Ist Privat und eine Non Profit Organisation Rquirement, Recommendation and Option Requirement o Must, Required, Shall o Must not, Shall not o Dies anforderen sind strikt zu befolgen Recommendation o Should, recommended o Should not, not recommended o Sind besonders empfohlen, ohne zu erwähnen, dass eine bestimmte Vorgehensweise bevorzugt wird Optional o May , optional o Sind freiwillig und braucht es nicht. Können gemacht werden. ISO 27001:2005 / 2013 Information Security Management System Systematischer Ansatz für das Management von sensitiven Information Standard an welche Organisationen geprüft & zertifiziert werden. IT-Grundschutz Methodik zum Aufbau eines Sicherhetismanagement Infrastrukturell , Oranisatorisch, personell & technische Sicherheitsmassnahmen zum normalen schutzbedarf Standard-Sicherheitsniveau & Sicherheitsmassnahmen COBIT Business Requirements, IT-Resources, IT-Processes Payment Card Industry Data Security Standard(PCI DSS) Einhaltung des Regelwerks für den Zahlungsverkehr mit Kreditkarten OWASP Non-Profit-Organisation mit dem Ziel, Sicherheit von Anwendungen & Dienste im Web zu verbessern. Security Review Aktion Interview Dokument Reviews Systemanalyse White Box(Glassbox) Test Teams Security Analyst Security Consultant Security Review: Sicherheitszustand beschreiben Security Assessment. Sicherheitszustand beurteilen Security Audit: Sicherheitszustand mit Zielvorgabe vergleichen Penetration Testing Action Black Box / Gray Box/ White Box Angriffversuche Teams Security Scan, Schwachstellen ausnutzen, Vulnerability Testing, Zertifizierung Welsalb? Zur Differenzierung gegenüber Mitbewerbern, Unabhängige Prüfung, Gütesiegel, Qualitätsnachweis Akkreditierungsstelle (SAS) Können Zertifizierungsstellen begläubigen, dass diese erlaubt sind, Zertifikate auszustellen. Gefährdung Bedrohung wird erst durch ausnutzung einer Schwachstelle zur Gefrährdung !! Online Kirminelle Hacktivismus Governments hacker Cybercrime Attacke gegen Computer & Software Finanzielle Verbrechen Missbrauch Gefährdungen (Angriffe) Installation von Programme Clickjacking Drive-by-Download (unbewusst mit herunterladen von schadsoftware) Versteckte Funktionen (Man-Maschine-Interface) MMI, Versteckte Codes etc. Phishing Botnets Man in the Middle (MITM) Embedded Device Attacks, (Printer, Scanner etx umkonfigurieren via netzwerk) Intelligente vernetze Heimgeräte(Notebook, Smarthpone, Router, VoIP, Fernseh, IoT) Privacy nightmare Public Internet VPN (Virtual Private Network) TOR Net Deep Web, dieser Teil des Netztes ist nicht in Standard suchmaschinen enthalten Dark Net (Hiddenn Services) Onion Routing. Retchtslage (Internet Sicherheit) DSG (Bundesgesetz über den Datenschutz) Öffentliches Recht Beziehung des Einzelnen zum Staat Bsp: Organisation und Funktion des Staates wie Verhältnis zwischen Trägern éffentlichen Gewalten(Bund, Kanton, Gemeinde ) und Privaten. Reglung der Frequenzbänder, Strahlungswerte, etc. o Strafrecht Privatrecht Beziehung der Bürger untereinander Bsp: Verträge mit Internetanbietern, Miet- Nutzungsverträge Obligationenrecht Zivilgesetzbuch Bundesgesetz gegen unlauteren Wettbewerb Strafkategorien Verbrechen: Höchststrafe -> mehr als 3 Jahre Freiheitsstraffe (erschiessen) Vergehen: Höchststrafe -> bis zu 3 Jahre Freiheitsstraffe, Geldstrafe, (Arm brechen) Übertretung: Höststraffe -> Busse, gemeinnützige arbeit, (Ohrfeige) Straftaten gegen vermögen Unbefugte Datenbeschaffung Unbefugtes eindringen in Datenverarbeitungssysteme Datenbeschädigung Betrügerischer Missbrauch von Datenverarbeitungsanlagen Erschleichen einer Leistung Herstellung und in Verkehr bringen von Materialien zur unbefugten Entschlüsselung codierter Angebote Privatbereich Verletzung des Schriftgeheimnisses Abhören und Aufnehmen Fremder Gespräche Verletzung des Geheim- und Privatbereichs durch Aufnahmegerät Unbefugtes Beschaffen von Personendaten Gegen Staat Wirtschaftlicher Nachrichtendienst Strafbare Handlung gegen Amts und Berufspflicht Verletzung des Post- und Fernmeldegeheimnisses Unlauterer Wettbewerb: Verstossen gegen Geschäftsgebaren, Verwertung Fremder Leistung Unbefugte Datenbeschaffung Stgb: Art. 143 Unbefugte Datenbeschaffung: Elektronisch gespeicherte oder übermittelte Daten beschafft, welche gegen unbefugten Zugriff besonders gesichert sind. o Strafe: bis zu 5 Jahre Freiheitsstrafe oder Geldstrafe Stgb Art 143: Unbefugted Eindringe: gegen seinen Zugriff besonders gesichertes Datenverarbeitungssystem o Bis zu 3 Jahre Freiheitsstraffe oder Geldstrafe o Wer Passwörter, Programme etc. in Umlauf bringt bei denen man annehmen muss, dass sie für strafbare Handlungen verwendet werden, gleiche Strafe Stgb Art 144. Datenbeschädigung Gespeicherte oder übermittelte Daten verändert, löscht oder unbrauchbar macht o Bis zu 5 Jahre Freiheitsstrafe, Tat wird von Amtes wegen verfolgt (Anstiftung zum Angriff) Programme zum Art. 144 herstellt, einführt in Verkehrbringt, anpreist etc. o Bis zu 3 Jahre Freiheitsstrafe oder Geldstrafe Datenschutz Art 7: Datensicherheit, mössen angemessen technisch & organisatorische Massnahmen Art 8 Allgemeine Massnahmen Art 328b OR, Arbeitgeber darf nur bearbeiten Pers. Daten die Arbeitsverhältnis betreffen und erforderlich sind. Fernmeldegeheimnis Personen die mit übertragung von Info für 3 betraut sind, sind der Pflicht zur Geheimhaltung. Spam ist Strafbar Üble Nachrede (StGB Art 173) Unehrenhaften Verhaltens oder anderen Tatsachen, seinen Ruf schädigt, beschuldigt oder verdächtigt ( Geldstrafe oder bis zu 180 Tagessätze) WLAN Rechtslage Wer sein WLAN nicht sichert, der haftet Bankengesetz Wer Geheimnis offenbart. Freiheitsstraffe bis zu 3 Jahre oder Geldstrafe Politische raandbedingungen USA Max schlüssellänge 56 Bit bis zum Jahr 2000 Schweiz Keine Einschränkungen des Einsatzes von Kryptographie Secure Policy für Banken: min 128 Bits für symetrische Verschlüsselung Port Scan -> nicht Strafbar Massnahmen Klassifizierung o Real World: Klassifizierung der Dokumente, Geheim, Vertraulich Intern. o Network: Trust Levels, Zonenbildung Zugriff kontrollieren o Physicher Zugangsschutz, Räumlichkeiten, Personenkontrole, Datenentsorgung(Schreddern) o Elektronischer, Benutzer, Daten, Datensatz/File/Mail Filterstrategien: Allers erlauben, was nicht Verboten ist(Black list) Alles verbieten, was nicht erlaubt ist(white list) Nur zulassen, was unbedingt nötig ist (Principle of least priviledge) Nur zulassen, was aus einem Bereich kommt (Same Origin Policy) Aktionen nur innerhalb eines Bereichs zulassen (Sandbox) Firewall Extern & DMZ(Demilitarisierte Zone) Firewall Benutzer: Identification, Authentication(Password, Pin, Biological), Authorization(Zugriffsregel) Kombinieren Klassierung + Clear Desk Policy Zugangsschutz(Geheimcode) + Verschlüsselung Technische + Organisatorische Massnahmen Umsetzung Kontrollieren Security Checks: Pentests, Revies, Audits, Zertifizierung Angriffe detektieren: Intrusion Detection, Honey Pots Korrigieren Just Culture Benutzer werden nicht bestraft, für Aktionen, Unterlassungen oder Entscheidungen welche angemessen anhand ihrem Training oder Erfahrungen gemacht werden. Absichtlich böswillige Aktionen werden jedoch nicht Toleriert. Eine Atmosphäre von Vertrauen Learing Culture Richtige Schlussfolgerungen von den Sicherheits Informationen und implementierung von Reformen Flexible Culture Der Organisation ist es möglich, sich zu rekonstruieren für schnelle Änderungen Informed Culture Die, welche das System managen und betreiben sind Informiert über die Personen, Technische und Organisatorischen Faktoren Reporting Culture Die Leute müssen ihre Fehler reportieren Informationsquellen Weakness (schwächen von Software, Design etc.) Jede Schwäche welche ausgenutzt werden kann, ist eine Vulnerability(Verletzlichkeit) National Vulnerability Database (NVD) Exploit: Computer Attacke, welche Vorteile von Vulnerabilitys mit sich bringt. Incident: Ist ein Ereignis, Zwischenfall oder Vorfall, bei dem daten Verloren, störung von daten oder System Integrität oder verfügbarkeit des Services Exposure: Angreifer kann daten Sammeln, Aktivitäten verstecken, (Keine allgemeine Verletzlichkeit) CERT Seit 1988. Behandelt Vorfälle im Bereich der Internet Security Vorfälle. (CSIRT Computer Security Incident Response Team) Kein normaler technischer Support !!! Lessons Learned Jeder neuer Vendor(Verkäufer) muss die Sicherheit auf den harten weg lernen. Ständige Forschung und Weiterentwicklung ist notwendig, um gegen alte attacken sich zu schützen Ständige Sicherheitslösungen weiterentwicklen, von Blacklist wegkommen,Seco Monitoring etc. Effizienter, wenn man sich von Anfang an um Finanzen kümmert. Whitelist anstatt blacklist Es kann nicht alles in CERT Advisories aufgenommen werden, meist nur die von der grossen Mehrheit genutzten Software und Hardware Vulnerabilities. Ansprechspartner Schweiz Melde und Analysestelle Informationssicherung (MELANI) Nationale Koordinationsstelle zur Bekämpfung der internet-Kriminalität(KOBIK) Computer Emergency Response Team (CERT) Schweizerische Kriminalpräventions (SKP/PSC) Kryptologie Geheime kommuikation Steganoraphie (bedeckt schreiben) Kryptographie (verbergen) o Substitution (ersetzen) Codierung (Wörter ersetzen) Chriffrierung (Buchstaben ersetzen) o Transposition (vertauschen) der Zeichen Steganography Verdeckte info, z.B. in einem Bild Maschine Identification Code Technology Farblaserdrucker Kryptologie Die Sicherheit eines Verschlüsselungsverfahrens darf nur von der Geheimhaltung des Schlüssels abhängen, nicht jedoch von der Geheimhaltung des Algorithmus. (Kerckhoffs-Prinzip, 1835-1903) Diffusion(Verteilen): Eine Änderung eines Teils des Klartext oder des Schlüssels soll den gesamten Chiffretext beinflussen Konfusion(Mischen): Der Chiffretext muss möglichst gut einer Zufallsfolge gleichen, die statische Verteilung des Klartext soll im Chiffretext nicht mehr ersichtlich sein. Ohne schlüssel fast nicht entschlüsselbar sein, Schlüssel sollte einfach sein, transportierbar, einfach benutzbar Attacken Cyphertext-only: kennt nur geheimtext Known-Plantext: kennt einen gewissen Klartext des Geheimtextes. Chosen-plaintext: Angreifer kann durch eingabe von Klartext veränderungen im Geheimtext beobachten. Sicher Als sicher gilt: Nicht effizienter als Brute-Force Angriff Anzahl möglichen Schlüssel, je mehr desto sicherer Informationsgehalt Entropie Informationstheorie Symmetrische Schlüssel Supstitutionsverfahren Monoalphabetischer Verschlüsselung: ein eiziges(festes) Alphabet zur Verschlüsselung 26*25*24*….*3*2*1 Cäsar Code Verschiebung der Buchstaben um N, welche für die gesamte Verschlüsselung bleibt. Häufigkeitsanalyse möglich ! Vingenère Basierend auf Cäsar-Chiffre jedoch wechselndes Alphabet Zwisch 16-19Jh. Polyalphabetischer Verschlüssulung Secure Email S/MIME multipart/signed Clear Content !! S/MIME pkcs7 signed Abkürzungen OWASP: Open Web Application Security Projec NVD: National Vulnerability Database AES: Advanced Encryption Standard DES: Data Engcryption Standard DoD: Department of Defense Payment Card Industry Data Security Standard(PCI DSS) CVE Common Vulnerabilities and Exposures CPE Common Platrom Enumertaion CVSS Common Vulnerability Scoring System CWE Common Weakness Enumeration CERT Computer Emergency Response Team ZDI Zero Day Initiative SANS System Administration, Networking and Security Institute (FBI)