2. IT-Grundschutz-Tag 2012 12:15 - 12:45 Uhr Mit Windows sicher im Netz: Technologie und Management Entwicklung zu gezielten Angriffen willkürlich Konsument Single Vector Manuell Desktop Sichtbar Einzelne Angreifer gezielt Firmen Multi-vector Automatisch Device und Cloud Verborgen Organisierte Gruppen “The world is changing very fast. Big will not beat small anymore. It will be the fast beating the slow” Rupert Murdoch, Infamous Phone Hacker Sich ändernde IT Umgebung Einführung von Cloud Lösungen … … schaft Herausforderungen für Sicherheitsexperten: Abteilungen nutzen Cloud Dienste ohne Absprache mit der IT IT muss sich mit Private Cloud und Hybrid Cloud Risiken beschäftigen Mitarbeiter nutzen Privat und Personal Cloud Lösungen ohne Einbindung der IT und ohne Sicherheitsmaßnahmen … schaft Herausforderungen für Sicherheitsexperten: Mitarbeiter nutzen eigene Devices auch in der Arbeit und mit Informationen des Unternehmens Access anytime, anywhere on any device Herausforderung technische Sicherheits-Maßnahmen durchzusetzen und -Richtlinien umzusetzen Druck durch Consumerization of IT… Steigende gesetzliche Anforderungen (Compliance) … … schaft Herausforderungen für Sicherheitsexperten: Anpassungen der Gesetzgebung zu Datenschutz Nationale Sicherheit und Schutz kritischer Infrastruktur Steigende Anforderungen an Audits und Berichte an Aufsichtsbehörden Interne Berichterstattung an Geschäftsführung, Vorstand und Aufsichtsrat Mehr Schutz … Do More … … With Less … bei weniger Kontrolle Beschreibung gezielter Angriffe (Targeted Threats) Typische Stufen gezielter Angriffe 1code execution Benutzer empfängt eine mit Schadcode versehene Mail oder Applikation Wenn der Benutzer sie öffnet oder startet wird der Schadcode aktiv 2 network propagation Der Angreifer verbreitet den Schadcode an andere Systeme um wertvolle Informationen und Identitäten zu finden 3 data exfiltration Angreifer entfernt den Schadcode stiehlt die Daten und verwischt seine Spuren in Logs 1code execution Benutzer empfängt eine mit Schadcode versehene Mail oder Applikation Wenn der Benutzer sie öffnet oder startet wird der Schadcode aktiv 1code execution Benutzer empfängt eine mit Schadcode versehene Mail oder Applikation Wenn der Benutzer sie öffnet oder startet wird der Schadcode aktiv 1 code execution From: TrustWave 2012 Global Security Report 1code execution Not 0-Day Exploits 99.9% Zero Day Exploits 0.1% Malware Propagation Methods From: MS Security Intelligence Report v11 1code execution Benutzer empfängt eine mit Schadcode versehene Mail oder Applikation Wenn der Benutzer sie öffnet oder startet wird der Schadcode aktiv 2 network propagation Der Angreifer verbreitet den FINALan 2 Schadcode andere Systeme um wertvolle Informationen und Identitäten zu finden 2 network propagation Time from attack to detection Investigation 2011 80% Use of weak administrative passwords or other hash-based exploits From: TrustWave 2012 Global Security Report 15% 5 % Default hidden admin shares Methods of propagation Remote access credential caching 2 network propagation Der Angreifer verbreitet den FINALan 2 Schadcode andere Systeme um wertvolle Informationen und Identitäten zu finden 3 data exfiltration Angreifer entfernt den Schadcode FINAL 2 stiehlt die Daten und verwischt seine Spuren in Logs 3 data exfiltration From: TrustWave 2012 Global Security Report Auswirkung From: Web Hacking Incident Database, The Web Application Security Consorium (webappsec.org) Schutz mit der Microsoft Platform IT-Grundschutz Aktuelle Versionen: •BSI-Standards: • deutsch: Stand 2008 • englisch: Stand 2008 •IT-Grundschutz-Kataloge: • Hinweis: Die 12. Ergänzungslieferung steht derzeit elektronisch nur als PDF-Version zur Verfügung. Die HTML-Version ist vorläufig auf Stand der 11. Ergänzungslieferung. • deutsch IT-Grundschutz-Kataloge 12. Ergänzungslieferung (Dokument ist nicht barrierefrei) (PDF, ca. 52,2 MB) • deutsch: 11. Ergänzungslieferung HTML-Version • englisch: Stand 2005 (IT-Grundschutz Catalogues) • Aktuelle Vorabversionen •GSTOOL: Version 4.7 (= GSTOOL 4.5/4.6 + Servicepack 2) B 1.0 Sicherheitsmanagement B 1.1 Organisation B 5.1 Peer-to-Peer-Dienste B 5.2 Datenträgeraustausch B 5.3 E-Mail B 5.4 Webserver B 5.5 Lotus Notes B 5.6 Faxserver B 5.7 Datenbanken B 5.8 Telearbeit B 5.9 Novell eDirectory B 5.10 Internet Information Server B 5.11 Apache Webserver B 5.12 Exchange 2000 / Outlook 2000 B 5.13 SAP System B 5.14 Mobile Datenträger B 5.15 Allgemeiner Verzeichnisdienst B 5.16 Active Directory B 5.17 Samba B 1.2 Personal B 1.3 Notfallmanagement 1 Übergreifende Aspekte der Informations sicherheit B 1.4 Datensicherungskonzept B 1.5 Datenschutz B 1.6 Schutz vor Schadsoftware B 1.7 Kryptokonzept B 1.8 Behandlung von Sicherheitsvorfällen B 1.9 Hard- und Software-Management B 1.10 Standardsoftware 5 Sicherheit in Anwendungen IT-Grundschutz 2 Sicherheit der Infrastruktur B 1.11 Outsourcing B 1.12 Archivierung B 1.13 IT-Sicherheitssensibilisierung und schulung B 1.14 Patch- und Änderungmanagement B 1.15 Löschen und Vernichten B 1.16 Anforderungsmanagement B 2.1 Gebäude B 2.2 Elektrotechnische Verkabelung B 2.3 Büroraum B 2.4 Serverraum B 4.1 Heterogene Netze B 4.2 Netz- und Systemmanagement B 4.3 Modem B 4.4 VPN B 4.5 LAN-Anbindung eines IT-Systems über ISDN B 4.6 WLAN B 4.7 VoIP 3.1 Server B 3.101 Allgemeiner Server B 3.102 Server unter Unix B 3.105 Server unter Novell Netware Version 4.x B 3.106 Server unter Windows 2000 B 3.107 S/390- und zSeries-Mainframe B 3.108 Windows Server 2003 B 2.5 Datenträgerarchiv 4 Sicherheit im Netz 3 Sicherheit der IT-System B 2.6 Raum für technische Infrastruktur B 2.7 Schutzschränke B 2.8 Häuslicher Arbeitsplatz B 2.9 Rechenzentrum B 2.10 Mobiler Arbeitsplatz B 2.11 Besprechungs-, Veranstaltungsund Schulungsräume B 2.12 IT-Verkabelung 3.2 Client B 3.201 Allgemeiner Client B 3.202 Allgemeines nicht vernetztes IT-System B 3.203 Laptop B 3.204 Client unter Unix B 3.207 Client unter Windows 2000 B 3.208 Internet-PC B 3.209 Client unter Windows XP B 3.210 Client unter Windows Vista 3.3 Netzwerk B 3.301 Sicherheitsgateway (Firewall) B 3.302 Router und Switches B 3.303 Speichersysteme und Speichernetze 3.4 Sonstiges B 3.401 TK-Anlage B 3.402 Faxgerät B 3.403 Anrufbeantworter B 3.404 Mobiltelefon B 3.405 PDA B 3.406 Drucker, Kopierer und Multifunktionsgeräte Schutz für den Endpunkt Schutz der Kommunikation Schutz der Daten Schutz der Infrastruktur Schutz der Applikation Identitäts & Zugriffs Management Governance & Monitoring Schutz für den Endpunkt Schutz für den Endpunkt Schadcode auf dem Client verhindern Aktuelle Versionen sind sicherer Security Features Added in Windows 7 10.9 Streamlined User Account Control (UAC) AppLocker whitelisting BitLocker and BitLocker-to-go encryption Internet Explorer 8/9 Default-all Data Execution Prevention (DEP) Improved smartcard support Multiple active firewall policies XP SP3 1.1 7 SP1 Computers cleaned per 1000 globally From: Microsoft Security Intelligence Report Vol 11, 2011 DirectAccess Enhanced auditing DNSSec Support Aktuelle Browser sind sicherer .. CVE-2006-2492 CVE-2006-0022 CVE-2006-6456 CVE-2007-0671 CVE-2008-0081 CVE-2009-0238 CVE-2009-0557 CVE-2009-3129 CVE-2010-3333 CVE-2011-0979 … und neue Software ist sicherer All Updates Installed* • • • • • • • • • • • • • Office 2010 SP1 • • • • • • • • Office 2010 RTM • • • • Office 2007 SP2 Security lockdown by default SmartScreen – Phishing Filter option Protected mode Data Execution Prevention SmartScreen – Antimalware InPrivate Browsing Cross-site scripting filter Address space layout randomization SmartScreen – Download Reputation Tracking Protection ActiveX® Filtering Safe Structured Exception Handling Enhanced Buffer Overrun Detection Office 2007 RTM Security and privacy technologies in the browser Office 2003 SP3 Vulnerability Exposure for Top 10 Office vuln’s H1-2011 Office 2003 RTM Moderne Applikationen sind sicherer a THE OLD WAY… Vereinheitliches Management unterschiedlicher Devices INTELLIGENT INFRASTRUCTURE System Center 2012 MSI App-V App-V RDS Win 7 Phone, IOS, Android Eine Umgebung um unterschiedliche Devices wie Smartphones, Slates, PCs & Server sicher zu verwalten Dem Benutzer die Möglichkeit geben unterschiedliche Devices zu verwenden Einheitliches Management <aller> Devices ODYSSEY ATHENA Windows Phone 6.1+, Android, IOS Einfaches Enrollment mit AD Authentifizierung Automatische Verteilung von Zertifikaten Erweitertes Hardware und Software Inventur Jailbreak/Rooting Detection und Reporting Unterstützung für alle Mobile Platform Policies Management von Privaten und Firmeneigenen Devices Automatische “Heilung” von Devices, die nicht Compliant sind Remote Lock, Passcode Reset, Full/Selective Wipe Management von Apple IOS im System Center 2007R2 with Odyssey Athena Microsoft IT Device Klassifizierung Compliant (e.g., TPM, BL, etc.) Trusted Systems Unmanaged Non Domain Joined Migrate to Mgd Environment Managed Domain Joined Isolated verify then trust Patch/Config to standard Non-compliant Vulnerable Rogue Manage to compliance Isolate or Remove access Untrusted Systems Abgestufte Device Kontrolle Application Control Per-app system resource control Per-app port control Only permitted apps use network Only whitelisted apps can run Only blacklisted apps can't run No app control User Installation Control Users cannot add software Users can add and run apps on whitelist Users can add and run apps not on blacklist Users can add any software Settings Control Policy Users cannot change any settings Technologyenforced policy Users cannot change certain settings Written policy Users can change any settings No policy Full Control No Control Courtesy of Gartner AppLocker für Applikations Whitelisting Einfache Regeln: Allow, Exception & Deny Publisher Regeln Product Publisher, Name, Dateiname & Version Legacy Software Einschränkungs Regeln Dateipfad und Hash Regeln Regeln für unterschiedliche Dateiarten Executables, Installers, Scripts & DLLs Regel Erstellungs-Tools & Wizards Master Image Scan nach Programmen Audit only mode Test der Regeln und Status über die Installationsbasis der Organisation Konvergenz der Security & Management Platform CONVERGED PLATFORM Vulnerability Assessment System Center 2012 Security Configuration Policy Audit Operational Configuration Policy Software Distribution Patch Management Win 7 Phone, IOS, Android Antivirus / Antispyware Personal Firewall Whitelist / Blacklist HIPS Operational Inventories Security Inventories Gartner Model Schutz der Kommunikation Schutz der Kommunikation Verhindern, das Schadcode die Benutzer erreicht Multi-engine, Multi-Layered Email Schutz SCHUTZ VOR SPAM & MALWARE Hoch akkurates Spam Filtering & verschiedene Malware-Scanning Engines Schutz des internen Mail-Verkehrs durch den Einsatz von FPE on-premises • • • • • MS AV Symantec Authentium Kaspersky … • • • • • • MS AV + AntiSpyware Kaspersky Authentium Virus Buster Norman … Zusammenarbeit mit Active Directory zum Schutz von RMS Einsatz von Connection Filtering SCHUTZ VOR SPAM & MALWARE Überprüfung der IP Adressen der Remote Servers Einsatz von Administratordefinierten IP Allow und Block Listen Support von öffentlichen IP Block und Allow Listen Sender- Empfänger Filtering SCHUTZVOR SPAM & MALWARE Sender Sender filtert Addressen oder ganze Domains Empfänger blockt Nachrichten an nicht gültige oder nicht existierende Mailboxen Administratordefinierte Block Listen Empfänger Integration von “Recipient Directory” Control Email Flow by Policy Policy Rules Individuell einstellbare Filter helfen um mit Richtlienen und Vorgaben compliant zu sein Vorlagen und Muster können abgegleichen und mit Aktionen versehen werden Forefront Online Protection for Exchange Schutz der Daten Schutz der Daten Sicherstellen, dass FINAL 2 und “in Daten “at rest” transit” geschützt sind und Datenabwanderung verhindert wird Rights Management Foundation Active Directory AD RMS Server SQL Server 1 Client Licensor Certificate 2 7 6 Protection 3 4 Consumption 5 8 Integration von Rights Management in Data Loss Prevention Microsoft + RSA Data Loss Prevention Intellectual Property RMS Template R&D Marketing Others View, Edit, Print View No Access Patents Data Loss Prevention Policy Find Patent Documents Apply IP RMS Template R&D department Marketing department Laptops/desktops SharePoint File Share Others RMS admin erstellt AD RMS templates für den Schutz von Daten RSA DLP Admin erstellt Regeln um sensitive Daten zu finden und zu schützen RSA DLP findet und klassifiziert Dateien, und wendet die AD RMS templates gemäß der Regeln an Wenn der Benutzer Zugriff benötigt, bekommt er von AD RMS die entsprechenden Rechte Ungewollten Datenverlust verhindern Microsoft BitLocker® Microsoft BitLocker-To-Go™ • BitLocker Drive Encryption – • Schutz für removable storage • Trusted Platform Module (TPM) • Integrity check der Windows boot • Guter Schutz bei einfacher Windows Volume Dateien • Pre-OS multi-factor authentication • AES 128-bit or AES 256-bit key encryption • Speicherung der recovery information im Active Directory für zentrales Management devices wie z.B. USB flash drives Anwendung • Read-only Unterstützung für ältere Betriebssysteme Verschlüsselung des SQL Server • • • • • • Verschlüsselung der ganzen Datenbank Schutz für Daten at rest – Ohne gültiges Zertifikat sind Dateien und Backups nicht verwendebar Funktioniert auf Storage I/O level Applikationen müssen nicht selbst ver/entschlüßeln – Kein Umschreiben – Keine Restriktionen für Indices oder Datentypen (außer Filestream) Performanceverlust ist gering (about 20% ) Verwendbar mit Extensible Key Management (EKM) SQL Server 2008/2012 DEK Encrypted data page Client Application Schutz der Infrastruktur Schutz der Infrastruktur Verhindern, das sich Schadecode einnisten und verbreiten kann Top 8 Infrastructure Risks 1 Sensitive information transmitted unencrypted on the wire 2 SQL Server with weak or no credentials for administrative account 3 Address Resolution Protocol (ARP) cache poisoning 4 5 Wireless clients probe for SSID’s when not connected Continued use of Wired Equivalent Privacy (WEP) encryption 6 Client sends LAN Manager response for NTLM authentication 7 Misconfigured firewall rules 8 Weak or blank password for an administrative account 6.7 6.7 4.7 10.0 4.7 8.0 4.7 4.7 From: TrustWave 2012 Global Security Report CVSSv2 Score Benutzung des Security Compliance Manager für die Konfiguration DEMO http://technet.microsoft.com/en-us/solutionaccelerators Passworte und Hashes Analyse von 2.5 Mio Benutzerkennworten 59% Aller Kennworte sind 8 Zeichen lang Sichere Administrationsumgebung Interactives Logins erstellt SSO Credential Hashes (LSA) Jump Server Diese können kompromitiert werden Admin Desktops Microsoft Services: Enhanced Security Administration Environment High-Value Servers Einführung von IPSec basierten dynamischen Segmenten Active Directory Domain Controller Corporate Network Trusted Resource Server X HR Workstation Unmanaged/Rogue Computer Servers with Sensitive Data X Server Isolation Untrusted Managed Computer Managed Computer Domain Isolation Enable tiered-access to sensitive resources Block inbound connections from untrusted Managed computers can communicate Distribute Define the policies logical and isolation credentials boundaries 55 Schutz der Applikationen Schutz der Applikationen Verhindern, dass FINAL 2 Applikationen missbraucht werden um ins Netzwerk einzudringen oder Daten zu stehlen 86% Aller Attacken verwenden Sicherheitslücken in Web-Applikationen 18% Der Schutzmaßnahmen ziehlen auf diesen Angriffsvektor Context Security: Web Application Vulnerability Statistics 2010-2011 In 76% der Sicherheitsvorfälle sind 3rd Party Produkte der Auslöser Der Security Development Lifecycle Education Administer and track security training Process Improvement Guide product teams to meet SDL requirements Accountability Establish release criteria and sign-off as part of FSR Ongoing Process Improvements – 12 month cycle Incident Response (MSRC) Schutz sensibler Legacy Applikationen Enhanced Mitigation Experience Toolkit Schutz für viele Applikationen : Legacy Apps 3rd Party Software Line of business Applikationen Verfügbare Maßnahmen : Dynamic DEP SEHOP NULL page protection http://blogs.technet.com/srd Heap spray allocation … Identitäts & Zugriffs Management Identitäts & Zugriffs Management Kontrolle wer auf welcheFINAL Daten2 in welchen Systemen warum Zugriff hat und entsprechendes Logging Identity Management Strategie Partner Claims-Aware Applications Delegated admin & Self Service Workflow MS Online Directory Sync AD FS 2.0 WS-* and SAML Claims FIM 2010 Role Client List HR System Identity directories SQL Server ADDS Phone Title Department Manager Group Windows Integrated/Kerberos Claims-Aware Applications Exchange GAL & DL SharePoint Profiles and Access SAP and other apps Dynamic Access Control in Windows 8 File Server Active Directory How Claims are Plumbed into Kerberos Windows 8 Kerberos Token Owner User claims User.Department = Finance User.Clearance = High Device claims Device.Department = Finance Device.Managed = True Resource properties Resource.Department = Finance Resource.Impact = High Group User Groups Claims ACCESS POLICY Applies to: @Resource.Impact == “High” Allow | Read, Write | if (@User.Clearance == “High”) AND (@Device.Managed == True) Device Groups Claims Virtual Smart Cards in Windows 8 Reader Application Physical Smart Card Smart Card Reader Simulation App Virtual Smart Card TPM Einsatz des TPM Modules Windows 8 ermöglicht den TPM als permanente Smartcard zu nutzen Windows Logon möglich, einfache Nutzung von Direct Access Kombination oder Ersatz von und mit physicalischen Smartcards möglich Governance & Monitoring Verbesserung der Governance & Monitoring FINAL 2 Schutz, Verfügbarkeit, Nachvollziehbarkeit, Tranparenz und Sorgfalt über die ganze IT-Infrastruktur Incident Lifecycle NIST Computer Security Incident Handling Guide Draft for Comment, 2012 GRC IT Management Pack für den System Center Service Manager 2010 Fazit “There are no magic beans” President Barack Obama Schutz für den Endpunkt Schutz der Kommunikation Schutz der Daten Schutz der Infrastruktur Schutz der Applikation Identitäts & Zugriffs Management Governance & Monitoring Schutz für den Endpunkt Schutz der Kommunikation Schutz der Daten Schutz der Infrastruktur Schutz der Applikation Identitäts & Zugriffs Management Governance & Monitoring Danke 2. IT-Grundschutz-Tag 2012 12:15 - 12:45 Uhr Mit Windows sicher im Netz: Technologie und Management