CIS Security Benchmarks - Systeme absichern Roland Wolters <[email protected]> 1. April 2015 Roland Wolters credativ GmbH 1 / 15 Einleitende Fragen I Was heißt IT-Sicherheit überhaupt? Schlagwörter? Definition? I Ist nicht eh alles sicher? Open Source und so? I Kann etwas überhaupt sicher sein? „Exploits gibt’s eh immer...“ Roland Wolters credativ GmbH 2 / 15 IT-Sicherheit im Alltag Bauchgefühl I „Systeme sollen sicher sein“ I jedes System individuell I eingebettet in komplexes Umfeld I → vermutlich nicht simpel! Roland Wolters credativ GmbH 3 / 15 IT-Sicherheit, Definition Standardisierter Ansatz I zu erreichenden Schutzziele I Vertraulichkeit, Verfügbarkeit, Integrität I Schutz vor Gefahren & Bedrohung I Vermeidung von wirtschaftlichen Schäden I Minimierung der Risiken I ISO 27001, BSI Grundschutz Roland Wolters credativ GmbH 4 / 15 IT-Sicherheit, Kundensicht Es gibt die Sicht der Kunden... I meist nur grobe Vorstellung der Thematik I wenig Erfahrung I Sicherheit meist nur ein Aspekt, ein Stichpunkt, unter vielen Roland Wolters credativ GmbH 5 / 15 Zitate I „Hinweise zum sicheren Einrichten und Betreiben“ I „mehrere ... Web- und Applikationsserver ... nach BSI-Richtlinien härten ... einen Tag vor Ort“ I „etwa 15-30 Minuten Hintergründe zum Thema IT-Sicherheit (BSI-Grundschutz, etc.)“ Roland Wolters credativ GmbH 6 / 15 IT-Sicherheit, Realität I Entweder... I IT-Grundschutz nach ISO 27001 I umfassende Analyse von allem I Erfassung aller Gebäude, Systeme, Rollen, Gefährdungen I Risikoanalyse, Kompilierung der Maßnahmen I Konzepte, Konzepte, Konzepte I viel Zeit, Aufwand I groß angelegtes Projekt → Monate! Roland Wolters credativ GmbH 7 / 15 IT-Sicherheit, Realität II ...oder: I eine Checkliste je Thema I durchgehen, abhaken I schnell, verständlich, vermittelbar Roland Wolters credativ GmbH 8 / 15 Checkliste? Woher? Roland Wolters credativ GmbH 9 / 15 Quelle für Checklisten Center for Internet Security, CIS I Organisationen und Einzelpersonen I Ziel: Sicherheit von IT-Systemen im Internet verbessern I stellt Ressourcen bereit, um dies zu erreichen I unter anderem: Checklisten, „Benchmarks“ I Mitglieder: Software-Hersteller, Banken, Airlines, Universitäten, etc. Roland Wolters credativ GmbH 10 / 15 Center for Internet Security Security Benchmarks I Themen: Debian, Red Hat, Windows, Apache/Tomcat, MySQL I strukturierter Aufbau der Einträge I Beschreibung I Begründung I wie zu überprüfen I technische Umsetzung I Standard-Wert I Referenzen Roland Wolters credativ GmbH 11 / 15 CIS Security Benchmarks Demo Apache Benchmark Roland Wolters credativ GmbH 12 / 15 Nachteile Security Benchmarks I nicht jede Empfehlung nachvollziehbar I nicht alles enthalten I kein individueller Ansatz I nicht jedes Thema I (nicht kopierbar?) Roland Wolters credativ GmbH 13 / 15 Vorteile Security Benchmarks I leicht umsetzbar I bieten guten unde detaillierten Einstieg in Thematik I behebt Standard-Probleme I ISO ist häufig zu umfangreich I zeigt, dass Sicherheit komplex ist Roland Wolters credativ GmbH 14 / 15 Danke für die Aufmerksamkeit Roland Wolters credativ GmbH 15 / 15
© Copyright 2024 ExpyDoc
