Internet in Zeiten von Pest und Cholera

© 2015 ı Classification: PUBLIC
Internet in Zeiten von Pest
und C holera
Dr. Norbert Schirmer
Head of Endpoint Security, Sirrix AG
IT’S Breakfast
25. September 2015 ı Bochum
© 2014 ı Classification: PUBLIC
Ursprünge in der Spitzenforschung
 Gegründet 2005 als Spin-Off der Universität des
Saarlandes und des Deutschen
Forschungszentrums für Künstliche Intelligenz
 Heute High-Tech Produkthaus für Behörden und
Unternehmen, Tochter von Rohde und Schwarz
 Internationaler Technologieführer im Bereich
„Trusted Infrastructures“
Kernziele
 Commercial-of-the-Shelf (COTS)-Systeme mit
minimalem Aufwand für den behördlichen Einsatz
sicher machen
 Standardsysteme nachweisbar vertrauenswürdig
machen
2
© 2014 ı Classification: PUBLIC
3
© 2014 ı Classification: PUBLIC
Trends 2015 in Cybersecurity
4
© 2014 ı Classification: PUBLIC
Entwicklung Sicherheitsvorfälle
7
© 2014 ı Classification: PUBLIC
Bedrohungen
CyberCrime
 Rückgang bei Bankraub um 80% seit 1995
 Cyber-Crime wird zu einem attraktivem BusinessModell: Bereits 2013 schätzte das BKA die Dimension
in der Größenordnung des Drogenhandels!
 Entwicklung eines kollaborativen Eco-Systems
 Professionalisierung mit erheblichen Ressourcen and
Finanzmitteln und technischer Expertise
9
© 2014 ı Classification: PUBLIC
 NSA: Kein
Anti-Spy Abkommen
 Auch US-Marktführer
beteiligt (RSA, …)
 NSA kauft weiterhin
Zero-Day Expolits
 Andere Dienste
ebenfalls aktiv
CyberCrime
Advanced
Persistent
Threats
(APT)
10
© 2014 ı Classification: PUBLIC
Collateral
CyberDamage
CyberCrime
 AIRBUS: 1.000 Rechner pro Monat desinfizieren und
neu aufsetzen.
 75% der Malware-Infektionen über
Advanced
Browser/Internet-Access, nur 14 % über E-Mail
Persistent
 2.5 % der deutschen Webseiten sind mit Malware
Threats
infiziert (zum Vergleich USA
~1,01; Japan ~0,51)
(APT)
11
© 2014 ı Classification: PUBLIC
Persönliche Erfahrung mit kriminellen Vorfällen:
Schadprogramme sind größte Gefahr für den IT-Nutzer
BITKOM Umfrage August 2014 zu persönlichen Erfahrung
mit kriminellen Vorfällen im Internet in den letzten 12 Monaten
12
© 2014 ı Classification: PUBLIC
Gefahren im Internet
13
© 2014 ı Classification: PUBLIC
IT-Sicherheitslösungen?
14
© 2014 ı Classification: PUBLIC
Aspekte der Vertrauenswürdigkeit
Technologien für
vertrauenswürdige
IT
Lieferketten für
vertrauenswürdige
IT
15
© 2014 ı Classification: PUBLIC
Lösungen auf dem Stand der 90er
IDS
Vorfälle
Desktops
Port-Control
FDE
VPN
AV
WebProxy
Mobile
Firewall
Leitungsverschlüsselung
90s
2000s
Timeline
16
© 2014 ı Classification: PUBLIC
Veränderte Bedeutung einzelner Sicherheitstechnologien
17
© 2014 ı Classification: PUBLIC
„Anti-Virus is dead“
Brian Dye, Symantec's senior vice
president for information security
20
© 2014 ı Classification: PUBLIC
Beispiel Zero-Day Exploits
Die Lösung?
21
© 2014 ı Classification: PUBLIC
Paradigmenwechsel zu modernen, intelligenten,
pro-aktiven Systemen
Reaktive Ansätze:
Proaktive IT-Sicherheit:
 „Airbag-Methode“:
Wenn‘s passiert soll es weniger „weh tun“
 „ESP-Strategie“: Verhindern, dass man
überhaupt ins Schleudern kommt
22
© 2014 ı Classification: PUBLIC
Intelligente, pro-aktive Konzepte
Separation, Integritätsprüfung
 Separierung kritischer Bereiche
in von einander isolierte Komponenten
 Reduzierung der sicherheitsrelevanten Komponenten (TCB)
 Integritätsschutz der Komponenten
 Datenaustausch nur über klar definierte Schnittstellen
 TECHNOLOGIEN: Virtualisierung, Sicherheitskerne
Control
Creation
Informationsflusskontrolle statt Zugriffskontrolle
 Kontrolle der Daten über gesamten Lebenszyklus
 Verarbeitung nur durch integritätsgeschützte Komponenten
 TECHNOLOGIEN: Trusted Computing, Remote-Attestation
Use
Erase
23
© 2014 ı Classification: PUBLIC
Beispiel:
Sicherer Browser
24
© 2014 ı Classification: PUBLIC
 75% der Malware-Infektionen über
Browser/Internet-Access, nur 14 % über E-Mail
 AIRBUS: 1.000 Rechner pro Monat desinfizieren und
neu aufsetzen.
 2.5 % der deutschen Webseiten sind mit Malware
infiziert (zum Vergleich USA ~1,01; Japan ~0,51)
25
© 2014 ı Classification: PUBLIC
Risiko Internetzugriff
„Anti-Virus is dead“
Brian Dye, Symantec's senior vice
president for information security
Windows
PC / Intranet
Internetzugriff über Proxy inkl.
AV-Scanner, Content- und URLFilter.
• AV-Scanner kann Schadcode
nur noch teilweise erkennen
und nicht sicher aufhalten.
26
© 2014 ı Classification: PUBLIC
Sichere Trennung von Intranet und Internet durch
Zwei-Browser Strategie mit Browser in the Box
INT RANET - BRO WSER
BROWSER IN THE BOX
Produktbezogene Daten
Produktentwicklungsunterlagen
Strategische Konzepte
Browserbasierte in-house
Anwendungen
 Emails
•




Recherchen, Nachrichten...
27
© 2014 ı Classification: PUBLIC
Browser-in-the-Box: Isolation auf Rechnerebene
Anwenderkonto
BitBox Konto
ANWENDUNG
VirtualBox
GEHÄRTETES SE-LINUX
ANWENDUNG
Windows
WEB-BROWSER
BitBox
Services
Intranet
28
© 2014 ı Classification: PUBLIC
Browser-in-the-Box: Netzwerkisolation
Anwenderkonto
BitBox Konto
ANWENDUNG
VirtualBox
GEHÄRTETES SE-LINUX
ANWENDUNG
WEB-BROWSER
VirtualBox
Windows
BitBox
Services
GEHÄRTETES
SE-LINUX
IPsec
DMZ
Intranet
29
© 2014 ı Classification: PUBLIC
BitBox auf Terminal Servern und ThinClients?
Anwenderkonto
BitBox Konto
Geschachtelte
Virtualisierung
VirtualBox
ANWENDUNG
GEHÄRTETES SE-LINUX
ANWENDUNG
WEB-BROWSER
BitBox
Services
Windows Server
Virtualisierung z.B. Citrix XenServer
30
© 2014 ı Classification: PUBLIC
Browser in the Box TS - für virtuelle Infrastrukturen
31
© 2014 ı Classification: PUBLIC
Sicheres Browsen
 Ermöglicht komfortables Browsen
(inclusive aktiven Inhalten)
 Schützt vor jeglicher Malware Infektion
und vor APT Angriffen
 Wirkt auch bei vorhandenen Expolits in
Browser, Betriebssystem, Java VM oder
dem PDF-Viewer.
 Ermöglicht Informations-Flusskontrolle
(Clip-Board, Sicherer Up-/Download von
Dateien)
Technologie
 Transparent für den Nutzer
 Einfache Verteilung über MSI
 Zentral administriert mit Anbindung an
Verzeichnisdienste (z.B. AD)
 Verfügbar für Fat Clients als auch
Terminal Server und virtuelle
Infrastrukturen
 Im Auftrag des BSI entwickelt
32
© 2014 ı Classification: PUBLIC
Beispiel:
Sicheres Smartphone
33
© 2014 ı Classification: PUBLIC
BizzTrust:
Sichere Trennung von beruflichen und privaten Anwendungen
 Business- und Private-Umgebung
• Benutzer hat volle Kontrolle über die private
Umgebung
• Unternehmen hat volle Kontrolle über die
berufliche Umgebung
 Strikte Trennung
• Trennung von Apps und Benutzerdaten
• Apps einer Umgebung haben keinen Zugriff auf die
Apps der anderen Umgebung
• Optionale Trennung von Kontakten und
Kalendereinträgen
• Business-Apps haben keinen direkten
Zugriff auf das Internet
34
© 2014 ı Classification: PUBLIC
Sicherheitsarchitektur mit Type Enforcement
App
Business
Personal
(classified)
(unclassified)
App
App
App
App
App
Hardend Android Middleware
With Security Extensions
TURAYA™ Security Kernel
& Type Enforcement
Smartphone Hardware
Sicherheitskern
35
© 2014 ı Classification: PUBLIC
Beispiel:
Trusted Desktop
36
© 2014 ı Classification: PUBLIC
TrustedDesktop
Sicherer Arbeitsplatz
 Umfassende Client-Sicherheit, inkl. FDE,
VPN-Client, Desktop-Virtualisierung,
Trusted Boot, Port-Kontrolle
 Schützt vor jeglichen Infektion durch
Schadsoftware und APT-Angriffen, auch bei
vorhandenen Schwachstellen (Expolits) in
einer Anwendung oder im Betriebssystem
selbst, einschließlich des Windows-Kerns.
 Bietet transparente Verschlüsselung und
Informationsfluss-Kontrolle
(Zwischenablage, USB and Fileserver)
 Benutzer-orientiert und transparent
Technologie
 Verwendet TURAYA™ Sicherheitskern und
Voll-Virtualisierung, TPM-basiert
 Zentral administrierbar mit TOM
37
© 2014 ı Classification: PUBLIC
Security Kernel
Isolation
App
App
OS
App
OS
TURAYA™ Security Kernel
Hardware
Policy
Enforcement
38
© 2014 ı Classification: PUBLIC
TrustedDesktop – Beispiel
39
© 2014 ı Classification: PUBLIC
40
© 2014 ı Classification: PUBLIC
Aspekte der Vertrauenswürdigkeit
Technologien für
vertrauenswürdige
IT
Lieferketten für
vertrauenswürdige
IT
41
© 2014 ı Classification: PUBLIC
Lieferketten: Haben wir überhaupt noch eine Wahl?
-
-
Kein europäischer Betriebssystemhersteller
(Microsoft und Apple bei PCs, Apple und Google bei Mobile)
Kein europäischer Prozessorhersteller für PCs
(Intel, für Smartphones: Core-Designer ARM, aber: kein Chipset Anbieter
mehr)
Kein europäischer Hardwarehersteller bei PCs und Smartphones
Kein europäischer IP-Netzwerkausrüster
Noch dramatischer bei Cloud Diensten:
Google, Facebook, Salesforce
42
© 2014 ı Classification: PUBLIC
Konzept von Wirkungsklassen
und Replacebility
Wirkungsklasse 0
► Basis-IT-Sicherheit
• Bürger mit privater Nutzung
Wirkungsklasse 1
► Schutzbedarf: mittel
• Unternehmen, Organisationen, Behörden
Wirkungsklasse 2
► Schutzbedarf: hoch
• Unternehmen, Organisationen, Behörden, Infrastruktur (+ Industriespionage)
Wirkungsklasse 3
► Schutzbedarf: sehr hoch
• Unternehmen, Organisationen, Behörden, Infrastruktur (+ Cyberwar, Sabotage, …)
Wirkungsklasse 4
► Verschlusssachen, >VS-V
43
43
© 2014 ı Classification: PUBLIC
McKinsey Report zum WEF 2014
1. Prioritize information assets by business risks. Most companies lack sufficient insight
into the precise information assets they need to protect—for example, the damage
that might result from losing the intellectual property behind a new manufacturing
process. Business leaders need to work with cybersecurity teams to assess and rank
business risks across the value chain.
2. Differentiate protection by the importance of assets. Assigning levels of
controls, such as encryption and more rigorous passwords for lower-value assets, will
allow management to invest time and resources in protecting the most strategic
information.
3. Integrate security deeply into the technology environment to achieve
scale. Executives need to instill the mind-set that security isn’t something bolted onto
projects. Instead, every facet of the growing technology environment— from
developing social-network applications to replacing hardware—needs to be shaped by
the awareness of new vulnerabilities.
4. Deploy active defenses to uncover attacks proactively. Massive intelligence is
available about potential attacks. Much as top teams are organizing strategy around big
data analytics, they must ensure that their companies can aggregate and model new
information to establish robust defenses.
…
44
© 2014 ı Classification: PUBLIC
Konzept von Wirkungsklassen
und Replacebility
Wirkungsklasse 0
► Basis-IT-Sicherheit
• Bürger mit privater Nutzung
Wirkungsklasse 1
► Schutzbedarf: mittel
• Unternehmen, Organisationen, Behörden
Wirkungsklasse 2
► Schutzbedarf: hoch
• Unternehmen, Organisationen, Behörden, Infrastruktur (+ Industriespionage)
Wirkungsklasse 3
► Schutzbedarf: sehr hoch
• Unternehmen, Organisationen, Behörden, Infrastruktur (+ Cyberwar, Sabotage, …)
Wirkungsklasse 4
► Verschlusssachen, >VS-V
45
45
© 2014 ı Classification: PUBLIC
Beispiel für sicherer Client und
„Replaceability“
Cloud:
BoxCryptor/PanBox
Virtualisierungslayer
Sirrix/Secunet/Genua
Schafft Vertrauenswüdigkeit
unabhängig vom Betriebssystem
TPM-Anbieter:
Infineon
UEFI-Bios:
fehlt noch
Schafft Vertrauenswürdigkeit
bei Storage-Clouds
Fulldisk Encryption:
Sirrix
Ersetzt Microsoft Bitlocker
Remote-VPN:
NCP
Ersetzt Windows VPN
46
© 2014 ı Classification: PUBLIC
Beispiel für „Replaceability“ beim Smartphone
Deutscher Sicherheitskern:
BizzTrust
Ersetzt Samsung KNOX
47
© 2014 ı Classification: PUBLIC
Zusammenfassung
 Neue IT-Trends und veränderte Rahmenbedingungen
erfordern mehr IT-Sicherheit
 Bisherige IT-Sicherheitskonzepte werden dem nicht
gerecht.
 Wir benötigen einen Paradigmenwechsel zu pro-aktiver
Sicherheit
 Deutsche IT-Sicherheitsindustrie bereits Vorreiter
 Sicherheit vor Angriffen aus dem Internet durch Isolation
von Intranet und Internet
48
© 2014 ı Classification: PUBLIC
Sirrix AG
Im Stadtwald, Geb. D3 2
66123 Saarbrücken
GERMANY
Tel
Fax
+49 (0)681/95986-0
+49 (0)681/95986-500
Email
Web
[email protected]
www.sirrix.com
49
© 2014 ı Classification: PUBLIC
TrustedDisk
Produktlinien

Festplatten- und USB-Verschlüsselung

Mit Pre-Boot Authentication und
Smartcard/Token-Unterstützung
 Einzelplatz und
 Sprachverschlüsselungs T URAYA T M
Version mit zentralem Management
systeme
TrustedInfrastructure
• ISDN/VoIP/GSM
• TrustedVPN
Vom BSI für VS-NfD zugelassen
• TÜber
ET RA/BO
S-D/SNS
• TrustedDesktop
Rahmenvertrag
im KdB
beschaffbar
• NAT O -SC IP
• TrustedServer
 Fax Encryption Systeme
 Radio Encryption Systeme
•
•
Module für
VHF/UHF Radios
Handsets für HF-Radios
 Mo bile Device Security
• T URAYA Embedded
• T URAYA Mobile
TM
 BitBox Secure Brow sing
 TrustedDisk Vo lume und
USB-Encryption
• TrustedMobile iO S
• BizzTrust™
TM
TrustedO bjects Manager
Management für
Appliances, Policies, Benutzer, Trusted Domains, …
50

Download Report