SlideShare uma empresa Scribd logo

Security Smoke Test - Eine bewußte Entscheidung für die IT Sicherheit

Carsten Muetzlitz
Carsten Muetzlitz

Security Smoke Test - Eine bewußte Entscheidung für die IT Sicherheit

Tecnologia
1 de 24
Baixar para ler offline
Copyright © 2014 Oracle and/or its affiliates. All rights reserved. | Share with Bitte Fragen über den WebEx-Chat #ODSD2015 OracleDirect Security Day 2015
Copyright © 2014 Oracle and/or its affiliates. All rights reserved. | Safe Harbor Statement The following is intended to outline our general product direction. It is intended for information purposes only, and may not be incorporated into any contract. It is not a commitment to deliver any material, code, or functionality, and should not be relied upon in making purchasing decisions. The development, release, and timing of any features or functionality described for Oracle’s products remains at the sole discretion of Oracle. OracleDirect Security Day 2015 3
Security Day 2015 Der Security Smoke Test Carsten Mützlitz Systemberatung Potsdam OracleDirect SECURITY Inside-Out
Copyright © 2014 Oracle and/or its affiliates. All rights reserved. | Referent: Kurz vorgestellt 5 • Carsten Mützlitz – unterstützt Deutschlands Daten sicher(er) zu machen , ORACLE, Systemberatung Potsdam – Carsten.muetzlitz@oracle.com OracleDirect Security Day 2015 /ORA0600 blogs.oracle.com/SecurityDE blog.carsten-muetzlitz.de /DTCCpotsdam systemberatungpotsdam.wordpress.de
Copyright © 2015, Oracle and/or its affiliates. All rights reserved. | Agenda für die nächsten 30-45 Minuten OracleDirect Security Day 2015 6 Informationssicherheit als Prozess. Wo stehen wir? Kurze Einführung Der Security Smoke Test Warum das Ganze? 1 2 3 4
Copyright © 2015, Oracle and/or its affiliates. All rights reserved. | OracleDirect Security Day 2015 Das Informationssicherheitskonzept beruht auf einem Risikomodell und beleuchtet die Organisation und die Prozesse INFORMATIONSSICHERHEIT als Prozess Sicherheitsprozess Initialaktivitäten Laufende Aktivitäten Umsetzungen / Betrieb Prozesse Sicherheitsstrategie Risikomanagement Sicherheitsmgmt. Schutz Informationswerte (Vetraulichkeit, Integrität) Sicherstellung der Verfügbarkeit Disaster Recovery /Business Continuity Planning Monitoring Auditing Bereiche Technisch Physisch Organisatorisch Systeme (HW& OS) Netze Software Daten Build Operate Ablauf Schwachstellenanalyse, Bedrohungsprofil, Risikobewertung, Maßnahmenpriorisierung Risikomanagement Security Policy, Standards & Procedures Sicherheits- organisation Zugriffssicherung, Authentisierung, Kryptographie, PKI, VPN Sicherheitszonen, Zugangskontrollen, Zutrittsicherungs- sytemeFirewalls Netzwerkdesign Clustering Netzwerkmgmt. Virenschutz- management Sichere OS System- Aktualisierung SW-Design Verbindlichkeit Datenklassifik. Datenträger System- performance Monitoring CM Hot-Backup Gebäudesicherheit Personelle Sicherheit Arbeitsplatz Schutz vor Elem- entarereignissen Notfallpläne (Contingency Plans) Intrusion Detection Systems Gebäude- überwachung Videoaufzeichnung Activity Logging Sicherheitsaudits Vulnerability Checks Sicherheitsmanagement Security Vision, Strategie für den Umgang mit unternehmenskritischen Infrastrukturen und Informationswerten Governance HR-Prozesse, Betriebl. Praktiken, Awareness, Training Backup, Backup-Facitilites Logging, Evaluierung, Behandlung von Sicherheitsvorfällen System Recovery Informationssicherheit ist ein Prozess, der alle Teile eines Unternehmens be- trifft. Es reicht nicht zu denken: “Die IT Abteilung wird mich schon schützen” 7 Sicherheits- organisation Sicherheitsaudits Vulnerability Checks Sicherheitsmanagement HR-Prozesse, Betriebl. Praktiken, Awareness, Training Security Policy, Standards & Procedures
Copyright © 2015, Oracle and/or its affiliates. All rights reserved. | Agenda OracleDirect Security Day 2015 8 Informationssicherheit als Prozess. Wo stehen wir? Kurze Einführung Der Security Smoke Test Warum das Ganze? 1 2 3 4
Copyright © 2015 Oracle and/or its affiliates. All rights reserved. | OracleDirect Security Day 2015 9 Smoketesting stammt ursprünglich aus dem handwerklichen Bereich Was ist ein Smoke Test? • Früher haben die Klempner Rauch durch die Rohre geblasen – Um die Dichtigkeit nach einer Reparatur zu prüfen • Smoketests sind sehr häufig im eCommerce Bereich zu finden – Da viele Updates am System wie Katalog-Wechsel stattfinden – Neues Releases/Funktionen/Design im System eingespielt werden Ein Smoketest prüft wesentliche Funktionalität auf Korrektheit ZWECK: Wahrscheinlichkeit eines Fehlers vor Live-Schaltung reduzieren. Z.B. Leck im Rohr. © industrieblick - Fotolia.com
Copyright © 2015, Oracle and/or its affiliates. All rights reserved. | Agenda OracleDirect Security Day 2015 10 Informationssicherheit als Prozess. Wo stehen wir? Kurze Einführung Der Security Smoke Test Warum das Ganze? 1 2 3 4
Copyright © 2015, Oracle and/or its affiliates. All rights reserved. | 11 Vorab: Bedrohung “AKTEURE & ZIELE” OracleDirect Security Day 2015 OS admin DBA Test/Dev App Owner/User BI User NetworkBackupOSDatabaseApplications
Copyright © 2015, Oracle and/or its affiliates. All rights reserved. | “Wie könnte so ein Security Smoke Test wohl aussehen? Gibt es Tools dafür? Und wer führt diesen Security Smoke Test aus?“ OracleDirect Security Day 2015 12 Security Smoke Test? ZWECK: Nach Änderung/Release Zustand nach Änderung prüfen und bewerten.
Copyright © 2015 Oracle and/or its affiliates. All rights reserved. | OracleDirect Security Day 2015 13 Beispiel: Solaris Compliance Framework MÖGLICHE TOOLS von Oracle? • Solaris Compliance Framework: Standard PCI root@soltest: # compliance assess root@soltest: # compliance report root@soltest: # compliance assess -b pci-dss root@soltest: # compliance report –a reportname Mit integrierter Lösung der fehlerhaften Regel Erweiterter Prüfung auf PCI DSS Integrierte Lösungen für ein besseres Sicherheitsmanagement in den Oracle Lösungen wie Compliance Framework, ORAChk, openSCAP, Enterprise Manager etc.
Copyright © 2014 Oracle and/or its affiliates. All rights reserved. | TYPISCHE ATTACKE: Beispiel DB OracleDirect Security Day 2015 14Copyright © 2014, Oracle and/or its affiliates. All rights reserved. | PORTSCANNING SID GUESSING Password Theft Insider Access SQL Injection Denial-of-Service Malware IDEE: Der Security Smoke Test sollte eine typische Attacke simulieren und wichtige Dinge prüfen!
Copyright © 2015 Oracle and/or its affiliates. All rights reserved. | OracleDirect Security Day 2015 15 Attacke simulieren und wichtige Parameter prüfen Der SECURITY SMOKE TEST am Beispiel einer DB-Apps Was kann der Security Smoke Test? • Attacke simulieren: Portscan, SID Guessing, Brute Force • Wichtige Einstellungen auf sinnvolle Funktion prüfen, wie − PW und User Management − Konfiguration − Access Control und Rollen − Komplexität − User Management − Apps-Owner − und einiges mehr SECURITY SMOKE TEST Based on APEX PRODUKTIONS DB Instances Show Demo Release Manager
Copyright © 2015 Oracle and/or its affiliates. All rights reserved. | OracleDirect Security Day 2015 16 Wichtig zu wissen was rechtlich zu beachten ist… Der HACKERPARAGRAF! • Hackerparagraf von 2007 (StGB §202b und 202c) • Vorgabe zur Nutzung sogenannter Dual-Use-Tools − Tools die auch für krimielle Zwecke genutzt werden können, wie Passwordcracker, Netzwerksniffer und Portscanner • Darf ich (Admin/DBA) Dual-Use Tools auch für meine Unternehmens-IT nutzen? − Das Bundesverfassungsgericht (Beschluß vom 18.5.2009), sagte „JA“, aber bitte dokumentieren und Genehmigung einholen (Vieraugenprinzip) Hackerparagraf StGB insbesondere §202c ...§ 202c Vorbereiten des Ausspähens und Abfangens von Daten 1) Wer eine Straftat nach § 202a oder § 202b vorbereitet, indem er Passwörter oder sonstige Sicherungscodes, die den Zugang zu Daten (§ 202a Abs. 2) ermöglichen, oder Computerprogramme, deren Zweck die Begehung einer solchen Tat ist, herstellt, sich oder einem anderen verschafft, verkauft, einem anderen überlässt, verbreitet oder sonst zugänglich macht, wird mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bestraft. 2) § 149 Abs. 2 und 3 gilt entsprechend. ...
Copyright © 2015, Oracle and/or its affiliates. All rights reserved. | Agenda OracleDirect Security Day 2015 17 Informationssicherheit als Prozess. Wo stehen wir? Kurze Einführung Der Security Smoke Test Warum das Ganze? 1 2 3 4
Copyright © 2015 Oracle and/or its affiliates. All rights reserved. | • Gefahr einer Attacke? • Sichere Konfiguration? • Komplexität? • Zugriffskontrolle? • User Management?helfen einen letzten neutralen aber konkreten Blick auf die (Datenbank) Sicherheit zu werfen SecuritySmoke Tests Besteht ein Risiko?
Copyright © 2013, Oracle and/or its affiliates. All rights reserved.19 KENNEN und kontrollieren es!
Copyright © 2013, Oracle and/or its affiliates. All rights reserved.20 und zwar von ANFANG AN! VERHINDERN
Copyright © 2013, Oracle and/or its affiliates. All rights reserved.21 TREFFEN SIE
Copyright © 2013, Oracle and/or its affiliates. All rights reserved.22
Copyright © 2014 Oracle and/or its affiliates. All rights reserved. | 23 OD Sec Day: Die nachfolgenden Präsentationen OracleDirect Security Day 2015 • 14:15 Uhr: Michal Soszynski Störungsfreiheit kritischer IT- Infrastrukturen • 15:30 Uhr: Suvad Sahovic Eine geniale Lösung für das Benutzermanagement in kurzer Zeit implementiert • 16:45 Uhr: Wolfgang Hennes Sichere Speicherung von Daten in der Cloud und Live-Hack auf eine ungeschützte Datenbank
Security Smoke Test - Eine bewußte Entscheidung für die IT Sicherheit

Recomendados

Secure Technical Implementation Guide for databases by Martin Obst
Secure Technical Implementation Guide for databases by Martin ObstSecure Technical Implementation Guide for databases by Martin Obst
Secure Technical Implementation Guide for databases by Martin ObstCarsten Muetzlitz
 
End-to-End Hochverfügbarkeit by Michal Soszynski
End-to-End Hochverfügbarkeit by Michal SoszynskiEnd-to-End Hochverfügbarkeit by Michal Soszynski
End-to-End Hochverfügbarkeit by Michal SoszynskiCarsten Muetzlitz
 
DOAG SIG Security 2014 in Hamburg: Enterprise User Security for DBAs #eus4dbas
DOAG SIG Security 2014 in Hamburg: Enterprise User Security for DBAs #eus4dbasDOAG SIG Security 2014 in Hamburg: Enterprise User Security for DBAs #eus4dbas
DOAG SIG Security 2014 in Hamburg: Enterprise User Security for DBAs #eus4dbasCarsten Muetzlitz
 
Security by Design - von der Single Instanz über DWH, In-Memory, Big Data mit...
Security by Design - von der Single Instanz über DWH, In-Memory, Big Data mit...Security by Design - von der Single Instanz über DWH, In-Memory, Big Data mit...
Security by Design - von der Single Instanz über DWH, In-Memory, Big Data mit...Carsten Muetzlitz
 
Eine geniale Lösung für das Benutzermanagement by Suvad Sahovic
Eine geniale Lösung für das Benutzermanagement by Suvad SahovicEine geniale Lösung für das Benutzermanagement by Suvad Sahovic
Eine geniale Lösung für das Benutzermanagement by Suvad SahovicCarsten Muetzlitz
 
Wie baue ich eine KI, die besser als jeder Mensch ein Problem und dessen Ursa...
Wie baue ich eine KI, die besser als jeder Mensch ein Problem und dessen Ursa...Wie baue ich eine KI, die besser als jeder Mensch ein Problem und dessen Ursa...
Wie baue ich eine KI, die besser als jeder Mensch ein Problem und dessen Ursa...OPITZ CONSULTING Deutschland
 
OC|Webcast: Grundlagen der Oracle Lizenzierung
OC|Webcast: Grundlagen der Oracle LizenzierungOC|Webcast: Grundlagen der Oracle Lizenzierung
OC|Webcast: Grundlagen der Oracle LizenzierungOPITZ CONSULTING Deutschland
 
Oracle Secure Patching Concept
Oracle Secure Patching ConceptOracle Secure Patching Concept
Oracle Secure Patching ConceptCarsten Muetzlitz
 

Recomendados

Secure Technical Implementation Guide for databases by Martin Obst
Secure Technical Implementation Guide for databases by Martin ObstSecure Technical Implementation Guide for databases by Martin Obst
Secure Technical Implementation Guide for databases by Martin ObstCarsten Muetzlitz
 
End-to-End Hochverfügbarkeit by Michal Soszynski
End-to-End Hochverfügbarkeit by Michal SoszynskiEnd-to-End Hochverfügbarkeit by Michal Soszynski
End-to-End Hochverfügbarkeit by Michal SoszynskiCarsten Muetzlitz
 
DOAG SIG Security 2014 in Hamburg: Enterprise User Security for DBAs #eus4dbas
DOAG SIG Security 2014 in Hamburg: Enterprise User Security for DBAs #eus4dbasDOAG SIG Security 2014 in Hamburg: Enterprise User Security for DBAs #eus4dbas
DOAG SIG Security 2014 in Hamburg: Enterprise User Security for DBAs #eus4dbasCarsten Muetzlitz
 
Security by Design - von der Single Instanz über DWH, In-Memory, Big Data mit...
Security by Design - von der Single Instanz über DWH, In-Memory, Big Data mit...Security by Design - von der Single Instanz über DWH, In-Memory, Big Data mit...
Security by Design - von der Single Instanz über DWH, In-Memory, Big Data mit...Carsten Muetzlitz
 
Eine geniale Lösung für das Benutzermanagement by Suvad Sahovic
Eine geniale Lösung für das Benutzermanagement by Suvad SahovicEine geniale Lösung für das Benutzermanagement by Suvad Sahovic
Eine geniale Lösung für das Benutzermanagement by Suvad SahovicCarsten Muetzlitz
 
Wie baue ich eine KI, die besser als jeder Mensch ein Problem und dessen Ursa...
Wie baue ich eine KI, die besser als jeder Mensch ein Problem und dessen Ursa...Wie baue ich eine KI, die besser als jeder Mensch ein Problem und dessen Ursa...
Wie baue ich eine KI, die besser als jeder Mensch ein Problem und dessen Ursa...OPITZ CONSULTING Deutschland
 
OC|Webcast: Grundlagen der Oracle Lizenzierung
OC|Webcast: Grundlagen der Oracle LizenzierungOC|Webcast: Grundlagen der Oracle Lizenzierung
OC|Webcast: Grundlagen der Oracle LizenzierungOPITZ CONSULTING Deutschland
 
Oracle Secure Patching Concept
Oracle Secure Patching ConceptOracle Secure Patching Concept
Oracle Secure Patching ConceptCarsten Muetzlitz
 
SEO Schulung
SEO SchulungSEO Schulung
SEO SchulungThomas Matterne
 
Vereinsdaten pflegen für Chöre im Schwäbischen Chorverband
Vereinsdaten pflegen für Chöre im Schwäbischen ChorverbandVereinsdaten pflegen für Chöre im Schwäbischen Chorverband
Vereinsdaten pflegen für Chöre im Schwäbischen ChorverbandJohannes Pfeffer
 
Social media marketing
Social media marketingSocial media marketing
Social media marketingidealogues
 
Location Based Services - Hagen Sexauer
Location Based Services - Hagen SexauerLocation Based Services - Hagen Sexauer
Location Based Services - Hagen SexauerHagen Sexauer
 
Oracle Information Rights Management Introduction (German)
Oracle Information Rights Management Introduction (German)Oracle Information Rights Management Introduction (German)
Oracle Information Rights Management Introduction (German)Carsten Muetzlitz
 
Internetagenturen
InternetagenturenInternetagenturen
Internetagenturenidealogues
 
Web 2
Web 2Web 2
Web 2Elizabethalbelda82
 
Burgos web[1]
Burgos web[1]Burgos web[1]
Burgos web[1]ieslamagdalena
 
Effektiv erfolgreich durch Social Media
Effektiv erfolgreich durch Social MediaEffektiv erfolgreich durch Social Media
Effektiv erfolgreich durch Social MediaVCAT Consulting GmbH
 
Innovatives Web- und Instore-Marketing - Web-Applikationen für den Tourismus
Innovatives Web- und Instore-Marketing - Web-Applikationen für den TourismusInnovatives Web- und Instore-Marketing - Web-Applikationen für den Tourismus
Innovatives Web- und Instore-Marketing - Web-Applikationen für den TourismusVCAT Consulting GmbH
 
Startupbus#1
Startupbus#1Startupbus#1
Startupbus#1Andreas Pilz
 
Unternehmenswerte schützen. 10 Regeln für den Krisenfall
Unternehmenswerte schützen. 10 Regeln für den KrisenfallUnternehmenswerte schützen. 10 Regeln für den Krisenfall
Unternehmenswerte schützen. 10 Regeln für den KrisenfallAndré Wigger
 
20110217 web 2.0 präsentation quadriga
20110217 web 2.0 präsentation quadriga20110217 web 2.0 präsentation quadriga
20110217 web 2.0 präsentation quadrigaNewsjunkie_GER
 
Bebes
BebesBebes
Bebeselenaveloso
 
Groups 2010.05: Google Street View Debatte (Digital Sustainability)
Groups 2010.05: Google Street View Debatte (Digital Sustainability)Groups 2010.05: Google Street View Debatte (Digital Sustainability)
Groups 2010.05: Google Street View Debatte (Digital Sustainability)Marcus Dapp
 
Green Ecuador 2010
Green Ecuador 2010Green Ecuador 2010
Green Ecuador 2010SX77
 
geo.admin.ch: das Geoportal des Bundes egovernment-wettbewerb FinalistenTag
geo.admin.ch: das Geoportal des Bundes egovernment-wettbewerb FinalistenTaggeo.admin.ch: das Geoportal des Bundes egovernment-wettbewerb FinalistenTag
geo.admin.ch: das Geoportal des Bundes egovernment-wettbewerb FinalistenTaggeoportal of the federal authorities of the Swiss Confederation
 
NewTeacher
NewTeacherNewTeacher
NewTeacherppoosiri
 
Arche
ArcheArche
Archedaniellamy
 
Xerox star
Xerox starXerox star
Xerox starBálint Major
 
Implementierbare Sicherheitsregeln im Enterprise Manager
Implementierbare Sicherheitsregeln im Enterprise ManagerImplementierbare Sicherheitsregeln im Enterprise Manager
Implementierbare Sicherheitsregeln im Enterprise ManagerMartin Obst
 
CCPP
CCPPCCPP
CCPPNadineZ
 

Mais conteúdo relacionado

Destaque

Vereinsdaten pflegen für Chöre im Schwäbischen Chorverband
Vereinsdaten pflegen für Chöre im Schwäbischen ChorverbandVereinsdaten pflegen für Chöre im Schwäbischen Chorverband
Vereinsdaten pflegen für Chöre im Schwäbischen ChorverbandJohannes Pfeffer
 
Social media marketing
Social media marketingSocial media marketing
Social media marketingidealogues
 
Location Based Services - Hagen Sexauer
Location Based Services - Hagen SexauerLocation Based Services - Hagen Sexauer
Location Based Services - Hagen SexauerHagen Sexauer
 
Oracle Information Rights Management Introduction (German)
Oracle Information Rights Management Introduction (German)Oracle Information Rights Management Introduction (German)
Oracle Information Rights Management Introduction (German)Carsten Muetzlitz
 
Internetagenturen
InternetagenturenInternetagenturen
Internetagenturenidealogues
 
Effektiv erfolgreich durch Social Media
Effektiv erfolgreich durch Social MediaEffektiv erfolgreich durch Social Media
Effektiv erfolgreich durch Social MediaVCAT Consulting GmbH
 
Innovatives Web- und Instore-Marketing - Web-Applikationen für den Tourismus
Innovatives Web- und Instore-Marketing - Web-Applikationen für den TourismusInnovatives Web- und Instore-Marketing - Web-Applikationen für den Tourismus
Innovatives Web- und Instore-Marketing - Web-Applikationen für den TourismusVCAT Consulting GmbH
 
Unternehmenswerte schützen. 10 Regeln für den Krisenfall
Unternehmenswerte schützen. 10 Regeln für den KrisenfallUnternehmenswerte schützen. 10 Regeln für den Krisenfall
Unternehmenswerte schützen. 10 Regeln für den KrisenfallAndré Wigger
 
20110217 web 2.0 präsentation quadriga
20110217 web 2.0 präsentation quadriga20110217 web 2.0 präsentation quadriga
20110217 web 2.0 präsentation quadrigaNewsjunkie_GER
 
Groups 2010.05: Google Street View Debatte (Digital Sustainability)
Groups 2010.05: Google Street View Debatte (Digital Sustainability)Groups 2010.05: Google Street View Debatte (Digital Sustainability)
Groups 2010.05: Google Street View Debatte (Digital Sustainability)Marcus Dapp
 
Green Ecuador 2010
Green Ecuador 2010Green Ecuador 2010
Green Ecuador 2010SX77
 
NewTeacher
NewTeacherNewTeacher
NewTeacherppoosiri
 

Destaque (20)

SEO Schulung
SEO SchulungSEO Schulung
SEO Schulung
 
Vereinsdaten pflegen für Chöre im Schwäbischen Chorverband
Vereinsdaten pflegen für Chöre im Schwäbischen ChorverbandVereinsdaten pflegen für Chöre im Schwäbischen Chorverband
Vereinsdaten pflegen für Chöre im Schwäbischen Chorverband
 
Social media marketing
Social media marketingSocial media marketing
Social media marketing
 
Location Based Services - Hagen Sexauer
Location Based Services - Hagen SexauerLocation Based Services - Hagen Sexauer
Location Based Services - Hagen Sexauer
 
Oracle Information Rights Management Introduction (German)
Oracle Information Rights Management Introduction (German)Oracle Information Rights Management Introduction (German)
Oracle Information Rights Management Introduction (German)
 
Internetagenturen
InternetagenturenInternetagenturen
Internetagenturen
 
Web 2
Web 2Web 2
Web 2
 
Burgos web[1]
Burgos web[1]Burgos web[1]
Burgos web[1]
 
Effektiv erfolgreich durch Social Media
Effektiv erfolgreich durch Social MediaEffektiv erfolgreich durch Social Media
Effektiv erfolgreich durch Social Media
 
Innovatives Web- und Instore-Marketing - Web-Applikationen für den Tourismus
Innovatives Web- und Instore-Marketing - Web-Applikationen für den TourismusInnovatives Web- und Instore-Marketing - Web-Applikationen für den Tourismus
Innovatives Web- und Instore-Marketing - Web-Applikationen für den Tourismus
 
Startupbus#1
Startupbus#1Startupbus#1
Startupbus#1
 
Unternehmenswerte schützen. 10 Regeln für den Krisenfall
Unternehmenswerte schützen. 10 Regeln für den KrisenfallUnternehmenswerte schützen. 10 Regeln für den Krisenfall
Unternehmenswerte schützen. 10 Regeln für den Krisenfall
 
20110217 web 2.0 präsentation quadriga
20110217 web 2.0 präsentation quadriga20110217 web 2.0 präsentation quadriga
20110217 web 2.0 präsentation quadriga
 
Bebes
BebesBebes
Bebes
 
Groups 2010.05: Google Street View Debatte (Digital Sustainability)
Groups 2010.05: Google Street View Debatte (Digital Sustainability)Groups 2010.05: Google Street View Debatte (Digital Sustainability)
Groups 2010.05: Google Street View Debatte (Digital Sustainability)
 
Green Ecuador 2010
Green Ecuador 2010Green Ecuador 2010
Green Ecuador 2010
 
geo.admin.ch: das Geoportal des Bundes egovernment-wettbewerb FinalistenTag
geo.admin.ch: das Geoportal des Bundes egovernment-wettbewerb FinalistenTaggeo.admin.ch: das Geoportal des Bundes egovernment-wettbewerb FinalistenTag
geo.admin.ch: das Geoportal des Bundes egovernment-wettbewerb FinalistenTag
 
NewTeacher
NewTeacherNewTeacher
NewTeacher
 
Arche
ArcheArche
Arche
 
Xerox star
Xerox starXerox star
Xerox star
 

Semelhante a Security Smoke Test - Eine bewußte Entscheidung für die IT Sicherheit

Implementierbare Sicherheitsregeln im Enterprise Manager
Implementierbare Sicherheitsregeln im Enterprise ManagerImplementierbare Sicherheitsregeln im Enterprise Manager
Implementierbare Sicherheitsregeln im Enterprise ManagerMartin Obst
 
How-to Webinarserie Live-Webinar "Office 365 sicher verwalten"
How-to Webinarserie Live-Webinar "Office 365 sicher verwalten"How-to Webinarserie Live-Webinar "Office 365 sicher verwalten"
How-to Webinarserie Live-Webinar "Office 365 sicher verwalten"Eileen Erdmann
 
Webcast: Prozess Monitoring in Azure (und on premise) mit dem IntelliMon
Webcast: Prozess Monitoring in Azure (und on premise) mit dem IntelliMonWebcast: Prozess Monitoring in Azure (und on premise) mit dem IntelliMon
Webcast: Prozess Monitoring in Azure (und on premise) mit dem IntelliMonQUIBIQ Hamburg
 
Big Data Discovery + Analytics = Datengetriebene Innovation!
Big Data Discovery + Analytics = Datengetriebene Innovation!Big Data Discovery + Analytics = Datengetriebene Innovation!
Big Data Discovery + Analytics = Datengetriebene Innovation!Harald Erb
 
IT-Sicherheit und agile Entwicklung? Geht das? Sicher!
IT-Sicherheit und agile Entwicklung? Geht das? Sicher!IT-Sicherheit und agile Entwicklung? Geht das? Sicher!
IT-Sicherheit und agile Entwicklung? Geht das? Sicher!Carsten Cordes
 
Sichere Webanwendungen mit OpenSAMM
Sichere Webanwendungen mit OpenSAMMSichere Webanwendungen mit OpenSAMM
Sichere Webanwendungen mit OpenSAMMOPTIMAbit GmbH
 
Omada IdentityPROCESS+ in Deutsch
Omada IdentityPROCESS+ in DeutschOmada IdentityPROCESS+ in Deutsch
Omada IdentityPROCESS+ in DeutschJae-Hun Suh
 
FMK2015: Informationssicherheit und Risikomanagement by Patrick Risch
FMK2015: Informationssicherheit und Risikomanagement by Patrick RischFMK2015: Informationssicherheit und Risikomanagement by Patrick Risch
FMK2015: Informationssicherheit und Risikomanagement by Patrick RischVerein FM Konferenz
 
Impulsseminar cloud computing - ufz.ch 20120521
Impulsseminar cloud computing - ufz.ch 20120521Impulsseminar cloud computing - ufz.ch 20120521
Impulsseminar cloud computing - ufz.ch 20120521ihrepartner.ch gmbh
 
SAP Bedrohungserkennung als Cloud Lösung - SAP ETD
SAP Bedrohungserkennung als Cloud Lösung - SAP ETD SAP Bedrohungserkennung als Cloud Lösung - SAP ETD
SAP Bedrohungserkennung als Cloud Lösung - SAP ETDIBsolution GmbH
 
Security Compliance und Sicherheit Sopra Steria Consulting
Security Compliance und Sicherheit Sopra Steria Consulting Security Compliance und Sicherheit Sopra Steria Consulting
Security Compliance und Sicherheit Sopra Steria Consulting Sopra Steria Consulting
 
Sendung 17-12 Special: DSGVO, Security & Compliance
Sendung 17-12 Special: DSGVO, Security & ComplianceSendung 17-12 Special: DSGVO, Security & Compliance
Sendung 17-12 Special: DSGVO, Security & ComplianceThomas Maier
 
Einführung in das Customer Success Management von Oracle Deutschland
Einführung in das Customer Success Management von Oracle DeutschlandEinführung in das Customer Success Management von Oracle Deutschland
Einführung in das Customer Success Management von Oracle DeutschlandCarsten Muetzlitz
 
20181120_DOAG_OracleNoSQLDB_KPatenge
20181120_DOAG_OracleNoSQLDB_KPatenge20181120_DOAG_OracleNoSQLDB_KPatenge
20181120_DOAG_OracleNoSQLDB_KPatengeKarin Patenge
 
Cloud-Sicherheit entmystifiziert
Cloud-Sicherheit entmystifiziertCloud-Sicherheit entmystifiziert
Cloud-Sicherheit entmystifiziertAlexander Junk
 
Softwarequalität – Schlagwort oder Realität ?
Softwarequalität – Schlagwort oder Realität ?Softwarequalität – Schlagwort oder Realität ?
Softwarequalität – Schlagwort oder Realität ?Ernest Wallmueller
 
GWAVACon 2015: Microsoft MVP - Ist die Cloud wirklich sicher?
GWAVACon 2015: Microsoft MVP - Ist die Cloud wirklich sicher?GWAVACon 2015: Microsoft MVP - Ist die Cloud wirklich sicher?
GWAVACon 2015: Microsoft MVP - Ist die Cloud wirklich sicher?GWAVA
 

Semelhante a Security Smoke Test - Eine bewußte Entscheidung für die IT Sicherheit (20)

Implementierbare Sicherheitsregeln im Enterprise Manager
Implementierbare Sicherheitsregeln im Enterprise ManagerImplementierbare Sicherheitsregeln im Enterprise Manager
Implementierbare Sicherheitsregeln im Enterprise Manager
 
CCPP
CCPPCCPP
CCPP
 
How-to Webinarserie Live-Webinar "Office 365 sicher verwalten"
How-to Webinarserie Live-Webinar "Office 365 sicher verwalten"How-to Webinarserie Live-Webinar "Office 365 sicher verwalten"
How-to Webinarserie Live-Webinar "Office 365 sicher verwalten"
 
Webcast: Prozess Monitoring in Azure (und on premise) mit dem IntelliMon
Webcast: Prozess Monitoring in Azure (und on premise) mit dem IntelliMonWebcast: Prozess Monitoring in Azure (und on premise) mit dem IntelliMon
Webcast: Prozess Monitoring in Azure (und on premise) mit dem IntelliMon
 
Big Data Discovery + Analytics = Datengetriebene Innovation!
Big Data Discovery + Analytics = Datengetriebene Innovation!Big Data Discovery + Analytics = Datengetriebene Innovation!
Big Data Discovery + Analytics = Datengetriebene Innovation!
 
IT-Sicherheit und agile Entwicklung? Geht das? Sicher!
IT-Sicherheit und agile Entwicklung? Geht das? Sicher!IT-Sicherheit und agile Entwicklung? Geht das? Sicher!
IT-Sicherheit und agile Entwicklung? Geht das? Sicher!
 
Sichere Webanwendungen mit OpenSAMM
Sichere Webanwendungen mit OpenSAMMSichere Webanwendungen mit OpenSAMM
Sichere Webanwendungen mit OpenSAMM
 
Heicon global engineering
Heicon global engineeringHeicon global engineering
Heicon global engineering
 
Omada IdentityPROCESS+ in Deutsch
Omada IdentityPROCESS+ in DeutschOmada IdentityPROCESS+ in Deutsch
Omada IdentityPROCESS+ in Deutsch
 
FMK2015: Informationssicherheit und Risikomanagement by Patrick Risch
FMK2015: Informationssicherheit und Risikomanagement by Patrick RischFMK2015: Informationssicherheit und Risikomanagement by Patrick Risch
FMK2015: Informationssicherheit und Risikomanagement by Patrick Risch
 
Impulsseminar cloud computing - ufz.ch 20120521
Impulsseminar cloud computing - ufz.ch 20120521Impulsseminar cloud computing - ufz.ch 20120521
Impulsseminar cloud computing - ufz.ch 20120521
 
Oracle Database Security Assessment Tool (DBSAT)
Oracle Database Security Assessment Tool (DBSAT)Oracle Database Security Assessment Tool (DBSAT)
Oracle Database Security Assessment Tool (DBSAT)
 
SAP Bedrohungserkennung als Cloud Lösung - SAP ETD
SAP Bedrohungserkennung als Cloud Lösung - SAP ETD SAP Bedrohungserkennung als Cloud Lösung - SAP ETD
SAP Bedrohungserkennung als Cloud Lösung - SAP ETD
 
Security Compliance und Sicherheit Sopra Steria Consulting
Security Compliance und Sicherheit Sopra Steria Consulting Security Compliance und Sicherheit Sopra Steria Consulting
Security Compliance und Sicherheit Sopra Steria Consulting
 
Sendung 17-12 Special: DSGVO, Security & Compliance
Sendung 17-12 Special: DSGVO, Security & ComplianceSendung 17-12 Special: DSGVO, Security & Compliance
Sendung 17-12 Special: DSGVO, Security & Compliance
 
Einführung in das Customer Success Management von Oracle Deutschland
Einführung in das Customer Success Management von Oracle DeutschlandEinführung in das Customer Success Management von Oracle Deutschland
Einführung in das Customer Success Management von Oracle Deutschland
 
20181120_DOAG_OracleNoSQLDB_KPatenge
20181120_DOAG_OracleNoSQLDB_KPatenge20181120_DOAG_OracleNoSQLDB_KPatenge
20181120_DOAG_OracleNoSQLDB_KPatenge
 
Cloud-Sicherheit entmystifiziert
Cloud-Sicherheit entmystifiziertCloud-Sicherheit entmystifiziert
Cloud-Sicherheit entmystifiziert
 
Softwarequalität – Schlagwort oder Realität ?
Softwarequalität – Schlagwort oder Realität ?Softwarequalität – Schlagwort oder Realität ?
Softwarequalität – Schlagwort oder Realität ?
 
GWAVACon 2015: Microsoft MVP - Ist die Cloud wirklich sicher?
GWAVACon 2015: Microsoft MVP - Ist die Cloud wirklich sicher?GWAVACon 2015: Microsoft MVP - Ist die Cloud wirklich sicher?
GWAVACon 2015: Microsoft MVP - Ist die Cloud wirklich sicher?
 

Security Smoke Test - Eine bewußte Entscheidung für die IT Sicherheit

  • 1.
  • 2. Copyright © 2014 Oracle and/or its affiliates. All rights reserved. | Share with Bitte Fragen über den WebEx-Chat #ODSD2015 OracleDirect Security Day 2015
  • 3. Copyright © 2014 Oracle and/or its affiliates. All rights reserved. | Safe Harbor Statement The following is intended to outline our general product direction. It is intended for information purposes only, and may not be incorporated into any contract. It is not a commitment to deliver any material, code, or functionality, and should not be relied upon in making purchasing decisions. The development, release, and timing of any features or functionality described for Oracle’s products remains at the sole discretion of Oracle. OracleDirect Security Day 2015 3
  • 4. Security Day 2015 Der Security Smoke Test Carsten Mützlitz Systemberatung Potsdam OracleDirect SECURITY Inside-Out
  • 5. Copyright © 2014 Oracle and/or its affiliates. All rights reserved. | Referent: Kurz vorgestellt 5 • Carsten Mützlitz – unterstützt Deutschlands Daten sicher(er) zu machen , ORACLE, Systemberatung Potsdam – Carsten.muetzlitz@oracle.com OracleDirect Security Day 2015 /ORA0600 blogs.oracle.com/SecurityDE blog.carsten-muetzlitz.de /DTCCpotsdam systemberatungpotsdam.wordpress.de
  • 6. Copyright © 2015, Oracle and/or its affiliates. All rights reserved. | Agenda für die nächsten 30-45 Minuten OracleDirect Security Day 2015 6 Informationssicherheit als Prozess. Wo stehen wir? Kurze Einführung Der Security Smoke Test Warum das Ganze? 1 2 3 4
  • 7. Copyright © 2015, Oracle and/or its affiliates. All rights reserved. | OracleDirect Security Day 2015 Das Informationssicherheitskonzept beruht auf einem Risikomodell und beleuchtet die Organisation und die Prozesse INFORMATIONSSICHERHEIT als Prozess Sicherheitsprozess Initialaktivitäten Laufende Aktivitäten Umsetzungen / Betrieb Prozesse Sicherheitsstrategie Risikomanagement Sicherheitsmgmt. Schutz Informationswerte (Vetraulichkeit, Integrität) Sicherstellung der Verfügbarkeit Disaster Recovery /Business Continuity Planning Monitoring Auditing Bereiche Technisch Physisch Organisatorisch Systeme (HW& OS) Netze Software Daten Build Operate Ablauf Schwachstellenanalyse, Bedrohungsprofil, Risikobewertung, Maßnahmenpriorisierung Risikomanagement Security Policy, Standards & Procedures Sicherheits- organisation Zugriffssicherung, Authentisierung, Kryptographie, PKI, VPN Sicherheitszonen, Zugangskontrollen, Zutrittsicherungs- sytemeFirewalls Netzwerkdesign Clustering Netzwerkmgmt. Virenschutz- management Sichere OS System- Aktualisierung SW-Design Verbindlichkeit Datenklassifik. Datenträger System- performance Monitoring CM Hot-Backup Gebäudesicherheit Personelle Sicherheit Arbeitsplatz Schutz vor Elem- entarereignissen Notfallpläne (Contingency Plans) Intrusion Detection Systems Gebäude- überwachung Videoaufzeichnung Activity Logging Sicherheitsaudits Vulnerability Checks Sicherheitsmanagement Security Vision, Strategie für den Umgang mit unternehmenskritischen Infrastrukturen und Informationswerten Governance HR-Prozesse, Betriebl. Praktiken, Awareness, Training Backup, Backup-Facitilites Logging, Evaluierung, Behandlung von Sicherheitsvorfällen System Recovery Informationssicherheit ist ein Prozess, der alle Teile eines Unternehmens be- trifft. Es reicht nicht zu denken: “Die IT Abteilung wird mich schon schützen” 7 Sicherheits- organisation Sicherheitsaudits Vulnerability Checks Sicherheitsmanagement HR-Prozesse, Betriebl. Praktiken, Awareness, Training Security Policy, Standards & Procedures
  • 8. Copyright © 2015, Oracle and/or its affiliates. All rights reserved. | Agenda OracleDirect Security Day 2015 8 Informationssicherheit als Prozess. Wo stehen wir? Kurze Einführung Der Security Smoke Test Warum das Ganze? 1 2 3 4
  • 9. Copyright © 2015 Oracle and/or its affiliates. All rights reserved. | OracleDirect Security Day 2015 9 Smoketesting stammt ursprünglich aus dem handwerklichen Bereich Was ist ein Smoke Test? • Früher haben die Klempner Rauch durch die Rohre geblasen – Um die Dichtigkeit nach einer Reparatur zu prüfen • Smoketests sind sehr häufig im eCommerce Bereich zu finden – Da viele Updates am System wie Katalog-Wechsel stattfinden – Neues Releases/Funktionen/Design im System eingespielt werden Ein Smoketest prüft wesentliche Funktionalität auf Korrektheit ZWECK: Wahrscheinlichkeit eines Fehlers vor Live-Schaltung reduzieren. Z.B. Leck im Rohr. © industrieblick - Fotolia.com
  • 10. Copyright © 2015, Oracle and/or its affiliates. All rights reserved. | Agenda OracleDirect Security Day 2015 10 Informationssicherheit als Prozess. Wo stehen wir? Kurze Einführung Der Security Smoke Test Warum das Ganze? 1 2 3 4
  • 11. Copyright © 2015, Oracle and/or its affiliates. All rights reserved. | 11 Vorab: Bedrohung “AKTEURE & ZIELE” OracleDirect Security Day 2015 OS admin DBA Test/Dev App Owner/User BI User NetworkBackupOSDatabaseApplications
  • 12. Copyright © 2015, Oracle and/or its affiliates. All rights reserved. | “Wie könnte so ein Security Smoke Test wohl aussehen? Gibt es Tools dafür? Und wer führt diesen Security Smoke Test aus?“ OracleDirect Security Day 2015 12 Security Smoke Test? ZWECK: Nach Änderung/Release Zustand nach Änderung prüfen und bewerten.
  • 13. Copyright © 2015 Oracle and/or its affiliates. All rights reserved. | OracleDirect Security Day 2015 13 Beispiel: Solaris Compliance Framework MÖGLICHE TOOLS von Oracle? • Solaris Compliance Framework: Standard PCI root@soltest: # compliance assess root@soltest: # compliance report root@soltest: # compliance assess -b pci-dss root@soltest: # compliance report –a reportname Mit integrierter Lösung der fehlerhaften Regel Erweiterter Prüfung auf PCI DSS Integrierte Lösungen für ein besseres Sicherheitsmanagement in den Oracle Lösungen wie Compliance Framework, ORAChk, openSCAP, Enterprise Manager etc.
  • 14. Copyright © 2014 Oracle and/or its affiliates. All rights reserved. | TYPISCHE ATTACKE: Beispiel DB OracleDirect Security Day 2015 14Copyright © 2014, Oracle and/or its affiliates. All rights reserved. | PORTSCANNING SID GUESSING Password Theft Insider Access SQL Injection Denial-of-Service Malware IDEE: Der Security Smoke Test sollte eine typische Attacke simulieren und wichtige Dinge prüfen!
  • 15. Copyright © 2015 Oracle and/or its affiliates. All rights reserved. | OracleDirect Security Day 2015 15 Attacke simulieren und wichtige Parameter prüfen Der SECURITY SMOKE TEST am Beispiel einer DB-Apps Was kann der Security Smoke Test? • Attacke simulieren: Portscan, SID Guessing, Brute Force • Wichtige Einstellungen auf sinnvolle Funktion prüfen, wie − PW und User Management − Konfiguration − Access Control und Rollen − Komplexität − User Management − Apps-Owner − und einiges mehr SECURITY SMOKE TEST Based on APEX PRODUKTIONS DB Instances Show Demo Release Manager
  • 16. Copyright © 2015 Oracle and/or its affiliates. All rights reserved. | OracleDirect Security Day 2015 16 Wichtig zu wissen was rechtlich zu beachten ist… Der HACKERPARAGRAF! • Hackerparagraf von 2007 (StGB §202b und 202c) • Vorgabe zur Nutzung sogenannter Dual-Use-Tools − Tools die auch für krimielle Zwecke genutzt werden können, wie Passwordcracker, Netzwerksniffer und Portscanner • Darf ich (Admin/DBA) Dual-Use Tools auch für meine Unternehmens-IT nutzen? − Das Bundesverfassungsgericht (Beschluß vom 18.5.2009), sagte „JA“, aber bitte dokumentieren und Genehmigung einholen (Vieraugenprinzip) Hackerparagraf StGB insbesondere §202c ...§ 202c Vorbereiten des Ausspähens und Abfangens von Daten 1) Wer eine Straftat nach § 202a oder § 202b vorbereitet, indem er Passwörter oder sonstige Sicherungscodes, die den Zugang zu Daten (§ 202a Abs. 2) ermöglichen, oder Computerprogramme, deren Zweck die Begehung einer solchen Tat ist, herstellt, sich oder einem anderen verschafft, verkauft, einem anderen überlässt, verbreitet oder sonst zugänglich macht, wird mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bestraft. 2) § 149 Abs. 2 und 3 gilt entsprechend. ...
  • 17. Copyright © 2015, Oracle and/or its affiliates. All rights reserved. | Agenda OracleDirect Security Day 2015 17 Informationssicherheit als Prozess. Wo stehen wir? Kurze Einführung Der Security Smoke Test Warum das Ganze? 1 2 3 4
  • 18. Copyright © 2015 Oracle and/or its affiliates. All rights reserved. | • Gefahr einer Attacke? • Sichere Konfiguration? • Komplexität? • Zugriffskontrolle? • User Management?helfen einen letzten neutralen aber konkreten Blick auf die (Datenbank) Sicherheit zu werfen SecuritySmoke Tests Besteht ein Risiko?
  • 19. Copyright © 2013, Oracle and/or its affiliates. All rights reserved.19 KENNEN und kontrollieren es!
  • 20. Copyright © 2013, Oracle and/or its affiliates. All rights reserved.20 und zwar von ANFANG AN! VERHINDERN
  • 21. Copyright © 2013, Oracle and/or its affiliates. All rights reserved.21 TREFFEN SIE
  • 22. Copyright © 2013, Oracle and/or its affiliates. All rights reserved.22
  • 23. Copyright © 2014 Oracle and/or its affiliates. All rights reserved. | 23 OD Sec Day: Die nachfolgenden Präsentationen OracleDirect Security Day 2015 • 14:15 Uhr: Michal Soszynski Störungsfreiheit kritischer IT- Infrastrukturen • 15:30 Uhr: Suvad Sahovic Eine geniale Lösung für das Benutzermanagement in kurzer Zeit implementiert • 16:45 Uhr: Wolfgang Hennes Sichere Speicherung von Daten in der Cloud und Live-Hack auf eine ungeschützte Datenbank