Recomendados
Mais conteúdo relacionado
Destaque
Destaque (20)
Semelhante a 3 robert randall osstmm
Semelhante a 3 robert randall osstmm (17)
Mais de Digicomp Academy AG
Mais de Digicomp Academy AG (20)
3 robert randall osstmm
- 1. Today. Tomorrow. Secure. Dreamlab Technologies AG Security Testing & Vulnerability Landscape Switzerland 1 1
- 2. 2 Referent Robert Randall OSSTMM Instruktor, Produkt Manager, Projekt Manager Dreamlab Technologies AG Dipl. Ing. FH IT Security, OPSA, OPST 15 Jahre zwischen Technik und Business und immer mit Sicherheit Email: robert.randall@dreamlab.net Phone: +41313986666 © by Dreamlab Technologies AG 2011 2
- 3. 3 Dreamlab Technologies AG Dreamlab Technologies arbeitet seit fast 15 Jahren erfolgreich in der Sicherheitsindustrie. Standorte in: Berne (Headquarter) Zürich Lyon (F) Chile / LATAM © by Dreamlab Technologies AG 2011 3
- 4. 4 Dreamlab Technologies AG Consulting Audit Open standards Security Consulting Security Testing Security Operations Security Operational excellence Bringing together research and industry Solutions Education / Operation © by Dreamlab Technologies AG 2011 4
- 5. 5 Agenda Sicherheitstests, wozu? Wie man Diamanten raubt. Wie man Sicherheit misst. Wie man eindringt. Wie man das Risiko managt. Zusammenfassung Diskussion © by Dreamlab Technologies AG 2011 5
- 6. Sicherheitstests, wozu? 6 6
- 7. 7 Etwas schützen. © by Dreamlab Technologies AG 2011 7
- 8. 8 Funktioniert mein Sicherheitsmechanismus? © by Dreamlab Technologies AG 2011 8
- 9. 9 Etwas schützen. Der Wert, der geschützt werden sollte: Information. © by Dreamlab Technologies AG 2011 9
- 10. 10 Schutzziele Vertraulichkeit Nachvollziehbarkeit Integrität Verfügbarkeit © by Dreamlab Technologies AG 2011 10
- 11. 11 Geräte, die einfach funktionieren sollten. © by Dreamlab Technologies AG 2011 11
- 12. 12 Geräte, die einfach funktionieren sollten. Wie der Sydney Morning Herald berichtet, ermittelte eine Studie, dass mehr als 100'000 Patienten einen Herzschrittmacher im Körper haben, der via WLAN gehackt werden kann. © by Dreamlab Technologies AG 2011 12
- 13. 13 Pleiten, Pech und Pannen. © by Dreamlab Technologies AG 2011 13
- 14. 14 No comment! © by Dreamlab Technologies AG 2011 14
- 15. Wie man Diamanten raubt. 15 15
- 16. 16 Was im Film funktioniert, klappt auch in der Realität... © by Dreamlab Technologies AG 2011 Quelle: Wired 14.04 16
- 17. 17 ... die Folge. © by Dreamlab Technologies AG 2011 Quelle: Wired 14.04 17
- 18. Wie man Sicherheit misst. 18 18
- 19. OSSTMM 19 Das Methodenhandbuch für Sicherheitstests Standardisiert Sicherheitstests, macht sie objektiv überprüfbar und leicht reproduzierbar. Ist offen zugänglich (www.osstmm.org), von Herstellern und Technologien unabhängig. Setzt auf die Kreativität der Tester und auf Wissen statt Automatismen. Wurde von der ISECOM entwickelt. © by Dreamlab Technologies AG 2011 19
- 20. 20 Ein OSSTMM-Sicherheitstest ist Eine qualifizierte Untersuchung Eine Messung von • Konfiguration, • Best Practice, • Belastbarkeit (rechtlichen Aspekten), • Prozesssicherheit, • Limitationen & Kontrollen. Quantitativ + Qualitativ © by Dreamlab Technologies AG 2011 20
- 21. OSSTMM 22 Strukturierte Tests Channels Findings COMSEC SPECSEC Target PHYSEC Vektor Scope © by Dreamlab Technologies AG 2011 21
- 22. OSSTMM 23 Wirtschaftlicher Nutzen • Erfolgsfaktor Sicherheit: Return on Investment • Managementkompatibel: Key Performance Index (KPI) • Reproduzierbare Resultate: Risk Assesment Value (RAV) © by Dreamlab Technologies AG 2011 22
- 23. OSSTMM 24 Technischer Nutzen • Sicherheit wird messbar. • Maximale Testqualität. • Unabhängigkeit und Kreativität. © by Dreamlab Technologies AG 2011 23
- 24. Zurück zum Diamantenraub. 24 24
- 25. 26 Systematisches Vorgehen Zielsystem definieren (Scope). Einflussfaktoren definieren (Scope). Angriffswinkel definieren (Vektor). Angriffsmethode wählen (Channel). © by Dreamlab Technologies AG 2011 25
- 26. 27 Zugang zum Gebäude verschaffen © by Dreamlab Technologies AG 2011 26
- 27. 28 Operative Sicherheit Sichtbarkeit Zugang Vertrauensstellung Limitationen Kontrollen Prozesse © by Dreamlab Technologies AG 2011 27
- 28. 29 Kontrollen → Limitationen © by Dreamlab Technologies AG 2011 28
- 29. 30 © by Dreamlab Technologies AG 2011 29
- 30. 31 Im Vorraum zum Tresor © by Dreamlab Technologies AG 2011 30
- 31. 32 © by Dreamlab Technologies AG 2011 31
- 32. 33 Diamantenraub Gründliches und methodisches Vorgehen Einbruch ist ein Handwerk © by Dreamlab Technologies AG 2011 32
- 33. 34 OSSTMM: Risk Assessment Value - + Operational Security Limitations Controls © by Dreamlab Technologies AG 2011 33
- 34. 35 OSSTMM: Risk Assessment Value - + Operational Security Limitations Controls Visibility Vulnerability Verschlüsselung Confidentiality Access Weakness Alarming Trust Anomaly Authentication Exposure Monitoring Concern ... © by Dreamlab Technologies AG 2011 34
- 35. 36 © by Dreamlab Technologies AG 2011 35
- 36. 37 Der Fehler... © by Dreamlab Technologies AG 2011 36
- 37. 38 30. März 2011 Basel: Diamanten für Millionen geraubt An der Uhren- und Schmuckmesse „Baselworld“ haben Unbekannte vier Diamanten mit Millionenwert gestohlen. Trotz sofort verriegelter Halle gelang es den Tätern zu entkommen. Drei Unbekannte hätten die Angestellten eines Diamantenhändlers abgelenkt, sagte ein Sprecher der Staatsanwaltschaft. Derweil stahlen weitere Unbekannte die vier Diamanten aus einer Vitrine. Quelle: Tamedia. © by Dreamlab Technologies AG 2011 37
- 38. Wie man eindringt. (Beispiele) 38 38
- 39. 40 Beispiele für systematisches Vorgehen Treiber-Attacke Anatomie eines Webangriffes Aktuelle Ereignisse © by Dreamlab Technologies AG 2011 39
- 40. 41 Oktober 2009 Tausende Login-Daten bei Hotmail geklaut Phishing: Täter veröffentlichen Passwörter von etwa 10'000 E-Mail-Konten im Internet. Auch Konten von Google's Gmail sollen betroffen sein. Quelle: http://www.abendblatt.de/ratgeber/multimedia/article1216906/Tausende-Login-Daten-bei-Hotmail-geklaut.html © by Dreamlab Technologies AG 2011 40
- 41. 42 Aug. 2010 iPhone und iPad mit Sicherheitslücke Dass man das iPhone, iPad und iPod Touch einfach per Webseitenbesuch hacken kann, ist für manche User praktisch, doch sicherheitstechnisch sehr bedenklich. Das Öffnen eines PDFs genügt, um die Kontrolle über das System zu verlieren. Quelle: Computerworld.de; http://www.f-secure.com/weblog/archives/00002003.html © by Dreamlab Technologies AG 2011 41
- 42. 43 April 2011 FBI gelingt massiver Schlag gegen Coreflood- Botnetz Der US-Polizeibehörde FBI ist ein massiver Schlag gegen Online-Kriminelle gelungen. Ein durch den Computervirus Coreflood aufgebautes Botnetz, in dem fast zweieinhalb Millionen Computer eingebunden waren, konnte abgeschaltet werden. Mit dem Botnetz sollen vermutlich aus Russland stammenden Cybergangster bis zu 100 Millionen US-Dollar erbeutet haben. http://computer.t-online.de/coreflood-fbi-legt-gefaehrliches-mega-botnetz-lahm/id_45751270/index © by Dreamlab Technologies AG 2011 42
- 43. 44 HB Gary's Firmen-E-Mails gehackt und publiziert Quelle: http://search.hbgary.anonleaks.ch/ © by Dreamlab Technologies AG 2011 43
- 44. Wie man das Risiko managt. 44 44
- 45. 46 Risk Assessment Value (RAV) Ist ein Prozentwert, basierend auf verschiedenen Einflussgrössen: Operative Sicherheit Verwundbarkeit Schutzmassnahmen Er basiert auf technisch schlüssigen, verifizierbaren Fakten. Risiko-Management kann damit objektiv unterstützt werden. © by Dreamlab Technologies AG 2011 45
- 46. 47 Risk Management Probability * Impact = Rx © by Dreamlab Technologies AG 2011 46
- 47. 48 Risk Management & RAV probability * impact = Rx RAV Critical application RAVx CMS RAVx DHCP / DNS RAVx ... RAVx © by Dreamlab Technologies AG 2011 47
- 48. 49 Risk Map probability Rx Rx Rx Rx Rx Med High Low Med Rx Rx Rx Rx Rx Rx impact CHF © by Dreamlab Technologies AG 2011 48
- 49. 50 Return on Investment: Better RAV, lower probability probability RAV = 90 % Rx Target impact CHF Rx = Probability * Impact © by Dreamlab Technologies AG 2011 49
- 50. 51 Return on Investment: Lower probability, lower risk. probability RAV = 90 % Rx Target impact CHF Rx = Probability * Impact © by Dreamlab Technologies AG 2011 50
- 51. Ziel: Integrales Security-Management © by Dreamlab Technologies AG 2011 51
- 52. Zusammenfassung 52 52
- 53. 54 Vorteile des OSSTMM (1): Sie haben den Zustand Ihrer Systeme im Blick. © by Dreamlab Technologies AG 2011 53
- 54. 55 Vorteile des OSSTMM (2): Sie erhalten zuverlässige und vergleichbare Daten. © by Dreamlab Technologies AG 2011 54
- 55. 56 Vorteile des OSSTMM (3): Grundlage von Compliance Vision Regulatorien & Standards Strategy Operation Implementation Gesetze OSSTMM erfüllt alle Anforderungen von Regulatorien, Standards & Gesetzen zur Überprüfung der Compliance © by Dreamlab Technologies AG 2011 55
- 56. 57 Skalierbare Tests © by Dreamlab Technologies AG 2011 56
- 57. 58 Der Risk Assessment Value Scope Target Findings © by Dreamlab Technologies AG 2011 57
- 58. 59 Messbare Sicherheit Rav = 88 % Rav = 95 % Rav = 70 % Rav = 77 % Rav = 60 % Rav = 96 % Rav = 73,5 % Rav = 86 % © by Dreamlab Technologies AG 2011 58
- 59. Sie bleiben frei und unabhängig. © by Dreamlab Technologies AG 2011 59
- 60. 61 © by Dreamlab Technologies AG 2011 60
- 61. Questions & Answers 61 61