Enviar pesquisa
Carregar
3 robert randall osstmm
•
0 gostou
•
939 visualizações
Digicomp Academy AG
Seguir
Tecnologia
Negócios
Denunciar
Compartilhar
Denunciar
Compartilhar
1 de 61
Baixar agora
Baixar para ler offline
Recomendados
Bernd Fuhlert: Code of conduct zum Datenschutz
Bernd Fuhlert: Code of conduct zum Datenschutz
Bernd Fuhlert
Inspirato - Why Sales & Marketing Alignment Isn't Just a Luxury
Inspirato - Why Sales & Marketing Alignment Isn't Just a Luxury
Full Circle Insights
Club Atletico Boca juniors
Club Atletico Boca juniors
Federico Romero
Auditoria de personal a la empresa yohay
Auditoria de personal a la empresa yohay
Ely Santiago Mendoza
Borga slideshare
Borga slideshare
RafalMalinowski
Fax Presidente FPF - Ferando Gomes
Fax Presidente FPF - Ferando Gomes
Nuno Vieira
Proyecto final
Proyecto final
aloglz
Grupo GCG - Nmano
Grupo GCG - Nmano
NMANO
Recomendados
Bernd Fuhlert: Code of conduct zum Datenschutz
Bernd Fuhlert: Code of conduct zum Datenschutz
Bernd Fuhlert
Inspirato - Why Sales & Marketing Alignment Isn't Just a Luxury
Inspirato - Why Sales & Marketing Alignment Isn't Just a Luxury
Full Circle Insights
Club Atletico Boca juniors
Club Atletico Boca juniors
Federico Romero
Auditoria de personal a la empresa yohay
Auditoria de personal a la empresa yohay
Ely Santiago Mendoza
Borga slideshare
Borga slideshare
RafalMalinowski
Fax Presidente FPF - Ferando Gomes
Fax Presidente FPF - Ferando Gomes
Nuno Vieira
Proyecto final
Proyecto final
aloglz
Grupo GCG - Nmano
Grupo GCG - Nmano
NMANO
Programa de actividades XXII CONGRESO DE LIBREROS MEXICANOS, Mérida, Yucatán
Programa de actividades XXII CONGRESO DE LIBREROS MEXICANOS, Mérida, Yucatán
Congreso de Libreros Mexicanos
One of the first department stores of MANGO brand is going to open in SEC – P...
One of the first department stores of MANGO brand is going to open in SEC – P...
Property Xpress
Energizing People’s Work: Transforming Organizations through Gamification
Energizing People’s Work: Transforming Organizations through Gamification
Hannes Schantl
Chapter 4
Chapter 4
KAMALIYA PANKAJ
Basic gym set up offer by xtr
Basic gym set up offer by xtr
George Goutz
Planta ucisa
Planta ucisa
ragurtol
Univesal Alpha Factory Crafting Portable Excess Return By Investing In Liquid...
Univesal Alpha Factory Crafting Portable Excess Return By Investing In Liquid...
Miroslav_Mitev
Revista 2016 - Historia de la Diablada Bellavista - Diablada Puneña
Revista 2016 - Historia de la Diablada Bellavista - Diablada Puneña
Espectacular Diablada Bellavista
Curriculum vitae english version 1
Curriculum vitae english version 1
Dr. Manuel Concepción
draft revision of 2016 brochures
draft revision of 2016 brochures
Keong Chun Chieh
Negocios internacionales
Negocios internacionales
Francy Stefany Sanchez Hernandez
Práctica con WebGoat: HTTP Splitting, DoS, Ma-licious Execution e Injection F...
Práctica con WebGoat: HTTP Splitting, DoS, Ma-licious Execution e Injection F...
Héctor Garduño Real
Losplanetas planets
Losplanetas planets
Felsy Sepulveda
01. El Libro de Josué
01. El Libro de Josué
José Luis SICRE
House
House
Susana Sousa V
Estrategias transmedia de series en la TV social
Estrategias transmedia de series en la TV social
José Manuel López
esfuerzo y deformacion carga axial
esfuerzo y deformacion carga axial
Victor Salgado
Teoría de evolución postulada por lamarck
Teoría de evolución postulada por lamarck
Caterinne Sanzana Gatica
Iec 15 juin.3
Iec 15 juin.3
bernardwalschaerts
2014.03.10 - Seminar Invitation_Environmental policies and economic performance
2014.03.10 - Seminar Invitation_Environmental policies and economic performance
OECD_NAEC
5 lukas ruf hacking in the cloud
5 lukas ruf hacking in the cloud
Digicomp Academy AG
Mdd Days 2009 Handout
Mdd Days 2009 Handout
Christian Mann
Mais conteúdo relacionado
Destaque
Programa de actividades XXII CONGRESO DE LIBREROS MEXICANOS, Mérida, Yucatán
Programa de actividades XXII CONGRESO DE LIBREROS MEXICANOS, Mérida, Yucatán
Congreso de Libreros Mexicanos
One of the first department stores of MANGO brand is going to open in SEC – P...
One of the first department stores of MANGO brand is going to open in SEC – P...
Property Xpress
Energizing People’s Work: Transforming Organizations through Gamification
Energizing People’s Work: Transforming Organizations through Gamification
Hannes Schantl
Chapter 4
Chapter 4
KAMALIYA PANKAJ
Basic gym set up offer by xtr
Basic gym set up offer by xtr
George Goutz
Planta ucisa
Planta ucisa
ragurtol
Univesal Alpha Factory Crafting Portable Excess Return By Investing In Liquid...
Univesal Alpha Factory Crafting Portable Excess Return By Investing In Liquid...
Miroslav_Mitev
Revista 2016 - Historia de la Diablada Bellavista - Diablada Puneña
Revista 2016 - Historia de la Diablada Bellavista - Diablada Puneña
Espectacular Diablada Bellavista
Curriculum vitae english version 1
Curriculum vitae english version 1
Dr. Manuel Concepción
draft revision of 2016 brochures
draft revision of 2016 brochures
Keong Chun Chieh
Negocios internacionales
Negocios internacionales
Francy Stefany Sanchez Hernandez
Práctica con WebGoat: HTTP Splitting, DoS, Ma-licious Execution e Injection F...
Práctica con WebGoat: HTTP Splitting, DoS, Ma-licious Execution e Injection F...
Héctor Garduño Real
Losplanetas planets
Losplanetas planets
Felsy Sepulveda
01. El Libro de Josué
01. El Libro de Josué
José Luis SICRE
House
House
Susana Sousa V
Estrategias transmedia de series en la TV social
Estrategias transmedia de series en la TV social
José Manuel López
esfuerzo y deformacion carga axial
esfuerzo y deformacion carga axial
Victor Salgado
Teoría de evolución postulada por lamarck
Teoría de evolución postulada por lamarck
Caterinne Sanzana Gatica
Iec 15 juin.3
Iec 15 juin.3
bernardwalschaerts
2014.03.10 - Seminar Invitation_Environmental policies and economic performance
2014.03.10 - Seminar Invitation_Environmental policies and economic performance
OECD_NAEC
Destaque
(20)
Programa de actividades XXII CONGRESO DE LIBREROS MEXICANOS, Mérida, Yucatán
Programa de actividades XXII CONGRESO DE LIBREROS MEXICANOS, Mérida, Yucatán
One of the first department stores of MANGO brand is going to open in SEC – P...
One of the first department stores of MANGO brand is going to open in SEC – P...
Energizing People’s Work: Transforming Organizations through Gamification
Energizing People’s Work: Transforming Organizations through Gamification
Chapter 4
Chapter 4
Basic gym set up offer by xtr
Basic gym set up offer by xtr
Planta ucisa
Planta ucisa
Univesal Alpha Factory Crafting Portable Excess Return By Investing In Liquid...
Univesal Alpha Factory Crafting Portable Excess Return By Investing In Liquid...
Revista 2016 - Historia de la Diablada Bellavista - Diablada Puneña
Revista 2016 - Historia de la Diablada Bellavista - Diablada Puneña
Curriculum vitae english version 1
Curriculum vitae english version 1
draft revision of 2016 brochures
draft revision of 2016 brochures
Negocios internacionales
Negocios internacionales
Práctica con WebGoat: HTTP Splitting, DoS, Ma-licious Execution e Injection F...
Práctica con WebGoat: HTTP Splitting, DoS, Ma-licious Execution e Injection F...
Losplanetas planets
Losplanetas planets
01. El Libro de Josué
01. El Libro de Josué
House
House
Estrategias transmedia de series en la TV social
Estrategias transmedia de series en la TV social
esfuerzo y deformacion carga axial
esfuerzo y deformacion carga axial
Teoría de evolución postulada por lamarck
Teoría de evolución postulada por lamarck
Iec 15 juin.3
Iec 15 juin.3
2014.03.10 - Seminar Invitation_Environmental policies and economic performance
2014.03.10 - Seminar Invitation_Environmental policies and economic performance
Semelhante a 3 robert randall osstmm
5 lukas ruf hacking in the cloud
5 lukas ruf hacking in the cloud
Digicomp Academy AG
Mdd Days 2009 Handout
Mdd Days 2009 Handout
Christian Mann
Owasp mobile top 10
Owasp mobile top 10
Digicomp Academy AG
ESEconf2011 - Schilling Rüdiger: "Generative Konzepte für den Plattform-Zoo -...
ESEconf2011 - Schilling Rüdiger: "Generative Konzepte für den Plattform-Zoo -...
Aberla
IT Transformation mit EMC
IT Transformation mit EMC
Connected-Blog
8 robert schneider application security-audit_in_theorie_und_praxis
8 robert schneider application security-audit_in_theorie_und_praxis
Digicomp Academy AG
Meister Training Professionelle Entwicklung: Alles rund um (mobile) App Entwi...
Meister Training Professionelle Entwicklung: Alles rund um (mobile) App Entwi...
Romano Roth
Client Technologien - Ein Überblick für Usability Professionals
Client Technologien - Ein Überblick für Usability Professionals
Thomas Memmel
Helicopter Mittelstand
Helicopter Mittelstand
Dahamoo GmbH
Zukunftstrends von Informationstechnologie und Cyber-Sicherheit
Zukunftstrends von Informationstechnologie und Cyber-Sicherheit
Fraunhofer Institute for Secure Information Technology
Siemens Enterprise Communications @ CeBIT 2012
Siemens Enterprise Communications @ CeBIT 2012
CeBIT
Sichere Cloud: Sicherheit in Cloud-Computing-Systemen (Umfrage des Fraunhofer...
Sichere Cloud: Sicherheit in Cloud-Computing-Systemen (Umfrage des Fraunhofer...
Sabrina Lamberth-Cocca
Sichere Webanwendungen mit OpenSAMM
Sichere Webanwendungen mit OpenSAMM
OPTIMAbit GmbH
Aras PLM Company Update
Aras PLM Company Update
Aras
Ende zu Ende IT Sicherheitslösungen aus einer Hand
Ende zu Ende IT Sicherheitslösungen aus einer Hand
Dell Technologies
Ameria Company Fact Sheet2 (3)
Ameria Company Fact Sheet2 (3)
Baghira12
Android smartphones und sicherheit
Android smartphones und sicherheit
Digicomp Academy AG
Semelhante a 3 robert randall osstmm
(17)
5 lukas ruf hacking in the cloud
5 lukas ruf hacking in the cloud
Mdd Days 2009 Handout
Mdd Days 2009 Handout
Owasp mobile top 10
Owasp mobile top 10
ESEconf2011 - Schilling Rüdiger: "Generative Konzepte für den Plattform-Zoo -...
ESEconf2011 - Schilling Rüdiger: "Generative Konzepte für den Plattform-Zoo -...
IT Transformation mit EMC
IT Transformation mit EMC
8 robert schneider application security-audit_in_theorie_und_praxis
8 robert schneider application security-audit_in_theorie_und_praxis
Meister Training Professionelle Entwicklung: Alles rund um (mobile) App Entwi...
Meister Training Professionelle Entwicklung: Alles rund um (mobile) App Entwi...
Client Technologien - Ein Überblick für Usability Professionals
Client Technologien - Ein Überblick für Usability Professionals
Helicopter Mittelstand
Helicopter Mittelstand
Zukunftstrends von Informationstechnologie und Cyber-Sicherheit
Zukunftstrends von Informationstechnologie und Cyber-Sicherheit
Siemens Enterprise Communications @ CeBIT 2012
Siemens Enterprise Communications @ CeBIT 2012
Sichere Cloud: Sicherheit in Cloud-Computing-Systemen (Umfrage des Fraunhofer...
Sichere Cloud: Sicherheit in Cloud-Computing-Systemen (Umfrage des Fraunhofer...
Sichere Webanwendungen mit OpenSAMM
Sichere Webanwendungen mit OpenSAMM
Aras PLM Company Update
Aras PLM Company Update
Ende zu Ende IT Sicherheitslösungen aus einer Hand
Ende zu Ende IT Sicherheitslösungen aus einer Hand
Ameria Company Fact Sheet2 (3)
Ameria Company Fact Sheet2 (3)
Android smartphones und sicherheit
Android smartphones und sicherheit
Mais de Digicomp Academy AG
Becoming Agile von Christian Botta – Personal Swiss Vortrag 2019
Becoming Agile von Christian Botta – Personal Swiss Vortrag 2019
Digicomp Academy AG
Swiss IPv6 Council – Case Study - Deployment von IPv6 in einer Container Plat...
Swiss IPv6 Council – Case Study - Deployment von IPv6 in einer Container Plat...
Digicomp Academy AG
Innovation durch kollaboration gennex 2018
Innovation durch kollaboration gennex 2018
Digicomp Academy AG
Roger basler meetup_digitale-geschaeftsmodelle-entwickeln_handout
Roger basler meetup_digitale-geschaeftsmodelle-entwickeln_handout
Digicomp Academy AG
Roger basler meetup_21082018_work-smarter-not-harder_handout
Roger basler meetup_21082018_work-smarter-not-harder_handout
Digicomp Academy AG
Xing expertendialog zu nudge unit x
Xing expertendialog zu nudge unit x
Digicomp Academy AG
Responsive Organisation auf Basis der Holacracy – nur ein Hype oder die Zukunft?
Responsive Organisation auf Basis der Holacracy – nur ein Hype oder die Zukunft?
Digicomp Academy AG
IPv6 Security Talk mit Joe Klein
IPv6 Security Talk mit Joe Klein
Digicomp Academy AG
Agiles Management - Wie geht das?
Agiles Management - Wie geht das?
Digicomp Academy AG
Gewinnen Sie Menschen und Ziele - Referat von Andi Odermatt
Gewinnen Sie Menschen und Ziele - Referat von Andi Odermatt
Digicomp Academy AG
Querdenken mit Kreativitätsmethoden – XING Expertendialog
Querdenken mit Kreativitätsmethoden – XING Expertendialog
Digicomp Academy AG
Xing LearningZ: Digitale Geschäftsmodelle entwickeln
Xing LearningZ: Digitale Geschäftsmodelle entwickeln
Digicomp Academy AG
Swiss IPv6 Council: The Cisco-Journey to an IPv6-only Building
Swiss IPv6 Council: The Cisco-Journey to an IPv6-only Building
Digicomp Academy AG
UX – Schlüssel zum Erfolg im Digital Business
UX – Schlüssel zum Erfolg im Digital Business
Digicomp Academy AG
Minenfeld IPv6
Minenfeld IPv6
Digicomp Academy AG
Was ist design thinking
Was ist design thinking
Digicomp Academy AG
Die IPv6 Journey der ETH Zürich
Die IPv6 Journey der ETH Zürich
Digicomp Academy AG
Xing LearningZ: Die 10 + 1 Trends im (E-)Commerce
Xing LearningZ: Die 10 + 1 Trends im (E-)Commerce
Digicomp Academy AG
Zahlen Battle: klassische werbung vs.online-werbung-somexcloud
Zahlen Battle: klassische werbung vs.online-werbung-somexcloud
Digicomp Academy AG
General data protection regulation-slides
General data protection regulation-slides
Digicomp Academy AG
Mais de Digicomp Academy AG
(20)
Becoming Agile von Christian Botta – Personal Swiss Vortrag 2019
Becoming Agile von Christian Botta – Personal Swiss Vortrag 2019
Swiss IPv6 Council – Case Study - Deployment von IPv6 in einer Container Plat...
Swiss IPv6 Council – Case Study - Deployment von IPv6 in einer Container Plat...
Innovation durch kollaboration gennex 2018
Innovation durch kollaboration gennex 2018
Roger basler meetup_digitale-geschaeftsmodelle-entwickeln_handout
Roger basler meetup_digitale-geschaeftsmodelle-entwickeln_handout
Roger basler meetup_21082018_work-smarter-not-harder_handout
Roger basler meetup_21082018_work-smarter-not-harder_handout
Xing expertendialog zu nudge unit x
Xing expertendialog zu nudge unit x
Responsive Organisation auf Basis der Holacracy – nur ein Hype oder die Zukunft?
Responsive Organisation auf Basis der Holacracy – nur ein Hype oder die Zukunft?
IPv6 Security Talk mit Joe Klein
IPv6 Security Talk mit Joe Klein
Agiles Management - Wie geht das?
Agiles Management - Wie geht das?
Gewinnen Sie Menschen und Ziele - Referat von Andi Odermatt
Gewinnen Sie Menschen und Ziele - Referat von Andi Odermatt
Querdenken mit Kreativitätsmethoden – XING Expertendialog
Querdenken mit Kreativitätsmethoden – XING Expertendialog
Xing LearningZ: Digitale Geschäftsmodelle entwickeln
Xing LearningZ: Digitale Geschäftsmodelle entwickeln
Swiss IPv6 Council: The Cisco-Journey to an IPv6-only Building
Swiss IPv6 Council: The Cisco-Journey to an IPv6-only Building
UX – Schlüssel zum Erfolg im Digital Business
UX – Schlüssel zum Erfolg im Digital Business
Minenfeld IPv6
Minenfeld IPv6
Was ist design thinking
Was ist design thinking
Die IPv6 Journey der ETH Zürich
Die IPv6 Journey der ETH Zürich
Xing LearningZ: Die 10 + 1 Trends im (E-)Commerce
Xing LearningZ: Die 10 + 1 Trends im (E-)Commerce
Zahlen Battle: klassische werbung vs.online-werbung-somexcloud
Zahlen Battle: klassische werbung vs.online-werbung-somexcloud
General data protection regulation-slides
General data protection regulation-slides
3 robert randall osstmm
1.
Today. Tomorrow. Secure. Dreamlab
Technologies AG Security Testing & Vulnerability Landscape Switzerland 1 1
2.
2 Referent Robert Randall OSSTMM Instruktor,
Produkt Manager, Projekt Manager Dreamlab Technologies AG Dipl. Ing. FH IT Security, OPSA, OPST 15 Jahre zwischen Technik und Business und immer mit Sicherheit Email: robert.randall@dreamlab.net Phone: +41313986666 © by Dreamlab Technologies AG 2011 2
3.
3 Dreamlab Technologies AG Dreamlab
Technologies arbeitet seit fast 15 Jahren erfolgreich in der Sicherheitsindustrie. Standorte in: Berne (Headquarter) Zürich Lyon (F) Chile / LATAM © by Dreamlab Technologies AG 2011 3
4.
4 Dreamlab Technologies AG Consulting
Audit Open standards Security Consulting Security Testing Security Operations Security Operational excellence Bringing together research and industry Solutions Education / Operation © by Dreamlab Technologies AG 2011 4
5.
5 Agenda Sicherheitstests, wozu?
Wie man Diamanten raubt. Wie man Sicherheit misst. Wie man eindringt. Wie man das Risiko managt. Zusammenfassung Diskussion © by Dreamlab Technologies AG 2011 5
6.
Sicherheitstests, wozu?
6 6
7.
7 Etwas schützen.
© by Dreamlab Technologies AG 2011 7
8.
8 Funktioniert mein Sicherheitsmechanismus?
© by Dreamlab Technologies AG 2011 8
9.
9 Etwas schützen. Der Wert,
der geschützt werden sollte: Information. © by Dreamlab Technologies AG 2011 9
10.
10 Schutzziele Vertraulichkeit
Nachvollziehbarkeit Integrität Verfügbarkeit © by Dreamlab Technologies AG 2011 10
11.
11 Geräte, die einfach
funktionieren sollten. © by Dreamlab Technologies AG 2011 11
12.
12 Geräte, die einfach
funktionieren sollten. Wie der Sydney Morning Herald berichtet, ermittelte eine Studie, dass mehr als 100'000 Patienten einen Herzschrittmacher im Körper haben, der via WLAN gehackt werden kann. © by Dreamlab Technologies AG 2011 12
13.
13 Pleiten, Pech und
Pannen. © by Dreamlab Technologies AG 2011 13
14.
14 No comment!
© by Dreamlab Technologies AG 2011 14
15.
Wie man Diamanten
raubt. 15 15
16.
16 Was im Film
funktioniert, klappt auch in der Realität... © by Dreamlab Technologies AG 2011 Quelle: Wired 14.04 16
17.
17 ... die Folge.
© by Dreamlab Technologies AG 2011 Quelle: Wired 14.04 17
18.
Wie man Sicherheit
misst. 18 18
19.
OSSTMM
19 Das Methodenhandbuch für Sicherheitstests Standardisiert Sicherheitstests, macht sie objektiv überprüfbar und leicht reproduzierbar. Ist offen zugänglich (www.osstmm.org), von Herstellern und Technologien unabhängig. Setzt auf die Kreativität der Tester und auf Wissen statt Automatismen. Wurde von der ISECOM entwickelt. © by Dreamlab Technologies AG 2011 19
20.
20 Ein OSSTMM-Sicherheitstest ist
Eine qualifizierte Untersuchung Eine Messung von • Konfiguration, • Best Practice, • Belastbarkeit (rechtlichen Aspekten), • Prozesssicherheit, • Limitationen & Kontrollen. Quantitativ + Qualitativ © by Dreamlab Technologies AG 2011 20
21.
OSSTMM
22 Strukturierte Tests Channels Findings COMSEC SPECSEC Target PHYSEC Vektor Scope © by Dreamlab Technologies AG 2011 21
22.
OSSTMM
23 Wirtschaftlicher Nutzen • Erfolgsfaktor Sicherheit: Return on Investment • Managementkompatibel: Key Performance Index (KPI) • Reproduzierbare Resultate: Risk Assesment Value (RAV) © by Dreamlab Technologies AG 2011 22
23.
OSSTMM
24 Technischer Nutzen • Sicherheit wird messbar. • Maximale Testqualität. • Unabhängigkeit und Kreativität. © by Dreamlab Technologies AG 2011 23
24.
Zurück zum Diamantenraub.
24 24
25.
26 Systematisches Vorgehen Zielsystem
definieren (Scope). Einflussfaktoren definieren (Scope). Angriffswinkel definieren (Vektor). Angriffsmethode wählen (Channel). © by Dreamlab Technologies AG 2011 25
26.
27 Zugang zum Gebäude
verschaffen © by Dreamlab Technologies AG 2011 26
27.
28 Operative Sicherheit Sichtbarkeit
Zugang Vertrauensstellung Limitationen Kontrollen Prozesse © by Dreamlab Technologies AG 2011 27
28.
29 Kontrollen → Limitationen
© by Dreamlab Technologies AG 2011 28
29.
30 © by Dreamlab
Technologies AG 2011 29
30.
31 Im Vorraum zum
Tresor © by Dreamlab Technologies AG 2011 30
31.
32 © by Dreamlab
Technologies AG 2011 31
32.
33 Diamantenraub Gründliches und
methodisches Vorgehen Einbruch ist ein Handwerk © by Dreamlab Technologies AG 2011 32
33.
34 OSSTMM: Risk Assessment
Value - + Operational Security Limitations Controls © by Dreamlab Technologies AG 2011 33
34.
35 OSSTMM: Risk Assessment
Value - + Operational Security Limitations Controls Visibility Vulnerability Verschlüsselung Confidentiality Access Weakness Alarming Trust Anomaly Authentication Exposure Monitoring Concern ... © by Dreamlab Technologies AG 2011 34
35.
36 © by Dreamlab
Technologies AG 2011 35
36.
37 Der Fehler...
© by Dreamlab Technologies AG 2011 36
37.
38 30. März 2011 Basel:
Diamanten für Millionen geraubt An der Uhren- und Schmuckmesse „Baselworld“ haben Unbekannte vier Diamanten mit Millionenwert gestohlen. Trotz sofort verriegelter Halle gelang es den Tätern zu entkommen. Drei Unbekannte hätten die Angestellten eines Diamantenhändlers abgelenkt, sagte ein Sprecher der Staatsanwaltschaft. Derweil stahlen weitere Unbekannte die vier Diamanten aus einer Vitrine. Quelle: Tamedia. © by Dreamlab Technologies AG 2011 37
38.
Wie man eindringt.
(Beispiele) 38 38
39.
40 Beispiele für systematisches
Vorgehen Treiber-Attacke Anatomie eines Webangriffes Aktuelle Ereignisse © by Dreamlab Technologies AG 2011 39
40.
41 Oktober 2009 Tausende Login-Daten
bei Hotmail geklaut Phishing: Täter veröffentlichen Passwörter von etwa 10'000 E-Mail-Konten im Internet. Auch Konten von Google's Gmail sollen betroffen sein. Quelle: http://www.abendblatt.de/ratgeber/multimedia/article1216906/Tausende-Login-Daten-bei-Hotmail-geklaut.html © by Dreamlab Technologies AG 2011 40
41.
42 Aug. 2010 iPhone und
iPad mit Sicherheitslücke Dass man das iPhone, iPad und iPod Touch einfach per Webseitenbesuch hacken kann, ist für manche User praktisch, doch sicherheitstechnisch sehr bedenklich. Das Öffnen eines PDFs genügt, um die Kontrolle über das System zu verlieren. Quelle: Computerworld.de; http://www.f-secure.com/weblog/archives/00002003.html © by Dreamlab Technologies AG 2011 41
42.
43 April 2011 FBI gelingt
massiver Schlag gegen Coreflood- Botnetz Der US-Polizeibehörde FBI ist ein massiver Schlag gegen Online-Kriminelle gelungen. Ein durch den Computervirus Coreflood aufgebautes Botnetz, in dem fast zweieinhalb Millionen Computer eingebunden waren, konnte abgeschaltet werden. Mit dem Botnetz sollen vermutlich aus Russland stammenden Cybergangster bis zu 100 Millionen US-Dollar erbeutet haben. http://computer.t-online.de/coreflood-fbi-legt-gefaehrliches-mega-botnetz-lahm/id_45751270/index © by Dreamlab Technologies AG 2011 42
43.
44 HB Gary's Firmen-E-Mails
gehackt und publiziert Quelle: http://search.hbgary.anonleaks.ch/ © by Dreamlab Technologies AG 2011 43
44.
Wie man das
Risiko managt. 44 44
45.
46 Risk Assessment Value
(RAV) Ist ein Prozentwert, basierend auf verschiedenen Einflussgrössen: Operative Sicherheit Verwundbarkeit Schutzmassnahmen Er basiert auf technisch schlüssigen, verifizierbaren Fakten. Risiko-Management kann damit objektiv unterstützt werden. © by Dreamlab Technologies AG 2011 45
46.
47 Risk Management
Probability * Impact = Rx © by Dreamlab Technologies AG 2011 46
47.
48 Risk Management &
RAV probability * impact = Rx RAV Critical application RAVx CMS RAVx DHCP / DNS RAVx ... RAVx © by Dreamlab Technologies AG 2011 47
48.
49 Risk Map
probability Rx Rx Rx Rx Rx Med High Low Med Rx Rx Rx Rx Rx Rx impact CHF © by Dreamlab Technologies AG 2011 48
49.
50 Return on Investment: Better
RAV, lower probability probability RAV = 90 % Rx Target impact CHF Rx = Probability * Impact © by Dreamlab Technologies AG 2011 49
50.
51 Return on Investment: Lower
probability, lower risk. probability RAV = 90 % Rx Target impact CHF Rx = Probability * Impact © by Dreamlab Technologies AG 2011 50
51.
Ziel: Integrales Security-Management
© by Dreamlab Technologies AG 2011 51
52.
Zusammenfassung
52 52
53.
54 Vorteile des OSSTMM
(1): Sie haben den Zustand Ihrer Systeme im Blick. © by Dreamlab Technologies AG 2011 53
54.
55 Vorteile des OSSTMM
(2): Sie erhalten zuverlässige und vergleichbare Daten. © by Dreamlab Technologies AG 2011 54
55.
56 Vorteile des OSSTMM
(3): Grundlage von Compliance Vision Regulatorien & Standards Strategy Operation Implementation Gesetze OSSTMM erfüllt alle Anforderungen von Regulatorien, Standards & Gesetzen zur Überprüfung der Compliance © by Dreamlab Technologies AG 2011 55
56.
57 Skalierbare Tests
© by Dreamlab Technologies AG 2011 56
57.
58 Der Risk Assessment
Value Scope Target Findings © by Dreamlab Technologies AG 2011 57
58.
59 Messbare Sicherheit
Rav = 88 % Rav = 95 % Rav = 70 % Rav = 77 % Rav = 60 % Rav = 96 % Rav = 73,5 % Rav = 86 % © by Dreamlab Technologies AG 2011 58
59.
Sie bleiben frei
und unabhängig. © by Dreamlab Technologies AG 2011 59
60.
61 © by Dreamlab
Technologies AG 2011 60
61.
Questions & Answers
61 61
Baixar agora