Schwachstellen fanden in der ganzen Geschichte immer schon ihre Aufmerksamkeit. Denke man nur einmal an Achilles. Wie sieht es mit dem Trend der IT-Schwachstellen aus? Was ist heute State of the Art bei der Suche nach IT-Schwachstellen und wohin geht die Reise? Nicht bekannte, Zero-Day und unsere Mobilität werden hier sicher ein Thema sein. Referent: Pascal Mittner

1. Der Trend der Schwachstellen
Hacking Day 2013 – Security Lifecycle
Zürich, 16. Mai 2013
17.05.2013 www.first-security.com 1

2. 17.05.2013 www.first-security.com 2
Vergangenheit
Gegenwart
Zukunft
Agenda

3. Vorstellung
17.05.2013 3
Pascal Mittner
Dipl. Ing. FH Telekom, MAS in BA
CEO und Gründer von First Security Technology AG
www.first-security.com

4. Schwachstellen in der
Geschichte
17.05.2013 www.first-security.com 4

5. Herausforderung heute
17.05.2013 www.first-security.com 5

6. Content Vendor Map
17.05.2013 www.first-security.com 6

7. Schwachstellen Trend
17.05.2013 www.first-security.com 7

8. Schwachstellen Trend
17.05.2013 www.first-security.com 8
Quelle: www.osvdb.org

9. Die Beteiligten
17.05.2013 www.first-security.com 9
Die Ausnutzer: Cyberkriminelle, Spione/Armee, Script Kiddies
Die Entdecker: Hacker, Security Experten, Geheimdienste/Militär
Die Verantwortlichen: Hersteller (Hard-/Software
Developer/Architekten), Administratoren, Integratoren etc.
Wen betrifft es?
Unternehmungen/Wirtschaft
Staaten/Politik
Einzel Personen/Private

10. Von der Erkennung bis zur
Behebung
17.05.2013 www.first-security.com 10

11. Bewertung von
Schwachstellen
17.05.2013 www.first-security.com 11
Common Vulnerability Scoring System V2.0
Grundmetriken
Zugriff und Auswirkungen auf Vertraulichkeit, Verfügbarkeit und
Integrität
Zeitmetriken
Ausnutzbarkeit, Lösung, Status des Berichts
Umgebungsmetriken
Schadenspotential, Anforderungen an Vertraulichkeit,
Verfügbarkeit und Integrität

12. Schwachstellen erkennen
17.05.2013 www.first-security.com 12
Security Scanner (Datenbank/Feed von bekannten
Schwachstellen)
Fuzzing (Nicht bekannte Schwachstellen erkennen)
Traffic Analyzing
Log Analyzing
Code Review/Auditing

13. 17.05.2013 www.first-security.com 13
Vergangenheit
Gegenwart
Zukunft
Agenda

14. Die Zukunft
17.05.2013 www.first-security.com 14
Was kann den Trend von IT-Schwachstellen beeinflussen?
Soziale Struktur
Politische Situation
Komplexität, Vernetzung und Erweiterbarkeit

15. Die Zukunft
17.05.2013 www.first-security.com 15
Mobile Devices: In Zukunft gibt es ein Gerät, das alles kann
Internet der Dinge: Alles kommuniziert miteinander und besitzt
eine gewisse Intelligenz. Z.B. SmartGrid, Health Tech, Kleidung etc.
Data Mining
Wird es lukrativ als Programmierer Schwachstellen einzubauen
und diese als Zero-Day an Staaten oder Cyberkriminelle zu
verkaufen?

16. Die Zukunft
17.05.2013 www.first-security.com 16
Neue Arten von Schwachstellen?
Verlagerung zu neuen Technologien (IPv6, HTML5, neue
Betriebssysteme etc.
Wie ist die Vorgehensweisen für die Entdeckung und Ausnutzung
von Schwachstellen?
Verbessertes Fuzzing
Intelligentere Scanner
Komplexere und kombinierte Angriffsszenarien
Ist dies besser oder schlechter?

17. First Security Technology AG
Bahnhofstrasse 7
CH-7000 Chur
17.05.2013 17www.first-security.com
Phone: +41 (0)81 250 44 44
Fax: +41 (0)81 250 43 48
info@first-security.com

18. Besten Dank für Ihre Aufmerksamkeit.
„Swiss Made Award Winning Vulnerability Management“
17.05.2013 www.first-security.com 18