IT-Sicherheit in Unternehmen - owasp
IT-Sicherheit in Unternehmen - owasp
IT-Sicherheit in Unternehmen - owasp
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
<strong>IT</strong>-<strong>Sicherheit</strong> <strong>in</strong> <strong>Unternehmen</strong>:<br />
Typische Probleme und<br />
Lösungsmöglichkeiten<br />
Amir Alsbih<br />
OWASP<br />
17.11.2011<br />
http://www.x<strong>in</strong>g.com/profile/Amir_Alsbih<br />
http://de.l<strong>in</strong>ked<strong>in</strong>.com/pub/amiralsbih/1a/19a/b57<br />
Copyright © The OWASP Foundation<br />
Permission is granted to copy, distribute and/or modify this document<br />
under the terms of the OWASP License.<br />
The OWASP Foundation<br />
http://www.<strong>owasp</strong>.org
INFORMATION SECUR<strong>IT</strong>Y<br />
UND DAS BUSINESS<br />
OWASP
Firewalls s<strong>in</strong>d nur e<strong>in</strong> Teil der Lösung<br />
OWASP
Applikationssicherheit vs. Features<br />
* Deadl<strong>in</strong>es der Projekte<br />
* Implementierungsfortschritt vs. Compliance<br />
* <strong>Sicherheit</strong> ist e<strong>in</strong>e nicht funktionale Anforderung<br />
* Unterschiedlichstes Know How der Entwickler<br />
* Integration der Lösung <strong>in</strong> e<strong>in</strong>e (komplexe) Umgebung<br />
Wer Entscheidet und wer zahlt?<br />
OWASP
Kunden erwarten mehr <strong>Sicherheit</strong><br />
* 68% der befragten <strong>Unternehmen</strong> wurden gebeten<br />
ihren Umsetzungsstand h<strong>in</strong>sichtlich<br />
<strong>Sicherheit</strong>sstandards offenzulegen.<br />
* 61 % der befragten <strong>Unternehmen</strong>, entdeckten<br />
erhebliche Bemühungen <strong>in</strong> deren Netzwerke<br />
e<strong>in</strong>zudr<strong>in</strong>gen.<br />
Quelle: Information Security Breaches Survey 2010<br />
Pricewaterhouse Coopers<br />
OWASP
Aussagen zum Thema <strong>Sicherheit</strong><br />
*„[…] wir haben Firewalls […]“<br />
*„[…] wir verwenden SSL […]“<br />
*„[…] unsere Leute s<strong>in</strong>d clever, die machen ke<strong>in</strong>e Fehler<br />
[…]“<br />
*„[…] ich habe e<strong>in</strong>e D&O Versicherung […]“<br />
Die Geschäftsführung haftet, sofern e<strong>in</strong> Schaden<br />
aufgrund nicht e<strong>in</strong>gehaltener Best-Practices<br />
auftritt.<br />
OWASP
TECHNOLOGIE, PROZESSE<br />
UND MENSCHEN<br />
OWASP
Hacken wird immer e<strong>in</strong>facher<br />
Demo<br />
OWASP
Audits, Contracts, Checklists<br />
Absicherung aller Ebenen<br />
Policies, Standards, Guidel<strong>in</strong>es<br />
Application Layer<br />
Infrastrucur Layer<br />
Phyisical Layer<br />
Application<br />
Source Code<br />
Services<br />
Operation Sytem<br />
Infrastructure<br />
Hardware<br />
OWASP
Verfügbare Orientierungshilfen<br />
* Mozilla Secure Cod<strong>in</strong>g Guidel<strong>in</strong>es<br />
* ISO 27001, <strong>IT</strong>-Grundschutz<br />
*Center for Internet Security (CIS)<br />
*OWASP, BSIMM, Microsoft SSDLC<br />
OWASP
Die Basis für <strong>Sicherheit</strong><br />
OWASP
Ausschnitte e<strong>in</strong>es möglichen Wegs<br />
Global<br />
Web-Application<br />
Firewall<br />
Test<strong>in</strong>g and accaptance<br />
Static code<br />
analysis<br />
Web<br />
application<br />
scanner<br />
Vulnerability<br />
scanner<br />
Review<br />
Random (external)<br />
audits<br />
Cont<strong>in</strong>ius scann<strong>in</strong>g<br />
Development<br />
Checklist<br />
Threat<br />
modell<strong>in</strong>g<br />
Cod<strong>in</strong>g<br />
guidel<strong>in</strong>es<br />
Standards &<br />
Frameworks<br />
(Incident) Response<br />
Plan<br />
Infrastructur<br />
Checklist<br />
Harden<strong>in</strong>g<br />
Guide<br />
Vulnerability<br />
Scanner<br />
Compliance<br />
Scanner<br />
OWASP
Kostenfreie Tools ermöglichen e<strong>in</strong>en<br />
Anfang<br />
* OWASP Secure Cod<strong>in</strong>g Practices, Mozilla Secure Cod<strong>in</strong>g<br />
Guidel<strong>in</strong>es<br />
* Open Vulnerability Assessment System (OpenVAS)<br />
* Wikto & Nikto<br />
* W3AF, SkipFish, GrendelScan<br />
* Anti-Cross Site Script<strong>in</strong>g (Anti-XSS) Library, OWASP<br />
AntiSamy, OWASP CSRFGuard<br />
* F<strong>in</strong>dBugs, FxCop, Code Analysis for C/C++<br />
* ModSecurity<br />
OWASP
<strong>Sicherheit</strong> muss unabhängig se<strong>in</strong><br />
* Funktionsweise der Informationssicherheit analog zu<br />
e<strong>in</strong>er Internen Revision, Bauaufsicht, TÜV.<br />
* E<strong>in</strong>haltung und Umsetzung der Vorgaben durch die<br />
Geschäftsbereiche.<br />
* RACI Matrix für Projekte.<br />
* Aufnahme e<strong>in</strong>er „Ampel“ für <strong>Sicherheit</strong> <strong>in</strong> den<br />
Projektreports.<br />
OWASP
Die <strong>Sicherheit</strong>ssteuer<br />
* Information Security Budget 6-9% des <strong>IT</strong> Budget<br />
(Source : PWC INFORMATION SECUR<strong>IT</strong>Y BREACHES SURVEY 2010)<br />
* <strong>Sicherheit</strong>ssteuer 3-20% des Projekt Budget.<br />
Das eigene Budget für die globale <strong>Sicherheit</strong>,<br />
die „Steuer“ für die <strong>Sicherheit</strong> der Projekte.<br />
OWASP
An die Externen denken<br />
* Entwicklung, Installation, Betrieb und Wartung?<br />
* E<strong>in</strong>b<strong>in</strong>dung der Infrastruktur <strong>in</strong> das Vulnerability Management?<br />
* Prozesse und Praktiken um <strong>Sicherheit</strong>slücken zu vermeiden?<br />
* Prozesse zu Handhabung und Behebung von <strong>Sicherheit</strong>slücken?<br />
* Information über <strong>Sicherheit</strong>slücken und wie auf diese reagiert wurde?<br />
* Information über die ungekürzten und ungeschwärzten Prüfberichte von Pentrationstests<br />
und <strong>Sicherheit</strong>sreviews?<br />
* Audit Recht auch von beauftragten <strong>Unternehmen</strong>, Kunden oder andere berechtigten<br />
Stellen?<br />
* Untersagung des Zugangs und der Durchführung von Tätigkeiten mit Ausnahme der<br />
notwendigen?<br />
* Pönalen für Mängel?<br />
OWASP
“ Niemand braucht sich auch nur die<br />
ger<strong>in</strong>gsten Sorgen zu machen. Die<br />
wasserdichten Abteilungen der<br />
Titanic können das Schiff für<br />
unbegrenzte Zeit über Wasser<br />
halten.”<br />
~ der Zahlmeister des britischen Passagierschiffs RMS Titanic<br />
OWASP
Change language