Vulnerability Management

Größe: px

Ab Seite anzeigen:

Download "Vulnerability Management"

Ute Krämer
vor 8 Jahren
Abrufe

1 Quelle. fotolia Vulnerability Management The early bird catches the worm Dipl.-Ing. Lukas Memelauer, BSc calpana business consulting gmbh Blumauerstraße 43, 4020 Linz 1

2 Agenda Was ist Vulnerability Management? Warum Vulnerability Management? Vulnerability Management Prozess CRISAM Vorgehensmodell CRISAM Vulnerability Knowledge Pack Live-Demo (Tool, Reporting) 2

3 Was ist Vulnerability Management? Vulnerability management is the process surrounding vulnerability scanning, which leads to correcting the vulnerabilities and removing or accepting associated risks. Quelle: SANS 3

vulnerability scanning, which leads to correcting the

4 Warum Vulnerability Management? By failing to prepare, you are preparing to fail. - Benjamin Franklin Zunahme an Cyber-Crime und damit verbundenen Risiken Aktueller Überblick über Schwachstellen und damit verbundener Risiken Verhindern, dass Angreifer Zugang zum eigenen Netz bekommen und Informationen stehlen können Vulnerability Management/Scanning zur Erkennung und Korrektur von neuen Schwachstellen Quelle: heise.de/security, Quelle: heise.de/security,

damit verbundener Risiken Verhindern, dass Angreifer Zugang zum eigenen Netz bekommen und Informationen stehlen können

Der Vulnerability Management Prozess Vorbereitung Ziele und Scope definieren, Betroffene informieren, Planen der Scans Vulnerability Scan Überwachung der gescannten Systeme, Ergebnisse überprüfen

5 Der Vulnerability Management Prozess Vorbereitung Ziele und Scope definieren, Betroffene informieren, Planen der Scans Vulnerability Scan Überwachung der gescannten Systeme, Ergebnisse überprüfen Korrigierende Maßnahmen definieren Analyse der gefundenen Schwachstellen, Maßnahmen planen, Risiken akzeptieren Korrigierende Maßnahmen umsetzen Implementierung der geplanten Maßnahmen, Finden von Alternativen Re-Scan Scan durchführen, Ergebnisse analysieren, Überprüfen der implementierten Maßnahmen (Korrigierende Maßnahmen umsetzen) 5

Schwachstellen, Maßnahmen planen, Risiken akzeptieren Korrigierende Maßnahmen umsetzen Implementierung der geplanten Maßnahmen,

6 CRISAM Vorgehens- und Prozessmodell Strukturiertes Vorgehens- und Prozessmodell deckt alle Anforderungen des IT- Risikomanagements ab (ISO konform) Inputs Outputs 1 Unternehmensstrategie, allg. Rahmenbedingungen FESTLEGEN DER RAHMENBEDINGUNGEN Risikopolitik/ -strategie, Zielvorgabe, Rahmenbedingungen für das Risikomanagement 2 Risikopolitik / -strategie Zielvorgabe, Rahmenbedingungen Unternehmensdaten ANALYSE DES UMFELDS (BUSINESS IMPACT) Business Impact im betrachteten Scope 3 Risikostrategie, Risikomodelle, Risikoinventar, Risikogrenzen RISIKOANALYSE Risikowert, Risikokennzahlen Risikodeckungsbedarf 4 5 Risikopolitik/ -strategie, Risikowert, Risikodeckungsbedarf Risiko IST-Wert, Eigenkapitaleinsatz geplant RISIKOSTEUERUNG MASSNAHMEN- PLANUNG KOSTEN-NUTZEN ANALYSE SOLL-IST Abweichung Maßnahmenplan Maßnahmen-Priorisierung, Risikokosten, Eigenkapitaleinsatz erforderlich 6 Maßnahmenplan, Budget, Ressourcen, Termine IMPLEMENTIERUNG Implementierungsprojekte, Projektpläne, Prüfschritte für Maßnahmenverfolgung (CRISAM... Corporate Risk Application Method) 6

Unternehmensdaten ANALYSE DES UMFELDS (BUSINESS IMPACT) Business Impact im betrachteten Scope 3 Risikostrategie, Risikomodelle, Risikoinventar, Risikogrenzen RISIKOANALYSE Risikowert,

wirkt auf -> IT-Risiko im Unternehmensverbund Typischerweise sind Schäden, die in den Geschäftsprozessen aufgrund der IT entstehen, wesentlich höher als jene, die direkt in der IT entstehen IT wird

7 wirkt auf -> IT-Risiko im Unternehmensverbund Typischerweise sind Schäden, die in den Geschäftsprozessen aufgrund der IT entstehen, wesentlich höher als jene, die direkt in der IT entstehen IT wird als Risikoobjekt betrachtet, welches potentiell Schaden in den Geschäftsprozessen verursachen kann Unternehmen Unternehmen Vertrieb Human Ressource Finanz und Controlling Zentrale Services Produktion Organisation Prozesse / Bereiche Markt Lieferant Rechtssprechung Personalmarkt Informations -technologie Rohstoff- u. Energiepreis Finanzierung s-kosten Risikoobjekte operational, finanz., strategisch 7

Unternehmen Unternehmen Vertrieb Human Ressource Finanz und Controlling Zentrale Services Produktion Organisation Prozesse / Bereiche Markt Lieferant

8 Prozessmodell des Unternehmens Verfügbarkeit Integrität Vertraulichkeit Wie funktioniert CRISAM bzw. was sind Kataloge? Kataloge sind gebündeltes Fachwissen Kataloge enthalten Bausteine Fragen Gewichtungen Bewertungsleitfäden Mapping zu Kriterien Mapping zu Quellen 8

Kataloge sind gebündeltes Fachwissen Kataloge enthalten Bausteine

9 CRISAM Vulnerability Knowledge Pack Ziele und Status Ziel Organisatorische Mängel im Vorhinein verhindern Verbessern der Systeme und Applikationen vor dem Test Qualität des Penetration Tests sicherstellen und erhöhen Befindet sich im Moment in Überarbeitung Entwicklung gemeinsam mit einem Partner aus dem Bereich Penetration-Testing Veröffentlichung Anfang

Penetration Tests sicherstellen und erhöhen Befindet sich im Moment in Überarbeitung

10 CRISAM Vulnerability Knowledge Pack Quellen Institute for Security and Open Methodologies (ISECOM) Common bzw. Best Practice für Vorbereitung und Durchführung von Pen- Tests A methodology to test the operational security of physical locations, human interactions, and all forms communications such as wireless, wired, analog, and digital. 10

Best Practice für Vorbereitung und Durchführung von Pen- Tests A methodology to test

11 CRISAM Vulnerability Knowledge Pack Weitere Quellen Zusätzlich zu OSSTMM v3 Organisatorische Aspekte Secure Software Development Webserver Security Organisatorische Aspekte Basierend auf einer Studie des BSI Secure Software Development Basierend auf OWASP Secure Coding Practices Quick Reference Guide Webserver Security CRISAM RV ÖNORM A7700 Pack 11

Organisatorische Aspekte Basierend auf einer Studie des BSI Secure Software Development

12 CRISAM Vulnerability Knowledge Pack Aufbau und Gliederung Modularer Aufbau um auf die unterschiedlichen Zielsetzungen von Penetration Tests und der Entwicklung von Applikationen eingehen zu können Zusätzliche Bausteine Organisatorische Aspekte Zusätzliche Bausteine für z.b. Datenbank Windows-Server etc. Secure Software Development Input Validation File Management Database Security etc. 12

eingehen zu können Zusätzliche Bausteine Organisatorische Aspekte Zusätzliche Bausteine für z.b.

13 Reporting Stufe 4: Compliance Report für Vulnerability Management CRISAM Vulnerability Management Compliance Report Organisatorische Aspekte Penetration Test Secure Software Development 13

14 Live Demo - Beispielszenario A Dieses Beispiel setzt auf dem CRISAM Musterprojekt auf. Die Abteilung Finanzen und Controlling delegiert einen Pen-Test an einen unabhängigen Drittanbieter. Im Scope befindet sich die das gesamte Service inklusive der zugrundeliegenden Infrastruktur. Weiters soll das gesamte Unternehmensnetzwerk näher beleuchtet werden. Ziel ist es, sich auf den bevorstehenden Pen-Test vorzubereiten um die künftigen Ergebnisse zu verbessern Die folgenden CRISAM Bausteine werden für die Modellierung benötigt: Pen-Test Documents (Pen-Test Organizational) Pen-Test Exchange (Pen-Test Application) Pen-Test Node101, Pen-Test Node102 (Pen-Test Server) Pen-Test Network (Pen-Test Network) 14

Im Scope befindet sich die das gesamte E-Mail Service inklusive der zugrundeliegenden Infrastruktur. Weiters soll das gesamte Unternehmensnetzwerk näher beleuchtet werden.

15 Live Demo - Beispielszenario B Dieses Beispiel setzt auf dem CRISAM Musterprojekt auf. Die Abteilung Forschung und Entwicklung entwickelt ein internes Tool und wird vom Management dazu verpflichtet, sicherheitsrelevante Aspekte bei der Entwicklung zu berücksichtigen. Die folgenden Aspekte sind relevant: Input Validation, Output Encoding, Access Control, Memory Management Die Entwicklung will sich auf die Überprüfung der sicheren Softwareentwicklung vorbereiten. Die folgenden Bausteine werden für die Modellierung benötigt: Secure Tool (Individual Development) Input Validation (SSD Input Validation) Output Encoding (SSD Output Encoding) Access Control (SSD Access Control) Memory Management (SSD Memory Management) 15

Die folgenden Aspekte sind relevant: Input Validation, Output Encoding, Access Control, Memory Management Die Entwicklung will sich auf die Überprüfung der sicheren

16 Key Findings 1. Verstehen der Notwendigkeit und des Aufbaus des Vulnerability Management Prozesses 2. Vorbereitung auf Pen-Tests unter Zuhilfenahme des CRISAM Risikomanagement-Frameworks sparen Sie sich das böse Erwachen! Vielen Dank für Ihre Aufmerksamkeit! einfach präzise wertorientiert nachvollziehbar calpana business consulting gmbh A-4020 Linz, Blumauerstraße 43 Tel: +43 (732) Copyright

Ähnliche Dokumente

BCM Business Continuity Management

BCM Business Continuity Management Dipl. Ing. Dr.Dr. Manfred Stallinger, MBA manfred.stallinger@calpana.com calpana business consulting gmbh IT-Risikomanagement Unsicherheit der Zukunft heute managen 1.