controlware 3650 cyber security maturity assessment) · analytics incident response / cert-services...
TRANSCRIPT
© 2019 Controlware GmbH 3
Christoph Schmidt
Competence Center Security
Kassel, Juni 2019
Controlware 3650 Cyber Security Maturity Assessment„Wir können den Wind nicht ändern, aber die Segel anders setzen“
Eine Reifegradanalyse für „Security Architecture – Best Practices“ auf Basis der ISO 27001
© 2019 Controlware GmbH 6
Cyber Security – Versuch einer Standortbestimmung
*Quelle: Verizon Data Breach Report 2016
92%
aller Security*
Vorfälle können
wie folgt kate-
gorisiert werden
Cyber-
Spionage
Fehler PoS Angriffe
Crimeware Insider
Missbrauch
Skimming Webbasierte
Angriffe
Denial
of service
Diebstahl
Verlust
80%
63%2016
aller Vorfälle
waren finanziell motiviert*
von über 2000
Vorfällen gelangen aufgrund schwacher
oder gestohlener Passwörter*
>22019: Millionen fehlende
Cyber Security Professionals
© 2019 Controlware GmbH 8
Gesetze, Regulierungen, Security Frameworks & Standards
IT-Sig:
„Auf Grund der … Auswirkungen ist bei den technischen
und organisatorischen Vorkehrungen der Stand der
Technik zu berücksichtigen. …“
Stand der Technik
Maßgeblicher Sicherheitsstandard im IT-
Sicherheitsrecht
Keine konkrete einheitliche Definition
Unbestimmter Rechtsbegriff
© 2019 Controlware GmbH 9
Maßgeblicher Sicherheitsstandard im IT-Sicherheitsrecht
Es existiert keine konkrete einheitliche Definition des Begriffs
„Stand der Technik“
Unbestimmter Rechtsbegriff
Vorteil: Keine Anpassung an technische und wissenschaftliche
Entwicklung notwendig
Versuch einer Deutung des Begriffs „Stand der Technik“
Zeit
Wissen
Stand von Wissenschaft und
Technik
Stand der Technik
Anerkannte Regeln der Technik
Anpassung der technischen Regeln an den
jeweils aktuellen Stand der Technik
Best Practices ?
© 2019 Controlware GmbH 13
Die Basis bildet ein Mapping von Kontrollanforderungen auf die
(eingesetzten) technischen Maßnahmen und Schutzziele
Durchführung einer Gap Analyse zur Bewertung der
eingesetzten und fehlenden Schutzmaßnahmen anhand von
Bedrohungsszenarien
Gefährdungslagen
Marktüblichkeit auf der Basis von Best Practices und branchenüblicher
Standards
Grundlagen / Definitionen
Ziel:
Ganzheitliche und umfängliche Ist-Aufnahme und Bewertung einer IT
Security-Infrastruktur anhand der Vorgaben aus den relevanten ISO 2700x
Controls und dem NIST Cybersecurity Frameworks
Bewertung des Reifegrads und Entwicklung eines Maßnahmenplans
© 2019 Controlware GmbH 14
(2) Etablierung eines vierstufigen Ebenenmodells
Security Domains 9
Security Service 26
Security Architekturbaustein ~73
Security Lösung
© 2019 Controlware GmbH 15
Control A.13.1.1 – Netzwerksteuerungsmaßnahmen
Netzwerke werden verwaltet und gesteuert, um Information in Systemen und Anwendungen zu schützen
(1) Basis: Mapping der Architekturbausteine zu den Anforderungen
A.13.1.1*
* Auszug
8.2 Zugriffsmonitoring
4.2 Perimeterschutz
8.1 Netzwerkmonitoring
© 2019 Controlware GmbH 16
(1) Basis: Mapping der Architekturbausteine zu den Anforderungen
A.13.1.1*
NextGen Firewall
IDS/IPS
DOS-Protection
Verschlüsselung - Kommunikation
SSL Interception
Breach Detection
Data Exfiltration Detection
UEBA (User Entity Behaviour Analysis)
CASB (Cloud Access Security Broking)
* Auszug
8.2 Zugriffsmonitoring
4.2 Perimeterschutz
8.1 Netzwerkmonitoring
Control A.13.1.1 – Netzwerksteuerungsmaßnahmen
Netzwerke werden verwaltet und gesteuert, um Information in Systemen und Anwendungen zu schützen
© 2019 Controlware GmbH 17
(3) Definition der zu betrachtenden Security Domains
Physische Sicherheit
Zugangskontrolle System- und
Device-
Management
Netzsicherheit Schutz gegen
Schadsoftware
Kryptografische
MaßnahmenÜberwachung
Betrieb der
Sicherheitsarchitektur
97
5
3
1
8
6
42
Sicherheit
von Daten /
Informationen
© 2019 Controlware GmbH 18
Physische Sicherheit
Zugangskontrolle System- und
Device-
Management
Netzsicherheit Schutz gegen
Schadsoftware
Kryptografische
MaßnahmenÜberwachung
Betrieb der
Sicherheitsarchitektur
Sicherheit
von Daten /
Informationen
(4) Zuordnung der Security Services
Security Domains
Physische Sicherheit
Zugangskontrolle
System- und Device-
Management
Netzsicherheit
Schutz gegen
Schadsoftware
Kryptografische
Maßnahmen
Sicherheit von Daten /
Informationen
Überwachung
Betrieb der
Sicherheitsarchitektur
2
97
5
3
8
6
4
1
9
8
7
6
5
4
3
2
1
© 2019 Controlware GmbH 19
(5) Zuordnung der Security Services
Physische Sicherheit
Zugangskontrolle
System- und Device-
Management
Netzsicherheit
Schutz gegen
Schadsoftware
Kryptografische
Maßnahmen
Sicherheit von Daten /
Informationen
Überwachung
Betrieb der
Sicherheitsarchitektur9
8
7
6
5
4
3
2
1
Governance, Risk- &
Compliance Mgmt.
Security Intelligence &
Analytics
Incident Response /
CERT-Services
Netzwerkmonitoring Zugriffsmonitoring Systemmonitoring
KlassifizierungSchutz von
InformationswertenTransaktionssicherheit Sichere Vernichtung
Verschlüsselung
TransportVerschlüsselung Ablage
Verschlüsselungs-
management
Netzwerkzugang PerimeterschutzSichere
Netzwerkdienste
SystemverwaltungSchwachstellen-
management
Behebung von
Schwachstellen
Benutzer- und
Rollenverwaltung
Account- und
Passwortverwaltung
Schutz privilegierter
Account
Zutrittskontrolle und
Zutrittsüberwachung
Physischer Schutz für
Räume und Systeme
Hostbasierter Schutz vor
Schadcode
Netzwerkbasierter Schutz
vor Schadcode
Security Domains Security Services
© 2019 Controlware GmbH 20
(6) Fertiges Mapping der Security Domains (Beispiel)
Schutz gegen Schadsoftware
5.1.2 Malwareschutz -
File/Folder
5.1.3 Malwareschutz - Server
5.1 Hostbasierter Schutz vor
Schadcode
5.2 Netzwerkbasierter Schutz
vor Schadcode
5
5.1.4 Advanced Endpoint
Protection
5.1.5 Advanced Endpoint
Detection & Response
6.2.1 Mobile device policy
6.2.2 Teleworking
12.2.1 Controls against malware
Protect AC-3
Protect DS-6
Detect CM-4
Response MI-2
ISO - Controls
Mapping in bestehende
Security Management Systeme
Infrastrukturkomponente
Infrastrukturkomponente
Security Solutions
Architektur
5.1.1 Malwareschutz - Client
NIST - Framework
5.1.1 Malwareschutz - Client
© 2019 Controlware GmbH 21
(5) Zuordnung der Security Services
Physische Sicherheit1
Security Domains Security Services / Architekturbausteine
Zugangskontrolle2
Videoüberwachung
Zutrittskontrolle
Physischer Schutz
IAM –
(Starke) Authentifizierung
IAM -
BerechtigungsmanagementIAM - Federation Services
IAM –
BenutzermanagementIAM - Directory Service
IAM - Privileged Account
Management
Zutrittskontrolle und
Zutrittsüberwachung
Physischer Schutz für
Räume und Systeme
Benutzer- und
Rollenverwaltung
Account- und
Passwortverwaltung
Schutz privilegierter
Account
© 2019 Controlware GmbH 23
Der Prozess (vereinfachte Darstellung)
Scopedefinition
Organisation
Unternehmensweit
Auf BU / Fachebene
Domains / Services
1
Aufnahme
IST / SOLL / PLAN
Workshops
Dokumentensichtung
2 Abstimmung mit den involvierten Fachbereichen
Sichtung von bestehenden Richtlinien, Handlungsanweisungen und Fachinformationen
Sichtung von Konzept- und Strategiepapieren
Gemeinsame Abstimmung und Bewertung der gewonnenen Daten
© 2019 Controlware GmbH 24
Der Prozess (vereinfachte Darstellung)
Betrachtung und
Bewertung IST / PLAN
Maßnahmenempfehlung
Reifegradmodell
GAP Analyse
Globale Betrachtung
Dezidierte Vertiefungs-
workshops
3
Betrachtung der Gefährdungslage für die einzelnen
Architekturbausteine bzw. Services
Bewertung der Architekturbausteine / Services anhand Marktüblichkeit
auf der Basis von Best Practices und branchenüblicher Standards
Gemeinsame Bewertung und Empfehlung
Scopedefinition
Organisation
Unternehmensweit
Auf BU / Fachebene
Domains / Services
1
Aufnahme
IST / SOLL / PLAN
Workshops
Dokumentensichtung
2
© 2019 Controlware GmbH 26
Exemplarische Bewertungsfolie
Baustein 2.3.1 - IAM - Privileged Account Management
Regulatorien
ISO 27001:2013 A.6.1.2, A.9.2.1, A.9.2.3-6, A.9.4.1,
A.9.4.3, A.9.4.5, A.12.1.2, A.12.1.4, A.12.4.1-3, A.14.3.1
NIST PR.AC-1/4/6, PR.DS-5/7, PR.IP-1/3, PR.PT-1,
DE.CM-3, DE.DP-4, RS.CO-2/3, RS.AN-1
Reifegrad /
Marktlage
(Missbräuchliche) Nutzung privilegierter Benutzer-konten sind
ein entscheidender Bestandteil für einen erfolgreichen Angriff
Kein zentrales Logging und Accounting sowie (unkontrollierte)
Nutzung von „shared Accounts“
Keine oder erschwerte Kontrolle von Dienstleistern Die Maßnahme ergänzt die bisherige Verwaltung von
Zugriffsrechten (IAM)
Etablierung einer zentralen Logging Schnittstelle zu Log-
Management- / SIEM-Systemen möglich
Erweiterung des Schutzes von administrativen Remote
Zugriffen
Interopera-
bilität
Aufwand
Implemen-
tierung
Hocheffiziente zentrale Verwaltung und Auditierung von hoch
privilegierten Zugriffsrechten und Anwendern
Möglichkeit der Abdeckung von Monitoring Anforderungen für
privilegierte Zugriffe (Intern und Extern)
Erleichtert die zentrale Umsetzung von Passwort- und
Accountrichtlinien
Effektivität /
Nutzen
Gefährdung
Produkte zur Verwaltung privilegierter Accounts sind am
Markt etabliert und in vielen Unternehmen z. B. der
Finanzbranche und im Bereich kritischer Infrastrukturen
eingesetzt
Hohe Implementierungsaufwände bis alle accountführenden
Systeme erkannt und integriert sind
Neue Anforderungs- und Betriebsprozesse für Nutzung und
Verwaltung privilegierter Accounts erforderlich
(Neue) Sicherheitsmaßnahmen zur Absicherung dieser
kritischen neuen Komponente erforderlich
Bewertung Die Einführung eines Privileged Account Managements ist ein
wichtiger Baustein zum Schutz der IT-Infrastruktur innerhalb
der ACME GmbH und sollte umgesetzt werden.
Die vorhandene Authentisierung würde hierbei als solide
Basis für ein etwaiges PAM dienen
Die Verwaltung und Authentisierung erfolgt über
TACACS/Radius/LDAP/AD
Aufgrund der Vorschriften innerhalb der ACME GmbH findet
eine vierteljährliche Account-Revalidierung statt.
Des Weiteren wird dieser Punkt (Einführung eines IAM) auch
bei den regelmäßig stattfinden externen Audits gefordert und
geprüft
Empfehlung
SOLL
51 30
IST (nicht bewertet)
51 30
PLAN
51 30
© 2019 Controlware GmbH 27
Exemplarische Bewertungsfolie
Baustein 5.2.3 - Advanced Malware/Threat Detection
Regulatorien
ISO 27001:2013 A.12.2.1, A.14.1.2-3, A.14.2.7
NIST PR.DS-2/5/6, DE.CM-4/6, RS.MI-2
Reifegrad /
Marktlage
Veränderung im Angriffsverhalten feststellbar: Zielgerichte
und unauffällige Attacken die professionell durchgeführt
werden setzen vermehrt auf hochentwickelte und individuelle
Malware
Keine Schutzmaßnahmen gegen den Einsatz von
unbekanntem Schadcode (Zero Day) vorhanden
Erweiterung der Maßnahmen des bestehenden Schutzes vor
Schadcode
Tiefgehende Schadcode Analyse als Ergänzung zu
signaturbasierenden Verfahren
Einbindung in existierende Log-Management und SIEM
Lösungen möglich
Interopera-
bilität
Aufwand
Implemen-
tierung
Reaktion auf die veränderte Bedrohungslage mit
zielgerichteten Angriffen mit unbekanntem Code
Verbesserung des Schutzpotenzials durch die Ergänzung der
AV-Schutzmaßnahmen
Zentral implementierbare Schutzmaßnahme die vor
Ausnutzung unbekannter Schwachstellen in Systemen und
Applikationen schützt
Effektivität /
Nutzen
Gefährdung
Verfahren ist seit ca. 3 Jahren am Markt und wird von immer
mehr Herstellern angeboten
Maßnahme hat sich etabliert und wird verstärkt im
Industrieumfeld eingesetzt
Kann als Inline oder Passiv Monitoring Variante am
Internetübergang eingesetzt werden
Keine Veränderung von Adresskonzepten, etc. notwendig
Bewertung Gängige und wichtige Schutzmaßnahme zur Abwendung
neuer Schadcodebedrohungen und dem Erkennen
zielgerichteter Angriffe
Maßnahme reagiert auf die neue Bedrohungslage und sollte
umgesetzt werden
Die Internet und E-Mailübergänge innerhalb der ACME GmbH
sollte um eine APT Lösung ergänzt werden.
Aktuell wird kommt diese Technologie innerhalb der ACME
GmbH nicht zum Einsatz, weder für den Web noch für den E-
Mail Bereich.
Empfehlung
SOLL
51 30
IST (nicht bewertet)
51 30
PLAN
51 30
© 2019 Controlware GmbH 30
Die Basis bildet ein 5-stufiges Reifegradmodell
Grundlage: ISO/IEC 21827 System Security Engineering Capability Maturity Model (SSE-CMM)
Das Reifegradmodell (1)
Wiederholbar
Initial / Ad-Hoc
Optimiert
(PDCA)
Definiert
Gemanaged /
Messbar
0
2
1
3
4
5
© 2019 Controlware GmbH 31
Bessere Anwendbarkeit im Rahmen von Workshops
Für praxisnahe Bewertung der Umsetzung von
getroffenen Maßnahmen ausreichend
Im Bedarfsfall auf 5 Stufen erweiterbar
Entscheidung für ein dreistufiges Reifegrad / Maturity Modell
Das Reifegradmodell (1)
Wiederholbar
Initial / Ad-Hoc
Optimiert
(PDCA)
Definiert
Gemanaged /
Messbar
0
2
1
3
4
5
© 2019 Controlware GmbH 32
Fokussierung auf die Security Domains
Das Reifegradmodell in der Anwendung (1)
Physische Sicherheit
Zugangskontrolle
System- und
Device-Management
Netzsicherheit
Schutz gegen
SchadsoftwareKryptografische
Maßnahmen
Sicherheit von
Informationen
Überwachung
Betrieb der
Sicherheitsarchitektur
1
2
3
4
56
7
8
9
1
3
5
Aktueller Reifegrad (IST)
Due Diligence (SOLL) /
Akzeptierter Stand der Technik
Zielvorgabe für FY+1 (PLAN)
© 2019 Controlware GmbH 33
59.1 GRC Mgmt.
9.2 Security Intelligence & Analytics
9.3 Incident Response / CERT-Services
8.1 Netzwerkmonitoring
8.2 Zugriffsmonitoring
8.3 Systemmonitoring
7.1 Klassifizierung
7.2 Schutz des Informationswerts
7.3 Transaktionssicherheit
7.4 Sichere Vernichtung
6.1 Verschlüsselung Transport
6.2 Verschlüsselung Ablage
6.3 Verschlüsselungsmanagement
4.1 Netzwerkzugang
4.2 Perimeterschutz
4.3 Sichere Netzwerkdienste
3.1 Systemverwaltung
3.2 Schwachstellenmanagement
3.3 Behebung von Schwachstellen
2.1 Benutzer- und Rollenverwaltung
2.2 Account- und Passwortverwaltung
2.3 Schutz privilegierter Account
1.1 Zutrittskontrolle und Zutrittsüberwachung
1.2 Physischer Schutz für Räume und Systeme
5.1 Hostbasierter Schutz vor Schadcode
5.2 Netzwerkbasierter Schutz vor Schadcode
3
1
Das Reifegradmodell in der Anwendung (2)
Physische Sicherheit
Zugangskontrolle
System- und Device-
Management
Netzsicherheit
Schutz gegen
Schadsoftware
Kryptografische
Maßnahmen
Sicherheit von Daten /
Informationen
Überwachung
Betrieb der
Sicherheitsarchitektur9
8
7
6
5
4
3
2
1
Security Domains
© 2019 Controlware GmbH 34
Das Reifegradmodell auf Architekturebene (Auszug)
4.3.3 DNSSec
4.3.4 NTP
4.2.8 SSL Interception
4.3.1 IPAM (DHCP)
4.3.2 IPAM (DNS)
4.2.5 Secure Web Gateway
4.2.6 Secure Mail Gateway
4.2.7 DOS-Protection
4.2 Perimeterschutz
4.2.1 Segmentierung / Zonenbildung
4.2.2 Segmentierung / Firewall
4.2.3 IDS/IPS
4.2.4 Next Gen Firewall
5.1.3 Malwareschutz - Server
5.1.5 Advanced Endpoint Detection & Response
5.1.1 Malwareschutz - Client
5.1.2 Malwareschutz - File/Folder
5.1.4 Advanced Endpoint Protection
4.3 Sichere Netzwerkdienste
5.1 Hostbasierter Schutz vor Schadcode
5.2.1 Malwareschutz - Mail
5.2.2 Malwareschutz - Web
5.1 Netzwerkbasierter Schutz vor Schadcode
4.1.1 (N)AC
4.1.2 VPN/RAS
4.1 Netzwerkzugang
4 N
etz
sic
he
rheit
5 S
ch
utz
geg
en
Sc
ha
ds
oft
wa
reDomains / Security Service / Architektur
5.2.3 Advanced Malware/Threat Detection
Initial / Ad-Hoc Optimiert (PDCA)Definiert
Q2/19
Q2/19
Q2/19
Q2/19
Q2/19
Q2/19
Q2/20
Q2/20
Q2/20
Q2/19
Q2/20
© 2019 Controlware GmbH 36
P1 – Scope Definition
P1.1
P1.2
Scope Definition
Mögliche Arbeitspakete
P3 – GAP-Analyse
P2 – IST- Aufnahme
Vorbereitung
Kick-Off – Initialer Workshop
IST-Aufnahme Workshop(s) – Global (Anzahl abhängig vom Umfang / Scope)
Zusammenfassung der Ergebnisse / Dokumentation
Abstimmung / Review - Risikoabhängige Priorisierung der Maßnahmen
Auswertung der Ergebnisse / Dokumentensichtung
Abstimmung / Festlegung der Vertiefungsworkshops
P2.1
P2.2
P2.3
P2.4
P3.1.1-n
P3.2
P3.3
• Vertiefungsworkshops
• Vorbereitung – Durchführung – Nachbereitung n-Mal, abhängig von den während der IST-
Aufnahme identifizierten Schwerpunkten
P4 – Maßnahmen-Empfehlung (High Level Design)
Ausdefinition der Maßnahmen / Architekturbausteine
Abstimmung / Review
Dokumentation der Ergebnisse
P4.1.1-n
P4.2
n-Mal, Aufwand abhängig von der Anzahl
der zu definierenden Bausteine / Maßnahmen
© 2019 Controlware GmbH 37
Optionale Erweiterung
Der Prozess (vereinfachte Darstellung)
GAP Analyse
Globale Betrachtung
Dezidierte Vertiefungs-
workshops
3
Scopedefinition
Organisation
Unternehmensweit
Auf BU / Fachebene
Domains / Services
1
Aufnahme
IST / SOLL / PLAN
Workshops
Dokumentensichtung
2
Zyklische Überprüfung
High Level Design
Architektur
Maßnahmen
Roadmap
4
Inititative(n)5
Betrachtung und
Bewertung IST / PLAN
Maßnahmenempfehlung
Reifegradmodell
© 2019 Controlware GmbH 39
Zusammenfassung
Basis bildet ein „Stand der Technik“ Mapping auf
international anerkannte Standards
Modulare und auf individuelle
Anforderungen anpassbare
Vorgehensweise
Vorgehensweise bietet Schnittstellen in
bestehende Managementsysteme
Ergebnisse ermöglichen die Steuerung
der Security Services