Upload
others
View
7
Download
0
Embed Size (px)
Citation preview
Security Requirements Update: Compelling Concepts for Action
Security Requirements Update: Compelling Concepts for Action
Inhalt:1. Cloudmigration & Security
2. Moderne Infrastrukturen, Endpunte & Sicherheit
3. Modernes Arbeiten – Human Factor
4. Requirements of Standards CMMI & BWL
5. Protect, Detect, Repond
6. Security Requirements &
Secure Programming / Secure Systems
7. Schlussfolgerungen
Prof. Dr. Bernhard HämmerliSchweizerische Akademie der Technischen Wissenschaften (SATW)
Norwegian University of Science and Technology (NTNU) und
Hochschule Luzern - Informatik : Leiter Cyber Security Curriculum
1. Cloudmigration & Security : Weshalb die Cloud in vielen Bereichen mehr Sicherheit bietet
Vergleich Cloud und On-Site hinsichtlich:
▪ Anzahl Experten: 3 Profile
▪ Service Level: 24h/7 vs. 8-17h/5
▪ Sicherheit während Ferien, bei Veränderungen
(Reorganisation, Umzug, Joint Venture, Akquisition)
▪ Option um 2nd und 3rd Level Support zu kriegen
▪ Option Teil eines Information Sharing Network zu sein, z.B.:
CERT, FRIST, MELANI (z.B. indirekt via Provider)
Security +++
Security???
Sicherheit erzeugen im eigenen Betrieb? I
Beide Bilder vom Vortragenden
Sicherheit erzeugen im eigenen Betrieb? II
▪ Entscheid 7*24h Security Operation Center (SOC);
Wenn Angriffe 7*24h sind ➔ Personalbedarf ca.30 FTE,
bei 3 Profilen
▪ Entscheid kein SOC: Selber für Security sorgen:
3 Spezialisten: Malware, BCM / DRP, Intrusion
Management
aber ev. nur 1 Person (ev. Teilzeit) möglich.
▪ Alternativen:
1. Vertrag mit Security Operation Center eines
Providers, i.e. «security from the cloud».
2. Bei Micro Enterprise: Angebot “Total Portection” eines Security Produktes: «security updates from the cloud»
Opening of Security Operation Center
from google search
Nimmt die Verfügbarkeit in der Cloud ab?(drei CI2C Slides folgen: Energie Transport: da gilt es ernst)
▪ Eine Italienische Studie bezüglich des Energietransportes gibt Auskunft
▪ Die Arbeit wurde an der www.critis2016.org Konferenz vorgestellt.
▪ Dabei werden 4 Architektur-Optionen des verteilten Systems untersucht
➔ Resultat: Die Cloud schneidet recht gut ab: lassen sie uns sehen.
Von Stefano Sebastioa, Antonio Scalab,a, and Gregorio D’Agostinoc,a
Im Critical Infrastructure Cloud Computing (CI2C) EU Projekt
a LIMS London Institute of Mathematical Sciences, London, UKb ISC-CNR Sapienza Università di Roma, Rome, Italyc ENEA, CR “Casaccia”, Rome, Italy
The Hierarchical SCADA system – Italian case
▪ Remote units (RU) or terminals: Real-time interventions on voltage to manage load and events of interruptions
▪ Regional Control Center (RCC): group and supervise RUs in larger geographical zones
▪ National Center (NC): gathering data from and dispatching relaxed timing commands to RCCs & non time-critical operations (e.g., command planning, critical events analysis and statistics)
▪ ENTSO-E
▪ Connections of interest
▪ On a virtual proprietary network
▪ Data analytics & data access
▪ Real-time command and historical data on cloud
Architektur-Optionen:Cloud Deployments for a Nationwide SCADA
Availability Analysis
2 days 13 hours6 mins 3mins
Eine seriöse Studie im heiklen Energiesektor zeigt, dass Cloud-Sicherheit robust da steht.
Finding 1: Security does not scale … (I)
▪ Grundlegend braucht eine kleine IT-Infrastruktur
die gleichen Sicherheitsmassnahmen wie eine
grosse Infrastruktur, um Sicher zu sein.
➔ gleichgrosser Aufwand!
➔ Sicherheit skaliert nicht!
▪ Sicherheitsmassnahmen von einem:
Micro Enterprise 1-20 Personen
KMU 50-2500 Personen
Einer Firma 2500-ca. 50’000 PersonenGlobal Player deutlich mehr als 100’000 Personen
➔ verschiedene Stufen von Sicherheit
Economy of scale
http://www.canstockphoto.com/
Finding 1: Security does not scale … (II)Bedeutung für Micro und KMU:
▪ Eigenständig Sicherheit zu erzeugen ist eine Illusion
▪ Partner Wahl:
Global Player: Sehr gut, wenn keine Kundenwünsche
berücksichtigt werden müssen.
Local Player: Eine Partnerschaft mit gegenseitiger
Abhängigkeit: Der Provider braucht den Kunden und
umgekehrt. Auf Wünsche kann eingegangen werden.
▪ Die Sicherheit kommt aus er Cloud, ev. sogar die
Resilience: Protect - Detect - Respond
http://www.ri-okna.cz/partnerstvi-ri-okna_de
http://www.ihiji.com/
Das Bauchgefühl sagt “Besitzen ist besser und gibt mehr Kontrolle” und die Realität “Professional Services sind immer viel besser” gehen auseinander (Es gibt gar kein “besitzen” mehr …) :
Cloud bedeutet:
▪ Weg vom Engineering hin zu Anwälten die Verträge und “Terms and Conditions” aushandeln▪ Mehr Audits und Kontrollen beim Cloud Provider ➔ heute Third Party Security Mangement
▪ Im eigenen Unternehmen: Stehen human und organisatorische Aspekte im Vordergrund. Das Risiko bleibt beim
eigenen Unternehmen!
Merke: Die Cloud löst technische Themen, aber die globale Verantwortung bleibt beim Kunden.
No way to delegate operational risks!!!
securityxploded.com
Finding 1: Security does not scale … (III)und was sagt das Bauchgefühl
US-Cyber-Guru: «Eure Daten sind nirgends sicher»Wer meint, seine Daten seien in einer Schweizer Cloud sicher, ist naiv. Dies meint zumindest Richard Clarke, der langjährige IT-Security-Berater und Anti-Terrorismus-Expert für das Weisse Haus.
Bei der Speicherung von Daten in lokalen Clouds, wie etwa in der Schweiz, gehe es nur
ums Geschäft, nicht um den Schutz der Informationen, ist Richard Clarke, langjähriger
Berater des Weissen Hauses, überzeugt.
Quelle: Computerworld, Von Jens Stark , 25.02.2014 11:00.
Wird IT nationalisiert (de-globalisiert)
oder
können wir weiterhin von weltweiten und
internationalen Angeboten profitieren?
Beides, Globalisierung und De-Globalisierung finden
gleichzeitig statt.
Finding 1: Security does not scale … (IV)und was meint der Guru?
Richard Clarke
2. Moderne Infrastrukturen, Endpunte & Sicherheit
Moderne Infrastruktur
www.nist80037rmf.com/disa-cloud-computing-documents-released-for-comment/
Security Cloud Seite
Für Security spielt die Grösse des
Cloud-Provider eine Rolle:
▪ Je grosser der Provider, um so
sicherer
▪ Je besser vernetzt (ISAC, Threat
Intelligence, etc), um so sicherer
▪ Es gilt, was im Vertrag geregelt
wird.
▪ Seit kurzer Zeit ist auch Cyber-
Insurance ein Thema.
www.nist80037rmf.com/disa-cloud-computing-documents-released-for-
comment/
Security Endgeräte (Endpoint Security)▪ Any device, any time, any where may be
connected
▪ To the device nearfield communication of any
uncontrolled and possibly insecure devices
must be assumed
▪ IoT: camera, sensor and actors may be
connected (ddos case of hacked cameras)
▪ Control of behavioural application footprint
▪ Configuration, security and logs must be
controlled
▪ Forensic readiness is desirable
▪ Remote control function in case of loss is
important
▪ Multiple context (private, business +++) should
be supported
▪ GDPR compliance is paramount (consent)
Finding 2: Security Requirements für moderne Infrastruktur und Endpunkte▪ Netzwerke: Transportieren Daten sicher (nicht abhörbar) und zuverlässig
(Verfügbarkeit)
▪ Im Szenario müssen multiple home Clouds berücksichtigt werden (mehrere private
und mehrere öffentliche)
Sicherheitslösungen müssen diese Situation unterstützen
▪ Endpunkte: Mehrere Endpunkte pro Person müssen angenommen warden (PC,
Laptop, Tablet, Smartphone … )▪ Endpunkte können auch IoT Devices (Kameras, Aktoren und Sensoren) und
Bluetooth (Fitness tracker, Smart Watch, …)▪ Beide Protokolle, IPv4 und IPv6 müssen gleichermassen gesichert werden …
3. Modernes Arbeiten
Modernes Arbeiten: überall, jederzeit, jedes Gerät
Bildnachweis:
https://www.gettyimages.co.uk/detail/photo/businessman-traveling-with-a-bus-and-using-smart-royalty-free-image/675035664
https://www.huffingtonpost.com/mike-desimone-and-jeff-jenssen/mothers-day-gifts-for-the-mom-who-travels_b_7147934.html
https://cdn.uconnectlabs.com/wp-content/uploads/sites/5/2017/10/canstockphoto9041519.jpg
Awareness, attitude & behaviourDie Kunst sicherer zu arbeiten
Awareness requires creative
communications
Attitudes can only be changed
through self-discovery
Awareness requires creative
communications
Attitudes can only be changed
through self-discovery
Behaviour is influenced by
perception, experiences and
external cues
Finding 3:
Modernes Arbeiten verlangt mehr Verantwortung vom Mitarbeiter, mehr
Kontrolle durch Technologie und Arbeitgeber.
▪ Breaches sind unvermeidbar: Jeder von uns kann verletzt werden
(Keine Unterscheidbarkeit, Statistik der grossen Zahlen)
▪ Beste Awareness muss sein (Reduktion der Malwarewahrscheinlichkeit)
▪ Beste Incident Detection und Response sind zwingend notwendig für den
Umgang mit unvermeidbaren Breaches
4. Requirements of - CMMI für Cyber Security &- Minimalstandard zur Verbesserungder IKT Resilienz (BWL)
hslu.ch/informatik 24
CMMI Capabilities I (advanced)
Die neuen Fähigkeiten im Cyber-Verteidigung
Aus Deloitte Studie „Cyber security: Empowering the CIO“
Sec
uri
ty O
per
atin
g P
latf
orm
un
d C
lou
d S
ecu
rity
–Revo
lutio
n v
on
Pa
lo A
lto
Netw
ork
s
hslu.ch/informatik 25
Sec
uri
ty O
per
atin
g P
latf
orm
un
d C
lou
d S
ecu
rity
–Revo
lutio
n v
on
Pa
lo A
lto
Netw
ork
s
CMMI Capabilities I (advanced)
Minimalstandard zur Verbesserungder IKT Resilienz (BWL)
M. Hämmerli26
Bundesamt für wirtschaftliche Landesversorgung (BWL) IKT-Minimalstandard erarbeitet und diesen am 27. August 2018 vorgestellt.
Der IKT-Minimalstandard im Überblick: 106 Massnahmen
Der Standard gliedert sich in drei Teile:
1. Grundlagen: Dieser Teil dient als Nachschlagewerk und vermittelt Informationen zur
IKT-Resilienz.
2. Framework: Es bietet den Anwendern, gegliedert nach den fünf Phasen (Themenbereichen)
«Identifizieren»,
«Schützen»,
«Detektieren»,
«Reagieren» und
«Wiederherstellen» ein Bündel konkreter Handlungsanweisungen.
Nach NIST: Deter (Abschreckung) fehlt
3. Bewertungstool: Mit diesem können Unternehmen den Grad ihrer IKT-Resilienz
beurteilen, respektive auch durch externe Firmen prüfen lassen.
M. Hämmerli27
«Fighting smarter, not harder»
Leitfaden – in Übereinstimmung mitbestehenden Standards (NIST, Cobit etc.)
M. Hämmerli28
«Fighting smarter, not harder»:
Resilience von IBM
Reagieren (Respond): Beispiel für Anlehnung an Standards
M. Hämmerli29
«Fighting smarter, not harder» Resilience von IBM
Faktor Mensch M. Hämmerli30
IT-Kriminalität und der Faktor Mensch: Sicherheit beginnt beim Verhalten der
Mitarbeitenden, Markus Grüneberg, Senior Security Evangelist, Proofpoint
User-Verhaltens-Analyse: Erkennen und stoppen von (gut getarnten)
Netzwerkbedrohungen, Referent
Sensibilisierung und Schulung der Mitarbeitenden: Wie IT-Sicherheit Spass
macht
Ingo Schäfer, Team Leader DACH, Proofpoint
Security Requirement &Secure Programming / Systems
M. Hämmerli31
Beispiel folgt mit Secure Programming, stellvertretend für Secure Systems.
Finding 4:
Die heute dargebotenen Lösungen werden von den neuesten Standards wie
CMMI Cybersecurity (Frühjahr 2018) und BWL Minimal Standards
sind Voraussetzungen um eine Compliance mit BWL oder um eine venünftige
Maturität mit CMMI zu erreichen.
5. Post SnowdenProtect, Detect, Respond
Post Snowden
Breaches are the new normal
Operation under peramanent Attack
Finding 4: Detection & Response
Information Sharing / Threat Intelligence: Large variety of models:
▪ Online and real time information sharing
▪ CERT level information sharing
▪ Mid management information sharing
▪ Strategic information sharing
Goal:
▪ Be faster informed▪ Isolate incidents down to one per malware▪ Be warned, by strategic exchange
Threat Intelligence
▪ Real time data gathering of many enterprises
▪ Big Data analytics for chasing zero day exploits
▪ Relevant progress in recent years
Nur neuste Technologien (AI, ML, Big Data)
mit innovativsten Algorithmen sind gut genug:
Deshlab sind wir heute hier in IBM Research
6. Security Requirements &Secure Programming / Secure Systems
M. Hämmerli36
Security Requirement &Secure Programming / Systems
M. Hämmerli37
Später Beispiel: mit Secure Programming, stellvertretend für Secure Systems.
Fakten über Sicherheit: Wirkung der Angriffe
▪ Abgeflossene Daten
(Vertraulichkeitsverletzung)
▪ Funktionalitätsverlust
(D)Denial of Services (DDoS)
▪ Erpressung (Datenverlust)
Crypto Trojaner
▪ Manipulation
“Fake News”
▪ Kontrollverlust der Identät
(Bankkonto)
http://positivesfuehlen.quantumunlimited.org/transformation-von-angst-und-schmerz/
Über Funktionalität I: Design und Implementation gewollter Funktionalität
.09.2018
Futter
Milch
www.aktiontier.org
de.aliexpress.com
www.organicfacts.net/yogurt.html
www.gutekueche.at/kaese-rezepte
http://www.thankyourbody.com
Milk Services
Über Funktionalität II: Inkaufnahme ungewollter Funktionalität
.09.2018
Kuhdung
/hiveminer.com/Tags/kuhfladen/Recent
http://leimenblog.de
Profiteure
Softwareentwicklung
Wir sind Spitze!
▪ Identifikation der Aufgabe
▪ Erfasssung der Bedürfnisse einer
Software
▪ Design der Software
▪ Implementation der Software
▪ Testen (Modul, System, Integration)
▪ Beta Test
▪ Produktion
http://www.comedyflavors.com/hero/
Software-entwicklung
Security FirmenWie gut sind wir da
Finding 6
Security Requirement Specification ist Voraussetzung, dass Sicherheit professionell angegangen werden kann.
Es gibt zu wenige Spezialtisten, die das können!
Top down in Firmen ist die Definition des Sicherheitslevels schwierig (politisch)
Das Thema der Finanzen verschiebt sich, duch höhere Vorfallskosten.
7. Empfehlungen und Schlussfolgerungen
Empfehlungen und Schlussfolgerungen▪ Das Cloud Zeitalter lässt sich nicht stoppen. Die
Sicherheit in der Cloud und aus der Cloud ist
wesentlich grosser! Security does not Scale!
▪ Modernes Arbeiten braucht Investionen bei Endpoint
Security!
▪ Human Factor: Wir brauchen Schulung um Resilient
gegen Trickbetrüger zu sein.
▪ Neueste Standards CMMI BWL verlangen neuste
Lösungen.
▪ Breaches sind unvermeidbar ➔ Detection &
Response: Nur neuste Technologien (AI, ML, Big Data)
mit innovativsten Algorithmen sind gut genug:
▪ Security Requirement Specification ist Voraussetzung,
dass Sicherheit professionell angegangen werden
kann.
Anhang: About new Study ProgramBSc Information & Cyber Security
(In eigener Sache)
M. Hämmerli46
hslu.ch/informatik 47
Ausbildungsprogramm: Concept
Major
Security
Management
Major
Security
Technologie
Technologische und
organisatorische
Security Grundlagen
Projekt-
ausbildung
Höhepunkte:
Next
Generation
Security
(International
Experience,
Israel)
Staatliche
Cyber
Prävention
(mit Bundes-
verwaltung)
Informatik
Grundlagen:
Mathematik
IT
Erweiterungs-
module:
grosse
Auswahl!
E-Modul
E-Modul Z-Modul
E-ModulBachelorarbeit
(BDA)
Informatikprojekt
(PAWI)
Produktentwicklung 2
(PREN2)
Project Management
Basics
(PMB)
Fach-kommunikation
(FKOM)
Produktentwicklung 1
(PREN1)
Projekt- und Teamarbeit
(PTA)
Z-Modul
E-Modul
E-Modul
Computer & Network Architecture(CNA)
Information Security
Fundamentals(ISF)
Network Architecture
Intro Lab Information
SecurityDatenschutz I
Cyber Defense
Network Defense in
Action
Secure Code and Reverse Engineering
Cyber PhysicalSystems
Schutz Kritischer Infra-
strukturen
Statistic forData Science
IoT / II Embedded Systems
Web Technologien
Sicheres Progr. Sec. Req.
Engineering
Krypto & Protokolle
Geschäfts-prozesse und Organisation
Prozesse
der Informations-
sicherheit
Angewandte Statistik
Datenschutz II
ForensicReadiness
(Mgmt)
Datenbanken
OOPDiskrete Mathematik
A-Mathematik
Ethik
Information Security Lab
Man.
Information Security
Algorithm Data Structures
Betriebs-systeme und
Sicherheit
Informatik-Recht
IAM / DLP
Spez: ½ Sem.
Platzhalter «CISO Office»
Human andOrg. IS Factor
Blockwoche Cybersec Z-Modul
International CyberSec Experience
E-Modul Z-Modul
Platzhalter
Z-Modul
Z-Modul
Curriculum:
1. Jahr: fix2. Jahr: In Entwicklung: Änderungen vorbehalten3. Jahr: Tentative Angaben
48
Vollzeit- 3 Jahre
Berufsbegleitend- 40-60% einschlägige Berufstätigkeit
- Credits für Berufstätigkeit
- 4 Jahre
MO DI MI DO FR SA
09:05-11:25
13:05-15:25
15:40-18:00
18:30-20:50
MO DI MI DO FR SA
09:05-11:25
13:05-15:25
15:40-18:00
18:30-20:50
08:30-10:50
11:10-13:30
08:30-10:50
11:10-13:30
Ausbildungsprogramm III3 Zeitmodelle & 2 Mal jährlich: Start Sept. und Februar
Teilzeit
Support us please …
Promote the program
Other Options
1. With your expertise and network
2. With part time positions 40-60% for
students studying “berufsbegleitend”.3. By sending students to us, for
empowering them to the exciting
profession security professional.
BSc. Information & CyberSecurity
Thank you for your support