Upload
carsten-muetzlitz
View
118
Download
0
Tags:
Embed Size (px)
Citation preview
Copyright © 2014 Oracle and/or its affiliates. All rights reserved. |
Share with
Bitte Fragen über den
WebEx-Chat
#ODSD2015
OracleDirect Security Day 2015
Copyright © 2014 Oracle and/or its affiliates. All rights reserved. |
Safe Harbor Statement
The following is intended to outline our general product direction. It is intended for information purposes only, and may not be incorporated into any contract. It is not a commitment to deliver any material, code, or functionality, and should not be relied upon in making purchasing decisions. The development, release, and timing of any features or functionality described for Oracle’s products remains at the sole discretion of Oracle.
OracleDirect Security Day 2015 3
Security Day 2015 Der Security Smoke Test
Carsten Mützlitz Systemberatung Potsdam OracleDirect
SECURITY Inside-Out
Copyright © 2014 Oracle and/or its affiliates. All rights reserved. |
Referent: Kurz vorgestellt
5
• Carsten Mützlitz
– unterstützt Deutschlands Daten sicher(er) zu machen , ORACLE, Systemberatung Potsdam
OracleDirect Security Day 2015
/ORA0600
blogs.oracle.com/SecurityDE
blog.carsten-muetzlitz.de
/DTCCpotsdam
systemberatungpotsdam.wordpress.de
Copyright © 2015, Oracle and/or its affiliates. All rights reserved. |
Agenda für die nächsten 30-45 Minuten
OracleDirect Security Day 2015 6
Informationssicherheit als Prozess. Wo stehen wir?
Kurze Einführung
Der Security Smoke Test
Warum das Ganze?
1
2
3
4
Copyright © 2015, Oracle and/or its affiliates. All rights reserved. | OracleDirect Security Day 2015
Das Informationssicherheitskonzept beruht auf einem Risikomodell und beleuchtet die Organisation und die Prozesse
INFORMATIONSSICHERHEIT als Prozess
Sicherheitsprozess
Initialaktivitäten
Laufende Aktivitäten
Umsetzungen / Betrieb
Pro
ze
ss
e
Sicherheitsstrategie
Risikomanagement
Sicherheitsmgmt.
Schutz Informationswerte
(Vetraulichkeit, Integrität)
Sicherstellung der Verfügbarkeit
Disaster Recovery /Business
Continuity Planning
Monitoring
Auditing
Bereiche
Technisch
Physisch Organisatorisch Systeme (HW& OS)
Netze Software Daten
Bu
ild
Op
era
te
Ablauf
Schwachstellenanalyse, Bedrohungsprofil, Risikobewertung, Maßnahmenpriorisierung
Risikomanagement
Security Policy, Standards & Procedures
Sicherheits- organisation
Zugriffssicherung, Authentisierung, Kryptographie, PKI, VPN Sicherheitszonen, Zugangskontrollen,
Zutrittsicherungs-
syteme Firewalls
Netzwerkdesign
Clustering
Netzwerkmgmt.
Virenschutz-management
Sichere OS
System-Aktualisierung
SW-Design
Verbindlichkeit
Datenklassifik.
Datenträger
System-performance Monitoring
CM
Hot-Backup Gebäudesicherheit Personelle Sicherheit
Arbeitsplatz
Schutz vor Elem-entarereignissen
Notfallpläne
(Contingency Plans)
Intrusion Detection Systems
Gebäude-überwachung
Videoaufzeichnung Activity Logging
Sicherheitsaudits Vulnerability Checks
Sicherheitsmanagement
Security Vision, Strategie für den Umgang mit unternehmenskritischen Infrastrukturen und Informationswerten
Governance
HR-Prozesse, Betriebl. Praktiken,
Awareness, Training
Backup, Backup-Facitilites
Logging, Evaluierung, Behandlung von Sicherheitsvorfällen
System Recovery
Informationssicherheit ist ein Prozess, der alle Teile eines Unternehmens be-trifft. Es reicht nicht zu denken: “Die IT Abteilung wird mich schon schützen”
7
Sicherheits- organisation
Sicherheitsaudits Vulnerability Checks
Sicherheitsmanagement
HR-Prozesse, Betriebl. Praktiken,
Awareness, Training
Security Policy, Standards & Procedures
Copyright © 2015, Oracle and/or its affiliates. All rights reserved. |
Agenda
OracleDirect Security Day 2015 8
Informationssicherheit als Prozess. Wo stehen wir?
Kurze Einführung
Der Security Smoke Test
Warum das Ganze?
1
2
3
4
Copyright © 2015 Oracle and/or its affiliates. All rights reserved. | OracleDirect Security Day 2015 9
Smoketesting stammt ursprünglich aus dem handwerklichen Bereich
Was ist ein Smoke Test?
• Früher haben die Klempner Rauch durch die Rohre geblasen
– Um die Dichtigkeit nach einer Reparatur zu prüfen
• Smoketests sind sehr häufig im eCommerce Bereich zu finden
– Da viele Updates am System wie Katalog-Wechsel stattfinden
– Neues Releases/Funktionen/Design im System eingespielt werden
Ein Smoketest prüft wesentliche Funktionalität auf Korrektheit
ZWECK: Wahrscheinlichkeit eines Fehlers vor Live-Schaltung reduzieren. Z.B. Leck im Rohr.
© industrieblick - Fotolia.com
Copyright © 2015, Oracle and/or its affiliates. All rights reserved. |
Agenda
OracleDirect Security Day 2015 10
Informationssicherheit als Prozess. Wo stehen wir?
Kurze Einführung
Der Security Smoke Test
Warum das Ganze?
1
2
3
4
Copyright © 2015, Oracle and/or its affiliates. All rights reserved. | 11
Vorab: Bedrohung “AKTEURE & ZIELE”
OracleDirect Security Day 2015
OS admin DBA Test/Dev App Owner/User
BI User
Network Backup OS Database Applications
Copyright © 2015, Oracle and/or its affiliates. All rights reserved. |
“Wie könnte so ein Security Smoke Test wohl aussehen? Gibt es Tools dafür? Und wer führt diesen Security Smoke Test aus?“
OracleDirect Security Day 2015 12
Security Smoke Test?
ZWECK: Nach Änderung/Release Zustand nach Änderung prüfen und bewerten.
Copyright © 2015 Oracle and/or its affiliates. All rights reserved. | OracleDirect Security Day 2015 13
Beispiel: Solaris Compliance Framework
MÖGLICHE TOOLS von Oracle?
• Solaris Compliance Framework: Standard PCI
root@soltest: # compliance assess
root@soltest: # compliance report
root@soltest: # compliance assess -b pci-dss
root@soltest: # compliance report –a reportname
Mit integrierter Lösung der fehlerhaften Regel
Erweiterter Prüfung auf PCI DSS
Integrierte Lösungen für ein besseres Sicherheitsmanagement in den Oracle Lösungen wie Compliance Framework, ORAChk, openSCAP, Enterprise Manager etc.
Copyright © 2014 Oracle and/or its affiliates. All rights reserved. |
TYPISCHE ATTACKE: Beispiel DB
OracleDirect Security Day 2015 14 Copyright © 2014, Oracle and/or its affiliates. All rights reserved. |
PORTSCANNING SID GUESSING Password Theft Insider Access SQL Injection Denial-of-Service Malware
IDEE: Der Security Smoke Test sollte eine typische Attacke simulieren und wichtige Dinge prüfen!
Copyright © 2015 Oracle and/or its affiliates. All rights reserved. | OracleDirect Security Day 2015 15
Attacke simulieren und wichtige Parameter prüfen
Der SECURITY SMOKE TEST am Beispiel einer DB-Apps
Was kann der Security Smoke Test?
• Attacke simulieren: Portscan, SID Guessing, Brute Force
• Wichtige Einstellungen auf sinnvolle Funktion prüfen, wie
− PW und User Management
− Konfiguration
− Access Control und Rollen
− Komplexität
− User Management
− Apps-Owner
− und einiges mehr
SECURITY SMOKE TEST Based on APEX
PRODUKTIONS DB Instances
Show Demo
Release Manager
Copyright © 2015 Oracle and/or its affiliates. All rights reserved. | OracleDirect Security Day 2015 16
Wichtig zu wissen was rechtlich zu beachten ist…
Der HACKERPARAGRAF!
• Hackerparagraf von 2007 (StGB §202b und 202c)
• Vorgabe zur Nutzung sogenannter Dual-Use-Tools
− Tools die auch für krimielle Zwecke genutzt werden können, wie Passwordcracker, Netzwerksniffer und Portscanner
• Darf ich (Admin/DBA) Dual-Use Tools auch für meine Unternehmens-IT nutzen?
− Das Bundesverfassungsgericht (Beschluß vom 18.5.2009), sagte „JA“, aber bitte dokumentieren und Genehmigung einholen (Vieraugenprinzip)
Hackerparagraf StGB insbesondere §202c
...§ 202c Vorbereiten des Ausspähens und Abfangens von Daten
1) Wer eine Straftat nach § 202a oder § 202b vorbereitet, indem er Passwörter oder sonstige Sicherungscodes, die den Zugang zu Daten (§ 202a Abs. 2) ermöglichen, oder Computerprogramme, deren Zweck die Begehung einer solchen Tat ist, herstellt, sich oder einem anderen verschafft, verkauft, einem anderen überlässt, verbreitet oder sonst zugänglich macht, wird mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bestraft.
2) § 149 Abs. 2 und 3 gilt entsprechend. ...
Copyright © 2015, Oracle and/or its affiliates. All rights reserved. |
Agenda
OracleDirect Security Day 2015 17
Informationssicherheit als Prozess. Wo stehen wir?
Kurze Einführung
Der Security Smoke Test
Warum das Ganze?
1
2
3
4
Copyright © 2015 Oracle and/or its affiliates. All rights reserved. |
• Gefahr einer Attacke?
• Sichere Konfiguration?
• Komplexität?
• Zugriffskontrolle?
• User Management? helfen einen letzten neutralen aber konkreten Blick auf die (Datenbank) Sicherheit zu werfen
Security Smoke Tests
Besteht ein
Risiko?
Copyright © 2013, Oracle and/or its affiliates. All rights reserved. 19
KENNEN
und kontrollieren es!
Copyright © 2013, Oracle and/or its affiliates. All rights reserved. 20
und zwar von ANFANG AN!
VERHINDERN
Copyright © 2014 Oracle and/or its affiliates. All rights reserved. | 23
OD Sec Day: Die nachfolgenden Präsentationen
OracleDirect Security Day 2015
• 14:15 Uhr: Michal Soszynski Störungsfreiheit kritischer IT-Infrastrukturen
• 15:30 Uhr: Suvad Sahovic Eine geniale Lösung für das Benutzermanagement in kurzer Zeit implementiert
• 16:45 Uhr: Wolfgang Hennes Sichere Speicherung von Daten in der Cloud und Live-Hack auf eine ungeschützte Datenbank