internet in zeiten von pest und choleradownload.microsoft.com/download/c/d/5/cd508c9d-b0... ·...
Post on 09-Jun-2020
0 Views
Preview:
TRANSCRIPT
1
© 2013 ı Classification: Partner ı Version 1.0
Internet in Zeiten von Pest und Cholera
Wer traut sich noch raus ?
Markus Bernhammer
Vorstand
2
© 2013 ı Classification: Partner ı Version 1.0
Agenda
• Risiken außerhalb des Perimeters
• Surfen im Internet- Geht das auch sicher ?
• Browser in the Box- Der neue Ansatz für sicheres Surfen
• Smartphones und Tablets- Balance zwischen Sicherheit und Freiheit
• BizzTrust- Geschäftliches und Privates trennen
• Sicherheit von Notebooks gegen Diebstahl- Auch die Basics müssen stimmen
• TrustedDisk- Sichere Festplattenverschlüsselung konsequent gedacht
• Sirrix - Kurzvorstellung
3
© 2013 ı Classification: Partner ı Version 1.0
Risiken außerhalb des Perimeters
Bekannte Angriffe und Schwachpunkte
4
© 2013 ı Classification: Partner ı Version 1.0
„..fahren in einer offenen Kutsche und hoffen, dass es nicht regnet.“
5
© 2013 ı Classification: Partner ı Version 1.0
Gefahrenschwerpunkt Internet
6
© 2013 ı Classification: Partner ı Version 1.0
Gefahrenschwerpunkt Internet
7
© 2013 ı Classification: Partner ı Version 1.0
Gefahrenschwerpunkt Internet
Das größte Einfallstor für Gefährdungen aus dem Internet ist der Web-Browser
Web-Browser Sicherheit muss im Fokus aller Endpoint-Security Anstrengungen stehen
8
© 2013 ı Classification: Partner ı Version 1.0
„Antivirensoftware ist tot“- Paradigmenwechsel in IT
9
© 2013 ı Classification: Partner ı Version 1.0
Verlorene Daten auf Smartphones….
9
10
© 2013 ı Classification: Partner ı Version 1.0
Sicherheitslücken in Smartphone Apps..
10
11
© 2013 ı Classification: Partner ı Version 1.0
Surfen im Internet- Geht das auch sicher ?
Browser in the Box- Der neue Ansatz für sicheres Surfen
12
© 2013 ı Classification: Partner ı Version 1.0
Das Internet ist aus dem Alltag nicht wegzudenken….
INTRANET Produktbezogene Daten
Produktentwicklungsunterlagen
Strategische Konzepte
Browserbasierte in-house
Anwendungen
Emails
INTERNET
• Recherchen,´Nachrichten...
13
© 2013 ı Classification: Partner ı Version 1.0
Bisherige Ansätze der Bedrohungsabwehr Kein Internet am Arbeitsplatz - Sicherheit: Abgesetzte Rechner für Internet Zugang
• Höherer Aufwand für den Mitarbeiter und zusätzliche Kosten für separate Systeme
Internet mit reduziertem Funktionsumfang – Sicherheit: Abgeschaltete aktive Inhalte
• Eingeschränkter Komfort für den Benutzer, niedrige Sicherheit.
Alternative Browserhersteller – Sicherheit: Diverse Sandboxing-Verfahren und schnelleres Patchmanagement
• Begrenzte Kapselung vieler Elemente, Sicherheit von O/S und Browser abhängig
Terminalserver – Sicherheit: Zentraler Server, auf dem der Web-Browser läuft, Zugriff über Desktop-Viewer
• Hohe Kosten für Bereitstellung, Komforteinschränkungen für den Benutzer, hohe Sicherheit
14
© 2013 ı Classification: Partner ı Version 1.0
Browser in the Box: Sicherer Browser für den Client Technologie
Eigenschaften
Sicherheit
Browserkapselung durch Virtualisierung
1. Hohe Sicherheit bei Erhaltung aller Webfunktionalitäten
• Trennung von Arbeitsplatzumgebung und Internet
• Transparent für den Anwender
2. Wirtschaftlich durch Einsatz vorhandener Clientressourcen
• Leicht zu installieren und zentral zu administrieren
15
© 2013 ı Classification: Partner ı Version 1.0
Anwenderkonto
VirtualBox
GEHÄRTETES LINUX
Windows
ANWENDUNG
WEB-BROWSER
BitBox Konto
Intranet
BitBox Services
ANWENDUNG
BitBox Enterprise: Isolation auf Rechnerebene
16
© 2013 ı Classification: Partner ı Version 1.0
Intranet
BitBox-Konto
Browser in the Box Enterprise: Isolation auf Netzwerkebene
Web- Gateway
IPSEC
VirtualBox
GEHÄRTETES LINUX
WEB-BROWSER
GEHÄRTETES LINUX
VirtualBox
GEHÄRTETES LINUX
VPN-Client
VirtualBox internes Netzwerk
17
© 2013 ı Classification: Partner ı Version 1.0
BitBox Enterprise: Einfache Administration
Managementsystem
BitBox
Drucker Server
Web-Gateway
Internes Netzwerk
Tunnel
Active Directory
DMZ
18
© 2013 ı Classification: Partner ı Version 1.0
BitBox Sicherheitseigenschaften Sicherheit
• Sicherheitsanalyse der VM-Technik zusammen mit BSI durchgeführt
• Gehärtetes Linux als Gastsystem
• Kapselung in virtuelle Maschine (VM)
• Isolierter Browser in the Box-Benutzerkontext
• Start immer von einem sauberen Snapshot
• Sicherer IPsec-Tunnel bis zum Gateway, nur Daten aus BitBox werden ins Internet geleitet und umgekehrt
• Sicheres Drucken
• Down- und Upload richtliniengesteuert möglich
19
© 2013 ı Classification: Partner ı Version 1.0
Sichere Zwischenablage Informationsflusskontrolle
• Unidirektional (Arbeitsplatz → BitBox oder BitBox → Arbeitsplatz)
• Bidirektional (Arbeitsplatz ↔ BitBox )
• Zentral administrierbar
Optionale Bestätigung durch den Benutzer beim ‘Einfügen’ • Kein unbemerkter Informationsfluss z.B. durch Schadsoftware im Gast, die die
Zwischenablage ausliest
20
© 2013 ı Classification: Partner ı Version 1.0
BitBox Client: Komforteigenschaften Benutzerkomfort
• Hohe Transparenz durch Seamless-Mode
• Unterstützung von aktiven Inhalten
• Plug-Ins, persistente Lesezeichen, Drucken und Download
richtliniengesteuert möglich
Host - Plattformen
• Windows (XP, Vista, 7)
• Linux
21
© 2013 ı Classification: Partner ı Version 1.0
Download unter: browser-in-the-box.de
• Sicheres Surfen im Internet für Client/Server Infrastrukturen
• Trennung von Intranet und Internet • Nachhaltiger Schutz gegen ZeroDay Exploits
• Einfacher RollOut • Zentrales Management
• Schutz vor Datendiebstahl • Erhöhung der Betriebsssicherheit
22
© 2013 ı Classification: Partner ı Version 1.0
Smartphones und Tablets- Balance zwischen Sicherheit und Freiheit
BizzTrust-
Geschäftliches und Privates trennen
23
© 2013 ı Classification: Partner ı Version 1.0
Gefährdungen für Smartphones (1/2)
Smartphones gehen verloren und werden geklaut Risiko Preisgabe gespeicherter Daten (Mails, Kontakte, …)
Passworte sind oft unsicher und werden geknackt Risiko Preisgabe gespeicherter Daten, unautorisierter Zugriff auf Unternehmensressourcen (Intranet, Mails, …)
Kommunikation wird abgehört Risiko Preisgabe übertragener Daten (z.B. Passwörter, PINs, Zugangscredentials, Webzugriffe, …), abgehörte Telefonate
Datensauger-Apps Risiko Preisgabe vertraulicher Daten (Kontakte, Kalendereinträge, Ortsangaben, …)
24
© 2013 ı Classification: Partner ı Version 1.0
Gefährdungen für Smartphones (2/2)
Exploits von App-Fehlern
Direkter Zugriff auf App-Daten
Indirekter Zugriff auf Daten anderer Apps
Risiko Preisgabe vertraulicher Daten
Exploits von Android-Fehlern
Zugriff auf kryptographische Schlüssel
Umgehung von Isolations- und Verschlüsselungsmechamismen
Risiko Preisgabe vertraulicher Daten, unautorisierter Zugriff auf Unternehmensressourcen (Intranet, Mails, …)
25
© 2013 ı Classification: Partner ı Version 1.0
Stark steigende Anzahl von Android-Malware
26
© 2013 ı Classification: Partner ı Version 1.0
Angriffsvektoren für Malware
3rd Party Apps
Browser
Multimedia/PDF
Kommunikationsdienste
Fernwartung
Betriebssystem
Benutzer
27
© 2013 ı Classification: Partner ı Version 1.0
BizzTrust: Sichere Trennung von beruflichen und privaten Anwendungen
Business- und Private-Umgebung
• Benutzer hat volle Kontrolle über die private Umgebung
• Unternehmen hat volle Kontrolle über die berufliche Umgebung
Strikte Trennung
• Trennung von Apps und Benutzerdaten
• Apps einer Umgebung haben keinen Zugriff auf die Apps der anderen Umgebung
• Optionale Trennung von Kontakten und Kalendereinträgen
• Business-Apps haben keinen direkten Zugriff auf das Internet
28
© 2013 ı Classification: Partner ı Version 1.0
Sicherheitsarchitektur mit Type Enforcement
Smartphone Hardware
TURAYA™ Security Kernel
& Type Enforcement
Hardend Android Middleware
With Security Extensions
App App App App App App
Business (classified)
Personal (unclassified)
Sicherheitskern
29
© 2013 ı Classification: Partner ı Version 1.0
Sicherheitsarchitektur mit Type Enforcement
Smartphone Hardware
Security Kernel & Type Enforcement
Android Middleware
With Security Extensions
App App App App App App
Business Private
Vorteile
Einfachere Portierung
Geringer Ressoucenverbrauch
Nachteile
Größere TCB
Beispiele
BizzTrust (Sirrix/Fraunhofer SIT)
BlackBerry Balance
30
© 2013 ı Classification: Partner ı Version 1.0
BizzTrust Infrastruktur
Trusted Objects Manager
IPSec
HTTPs
Cert Apps Profile
VPN Gateway
Administration
BizzTrust
Trusted Channel
Intern
Internet
DMZ
Intern
31
© 2013 ı Classification: Partner ı Version 1.0
BizzTrust- Funktionen (Client)
Data at Rest
Verschlüsselung der Benutzerdaten auf dem Smartphone
Trennung von nicht-sensitiven und sensitiven Apps („Personal“ vs. „Business“)
• kein Durchgriff über standardisierte Android-Schnittstellen (z.B. Zugriff auf Kontakte durch andere Apps)
• kein Durchgriff durch Exploits in der Middleware
Typesicherheit für ausgeführte Apps (Schutz vor böswilligen Apps)
32
© 2013 ı Classification: Partner ı Version 1.0
BizzTrust- Funktionen (Client)
Data at Move
Verschlüsselung der Kommunikation mit der Unternehmensinfrastruktur über einen IPSec-Tunnel.
• Mails, Kontakte- und Kalendersynchronisation
• Zugriff auf das Intranet
• Optionale verschlüsselte VoIP-Telefonie ins Unternehmensnetz oder zu anderen BizzTrust-Geräten des Unternehmens möglich
Optional
Internetzugriff über Unternehmens-Firewall
33
© 2013 ı Classification: Partner ı Version 1.0
Unterstützung Geräte und Android Versionen
Standardhardware
Aktuelle Version basierend auf Android SE 4.2
Momentan unterstützte Geräte:
• Nexus Galaxy, Nexus S, Nexus 4, Nexus 10 (Tablet), Samsung Galaxy S4 mini
Weitere geplante Geräte:
• Sony Xperia Z, HTC One u.w.
34
© 2013 ı Classification: Partner ı Version 1.0
BizzTrust: Zentrales Management
Benutzer- / Geräteverwaltung
VPN mit vollautomatischem Zertifikats-Deployment
OTA-Firmwareupdate
35
© 2013 ı Classification: Partner ı Version 1.0
BizzTrust: Enterprise AppStore
Zentrale Verwaltung von Apps
Automatisches Signieren hochgeladener Apps und push auf alle Geräte
36
© 2013 ı Classification: Partner ı Version 1.0
BizzTrust: Mobile Device Management
Zentrale Verwaltung der MDM –Schnittstelle
Erste Funktionen verfügbar
Erweiterung auf zusätzliche Funktionen möglich
37
© 2013 ı Classification: Partner ı Version 1.0
Gehärtetes Betriebssystem
Schutz vor Exploits
Strenge Isolation
Schutz vor Datensaugern
Datenverschlüsselung
Aktivierung von
Sicherheitsmechanismen
VPN
Zusammenfassung
38
© 2013 ı Classification: Partner ı Version 1.0
Sicherheit von Notebooks gegen Diebstahl- Auch die Basics müssen stimmen
TrustedDisk-
Sichere Festplattenverschlüsselung konsequent gedacht
39
© 2013 ı Classification: Partner ı Version 1.0
Notebook Diebstahl immer noch…
70 % der gestohlenen Notebooks werden zu Straftaten eingesetzt
„Durch den Verkauf von sensiblen Unternehmensdaten erhoffen sich die Diebe weit mehr als vom Weiterverkauf des eigentlichen Gerätes“.
40
© 2013 ı Classification: Partner ı Version 1.0
TrustedDisk
Entwickelt 2011 im Auftrag des BSI auf Basis von TrueCrypt
Mit dem Ziel: Schutz der Daten des Notebooks und mobiler Speichergeräte bei Diebstahl oder Verlust :
Einhaltung der Datenschutzgesetze und VSA
Schutz von sensiblen Behörden- und Unternehmensinformationen
Vollverschlüsselung von Festplatten und mobilen Speichergeräten
Alle Daten des Notebooks werden verschlüsselt inkl. Betriebssystem, temporäre Dateien und mobile Speichergeräte
Sichere Authentifikation des Benutzers durch Smartcard
Kombination von hohem Sicherheitsstandard und einfachem Einsatz
41
© 2013 ı Classification: Partner ı Version 1.0
Highlights von TrustedDisk (I)
Hoher Einsatzkomfort
Device-Vollverschlüsselung für Windows 7
Im Hintergrund, dadurch Weiterarbeit möglich
Verschlüsselung von Systempartitionen und mobilen Speichergeräten
Mehrbenutzerfähigkeit, flexibles und einfaches Rechtemanagement
Hohe Sicherheit
Umfassende Pre-Boot Authentication
Mehrstufige Authentifizierung per Hardwaretoken und PIN
Sichere Zufallszahlengenerierung, flexible Umverschlüsselung
Für den VS-NfD Einsatz unter Windows 7 zugelassen
42
© 2013 ı Classification: Partner ı Version 1.0
Highlights von TrustedDisk (II)
Weitere Funktionen außerhalb der Zulassung
Stealth-Mode
Smart-Lock
Linux Version (Versionsstand nicht aktuell)
Unterstützung PKCS #11
Verwendung Middleware ( CardOS API)
43
© 2013 ı Classification: Partner ı Version 1.0
TrustedDisk-Einsatzmöglichkeiten Einzelplatzversion ohne zentrales Management
Für Behörden und Unternehmen empfohlen bis ca. 30 Clients
SmartCard Authentisierung
Für den VS-NfD Einsatz zugelassen
Zentrales Management über TrustedObjects Manager
Für Behörden und Unternehmen mit mehr als 30 Clients
Zusätzliche Funktionen gegenüber der Einzelplatz-Version
Für die Verwendung mit der zugelassenen TrustedDisk Einzelplatzversion freigegeben
44
© 2013 ı Classification: Partner ı Version 1.0
Lieferumfang / Lizenzmodell TrustedDisk • Einzelplatz
• TrustedDisk Enterprise Client Lizenz
• Certificate Manager (nur für Einzelplatz)
• SmartCard Leser SCT 3512 oder SCR 3310
• SmartCard Infineon SLE66CX680PE inkl. CardOS 4.4
• Zusätzlich für zentrales Management
• TrustedObjects Manager Lizenz
• TrustedObjects Manager 19 Zoll appliance
• Lizenzmodelle
• Subscription (zeitlich befristetes Nutzungsrecht)
• Inkl. Update- und Support
• Auf Anfrage: Perpetual (zeitlich unbefristetes Nutzungsrecht)
• Zuzüglich Update und Support 20 % pro Jahr
45
© 2013 ı Classification: Partner ı Version 1.0
Zentrales Management über TrustedObjects Manager
Zentrale Verwaltung:
Zentrales Benutzer-Management
Anbindung an Verzeichnisdienste (LDAP)
Zentrale Protokollierung der Events
Integrierte CA
Unterstützung existierender CAs
Weitere geplante Funktionen:
Remote-Rücksetzen von vergessener PIN mittels Challenge-Response
Flexibles Rechtemanagement mit Remote-Änderung von Benutzerrechten
46
© 2013 ı Classification: Partner ı Version 1.0
TrustedDisk – Unterschiede zwischen den Varianten Vorteile der Einzelplatzversion ohne zentrales Management
Keine weitere Hardware notwendig (Platz / Stromverbrauch)
Keine Änderungen am Netzwerk (Firewall / VLANs)
Die Kosten für TOM (Hardware und CAL) entfallen
Vorteile der Version mit zentralem Management über den TrustedObjects Manager
Zentrale PUK Verwaltung
Übersicht über den Status der Clients (Verschlüsselungsstatus / Verbindung)
Zentrale Protokollierung der Events
Zertifikate werden zentral abgelegt auf dem TOM
Flexibles RollOut Szenario von TrustedDisk und der SmartCards
Einfache Neuanlage von zusätzlichen Benutzern auf den Clients
47
© 2013 ı Classification: Partner ı Version 1.0
Workstations
• Übersicht über alle Workstations, inklusive der Information über den Verschlüsselungsstatus:
48
© 2013 ı Classification: Partner ı Version 1.0
Certificate Manager • Erstellung eines Root Zertifikates, Export der Zertifikate (Standalone Version)
• Personalisierung von Token
• Löschung von Token
• Änderung der PIN durch Eingabe von PUK oder PIN
49
© 2013 ı Classification: Partner ı Version 1.0
• Festplattenverschlüsselung für hohe Sicherheitsanforderungen • Verschlüsselung von Festplatten und mobilen Speichergeräten • Zulassung für Geheimhaltungsgrad VS NfD
• Sichere Authentisierung mittels SmartCard • Flexibler RollOut inkl. SmartCard-Personalisierung • Zentrales Management
Roadmap 2014: • Anbindung an DFN-PKI • Generierung und Zertifizierung von Signatur-, TrustedDisk- und
Verschlüsselungsschlüssel • Verwendung der TrustedDisk SmartCard für weitere Anwendungen
• Benutzerauthentifikation • E-Mail Verschlüsselung
•
50
© 2013 ı Classification: Partner ı Version 1.0
Sirrix- Kurzvorstellung
51
© 2013 ı Classification: Partner ı Version 1.0
Sirrix Historie – Spin-Off des Instituts für Kryptographie und Sicherheit am DFKI in
Saarbrücken
– Start des operativen Geschäftes in 2005 – Erfolgreich im Projektgeschäft
– Aufbau Geschäftsbereich ComSec
– Realisierung von vielen Projekten im IT-Sicherheitsbereich
– Beteiligung an Forschungsprojekten
52
© 2013 ı Classification: Partner ı Version 1.0
Sirrix Historie und Zukunft
• 2006 Projektstart für die Turaya Sicherheitsinfrastruktur
• 2009 Entwicklungsstart für kommerzielle Standardprodukte (TrustedVPN)
• 2010 Entwicklungsstart der Produktfamilie „TrustedDesktop“
• 2011 Produktfreigabe Browser in the Box Enterprise • Gemeinsame Entwicklung von BizzTrust mit dem Fraunhofer Institut
• 2012 Bekanntmachung und Start des Sirrix Partner Programms • Produktfreigabe von TrustedDisk
• 2013 Vorstellung BizzTrust
• 2014 Produktfreigabe BizzTrust
• Vorstellung „PanBox“
53
© 2013 ı Classification: Partner ı Version 1.0
Agenda
Hauptsitz in Saarbrücken
EMV-isolierte Entwicklungsbereiche Infrastruktur für VS-Entwicklungen bis SG
Niederlassung in Bochum
Hochsicherheitsgebäude mit abstrahl- geschützter Infrastruktur.
Standort Darmstadt
• Im Gebäude der Fraunhofer Gesellschaft
Vorstand:
Ammar Alkassar CEO
Christian Stüble CTO
Markus Bernhammer CSO
Aufsichtsrat:
Dipl.-Ing. Harald Stöber, Düsseldorf (Vorsitzender)
Dipl.-Kfm. Hans-Joachim Kraemer, München (stellv. Vors.)
HQ in Saarbrücken
NL in Bochum
54
© 2014 ı Classification: Public
T URAYA T M
TrustedInfrastructure
• TrustedO bjects Manager
• TrustedVPN
• TrustedDesktop
• TrustedServer
T URAYA T M SecurityKernel
• TURAYA TM
Embedded
• TURAYA T M
Mobile
Sprachverschlüsselungs-
systeme
• ISDN/Vo IP/GSM
• TETRA/BO S-D/SNS
• NATO -SCIP
Fax Encryption Systeme
Radio Encryption Systeme
• Module für
VHF/UHF Radios
• Handsets für HF-Radios
Brow ser in the Box
Secure Brow sing
TrustedDisk
HardDisk&USB-Encryption
Mobile Device Security
• TrustedMobile
iO S/Andro id
• BizzTrust ™
Produktlinie
TrustedO bjects Manager
Management fo r
Appliances, Po licies, User, Trusted Domains, …
55
© 2013 ı Classification: Partner ı Version 1.0
Sirrix AG
Im Stadtwald D3 2
66123 Saarbrücken
T 0681 / 95986-0
F 0681 / 95986-500
E info@sirrix.de
W www.sirrix.com
top related