msi 2017 - infosec...2017/01/23 · detack gmbh | msi 23.01.2017 geschwindigkeit beschleunigung...
TRANSCRIPT
MSI 2017Authentifizierung 4.0 – Wer bin ich?
Detack GmbH | www.detack.deMSI 23.01.2017
IT Security / Information Security
10 Jahre
Business Continuity Management
14 Jahre
Krisenmanagement
14 Jahre
ISO 27001 / Data Protection / IT Sicherheitsgesetz /Compliance
ISO 22301 / IT-Notfallplanung / BSI / IT Service Continuity Management
Krisenkommunikation / Krisenstabsübungen
Managementsysteme
ISO 27001 / ISO 22301 / ISO 9001 /ISO 14001 / ISO 18001 / BS 10012 / …
10 Jahre
Claudia Frohnhoff
VP Sales & Marketing
Detack GmbH
Ludigsburg / Nähe Stuttgart
Detack GmbH | www.detack.deMSI 23.01.2017
• IT Security Audits• Penetration Tests• IT Security Consulting• Software Development
• Internal / DMZ IT Security Audits• External IT Security Audits
Audit Perspectives
Special Expertise
Detack Audits are conducted 98% manually.
Die Detack GmbH
Our Services
• eBanking• ATM / POS• IBM Mainframe• SAP• Telematic Solutions• Embedded Systems• Authentication (Password / Single Sign On)
Detack GmbH | www.detack.deMSI 23.01.2017
Authentifizierung
Authentifizierung (griechisch αυθεντικός authentikós ‚echt‘, ‚Anführer‘; Stammform verbunden mit lateinisch facere‚machen‘) ist der Nachweis (Verifizierung) einer behaupteten Eigenschaft einer Entität, die beispielsweise ein Mensch, ein Gerät, ein Dokument oder eine Information sein kann, (…)
Authentifizierung ist somit im Prinzip der Nachweis, dass es sich um das Original handelt, wobei sich eine Authentifizierung nicht nur auf Menschen, sondern auf beliebige materielle oder immaterielle Gegenstände, die elektronische Dokumente oder auch Kunstgegenstände sein können, beziehen kann.
Kundenanforderungen Bedrohungslagen
BDSGIT Sicherheitsgesetz (D)SOXMaRiskEnWG…
Informationssicherheit & Datenschutz (ISO 27001)BCM (ISO 22301)Interne & Externe AuditsNormenZertifikate…
NSAStratforLinkedInApple CloudAdobeAshley MadisonUnited…
Gesetzliche Vorgaben
IT-Security Treiber
Bereicherung• Ransomware / Erpressung / Diebstahl
Wettbewerbsvorteile• Wirtschaftsspionage• Aktiver Schaden
Macht• Wirtschaftsspionage• Politische Spionage
Rache / Samaritatum
Motivation von Cyberkriminellen
Web Application Attack
Phishing
Malware (z.B. Ransomware)
PoS Intrusion (Point of Sale)
Insider & Privilege Misuse (z.B. CEO-Fraud)
Top 5 der Cyberangriffe
Detack GmbH | www.detack.deMSI 23.01.2017
Detack GmbH | www.detack.deMSI 23.01.2017
Detack GmbH | www.detack.deMSI 23.01.2017
Detack GmbH | www.detack.deMSI 23.01.2017
BCM ISM
Fortbestand der Geschäftstätigkeit im Not- oder Krisenfall mit sowenig Schaden wie möglich
Schutz von Informationen
Verfügbarkeit
Integrität
(Vertraulichkeit)
Detack GmbH | www.detack.deMSI 23.01.2017
GeschwindigkeitBeschleunigungStandort, Brems- und Lenkverhalten, Fahrzeit, Geräte-ID
Unter der Geräte-ID werden die Fahrdaten zu Fahrwerten verdichtet
Anhand der Geräte-ID werden nun die pseudonymen Fahrwerte den entsprechenden Verträgen zugeordnet
Der kumulierte Fahrwert wird einmal jährlich zur Berechnung des Bonus herangezogen
Versicherung KundeFahrzeug des Kunden Dienstleister
Detack GmbH | www.detack.deMSI 23.01.2017
ISM Schadensfall
Lösungen müssen informationssicher-heitstechnischausgiebig geprüft und abgesichert sein
Imageschaden / Kundenverlust
Detack GmbH | www.detack.deMSI 23.01.2017
Authentifizierungs-methode
HeartbeatUser Accounts
Technical Accounts
Changeable IrreversiblyEncrypted
Passwörter X X X X
Tokens X nein X nein
Smart Cards X nein X (x)*
Biometrics X nein (nein) nein
Authentifizierung /Sicherheitstechnische Features
Detack GmbH | www.detack.deMSI 23.01.2017
- Smart Cards verwenden die PKI Technologie und sind daher in der Theorie sicher.
- Der Private Key bleibt immer auf der Karte und kann nicht extrahiert werden. Hierzu existiert keine bekannte Technologie.
- Die Implementierung von Smart Cards ist, in Windows Systemen die NTLM Hashes verwenden, derzeit noch unsicher. Die Verifizierung der Smart Card wird über einen Proxy geleitet, der die PKI verifiziert und die weitere Authentifizierung über einen fixen NTLM Hash durchführt.
Smartcards
Contact Smartcards, Contactless Smartcards (Radio Transmission), NFC Chip (wie im Telefon), USB Sticks mit NFC & Kontakt, …
Der NTLM Hash gehört fix zu einer Karte. Wird er kompromittiert, muss die Karte ausgetauscht werden. Er kann nicht zurückgesetzt werden. Diese Implementierung gleicht einem im Klartext gespeicherten Passwort.
Bildquelle: Fotolia
Detack GmbH | www.detack.deMSI 23.01.2017
Bildquelle: Fotolia
Biometrie
- Sind leicht zu kopieren, können gestohlen werden (Fingerabdruck auf einem Glas, Auge im Spiegel, Foto, etc.)
- Können niemals wieder zurückgesetzt oder verändert werden
- Können nicht irreversibel verschlüsselt („gehasht“) werden
- Wenn ein Fingerabdruck gescannt wird, werden elektronische Punkte aufgenommen und gesendet. Diese Daten werden verschlüsselt abgelegt, müssen jedoch im Klartext bei der Authentifizierung zum Vergleich mit den gesendeten Daten zur Verfügung stehen. Die Entschlüsselungssoftware liegt zu diesem Zweck auf dem gleichen Server. Wird die Infrastruktur gehackt, liegen die Daten im Klartext vor.
Fingerprints / Retina Scans / Heartbeat /Selfie / …
Werden biometrische Daten gestohlen, kann ein Mitarbeiter dieses Merkmal niemals wieder zur Authentifizierung verwenden.
Bildquelle: Fotolia
Detack GmbH | www.detack.deMSI 23.01.2017
- Tokens verwenden einen Seed zur Erstellung eines Einmal-Codes. Dieser Seed kann vom Token nicht extrahiert werden (ähnlich PKI).
- Der Seed aber muss im Klartext auf dem Backend-Server vorliegen, da auf diesem Seed eine mathematische Funktion zur Erstellung des Einmal-Codes ausgeführt wird. Diese kann nicht auf einem Hash durchgeführt werden.
- Der Seed liegt unverschlüsselt auf dem Backend-Server.
Tokens (Hardware)
Wird der Backend-Server kompromittiert, sind ALLE Tokens sofort betroffen und müssen ausgetauscht werden, da der Seed im Klartext auf dem Backend-Server liegt.
Bildquelle: Fotolia
Detack GmbH | www.detack.deMSI 23.01.2017
- Der Seed kann von einem Hardware Token nicht extrahiert werden. Dieses einzig relevante Sicherheitsmerkmal wird beim Software-Token aufgeweicht, da der Seed von den hierzu verwendeten Endgeräten extrahiert werden kann. Dazu existieren bekannte Verfahren.
- In Kombination mit dem auf dem Backend-Server im Klartext gespeicherten Seed, ist diese Variante für Experten inakzeptabel. Die Sicherheit entspricht einem im Klartext gespeicherten Passwort.
Software Tokens
Bildquelle: Fotolia
Detack GmbH | www.detack.deMSI 23.01.2017
- Passwörter werden irreversibel verschlüsselt (gehasht) gespeichert.
- Starke Passwörter schützen alle Accounts - User Accounts sowie technische und System-Accounts.
- Passwörter können jederzeit zurückgesetzt werden.
- Passwörter werden nie im Klartext gespeichert, um Eingabe und gespeicherten Wert vergleichen zu können.
- Auch bei Einführung von Multifaktor Authentifizierung bleiben Passwörter bestehen und müssen widerstandsfähig gegen Angriffe sein
Bonus: Awareness hilft dem User auch im privaten Bereich
persönlicher Mehrwert
Passwörter
Bildquelle: Fotolia
Detack GmbH | www.detack.deMSI 23.01.2017
Alphabetical lower case 245822
Alphabetical upper case 15394
Numeric 138226
Special 38
Alphanumeric lower case 389396
Alphanumeric upper case 25881
Alphabetical upper and lower case 10567
Alphabetical lower case incl. special 15190
Alphabetical upper case incl. special 995
Special and numeric 1835
Alphanumeric upper and lower case 20568
Alphanumeric lower case incl. special 12937
Alphanumeric upper case incl. special 693
Alphabetical incl. special 1616
Alphanumeric incl. special 1302
EPAS Audit Results – Password Composition
Detack GmbH | www.detack.deMSI 23.01.2017
EPAS Audit Results – Recovery Reason
Detack GmbH | www.detack.deMSI 23.01.2017
Schwache Passwörter in %
Zeit in Monaten
100 %
75 %
50 %
25 %
1 2 3 4 5 6
User Accounts
60 – 70 %
Technical Accounts / Systemadministratoren
EPAS Password Strength Development
7
Awareness Maßnahmen
Detack GmbH | www.detack.deMSI 23.01.2017
C
Anpassung an Ergebnisse der Schutzbedarfsanalyse
Confidentiality
Integrity
Availability
IA Risikoklassifizierung
Auswahl geeigneter Schutzmaßnahmen
Detack GmbH | www.detack.deMSI 23.01.2017
MerciVielen DankThank You
Detack GmbH | Königsallee 43 | DE-71638 Ludwigsburg | +49 7141 125 150 | [email protected]