nubit 2005 it security – aktuelle gefahren und lösungen walter jekat cto noxs europe
TRANSCRIPT
NUBIT 2005IT Security – aktuelle Gefahren
und Lösungen
Walter JekatCTO NOXS Europe
Einige Worte über NOXS
• Value Added Distributor spezialisiert auf IT Security
• Langjähriger Partner der NetUSE AG• Aktiv in 8 europäischen Ländern, 350
Mitarbeiter, ca. € 150 mio profitabler Umsatz
• Breites Spektrum an relevanten Dienstleistungen
• Fokussierung auf Markt- und Technologieführeren
Agenda
• Herstellerthemen:– Microsoft & Sybari– Konsolidierung der Security Branche
• Hotbuttons:1. Die wunderbare E-Müll Welt2. Security ist zu komplex3. Die Welt ist mein LAN4. Vertraulich? Sie scherzen!
Microsoft & Sybari
• Microsoft auf Einkaufstour:– RAV– Giant Software– Sybari
• Über Sybari:– 1.6% Marktanteil Enterprise A/V– $34 mio Umsatz in 2003– Erwarten 22% Wachstum für 2004– Hauptfokus Messaging Server – 9.3% Anteil– Behaupten 10k Kunden and 10mio Mailboxen– Nur 3rd Party Scan Engines: CA, Sophos, Norman,
Kaspersky….– Betonen Unterstützung mehrerer Scan Engines
Microsoft & Sybari
• Aktuelle Marktsituation:
Konsolidierung der Security Branche
Date Acquirer Target Price CategoryDec 04 Symantec Veritas $13.5 bill SANDec 04 AEP Netilla unknown SSL VPNDec 04 3COM Tipping Point $430 million IPSDec 04 Cisco Protego $65 mio Security MonitoringOct 04 Cisco Perfigo $74 mio NW admisson controlSep 04 Symantec LIRIC Associates unknown Prof. Svcs. UKSep 04 Symantec @stake unknown Prof. Svcs. USAug 04 CA PestPatrol unknown Anti-SpywareAug 04 McAfee Foundstone $86 million vulnerability mgt.May 04 Symantec Brightmail $370 million Anti SpamApr 04 CyberGuard webwasher $50 million Content SecurityMar 04 Cisco Riverhead $39 mio DDoS mitigationMar 04 Cisco Twingo $5 mio SSL VPNJan 04 ISS Cobion $32.9 million Content SecurityDec 03 Check Point Zone Labs $205 million Desktop SecurityOct 03 SafeNet Rainbow Tech. $450 million SSL VPN/AuthenticationOct 03 Symantec On Technology $100 million Patch ManagementOct 03 Symantec SafeWeb $26 million SSL VPN Oct 03 Netscreen Neoteris $265 million SSL VPNApr 03 McAfee Entercept $120 million Host based IDSApr 03 McAfee IntruVert Networks $100 million Network based IDSJan 03 Cisco Okena $154 million Host based IDSOct 02 NetIQ Pentasafe $267 million Security ManagementAug 02 Netscreen OneSecure $40 million Network based IDSJul 02 Symantec Recourse $137 million Network based IDSJul 02 Symantec Riptech $145 million Managed Security ServicesJul 02 Symantec SecurityFocus $75 million Threat Detection
Firmenübernahmen im Bereich IT Security
Konsolidierung der Security Branche
• Zu Wachstumssicherung müssen Marktführer in Einzelsegmenten sich in neue Segmente ausdehnen
• Etliche Hersteller sitzen auf sehr hohe Bargeldbestände und „müssen“ investieren
• Wie lange noch wird „best-of-breed“ im Security Bereich dominieren? Vgl. Check Point
• Entwicklung hin zu integrierten Lösungen also technisch, als auch betriebswirtschaftlich getrieben
• Immer weniger Hersteller werden den Markt dominieren
• Umso wichtiger ist es neue innovative Hersteller/Technologien aufzudecken
Hot Button #1 – die wunderbare E-Müll Welt
• Die Killerapplikation „E-Mail“ ist kurz vorm Zusammenbruch:– Die Spamflut (Typische Schätzungen 60-
70% des E-mail Aufkommens)– Phishing als Zusammenwachsen von
Kriminalität und Spam• Radicati: The number of phishing attacks expected to
grow 115% in 2005• 70% of phishers are launching their attacks from
Eastern Europe and Southeast Asia.
Hot Button #1 – die wunderbare E-Müll Welt
• Die Killerapplikation „E-Mail“ ist kurz vorm Zusammenbruch:– Lt. Symantec durchschnittlich 5,8 Tage
zwischen Aufdecken einer Schwachstelle und Auftauchen von Exploit Code
– Z.B. Witty Wurm erschien zwei Tage nach Veröffentlichung der Vulnerabilty
– E-Mail als Transportmechanismus für Adware und Spyware
– Immer schnellere Permutation der Viren/Würmer
Der Anti-Spam Markt
• ist extrem fragmentiert….
Der Anti-Spam Markt
• Wird früher oder später mit A/V zusammenwachsen (Symantec – Brightmail!)
• Viele kleinere Hersteller haben keine eigene Technologie
• Erstmals relativ hohe Akzeptanz (lt. Radicati Group ca. 25% Marktanteil) von Managed Lösungen (Brightmail MSPs, Postini, Messagelabs, Blackspider....)
• Eine Technologie reicht nicht!• Kontinuierlicher Tuningaufwand• False Positive schlimmer als False Negative
(vgl. A/V!)
Der Anti-Spyware Markt
• Pest Patrol hat vor einigen Jahren diesen Markt „erfunden“
• Spyware/Adware - Ärgernis oder Gefahr?• Bereinigen recht schwierig• Zum Teil bewusstes Schüren einer Hysterie• Lethargie der A/V Hersteller• Pest Patrol Übernahme durch CA erzwang
Reaktion seitens McAfee und Symantec • Übernahme von Giant Software durch
Microsoft und sofortiges Beta Release• Ist der Markt jetzt schon tot?
Was ist los mit den A/V Herstellern?
• Einige provokante Gedanken
1. Wie lange können Signatur-basierte Ansätze noch skalieren? Intelligentere Ansätze müssen her!
2. Wie können Zero Day Exploits erkannt werden? (interessante Ansätze bei Aladdin und Finjan)
3. Viele A/V Hersteller sehen nur Viren und ignorieren die komplexere Realitäten. Vgl. Spyware, Worm Containment, Integrated Endpoint Security usw.
4. Gateway A/V ist zu langsam, zu komplex und zu teuer. Ein A/V „Netscreen“ muss die Regeln ändern.
5. Die A/V Hersteller können mit dem Thema „Microsoft“ noch nicht umgehen....
Hot Button #2 – Security ist zu komplex
• Neue Bedrohungen = Neue Produktkategorien
• Jedes System stellt eine Fehlerquelle dar• Jedes System liefert Logdaten• Integration von Remote Standorten und
Usern in das Sicherheitskonzept• Im ersten Halbjahr 2004 wurden 1237
Vulnerabilities aufgedeckt – wie reagieren?• Zunehmender Personalaufwand
Lösungsansatz - Magic Boxes
• Zusammenwachsen unterschiedlichster Funktionen auf einer Appliance:– Firewall/VPN– Intrusion Prevention– Gateway A/V and Anti-Spam– Content Filtering– Switches, Routers, WLAN Access Points...
• Integrierte Administration• Kernfrage: „good-enough“ vs. „best-of-breed“?• Wer besitzt das geistige Eigentum?• Unternehmensgateway vs. ROBO/SOHO?
Lösungsansatz - Magic Boxes
• Attraktiv für Hersteller zur Erhöhung der Wertschöpfung
• Vendors to watch:– Check Point (+ Nokia, Crossbeam)– Fortinet– ISS– Juniper– SonicWALL– Symantec– WatchGuard
Lösungsansatz – Security und Vulnerability Management
• Im Enterprise Bereich sehen wir eine Explosion an Security Events, Reports, Vulnerabilties und Management Konsolen.
• Wie konsolidieren und korrelieren?
• Wie mit Netzwerk- und Systemmanagement integrieren?
• „Regulatory Compliance“ ist das Schlagwort!
• Allerdings: die Vision ist momentan besser als die Realität
• Bisher zahllose no-names, CA und Symantec als Anbieter
Hersteller Ansätze?
Markteintritt von Check Point
• Vor wenigen Tagen Ankündigung von „Eventia Analyzer“
• Höchst interessant, da zentrales Management DIE Kernkompetenz von CHKP ist
• Korreliert Daten von CHKP, Cisco Router und Switches, ISS, Snort, Apache Web Server, Cisco und Juniper Firewalls
Markteintritt von Check Point
Markteintritt von Check Point
• Intelligenter Selbstlernmodus um „normale“ Aktivität zu erkennen
• Vordefinierte und konfigurierbare Security Events
• Real-time Alerts und automtisches Blocken schädlicher Aktivitäten
• Automatisierte Berichtserstellung und -verteilung
• Integration mit Check Point SMART Management
Hot Button #3 – die Welt ist mein LAN
Netzwerkgrenzen sind vollkommen aufgelöst (WLAN, 3G,IPSEC VPN, SSL VPN, Web Services...)
Endpoint Security
• Wir können uns nicht mehr auf die Integrität der Endgeräte verlassen
• Vorm Netzwerkzugang muss die Identität der Zugangsgeräte überprüft werden 802.1 und Cisco NAC
• Vorm Netzwerkzugang muss die Integrität der Zugangsgeräte überprüft werden
Revisionstände, Securitysoftware etc.• Zentrales Management ist unabdingbar• Auch hier werden wir eine Konvergenz der
Hersteller erleben– Firewall Hersteller: Check Point Zonelabs, Sygate– IDP Hersteller: ISS Blackice, Cisco Okena– A/V Hersteller: McAfee, Symantec
WLAN Security
Herausforderung: WLAN‘s tauchen überall auf. Sie sind nützlich, sexy, preiswert und
unsicher....
WLAN Security
• Kern Security Themen:– Fehlerhafte Access Point Konfiguration– Rogue AP‘s– AP Spoofing
• WLAN aktuell sehr gefragt in vertikalen Märkten, wie like Handel, Logistik, Gesundheitswesen und Bildung
• Wir erwarten grosse allgemeine Roll-outs in 2005 und 2006
• „Jedes“ Notebook hat einen Centrino Chipsatz und wird Nachfrage durch Endanwender und Management forcieren
• „Jeder“ kann einen ungesicherten €39 Access Point installieren
• Die Firewall wird elegant umgangen
WLAN Security
• Die wichtigsten Subsegmente:– Secure („fat“) Access Points (Cisco,
Sonicwall, Fortinet, Check Point, Juniper....) und Management Tools (z.B. Cisco WLSE)
– Wireless Intrusion und Rogue AP Detection (Airdefense, Airmagnet, Red-M, Airwave....)
– IPSEC via WLAN (Bluesocket, Vernier...)– Wireless Switching (Aruba, Chantry,
Trapeze, Airespace...vgl Cisco and Siemens Übernahmen)
– Backend Authentifizierung (Funk, Infoblox...)
Was ist ein Wireless Switch?
Consolidate all enterprise WLAN
security and management on one
device
Use many “dumb and cheap” access points
instead of a few “fat and expensive” AP’s
WirelessIntrusionDetection
Layer-3Roaming
StatefulFirewall
RFManagement
VoiceSupport
VPN
Hot Button #4 – Vertraulich? Sie scherzen?
• In typischen Konstellationen haben wir keinerlei Sicherheit, dass vertrauliche Daten nicht:– im E-mail Strom mitgelesen werden– auf Netzwerklaufwerken gelesen
werden– das Unternehmen unkontrolliert
verlassen– mit Notebooks geklaut werden– ....
E-Mail Verschlüsselung
• PGP und S/MIME als akzeptierte Standards
• Einsatz fast nur durch „Profis“• Klassische Lösungen erwarten, dass
Enduser Entscheidungen treffen• Sinnvoller Gateway Lösungen die
unternehmenweite Policies durchsetzen und Schlüssel verwalten
• Interessante Ansätze von PGP Corp. und Glück & Kanja
Datei Verschlüsselung
• Microsoft „Lösung“ nicht skalierbar, kaum administrierbar und nicht für Arbeitsgruppen einsetzbar
• Kernthemen Multibenutzerfähigkeit, Schlüsselhinterlegung und Benutzerrollen
• Brauchbare Lösungen z.B. von ControlBreak, Utimaco, WinMagic
Virtuelle Tresore
• Kerngedanke: vertrauliche Information wird im Intra/Internet in besonders gehärtete Repositories abgelegt
• Erst nach erfolgter Authentisierung erfolgt ein gesicherter, rollenbasierter Zugriff auf Daten
• Revisionssichere Zugriffsprotokollierung
• Hochinteressanter Ansatz von CyberArk bei Grossbanken im Einsatz
Herzlichen Dank