January 5, 2017 | Author: Kora Weber | Category: N/A
Download Nationale Kooperation CERT-Verbund und CERT-Architektur...
Nationale Kooperation CERT-Verbund und CERT-Architektur
11.1 September 2015 2015 | Bettina Scheller / Uwe Hoppenz | 10. September Uwe Hoppenz
Inhaltsübersicht
2 | 10. September 2015 Uwe Hoppenz
CERT-Architektur und CERT-Verbünde Inhaltsübersicht Komplex 1 - CERT-Architektur Historie und Aufgaben, Tätigkeitsfelder, Ressourcen Problemfelder (ein Beispiel…), Standardisierung Komplex 2 - CERT-Verbünde
Arbeitsteilung, Verbünde Zuständigkeiten, Ausblicke
3 | 10. September 2015 Uwe Hoppenz
/ Kooperationen
CERT-Architektur Begriffsbestimmung / Historie CERT ist die Abkürzung für "Computer Emergency Response Team" (Computer-Notfallteam) • Nach dem Auftreten der ersten Computer-Würmer wurde das erste CERT gegründet (USA / Carnegie Mellon University) • Erste CERTs in Deutschland: • •
CERT des Deutschen Forschungsnetzes (DFN-CERT) Universität Stuttgart
• CERTs existieren sowohl in der Wirtschaft, im Finanzbereich, in der Forschung und Lehre, aber auch im Behörden- und Regierungsumfeld (CERT-Bund)
• Die CERTs schließen sich zu Verbünden zusammen: • • •
FIRST CERT-Verbund Verwaltungs-CERT-Verbund
4 | 10. September 2015 Uwe Hoppenz
CERT-Architektur Aufgaben / Strukturierung
Aufgabenbereiche: • Präventive Aufgaben – Vorbeugen • Erkennung und Reaktion auf Angriffsszenarien, Vorfälle und Sicherheitslücken. • Reaktive Aufgaben – Reagieren • Reaktion auf Angriffe, Vorfälle und Probleme. • Die Entstehung größerer Schäden sowie die Ausbreitung der Vorfälle soll dabei verhindert werden. • Security Quality Management – Verbessern • Verbesserung der Sicherheit und des Risikomanagements. Nicht jeder Bereich oder jede Aufgabe muss tatsächlich von jedem CERT besetzt werden.
5 | 10. September 2015 Uwe Hoppenz
Workshops Intrusion-Detection
Sicherheits-Check
Sensibilisierung
Honey Pot
Cyberkriminalität
Konfiguration
CISO
Schwachstellen Gefährdungspotentiale
IPSec
Datenschutz
Firewall
Integritätssverlust
TI-Listing
DNS-Spoofing
Scan
Bundesamt für Sicherheit in der Informationstechnik
Virenschutz Teaminfo Phishing / Pharming Verschlüsselung Sicherheitsmaßnahmen Authentisierung SPHINX(S/MIME) Protokollierung
ICMP
Computer-Forensik SSL/TLS-Absicherung
ITIL
Fernwartung
Hijacking
Kryptografische Absicherung
Umsetzungsplanung zur Leitlinie Informationssicherheit 6 | 10. September 2015 Uwe Hoppenz
CERT-Architektur Aufgaben / Strukturierung / Ressourcen Präventive Aufgaben – Vorbeugen Erkennung und Reaktion auf Angriffsszenarien, Vorfälle und Sicherheitslücken • Single Point of Contact (SPOC): • Kontaktstelle mit Vorfallbearbeitungssystem • Warn- und Prüfdienste • Beobachtung nationaler / internationaler Lagebilder • Sensorik / Prüfdienste - Team: • Sensorik, Honey Pots, C&C-Listing • Auswertung IDS/IPS und SIEM-Funktionen • Penetrations-Testung
7 | 10. September 2015 Uwe Hoppenz
CERT-Architektur Aufgaben / Strukturierung / Ressourcen Reaktive Aufgaben – Reagieren Reaktion auf Angriffe, Vorfälle und Probleme. Die Entstehung größerer Schäden sowie die Ausbreitung der Vorfälle soll dabei verhindert werden. • Response Team: • • • • •
Einbindung des SPOC Forensik Analysten Rechtsanwälte Kommunikations- und Presse-Profis
8 | 10. September 2015 Uwe Hoppenz
CERT-Architektur Aufgaben / Strukturierung / Ressourcen Security Quality Management – Verbessern Verbesserung der Sicherheit und des Risikomanagements • Organisation Team: • • • • • • • •
Aufbau, Kontrolle und QS des CERT Workshops Sensibilisierung Aus- und Weiterbildung CERT Kennzahlenerstellung Lagebilderstellung Organisationsinterne Gremienarbeit Gremienarbeit
9 | 10. September 2015 Uwe Hoppenz
CERT-Architektur Problemfelder / Gegner • Wirtschaftskriminalität • Motivation: Geld, Schädigung von Konkurrenten, Patente…
• Geheimdienste • Motivation: Politische Vorteile, wirtschaftliche Abhängigkeiten, militärische Hintergründe • Religiöse Fanatiker • Motivation: Vorbereitung von Anschlägen, Rufschädigung, Propaganda, Auffinden von Aussteigern
Welches Szenario kann eine Behörde auf Landesebene betreffen?
10 | 10. September 2015 Uwe Hoppenz
CERT-Architektur Problemfelder / Gegner Ein konstruiertes Beispiel…. • Firma X aus dem Solarsektor ist für einen Konkurrenten interessant • Die Konkurrenz interessiert sich für eventuelle Technologievorsprünge und die finanzielle Situation der Firma • Neben dem Angriff auf die Firma X, ist die breite Informationsbeschaffung ein immer stärker wachsender Bereich • Meldet Firma X Patente an? – Patentamt • Bemüht sich Firma X um Fördermaßnahmen? – Wirtschaftsförderung, Wirtschaftsministerium, Finanzverwaltung, Finanzministerium
• Sind Gesetzesänderungen zum Vorteil von Firma X absehbar? – Wirtschaftsministerium, Wirtschaftsverbände
• Hat Firma X ein größeres Bauvorhaben geplant? – Bauaufsicht, Wirtschaftsministerium, Finanzbehörden, Finanzministerium
Das Thema betrifft also viele Behörden! 11 | 10. September 2015 Uwe Hoppenz
CERT-Architektur Problemfelder / Gegner Was zeichnet die potentiellen Angreifer aus? • Die Angreifer agieren hochprofessionell • Sie verfügen zum Teil über sehr große Ressourcen • Dies zeigt sich in: • Service Level Agreements (SLA´s) für Angriffswerkzeuge – hätte jeder gern bei den Produkten der täglichen Arbeit
• Arbeitsteilung bei der Software-Erstellung und Pflege – • •
wünschenswert für jede Software Qualitätsmanagement – wer wünscht sich das nicht? Motivation – hier bestehen im Behördenumfeld teilweise Nachholebedarf
Damit treiben die Angreifer die CERTs in eine Problemzone: 12 | 10. September 2015 Uwe Hoppenz
CERT-Architektur Problemfelder / Gegner
Fast jedes CERT (Behörden-, wie Industrie-CERT!) kämpft permanent mit folgenden Themen: • Sensibilisierung der Leitung Ziel: Unterstützung, Nähe zur Leitung • Weisungsbefugnisse zur Durchsetzung der Aufgaben • Ressourcenzuteilung im Vergleich zu den Angreifern zu gering
Da bisher in den Behörden „zu wenig“ passiert ist, bekommen CERTs meist zu wenig Unterstützung, Ressourcen und Weisungsbefugnisse!
13 | 10. September 2015 Uwe Hoppenz
CERT-Architektur Standardisierung / Arbeitsteilung Wege zur Problemminimierung in Bezug auf Ressourcendefizit: Ressourcenschonende Arbeit durch • Standardisierung der Arbeit • Arbeitsteilung • Zusammenarbeit
Zusammenarbeit und Arbeitsteilung ist nur bei strikter Standardisierung möglich!
14 | 10. September 2015 Uwe Hoppenz
CERT- Kooperation Standardisierung / Arbeitsteilung
Wenn die Arbeit standardisiert ist, kann sie auch verteilt werden
16 | 10. September 2015 Uwe Hoppenz
17 | 10. September 2015 Uwe Hoppenz
CERT- Kooperation CERT-Verbünde / Kooperationen Verbünde / Partner: • Bundesamt für Sicherheit in der Informationstechnik (BSI) / CERT Bund: • •
CERT-Bund (Computer Emergency Response Team für Bundesbehörden) ist die zentrale Anlaufstelle für präventive und reaktive Maßnahmen bei sicherheitsrelevanten Vorfällen in Computer-Systemen. Es ist beim BSI angesiedelt.
• Allianz für Cyber Sicherheit • •
eine Initiative des BSI, die in Zusammenarbeit mit dem Bundesverband Informationswirtschaft, Telekommunikation und neue Medien e.V. (BITKOM) gegründet wurde. Übernimmt Koordinierungs- und Informationsaufgaben für BSI, VCV und Industrie
• Verwaltungs CERT Verbund • •
Gründung vom IT Planungsrat in der IS-Leitlinie festgelegt Im Rahmen des VCV tauschen die Landes-Verwaltungen Informationen und Lösungswege aus, um effektiver und schneller auf IT-Angriffe reagieren zu können.
18 | 10. September 2015 Uwe Hoppenz
CERT- Kooperation CERT-Verbünde / Kooperationen
Verbünde / Partner: • CERT Verbund • •
Mehr als dreißig der großen Unternehmens-, kommerziellen, akademischen und Verwaltungs-CERTs auf Bundes- und Länderebene. Erfahrungsaustausch, enge Zusammenarbeit
• ENISA • •
Ist auf der Ebene der Europäischen Union für Netz- und Informationssicherheit zuständig. Die Agentur unterstützt EU-Behörden und -Institutionen, fungiert als Forum für den Verfahrensaustausch und erleichtert die Kontakte zwischen EU-Institutionen und staatlichen Behörden.
• FIRST • •
führende Organisation für Reaktion auf Vorfälle. Die Mitgliedschaft in FIRST verbessert proaktiven und reaktiven Möglichkeiten der Reaktion auf Sicherheitsvorfälle.
19 | 10. September 2015 Uwe Hoppenz
CERT- Kooperation CERT-Verbünde / Kooperationen
Gebiete der Arbeitsteilung: • Kommunikationswege • Kommunikationsmittel • Warnmeldungen • Frühwarndienst • Allgemeine Anfragen • Sensorik und Prüfdienste • Tool-Entwicklung (HoneySens Projekt des SAX.CERT) • Kennzahlen Entwicklung und Verteilung • Lagebild • Sensibilisierung / Workshops / Ausbildung 20 | 10. September 2015 Uwe Hoppenz
CERT- Kooperation CERT-Verbünde / Kooperationen VCV
CV
BSI / CERT Bund
Kommunikationswege
x
x
x
x
x
x
Kommunikationsmittel
X
X
X
X
X
X
x
x x
X
Dienst / Aufgabengebiet
Warnmeldungen
Cyber Allianz
ENISA
FIRST
Frühwarndienst
x
x
x
Allgemeine Anfragen
x
x
x
Sensorik
x
x
Prüfdienste
x
Tool-Entwicklung
x
x
x
Lagebild
x
x
x
x
x
Sensibilisierung / Workshops / Ausbildung
x
x
x
x
x
Kennzahlen Entwicklung und Verteilung
x
x
x
x
21 | 10. September 2015 Uwe Hoppenz
x
x
CERT- Kooperation CERT-Verbünde / Kooperationen
FAZIT / Ausblick: • Standardisierung, Kooperationen und Arbeitsteilung sind unabdingbar für schlagkräftige CERT-Arbeit • Das „Aufrüsten“ auf beiden Seiten wird immer weiter gehen!
• Die Arbeitsweisen und die Schlagkraft von CERTs im BehördenUmfeld verbessern sich stetig. • Es besteht aber ein kontinuierlicher Ressourcenbedarf! • Es wird immer ein Hase und Igel-Spiel geben….
Wir wollen dabei der Igel sein! 22 | 10. September 2015 Uwe Hoppenz
Sie finden uns unter: www.cert.sachsen.de SAX.CERT im Staatsbetrieb Sächsische Informatik Dienste
Riesaer Straße 7 01129 Dresden Telefon (+49) (0351) 79 99 77 99 E-Mail:
[email protected]
23 | 10. September 2015 Uwe Hoppenz