Schwachstellen fanden in der ganzen Geschichte immer schon ihre Aufmerksamkeit. Denke man nur einmal an Achilles. Wie sieht es mit dem Trend der IT-Schwachstellen aus? Was ist heute State of the Art bei der Suche nach IT-Schwachstellen und wohin geht die Reise? Nicht bekannte, Zero-Day und unsere Mobilität werden hier sicher ein Thema sein.
Referent: Pascal Mittner
9. Die Beteiligten
17.05.2013 www.first-security.com 9
Die Ausnutzer: Cyberkriminelle, Spione/Armee, Script Kiddies
Die Entdecker: Hacker, Security Experten, Geheimdienste/Militär
Die Verantwortlichen: Hersteller (Hard-/Software
Developer/Architekten), Administratoren, Integratoren etc.
Wen betrifft es?
Unternehmungen/Wirtschaft
Staaten/Politik
Einzel Personen/Private
10. Von der Erkennung bis zur
Behebung
17.05.2013 www.first-security.com 10
11. Bewertung von
Schwachstellen
17.05.2013 www.first-security.com 11
Common Vulnerability Scoring System V2.0
Grundmetriken
Zugriff und Auswirkungen auf Vertraulichkeit, Verfügbarkeit und
Integrität
Zeitmetriken
Ausnutzbarkeit, Lösung, Status des Berichts
Umgebungsmetriken
Schadenspotential, Anforderungen an Vertraulichkeit,
Verfügbarkeit und Integrität
14. Die Zukunft
17.05.2013 www.first-security.com 14
Was kann den Trend von IT-Schwachstellen beeinflussen?
Soziale Struktur
Politische Situation
Komplexität, Vernetzung und Erweiterbarkeit
15. Die Zukunft
17.05.2013 www.first-security.com 15
Mobile Devices: In Zukunft gibt es ein Gerät, das alles kann
Internet der Dinge: Alles kommuniziert miteinander und besitzt
eine gewisse Intelligenz. Z.B. SmartGrid, Health Tech, Kleidung etc.
Data Mining
Wird es lukrativ als Programmierer Schwachstellen einzubauen
und diese als Zero-Day an Staaten oder Cyberkriminelle zu
verkaufen?
16. Die Zukunft
17.05.2013 www.first-security.com 16
Neue Arten von Schwachstellen?
Verlagerung zu neuen Technologien (IPv6, HTML5, neue
Betriebssysteme etc.
Wie ist die Vorgehensweisen für die Entdeckung und Ausnutzung
von Schwachstellen?
Verbessertes Fuzzing
Intelligentere Scanner
Komplexere und kombinierte Angriffsszenarien
Ist dies besser oder schlechter?
17. First Security Technology AG
Bahnhofstrasse 7
CH-7000 Chur
17.05.2013 17www.first-security.com
Phone: +41 (0)81 250 44 44
Fax: +41 (0)81 250 43 48
info@first-security.com
18. Besten Dank für Ihre Aufmerksamkeit.
„Swiss Made Award Winning Vulnerability Management“
17.05.2013 www.first-security.com 18