SlideShare une entreprise Scribd logo

SBA Live Academy - Remote Access – Top Security Challenges, Part 1 - Günther Roat, Philipp Reisinger

SBA Research
SBA Research

Abstract: Remote Access – Top Security Challenges An Hand von typischen Audit-Findings diskutieren wir entlang der „Dreifaltigkeit“ People – Processes – Technology die wichtigsten Sicherheitsaspekte zum Thema Remote Access und Telearbeit. Speaker: Günther Roat, SBA Research Philipp Reisinger, SBA Research Talk language: German About the Speaker: ********************* Günther Roat is consultant and team lead of the Information Security Management team at SBA Research. He is a Microsoft Certified Technology Specialist and received his degree in Business Informatics at the University of Applied Sciences Technikum Vienna. His consulting activities are focused on the organizational aspects of information security. Philipp Reisinger is consultant in the Information Security Management team. He received his master’s degree in “Information Security” at the St. Pölten University of Applied Sciences and is CISSP and CISA certified. His consulting activities are focused on the organizational aspects of information security such as: Information security management systems (ISMS), ISO27001 gap and business impact analyses, IT/IS audit, Information risk management and Security Awareness

Technologie
1  sur  25
Télécharger pour lire hors ligne
Classification: Public 1 Willkommen zur SBA Live Academy #bleibdaheim # remotelearning Heute: Remote Access – Top Security Challenges – Teil 1 by Günther Roat, Philipp Reisinger This talk will be recorded as soon as the presentation starts! Please be sure to turn off your video in your control panel.
Classification: Public 2 Professional Services Penetration Testing Architecture Reviews Security Audit Security Trainings Incident Response Readiness ISMS & ISO 27001 Consulting Forschung & Beratung unter einem Dach Applied Research Industrial Security | IIoT Security | Mathematics for Security Research | Machine Learning | Blockchain | Network Security | Sustainable Software Systems | Usable Security SBA Research Wissenstransfer SBA Live Academy | sec4dev | Trainings | Events | Lehre | sbaPRIME Kontaktieren Sie uns: anfragen@sba-research.org
Classification: Public 3 #bleibdaheim #remotelearning Willkommen zur SBA Live Academy!  3 x pro Woche (Di - Do)  13:00 – 13:30 Uhr  20-minütiger Live-Talk  Ausgiebige Q&A Session  Kostenfrei  Programm: https://www.sba- research.org/sba-live-academy/ Treten Sie unserer MeetUp Gruppe bei! https://www.meetup.com/Security-Meetup-by-SBA-Research/
Classification: Public 4 #bleibdaheim #remotelearning Willkommen zur SBA Live Academy! Impulse setzen Interessantes vermitteln Erfahrungsaustausch Tiefgehende Schulung
Classification: Public 5 SBA Live Academy – Kickoff Boost your InfoSec knowledge SBA Research gGmbH, 2020
Classification: Public 6 Remote Access – Top Security Challenges Part I: Typische Auditfindings im Bereich People & Processes Part II: Typische Auditfindings im Bereich Technology 02.04.2020, 13.00 Uhr SBA Research gGmbH, 2020
Classification: Public 7 Vorwort Audits als Werkzeug der kontinuierlichen Verbesserung SBA Research gGmbH, 2020 • Die Auditfeststellungen sollen keine überhebliche Top Down Predigt von Auditoren im Elfenbeinturm sein! • Viele SBA Prüfer kommen selbst aus der operativen IT, SW Entwicklung und müssen sich auch intern mit Informationssicherheitsanforderungen „herumschlagen“. • Informationssicherheit muss langfristig gedacht werden und sich stätig weiterentwickeln (KVP). -> Blick von Extern hilft oft Blind Spots und aufzudecken.
Classification: Public 8 People – Processes – Technology Die drei Säulen der Informationssicherheit SBA Research gGmbH, 2020 „Wenn Sie glauben, Technologie könne Ihre Sicherheitsprobleme lösen, dann verstehen Sie die Probleme nicht und Sie verstehen die Technologie nicht.“ – Bruce Schneier, Vorwort von Secrets and Lies, 2000 “Security is not a product. It‘s a process.” – Bruce Schneier
Classification: Public 9 People – Processes – Technology Drei Säulen der Informationssicherheit SBA Research gGmbH, 2020 People ProcessesTechnology
Classification: Public 10 People – Processes – Technology Typische Auditfindings SBA Research gGmbH, 2020 People ProcessesTechnology
Classification: Public 11 People Typische Auditfindings I Zwei Themengebiete sind sei jeher unter den Top Feststellungen: • Keine/wenige unternehmensweiten Richtlinien zum Thema. o z.B. Nutzung privates Equipment erlaubt/verboten/wofür zulässig? o Unstrukturiertes „Ausnahmenmanagement“. • Mangelnde Schulung der Mitarbeiter. o z.B. Sicherer Verwendung von zulässigen Remote Access Tools & Gefahren. SBA Research gGmbH, 2020
Classification: Public 12 People Typische Auditfindings II Information Governance • Oftmals „totes Papier“ – sofern überhaupt vorhanden. o Verantwortung der InfoSec Teams ist nicht nur Vorgaben zu definieren, sondern auch bei deren Umsetzung zu unterstützen und zu beraten! • Informationsklassifikation & Verarbeitungsregelungen o Was darf von welchen Geräten aus verarbeitet und wo gespeichert werden? o Nur kleinem Kreis der „InfoSec Wissenden & Auditoren“ bekannt. • Sync von Firmenmails auf mangelhaft verwaltete Smartphones. o Selten über IMAP, aber oft über Active Sync mit schwachen Sicherheitseinstellungen (z.B. kein PIN Enforcement). SBA Research gGmbH, 2020
Classification: Public 13 People Typische Auditfindings III • Verstärkte Gefahr Social Engineering nicht angemessen adressiert. o Phishing: Mitarbeiter Awareness mit regelm. Infomails aufrechterhalten – hier mehr denn je zeitnah informieren. o CEO Fraud: Sind Verifizierungs-Prozesse auch im Telearbeitsworkflow sichergestellt? – Erreichbarkeit der Beteiligten? o Incident Response Prozesse stehen vor Herausforderungen bei flächendeckender Telearbeit (wie wird Client isoliert etc.). • Thema Media Disposal @ Home nicht geregelt (PII im Papiermüll). SBA Research gGmbH, 2020
Classification: Public 14 People Typische Auditfindings IV • Benutzerfreundlichkeit der Lösung nicht berücksichtigt, wodurch sie mittels „alternative Kanäle“ umgangen wird. o Timeouts (VPN, RDP, etc.) gehen an Arbeitspraxis vorbei. o Performance der Firmengeräte im Home Office nicht ausreichend. o Installation von privaten Druckern auf Firmengeräten möglich? (sonst Umgehung mittels USB Stick und privater Email) • Nutzung nicht autorisierter Fernwartungssoftware (e.g. TeamViewer, VNC, LogMeIn etc.). o z.B: Dev und R&D (keine Schuldzuweisung) SBA Research gGmbH, 2020
Classification: Public 15 People – Processes – Technology Typische Auditfindings SBA Research gGmbH, 2020 People ProcessesTechnology
Classification: Public 16 Processes Typische Auditfindings I • Verfügbarkeit & Kapazitätsplanung nicht berücksichtig. o Sind wichtige Komponenten hochverfügbar? (VPN Endpoints, Server Cluster) o QoS/Traffic Shaping -> müssen Mitarbeitergruppen priorisiert werden? o Wartungsfenster aktuell schwer planbar -> Mitarbeiter haben durch Familienpflichten ungewöhnliche Arbeitszeiten. • Kein Monitoring bzw. Alerting bei fehlgeschlagenen Anmeldeversuchen. o Brute Forcing, Password Spraying & Credential Stuffing Angriffe. o Verfügbarkeitssicht - > zu viele Requests durch Brute Forcing -> DoS o User Lockouts durch Sicherheitsmaßnahmen am Perimeter. SBA Research gGmbH, 2020
Classification: Public 17 Processes Typische Auditfindings II • Kein strukturierter „Demand Prozess“ & Schatten IT o z.B. dringender Bedarf an neuer Online Meeting Lösung geht an Demand Prozess vorbei (zu langsam) -> Prozess für Re-Evaluierung nach Überwindung der aktuellen Situation. • Langsames Patch Management bei kritischen Remote Access Schwachstellen o Insb. aktuell: Konflikt Verfügbarkeit vs. Sicherheit. o Spätestens wenn Exploits automatisierbar sind -> patchen! o e.g. Bluekeep & BlueGate, Citrix Gateway, etc. o Angreifer nutzen Krisensituationen um ihre Erfolgschancen zu erhöhen! SBA Research gGmbH, 2020
Classification: Public 18 Processes Typische Auditfindings III • Kein Prozess zur zentralen Meldung und Sperrung von externen Zugängen (etwa bei Diebstahl des Notebooks) o Kontaktdaten für Helpdesk auch ohne Firmenclient verfügbar? o Kann ich einzelne Geräte überhaupt aus dem VPN aussperren? • Keine zentrale Sichtbarkeit und Review von Externen mit VPN Zugriff (inkl. Shared Accounts). o Alle zuvor besprochenen Aspekte treffen nun natürlich auch auf Dienstleister im Home Office zu – Risiko kann hier noch höher sein! SBA Research gGmbH, 2020
Classification: Public 19 Processes Typische Auditfindings IV • Kein Notfallplan/Alternativen für den Ausfall von Remote Access Services. • Neu: Wie werden defekte Endgeräte gerade serviciert? o Abholung durch Botendienst? o Wie ist die Ansteckungsgefahr durch Notebook Oberflächen einzuschätzen? o Sofort durch neues Gerät tauschen? o Ersatzgerät (vor Ort) für „kritische“ Mitarbeiter/Prozesse? SBA Research gGmbH, 2020
Classification: Public 20 Processes Typische Auditfindings V • Wie geht man aktuell mit Endgeräten um die eine Malware Infektion anzeigen? o Wie schon bei Verlust des Clients: Kann ich einzelne Devices überhaupt aus dem VPN aussperren? o Bzw. kann ich einzelne Geräte im VPN so isolieren, dass ich noch IR/Forensics Maßnahmen durchführen kann? (Quarantäne/Remediation Netz). • Daten auf lokalen Geräten im Backupkonzept nicht berücksichtigt bzw. Thema in Schulungen/Richtlinien nicht adressiert. SBA Research gGmbH, 2020
Classification: Public 21 People – Processes – Technology Typische Auditfindings SBA Research gGmbH, 2020 People ProcessesTechnology
Classification: Public 22 Ausblick: Technology Typische Auditfindings • Keine Zwei Faktor Authentifizierung. • Schlechte Netzwerk Segmentierung im vgl. zu on-Premise. • Nutzung veralteter und unsicherer Protokolle (e.g. PPTP). • Private Geräte im Unternehmens-VPN ohne angm. Security Baseline. o Patch-Status, AV aktiv, Host Firewall aktiv, Festplattenverschlüsselung etc. • Keine Sichtbarkeit & Schutz des Client Internetverkehrs (Split Tunneling). • RDP direkt im Internet / Kein RPD Hardening (e.g. Gateways, NLA, Encryption). • Kein Hardening der VDI Umgebungen (Escaping). • Schlechte TLS Konfig & keine mutual Authentication (Zertifikatprüfung). SBA Research gGmbH, 2020
Classification: Public 23 Weiterführende Literatur • SBA Research Security Tipps for Home Office: https://www.sba-research.org/2020/03/19/security-tips-for-home-office/ • ENISA Sicherheit bei Telearbeit: https://www.enisa.europa.eu/tips-for-cybersecurity-when-working-from-home • BSI Standards VPN und Fernzugriff: https://www.bsi.bund.de/DE/Themen/StandardsKriterien/ISi-Reihe/ISi-VPN/vpn_node.html und https://www.bsi.bund.de/DE/Themen/StandardsKriterien/ISi-Reihe/ISi-Fern/fern_node.html • BSI VPN Checklist: https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Internetsicherheit/isi_fern_checklist e_pdf.pdf?__blob=publicationFile&v=1 SBA Research gGmbH, 2020
Classification: Public 24 Fragen? SBA Research gGmbH, 2020
Classification: Public 25 Günther Roat SBA Research gGmbH Floragasse 7, 1040 Vienna groat@sba-research.org SBA Research gGmbH, 2020 Philipp Reisinger SBA Research gGmbH Floragasse 7, 1040 Vienna preisinger@sba-research.org

Recommandé

SBA Live Academy, Supply Chain & Cyber Security in einem Atemzug by Stefan Ja...
SBA Live Academy, Supply Chain & Cyber Security in einem Atemzug by Stefan Ja...SBA Live Academy, Supply Chain & Cyber Security in einem Atemzug by Stefan Ja...
SBA Live Academy, Supply Chain & Cyber Security in einem Atemzug by Stefan Ja...SBA Research
 
SBA Live Academy: Remote Access – Top Security Challenges – Teil 2 by Günther...
SBA Live Academy: Remote Access – Top Security Challenges – Teil 2 by Günther...SBA Live Academy: Remote Access – Top Security Challenges – Teil 2 by Günther...
SBA Live Academy: Remote Access – Top Security Challenges – Teil 2 by Günther...SBA Research
 
SBA Live Academy: Datenschutz Teil 1: Wozu Datenschutzgesetze? by Gerald Sendera
SBA Live Academy: Datenschutz Teil 1: Wozu Datenschutzgesetze? by Gerald SenderaSBA Live Academy: Datenschutz Teil 1: Wozu Datenschutzgesetze? by Gerald Sendera
SBA Live Academy: Datenschutz Teil 1: Wozu Datenschutzgesetze? by Gerald SenderaSBA Research
 
SBA Live Academy - "BIG BANG!" Highlights & key takeaways of 24 security talks
SBA Live Academy - "BIG BANG!" Highlights & key takeaways of 24 security talksSBA Live Academy - "BIG BANG!" Highlights & key takeaways of 24 security talks
SBA Live Academy - "BIG BANG!" Highlights & key takeaways of 24 security talksSBA Research
 
Arbeitspraxis 2.0 - Wie wir heute arbeiten.
Arbeitspraxis 2.0 - Wie wir heute arbeiten. Arbeitspraxis 2.0 - Wie wir heute arbeiten.
Arbeitspraxis 2.0 - Wie wir heute arbeiten. University St. Gallen
 
Agile BI in der Praxis - Agiles Testen
Agile BI in der Praxis - Agiles TestenAgile BI in der Praxis - Agiles Testen
Agile BI in der Praxis - Agiles TestenOPITZ CONSULTING Deutschland
 
Vorschau zum Seminar "Strategisches Intranet-Projektmanagement" [DE]
Vorschau zum Seminar "Strategisches Intranet-Projektmanagement" [DE]Vorschau zum Seminar "Strategisches Intranet-Projektmanagement" [DE]
Vorschau zum Seminar "Strategisches Intranet-Projektmanagement" [DE]Stephan Schillerwein
 
Mag. Hans Stögerer (Helvetia Versicherungen)
Mag. Hans Stögerer (Helvetia Versicherungen)Mag. Hans Stögerer (Helvetia Versicherungen)
Mag. Hans Stögerer (Helvetia Versicherungen)Praxistage
 

Recommandé

SBA Live Academy, Supply Chain & Cyber Security in einem Atemzug by Stefan Ja...
SBA Live Academy, Supply Chain & Cyber Security in einem Atemzug by Stefan Ja...SBA Live Academy, Supply Chain & Cyber Security in einem Atemzug by Stefan Ja...
SBA Live Academy, Supply Chain & Cyber Security in einem Atemzug by Stefan Ja...SBA Research
 
SBA Live Academy: Remote Access – Top Security Challenges – Teil 2 by Günther...
SBA Live Academy: Remote Access – Top Security Challenges – Teil 2 by Günther...SBA Live Academy: Remote Access – Top Security Challenges – Teil 2 by Günther...
SBA Live Academy: Remote Access – Top Security Challenges – Teil 2 by Günther...SBA Research
 
SBA Live Academy: Datenschutz Teil 1: Wozu Datenschutzgesetze? by Gerald Sendera
SBA Live Academy: Datenschutz Teil 1: Wozu Datenschutzgesetze? by Gerald SenderaSBA Live Academy: Datenschutz Teil 1: Wozu Datenschutzgesetze? by Gerald Sendera
SBA Live Academy: Datenschutz Teil 1: Wozu Datenschutzgesetze? by Gerald SenderaSBA Research
 
SBA Live Academy - "BIG BANG!" Highlights & key takeaways of 24 security talks
SBA Live Academy - "BIG BANG!" Highlights & key takeaways of 24 security talksSBA Live Academy - "BIG BANG!" Highlights & key takeaways of 24 security talks
SBA Live Academy - "BIG BANG!" Highlights & key takeaways of 24 security talksSBA Research
 
Arbeitspraxis 2.0 - Wie wir heute arbeiten.
Arbeitspraxis 2.0 - Wie wir heute arbeiten. Arbeitspraxis 2.0 - Wie wir heute arbeiten.
Arbeitspraxis 2.0 - Wie wir heute arbeiten. University St. Gallen
 
Agile BI in der Praxis - Agiles Testen
Agile BI in der Praxis - Agiles TestenAgile BI in der Praxis - Agiles Testen
Agile BI in der Praxis - Agiles TestenOPITZ CONSULTING Deutschland
 
Vorschau zum Seminar "Strategisches Intranet-Projektmanagement" [DE]
Vorschau zum Seminar "Strategisches Intranet-Projektmanagement" [DE]Vorschau zum Seminar "Strategisches Intranet-Projektmanagement" [DE]
Vorschau zum Seminar "Strategisches Intranet-Projektmanagement" [DE]Stephan Schillerwein
 
Mag. Hans Stögerer (Helvetia Versicherungen)
Mag. Hans Stögerer (Helvetia Versicherungen)Mag. Hans Stögerer (Helvetia Versicherungen)
Mag. Hans Stögerer (Helvetia Versicherungen)Praxistage
 
Webinar Cyberangriff - Abwehrmöglichkeiten
Webinar Cyberangriff - AbwehrmöglichkeitenWebinar Cyberangriff - Abwehrmöglichkeiten
Webinar Cyberangriff - AbwehrmöglichkeitenA. Baggenstos & Co. AG
 
Webinar Cyberangriff - Abwehrmöglichkeiten
Webinar Cyberangriff - AbwehrmöglichkeitenWebinar Cyberangriff - Abwehrmöglichkeiten
Webinar Cyberangriff - AbwehrmöglichkeitenA. Baggenstos & Co. AG
 
Agile (Software-) Prozesse - Quo Vadis? [in German]
Agile (Software-) Prozesse - Quo Vadis? [in German]Agile (Software-) Prozesse - Quo Vadis? [in German]
Agile (Software-) Prozesse - Quo Vadis? [in German]Martin Gaedke
 
Social Media im Unternehmen
Social Media im UnternehmenSocial Media im Unternehmen
Social Media im UnternehmenHellmuth Broda
 
AG Softwaretechnik
AG SoftwaretechnikAG Softwaretechnik
AG SoftwaretechnikRoland M
 
SeEF 2013 | Bring your own device (Andreas Spichiger)
SeEF 2013 | Bring your own device (Andreas Spichiger)SeEF 2013 | Bring your own device (Andreas Spichiger)
SeEF 2013 | Bring your own device (Andreas Spichiger)Swiss eEconomy Forum
 
OSMC 2017 | Monitoring - dos and don'ts by Markus Thiel
OSMC 2017 | Monitoring - dos and don'ts by Markus ThielOSMC 2017 | Monitoring - dos and don'ts by Markus Thiel
OSMC 2017 | Monitoring - dos and don'ts by Markus ThielNETWAYS
 
Wie Lean ist eigentlich ihre IT – Kundenwert und Verschwendung in der Informa...
Wie Lean ist eigentlich ihre IT – Kundenwert und Verschwendung in der Informa...Wie Lean ist eigentlich ihre IT – Kundenwert und Verschwendung in der Informa...
Wie Lean ist eigentlich ihre IT – Kundenwert und Verschwendung in der Informa...Learning Factory
 
Präsentation: Systemhärtung als präventive IT-Security-Maßnahme
Präsentation: Systemhärtung als präventive IT-Security-MaßnahmePräsentation: Systemhärtung als präventive IT-Security-Maßnahme
Präsentation: Systemhärtung als präventive IT-Security-MaßnahmeNoCodeHardening
 
Eine geniale Lösung für das Benutzermanagement by Suvad Sahovic
Eine geniale Lösung für das Benutzermanagement by Suvad SahovicEine geniale Lösung für das Benutzermanagement by Suvad Sahovic
Eine geniale Lösung für das Benutzermanagement by Suvad SahovicCarsten Muetzlitz
 
Cyber Security im Cloud Zeitalter
Cyber Security im Cloud Zeitalter Cyber Security im Cloud Zeitalter
Cyber Security im Cloud Zeitalter A. Baggenstos & Co. AG
 
IA/ UX in Scrum Entwicklungs-Prozessen - 2009
IA/ UX in Scrum Entwicklungs-Prozessen - 2009IA/ UX in Scrum Entwicklungs-Prozessen - 2009
IA/ UX in Scrum Entwicklungs-Prozessen - 2009Wolf Noeding
 
IT-Sicherheit und agile Entwicklung? Geht das? Sicher!
IT-Sicherheit und agile Entwicklung? Geht das? Sicher!IT-Sicherheit und agile Entwicklung? Geht das? Sicher!
IT-Sicherheit und agile Entwicklung? Geht das? Sicher!Carsten Cordes
 
Mobile Business 2013: Chancen und Herausforderungen
Mobile Business 2013: Chancen und HerausforderungenMobile Business 2013: Chancen und Herausforderungen
Mobile Business 2013: Chancen und HerausforderungenUniversity St. Gallen
 
So erreichen Sie Akzeptanz für Social Software (#DNUG 2013)
So erreichen Sie Akzeptanz für Social Software (#DNUG 2013)So erreichen Sie Akzeptanz für Social Software (#DNUG 2013)
So erreichen Sie Akzeptanz für Social Software (#DNUG 2013)netmedianer GmbH
 
Impulsseminar cloud computing - ufz.ch 20120521
Impulsseminar cloud computing - ufz.ch 20120521Impulsseminar cloud computing - ufz.ch 20120521
Impulsseminar cloud computing - ufz.ch 20120521ihrepartner.ch gmbh
 
Die Architektur, die man kann
Die Architektur, die man kannDie Architektur, die man kann
Die Architektur, die man kannJohann-Peter Hartmann
 
Big Data Discovery + Analytics = Datengetriebene Innovation!
Big Data Discovery + Analytics = Datengetriebene Innovation!Big Data Discovery + Analytics = Datengetriebene Innovation!
Big Data Discovery + Analytics = Datengetriebene Innovation!Harald Erb
 
14. TANNER-Hochschulwettbewerb | Beitrag Team Mayer (Karlsruher Institut für ...
14. TANNER-Hochschulwettbewerb | Beitrag Team Mayer (Karlsruher Institut für ...14. TANNER-Hochschulwettbewerb | Beitrag Team Mayer (Karlsruher Institut für ...
14. TANNER-Hochschulwettbewerb | Beitrag Team Mayer (Karlsruher Institut für ...TANNER AG
 
Zero Trust - Never Trust, Always Verify
Zero Trust - Never Trust, Always VerifyZero Trust - Never Trust, Always Verify
Zero Trust - Never Trust, Always Verifygo4mobile ag
 
SBA Security Meetup - Deploying and managing azure sentinel as code by Bojan ...
SBA Security Meetup - Deploying and managing azure sentinel as code by Bojan ...SBA Security Meetup - Deploying and managing azure sentinel as code by Bojan ...
SBA Security Meetup - Deploying and managing azure sentinel as code by Bojan ...SBA Research
 
NDSS 2021 RandRunner: Distributed Randomness from Trapdoor VDFs with Strong U...
NDSS 2021 RandRunner: Distributed Randomness from Trapdoor VDFs with Strong U...NDSS 2021 RandRunner: Distributed Randomness from Trapdoor VDFs with Strong U...
NDSS 2021 RandRunner: Distributed Randomness from Trapdoor VDFs with Strong U...SBA Research
 

Contenu connexe

Similaire à SBA Live Academy - Remote Access – Top Security Challenges, Part 1 - Günther Roat, Philipp Reisinger

Webinar Cyberangriff - Abwehrmöglichkeiten
Webinar Cyberangriff - AbwehrmöglichkeitenWebinar Cyberangriff - Abwehrmöglichkeiten
Webinar Cyberangriff - AbwehrmöglichkeitenA. Baggenstos & Co. AG
 
Webinar Cyberangriff - Abwehrmöglichkeiten
Webinar Cyberangriff - AbwehrmöglichkeitenWebinar Cyberangriff - Abwehrmöglichkeiten
Webinar Cyberangriff - AbwehrmöglichkeitenA. Baggenstos & Co. AG
 
Agile (Software-) Prozesse - Quo Vadis? [in German]
Agile (Software-) Prozesse - Quo Vadis? [in German]Agile (Software-) Prozesse - Quo Vadis? [in German]
Agile (Software-) Prozesse - Quo Vadis? [in German]Martin Gaedke
 
Social Media im Unternehmen
Social Media im UnternehmenSocial Media im Unternehmen
Social Media im UnternehmenHellmuth Broda
 
AG Softwaretechnik
AG SoftwaretechnikAG Softwaretechnik
AG SoftwaretechnikRoland M
 
SeEF 2013 | Bring your own device (Andreas Spichiger)
SeEF 2013 | Bring your own device (Andreas Spichiger)SeEF 2013 | Bring your own device (Andreas Spichiger)
SeEF 2013 | Bring your own device (Andreas Spichiger)Swiss eEconomy Forum
 
OSMC 2017 | Monitoring - dos and don'ts by Markus Thiel
OSMC 2017 | Monitoring - dos and don'ts by Markus ThielOSMC 2017 | Monitoring - dos and don'ts by Markus Thiel
OSMC 2017 | Monitoring - dos and don'ts by Markus ThielNETWAYS
 
Wie Lean ist eigentlich ihre IT – Kundenwert und Verschwendung in der Informa...
Wie Lean ist eigentlich ihre IT – Kundenwert und Verschwendung in der Informa...Wie Lean ist eigentlich ihre IT – Kundenwert und Verschwendung in der Informa...
Wie Lean ist eigentlich ihre IT – Kundenwert und Verschwendung in der Informa...Learning Factory
 
Präsentation: Systemhärtung als präventive IT-Security-Maßnahme
Präsentation: Systemhärtung als präventive IT-Security-MaßnahmePräsentation: Systemhärtung als präventive IT-Security-Maßnahme
Präsentation: Systemhärtung als präventive IT-Security-MaßnahmeNoCodeHardening
 
Eine geniale Lösung für das Benutzermanagement by Suvad Sahovic
Eine geniale Lösung für das Benutzermanagement by Suvad SahovicEine geniale Lösung für das Benutzermanagement by Suvad Sahovic
Eine geniale Lösung für das Benutzermanagement by Suvad SahovicCarsten Muetzlitz
 
IA/ UX in Scrum Entwicklungs-Prozessen - 2009
IA/ UX in Scrum Entwicklungs-Prozessen - 2009IA/ UX in Scrum Entwicklungs-Prozessen - 2009
IA/ UX in Scrum Entwicklungs-Prozessen - 2009Wolf Noeding
 
IT-Sicherheit und agile Entwicklung? Geht das? Sicher!
IT-Sicherheit und agile Entwicklung? Geht das? Sicher!IT-Sicherheit und agile Entwicklung? Geht das? Sicher!
IT-Sicherheit und agile Entwicklung? Geht das? Sicher!Carsten Cordes
 
Mobile Business 2013: Chancen und Herausforderungen
Mobile Business 2013: Chancen und HerausforderungenMobile Business 2013: Chancen und Herausforderungen
Mobile Business 2013: Chancen und HerausforderungenUniversity St. Gallen
 
So erreichen Sie Akzeptanz für Social Software (#DNUG 2013)
So erreichen Sie Akzeptanz für Social Software (#DNUG 2013)So erreichen Sie Akzeptanz für Social Software (#DNUG 2013)
So erreichen Sie Akzeptanz für Social Software (#DNUG 2013)netmedianer GmbH
 
Impulsseminar cloud computing - ufz.ch 20120521
Impulsseminar cloud computing - ufz.ch 20120521Impulsseminar cloud computing - ufz.ch 20120521
Impulsseminar cloud computing - ufz.ch 20120521ihrepartner.ch gmbh
 
Big Data Discovery + Analytics = Datengetriebene Innovation!
Big Data Discovery + Analytics = Datengetriebene Innovation!Big Data Discovery + Analytics = Datengetriebene Innovation!
Big Data Discovery + Analytics = Datengetriebene Innovation!Harald Erb
 
14. TANNER-Hochschulwettbewerb | Beitrag Team Mayer (Karlsruher Institut für ...
14. TANNER-Hochschulwettbewerb | Beitrag Team Mayer (Karlsruher Institut für ...14. TANNER-Hochschulwettbewerb | Beitrag Team Mayer (Karlsruher Institut für ...
14. TANNER-Hochschulwettbewerb | Beitrag Team Mayer (Karlsruher Institut für ...TANNER AG
 
Zero Trust - Never Trust, Always Verify
Zero Trust - Never Trust, Always VerifyZero Trust - Never Trust, Always Verify
Zero Trust - Never Trust, Always Verifygo4mobile ag
 

Similaire à SBA Live Academy - Remote Access – Top Security Challenges, Part 1 - Günther Roat, Philipp Reisinger (20)

Webinar Cyberangriff - Abwehrmöglichkeiten
Webinar Cyberangriff - AbwehrmöglichkeitenWebinar Cyberangriff - Abwehrmöglichkeiten
Webinar Cyberangriff - Abwehrmöglichkeiten
 
Webinar Cyberangriff - Abwehrmöglichkeiten
Webinar Cyberangriff - AbwehrmöglichkeitenWebinar Cyberangriff - Abwehrmöglichkeiten
Webinar Cyberangriff - Abwehrmöglichkeiten
 
Agile (Software-) Prozesse - Quo Vadis? [in German]
Agile (Software-) Prozesse - Quo Vadis? [in German]Agile (Software-) Prozesse - Quo Vadis? [in German]
Agile (Software-) Prozesse - Quo Vadis? [in German]
 
Social Media im Unternehmen
Social Media im UnternehmenSocial Media im Unternehmen
Social Media im Unternehmen
 
AG Softwaretechnik
AG SoftwaretechnikAG Softwaretechnik
AG Softwaretechnik
 
SeEF 2013 | Bring your own device (Andreas Spichiger)
SeEF 2013 | Bring your own device (Andreas Spichiger)SeEF 2013 | Bring your own device (Andreas Spichiger)
SeEF 2013 | Bring your own device (Andreas Spichiger)
 
OSMC 2017 | Monitoring - dos and don'ts by Markus Thiel
OSMC 2017 | Monitoring - dos and don'ts by Markus ThielOSMC 2017 | Monitoring - dos and don'ts by Markus Thiel
OSMC 2017 | Monitoring - dos and don'ts by Markus Thiel
 
Wie Lean ist eigentlich ihre IT – Kundenwert und Verschwendung in der Informa...
Wie Lean ist eigentlich ihre IT – Kundenwert und Verschwendung in der Informa...Wie Lean ist eigentlich ihre IT – Kundenwert und Verschwendung in der Informa...
Wie Lean ist eigentlich ihre IT – Kundenwert und Verschwendung in der Informa...
 
Präsentation: Systemhärtung als präventive IT-Security-Maßnahme
Präsentation: Systemhärtung als präventive IT-Security-MaßnahmePräsentation: Systemhärtung als präventive IT-Security-Maßnahme
Präsentation: Systemhärtung als präventive IT-Security-Maßnahme
 
Eine geniale Lösung für das Benutzermanagement by Suvad Sahovic
Eine geniale Lösung für das Benutzermanagement by Suvad SahovicEine geniale Lösung für das Benutzermanagement by Suvad Sahovic
Eine geniale Lösung für das Benutzermanagement by Suvad Sahovic
 
Cyber Security im Cloud Zeitalter
Cyber Security im Cloud Zeitalter Cyber Security im Cloud Zeitalter
Cyber Security im Cloud Zeitalter
 
IA/ UX in Scrum Entwicklungs-Prozessen - 2009
IA/ UX in Scrum Entwicklungs-Prozessen - 2009IA/ UX in Scrum Entwicklungs-Prozessen - 2009
IA/ UX in Scrum Entwicklungs-Prozessen - 2009
 
IT-Sicherheit und agile Entwicklung? Geht das? Sicher!
IT-Sicherheit und agile Entwicklung? Geht das? Sicher!IT-Sicherheit und agile Entwicklung? Geht das? Sicher!
IT-Sicherheit und agile Entwicklung? Geht das? Sicher!
 
Mobile Business 2013: Chancen und Herausforderungen
Mobile Business 2013: Chancen und HerausforderungenMobile Business 2013: Chancen und Herausforderungen
Mobile Business 2013: Chancen und Herausforderungen
 
So erreichen Sie Akzeptanz für Social Software (#DNUG 2013)
So erreichen Sie Akzeptanz für Social Software (#DNUG 2013)So erreichen Sie Akzeptanz für Social Software (#DNUG 2013)
So erreichen Sie Akzeptanz für Social Software (#DNUG 2013)
 
Impulsseminar cloud computing - ufz.ch 20120521
Impulsseminar cloud computing - ufz.ch 20120521Impulsseminar cloud computing - ufz.ch 20120521
Impulsseminar cloud computing - ufz.ch 20120521
 
Die Architektur, die man kann
Die Architektur, die man kannDie Architektur, die man kann
Die Architektur, die man kann
 
Big Data Discovery + Analytics = Datengetriebene Innovation!
Big Data Discovery + Analytics = Datengetriebene Innovation!Big Data Discovery + Analytics = Datengetriebene Innovation!
Big Data Discovery + Analytics = Datengetriebene Innovation!
 
14. TANNER-Hochschulwettbewerb | Beitrag Team Mayer (Karlsruher Institut für ...
14. TANNER-Hochschulwettbewerb | Beitrag Team Mayer (Karlsruher Institut für ...14. TANNER-Hochschulwettbewerb | Beitrag Team Mayer (Karlsruher Institut für ...
14. TANNER-Hochschulwettbewerb | Beitrag Team Mayer (Karlsruher Institut für ...
 
Zero Trust - Never Trust, Always Verify
Zero Trust - Never Trust, Always VerifyZero Trust - Never Trust, Always Verify
Zero Trust - Never Trust, Always Verify
 

Plus de SBA Research

SBA Security Meetup - Deploying and managing azure sentinel as code by Bojan ...
SBA Security Meetup - Deploying and managing azure sentinel as code by Bojan ...SBA Security Meetup - Deploying and managing azure sentinel as code by Bojan ...
SBA Security Meetup - Deploying and managing azure sentinel as code by Bojan ...SBA Research
 
NDSS 2021 RandRunner: Distributed Randomness from Trapdoor VDFs with Strong U...
NDSS 2021 RandRunner: Distributed Randomness from Trapdoor VDFs with Strong U...NDSS 2021 RandRunner: Distributed Randomness from Trapdoor VDFs with Strong U...
NDSS 2021 RandRunner: Distributed Randomness from Trapdoor VDFs with Strong U...SBA Research
 
SBA Security Meetup – Security Requirements Management 101 by Daniel Schwarz ...
SBA Security Meetup – Security Requirements Management 101 by Daniel Schwarz ...SBA Security Meetup – Security Requirements Management 101 by Daniel Schwarz ...
SBA Security Meetup – Security Requirements Management 101 by Daniel Schwarz ...SBA Research
 
SBA Security Meetup: Building a Secure Architecture – A Deep-Dive into Securi...
SBA Security Meetup: Building a Secure Architecture – A Deep-Dive into Securi...SBA Security Meetup: Building a Secure Architecture – A Deep-Dive into Securi...
SBA Security Meetup: Building a Secure Architecture – A Deep-Dive into Securi...SBA Research
 
SBA Security Meetup: I want to break free - The attacker inside a Container
SBA Security Meetup: I want to break free - The attacker inside a ContainerSBA Security Meetup: I want to break free - The attacker inside a Container
SBA Security Meetup: I want to break free - The attacker inside a ContainerSBA Research
 
"Rund um die ISO27001 Zertifizierung – Nähkästchentalk" by Thomas Kopeinig
"Rund um die ISO27001 Zertifizierung – Nähkästchentalk" by Thomas Kopeinig"Rund um die ISO27001 Zertifizierung – Nähkästchentalk" by Thomas Kopeinig
"Rund um die ISO27001 Zertifizierung – Nähkästchentalk" by Thomas KopeinigSBA Research
 
Secure development on Kubernetes by Andreas Falk
Secure development on Kubernetes by Andreas FalkSecure development on Kubernetes by Andreas Falk
Secure development on Kubernetes by Andreas FalkSBA Research
 
SBA Live Academy, Rechtliche Risiken mit externen Mitarbeitern
SBA Live Academy, Rechtliche Risiken mit externen MitarbeiternSBA Live Academy, Rechtliche Risiken mit externen Mitarbeitern
SBA Live Academy, Rechtliche Risiken mit externen MitarbeiternSBA Research
 
SBA Live Academy, What the heck is secure computing
SBA Live Academy, What the heck is secure computingSBA Live Academy, What the heck is secure computing
SBA Live Academy, What the heck is secure computingSBA Research
 
Tools & techniques, building a dev secops culture at mozilla sba live a...
Tools & techniques, building a dev secops culture at mozilla sba live a...Tools & techniques, building a dev secops culture at mozilla sba live a...
Tools & techniques, building a dev secops culture at mozilla sba live a...SBA Research
 
HydRand: Efficient Continuous Distributed Randomness. IEEE S&P 2020 by Philip...
HydRand: Efficient Continuous Distributed Randomness. IEEE S&P 2020 by Philip...HydRand: Efficient Continuous Distributed Randomness. IEEE S&P 2020 by Philip...
HydRand: Efficient Continuous Distributed Randomness. IEEE S&P 2020 by Philip...SBA Research
 
SBA Live Academy - Secure Containers for Developer by Mathias Tausig
SBA Live Academy - Secure Containers for Developer by Mathias TausigSBA Live Academy - Secure Containers for Developer by Mathias Tausig
SBA Live Academy - Secure Containers for Developer by Mathias TausigSBA Research
 
SBA Live Academy - After the overflow: self-defense techniques (Linux Kernel)...
SBA Live Academy - After the overflow: self-defense techniques (Linux Kernel)...SBA Live Academy - After the overflow: self-defense techniques (Linux Kernel)...
SBA Live Academy - After the overflow: self-defense techniques (Linux Kernel)...SBA Research
 
SBA Live Academy - Passwords: Policy and Storage with NIST SP800-63b by Jim M...
SBA Live Academy - Passwords: Policy and Storage with NIST SP800-63b by Jim M...SBA Live Academy - Passwords: Policy and Storage with NIST SP800-63b by Jim M...
SBA Live Academy - Passwords: Policy and Storage with NIST SP800-63b by Jim M...SBA Research
 
SBA Live Academy - Threat Modeling 101 – eine kurze aber praxisnahe Einführun...
SBA Live Academy - Threat Modeling 101 – eine kurze aber praxisnahe Einführun...SBA Live Academy - Threat Modeling 101 – eine kurze aber praxisnahe Einführun...
SBA Live Academy - Threat Modeling 101 – eine kurze aber praxisnahe Einführun...SBA Research
 
SBA Live Academy - Angriffe gegen das Stromnetz – Wenn der Strom nicht mehr a...
SBA Live Academy - Angriffe gegen das Stromnetz – Wenn der Strom nicht mehr a...SBA Live Academy - Angriffe gegen das Stromnetz – Wenn der Strom nicht mehr a...
SBA Live Academy - Angriffe gegen das Stromnetz – Wenn der Strom nicht mehr a...SBA Research
 
SBA Live Academy - Physical Attacks against (I)IoT-Devices, Embedded Devices,...
SBA Live Academy - Physical Attacks against (I)IoT-Devices, Embedded Devices,...SBA Live Academy - Physical Attacks against (I)IoT-Devices, Embedded Devices,...
SBA Live Academy - Physical Attacks against (I)IoT-Devices, Embedded Devices,...SBA Research
 
SBA Live Academy: Cyber Resilience - Failure is not an option by Simon Tjoa
SBA Live Academy: Cyber Resilience - Failure is not an option by Simon TjoaSBA Live Academy: Cyber Resilience - Failure is not an option by Simon Tjoa
SBA Live Academy: Cyber Resilience - Failure is not an option by Simon TjoaSBA Research
 
SBA Live Academy: A Primer in Single Page Application Security by Thomas Konrad
SBA Live Academy: A Primer in Single Page Application Security by Thomas KonradSBA Live Academy: A Primer in Single Page Application Security by Thomas Konrad
SBA Live Academy: A Primer in Single Page Application Security by Thomas KonradSBA Research
 
SBA Live Academy: Software Security – Towards a Mature Lifecycle and DevSecOp...
SBA Live Academy: Software Security – Towards a Mature Lifecycle and DevSecOp...SBA Live Academy: Software Security – Towards a Mature Lifecycle and DevSecOp...
SBA Live Academy: Software Security – Towards a Mature Lifecycle and DevSecOp...SBA Research
 

Plus de SBA Research (20)

SBA Security Meetup - Deploying and managing azure sentinel as code by Bojan ...
SBA Security Meetup - Deploying and managing azure sentinel as code by Bojan ...SBA Security Meetup - Deploying and managing azure sentinel as code by Bojan ...
SBA Security Meetup - Deploying and managing azure sentinel as code by Bojan ...
 
NDSS 2021 RandRunner: Distributed Randomness from Trapdoor VDFs with Strong U...
NDSS 2021 RandRunner: Distributed Randomness from Trapdoor VDFs with Strong U...NDSS 2021 RandRunner: Distributed Randomness from Trapdoor VDFs with Strong U...
NDSS 2021 RandRunner: Distributed Randomness from Trapdoor VDFs with Strong U...
 
SBA Security Meetup – Security Requirements Management 101 by Daniel Schwarz ...
SBA Security Meetup – Security Requirements Management 101 by Daniel Schwarz ...SBA Security Meetup – Security Requirements Management 101 by Daniel Schwarz ...
SBA Security Meetup – Security Requirements Management 101 by Daniel Schwarz ...
 
SBA Security Meetup: Building a Secure Architecture – A Deep-Dive into Securi...
SBA Security Meetup: Building a Secure Architecture – A Deep-Dive into Securi...SBA Security Meetup: Building a Secure Architecture – A Deep-Dive into Securi...
SBA Security Meetup: Building a Secure Architecture – A Deep-Dive into Securi...
 
SBA Security Meetup: I want to break free - The attacker inside a Container
SBA Security Meetup: I want to break free - The attacker inside a ContainerSBA Security Meetup: I want to break free - The attacker inside a Container
SBA Security Meetup: I want to break free - The attacker inside a Container
 
"Rund um die ISO27001 Zertifizierung – Nähkästchentalk" by Thomas Kopeinig
"Rund um die ISO27001 Zertifizierung – Nähkästchentalk" by Thomas Kopeinig"Rund um die ISO27001 Zertifizierung – Nähkästchentalk" by Thomas Kopeinig
"Rund um die ISO27001 Zertifizierung – Nähkästchentalk" by Thomas Kopeinig
 
Secure development on Kubernetes by Andreas Falk
Secure development on Kubernetes by Andreas FalkSecure development on Kubernetes by Andreas Falk
Secure development on Kubernetes by Andreas Falk
 
SBA Live Academy, Rechtliche Risiken mit externen Mitarbeitern
SBA Live Academy, Rechtliche Risiken mit externen MitarbeiternSBA Live Academy, Rechtliche Risiken mit externen Mitarbeitern
SBA Live Academy, Rechtliche Risiken mit externen Mitarbeitern
 
SBA Live Academy, What the heck is secure computing
SBA Live Academy, What the heck is secure computingSBA Live Academy, What the heck is secure computing
SBA Live Academy, What the heck is secure computing
 
Tools & techniques, building a dev secops culture at mozilla sba live a...
Tools & techniques, building a dev secops culture at mozilla sba live a...Tools & techniques, building a dev secops culture at mozilla sba live a...
Tools & techniques, building a dev secops culture at mozilla sba live a...
 
HydRand: Efficient Continuous Distributed Randomness. IEEE S&P 2020 by Philip...
HydRand: Efficient Continuous Distributed Randomness. IEEE S&P 2020 by Philip...HydRand: Efficient Continuous Distributed Randomness. IEEE S&P 2020 by Philip...
HydRand: Efficient Continuous Distributed Randomness. IEEE S&P 2020 by Philip...
 
SBA Live Academy - Secure Containers for Developer by Mathias Tausig
SBA Live Academy - Secure Containers for Developer by Mathias TausigSBA Live Academy - Secure Containers for Developer by Mathias Tausig
SBA Live Academy - Secure Containers for Developer by Mathias Tausig
 
SBA Live Academy - After the overflow: self-defense techniques (Linux Kernel)...
SBA Live Academy - After the overflow: self-defense techniques (Linux Kernel)...SBA Live Academy - After the overflow: self-defense techniques (Linux Kernel)...
SBA Live Academy - After the overflow: self-defense techniques (Linux Kernel)...
 
SBA Live Academy - Passwords: Policy and Storage with NIST SP800-63b by Jim M...
SBA Live Academy - Passwords: Policy and Storage with NIST SP800-63b by Jim M...SBA Live Academy - Passwords: Policy and Storage with NIST SP800-63b by Jim M...
SBA Live Academy - Passwords: Policy and Storage with NIST SP800-63b by Jim M...
 
SBA Live Academy - Threat Modeling 101 – eine kurze aber praxisnahe Einführun...
SBA Live Academy - Threat Modeling 101 – eine kurze aber praxisnahe Einführun...SBA Live Academy - Threat Modeling 101 – eine kurze aber praxisnahe Einführun...
SBA Live Academy - Threat Modeling 101 – eine kurze aber praxisnahe Einführun...
 
SBA Live Academy - Angriffe gegen das Stromnetz – Wenn der Strom nicht mehr a...
SBA Live Academy - Angriffe gegen das Stromnetz – Wenn der Strom nicht mehr a...SBA Live Academy - Angriffe gegen das Stromnetz – Wenn der Strom nicht mehr a...
SBA Live Academy - Angriffe gegen das Stromnetz – Wenn der Strom nicht mehr a...
 
SBA Live Academy - Physical Attacks against (I)IoT-Devices, Embedded Devices,...
SBA Live Academy - Physical Attacks against (I)IoT-Devices, Embedded Devices,...SBA Live Academy - Physical Attacks against (I)IoT-Devices, Embedded Devices,...
SBA Live Academy - Physical Attacks against (I)IoT-Devices, Embedded Devices,...
 
SBA Live Academy: Cyber Resilience - Failure is not an option by Simon Tjoa
SBA Live Academy: Cyber Resilience - Failure is not an option by Simon TjoaSBA Live Academy: Cyber Resilience - Failure is not an option by Simon Tjoa
SBA Live Academy: Cyber Resilience - Failure is not an option by Simon Tjoa
 
SBA Live Academy: A Primer in Single Page Application Security by Thomas Konrad
SBA Live Academy: A Primer in Single Page Application Security by Thomas KonradSBA Live Academy: A Primer in Single Page Application Security by Thomas Konrad
SBA Live Academy: A Primer in Single Page Application Security by Thomas Konrad
 
SBA Live Academy: Software Security – Towards a Mature Lifecycle and DevSecOp...
SBA Live Academy: Software Security – Towards a Mature Lifecycle and DevSecOp...SBA Live Academy: Software Security – Towards a Mature Lifecycle and DevSecOp...
SBA Live Academy: Software Security – Towards a Mature Lifecycle and DevSecOp...
 

SBA Live Academy - Remote Access – Top Security Challenges, Part 1 - Günther Roat, Philipp Reisinger

  • 1. Classification: Public 1 Willkommen zur SBA Live Academy #bleibdaheim # remotelearning Heute: Remote Access – Top Security Challenges – Teil 1 by Günther Roat, Philipp Reisinger This talk will be recorded as soon as the presentation starts! Please be sure to turn off your video in your control panel.
  • 2. Classification: Public 2 Professional Services Penetration Testing Architecture Reviews Security Audit Security Trainings Incident Response Readiness ISMS & ISO 27001 Consulting Forschung & Beratung unter einem Dach Applied Research Industrial Security | IIoT Security | Mathematics for Security Research | Machine Learning | Blockchain | Network Security | Sustainable Software Systems | Usable Security SBA Research Wissenstransfer SBA Live Academy | sec4dev | Trainings | Events | Lehre | sbaPRIME Kontaktieren Sie uns: anfragen@sba-research.org
  • 3. Classification: Public 3 #bleibdaheim #remotelearning Willkommen zur SBA Live Academy!  3 x pro Woche (Di - Do)  13:00 – 13:30 Uhr  20-minütiger Live-Talk  Ausgiebige Q&A Session  Kostenfrei  Programm: https://www.sba- research.org/sba-live-academy/ Treten Sie unserer MeetUp Gruppe bei! https://www.meetup.com/Security-Meetup-by-SBA-Research/
  • 4. Classification: Public 4 #bleibdaheim #remotelearning Willkommen zur SBA Live Academy! Impulse setzen Interessantes vermitteln Erfahrungsaustausch Tiefgehende Schulung
  • 5. Classification: Public 5 SBA Live Academy – Kickoff Boost your InfoSec knowledge SBA Research gGmbH, 2020
  • 6. Classification: Public 6 Remote Access – Top Security Challenges Part I: Typische Auditfindings im Bereich People & Processes Part II: Typische Auditfindings im Bereich Technology 02.04.2020, 13.00 Uhr SBA Research gGmbH, 2020
  • 7. Classification: Public 7 Vorwort Audits als Werkzeug der kontinuierlichen Verbesserung SBA Research gGmbH, 2020 • Die Auditfeststellungen sollen keine überhebliche Top Down Predigt von Auditoren im Elfenbeinturm sein! • Viele SBA Prüfer kommen selbst aus der operativen IT, SW Entwicklung und müssen sich auch intern mit Informationssicherheitsanforderungen „herumschlagen“. • Informationssicherheit muss langfristig gedacht werden und sich stätig weiterentwickeln (KVP). -> Blick von Extern hilft oft Blind Spots und aufzudecken.
  • 8. Classification: Public 8 People – Processes – Technology Die drei Säulen der Informationssicherheit SBA Research gGmbH, 2020 „Wenn Sie glauben, Technologie könne Ihre Sicherheitsprobleme lösen, dann verstehen Sie die Probleme nicht und Sie verstehen die Technologie nicht.“ – Bruce Schneier, Vorwort von Secrets and Lies, 2000 “Security is not a product. It‘s a process.” – Bruce Schneier
  • 9. Classification: Public 9 People – Processes – Technology Drei Säulen der Informationssicherheit SBA Research gGmbH, 2020 People ProcessesTechnology
  • 10. Classification: Public 10 People – Processes – Technology Typische Auditfindings SBA Research gGmbH, 2020 People ProcessesTechnology
  • 11. Classification: Public 11 People Typische Auditfindings I Zwei Themengebiete sind sei jeher unter den Top Feststellungen: • Keine/wenige unternehmensweiten Richtlinien zum Thema. o z.B. Nutzung privates Equipment erlaubt/verboten/wofür zulässig? o Unstrukturiertes „Ausnahmenmanagement“. • Mangelnde Schulung der Mitarbeiter. o z.B. Sicherer Verwendung von zulässigen Remote Access Tools & Gefahren. SBA Research gGmbH, 2020
  • 12. Classification: Public 12 People Typische Auditfindings II Information Governance • Oftmals „totes Papier“ – sofern überhaupt vorhanden. o Verantwortung der InfoSec Teams ist nicht nur Vorgaben zu definieren, sondern auch bei deren Umsetzung zu unterstützen und zu beraten! • Informationsklassifikation & Verarbeitungsregelungen o Was darf von welchen Geräten aus verarbeitet und wo gespeichert werden? o Nur kleinem Kreis der „InfoSec Wissenden & Auditoren“ bekannt. • Sync von Firmenmails auf mangelhaft verwaltete Smartphones. o Selten über IMAP, aber oft über Active Sync mit schwachen Sicherheitseinstellungen (z.B. kein PIN Enforcement). SBA Research gGmbH, 2020
  • 13. Classification: Public 13 People Typische Auditfindings III • Verstärkte Gefahr Social Engineering nicht angemessen adressiert. o Phishing: Mitarbeiter Awareness mit regelm. Infomails aufrechterhalten – hier mehr denn je zeitnah informieren. o CEO Fraud: Sind Verifizierungs-Prozesse auch im Telearbeitsworkflow sichergestellt? – Erreichbarkeit der Beteiligten? o Incident Response Prozesse stehen vor Herausforderungen bei flächendeckender Telearbeit (wie wird Client isoliert etc.). • Thema Media Disposal @ Home nicht geregelt (PII im Papiermüll). SBA Research gGmbH, 2020
  • 14. Classification: Public 14 People Typische Auditfindings IV • Benutzerfreundlichkeit der Lösung nicht berücksichtigt, wodurch sie mittels „alternative Kanäle“ umgangen wird. o Timeouts (VPN, RDP, etc.) gehen an Arbeitspraxis vorbei. o Performance der Firmengeräte im Home Office nicht ausreichend. o Installation von privaten Druckern auf Firmengeräten möglich? (sonst Umgehung mittels USB Stick und privater Email) • Nutzung nicht autorisierter Fernwartungssoftware (e.g. TeamViewer, VNC, LogMeIn etc.). o z.B: Dev und R&D (keine Schuldzuweisung) SBA Research gGmbH, 2020
  • 15. Classification: Public 15 People – Processes – Technology Typische Auditfindings SBA Research gGmbH, 2020 People ProcessesTechnology
  • 16. Classification: Public 16 Processes Typische Auditfindings I • Verfügbarkeit & Kapazitätsplanung nicht berücksichtig. o Sind wichtige Komponenten hochverfügbar? (VPN Endpoints, Server Cluster) o QoS/Traffic Shaping -> müssen Mitarbeitergruppen priorisiert werden? o Wartungsfenster aktuell schwer planbar -> Mitarbeiter haben durch Familienpflichten ungewöhnliche Arbeitszeiten. • Kein Monitoring bzw. Alerting bei fehlgeschlagenen Anmeldeversuchen. o Brute Forcing, Password Spraying & Credential Stuffing Angriffe. o Verfügbarkeitssicht - > zu viele Requests durch Brute Forcing -> DoS o User Lockouts durch Sicherheitsmaßnahmen am Perimeter. SBA Research gGmbH, 2020
  • 17. Classification: Public 17 Processes Typische Auditfindings II • Kein strukturierter „Demand Prozess“ & Schatten IT o z.B. dringender Bedarf an neuer Online Meeting Lösung geht an Demand Prozess vorbei (zu langsam) -> Prozess für Re-Evaluierung nach Überwindung der aktuellen Situation. • Langsames Patch Management bei kritischen Remote Access Schwachstellen o Insb. aktuell: Konflikt Verfügbarkeit vs. Sicherheit. o Spätestens wenn Exploits automatisierbar sind -> patchen! o e.g. Bluekeep & BlueGate, Citrix Gateway, etc. o Angreifer nutzen Krisensituationen um ihre Erfolgschancen zu erhöhen! SBA Research gGmbH, 2020
  • 18. Classification: Public 18 Processes Typische Auditfindings III • Kein Prozess zur zentralen Meldung und Sperrung von externen Zugängen (etwa bei Diebstahl des Notebooks) o Kontaktdaten für Helpdesk auch ohne Firmenclient verfügbar? o Kann ich einzelne Geräte überhaupt aus dem VPN aussperren? • Keine zentrale Sichtbarkeit und Review von Externen mit VPN Zugriff (inkl. Shared Accounts). o Alle zuvor besprochenen Aspekte treffen nun natürlich auch auf Dienstleister im Home Office zu – Risiko kann hier noch höher sein! SBA Research gGmbH, 2020
  • 19. Classification: Public 19 Processes Typische Auditfindings IV • Kein Notfallplan/Alternativen für den Ausfall von Remote Access Services. • Neu: Wie werden defekte Endgeräte gerade serviciert? o Abholung durch Botendienst? o Wie ist die Ansteckungsgefahr durch Notebook Oberflächen einzuschätzen? o Sofort durch neues Gerät tauschen? o Ersatzgerät (vor Ort) für „kritische“ Mitarbeiter/Prozesse? SBA Research gGmbH, 2020
  • 20. Classification: Public 20 Processes Typische Auditfindings V • Wie geht man aktuell mit Endgeräten um die eine Malware Infektion anzeigen? o Wie schon bei Verlust des Clients: Kann ich einzelne Devices überhaupt aus dem VPN aussperren? o Bzw. kann ich einzelne Geräte im VPN so isolieren, dass ich noch IR/Forensics Maßnahmen durchführen kann? (Quarantäne/Remediation Netz). • Daten auf lokalen Geräten im Backupkonzept nicht berücksichtigt bzw. Thema in Schulungen/Richtlinien nicht adressiert. SBA Research gGmbH, 2020
  • 21. Classification: Public 21 People – Processes – Technology Typische Auditfindings SBA Research gGmbH, 2020 People ProcessesTechnology
  • 22. Classification: Public 22 Ausblick: Technology Typische Auditfindings • Keine Zwei Faktor Authentifizierung. • Schlechte Netzwerk Segmentierung im vgl. zu on-Premise. • Nutzung veralteter und unsicherer Protokolle (e.g. PPTP). • Private Geräte im Unternehmens-VPN ohne angm. Security Baseline. o Patch-Status, AV aktiv, Host Firewall aktiv, Festplattenverschlüsselung etc. • Keine Sichtbarkeit & Schutz des Client Internetverkehrs (Split Tunneling). • RDP direkt im Internet / Kein RPD Hardening (e.g. Gateways, NLA, Encryption). • Kein Hardening der VDI Umgebungen (Escaping). • Schlechte TLS Konfig & keine mutual Authentication (Zertifikatprüfung). SBA Research gGmbH, 2020
  • 23. Classification: Public 23 Weiterführende Literatur • SBA Research Security Tipps for Home Office: https://www.sba-research.org/2020/03/19/security-tips-for-home-office/ • ENISA Sicherheit bei Telearbeit: https://www.enisa.europa.eu/tips-for-cybersecurity-when-working-from-home • BSI Standards VPN und Fernzugriff: https://www.bsi.bund.de/DE/Themen/StandardsKriterien/ISi-Reihe/ISi-VPN/vpn_node.html und https://www.bsi.bund.de/DE/Themen/StandardsKriterien/ISi-Reihe/ISi-Fern/fern_node.html • BSI VPN Checklist: https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Internetsicherheit/isi_fern_checklist e_pdf.pdf?__blob=publicationFile&v=1 SBA Research gGmbH, 2020
  • 25. Classification: Public 25 Günther Roat SBA Research gGmbH Floragasse 7, 1040 Vienna groat@sba-research.org SBA Research gGmbH, 2020 Philipp Reisinger SBA Research gGmbH Floragasse 7, 1040 Vienna preisinger@sba-research.org