Contenu connexe
Similaire à 3 robert randall osstmm
Similaire à 3 robert randall osstmm (17)
Plus de Digicomp Academy AG
Plus de Digicomp Academy AG (20)
3 robert randall osstmm
- 2. 2
Referent
Robert Randall
OSSTMM Instruktor, Produkt Manager, Projekt Manager
Dreamlab Technologies AG
Dipl. Ing. FH IT Security, OPSA, OPST
15 Jahre zwischen Technik und Business und immer mit Sicherheit
Email: robert.randall@dreamlab.net
Phone: +41313986666
© by Dreamlab Technologies AG 2011
2
- 3. 3
Dreamlab Technologies AG
Dreamlab Technologies arbeitet seit fast 15 Jahren
erfolgreich in der Sicherheitsindustrie.
Standorte in:
Berne (Headquarter)
Zürich
Lyon (F)
Chile / LATAM
© by Dreamlab Technologies AG 2011
3
- 4. 4
Dreamlab Technologies AG
Consulting Audit Open standards
Security Consulting
Security Testing
Security Operations
Security Operational excellence
Bringing together research
and industry
Solutions
Education / Operation
© by Dreamlab Technologies AG 2011
4
- 5. 5
Agenda
Sicherheitstests, wozu?
Wie man Diamanten raubt.
Wie man Sicherheit misst.
Wie man eindringt.
Wie man das Risiko managt.
Zusammenfassung
Diskussion
© by Dreamlab Technologies AG 2011
5
- 12. 12
Geräte, die einfach funktionieren sollten.
Wie der Sydney Morning Herald
berichtet, ermittelte eine Studie, dass
mehr als 100'000 Patienten einen
Herzschrittmacher im Körper haben, der
via WLAN gehackt werden kann.
© by Dreamlab Technologies AG 2011
12
- 16. 16
Was im Film funktioniert, klappt auch in der Realität...
© by Dreamlab Technologies AG 2011
Quelle: Wired 14.04
16
- 19. OSSTMM 19
Das Methodenhandbuch für Sicherheitstests
Standardisiert Sicherheitstests,
macht sie objektiv überprüfbar
und leicht reproduzierbar.
Ist offen zugänglich
(www.osstmm.org), von
Herstellern und Technologien
unabhängig.
Setzt auf die Kreativität der
Tester und auf Wissen statt
Automatismen.
Wurde von der ISECOM
entwickelt.
© by Dreamlab Technologies AG 2011
19
- 20. 20
Ein OSSTMM-Sicherheitstest ist
Eine qualifizierte Untersuchung
Eine Messung von
• Konfiguration,
• Best Practice,
• Belastbarkeit (rechtlichen Aspekten),
• Prozesssicherheit,
• Limitationen & Kontrollen.
Quantitativ + Qualitativ
© by Dreamlab Technologies AG 2011
20
- 21. OSSTMM 22
Strukturierte Tests
Channels
Findings
COMSEC
SPECSEC
Target
PHYSEC
Vektor Scope
© by Dreamlab Technologies AG 2011
21
- 22. OSSTMM 23
Wirtschaftlicher Nutzen
• Erfolgsfaktor Sicherheit: Return on Investment
• Managementkompatibel: Key Performance Index (KPI)
• Reproduzierbare Resultate: Risk Assesment Value (RAV)
© by Dreamlab Technologies AG 2011
22
- 23. OSSTMM 24
Technischer Nutzen
• Sicherheit wird messbar.
• Maximale Testqualität.
• Unabhängigkeit und Kreativität.
© by Dreamlab Technologies AG 2011
23
- 25. 26
Systematisches Vorgehen
Zielsystem definieren (Scope).
Einflussfaktoren definieren (Scope).
Angriffswinkel definieren (Vektor).
Angriffsmethode wählen (Channel).
© by Dreamlab Technologies AG 2011
25
- 34. 35
OSSTMM: Risk Assessment Value
- +
Operational Security Limitations Controls
Visibility Vulnerability Verschlüsselung
Confidentiality
Access Weakness Alarming
Trust Anomaly Authentication
Exposure Monitoring
Concern ...
© by Dreamlab Technologies AG 2011
34
- 37. 38
30. März 2011
Basel: Diamanten für Millionen geraubt
An der Uhren- und Schmuckmesse „Baselworld“
haben Unbekannte vier Diamanten mit Millionenwert
gestohlen. Trotz sofort verriegelter Halle gelang es den
Tätern zu entkommen. Drei Unbekannte hätten die
Angestellten eines Diamantenhändlers abgelenkt,
sagte ein Sprecher der Staatsanwaltschaft. Derweil
stahlen weitere Unbekannte die vier Diamanten aus
einer Vitrine.
Quelle: Tamedia.
© by Dreamlab Technologies AG 2011
37
- 40. 41
Oktober 2009
Tausende Login-Daten bei Hotmail geklaut
Phishing: Täter veröffentlichen Passwörter von etwa
10'000 E-Mail-Konten im Internet. Auch Konten von
Google's Gmail sollen betroffen sein.
Quelle: http://www.abendblatt.de/ratgeber/multimedia/article1216906/Tausende-Login-Daten-bei-Hotmail-geklaut.html
© by Dreamlab Technologies AG 2011
40
- 41. 42
Aug. 2010
iPhone und iPad mit Sicherheitslücke
Dass man das iPhone, iPad und iPod Touch einfach per
Webseitenbesuch hacken kann, ist für manche User
praktisch, doch sicherheitstechnisch sehr bedenklich.
Das Öffnen eines PDFs genügt, um die Kontrolle über
das System zu verlieren.
Quelle: Computerworld.de; http://www.f-secure.com/weblog/archives/00002003.html © by Dreamlab Technologies AG 2011
41
- 42. 43
April 2011
FBI gelingt massiver Schlag gegen Coreflood-
Botnetz
Der US-Polizeibehörde FBI ist ein massiver Schlag
gegen Online-Kriminelle gelungen. Ein durch den
Computervirus Coreflood aufgebautes Botnetz, in
dem fast zweieinhalb Millionen Computer
eingebunden waren, konnte abgeschaltet werden.
Mit dem Botnetz sollen vermutlich aus Russland
stammenden Cybergangster bis zu 100 Millionen
US-Dollar erbeutet haben.
http://computer.t-online.de/coreflood-fbi-legt-gefaehrliches-mega-botnetz-lahm/id_45751270/index
© by Dreamlab Technologies AG 2011
42
- 43. 44
HB Gary's Firmen-E-Mails gehackt und
publiziert
Quelle: http://search.hbgary.anonleaks.ch/ © by Dreamlab Technologies AG 2011
43
- 45. 46
Risk Assessment Value (RAV)
Ist ein Prozentwert, basierend auf verschiedenen
Einflussgrössen:
Operative Sicherheit
Verwundbarkeit
Schutzmassnahmen
Er basiert auf technisch schlüssigen, verifizierbaren Fakten.
Risiko-Management kann damit objektiv unterstützt werden.
© by Dreamlab Technologies AG 2011
45
- 47. 48
Risk Management & RAV
probability * impact = Rx
RAV
Critical application RAVx
CMS RAVx
DHCP / DNS
RAVx
...
RAVx
© by Dreamlab Technologies AG 2011
47
- 48. 49
Risk Map
probability
Rx Rx
Rx
Rx
Rx
Med High
Low Med
Rx
Rx Rx
Rx
Rx Rx
impact CHF
© by Dreamlab Technologies AG 2011
48
- 49. 50
Return on Investment:
Better RAV, lower probability
probability
RAV = 90 %
Rx
Target
impact CHF
Rx = Probability * Impact
© by Dreamlab Technologies AG 2011
49
- 50. 51
Return on Investment:
Lower probability, lower risk.
probability
RAV = 90 %
Rx
Target
impact CHF
Rx = Probability * Impact
© by Dreamlab Technologies AG 2011
50
- 53. 54
Vorteile des OSSTMM (1):
Sie haben den Zustand Ihrer Systeme im Blick.
© by Dreamlab Technologies AG 2011
53
- 54. 55
Vorteile des OSSTMM (2):
Sie erhalten zuverlässige und vergleichbare
Daten.
© by Dreamlab Technologies AG 2011
54
- 55. 56
Vorteile des OSSTMM (3):
Grundlage von Compliance
Vision Regulatorien & Standards
Strategy
Operation
Implementation
Gesetze
OSSTMM erfüllt alle Anforderungen von Regulatorien, Standards
& Gesetzen zur Überprüfung der Compliance
© by Dreamlab Technologies AG 2011
55
- 58. 59
Messbare Sicherheit
Rav = 88 %
Rav = 95 %
Rav = 70 %
Rav = 77 %
Rav = 60 %
Rav = 96 %
Rav = 73,5 %
Rav = 86 %
© by Dreamlab Technologies AG 2011
58