security requirements update: compelling concepts for action · 2018-09-24 · security...

Security Requirements Update: Compelling Concepts for Action

Security Requirements Update: Compelling Concepts for Action

Inhalt:1. Cloudmigration & Security

2. Moderne Infrastrukturen, Endpunte & Sicherheit

3. Modernes Arbeiten – Human Factor

4. Requirements of Standards CMMI & BWL

5. Protect, Detect, Repond

6. Security Requirements &

Secure Programming / Secure Systems

7. Schlussfolgerungen

Prof. Dr. Bernhard HämmerliSchweizerische Akademie der Technischen Wissenschaften (SATW)

Norwegian University of Science and Technology (NTNU) und

Hochschule Luzern - Informatik : Leiter Cyber Security Curriculum

1. Cloudmigration & Security : Weshalb die Cloud in vielen Bereichen mehr Sicherheit bietet

Vergleich Cloud und On-Site hinsichtlich:

▪ Anzahl Experten: 3 Profile

▪ Service Level: 24h/7 vs. 8-17h/5

▪ Sicherheit während Ferien, bei Veränderungen

(Reorganisation, Umzug, Joint Venture, Akquisition)

▪ Option um 2nd und 3rd Level Support zu kriegen

▪ Option Teil eines Information Sharing Network zu sein, z.B.:

CERT, FRIST, MELANI (z.B. indirekt via Provider)

Security +++

Security???

Sicherheit erzeugen im eigenen Betrieb? I

Beide Bilder vom Vortragenden

Sicherheit erzeugen im eigenen Betrieb? II

▪ Entscheid 7*24h Security Operation Center (SOC);

Wenn Angriffe 7*24h sind ➔ Personalbedarf ca.30 FTE,

bei 3 Profilen

▪ Entscheid kein SOC: Selber für Security sorgen:

3 Spezialisten: Malware, BCM / DRP, Intrusion

Management

aber ev. nur 1 Person (ev. Teilzeit) möglich.

▪ Alternativen:

1. Vertrag mit Security Operation Center eines

Providers, i.e. «security from the cloud».

2. Bei Micro Enterprise: Angebot “Total Portection” eines Security Produktes: «security updates from the cloud»

Opening of Security Operation Center

from google search

Nimmt die Verfügbarkeit in der Cloud ab?(drei CI2C Slides folgen: Energie Transport: da gilt es ernst)

▪ Eine Italienische Studie bezüglich des Energietransportes gibt Auskunft

▪ Die Arbeit wurde an der www.critis2016.org Konferenz vorgestellt.

▪ Dabei werden 4 Architektur-Optionen des verteilten Systems untersucht

➔ Resultat: Die Cloud schneidet recht gut ab: lassen sie uns sehen.

Von Stefano Sebastioa, Antonio Scalab,a, and Gregorio D’Agostinoc,a

Im Critical Infrastructure Cloud Computing (CI2C) EU Projekt

a LIMS London Institute of Mathematical Sciences, London, UKb ISC-CNR Sapienza Università di Roma, Rome, Italyc ENEA, CR “Casaccia”, Rome, Italy

The Hierarchical SCADA system – Italian case

▪ Remote units (RU) or terminals: Real-time interventions on voltage to manage load and events of interruptions

▪ Regional Control Center (RCC): group and supervise RUs in larger geographical zones

▪ National Center (NC): gathering data from and dispatching relaxed timing commands to RCCs & non time-critical operations (e.g., command planning, critical events analysis and statistics)

▪ ENTSO-E

▪ Connections of interest

▪ On a virtual proprietary network

▪ Data analytics & data access

▪ Real-time command and historical data on cloud

Architektur-Optionen:Cloud Deployments for a Nationwide SCADA

Availability Analysis

2 days 13 hours6 mins 3mins

Eine seriöse Studie im heiklen Energiesektor zeigt, dass Cloud-Sicherheit robust da steht.

Finding 1: Security does not scale … (I)

▪ Grundlegend braucht eine kleine IT-Infrastruktur

die gleichen Sicherheitsmassnahmen wie eine

grosse Infrastruktur, um Sicher zu sein.

➔ gleichgrosser Aufwand!

➔ Sicherheit skaliert nicht!

▪ Sicherheitsmassnahmen von einem:

Micro Enterprise 1-20 Personen

KMU 50-2500 Personen

Einer Firma 2500-ca. 50’000 PersonenGlobal Player deutlich mehr als 100’000 Personen

➔ verschiedene Stufen von Sicherheit

Economy of scale

http://www.canstockphoto.com/

Finding 1: Security does not scale … (II)Bedeutung für Micro und KMU:

▪ Eigenständig Sicherheit zu erzeugen ist eine Illusion

▪ Partner Wahl:

Global Player: Sehr gut, wenn keine Kundenwünsche

berücksichtigt werden müssen.

Local Player: Eine Partnerschaft mit gegenseitiger

Abhängigkeit: Der Provider braucht den Kunden und

umgekehrt. Auf Wünsche kann eingegangen werden.

▪ Die Sicherheit kommt aus er Cloud, ev. sogar die

Resilience: Protect - Detect - Respond

http://www.ri-okna.cz/partnerstvi-ri-okna_de

http://www.ihiji.com/

Das Bauchgefühl sagt “Besitzen ist besser und gibt mehr Kontrolle” und die Realität “Professional Services sind immer viel besser” gehen auseinander (Es gibt gar kein “besitzen” mehr …) :

Cloud bedeutet:

▪ Weg vom Engineering hin zu Anwälten die Verträge und “Terms and Conditions” aushandeln▪ Mehr Audits und Kontrollen beim Cloud Provider ➔ heute Third Party Security Mangement

▪ Im eigenen Unternehmen: Stehen human und organisatorische Aspekte im Vordergrund. Das Risiko bleibt beim

eigenen Unternehmen!

Merke: Die Cloud löst technische Themen, aber die globale Verantwortung bleibt beim Kunden.

No way to delegate operational risks!!!

securityxploded.com

Finding 1: Security does not scale … (III)und was sagt das Bauchgefühl

US-Cyber-Guru: «Eure Daten sind nirgends sicher»Wer meint, seine Daten seien in einer Schweizer Cloud sicher, ist naiv. Dies meint zumindest Richard Clarke, der langjährige IT-Security-Berater und Anti-Terrorismus-Expert für das Weisse Haus.

Bei der Speicherung von Daten in lokalen Clouds, wie etwa in der Schweiz, gehe es nur

ums Geschäft, nicht um den Schutz der Informationen, ist Richard Clarke, langjähriger

Berater des Weissen Hauses, überzeugt.

Quelle: Computerworld, Von Jens Stark , 25.02.2014 11:00.

Wird IT nationalisiert (de-globalisiert)

oder

können wir weiterhin von weltweiten und

internationalen Angeboten profitieren?

Beides, Globalisierung und De-Globalisierung finden

gleichzeitig statt.

Finding 1: Security does not scale … (IV)und was meint der Guru?

Richard Clarke

2. Moderne Infrastrukturen, Endpunte & Sicherheit

Moderne Infrastruktur

www.nist80037rmf.com/disa-cloud-computing-documents-released-for-comment/

Security Cloud Seite

Für Security spielt die Grösse des

Cloud-Provider eine Rolle:

▪ Je grosser der Provider, um so

sicherer

▪ Je besser vernetzt (ISAC, Threat

Intelligence, etc), um so sicherer

▪ Es gilt, was im Vertrag geregelt

wird.

▪ Seit kurzer Zeit ist auch Cyber-

Insurance ein Thema.

www.nist80037rmf.com/disa-cloud-computing-documents-released-for-

comment/

Security Endgeräte (Endpoint Security)▪ Any device, any time, any where may be

connected

▪ To the device nearfield communication of any

uncontrolled and possibly insecure devices

must be assumed

▪ IoT: camera, sensor and actors may be

connected (ddos case of hacked cameras)

▪ Control of behavioural application footprint

▪ Configuration, security and logs must be

controlled

▪ Forensic readiness is desirable

▪ Remote control function in case of loss is

important

▪ Multiple context (private, business +++) should

be supported

▪ GDPR compliance is paramount (consent)

Finding 2: Security Requirements für moderne Infrastruktur und Endpunkte▪ Netzwerke: Transportieren Daten sicher (nicht abhörbar) und zuverlässig

(Verfügbarkeit)

▪ Im Szenario müssen multiple home Clouds berücksichtigt werden (mehrere private

und mehrere öffentliche)

Sicherheitslösungen müssen diese Situation unterstützen

▪ Endpunkte: Mehrere Endpunkte pro Person müssen angenommen warden (PC,

Laptop, Tablet, Smartphone … )▪ Endpunkte können auch IoT Devices (Kameras, Aktoren und Sensoren) und

Bluetooth (Fitness tracker, Smart Watch, …)▪ Beide Protokolle, IPv4 und IPv6 müssen gleichermassen gesichert werden …

3. Modernes Arbeiten

Modernes Arbeiten: überall, jederzeit, jedes Gerät

Bildnachweis:

https://www.gettyimages.co.uk/detail/photo/businessman-traveling-with-a-bus-and-using-smart-royalty-free-image/675035664

https://www.huffingtonpost.com/mike-desimone-and-jeff-jenssen/mothers-day-gifts-for-the-mom-who-travels_b_7147934.html

https://cdn.uconnectlabs.com/wp-content/uploads/sites/5/2017/10/canstockphoto9041519.jpg

Awareness, attitude & behaviourDie Kunst sicherer zu arbeiten

Awareness requires creative

communications

Attitudes can only be changed

through self-discovery

Awareness requires creative

communications

Attitudes can only be changed

through self-discovery

Behaviour is influenced by

perception, experiences and

external cues

Finding 3:

Modernes Arbeiten verlangt mehr Verantwortung vom Mitarbeiter, mehr

Kontrolle durch Technologie und Arbeitgeber.

▪ Breaches sind unvermeidbar: Jeder von uns kann verletzt werden

(Keine Unterscheidbarkeit, Statistik der grossen Zahlen)

▪ Beste Awareness muss sein (Reduktion der Malwarewahrscheinlichkeit)

▪ Beste Incident Detection und Response sind zwingend notwendig für den

Umgang mit unvermeidbaren Breaches

4. Requirements of - CMMI für Cyber Security &- Minimalstandard zur Verbesserungder IKT Resilienz (BWL)

hslu.ch/informatik 24

CMMI Capabilities I (advanced)

Die neuen Fähigkeiten im Cyber-Verteidigung

Aus Deloitte Studie „Cyber security: Empowering the CIO“

Sec

uri

ty O

per

atin

g P

latf

orm

un

d C

lou

d S

ecu

rity

–Revo

lutio

n v

on

Pa

lo A

lto

Netw

ork

s

hslu.ch/informatik 25

Sec

uri

ty O

per

atin

g P

latf

orm

un

d C

lou

d S

ecu

rity

–Revo

lutio

n v

on

Pa

lo A

lto

Netw

ork

s

CMMI Capabilities I (advanced)

Minimalstandard zur Verbesserungder IKT Resilienz (BWL)

M. Hämmerli26

Bundesamt für wirtschaftliche Landesversorgung (BWL) IKT-Minimalstandard erarbeitet und diesen am 27. August 2018 vorgestellt.

Der IKT-Minimalstandard im Überblick: 106 Massnahmen

Der Standard gliedert sich in drei Teile:

1. Grundlagen: Dieser Teil dient als Nachschlagewerk und vermittelt Informationen zur

IKT-Resilienz.

2. Framework: Es bietet den Anwendern, gegliedert nach den fünf Phasen (Themenbereichen)

«Identifizieren»,

«Schützen»,

«Detektieren»,

«Reagieren» und

«Wiederherstellen» ein Bündel konkreter Handlungsanweisungen.

Nach NIST: Deter (Abschreckung) fehlt

3. Bewertungstool: Mit diesem können Unternehmen den Grad ihrer IKT-Resilienz

beurteilen, respektive auch durch externe Firmen prüfen lassen.

M. Hämmerli27

«Fighting smarter, not harder»

Leitfaden – in Übereinstimmung mitbestehenden Standards (NIST, Cobit etc.)

M. Hämmerli28

«Fighting smarter, not harder»:

Resilience von IBM

Reagieren (Respond): Beispiel für Anlehnung an Standards

M. Hämmerli29

«Fighting smarter, not harder» Resilience von IBM

Faktor Mensch M. Hämmerli30

IT-Kriminalität und der Faktor Mensch: Sicherheit beginnt beim Verhalten der

Mitarbeitenden, Markus Grüneberg, Senior Security Evangelist, Proofpoint

User-Verhaltens-Analyse: Erkennen und stoppen von (gut getarnten)

Netzwerkbedrohungen, Referent

Sensibilisierung und Schulung der Mitarbeitenden: Wie IT-Sicherheit Spass

macht

Ingo Schäfer, Team Leader DACH, Proofpoint

Security Requirement &Secure Programming / Systems

M. Hämmerli31

Beispiel folgt mit Secure Programming, stellvertretend für Secure Systems.

Finding 4:

Die heute dargebotenen Lösungen werden von den neuesten Standards wie

CMMI Cybersecurity (Frühjahr 2018) und BWL Minimal Standards

sind Voraussetzungen um eine Compliance mit BWL oder um eine venünftige

Maturität mit CMMI zu erreichen.

5. Post SnowdenProtect, Detect, Respond

Post Snowden

Breaches are the new normal

Operation under peramanent Attack

Finding 4: Detection & Response

Information Sharing / Threat Intelligence: Large variety of models:

▪ Online and real time information sharing

▪ CERT level information sharing

▪ Mid management information sharing

▪ Strategic information sharing

Goal:

▪ Be faster informed▪ Isolate incidents down to one per malware▪ Be warned, by strategic exchange

Threat Intelligence

▪ Real time data gathering of many enterprises

▪ Big Data analytics for chasing zero day exploits

▪ Relevant progress in recent years

Nur neuste Technologien (AI, ML, Big Data)

mit innovativsten Algorithmen sind gut genug:

Deshlab sind wir heute hier in IBM Research

6. Security Requirements &Secure Programming / Secure Systems

M. Hämmerli36

Security Requirement &Secure Programming / Systems

M. Hämmerli37

Später Beispiel: mit Secure Programming, stellvertretend für Secure Systems.

Fakten über Sicherheit: Wirkung der Angriffe

▪ Abgeflossene Daten

(Vertraulichkeitsverletzung)

▪ Funktionalitätsverlust

(D)Denial of Services (DDoS)

▪ Erpressung (Datenverlust)

Crypto Trojaner

▪ Manipulation

“Fake News”

▪ Kontrollverlust der Identät

(Bankkonto)

http://positivesfuehlen.quantumunlimited.org/transformation-von-angst-und-schmerz/

Über Funktionalität I: Design und Implementation gewollter Funktionalität

.09.2018

Futter

Milch

www.aktiontier.org

de.aliexpress.com

www.organicfacts.net/yogurt.html

www.gutekueche.at/kaese-rezepte

http://www.thankyourbody.com

Milk Services

Über Funktionalität II: Inkaufnahme ungewollter Funktionalität

.09.2018

Kuhdung

/hiveminer.com/Tags/kuhfladen/Recent

http://leimenblog.de

Profiteure

Softwareentwicklung

Wir sind Spitze!

▪ Identifikation der Aufgabe

▪ Erfasssung der Bedürfnisse einer

Software

▪ Design der Software

▪ Implementation der Software

▪ Testen (Modul, System, Integration)

▪ Beta Test

▪ Produktion

http://www.comedyflavors.com/hero/

Software-entwicklung

Security FirmenWie gut sind wir da

Finding 6

Security Requirement Specification ist Voraussetzung, dass Sicherheit professionell angegangen werden kann.

Es gibt zu wenige Spezialtisten, die das können!

Top down in Firmen ist die Definition des Sicherheitslevels schwierig (politisch)

Das Thema der Finanzen verschiebt sich, duch höhere Vorfallskosten.

7. Empfehlungen und Schlussfolgerungen

Empfehlungen und Schlussfolgerungen▪ Das Cloud Zeitalter lässt sich nicht stoppen. Die

Sicherheit in der Cloud und aus der Cloud ist

wesentlich grosser! Security does not Scale!

▪ Modernes Arbeiten braucht Investionen bei Endpoint

Security!

▪ Human Factor: Wir brauchen Schulung um Resilient

gegen Trickbetrüger zu sein.

▪ Neueste Standards CMMI BWL verlangen neuste

Lösungen.

▪ Breaches sind unvermeidbar ➔ Detection &

Response: Nur neuste Technologien (AI, ML, Big Data)

mit innovativsten Algorithmen sind gut genug:

▪ Security Requirement Specification ist Voraussetzung,

dass Sicherheit professionell angegangen werden

kann.

Anhang: About new Study ProgramBSc Information & Cyber Security

(In eigener Sache)

M. Hämmerli46

hslu.ch/informatik 47

Ausbildungsprogramm: Concept

Major

Security

Management

Major

Security

Technologie

Technologische und

organisatorische

Security Grundlagen

Projekt-

ausbildung

Höhepunkte:

Next

Generation

Security

(International

Experience,

Israel)

Staatliche

Cyber

Prävention

(mit Bundes-

verwaltung)

Informatik

Grundlagen:

Mathematik

IT

Erweiterungs-

module:

grosse

Auswahl!

E-Modul

E-Modul Z-Modul

E-ModulBachelorarbeit

(BDA)

Informatikprojekt

(PAWI)

Produktentwicklung 2

(PREN2)

Project Management

Basics

(PMB)

Fach-kommunikation

(FKOM)

Produktentwicklung 1

(PREN1)

Projekt- und Teamarbeit

(PTA)

Z-Modul

E-Modul

E-Modul

Computer & Network Architecture(CNA)

Information Security

Fundamentals(ISF)

Network Architecture

Intro Lab Information

SecurityDatenschutz I

Cyber Defense

Network Defense in

Action

Secure Code and Reverse Engineering

Cyber PhysicalSystems

Schutz Kritischer Infra-

strukturen

Statistic forData Science

IoT / II Embedded Systems

Web Technologien

Sicheres Progr. Sec. Req.

Engineering

Krypto & Protokolle

Geschäfts-prozesse und Organisation

Prozesse

der Informations-

sicherheit

Angewandte Statistik

Datenschutz II

ForensicReadiness

(Mgmt)

Datenbanken

OOPDiskrete Mathematik

A-Mathematik

Ethik

Information Security Lab

Man.

Information Security

Algorithm Data Structures

Betriebs-systeme und

Sicherheit

Informatik-Recht

IAM / DLP

Spez: ½ Sem.

Platzhalter «CISO Office»

Human andOrg. IS Factor

Blockwoche Cybersec Z-Modul

International CyberSec Experience

E-Modul Z-Modul

Platzhalter

Z-Modul

Z-Modul

Curriculum:

1. Jahr: fix2. Jahr: In Entwicklung: Änderungen vorbehalten3. Jahr: Tentative Angaben

48

Vollzeit- 3 Jahre

Berufsbegleitend- 40-60% einschlägige Berufstätigkeit

- Credits für Berufstätigkeit

- 4 Jahre

MO DI MI DO FR SA

09:05-11:25

13:05-15:25

15:40-18:00

18:30-20:50

MO DI MI DO FR SA

09:05-11:25

13:05-15:25

15:40-18:00

18:30-20:50

08:30-10:50

11:10-13:30

08:30-10:50

11:10-13:30

Ausbildungsprogramm III3 Zeitmodelle & 2 Mal jährlich: Start Sept. und Februar

Teilzeit

Support us please …

Promote the program

Other Options

1. With your expertise and network

2. With part time positions 40-60% for

students studying “berufsbegleitend”.3. By sending students to us, for

empowering them to the exciting

profession security professional.

BSc. Information & CyberSecurity

Thank you for your support