security smoke test - eine bewußte entscheidung für die it sicherheit

Copyright © 2014 Oracle and/or its affiliates. All rights reserved. |

Share with

Bitte Fragen über den

WebEx-Chat

#ODSD2015

OracleDirect Security Day 2015


Safe Harbor Statement

The following is intended to outline our general product direction. It is intended for information purposes only, and may not be incorporated into any contract. It is not a commitment to deliver any material, code, or functionality, and should not be relied upon in making purchasing decisions. The development, release, and timing of any features or functionality described for Oracle’s products remains at the sole discretion of Oracle.

OracleDirect Security Day 2015 3

Security Day 2015 Der Security Smoke Test

Carsten Mützlitz Systemberatung Potsdam OracleDirect

SECURITY Inside-Out


Referent: Kurz vorgestellt

5

• Carsten Mützlitz

– unterstützt Deutschlands Daten sicher(er) zu machen , ORACLE, Systemberatung Potsdam

– [email protected]


/ORA0600

blogs.oracle.com/SecurityDE

blog.carsten-muetzlitz.de

/DTCCpotsdam

systemberatungpotsdam.wordpress.de

Copyright © 2015, Oracle and/or its affiliates. All rights reserved. |

Agenda für die nächsten 30-45 Minuten


Informationssicherheit als Prozess. Wo stehen wir?

Kurze Einführung

Der Security Smoke Test

Warum das Ganze?

1

2

3

4

Copyright © 2015, Oracle and/or its affiliates. All rights reserved. | OracleDirect Security Day 2015

Das Informationssicherheitskonzept beruht auf einem Risikomodell und beleuchtet die Organisation und die Prozesse

INFORMATIONSSICHERHEIT als Prozess

Sicherheitsprozess

Initialaktivitäten

Laufende Aktivitäten

Umsetzungen / Betrieb

Pro

ze

ss

e

Sicherheitsstrategie

Risikomanagement

Sicherheitsmgmt.

Schutz Informationswerte

(Vetraulichkeit, Integrität)

Sicherstellung der Verfügbarkeit

Disaster Recovery /Business

Continuity Planning

Monitoring

Auditing

Bereiche

Technisch

Physisch Organisatorisch Systeme (HW& OS)

Netze Software Daten

Bu

ild

Op

era

te

Ablauf

Schwachstellenanalyse, Bedrohungsprofil, Risikobewertung, Maßnahmenpriorisierung

Risikomanagement

Security Policy, Standards & Procedures

Sicherheits- organisation

Zugriffssicherung, Authentisierung, Kryptographie, PKI, VPN Sicherheitszonen, Zugangskontrollen,

Zutrittsicherungs-

syteme Firewalls

Netzwerkdesign

Clustering

Netzwerkmgmt.

Virenschutz-management

Sichere OS

System-Aktualisierung

SW-Design

Verbindlichkeit

Datenklassifik.

Datenträger

System-performance Monitoring

CM

Hot-Backup Gebäudesicherheit Personelle Sicherheit

Arbeitsplatz

Schutz vor Elem-entarereignissen

Notfallpläne

(Contingency Plans)

Intrusion Detection Systems

Gebäude-überwachung

Videoaufzeichnung Activity Logging

Sicherheitsaudits Vulnerability Checks

Sicherheitsmanagement

Security Vision, Strategie für den Umgang mit unternehmenskritischen Infrastrukturen und Informationswerten

Governance

HR-Prozesse, Betriebl. Praktiken,

Awareness, Training

Backup, Backup-Facitilites

Logging, Evaluierung, Behandlung von Sicherheitsvorfällen

System Recovery

Informationssicherheit ist ein Prozess, der alle Teile eines Unternehmens be-trifft. Es reicht nicht zu denken: “Die IT Abteilung wird mich schon schützen”

7

Sicherheits- organisation

Sicherheitsaudits Vulnerability Checks

Sicherheitsmanagement

HR-Prozesse, Betriebl. Praktiken,

Awareness, Training

Security Policy, Standards & Procedures


Agenda



Kurze Einführung


Warum das Ganze?

1

2

3

4

Copyright © 2015 Oracle and/or its affiliates. All rights reserved. | OracleDirect Security Day 2015 9

Smoketesting stammt ursprünglich aus dem handwerklichen Bereich

Was ist ein Smoke Test?

• Früher haben die Klempner Rauch durch die Rohre geblasen

– Um die Dichtigkeit nach einer Reparatur zu prüfen

• Smoketests sind sehr häufig im eCommerce Bereich zu finden

– Da viele Updates am System wie Katalog-Wechsel stattfinden

– Neues Releases/Funktionen/Design im System eingespielt werden

Ein Smoketest prüft wesentliche Funktionalität auf Korrektheit

ZWECK: Wahrscheinlichkeit eines Fehlers vor Live-Schaltung reduzieren. Z.B. Leck im Rohr.

© industrieblick - Fotolia.com


Agenda



Kurze Einführung


Warum das Ganze?

1

2

3

4

Copyright © 2015, Oracle and/or its affiliates. All rights reserved. | 11

Vorab: Bedrohung “AKTEURE & ZIELE”


OS admin DBA Test/Dev App Owner/User

BI User

Network Backup OS Database Applications


“Wie könnte so ein Security Smoke Test wohl aussehen? Gibt es Tools dafür? Und wer führt diesen Security Smoke Test aus?“


Security Smoke Test?

ZWECK: Nach Änderung/Release Zustand nach Änderung prüfen und bewerten.


Beispiel: Solaris Compliance Framework

MÖGLICHE TOOLS von Oracle?

• Solaris Compliance Framework: Standard PCI

root@soltest: # compliance assess

root@soltest: # compliance report

root@soltest: # compliance assess -b pci-dss

root@soltest: # compliance report –a reportname

Mit integrierter Lösung der fehlerhaften Regel

Erweiterter Prüfung auf PCI DSS

Integrierte Lösungen für ein besseres Sicherheitsmanagement in den Oracle Lösungen wie Compliance Framework, ORAChk, openSCAP, Enterprise Manager etc.


TYPISCHE ATTACKE: Beispiel DB

OracleDirect Security Day 2015 14 Copyright © 2014, Oracle and/or its affiliates. All rights reserved. |

PORTSCANNING SID GUESSING Password Theft Insider Access SQL Injection Denial-of-Service Malware

IDEE: Der Security Smoke Test sollte eine typische Attacke simulieren und wichtige Dinge prüfen!


Attacke simulieren und wichtige Parameter prüfen

Der SECURITY SMOKE TEST am Beispiel einer DB-Apps

Was kann der Security Smoke Test?

• Attacke simulieren: Portscan, SID Guessing, Brute Force

• Wichtige Einstellungen auf sinnvolle Funktion prüfen, wie

− PW und User Management

− Konfiguration

− Access Control und Rollen

− Komplexität

− User Management

− Apps-Owner

− und einiges mehr

SECURITY SMOKE TEST Based on APEX

PRODUKTIONS DB Instances

Show Demo

Release Manager


Wichtig zu wissen was rechtlich zu beachten ist…

Der HACKERPARAGRAF!

• Hackerparagraf von 2007 (StGB §202b und 202c)

• Vorgabe zur Nutzung sogenannter Dual-Use-Tools

− Tools die auch für krimielle Zwecke genutzt werden können, wie Passwordcracker, Netzwerksniffer und Portscanner

• Darf ich (Admin/DBA) Dual-Use Tools auch für meine Unternehmens-IT nutzen?

− Das Bundesverfassungsgericht (Beschluß vom 18.5.2009), sagte „JA“, aber bitte dokumentieren und Genehmigung einholen (Vieraugenprinzip)

Hackerparagraf StGB insbesondere §202c

...§ 202c Vorbereiten des Ausspähens und Abfangens von Daten

1) Wer eine Straftat nach § 202a oder § 202b vorbereitet, indem er Passwörter oder sonstige Sicherungscodes, die den Zugang zu Daten (§ 202a Abs. 2) ermöglichen, oder Computerprogramme, deren Zweck die Begehung einer solchen Tat ist, herstellt, sich oder einem anderen verschafft, verkauft, einem anderen überlässt, verbreitet oder sonst zugänglich macht, wird mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bestraft.

2) § 149 Abs. 2 und 3 gilt entsprechend. ...


Agenda



Kurze Einführung


Warum das Ganze?

1

2

3

4


• Gefahr einer Attacke?

• Sichere Konfiguration?

• Komplexität?

• Zugriffskontrolle?

• User Management? helfen einen letzten neutralen aber konkreten Blick auf die (Datenbank) Sicherheit zu werfen

Security Smoke Tests

Besteht ein

Risiko?


und zwar von ANFANG AN!

VERHINDERN


TREFFEN SIE

Copyright © 2014 Oracle and/or its affiliates. All rights reserved. | 23

OD Sec Day: Die nachfolgenden Präsentationen


• 14:15 Uhr: Michal Soszynski Störungsfreiheit kritischer IT-Infrastrukturen

• 15:30 Uhr: Suvad Sahovic Eine geniale Lösung für das Benutzermanagement in kurzer Zeit implementiert

• 16:45 Uhr: Wolfgang Hennes Sichere Speicherung von Daten in der Cloud und Live-Hack auf eine ungeschützte Datenbank

security smoke test - eine bewußte entscheidung für die it sicherheit

Technology

oracle andor its affiliates

all rights reserved

out copyright

it is not

and may not

and should not

the development

training backup