IT-Security als Prozess im Unternehmen etablieren. …...In Zusammenarbeitmitdem BSI entwickeltund pflegtTeletrust den SdT. (AktuelleVersion 2019). IT-SiG Aber auch… Verbesserung

PRESENTATION

© DATAKOM GmbH

8,68

7,83

5,44

7,09

165 / 205 / 215

IT-Security als Prozess im

Unternehmen etablieren.

Because…

IT-Security is a process not a system

13. März 2019 · Cyber Security Tech Summit · Bonn

© DATAKOM GmbH

8,68

7,83

5,44

7,09

165 / 205 / 215

DATAKOM im Kurzüberblick.

· DATAKOM @ Cyber Security Tech Summit 2019 · Vers. 12

1986 gegründet; Eigentümergeführt

Zielmärkte Deutschland, Österreich, Schweiz

Büros in Ismaning/München, Bremen, Bad Pyrmont

Zielkunden > 2000 Mitarbeiter aufwärts

Unser Kundenportfolio

Normative IT-Security-Beratung Op

erative IT-Security-B

eratun

g

Implementierungsunterstützung

Netzwerk-

Monitoring-

Technologien

IT-Security-

Technologien

Anschluss- u. Ausleitungstechnik

DATAKOM

Man

aged

Ser

vice

Pro

vid

er

Leis

tun

gsp

ort

folio

Betreiber eines Technologie- und Testlabors

© DATAKOM GmbH

8,68

7,83

5,44

7,09

165 / 205 / 215

Das IT-SiG, Relevanz für alle Unternehmen.


In Zusammenarbeit mit dem BSI entwickelt und pflegt Teletrust den SdT. (Aktuelle Version 2019).

IT-SiG

Aber auch… Verbesserung der IT-Sicherheit bei Unternehmen und Verwaltungs-organisationen und zum besseren Schutz der Bürger im Internet

Absicherung IT-Systeme und digitalen Infrastrukturen in Deutschland, besonders bei KRITIS-Unternehmen

EU-DSGVO

Aber auch… Gewährleistung freien Datenverkehrs

innerhalb des Europäischen Binnenmarktes

Sicherstellung des Schutzes personen-bezogener Daten innerhalb der EU

Standder

Technik(SdT)

Starke Passwörter

Multi-Faktor

Kryptographische Verfahren

VerschlüsselungFestplatten, Dateien, Ordner, E-Mails

SicherungmittelsPKI

Verschlüsselungauf Layer 2

CloudbasierterDatenaustausch

Dateispeicherungin der Cloud

Nutzung von mobile Sprach- & Datendiensten

Kommunikation d/ Instant Messenger

Management mobiler Geräte Routersicherheit

Netzwerküberwachung mittelsIntrusion Detection System

Schutz von Web-Anwendungen

Fernzugriff auf Netzwerke/Fernwartung

Einsatz von VPN (Layer 3)

© DATAKOM GmbH

8,68

7,83

5,44

7,09

165 / 205 / 215

SdT – Die Anforderungen bewertet


Die Quintessenz: Die Anforderungen des SdT sind keine technologischen Neuigkeiten. Im Gegenteil.

TechnologienVulnerability Management

Password-/Privilege Management

Backup Management/ Data Destruction

Privilege Access Management

Mobile Device Management / Security

Cloud Security

Web Application Firewall / Web Security

Encryption

Public Key Infrastructure

Intrusion Detection / Prevention Systems

Virtual Private Network 1 2 3 4 50

1

2

3

4

5

Grad der Bewährung in der Praxis

Gra

d d

er A

nerk

ennu

ng

Stand der TechnikStand der Wissenschaft

und Forschung

Allgemein anerkannte

Regeln der Technik

© DATAKOM GmbH

8,68

7,83

5,44

7,09

165 / 205 / 215

Die 50 abschließenden IT-Security-Controls


Viele Bereiche sind vital für die umfassende IT-Security, dennoch werden sie im SdT nicht mit einbezogen.

Perimeter Controls Network Controls

EndpointControls

Governance Controls Data Controls

Industry Controls

1. Intrusion Detect /

Prevent

9. CA/PKI Solutions 17. Anti-Malware

Tools

26. Brand Protection 35. Application

Security

43. Industry Analysis

2. Data Leakage

Prevention

10. Cloud Security 18. Endpoint Security 27. Bug Bounty

Support

36. Content

Protection

44. Information

Assurance

3. Firewall Platform 11. DDOS Security 19 HW / Embedded

Security

28. Cyber Insurance 37. Data Destruction 45. Managed Security

Services

4. Network Access

Control

12. Email Security 20. ICS / IoT Security 29. GRC Platform 38. Data Encryption 46. Security

Consulting

5. Unified Threat

Management

13. Infrastructure

Security

21. Mainframe

Security

30. Incident

Response

39. Digital Forensics 47. Security

Recruiting

6. Web Application

Firewall

14. Network

Monitoring

22. Mobile Security 31. Penetration

Testing

40. Identity and

Access Mgmt

48. Security R&D

7. Web Fraud

Prevention

15. Secure File

Sharing

23. Password /

Privilege Mgmt

32. Security Analytics 41. PCI-DSS /

Compliance

49. Training

Awareness

8. Web Security

Gateway

16 VPN / Secure

Access

24. Two-Factor

Authentication

33. SIEM Platform 42. Vulnerability

Management

50. VAR Security

Solutions

25. Voice Security 34. Threat

Intelligence

© DATAKOM GmbH

8,68

7,83

5,44

7,09

165 / 205 / 215

Das häufig klägliche Ende des hehren Ziels der IT-Security


Ohne die Einbettung von IT-Security-Lösungen in Prozesse ist deren Funktion selten abgesichert.

• Keine Awareness in den betroffenen Organisationsteilen

• Wenig Unterstützung für die Funktion in den Unternehmen

• Abhängigkeit der Funktionen von wenigen Mitarbeitern

• Keine Integration in andere IT-Security-Prozesse

• Wenig bis keine Effektivität der jeweiligen Lösung

• Gefahr des Einschlafens der Funktionalität

• Drohender Totalverlust der Investitionen

Auswirkung der Nicht-Einbettung in die Unternehmensprozesse

© DATAKOM GmbH

8,68

7,83

5,44

7,09

165 / 205 / 215

Der Prozess des Schwachstellenmanagements [SSMT] in Unternehmen.


SSMT lässt sich in viele andere Funktionen einbinden, vorausgesetzt, die Prozesse sind eingerichtet.

ScanReport-Analyse

Report-Verteilung

Ticket-Erstellung

Patching RescanningDokumen-

tation

SSMT-Verantwortlicher App.-Verantw. Ext. DL. SSMT-Verantwortlicher

Beispiel eines manuellen SSMT-Prozesses

ScanTicket-

ErstellungPatching Rescan

Dokumen-tation

NAC-Alarm

IsolationGuest-LAN

EinbindungCorp.-LAN

Beispiel eines automatisierten, integrierten Prozesses eines NAC und eines SSMT

© DATAKOM GmbH

8,68

7,83

5,44

7,09

165 / 205 / 215

Viele Prozesse in der IT-Security verlauft hoch integrativ.



Log-

Correlation

Incident

Detection

Incident

Analysis &

Action

Definition

Ticket-

Erstellung

Endpoint

CleanupValidation

Documen-

tation

SOC-Mitarbeiter/-Manager App.-Verantw. Ext. DL. IT-Security Officer

Beispiel eines Incident Detection & Response Prozesses

Beispiel eines akuten IT-Security-Incidents

Petja-

Screen àMA-

Rückfrage

Incident

Bewertung

Notfall

Auslösung

Info.

Prozess

Ticket-

Erstellung

Endpoint

Isolation

SOC-Mitarbeiter/-Manager Unterschiedlich NAC-Verant.CISO

Endpoint

Cleanup

Ext. DL. SOC-Mitarb.

…

Forensische

Analyse des

Angriffs

…

© DATAKOM GmbH

8,68

7,83

5,44

7,09

165 / 205 / 215

Prozessmanagement von früher funktioniert nicht


Prozessdokumentation muss auf den Adressaten ausgerichtet sein. Sonst nimmt er es nicht an.

• Schlechte Lesbarkeit, Nachvollziehbarkeit

• Schwer vermittelbar

• Nicht als Arbeitsanweisung zu verwenden

• Nicht als Trainings- oder Notfall-Dokumentation verwendbar

• Schwer über die Unternehmensbereiche hinweg verteilbar

• Komplexe Wartbarkeit, wenig Bereitschaft der Pflege

• Geringe Bindungskraft

Nachteile d. Verwendung mechanistischer Prozessdokumentation

© DATAKOM GmbH

8,68

7,83

5,44

7,09

165 / 205 / 215

Prozessdokumentation heute muss 4 Grundregeln folgen.


Einfach, akzeptiert, nachvollziehbar, aktiv lebbar.

IT-Mitarbeiter

SOC-Mitarbeiter/Mgmt

Externer DL

Datenschutz-Beauftragter

Klassischer “User”

PROZESSFORTSCHRITT

Erfolgfaktoren einer Prozessdokumentation• Klar definierter Einstiegspunkt für alle Prozessbeteiligten• Checklisten für jeden Beteiligten• “Informationsspicker” für die gegenüberliegende Partei• Erklärender Text in Normalsprache• Aufgelockerte, klare Darstellung• Parallele Prozessdokumentation

Schlüsselerfolg der Prozessdefinition ist die Einbindung aller beteiligter Organisationsbereiche.

© DATAKOM GmbH

8,68

7,83

5,44

7,09

165 / 205 / 215

Prozesseinführung mittels Methode zur Sicherung der Nachhaltigkeit


Teamleiter & Multiplikatoren auf Change vorbereiten

Team-individuelle Einschätzung aus Change Sicht

Individuelle Führungsberatung

Aufnahme mittel- und langfristiger Maßnahmen & Chancen

Maßnahmencontrolling über Projektdauer hinaus

Projekt Revisit(erneute Planung notwendig)

Management macht Projekt Ziele deutlich (inkl.

Nachhaltigkeit)

Teamleiter und Multiplikatoren werden persönlich in die Verantwortung genommen

+

Verankerung der Nachhaltigkeit in den Zielvereinbarungen inkl. Revisit

PROCESS-ROLLOUTBeispielvorgehen

Team erhält individuelle Maßnahmenzur Sicherung der Nachhaltigkeit

Vorbereitung Teamleiter & Multipikatorenbzgl. „Wie verankere ich den Prozess?“

+

© DATAKOM GmbH

8,68

7,83

5,44

7,09

165 / 205 / 215

Prozesse managen ist nicht einfach. Toolunterstützung wünschenswert.


Organisationen tun sich schwer, operative Prozesse aktuell und am Leben zu halten.

• Inkrementelle Einführung einfacher möglich

• Training und regelmäßiges Re-Training notwendig

• Dauerhafte Abhängigkeit von wenigen Mitarbeitern

• Prozesstreue und -qualität je Mitarbeiter unterschiedlich

• Prozesseinhaltung wenig nachvollziehbar. Überwachungsinstanz erforderlich

• Höherer Dokumentationsaufwand

• Prozessüberarbeitung aufwendiger

• Reporting schwierig und zeitraubend

• Auf Dauer deutlich kosten- und personalintensiver, mit mehr

Bedarf an Management-Attention.

• Höherer Initialaufwand, höhere Projektkosten

• Aufwendige Integration von unterschiedlichen Security-Lösungen,

sofern keine Standardschnittstellen vom Hersteller

• Dauerhafte Abhängigkeit vom Hersteller

• Playbook-Templates schaffen Basis

• Regelbasiertes Prozessmanagement gewährleistet

Prozesseinhaltung

• Revisionssicherheit und Nachvollziehbarkeit deutlich einfacher

• Cockpit-Sicht erlaubt Überwachung und Reporting,

Kennzahlenmanagement

Prozessmanagement ohne Tool-Unterstützung Prozessmanagement mittels Tool-Support

© DATAKOM GmbH

8,68

7,83

5,44

7,09

165 / 205 / 215

Rollen- und Prozessmodelle im SOC-Betrieb als Beispiel


Incident Detection & Response im SOC-Betrieb bedarf detaillierter Prozessdefinition, um zu bestehen.

§ Level 1 Analyst Überwachung der ein-gehenden Meldungen in das unternehmensweite SIEM.

Identifizieren und Aussortieren von “falschen Treffern”

Erste Bearbeitung und Bewertung von ernsthaften Vorfällen.

Lösung & Berichterstattung von Level 1 Vorfällen

Eskalation potentieller Level 2 Vorfälle an L2.

§ Level 2 Analyst Selektion, Priorisierung und Bearbeitung der von L1 übergebenen Vorfälle

Auswertung ernsthafter Bedrohungen durch tiefere Analysemethoden und -kenntnisse

Eröffnung des IncidentResponse Prozesses zur strukturierten Bearbeitung von Vorfällen

Ansprechpartner für die Eskalation von Vorfällen

§ Level 3 Analyst Forensische Analyse: Weiterführende Analyse zur Aufdeckung komplexer Zusammenhänge Threat Hunting: Suche mittels spezieller Analysemethoden nach unerkannten Anomalien und Angriffsmustern, zur Erkennung und Vermeidung neuer Angriffe. Incident Response: Automatisierung und Orchestrierung der Abläufe, Reports und Benachrichtigungen

§ IT-Abteilung Sperren von betroffenen Benutzerkonten

Blockieren bösartigen Netzwerk-Verkehrs

Überprüfung interner Benutzer hinsichtlich Verwicklung bzw. Beteiligung

Forensische Suche nach Ausmaß und Inhalt von gestohlenen Daten

§ Sec Ops Manager Verantwortung für den reibungslosen Ablauf der Security Operations

Bereitstellung von Dashboards, Reports und Statistiken über die aktuelle Sicherheitsrisiken und die akute Bedrohungslage

Leitung hochrangiger Vorfälle u. der externen Kommunikation

Stetige Optimierung der Produktivität: z.B. die Reduktion von “falschen Treffern”

© DATAKOM GmbH

8,68

7,83

5,44

7,09

165 / 205 / 215

Beispiel Incident Response – Manuelle Bearbeitung.


Nach der Erkennung eines Incidents kann die manuelle Bearbeitung aufwendig werden.

Prüfung der Warnung

und Identifikation des Informationsbedarfs zur

Bewertung

Ticket eröffnen, um

benötigte

Informationen zuerhalten

1. Prüfung der relevanten Informationen

(reicht sie aus?)

2. Untersuchung: Wurde verdächtige

Netzwerkverbindungen oderProzesse ausgeführt?

Analyse, ob

Endpoint kompromittiertwurde

System ist potenziell

kompromittiert: Manuelles

Durchführen Netzwerkisolation, Endpoint-

Bereinigung….

Manuelle Abklärung ob einziger

kompromittierter Endpunkt

Manuelles

Anpassen von Firewall und IPS

Regeln

Typischer Tag in einem SOC

Best Case

Scenario

2-5 PT

• Keine Awareness für Dringlichkeit in den Organisation

• Unterschiedl. geschulte Mitarbeiter/Wissensbasis

• Prozessverzögerung oder gar -abbrüche

• Keine Nachvollziehbarkeit der vorgenommenen Maßnahmen

• „Übersehen“ von anderen infizierten Bereichen

• Kein Lern-Effekt

• Nicht korrektes Abarbeiten von Aufgabenstellungen

• Hohe Ineffizienz des Prozesses

Risiken:

© DATAKOM GmbH

8,68

7,83

5,44

7,09

165 / 205 / 215

Das SIEM als Basis der Angriffserkennung reicht heute nicht mehr aus.


Das SIEM deckt Angriffe vielleicht auf, der Prozess danach ist aber ausschlaggebend.

Advanced Threat

Detection

Insider Threat Detection

Risk and Vulnerability Management

Incident Forensics

Incident Response

Compliance Reporting

Securing Cloud

Third-Party Usage

ThreatIntell

UBA

• Angriffe werden immer stärker und intelligenter.Angreifer werden immer professioneller. Sie nutzen ‘best-in-breedtechnology’ inklusive AI und zukünftig zudem Quanten-Computing.

• IT-Security-Umgebungen werden immer komplexer.Große Unternehmen nutzen durchschnittl. 75 unterschiedliche IT-Security-Produkte.

• IT-Security-Mitarbeiterlücke wird immer größer.

• Durchschnittlicher Schaden wird immer größer.Erfolgreiche Angriffe werden immer kostspieliger. Lt. Gartner beträgt der durchschnittl. Schaden eines Angriffs 3.62 Mio USD.

Prozessorchestrierung, Automation und externe Threat-Intelligencesind die Treiber, die Unternehmen benötigen, um ihre Organisationen vor den Angriffen abzusichern.

© DATAKOM GmbH

8,68

7,83

5,44

7,09

165 / 205 / 215

Der SOC-Betrieb im Wandel – Das SIEM ist nicht mehr Kernstück!


Bereits vor Jahren wuchs das Bewußtsein, dass der Fokus auf nachgelagerte Prozesse liegen muss.

Advanced Threat

Detection

Insider Threat Detection

Risk and Vulnerability Management

Incident Forensics

Incident Response

Compliance Reporting

Securing Cloud

Third-Party Usage

ThreatIntell

UBA

SOAR = SOA + SIR + TIP

“The challenges from an increasingly hostile threat landscape, combined with a lack of people, expertise and budget are driving organizations toward SOAR technologies.”

– Innovation Insight for Security Orchestration, Automation and Response - November 30, 2017

Leis

tun

gsp

ort

folio

© DATAKOM GmbH

8,68

7,83

5,44

7,09

165 / 205 / 215

Intelligentes Prozessmanagement durch SOAR


SOAR als nachgelagertes Prozessmanagement verbindet die IT-Security im Unternehmen.

ORCHESTRATION & AUTOMATION

AI & HUMANINTELLIGENCE

CASEMANAGEMENT

INTELLIGENT ORCHESTRATION

Case Management• Incident Eskalation, Kreierung und Management• Kollaboration und Prozess Management im Team• Reporting und Analytics, Revisionsmanagement

Orchestration & Automation• Dynamische Playbooks (IT-Security-

Prozessmanagement)• Skripte, Regel Engine, “Drag-and-drop” visuelles

Workflow-Management, Workflow Editor• Ecosystem der Integration, der Playbooks, der

Best Practices, Developer Toolkits• Automatisertes Incident Enrichment

AI & Human Intelligence• AI unterstützte Incident Bearbeitung,

Integrierte Threat Intelligence• Best Practices, IR Expertise, Regel Engine für

Compliance Vorgaben wie Datenschutz

© DATAKOM GmbH

8,68

7,83

5,44

7,09

165 / 205 / 215

Seit Jahren entwickelt sich das Produktangebot hin zu einem SOAR.


Allerdings können wenige Hersteller mehrere Bereiche abdecken. Der Schlüssel ist die Integration.

SIRPSOA

TIP

• Integration anderer IT-Security-Produkte.Automatisiertes nahtloses Prozessmanagement bedarf der

bi-direktionalen Integration der IT-Security-Tools.

Je mehr IT-Security-Funktionen integrierbar, desto größer der Nutzen.

• API ist nicht der Schlüssel zum Erfolg.API ist Handarbeit. Schnittstelle gehört Unternehmen. Bei

Änderungen Sender-/Empfängeranwendung besteht

Anpassungsbedarf.

• Open-source-Lösungen weniger hilfreich.Speziell für einen Anwendungsfall entwickelt, Weiterentwicklung ohne Gesamtkonzept verwirklicht.

• Integrationsarbeit dem Tool-Hersteller überlassen.Hersteller kennt seine Lösung besser. Übernimmt aus Eigen-

interesse die Pflege der Schnittstellen.

© DATAKOM GmbH

8,68

7,83

5,44

7,09

165 / 205 / 215

Beispiel RESILIENT von IBM


Integration von 73 Produktlösungen unterstützen das automatisierte Prozessmanagement mittels RESILIENT.

© DATAKOM GmbH

8,68

7,83

5,44

7,09

165 / 205 / 215

Ein Kommunikationsgau ist jederzeit möglich


Hat Ihr Unternehmen schon Regeln und Prozesse definiert, um so etwas zu verhindern?

Hi Forum,Wir beiDATAKOM sind angegriffen worden. Kennt einer von euch „WannaCry“?Was ist zu tun?

Hier Presseabteilung. Sie sagen, wir sind Opfer eines

Cyber-Angriffs?Alles Blödsinn!

Apropos: Wer sind Sie eigentlich?

Hier IT-HelpDesk: Ich glaube, ich hab den CEO an der Strippe.Der brüllte, er habe bei BILD online gelesen, wir seien gehackt worden.Stimmt das?

© DATAKOM GmbH

8,68

7,83

5,44

7,09

165 / 205 / 215

Schäden und Ausgaben bezogen auf IT-Security

Ausgaben im Bereich IT-Security Produkte und Dienstleistungen

2017 weltweit:

$ 89 Mrd. USD (Gartner Group Dezember 2017)

Ausgaben belaufen sich auf weniger als 15%! bezogen auf die bekannten Schäden

Schädendurch

Cyber-Attacken

2017weltweit

$ 600 Mrd

(Studie McAffee 2018)

Schädendurch

Cyber-Attacken

2016Deutschland

€ 55 Mrd

(Bitkom 2017)

!!! 11% !!!

Mit über € 5,5 Mrd. geben die

deutschen Unternehmen 2017 knapp zehn Prozent des gesamten ITK-Budgets für

die IT-Sicherheit aus.(techconsult und Cancom Pironet NDH, ITK Benchmark 2017)

10%


© DATAKOM GmbH

8,68

7,83

5,44

7,09

165 / 205 / 215Ausgaben Gebäudeschutz D2016

€ 8,6 Mrd*

Objekt-Schutz

Schäden D 2015€ 500 Mio ***

Ausgaben Schliess- und Überwachungstechnik D

2017€ 7,7 Mrd**

Ausgaben/Schaden-Ratio3260%

* Statistica.com 2017, **Security-on-Tour 2018, ***Kriminalstatistik 2015

IT-Security

Ausgaben ww 2017$ 89 Mrd

Schäden ww 2017$ 600 Mrd

Deutschland investiertjährlich rund

€ 5,5 Mrdin IT-Security.

Schäden Deutschland in 2016

€ 55 Mrd

Deutschland müsste jährlich rund

€ 360 Mrd. in IT-Security investieren.

7xmehr als heute!

Ausgaben/Schaden-Ratioca. 650%

(ohne Rückkopplung auf Reduktionen der tatsächlichen Schäden)

Annahme:

20% davon

ist wahr.


Ein Zahlenvergleich zur Untermauerung:

© DATAKOM GmbH

8,68

7,83

5,44

7,09

165 / 205 / 215

Noch ein paar Gedanken zur IT-Security-Funktion in Unternehmen.



Die Unternehmensführung tut sich immer noch schwer:

• Unter TCO Gesichtspunkten ist der Aufwand für IT-Security immer günstiger als ein schadhafter Incident

• Awareness für die Notwendigkeit für IT-Security ist in der U.-Führung noch nicht angekommen

• U.-Führung hat keine Vorstellung, was alles in im Sinne der IT-Security zu tun ist

Und hier liegt die Herausforderung beim IT-Security-Verantwortlichen:

• Nur selten gibt es eine transparente, kommunizierte und zugestimmte IT-Security-Roadmap

• Jedes IT-Security-Projekt muss in der Roadmap aufgenommen, geplant und gesteuert werden

• Der CISO/IT-Security-Officer muss diese Roadmap kontinuierlich vortragen und den Fortschritt aufzeigen

Dieses Dokument ist ausschließlich für Mitarbeiter unserer Kunden bestimmt. Die Verteilung, Zitierung und Vervielfältigung –auch auszugsweise – ist nur mit vorheriger schriftlicher Zustimmung von DATAKOM gestattet.

All pictures originate from National Aeronautics and Space Administration and are used according to current media use guidelines.

Dr. Philip HuisgenManaging DirectorT. 0 89 / 99 65 25 - 14E. [email protected]

DATAKOM Gesellschaft für Datenkommunikation mbHLise-Meitner-Str. 1 · 85737 Ismaning

© DATAKOM GmbH

8,68

7,83

5,44

7,09

165 / 205 / 215for your attention!

Thank you

Documents

IT-Security als Prozess im Unternehmen etablieren. …...In Zusammenarbeitmitdem BSI entwickeltund pflegtTeletrust den SdT. (AktuelleVersion 2019). IT-SiG Aber auch… Verbesserung