webinar am 16.02.2017 martin heiliger-zemanek · pdf filefirmware deployment trusted solutions...

Rohde & Schwarz Cybersecurity

Sichere Endpoints – Proaktiver Schutz vor Cyberangriffen

Webinar am 16.02.2017

Martin Heiliger-Zemanek

Rohde & Schwarz im Überblick

Sichere Endpoints – Proaktiver Schutz vor Cyberangriffen

ı GeschichteGegründet 1933 in München

ı UnternehmensformUnabhängiges Familienunternehmen

ı Globale PräsenzIn über 70 Ländern, rund 60 eigene Niederlassungen

ı Umsatz1,82 Milliarden Euro (GJ 14/15, Juli bis Juni)

ı ExportanteilÜber 90 Prozent

ı Mitarbeiter9800 weltweit, davon etwa 5900 in Deutschland

ı ErfolgIn allen Arbeitsgebieten unter den führenden Anbietern

Rohde & Schwarz Arbeitsgebiete

Messgeräte und

-systeme für

Mobilfunk- und

Wireless-

Anwendungen

allgemeine

Elektronik

Aerospace &

Defense

Betriebs-, Mess-

und Studiotechnik

für

Netzbetreiber

Sendeanstalten

Studios

Filmindustrie

Hersteller von

Unterhaltungs-

elektronik

Kommunikations-

systeme für

Flugsicherung

Streitkräfte

Verschlüsselungs-

technik für

Militär

Behörden

kritische

Infrastrukturen

IT-Sicherheits-

produkte für

Wirtschaft

Behörden

Funkerfassungs-

technik für

Regulierungs-

behörden

innere und äußere

Sicherheit

Netzbetreiber

Radaraufklärungs-

technik

Messtechnik Rundfunk- und

Medientechnik

Sichere

Kommunikation

Cyber-Sicherheit Funkerfassung

Service

Sichere Endpoints – Proaktiver Schutz vor Cyberangriffen 3

Strategisches Ziel: “We build the European Trusted Supplier for

Cybersecurity Products and Solutions”


Secure networks and

network analyticsNext-generation firewalls & UTM

Application awareness and DPI

Vulnerability management

Encrypted backbone / WANLayer 3 IP encryption

Layer 2 Ethernet encryption

Secure remote access

Tap-proof communicationVoice encryption apps & devices

Secure messaging

Fax & Radio encryption

Secure endpoints

and applicationsFull-disk encryption

Secure browsing & cloud

Secure desktop & mobile

Web application firewalls

Trusted managementCA, PKI, HSMs

Crypto management

Configuration, Policy

Firmware deployment Trusted solutions

from a single source

Rohde & Schwarz Cybersecurity - Produktportfolio


Tap-proof

communications

Secure endpoints &

trusted management

Secure networks Network analytics

❙ Browser in the Box

❙ TrustedDisk

❙ TrustedDesktop

❙ TrustedObjects Manager

❙ TrustedIdentity Manager

❙ PanBox

❙ R&S®CryptoServer

❙ NP+

❙ GP Firewalls

❙ R&S®SITLine ETH

❙ TrustedVPN

❙ BizzTrust

❙ TopSec Mobile

❙ CryptoGateway

❙ Fax- and Voice Encryption

❙ RadioCrypt

❙ HandsetCrypt

❙ ELCRODAT

❙ R&S®MMC3000

❙ R&S®PACE 2

❙ R&S®Net Reporter 2

❙ R&S®Net Sensor

Gefahrenschwerpunkt Internet

ı Wachsende Cyberkriminalität

Steigende Angriffsrate von 8% im Vergleich zum Vorjahr

3,4 Millionen infizierte Endpoints (2016)

ı Daten- und Informationsverlust von Unternehmen

Durch den Einsatz von Maleware gelangen Angreifer an sensible Unternehmensdaten und können

großen wirtschaftlichen Schaden anrichten

ı infizierte Websites


Schutz vor den Gefahren im Internet


Sichere Trennung von Intranet und Internet durch Zwei-Browser

Strategie mit Browser in the Box

Intranet-Browser Bowser in the Box

ı Produktbezogene Daten

ı Produktentwicklungsunterlagen

ı Strategische Konzepte

ı Browserbasierte in-house

Anwendungen

ı Emails

ı Recherchen

ı Nachrichten


Warum Browser in the Box ?


Bisherige Ansätze der Bedrohungsabwehr

ı Kein Internet am Arbeitsplatz

Abgesetzte Rechner für Internet Zugang

ı Internet mit reduziertem Funktionsumfang

Abgeschaltete aktive Inhalte

ı Alternative Browserhersteller

ıTerminalserver

Zentraler Server, auf dem der Web-Browser läuft, Zugriff über Desktop-Viewer

Sichere Endpoints – Proaktiver Schutz vor Cyberangriffen10

Browser in the Box: Sicherer Browser für den Client

ı Technologie

Browserkapselung durch Virtualisierung

ı Eigenschaften

1. Hohe Sicherheit bei Erhaltung aller Webfunktionalitäten

Trennung von Arbeitsplatzumgebung und Internet

Transparent für den Anwender

2. Wirtschaftlich durch Einsatz vorhandener Clientressourcen

Leicht zu installieren und zentral zu administrieren


Browser in the Box Enterprise: Einfache Administration


Browser in the Box Enterprise: Isolation auf Rechnerebene


Browser in the Box Enterprise: Isolation auf Netzwerkebene


Browser in the Box Client: Komforteigenschaften

ı Benutzerkomfort

Hohe Transparenz durch Seamless-Mode

Unterstützung von aktiven Inhalten

Plugins, persistente Lesezeichen, Drucken und Download richtliniengesteuert möglich

Die Browserkonfiguration (Lesezeichen, Plug-Ins, Proxy-Einstellungen etc.) wird im Benutzerkontext

gespeichert → diese Daten werden beim Neustart nicht zurückgesetzt

ı Flexibilität

Administrator kann differenziert einstellen, welche Konfigurationsdaten persistent gehalten werden

Individuelle Images sind möglich

ı Host - Plattformen

Windows (7, 8 und 10)


Browser in the Box: Sicherer Download


Browser in the Box: Sicherer Upload


Browser in the Box: Sicheres Drucken


Browser in the Box: Sichere Zwischenablage

ı Informationsflusskontrolle

Unidirektional (Arbeitsplatz → Browser in the Box oder Browser in the Box → Arbeitsplatz)

Bidirektional (Arbeitsplatz ↔ Browser in the Box )

Zentral administrierbar

ı Optionale Bestätigung durch den Benutzer beim ‘Einfügen’

Kein unbemerkter Informationsfluss z.B. durch Schadsoftware im Gast, die die

Zwischenablage ausliest


Browser in the Box: Enterprise Managementfeatures

ı Nutzerverwaltung

Synchronisation mit einem Active Directory

Individuelle Rechteverwaltung nach Nutzern oder Gruppen

ı Tunnelmanagement

Automatische Konfiguration des Browser in the Box - Clients

Automatische Erzeugung und Verteilung von Zertifikaten

ı Imageverwaltung

Upload neu erstellter und signierter Images

Zuordnung möglicher Images zu Nutzern oder Gruppen

Verteilung von Imageupdates als Differenzpaket


Browser in the Box - Sicherheitseigenschaften im Überblick

ı Sicherheit

Kapselung in virtuelle Maschine (VM)

Isolierter „Browser in the Box“-Benutzerkontext

Sicherheitsanalyse der VM-Technik zusammen mit BSI durchgeführt

Gehärtetes Linux als Gastsystem

Start immer von einem sauberen Snapshot

Sicherer IPsec-Tunnel bis zum Gateway, nur Daten aus „Browser in the Box“ werden ins

Internet geleitet und umgekehrt

Sicheres Updateverfahren (nur signierte Images)


TrustedDisk die Festplatten- und

Geräteverschlüsselung mit zentralem Management

und VS NfD Zulassung durch das BSI


Highlights von TrustedDisk

ı Hoher Einsatzkomfort

Device-Vollverschlüsselung für Windows 7/8

Initial-Verschlüsselung im Hintergrund, dadurch Weiterarbeit möglich

Verschlüsselung von Systempartitionen und mobilen

Speichergeräten

Mehrbenutzerfähigkeit, flexibles und einfaches Rechtemanagement

ı Hohe Sicherheit

Umfassende Pre-Boot Authentication

Mehrstufige Authentifizierung per Hardwaretoken und PIN

Sichere Zufallszahlengenerierung, flexible Umverschlüsselung

Für den VS-NfD Einsatz unter Windows 7 und 8 zugelassen


TrustedDisk: Einsatzmöglichkeiten

ı Einzelplatzversion ohne zentrales Management

Für Unternehmen empfohlen bis 20 Clients

SmartCard Authentisierung

Für den VS-NfD Einsatz zugelassen

ı Zentrales Management über TrustedObjects Manager

Für Unternehmen mit mehr als 20 Clients

Zusätzliche Funktionen gegenüber der Einzelplatz-Version

Für die Verwendung mit der zugelassenen TrustedDisk Einzelplatzversion freigegeben


TrustedDisk – Varianten

ı Vorteile der Einzelplatzversion ohne zentrales Management

Keine weitere Hardware notwendig (Platz / Stromverbrauch)

Keine Änderungen am Netzwerk (Firewall / VLANs)

Die Kosten für den TOM entfallen

ı Vorteile der Version mit zentralem Management über den TrustedObjects Manager

Zusätzliche Funktionen gegenüber der Einzelplatz-Version

Anbindung an Verzeichnisdienste (LDAP)

Zentrale PUK Verwaltung

Übersicht über den Status der Clients (Verschlüsselungsstatus / Verbindung)

Zentrale Protokollierung der Events

Zertifikate werden zentral abgelegt auf dem TOM


TrustedDisk: Lieferumfang

ı Client

TrustedDisk Enterprise Client Lizenz

SmartCard Leser (gemäß Whitelist)

SmartCard Infineon SLE66CX680PE inkl. CardOS 4.4

Künftig CardOS 5.0

ı Zusätzlich für zentrales Management

TrustedObjects Manager Lizenz

TrustedObjects Manager 19 Zoll appliance


Zentrales Management über TrustedObjects Manager

ı Zentrale Verwaltung:

Zentrales Benutzer-Management

Anbindung an einen Verzeichnisdienst (LDAP)

Zentrale PUK Verwaltung

Übersicht über den Status der Clients (Verschlüsselungsstatus / Verbindung)

Zentrale Protokollierung der Events

Flexibles RollOut Szenario von TrustedDisk und der SmartCards

Personalisierung von Smartcards mit mehreren Zertifikaten (z.B. für VPN)

Recovery bereits bestehender TrustedDisk Clients


TrustedDisk

Die Software auf dem Client


Anforderungen an Hard- und Software

ı BIOS: legacy Bootmodus, kein UEFI

ı BIOS: SATA AHCI Modus, alternativ IDE Modus

ı Festplatte: MBR formatiert, kein GPT

ı Windows 7 / 8 / 10

ı Originaler Microsoft MBR (kein OEM MBR o. ä.)

ı unterstützter Smartcard-Reader und Smartcard

ı Windows Installation auf zwei Partitionen (Boot- + Systempartition)


Partitionierung

ı Windows Standard-Partitionierung:

100 MB (oder mehr) Boot Partition

Systempartition

ı Überprüfbar in der Datenträgerverwaltung unter Windows


Highlights TrustedDisk Version 2.3

ı Neuer Bootloader:

Geänderte GUI

System schneller startbar, da PIN-Eingabe direkt aktiv bei gestecktem Token

Änderung der PIN durch die PUK

ı Erweiterte Funktionen:

Ver- und Umschlüsselung läuft vollständig im Hintergrund ab

Rechteänderungen an der Systempartition unter Windows

Unterstützung von PKCS#11

ı Vereinfachter Rollout:

FDE-Aktivierung per Kommandozeile (fdeinit.exe)

Ausrollen beliebig vieler Zertifikate/Rechte bei der FDE-Aktivierung

Recovery eines Clients mit vorherigen TrustedDisk-Berechtigungen

Personalisierung von Tokens durch einen Administrator mit automatischer Generierung eines PIN-Briefes


TrustedDisk – Benutzung


Pre-Boot Authentication

ı TrustedDisk Bootloader

ı Starten der verschlüsselten Partition durch

Authentifizierung mit Token und PIN


Pre-Boot Phase

ı Ändern der PIN mit der PUK


Sichern Sie jetzt Ihre Endpoints

proaktive vor Cyberangriffen!


Rohde & Schwarz Cybersecurity GmbH

Telefon: +49 30 65 884 - 223

Mail: [email protected]

Web: cybersecurity.rohde-schwarz.com

webinar am 16.02.2017 martin heiliger-zemanek · pdf filefirmware deployment trusted solutions...

Documents