webinar am 16.02.2017 martin heiliger-zemanek · pdf filefirmware deployment trusted solutions...
TRANSCRIPT
Rohde & Schwarz Cybersecurity
Sichere Endpoints – Proaktiver Schutz vor Cyberangriffen
Webinar am 16.02.2017
Martin Heiliger-Zemanek
Rohde & Schwarz im Überblick
Sichere Endpoints – Proaktiver Schutz vor Cyberangriffen
ı GeschichteGegründet 1933 in München
ı UnternehmensformUnabhängiges Familienunternehmen
ı Globale PräsenzIn über 70 Ländern, rund 60 eigene Niederlassungen
ı Umsatz1,82 Milliarden Euro (GJ 14/15, Juli bis Juni)
ı ExportanteilÜber 90 Prozent
ı Mitarbeiter9800 weltweit, davon etwa 5900 in Deutschland
ı ErfolgIn allen Arbeitsgebieten unter den führenden Anbietern
Rohde & Schwarz Arbeitsgebiete
Messgeräte und
-systeme für
Mobilfunk- und
Wireless-
Anwendungen
allgemeine
Elektronik
Aerospace &
Defense
Betriebs-, Mess-
und Studiotechnik
für
Netzbetreiber
Sendeanstalten
Studios
Filmindustrie
Hersteller von
Unterhaltungs-
elektronik
Kommunikations-
systeme für
Flugsicherung
Streitkräfte
Verschlüsselungs-
technik für
Militär
Behörden
kritische
Infrastrukturen
IT-Sicherheits-
produkte für
Wirtschaft
Behörden
Funkerfassungs-
technik für
Regulierungs-
behörden
innere und äußere
Sicherheit
Netzbetreiber
Radaraufklärungs-
technik
Messtechnik Rundfunk- und
Medientechnik
Sichere
Kommunikation
Cyber-Sicherheit Funkerfassung
Service
Sichere Endpoints – Proaktiver Schutz vor Cyberangriffen 3
Strategisches Ziel: “We build the European Trusted Supplier for
Cybersecurity Products and Solutions”
Sichere Endpoints – Proaktiver Schutz vor Cyberangriffen 4
Secure networks and
network analyticsNext-generation firewalls & UTM
Application awareness and DPI
Vulnerability management
Encrypted backbone / WANLayer 3 IP encryption
Layer 2 Ethernet encryption
Secure remote access
Tap-proof communicationVoice encryption apps & devices
Secure messaging
Fax & Radio encryption
Secure endpoints
and applicationsFull-disk encryption
Secure browsing & cloud
Secure desktop & mobile
Web application firewalls
Trusted managementCA, PKI, HSMs
Crypto management
Configuration, Policy
Firmware deployment Trusted solutions
from a single source
Rohde & Schwarz Cybersecurity - Produktportfolio
Sichere Endpoints – Proaktiver Schutz vor Cyberangriffen 5
Tap-proof
communications
Secure endpoints &
trusted management
Secure networks Network analytics
❙ Browser in the Box
❙ TrustedDisk
❙ TrustedDesktop
❙ TrustedObjects Manager
❙ TrustedIdentity Manager
❙ PanBox
❙ R&S®CryptoServer
❙ NP+
❙ GP Firewalls
❙ R&S®SITLine ETH
❙ TrustedVPN
❙ BizzTrust
❙ TopSec Mobile
❙ CryptoGateway
❙ Fax- and Voice Encryption
❙ RadioCrypt
❙ HandsetCrypt
❙ ELCRODAT
❙ R&S®MMC3000
❙ R&S®PACE 2
❙ R&S®Net Reporter 2
❙ R&S®Net Sensor
Gefahrenschwerpunkt Internet
ı Wachsende Cyberkriminalität
Steigende Angriffsrate von 8% im Vergleich zum Vorjahr
3,4 Millionen infizierte Endpoints (2016)
ı Daten- und Informationsverlust von Unternehmen
Durch den Einsatz von Maleware gelangen Angreifer an sensible Unternehmensdaten und können
großen wirtschaftlichen Schaden anrichten
ı infizierte Websites
Sichere Endpoints – Proaktiver Schutz vor Cyberangriffen 6
Sichere Trennung von Intranet und Internet durch Zwei-Browser
Strategie mit Browser in the Box
Intranet-Browser Bowser in the Box
ı Produktbezogene Daten
ı Produktentwicklungsunterlagen
ı Strategische Konzepte
ı Browserbasierte in-house
Anwendungen
ı Emails
ı Recherchen
ı Nachrichten
Sichere Endpoints – Proaktiver Schutz vor Cyberangriffen 8
Bisherige Ansätze der Bedrohungsabwehr
ı Kein Internet am Arbeitsplatz
Abgesetzte Rechner für Internet Zugang
ı Internet mit reduziertem Funktionsumfang
Abgeschaltete aktive Inhalte
ı Alternative Browserhersteller
ıTerminalserver
Zentraler Server, auf dem der Web-Browser läuft, Zugriff über Desktop-Viewer
Sichere Endpoints – Proaktiver Schutz vor Cyberangriffen10
Browser in the Box: Sicherer Browser für den Client
ı Technologie
Browserkapselung durch Virtualisierung
ı Eigenschaften
1. Hohe Sicherheit bei Erhaltung aller Webfunktionalitäten
Trennung von Arbeitsplatzumgebung und Internet
Transparent für den Anwender
2. Wirtschaftlich durch Einsatz vorhandener Clientressourcen
Leicht zu installieren und zentral zu administrieren
Sichere Endpoints – Proaktiver Schutz vor Cyberangriffen11
Browser in the Box Enterprise: Einfache Administration
Sichere Endpoints – Proaktiver Schutz vor Cyberangriffen12
Browser in the Box Enterprise: Isolation auf Rechnerebene
Sichere Endpoints – Proaktiver Schutz vor Cyberangriffen13
Browser in the Box Enterprise: Isolation auf Netzwerkebene
Sichere Endpoints – Proaktiver Schutz vor Cyberangriffen14
Browser in the Box Client: Komforteigenschaften
ı Benutzerkomfort
Hohe Transparenz durch Seamless-Mode
Unterstützung von aktiven Inhalten
Plugins, persistente Lesezeichen, Drucken und Download richtliniengesteuert möglich
Die Browserkonfiguration (Lesezeichen, Plug-Ins, Proxy-Einstellungen etc.) wird im Benutzerkontext
gespeichert → diese Daten werden beim Neustart nicht zurückgesetzt
ı Flexibilität
Administrator kann differenziert einstellen, welche Konfigurationsdaten persistent gehalten werden
Individuelle Images sind möglich
ı Host - Plattformen
Windows (7, 8 und 10)
Sichere Endpoints – Proaktiver Schutz vor Cyberangriffen15
Browser in the Box: Sichere Zwischenablage
ı Informationsflusskontrolle
Unidirektional (Arbeitsplatz → Browser in the Box oder Browser in the Box → Arbeitsplatz)
Bidirektional (Arbeitsplatz ↔ Browser in the Box )
Zentral administrierbar
ı Optionale Bestätigung durch den Benutzer beim ‘Einfügen’
Kein unbemerkter Informationsfluss z.B. durch Schadsoftware im Gast, die die
Zwischenablage ausliest
Sichere Endpoints – Proaktiver Schutz vor Cyberangriffen19
Browser in the Box: Enterprise Managementfeatures
ı Nutzerverwaltung
Synchronisation mit einem Active Directory
Individuelle Rechteverwaltung nach Nutzern oder Gruppen
ı Tunnelmanagement
Automatische Konfiguration des Browser in the Box - Clients
Automatische Erzeugung und Verteilung von Zertifikaten
ı Imageverwaltung
Upload neu erstellter und signierter Images
Zuordnung möglicher Images zu Nutzern oder Gruppen
Verteilung von Imageupdates als Differenzpaket
Sichere Endpoints – Proaktiver Schutz vor Cyberangriffen20
Browser in the Box - Sicherheitseigenschaften im Überblick
ı Sicherheit
Kapselung in virtuelle Maschine (VM)
Isolierter „Browser in the Box“-Benutzerkontext
Sicherheitsanalyse der VM-Technik zusammen mit BSI durchgeführt
Gehärtetes Linux als Gastsystem
Start immer von einem sauberen Snapshot
Sicherer IPsec-Tunnel bis zum Gateway, nur Daten aus „Browser in the Box“ werden ins
Internet geleitet und umgekehrt
Sicheres Updateverfahren (nur signierte Images)
Sichere Endpoints – Proaktiver Schutz vor Cyberangriffen21
TrustedDisk die Festplatten- und
Geräteverschlüsselung mit zentralem Management
und VS NfD Zulassung durch das BSI
Sichere Endpoints – Proaktiver Schutz vor Cyberangriffen22
Highlights von TrustedDisk
ı Hoher Einsatzkomfort
Device-Vollverschlüsselung für Windows 7/8
Initial-Verschlüsselung im Hintergrund, dadurch Weiterarbeit möglich
Verschlüsselung von Systempartitionen und mobilen
Speichergeräten
Mehrbenutzerfähigkeit, flexibles und einfaches Rechtemanagement
ı Hohe Sicherheit
Umfassende Pre-Boot Authentication
Mehrstufige Authentifizierung per Hardwaretoken und PIN
Sichere Zufallszahlengenerierung, flexible Umverschlüsselung
Für den VS-NfD Einsatz unter Windows 7 und 8 zugelassen
Sichere Endpoints – Proaktiver Schutz vor Cyberangriffen23
TrustedDisk: Einsatzmöglichkeiten
ı Einzelplatzversion ohne zentrales Management
Für Unternehmen empfohlen bis 20 Clients
SmartCard Authentisierung
Für den VS-NfD Einsatz zugelassen
ı Zentrales Management über TrustedObjects Manager
Für Unternehmen mit mehr als 20 Clients
Zusätzliche Funktionen gegenüber der Einzelplatz-Version
Für die Verwendung mit der zugelassenen TrustedDisk Einzelplatzversion freigegeben
Sichere Endpoints – Proaktiver Schutz vor Cyberangriffen24
TrustedDisk – Varianten
ı Vorteile der Einzelplatzversion ohne zentrales Management
Keine weitere Hardware notwendig (Platz / Stromverbrauch)
Keine Änderungen am Netzwerk (Firewall / VLANs)
Die Kosten für den TOM entfallen
ı Vorteile der Version mit zentralem Management über den TrustedObjects Manager
Zusätzliche Funktionen gegenüber der Einzelplatz-Version
Anbindung an Verzeichnisdienste (LDAP)
Zentrale PUK Verwaltung
Übersicht über den Status der Clients (Verschlüsselungsstatus / Verbindung)
Zentrale Protokollierung der Events
Zertifikate werden zentral abgelegt auf dem TOM
Sichere Endpoints – Proaktiver Schutz vor Cyberangriffen25
TrustedDisk: Lieferumfang
ı Client
TrustedDisk Enterprise Client Lizenz
SmartCard Leser (gemäß Whitelist)
SmartCard Infineon SLE66CX680PE inkl. CardOS 4.4
Künftig CardOS 5.0
ı Zusätzlich für zentrales Management
TrustedObjects Manager Lizenz
TrustedObjects Manager 19 Zoll appliance
Sichere Endpoints – Proaktiver Schutz vor Cyberangriffen26
Zentrales Management über TrustedObjects Manager
ı Zentrale Verwaltung:
Zentrales Benutzer-Management
Anbindung an einen Verzeichnisdienst (LDAP)
Zentrale PUK Verwaltung
Übersicht über den Status der Clients (Verschlüsselungsstatus / Verbindung)
Zentrale Protokollierung der Events
Flexibles RollOut Szenario von TrustedDisk und der SmartCards
Personalisierung von Smartcards mit mehreren Zertifikaten (z.B. für VPN)
Recovery bereits bestehender TrustedDisk Clients
Sichere Endpoints – Proaktiver Schutz vor Cyberangriffen27
Anforderungen an Hard- und Software
ı BIOS: legacy Bootmodus, kein UEFI
ı BIOS: SATA AHCI Modus, alternativ IDE Modus
ı Festplatte: MBR formatiert, kein GPT
ı Windows 7 / 8 / 10
ı Originaler Microsoft MBR (kein OEM MBR o. ä.)
ı unterstützter Smartcard-Reader und Smartcard
ı Windows Installation auf zwei Partitionen (Boot- + Systempartition)
Sichere Endpoints – Proaktiver Schutz vor Cyberangriffen29
Partitionierung
ı Windows Standard-Partitionierung:
100 MB (oder mehr) Boot Partition
Systempartition
ı Überprüfbar in der Datenträgerverwaltung unter Windows
Sichere Endpoints – Proaktiver Schutz vor Cyberangriffen30
Highlights TrustedDisk Version 2.3
ı Neuer Bootloader:
Geänderte GUI
System schneller startbar, da PIN-Eingabe direkt aktiv bei gestecktem Token
Änderung der PIN durch die PUK
ı Erweiterte Funktionen:
Ver- und Umschlüsselung läuft vollständig im Hintergrund ab
Rechteänderungen an der Systempartition unter Windows
Unterstützung von PKCS#11
ı Vereinfachter Rollout:
FDE-Aktivierung per Kommandozeile (fdeinit.exe)
Ausrollen beliebig vieler Zertifikate/Rechte bei der FDE-Aktivierung
Recovery eines Clients mit vorherigen TrustedDisk-Berechtigungen
Personalisierung von Tokens durch einen Administrator mit automatischer Generierung eines PIN-Briefes
Sichere Endpoints – Proaktiver Schutz vor Cyberangriffen31
Pre-Boot Authentication
ı TrustedDisk Bootloader
ı Starten der verschlüsselten Partition durch
Authentifizierung mit Token und PIN
Sichere Endpoints – Proaktiver Schutz vor Cyberangriffen33
Pre-Boot Phase
ı Ändern der PIN mit der PUK
Sichere Endpoints – Proaktiver Schutz vor Cyberangriffen34
Sichern Sie jetzt Ihre Endpoints
proaktive vor Cyberangriffen!
Sichere Endpoints – Proaktiver Schutz vor Cyberangriffen35
Rohde & Schwarz Cybersecurity GmbH
Telefon: +49 30 65 884 - 223
Mail: [email protected]
Web: cybersecurity.rohde-schwarz.com