Tag: security

  • Die Unsicherheit mit der Sicherheit

    Vergangene Woche hatte ich die Ehre an einer Diskussionsrunde teilzunehmen, die sich mit dem Thema “Cyber Situational Intelligence” befasste. Teilnehmer der Runde waren durchaus namhafte Vertreter der in München ansässigen IT-Sicherheits- und Servicedienstleister. Fragestellung der Rund war es, wie man aus bestehenden Daten Informationen gewinnt, die der IT-Sicherheit dienlich sind. “Intelligence” ist in diesem Zusammenhang auch durchaus Nachrichtendienstlich zu verstehen, der Vorgang soll aus reinen Daten Hinweise auf Auffällige Vorgänge geben und “Actionable” Ereignisse anzeigen, die also eine Handlung erfordern.

    Sehr schnell ist in dieser Runde die Unklarheit deutlich geworden, wie man sich dem Thema nähern kann. Zwar herrschte schnell Konsens darüber, dass aus konventionellen, heute am Markt erhältlichen Systemen, äußerst leicht eine Aufbereitung fast beliebiger Daten erstellbar ist, am Ende aber keine Bewertung stattfindet, die über das Produzieren weiterer Logfiles hinausgeht – also keine Information erstellt wird die “Actionable” Ereignisse von irrelevanten Vorgängen trennt.

    Es gibt schier unerschöpfliche Datenquellen: interne, wie externe. Bei den Internen sind Firewalls, Intrusion Detection/Prevention Systeme (IDS/IPS), Web Application Firewalls (WAF), Webserver Logs, Application Server Logs, Datenbank Logs, um die Netzkomponenten zu nennen, wie auch Virenscanner und Desktopsicherheitssoftware. Im wesentlichen strukturierte Daten. Externe Quellen sind “Das Internet” mit seiner Blogosphäre, Pastebin, Twitter, Facebook und allen anderen sozialen Medien, die unstrukturierte, menschliche Kommunikation öffentlich machen, darüber hinaus aber auch Bewertungssysteme, Spamdatenbanken, Web-Reputations-Systeme, die man anzapfen kann.

    Der Ansatz, den die Runde weiter verfolgte, war zentrale und übergreifende Stellen zu schaffen, die ein systematisches Vorgehen über Organisationsgrenzen hinweg ermöglicht. Die offenbare Problematik an dieser Stelle ist welche Daten von einer Zentralen Stelle verarbeitet werden sollen und welche Ergebnisse erwartet werden. Nicht zuletzt, weil auch die (rechtlichen) Anforderung jeder Industrie anders sind.

    Grundsätzlich scheitert jeder Versuch Vorhersagen zu treffen auch an den bestehenden Erkennungssystemen. Jede WAF oder Virenscanner versucht schlussendlich bekannte Muster in Angriffen zu erkennen. Darüber hinaus ist die Qualität der Daten in der Regel nicht sehr hoch,  Ergebnisse sind schlicht zu unsicher. Eine zentrale Stelle kann zwar helfen, einen Unsicherheitsfaktor zu bestimmen und Ergebnisse quantitativ zu bewerten, eine automatisierte Entscheidung möchte aber sicher kein IT Verantwortlicher Aufgrund des Ergebnisses einer dritten Stelle treffen.

    Natürlich ist es in der Praxis schwerere als in der Theorie, aber ist eine IT Organisation bereits mit dem Wissen über Schwächen ausgestattet  solle Energie besser in die Behebung der bekannten Schwächen fließen. Ein Graph, wie oft eine Lücke ausgenutzt worden ist, hilft zu dem Zeitpunkt kaum noch weiter.

    Security Incident Event Management (SIEM) Systeme und deren potentielle Nachfolger können in der Praxis sicher helfen, mehr Wissen über komplexe Infrastruktur herzustellen. Aber ohne die menschliche Transferleistung und “Intelligence”, die erkannte Fehler auch behebt, werden solche Systeme auch in absehbarer Zukunft aufwendige und teure Reportingtools bleiben. Es bleibt ein großes und weites Feld für Innovation, auch wenn die notwendigen Ziele leicht misszuverstehen sind.

  • Six security issues to tackle before encrypting cloud data

    The six issues that must be addressed are:
    	- Breach notification and data residency
    	- Data management at rest
    	- Data protection in motion
    	- Encryption key management
    	- Access controls
    	- Long-term resiliency of the encryption system

    via: Six security issues to tackle before encrypting cloud data.

  • CIIP analysis of cloud computing services

    The European Network and Information Security Agency (ENISA) analyzes cloud computing from a Critical Information Infrastructure Protection (CIIP) perspective

    via Critical Cloud Computing-A CIIP perspective on cloud computing services — ENISA.

  • IT-Sicherheit, einmal wieder

    Karriere Blogs und Ernst & Young machen sich Gedanken um die steigende Anzahl von Angriffen aus dem Internet. Immerhin wollen offenbar mehr als die Hälfte der Befragten das Budget für Sicherheit in 2013 erhöhen.

    Es bleibt zu befürchten, wie immer nach solchen Meldungen, dass das Budget wie gehabt nicht dafür aufgewendet wird die notwendige Awareness zu schaffen, Wissen um die Problematik herzustellen und Prozesse sicher zu gestalten.

    via Hacker-Angriffe nehmen zu: Sorgen um die IT-Sicherheit der Zukunft.

  • IEEE Security & Privacy

    20130114-161109.jpg

    Fast 10 Jahre IEEE Security & Privacy, von November 2003 bis Januar 2013

  • Computing Now: Toward a Science of Security – IEEECS

    January Theme in Computing Now: Toward a Science of Security.

    via Computing Now Archive | January 2013

  • wiki.python.org Compromised

    Schon etwas spät, der Hinweis, dass wiki.python.org bereits am 28.12.12 kompromitiert wurde:
    via wiki.python.org Compromised.