Deprecated: wp_make_content_images_responsive ist seit Version 5.5.0 veraltet! Benutze stattdessen wp_filter_content_tags(). in /home/customer/www/winmagic.com/public_html/blog-de/wp-includes/functions.php on line 4774

RSA Security Conference 2018

Ich hatte wieder einmal das Vergnügen und das Privileg, an der RSA Security Conference in San Francisco teilzunehmen (rsaconference.com/events/us18). Die Reden, Sessions und Gespräche waren eine gute Gelegenheit, sich ein Bild von den aktuellen Themen im Bereich Sicherheit zu machen. Ich nahm an zahlreichen verschiedenen Sessions teil. Hier sind meine Erkenntnisse:

 

  1. Nicht jedes Unternehmen ist auf die DSGVO vorbereitet: Die EU-Datenschutz-Grundverordnung ist am 25. Mai 2018 in Kraft getreten. Angesichts der Fragen, die ich zu diesem Thema gehört habe, sind die Menschen noch nicht bereit für dieses neue Gesetz. Es gibt hohe Bußgelder bei Nichteinhaltung (mehr als 4 % des Umsatzes bzw. 20 Mio. Euro). Das Risiko möchte niemand eingehen. Interessanterweise wurde die jüngste Kontroverse zwischen Cambridge Analytica und Facebook immer wieder als Beispiel herangezogen. Die EU-DSGVO legt die Messlatte rund um den Globus höher, und es wird weltweit Auswirkungen auf den Schutz der Privatsphäre geben, nicht nur in Europa. Obwohl viele Unternehmen mit der Compliance zu kämpfen haben, finde ich es doch ermutigend, dass nur 5 % diese neue Verordnung als Hindernis für die Innovation ansehen. Außerdem habe ich Folgendes gehört: „Keine Privatsphäre ohne Sicherheit.“ Und die Verschlüsselung ist eine grundlegendes Kontrollelement in Sachen Sicherheit.

 

  1. Quanten-Computing ist real! Und nicht nur das. Quantum-Computing wird schon bald so einiges verändern. In diesem Jahr kommt es zu einer Quanten-Vormachtstellung.

Das bedeutet, dass einige Algorithmen auf Quanten-Computern erstmals schneller laufen werden als auf herkömmlichen Computern, die einen Quanten-Computer simulieren. Das ist jetzt nicht so beeindruckend, wie der Begriff klingt, aber einer der Redner sagte voraus, dass Quanten-Computer in etwa viereinhalb Jahren in der Lage sein werden, Shor’s Algorithmus auszuführen, um sehr große zusammengesetzte Zahlen in Primzahlen (z. B. 3 und 5) zu integrieren. 15 = (3×5) ist eine zusammengesetzte Zahl. Das ist jetzt von Bedeutung, da die Leistungsstärke der Public-Key-Verschlüsselung von RSA darauf beruht, sehr große Zahlen in Primzahlen zu integrieren. Wie ich auf der Website von ICMC im vergangenen Jahr entdeckt habe, gibt es viele schlaue Leute, die an quantenresistenten Verschlüsselungsalgorithmen arbeiten, sodass im Moment ein kleines Wettrüsten zu beobachten ist. Unterdessen werde ich allerdings keine Hypothek auf mein Haus aufnehmen, um Bitcoins zu kaufen. Zumindest nicht, bis die Umsetzung einiger quantenresistenter Strategien tatsächlich stattfindet.

 

  1. Nach links: Ich spreche hier nicht von Politik, sondern von der Verlagerung der Sicherheit früher in den Entwicklungsprozess. Die Idee ist, dass es für einen Entwickler 50 Mal günstiger ist, den eigenen Fehler zu finden und zu korrigieren als für einen Hacker, ihn in der Produktivversion zu finden. So geht‘s schneller nach links:
  • Kontinuierliche Nutzung von SAST durch Entwickler: „Static Application Security Testing (SAST) ist eine Art von Sicherheitstest, der auf der Überprüfung des Quellcodes einer Anwendung basiert. Im Allgemeinen geht es bei SAST darum, wie der Code gestaltet ist, um mögliche Sicherheitsmängel zu erkennen.“
  • Ausführen von SAST und IAST auf dem täglichen Build: „IAST (Interactive Application Security Testing) ist eine Form des Application Security Testing, die sich aus einer Kombination der Technologien Dynamic Application Security Testing (DAST) und Runtime Application Self-Protection (RASP) entwickelt hat. IAST kann ohne DAST-Induktor verwendet werden. Stattdessen können QA-Tests zum Einsatz kommen.“
  • Ausführung von SAST, DAST und IAST nach 2–3 Wochen: „Dynamic Application Security Testing (DAST)-Technologien wurden entwickelt, um Bedingungen zu erkennen, die auf eine Sicherheitsschwachstelle in einer Anwendung im laufenden Betrieb hinweisen.“
  • Durchführung der Penetrationstests von der QA vor der Produktivfreigabe: „Penetrationstests (auch Pen-Tests genannt) dienen dazu, ein Computersystem, ein Netzwerk oder eine Webanwendung zu testen, um Schwachstellen zu finden, die ein Angreifer ausnutzen könnte.“

Zusammengenommen tragen diese Schritte dazu bei, rund 80 % der Sicherheitsprobleme zu erkennen, bevor sie Einzug in die Produktivumgebung halten.

Weitere Informationen https://www.rsaconference.com/writable/presentations/file_upload/asec-t07_efficacy-of-layered-application-security-through-the-lens-of-hacker.pdf

 

  1. Gefährliche neue SAN-Angriffe: Das war eine meiner Lieblings-Sessions, dicht gefolgt vom Kryptografen-Panel. Hier die wichtigsten Punkte zu SANs:
  1. Datenverlust in Speichern und Cloud-Speichern: Schützen Sie Ihre S3-Buckets mit Passwörtern.
  2. Big-Data-Analytik, Deanonymisierung und Korrelation: Die Zusammenführung von Daten ist mehr denn je eine Bedrohung.
  3. Verwertbarkeit in ICS/SCADA: Absicht und Methode: Die Bösewichte (Staaten) zielen auf wichtige Infrastruktursicherheitssysteme ab, die früher mit Air-Gaps versehen waren.
  4. Monetarisierung kompromittierter Systeme mithilfe von Crypto-Minern: Stehlen Ihre CPU-Ressourcen und verursachen globale Erwärmung.
  5. Hardware-Fehler: Hardware ist doch nicht fehlerfrei.

 Sehen Sie sich die gesamte Session an: https://www.sans.org/the-five-most-dangerous-new-attack-techniques

 

  1. Speicherverschlüsselung: Es gibt bewährte Lösungen für den Schutz gespeicherter Daten (Festplattenverschlüsselung) und übertragener Daten (TLS und IPSec), aber wenn es um den Schutz der verwendeten Daten geht, hinkt die Branche noch hinterher. Die Notwendigkeit der Verschlüsselung von Speicher wird immer wichtiger, da Workloads virtualisiert und auf Computern anderer Personen ausgeführt werden, die Sie nicht besitzen oder kontrollieren. Der offensichtlichste Angriff besteht darin, den TLS- oder FDE-Schlüssel aus dem Speicher abzugreifen, wodurch das komplette Verschlüsselungsmodell beeinträchtigt wird. Mir wurde empfohlen, eine Session zum Thema Speicherverschlüsselung zu besuchen. Hier und da war dies Thema, aber es gibt noch keine transparente De-facto-Lösung. Vielleicht nächstes Jahr. Ich schätze, ich werde es auf der nächsten RSA-Konferenz erfahren. In der Zwischenzeit räume ich der sicheren verschlüsselten Virtualisierung (SEV) von AMD gute Chancen ein.

Dem WinMagic-Team hat die Konferenz sehr gut gefallen und wir haben uns dort inspirieren lassen. Ich freue mich auf Ihr Feedback. Bis zum nächsten Jahr!

Comments

comments

Vorheriger Beitrag
Findet Microsoft, dass Pre-Boot-Authentifizierung nicht nötig ist?
Nächster Beitrag
BitLocker-konform oder praktisch? Microsoft ist sich auch nicht sicher

Related Posts

So schützen Sie Ihr Unternehmen vor internen Datenlecks

Es ist heute für Unternehmen sehr schwierig, für eine ausreichende Datensicherheit zu sorgen – insbesondere, wenn die Bedrohung aus den eigenen Reihen kommt. Tatsächlich können Ihre Mitarbeiter das größte Sicherheitsrisiko überhaupt darstellen. Sie müssen tagtäglich auf vertrauliche Informationen zugreifen und…

So bleiben Daten auch unterwegs sicher

Sie sind geschäftlich viel unterwegs? Oder sind Sie in einer leitenden Position tätig und Ihre Mitarbeiter sind viel auf Reisen? Dann sollten Sie sich um die Datensicherheit Gedanken machen. Ihre vertraulichen Daten könnten Bedrohungen von Hackern und anderen Kriminellen ausgesetzt…

Sieben Tipps gegen Datenverlust auf Reisen

Reisen ist manchmal stressig. Eine gute Vorbereitung ist alles – insbesondere, wenn es um den Schutz Ihrer vertraulichen Daten geht. Ihr Flug ist gebucht und Sie sind startklar. Sie sind ganz ruhig und haben alles von Ihrer To-Do-Liste abgehakt. Reiseversicherung?…
MEHR LESEN

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Bitte füllen Sie dieses Feld aus
Bitte füllen Sie dieses Feld aus
Bitte gib eine gültige E-Mail-Adresse ein.

Menü