SlideShare una empresa de Scribd logo

Security in the real and virtual world de new_design

SBA Research
SBA Research

Two Worlds and one Reality Approaching Security and Risk in the real and the virtual World

Internet
1 de 23
Descargar para leer sin conexión
Klassifikation: Öffentlich 1
Klassifikation: Öffentlich 2 Two Worlds and one Reality Approaching Security and Risk in the real and the virtual World SBA Research gGmbH, 2018
Klassifikation: Öffentlich 3 2018 - SBA Research gGmbH Die reale Welt Die virtuelle Welt Durch Evolution schon Jahrtausende lange Erfahrung im Umgang mit Sicherheit und Risiken. Bewusstsein vorhanden und Intuition nutzbar. Aus evolutionärer Sicht erst sehr wenig Erfahrung im Umgang mit Sicherheit und Risiken („Internet als Neuland“). Bewusstsein und Intuition muss sich tw. noch ausbilden.
Klassifikation: Öffentlich 4 Distanz und physische Grenzen 2018 - SBA Research gGmbH
Klassifikation: Öffentlich 5 2018 - SBA Research gGmbH Geographische Grenzen und Hindernisse. Eigenes Schutzniveau am lokal mächtigsten Angreifer ausgerichtet. Angreifer „sichtbar“ und überschaubare Anzahl. Die reale Welt Keine Grenzen oder Beschränkungen – keine physische Nähe notwendig. Eigener Sicherheitsbedarf vom global bestem Angreifer abgeleitet. Massen von („unsichtbaren“) potentiellen Angreifern. GRUNDSATZ I Die virtuelle Welt
Klassifikation: Öffentlich 6 Datenlecks und Datendiebstahl 2018 - SBA Research gGmbH
Klassifikation: Öffentlich 7 2018 - SBA Research gGmbH Aufwand Dokumente zu kopieren, Schwierigkeit diese zu transportieren sowie Menge Daten die gestohlen werden können durch physikalische Limitierungen begrenzt. Die reale Welt Datendiebstahl skaliert viel besser. Sehr hohe Übertragungsraten, riesige Speicherdichte, kaum Grenzen in Bezug auf Datenmenge. Datenlecks werden immer größer. GRUNDSATZ II Die virtuelle Welt
Klassifikation: Öffentlich 8 Symptome und Problemerkennung 2018 - SBA Research gGmbH 2017 Trustwave Global Security Report
Klassifikation: Öffentlich 9 2018 - SBA Research gGmbH Bei Krankheit meist Symptome erkennbar. Bewusstsein für Bedeutung Früherkennung und „Preventive Maintenance“. Insb. auch Diebstahl bzw. Einbruch offensichtlich (Gut ist weg bzw. Beschädigung sichtbar). Die reale Welt Symptome oft schwer erkennbar, weniger greifbar bzw. präsent. Häufig keine bewusst Suche danach. “Silent failure of prevention.” Diebstahl (Datenkopie) ev. nie erkannt (da keine Veränderung der Daten selbst). GRUNDSATZ III Die virtuelle Welt
Klassifikation: Öffentlich 10 Kriminalität und Banküberfälle 2018 - SBA Research gGmbH
Klassifikation: Öffentlich 11 2018 - SBA Research gGmbH Verbrechen sind mit manuellem Aufwand verbunden, lassen sich kaum automatisieren und skalieren nicht. Höhere psychologische Hemmschwelle. Die reale Welt Angriffe lassen sich bei geringem manuellen Aufwand sehr gut automatisieren und skalieren. Leichter Einstieg (CaaS). Distanz zwischen Täter und Opfer verringert Hemmschwelle. GRUNDSATZ IV Die virtuelle Welt
Klassifikation: Öffentlich 12 Forensik und Spurensicherung 2018 - SBA Research gGmbH
Klassifikation: Öffentlich 13 2018 - SBA Research gGmbH Locard’sche Prinzip – zwischen dem Täter und dem Tatort bzw. Opfer findet unvermeidlichen ein Austausch von Spuren statt Die reale Welt Weniger „harte“ Beweise. Täuschung und verbreiteter Einsatz Anonymisierungstools. Attribution von Angriffen als schwierige Herausforderung. False Flag Operationen. GRUNDSATZ V Die virtuelle Welt
Klassifikation: Öffentlich 14 Gerichtsbarkeit und Verbrechensbekämpfung 2018 - SBA Research gGmbH Framing Dependencies Introduced by Underground Commoditization
Klassifikation: Öffentlich 15 2018 - SBA Research gGmbH Jahrhundertelange Erfahrung und Praxis in Bezug auf Gerichtsbarkeit und Strafverfolgung. Anzuwendendes Recht meist relativ klar (richtet sich nach Ort der Straftat). Die reale Welt Schnelle Entwicklungen wodurch Recht als behäbig wahrgenommen wird. Gerichtsbarkeit und Strafverfolgung komplex da sehr oft unterschiedliche Rechtssysteme betroffen sind. GRUNDSATZ VI Die virtuelle Welt
Klassifikation: Öffentlich 16 Zentralisierung und Vernetzung 2018 - SBA Research gGmbH http://blog.wolfram.com/2014/11/04/modeling-a-pandemic-like-ebola-with-the-wolfram-language/
Klassifikation: Öffentlich 17 Zentralisierung und Vernetzung 2018 - SBA Research gGmbH https://www.symantec.com/blogs/threat-intelligence/wannacry-ransomware-attack
Klassifikation: Öffentlich 18 2018 - SBA Research gGmbH Insb. in Wirtschaft Konzentration und Zentralisation verbreitet um Effizienz zu steigern und Redundanzen abzubauen. Führt zu Verletzbarkeit und „Too big to fail“. Die reale Welt Sehr hoher Vernetzungsgrad und hohe (oft versteckte) Abhängigkeit von wenigen kritischen „Systemelementen“ (SW Hersteller, CDNs, DNS, IXPs etc.). GRUNDSATZ VII Die virtuelle Welt
Klassifikation: Öffentlich 19 Monokulturen und Verletzbarkeit 2018 - SBA Research gGmbH http://www.herbert.saurugg.net/vernetzung-komplexitaet/too-big-to-fail
Klassifikation: Öffentlich 20 2018 - SBA Research gGmbH Monokulturen als reales Problem. Teilweise Lösungsansätze und Gegentrends erkennbar (Diversität, Artenvielfalt, Bio, Wettbewerbsrecht etc.). Die reale Welt Monokulturen insbesondere durch Vernetzung, Geschwindigkeit und Automatisierungsgrad besonders gefährlich. Gesamtgesellschaftlich erhöhte Verletzbarkeit und verringerte Widerstandsfähigkeit. GRUNDSATZ VIII Die virtuelle Welt
Klassifikation: Öffentlich 21 Proaktives Infosec-Management Programm 2018 - SBA Research gGmbH
Klassifikation: Öffentlich 22 Two Worlds and one Reality – Fazit 2018 - SBA Research gGmbH Unterschiedliche Rahmenbedingungen in Bezug auf Sicherheit und Risiken zwischen realer und virtuellen Welt • Reale Welt: Evolutionäre Erfahrung, entwickeltes Bewusstsein und Intuition • Virtuelle Welt: „Neuland“, viele Besonderheiten und Herausforderungen – keine geographischen Beschränkungen, Geschwindigkeit, Skalierung, Automatisierung, fehlende Symptome, Beweissicherung, Gerichtsbarkeit … Unserer Realität entsteht durch die Verschmelzung beider Welten • Notwendigkeit beim Umgang mit Risiken und Sicherheit beide Welten und deren Besonderheiten zu berücksichtigen • Bedeutung eines proaktiven Infosec-Management Programms sowie Entwicklung Fähigkeiten zur schneller Reaktion
Klassifikation: Öffentlich 23 Philipp Reisinger SBA Research gGmbH Favoritenstraße 16, 1040 Wien +43 660 543 62 74 Preisinger@sba-research.org SBA Research gGmbH, 2018

Recomendados

SBA Security Meetup - Deploying and managing azure sentinel as code by Bojan ...
SBA Security Meetup - Deploying and managing azure sentinel as code by Bojan ...SBA Security Meetup - Deploying and managing azure sentinel as code by Bojan ...
SBA Security Meetup - Deploying and managing azure sentinel as code by Bojan ...SBA Research
 
NDSS 2021 RandRunner: Distributed Randomness from Trapdoor VDFs with Strong U...
NDSS 2021 RandRunner: Distributed Randomness from Trapdoor VDFs with Strong U...NDSS 2021 RandRunner: Distributed Randomness from Trapdoor VDFs with Strong U...
NDSS 2021 RandRunner: Distributed Randomness from Trapdoor VDFs with Strong U...SBA Research
 
SBA Security Meetup – Security Requirements Management 101 by Daniel Schwarz ...
SBA Security Meetup – Security Requirements Management 101 by Daniel Schwarz ...SBA Security Meetup – Security Requirements Management 101 by Daniel Schwarz ...
SBA Security Meetup – Security Requirements Management 101 by Daniel Schwarz ...SBA Research
 
SBA Security Meetup: Building a Secure Architecture – A Deep-Dive into Securi...
SBA Security Meetup: Building a Secure Architecture – A Deep-Dive into Securi...SBA Security Meetup: Building a Secure Architecture – A Deep-Dive into Securi...
SBA Security Meetup: Building a Secure Architecture – A Deep-Dive into Securi...SBA Research
 
SBA Security Meetup: I want to break free - The attacker inside a Container
SBA Security Meetup: I want to break free - The attacker inside a ContainerSBA Security Meetup: I want to break free - The attacker inside a Container
SBA Security Meetup: I want to break free - The attacker inside a ContainerSBA Research
 
"Rund um die ISO27001 Zertifizierung – Nähkästchentalk" by Thomas Kopeinig
"Rund um die ISO27001 Zertifizierung – Nähkästchentalk" by Thomas Kopeinig"Rund um die ISO27001 Zertifizierung – Nähkästchentalk" by Thomas Kopeinig
"Rund um die ISO27001 Zertifizierung – Nähkästchentalk" by Thomas KopeinigSBA Research
 
Secure development on Kubernetes by Andreas Falk
Secure development on Kubernetes by Andreas FalkSecure development on Kubernetes by Andreas Falk
Secure development on Kubernetes by Andreas FalkSBA Research
 
SBA Live Academy - "BIG BANG!" Highlights & key takeaways of 24 security talks
SBA Live Academy - "BIG BANG!" Highlights & key takeaways of 24 security talksSBA Live Academy - "BIG BANG!" Highlights & key takeaways of 24 security talks
SBA Live Academy - "BIG BANG!" Highlights & key takeaways of 24 security talksSBA Research
 

Recomendados

SBA Security Meetup - Deploying and managing azure sentinel as code by Bojan ...
SBA Security Meetup - Deploying and managing azure sentinel as code by Bojan ...SBA Security Meetup - Deploying and managing azure sentinel as code by Bojan ...
SBA Security Meetup - Deploying and managing azure sentinel as code by Bojan ...SBA Research
 
NDSS 2021 RandRunner: Distributed Randomness from Trapdoor VDFs with Strong U...
NDSS 2021 RandRunner: Distributed Randomness from Trapdoor VDFs with Strong U...NDSS 2021 RandRunner: Distributed Randomness from Trapdoor VDFs with Strong U...
NDSS 2021 RandRunner: Distributed Randomness from Trapdoor VDFs with Strong U...SBA Research
 
SBA Security Meetup – Security Requirements Management 101 by Daniel Schwarz ...
SBA Security Meetup – Security Requirements Management 101 by Daniel Schwarz ...SBA Security Meetup – Security Requirements Management 101 by Daniel Schwarz ...
SBA Security Meetup – Security Requirements Management 101 by Daniel Schwarz ...SBA Research
 
SBA Security Meetup: Building a Secure Architecture – A Deep-Dive into Securi...
SBA Security Meetup: Building a Secure Architecture – A Deep-Dive into Securi...SBA Security Meetup: Building a Secure Architecture – A Deep-Dive into Securi...
SBA Security Meetup: Building a Secure Architecture – A Deep-Dive into Securi...SBA Research
 
SBA Security Meetup: I want to break free - The attacker inside a Container
SBA Security Meetup: I want to break free - The attacker inside a ContainerSBA Security Meetup: I want to break free - The attacker inside a Container
SBA Security Meetup: I want to break free - The attacker inside a ContainerSBA Research
 
"Rund um die ISO27001 Zertifizierung – Nähkästchentalk" by Thomas Kopeinig
"Rund um die ISO27001 Zertifizierung – Nähkästchentalk" by Thomas Kopeinig"Rund um die ISO27001 Zertifizierung – Nähkästchentalk" by Thomas Kopeinig
"Rund um die ISO27001 Zertifizierung – Nähkästchentalk" by Thomas KopeinigSBA Research
 
Secure development on Kubernetes by Andreas Falk
Secure development on Kubernetes by Andreas FalkSecure development on Kubernetes by Andreas Falk
Secure development on Kubernetes by Andreas FalkSBA Research
 
SBA Live Academy - "BIG BANG!" Highlights & key takeaways of 24 security talks
SBA Live Academy - "BIG BANG!" Highlights & key takeaways of 24 security talksSBA Live Academy - "BIG BANG!" Highlights & key takeaways of 24 security talks
SBA Live Academy - "BIG BANG!" Highlights & key takeaways of 24 security talksSBA Research
 
SBA Live Academy, Rechtliche Risiken mit externen Mitarbeitern
SBA Live Academy, Rechtliche Risiken mit externen MitarbeiternSBA Live Academy, Rechtliche Risiken mit externen Mitarbeitern
SBA Live Academy, Rechtliche Risiken mit externen MitarbeiternSBA Research
 
SBA Live Academy, What the heck is secure computing
SBA Live Academy, What the heck is secure computingSBA Live Academy, What the heck is secure computing
SBA Live Academy, What the heck is secure computingSBA Research
 
Tools & techniques, building a dev secops culture at mozilla sba live a...
Tools & techniques, building a dev secops culture at mozilla sba live a...Tools & techniques, building a dev secops culture at mozilla sba live a...
Tools & techniques, building a dev secops culture at mozilla sba live a...SBA Research
 
HydRand: Efficient Continuous Distributed Randomness. IEEE S&P 2020 by Philip...
HydRand: Efficient Continuous Distributed Randomness. IEEE S&P 2020 by Philip...HydRand: Efficient Continuous Distributed Randomness. IEEE S&P 2020 by Philip...
HydRand: Efficient Continuous Distributed Randomness. IEEE S&P 2020 by Philip...SBA Research
 
SBA Live Academy - Secure Containers for Developer by Mathias Tausig
SBA Live Academy - Secure Containers for Developer by Mathias TausigSBA Live Academy - Secure Containers for Developer by Mathias Tausig
SBA Live Academy - Secure Containers for Developer by Mathias TausigSBA Research
 
SBA Live Academy - After the overflow: self-defense techniques (Linux Kernel)...
SBA Live Academy - After the overflow: self-defense techniques (Linux Kernel)...SBA Live Academy - After the overflow: self-defense techniques (Linux Kernel)...
SBA Live Academy - After the overflow: self-defense techniques (Linux Kernel)...SBA Research
 
SBA Live Academy - Passwords: Policy and Storage with NIST SP800-63b by Jim M...
SBA Live Academy - Passwords: Policy and Storage with NIST SP800-63b by Jim M...SBA Live Academy - Passwords: Policy and Storage with NIST SP800-63b by Jim M...
SBA Live Academy - Passwords: Policy and Storage with NIST SP800-63b by Jim M...SBA Research
 
SBA Live Academy - Threat Modeling 101 – eine kurze aber praxisnahe Einführun...
SBA Live Academy - Threat Modeling 101 – eine kurze aber praxisnahe Einführun...SBA Live Academy - Threat Modeling 101 – eine kurze aber praxisnahe Einführun...
SBA Live Academy - Threat Modeling 101 – eine kurze aber praxisnahe Einführun...SBA Research
 
SBA Live Academy - Angriffe gegen das Stromnetz – Wenn der Strom nicht mehr a...
SBA Live Academy - Angriffe gegen das Stromnetz – Wenn der Strom nicht mehr a...SBA Live Academy - Angriffe gegen das Stromnetz – Wenn der Strom nicht mehr a...
SBA Live Academy - Angriffe gegen das Stromnetz – Wenn der Strom nicht mehr a...SBA Research
 
SBA Live Academy - Physical Attacks against (I)IoT-Devices, Embedded Devices,...
SBA Live Academy - Physical Attacks against (I)IoT-Devices, Embedded Devices,...SBA Live Academy - Physical Attacks against (I)IoT-Devices, Embedded Devices,...
SBA Live Academy - Physical Attacks against (I)IoT-Devices, Embedded Devices,...SBA Research
 
SBA Live Academy: Cyber Resilience - Failure is not an option by Simon Tjoa
SBA Live Academy: Cyber Resilience - Failure is not an option by Simon TjoaSBA Live Academy: Cyber Resilience - Failure is not an option by Simon Tjoa
SBA Live Academy: Cyber Resilience - Failure is not an option by Simon TjoaSBA Research
 
SBA Live Academy: Datenschutz Teil 1: Wozu Datenschutzgesetze? by Gerald Sendera
SBA Live Academy: Datenschutz Teil 1: Wozu Datenschutzgesetze? by Gerald SenderaSBA Live Academy: Datenschutz Teil 1: Wozu Datenschutzgesetze? by Gerald Sendera
SBA Live Academy: Datenschutz Teil 1: Wozu Datenschutzgesetze? by Gerald SenderaSBA Research
 
SBA Live Academy: A Primer in Single Page Application Security by Thomas Konrad
SBA Live Academy: A Primer in Single Page Application Security by Thomas KonradSBA Live Academy: A Primer in Single Page Application Security by Thomas Konrad
SBA Live Academy: A Primer in Single Page Application Security by Thomas KonradSBA Research
 
SBA Live Academy: Software Security – Towards a Mature Lifecycle and DevSecOp...
SBA Live Academy: Software Security – Towards a Mature Lifecycle and DevSecOp...SBA Live Academy: Software Security – Towards a Mature Lifecycle and DevSecOp...
SBA Live Academy: Software Security – Towards a Mature Lifecycle and DevSecOp...SBA Research
 
SBA Live Academy: Remote Access – Top Security Challenges – Teil 2 by Günther...
SBA Live Academy: Remote Access – Top Security Challenges – Teil 2 by Günther...SBA Live Academy: Remote Access – Top Security Challenges – Teil 2 by Günther...
SBA Live Academy: Remote Access – Top Security Challenges – Teil 2 by Günther...SBA Research
 
SBA Live Academy - CRLite – Revocation for X.509 certificates in the browser ...
SBA Live Academy - CRLite – Revocation for X.509 certificates in the browser ...SBA Live Academy - CRLite – Revocation for X.509 certificates in the browser ...
SBA Live Academy - CRLite – Revocation for X.509 certificates in the browser ...SBA Research
 
SBA Live Academy, Supply Chain & Cyber Security in einem Atemzug by Stefan Ja...
SBA Live Academy, Supply Chain & Cyber Security in einem Atemzug by Stefan Ja...SBA Live Academy, Supply Chain & Cyber Security in einem Atemzug by Stefan Ja...
SBA Live Academy, Supply Chain & Cyber Security in einem Atemzug by Stefan Ja...SBA Research
 
SBA Live Academy - Angriffe auf Windows Domains und Delegation by Reinhard Ku...
SBA Live Academy - Angriffe auf Windows Domains und Delegation by Reinhard Ku...SBA Live Academy - Angriffe auf Windows Domains und Delegation by Reinhard Ku...
SBA Live Academy - Angriffe auf Windows Domains und Delegation by Reinhard Ku...SBA Research
 
SBA Live Academy - Remote Access – Top Security Challenges, Part 1 - Günther ...
SBA Live Academy - Remote Access – Top Security Challenges, Part 1 - Günther ...SBA Live Academy - Remote Access – Top Security Challenges, Part 1 - Günther ...
SBA Live Academy - Remote Access – Top Security Challenges, Part 1 - Günther ...SBA Research
 

Más contenido relacionado

Más de SBA Research

SBA Live Academy, Rechtliche Risiken mit externen Mitarbeitern
SBA Live Academy, Rechtliche Risiken mit externen MitarbeiternSBA Live Academy, Rechtliche Risiken mit externen Mitarbeitern
SBA Live Academy, Rechtliche Risiken mit externen MitarbeiternSBA Research
 
SBA Live Academy, What the heck is secure computing
SBA Live Academy, What the heck is secure computingSBA Live Academy, What the heck is secure computing
SBA Live Academy, What the heck is secure computingSBA Research
 
Tools & techniques, building a dev secops culture at mozilla sba live a...
Tools & techniques, building a dev secops culture at mozilla sba live a...Tools & techniques, building a dev secops culture at mozilla sba live a...
Tools & techniques, building a dev secops culture at mozilla sba live a...SBA Research
 
HydRand: Efficient Continuous Distributed Randomness. IEEE S&P 2020 by Philip...
HydRand: Efficient Continuous Distributed Randomness. IEEE S&P 2020 by Philip...HydRand: Efficient Continuous Distributed Randomness. IEEE S&P 2020 by Philip...
HydRand: Efficient Continuous Distributed Randomness. IEEE S&P 2020 by Philip...SBA Research
 
SBA Live Academy - Secure Containers for Developer by Mathias Tausig
SBA Live Academy - Secure Containers for Developer by Mathias TausigSBA Live Academy - Secure Containers for Developer by Mathias Tausig
SBA Live Academy - Secure Containers for Developer by Mathias TausigSBA Research
 
SBA Live Academy - After the overflow: self-defense techniques (Linux Kernel)...
SBA Live Academy - After the overflow: self-defense techniques (Linux Kernel)...SBA Live Academy - After the overflow: self-defense techniques (Linux Kernel)...
SBA Live Academy - After the overflow: self-defense techniques (Linux Kernel)...SBA Research
 
SBA Live Academy - Passwords: Policy and Storage with NIST SP800-63b by Jim M...
SBA Live Academy - Passwords: Policy and Storage with NIST SP800-63b by Jim M...SBA Live Academy - Passwords: Policy and Storage with NIST SP800-63b by Jim M...
SBA Live Academy - Passwords: Policy and Storage with NIST SP800-63b by Jim M...SBA Research
 
SBA Live Academy - Threat Modeling 101 – eine kurze aber praxisnahe Einführun...
SBA Live Academy - Threat Modeling 101 – eine kurze aber praxisnahe Einführun...SBA Live Academy - Threat Modeling 101 – eine kurze aber praxisnahe Einführun...
SBA Live Academy - Threat Modeling 101 – eine kurze aber praxisnahe Einführun...SBA Research
 
SBA Live Academy - Angriffe gegen das Stromnetz – Wenn der Strom nicht mehr a...
SBA Live Academy - Angriffe gegen das Stromnetz – Wenn der Strom nicht mehr a...SBA Live Academy - Angriffe gegen das Stromnetz – Wenn der Strom nicht mehr a...
SBA Live Academy - Angriffe gegen das Stromnetz – Wenn der Strom nicht mehr a...SBA Research
 
SBA Live Academy - Physical Attacks against (I)IoT-Devices, Embedded Devices,...
SBA Live Academy - Physical Attacks against (I)IoT-Devices, Embedded Devices,...SBA Live Academy - Physical Attacks against (I)IoT-Devices, Embedded Devices,...
SBA Live Academy - Physical Attacks against (I)IoT-Devices, Embedded Devices,...SBA Research
 
SBA Live Academy: Cyber Resilience - Failure is not an option by Simon Tjoa
SBA Live Academy: Cyber Resilience - Failure is not an option by Simon TjoaSBA Live Academy: Cyber Resilience - Failure is not an option by Simon Tjoa
SBA Live Academy: Cyber Resilience - Failure is not an option by Simon TjoaSBA Research
 
SBA Live Academy: Datenschutz Teil 1: Wozu Datenschutzgesetze? by Gerald Sendera
SBA Live Academy: Datenschutz Teil 1: Wozu Datenschutzgesetze? by Gerald SenderaSBA Live Academy: Datenschutz Teil 1: Wozu Datenschutzgesetze? by Gerald Sendera
SBA Live Academy: Datenschutz Teil 1: Wozu Datenschutzgesetze? by Gerald SenderaSBA Research
 
SBA Live Academy: A Primer in Single Page Application Security by Thomas Konrad
SBA Live Academy: A Primer in Single Page Application Security by Thomas KonradSBA Live Academy: A Primer in Single Page Application Security by Thomas Konrad
SBA Live Academy: A Primer in Single Page Application Security by Thomas KonradSBA Research
 
SBA Live Academy: Software Security – Towards a Mature Lifecycle and DevSecOp...
SBA Live Academy: Software Security – Towards a Mature Lifecycle and DevSecOp...SBA Live Academy: Software Security – Towards a Mature Lifecycle and DevSecOp...
SBA Live Academy: Software Security – Towards a Mature Lifecycle and DevSecOp...SBA Research
 
SBA Live Academy: Remote Access – Top Security Challenges – Teil 2 by Günther...
SBA Live Academy: Remote Access – Top Security Challenges – Teil 2 by Günther...SBA Live Academy: Remote Access – Top Security Challenges – Teil 2 by Günther...
SBA Live Academy: Remote Access – Top Security Challenges – Teil 2 by Günther...SBA Research
 
SBA Live Academy - CRLite – Revocation for X.509 certificates in the browser ...
SBA Live Academy - CRLite – Revocation for X.509 certificates in the browser ...SBA Live Academy - CRLite – Revocation for X.509 certificates in the browser ...
SBA Live Academy - CRLite – Revocation for X.509 certificates in the browser ...SBA Research
 
SBA Live Academy, Supply Chain & Cyber Security in einem Atemzug by Stefan Ja...
SBA Live Academy, Supply Chain & Cyber Security in einem Atemzug by Stefan Ja...SBA Live Academy, Supply Chain & Cyber Security in einem Atemzug by Stefan Ja...
SBA Live Academy, Supply Chain & Cyber Security in einem Atemzug by Stefan Ja...SBA Research
 
SBA Live Academy - Angriffe auf Windows Domains und Delegation by Reinhard Ku...
SBA Live Academy - Angriffe auf Windows Domains und Delegation by Reinhard Ku...SBA Live Academy - Angriffe auf Windows Domains und Delegation by Reinhard Ku...
SBA Live Academy - Angriffe auf Windows Domains und Delegation by Reinhard Ku...SBA Research
 
SBA Live Academy - Remote Access – Top Security Challenges, Part 1 - Günther ...
SBA Live Academy - Remote Access – Top Security Challenges, Part 1 - Günther ...SBA Live Academy - Remote Access – Top Security Challenges, Part 1 - Günther ...
SBA Live Academy - Remote Access – Top Security Challenges, Part 1 - Günther ...SBA Research
 

Más de SBA Research (19)

SBA Live Academy, Rechtliche Risiken mit externen Mitarbeitern
SBA Live Academy, Rechtliche Risiken mit externen MitarbeiternSBA Live Academy, Rechtliche Risiken mit externen Mitarbeitern
SBA Live Academy, Rechtliche Risiken mit externen Mitarbeitern
 
SBA Live Academy, What the heck is secure computing
SBA Live Academy, What the heck is secure computingSBA Live Academy, What the heck is secure computing
SBA Live Academy, What the heck is secure computing
 
Tools & techniques, building a dev secops culture at mozilla sba live a...
Tools & techniques, building a dev secops culture at mozilla sba live a...Tools & techniques, building a dev secops culture at mozilla sba live a...
Tools & techniques, building a dev secops culture at mozilla sba live a...
 
HydRand: Efficient Continuous Distributed Randomness. IEEE S&P 2020 by Philip...
HydRand: Efficient Continuous Distributed Randomness. IEEE S&P 2020 by Philip...HydRand: Efficient Continuous Distributed Randomness. IEEE S&P 2020 by Philip...
HydRand: Efficient Continuous Distributed Randomness. IEEE S&P 2020 by Philip...
 
SBA Live Academy - Secure Containers for Developer by Mathias Tausig
SBA Live Academy - Secure Containers for Developer by Mathias TausigSBA Live Academy - Secure Containers for Developer by Mathias Tausig
SBA Live Academy - Secure Containers for Developer by Mathias Tausig
 
SBA Live Academy - After the overflow: self-defense techniques (Linux Kernel)...
SBA Live Academy - After the overflow: self-defense techniques (Linux Kernel)...SBA Live Academy - After the overflow: self-defense techniques (Linux Kernel)...
SBA Live Academy - After the overflow: self-defense techniques (Linux Kernel)...
 
SBA Live Academy - Passwords: Policy and Storage with NIST SP800-63b by Jim M...
SBA Live Academy - Passwords: Policy and Storage with NIST SP800-63b by Jim M...SBA Live Academy - Passwords: Policy and Storage with NIST SP800-63b by Jim M...
SBA Live Academy - Passwords: Policy and Storage with NIST SP800-63b by Jim M...
 
SBA Live Academy - Threat Modeling 101 – eine kurze aber praxisnahe Einführun...
SBA Live Academy - Threat Modeling 101 – eine kurze aber praxisnahe Einführun...SBA Live Academy - Threat Modeling 101 – eine kurze aber praxisnahe Einführun...
SBA Live Academy - Threat Modeling 101 – eine kurze aber praxisnahe Einführun...
 
SBA Live Academy - Angriffe gegen das Stromnetz – Wenn der Strom nicht mehr a...
SBA Live Academy - Angriffe gegen das Stromnetz – Wenn der Strom nicht mehr a...SBA Live Academy - Angriffe gegen das Stromnetz – Wenn der Strom nicht mehr a...
SBA Live Academy - Angriffe gegen das Stromnetz – Wenn der Strom nicht mehr a...
 
SBA Live Academy - Physical Attacks against (I)IoT-Devices, Embedded Devices,...
SBA Live Academy - Physical Attacks against (I)IoT-Devices, Embedded Devices,...SBA Live Academy - Physical Attacks against (I)IoT-Devices, Embedded Devices,...
SBA Live Academy - Physical Attacks against (I)IoT-Devices, Embedded Devices,...
 
SBA Live Academy: Cyber Resilience - Failure is not an option by Simon Tjoa
SBA Live Academy: Cyber Resilience - Failure is not an option by Simon TjoaSBA Live Academy: Cyber Resilience - Failure is not an option by Simon Tjoa
SBA Live Academy: Cyber Resilience - Failure is not an option by Simon Tjoa
 
SBA Live Academy: Datenschutz Teil 1: Wozu Datenschutzgesetze? by Gerald Sendera
SBA Live Academy: Datenschutz Teil 1: Wozu Datenschutzgesetze? by Gerald SenderaSBA Live Academy: Datenschutz Teil 1: Wozu Datenschutzgesetze? by Gerald Sendera
SBA Live Academy: Datenschutz Teil 1: Wozu Datenschutzgesetze? by Gerald Sendera
 
SBA Live Academy: A Primer in Single Page Application Security by Thomas Konrad
SBA Live Academy: A Primer in Single Page Application Security by Thomas KonradSBA Live Academy: A Primer in Single Page Application Security by Thomas Konrad
SBA Live Academy: A Primer in Single Page Application Security by Thomas Konrad
 
SBA Live Academy: Software Security – Towards a Mature Lifecycle and DevSecOp...
SBA Live Academy: Software Security – Towards a Mature Lifecycle and DevSecOp...SBA Live Academy: Software Security – Towards a Mature Lifecycle and DevSecOp...
SBA Live Academy: Software Security – Towards a Mature Lifecycle and DevSecOp...
 
SBA Live Academy: Remote Access – Top Security Challenges – Teil 2 by Günther...
SBA Live Academy: Remote Access – Top Security Challenges – Teil 2 by Günther...SBA Live Academy: Remote Access – Top Security Challenges – Teil 2 by Günther...
SBA Live Academy: Remote Access – Top Security Challenges – Teil 2 by Günther...
 
SBA Live Academy - CRLite – Revocation for X.509 certificates in the browser ...
SBA Live Academy - CRLite – Revocation for X.509 certificates in the browser ...SBA Live Academy - CRLite – Revocation for X.509 certificates in the browser ...
SBA Live Academy - CRLite – Revocation for X.509 certificates in the browser ...
 
SBA Live Academy, Supply Chain & Cyber Security in einem Atemzug by Stefan Ja...
SBA Live Academy, Supply Chain & Cyber Security in einem Atemzug by Stefan Ja...SBA Live Academy, Supply Chain & Cyber Security in einem Atemzug by Stefan Ja...
SBA Live Academy, Supply Chain & Cyber Security in einem Atemzug by Stefan Ja...
 
SBA Live Academy - Angriffe auf Windows Domains und Delegation by Reinhard Ku...
SBA Live Academy - Angriffe auf Windows Domains und Delegation by Reinhard Ku...SBA Live Academy - Angriffe auf Windows Domains und Delegation by Reinhard Ku...
SBA Live Academy - Angriffe auf Windows Domains und Delegation by Reinhard Ku...
 
SBA Live Academy - Remote Access – Top Security Challenges, Part 1 - Günther ...
SBA Live Academy - Remote Access – Top Security Challenges, Part 1 - Günther ...SBA Live Academy - Remote Access – Top Security Challenges, Part 1 - Günther ...
SBA Live Academy - Remote Access – Top Security Challenges, Part 1 - Günther ...
 

Security in the real and virtual world de new_design

  • 2. Klassifikation: Öffentlich 2 Two Worlds and one Reality Approaching Security and Risk in the real and the virtual World SBA Research gGmbH, 2018
  • 3. Klassifikation: Öffentlich 3 2018 - SBA Research gGmbH Die reale Welt Die virtuelle Welt Durch Evolution schon Jahrtausende lange Erfahrung im Umgang mit Sicherheit und Risiken. Bewusstsein vorhanden und Intuition nutzbar. Aus evolutionärer Sicht erst sehr wenig Erfahrung im Umgang mit Sicherheit und Risiken („Internet als Neuland“). Bewusstsein und Intuition muss sich tw. noch ausbilden.
  • 4. Klassifikation: Öffentlich 4 Distanz und physische Grenzen 2018 - SBA Research gGmbH
  • 5. Klassifikation: Öffentlich 5 2018 - SBA Research gGmbH Geographische Grenzen und Hindernisse. Eigenes Schutzniveau am lokal mächtigsten Angreifer ausgerichtet. Angreifer „sichtbar“ und überschaubare Anzahl. Die reale Welt Keine Grenzen oder Beschränkungen – keine physische Nähe notwendig. Eigener Sicherheitsbedarf vom global bestem Angreifer abgeleitet. Massen von („unsichtbaren“) potentiellen Angreifern. GRUNDSATZ I Die virtuelle Welt
  • 6. Klassifikation: Öffentlich 6 Datenlecks und Datendiebstahl 2018 - SBA Research gGmbH
  • 7. Klassifikation: Öffentlich 7 2018 - SBA Research gGmbH Aufwand Dokumente zu kopieren, Schwierigkeit diese zu transportieren sowie Menge Daten die gestohlen werden können durch physikalische Limitierungen begrenzt. Die reale Welt Datendiebstahl skaliert viel besser. Sehr hohe Übertragungsraten, riesige Speicherdichte, kaum Grenzen in Bezug auf Datenmenge. Datenlecks werden immer größer. GRUNDSATZ II Die virtuelle Welt
  • 8. Klassifikation: Öffentlich 8 Symptome und Problemerkennung 2018 - SBA Research gGmbH 2017 Trustwave Global Security Report
  • 9. Klassifikation: Öffentlich 9 2018 - SBA Research gGmbH Bei Krankheit meist Symptome erkennbar. Bewusstsein für Bedeutung Früherkennung und „Preventive Maintenance“. Insb. auch Diebstahl bzw. Einbruch offensichtlich (Gut ist weg bzw. Beschädigung sichtbar). Die reale Welt Symptome oft schwer erkennbar, weniger greifbar bzw. präsent. Häufig keine bewusst Suche danach. “Silent failure of prevention.” Diebstahl (Datenkopie) ev. nie erkannt (da keine Veränderung der Daten selbst). GRUNDSATZ III Die virtuelle Welt
  • 10. Klassifikation: Öffentlich 10 Kriminalität und Banküberfälle 2018 - SBA Research gGmbH
  • 11. Klassifikation: Öffentlich 11 2018 - SBA Research gGmbH Verbrechen sind mit manuellem Aufwand verbunden, lassen sich kaum automatisieren und skalieren nicht. Höhere psychologische Hemmschwelle. Die reale Welt Angriffe lassen sich bei geringem manuellen Aufwand sehr gut automatisieren und skalieren. Leichter Einstieg (CaaS). Distanz zwischen Täter und Opfer verringert Hemmschwelle. GRUNDSATZ IV Die virtuelle Welt
  • 12. Klassifikation: Öffentlich 12 Forensik und Spurensicherung 2018 - SBA Research gGmbH
  • 13. Klassifikation: Öffentlich 13 2018 - SBA Research gGmbH Locard’sche Prinzip – zwischen dem Täter und dem Tatort bzw. Opfer findet unvermeidlichen ein Austausch von Spuren statt Die reale Welt Weniger „harte“ Beweise. Täuschung und verbreiteter Einsatz Anonymisierungstools. Attribution von Angriffen als schwierige Herausforderung. False Flag Operationen. GRUNDSATZ V Die virtuelle Welt
  • 14. Klassifikation: Öffentlich 14 Gerichtsbarkeit und Verbrechensbekämpfung 2018 - SBA Research gGmbH Framing Dependencies Introduced by Underground Commoditization
  • 15. Klassifikation: Öffentlich 15 2018 - SBA Research gGmbH Jahrhundertelange Erfahrung und Praxis in Bezug auf Gerichtsbarkeit und Strafverfolgung. Anzuwendendes Recht meist relativ klar (richtet sich nach Ort der Straftat). Die reale Welt Schnelle Entwicklungen wodurch Recht als behäbig wahrgenommen wird. Gerichtsbarkeit und Strafverfolgung komplex da sehr oft unterschiedliche Rechtssysteme betroffen sind. GRUNDSATZ VI Die virtuelle Welt
  • 16. Klassifikation: Öffentlich 16 Zentralisierung und Vernetzung 2018 - SBA Research gGmbH http://blog.wolfram.com/2014/11/04/modeling-a-pandemic-like-ebola-with-the-wolfram-language/
  • 17. Klassifikation: Öffentlich 17 Zentralisierung und Vernetzung 2018 - SBA Research gGmbH https://www.symantec.com/blogs/threat-intelligence/wannacry-ransomware-attack
  • 18. Klassifikation: Öffentlich 18 2018 - SBA Research gGmbH Insb. in Wirtschaft Konzentration und Zentralisation verbreitet um Effizienz zu steigern und Redundanzen abzubauen. Führt zu Verletzbarkeit und „Too big to fail“. Die reale Welt Sehr hoher Vernetzungsgrad und hohe (oft versteckte) Abhängigkeit von wenigen kritischen „Systemelementen“ (SW Hersteller, CDNs, DNS, IXPs etc.). GRUNDSATZ VII Die virtuelle Welt
  • 19. Klassifikation: Öffentlich 19 Monokulturen und Verletzbarkeit 2018 - SBA Research gGmbH http://www.herbert.saurugg.net/vernetzung-komplexitaet/too-big-to-fail
  • 20. Klassifikation: Öffentlich 20 2018 - SBA Research gGmbH Monokulturen als reales Problem. Teilweise Lösungsansätze und Gegentrends erkennbar (Diversität, Artenvielfalt, Bio, Wettbewerbsrecht etc.). Die reale Welt Monokulturen insbesondere durch Vernetzung, Geschwindigkeit und Automatisierungsgrad besonders gefährlich. Gesamtgesellschaftlich erhöhte Verletzbarkeit und verringerte Widerstandsfähigkeit. GRUNDSATZ VIII Die virtuelle Welt
  • 21. Klassifikation: Öffentlich 21 Proaktives Infosec-Management Programm 2018 - SBA Research gGmbH
  • 22. Klassifikation: Öffentlich 22 Two Worlds and one Reality – Fazit 2018 - SBA Research gGmbH Unterschiedliche Rahmenbedingungen in Bezug auf Sicherheit und Risiken zwischen realer und virtuellen Welt • Reale Welt: Evolutionäre Erfahrung, entwickeltes Bewusstsein und Intuition • Virtuelle Welt: „Neuland“, viele Besonderheiten und Herausforderungen – keine geographischen Beschränkungen, Geschwindigkeit, Skalierung, Automatisierung, fehlende Symptome, Beweissicherung, Gerichtsbarkeit … Unserer Realität entsteht durch die Verschmelzung beider Welten • Notwendigkeit beim Umgang mit Risiken und Sicherheit beide Welten und deren Besonderheiten zu berücksichtigen • Bedeutung eines proaktiven Infosec-Management Programms sowie Entwicklung Fähigkeiten zur schneller Reaktion
  • 23. Klassifikation: Öffentlich 23 Philipp Reisinger SBA Research gGmbH Favoritenstraße 16, 1040 Wien +43 660 543 62 74 Preisinger@sba-research.org SBA Research gGmbH, 2018