Datendiebstahl zwecklos - Security-Finder Schweiz · 2. Key Management Server • Dynamische...
Transcript of Datendiebstahl zwecklos - Security-Finder Schweiz · 2. Key Management Server • Dynamische...
Datendiebstahl zwecklosAndreas DortaSales Manager Enterprise Security Products Switzerland & Austria Manuel Krautwurst Management Beratung und Auditor
24./25. Mai 2016
Agenda
Explore part of Reimagine 2016 2
–Warum sollen Daten geschützt werden?
–Wie schützt man Daten, um Datendiebstahl zwecklos zu machen?– Daten-zentrierter Sicherheitsansatz– Revolutionäre Technologien wie:
Format Erhaltender Verschlüsselung etc.
–Wie startet man ein solches Projekt?
Grosse Security Breaches passieren weiterhin...
… trotz erhöhter Sicherheitsmassnahmen und Compliance-Anforderungen
2013
2011
2009
2013
2014
2015
3Explore part of Reimagine 2016
…nicht nur über dem grossen Teich, auch bei uns…
2012
2002
2002 & 2012
2012
2012
2016
4
Nachrichtendienst des Bundes
Explore part of Reimagine 2016
Gründe für den Schutz der Daten
IT TransformationIT Off-Loading in die Cloud
Managed ServicesBig Data Explosion
SW Entwicklung Off-Shoren
Gesetze & RegulatorienEuropäische-Datenschutz-Grundverordnung (GDPR)
Bundesgesetz über den Datenschutz (DSG)Bundesgesetz über die Informationssicherheit (ISG)
Eidgenössische Finanzmarktaufsicht (FINMA)Payment Card Industry Data Security Standard (PCI DSS)
Eigenes InteresseGeistiges Eigentum (IP)
Kunden Identifizierbare Daten (CID)Nutzung neuer Technologien für eigene
Produkte
5Explore part of Reimagine 2016
Datenzentrierter Schutz-AnsatzWie schützt man Daten, um Datendiebstahl zwecklos zu machen?
Explore part of Reimagine 2016
HPE SecureData – Datenzentrierte Technologien
HPE Format-Preserving Encryption, HPE Secure Stateless Tokenization , HPE Page-Integrated Encryption– Strukturierte Daten schützen und gleichzeitig funktionale und analytische Integrität behalten
– Hochoktane-tokenisierungs-Leistung ohne Datenbank-Management-Kopfschmerzen
– Verlängert End-to-End-Schutz über Internet-Browser, durch und über den SSL-Tunnel hinaus
– Minimiert Implementierungszeit mit maximierter Datenwerten
Vorname: PeterNachname: Muster
Geburtstag: 22.07.1966AHV Nr.: 298.69.322.112
Vormane: UylqoNachname: Wruwwb
DOB: 08.06.1972AHV Nr.: 412.32.358.342
Ija&3k24kQotugDF2390 3̂2 0OWioNu2(*872weWaasIUahj
w2%quiFIWUYBw3Oiuqwriuweuwr%oIUOw1@
Clear-Text-Data Traditionelle Verschlüsselung
HPE Format-Preserving Encryption
7Explore part of Reimagine 2016
HPE Security Voltage Product Lines
Broad Platform Support
Encryption + Tokenization
HPE Stateless Key Management
HPE SecureData
HPE SecureDataWeb Services API
HPE SecureDataCommand Line and Automated Parsers
HPE SecureDataNative APIs
(C, Java, C#, .NET)
HPE SecureDataKey Servers
HPE SecureDataCentral Management Console
8Explore part of Reimagine 2016
HPE SecureData
– Eingebautes HPE Stateless Key Management
− Keine Schlüssel DB zu speichern oder managen
− Höchste Performance, unlimitiert skalierbar
– Bietet Verschlüsselung und Tokenisierung
− Anpassbar um genaue Anforderungen zu erfüllen
– Breite Plattformunterstützung
− On-premise/Cloud/Big Data
− Strukturiert/Unstrukturiert
− Linux, Windows, z/OS, HPE NonStop, Teradata, Hadoop, AWS, ...
– Sehr schneller time-to-value
− Komplette End-to-End-Schutz innerhalb einer Plattform
− Format Erhaltung reduziert den Implementationsaufwand drastisch
HPE SecureDataWeb Services API
HPE SecureDataCommand Line and Automated Parsers
HPE SecureDataNative APIs
(C, Java, C#, .NET)
HPE SecureDataKey Servers
HPE SecureDataCentral Management Console
9Explore part of Reimagine 2016
HPE SecureData Stateless Architecture
HPE Stateless Key Management & HPE Identity-BasedEncryption (IBE)– Eckpfeiler der HPE SecureData durch Einfachheit und
Skalierbarkeit– Die Schlüssel werden basierend auf der Identität dynamisch
abgeleitet– Kein Schlüssel-Datenbank zu speichern, zu schützen und
Backupen– Schlüssel müssen nicht manuell betrieben werden, keine
Zertifikate oder Schlüssel-Datenbanken werden verwaltet– Ermöglicht hochleistungsfähige und skalierbaren Datenschutz– HPE Stateless Key Management wird für strukturierte Daten
verwendet– HPE Identitätsbasierte Verschlüsselung wird für unstrukturierte
Daten verwendet
10Explore part of Reimagine 2016
HPE Security Voltage Framework
PCI Scope and Risk Reduction Data De-identification PII & PHI ProtectionUse Cases
EnvironmentsMobile |Cloud | Enterprise| Payments | Big Data
Physical Environments
HPE SecureMailHPE SecureDataProducts
Data Security Policy Control Policy Control
New Data Security StandardsANSI | NIST | IEEE | IETF
Standards Foundation
Stateless ArchitectureHPE IBE | HPE Stateless Key Management
Innovative Architecture
Data-centric Security TechnologyHPE FPE | HPE SST | HPE PIE
Breakthrough Technologies
11Explore part of Reimagine 2016
Security Standards & Peer Reviews
– HPE SecureData ist aktiv bei der Förderung von Krypto-Standards
– Offene Standards sind Herstellerunabhängig, reduziert Risiken
– Nicht-Standards und unveröffentlichten Kryptohaben Auswirkungen auf die Sicherheit und Haftung
• HPE Identity-Based Encryption – IETF 5091, 5408,5408 (2007)– ISO 15946-1 –Pairings-based crypto (2008)– IEEE 1363.3 – Final standard (2013)
• HPE Format-Preserving Encryption– NIST FFX-mode AES - NIST SP800-38G– ANSI X9.124 (draft)– ANSI X9.119 (draft)
• HPE Secure Stateless Tokenization– Security validation - Coalfire– Independent security proofs (UC Davis et al)– PCI scope reduction validation (Coalfire)
• HPE Page-Integrated Encryption– Patented applied cryptographic technique using FPE– Independent validation and PCI scope reduction
assessment
12Explore part of Reimagine 2016
Data Centric Security
13
Übersicht über Verfahrensweisen zur Verschlüsselung
Container-Verfahren
Cleartext während der gesamten VerarbeitungszeitHohe Ent- und Verschlüsselungsaufwände (kompletter Datenbestand)
Recordbasiertes-Verfahren
Cleartext während der gesamten TransaktionBegrenzte Ent- und Verschlüsselungsaufwände (lediglich betroffene Datensätze)
Atttributbasiertes-Verfahren
Cleartext für definierte Attribute der RecordsMinimale Ent- und Verschlüsselungsaufwände (ausschließlich betroffene Felder)
Cleartext Entschlüsseln Verschlüsseln
Explore part of Reimagine 2016
Schutz auf Feldebene, ermöglicht Business Prozesse & AnalyticsFormat-erhaltende Verschlüsselung oder Schwärzung
14
FPE
Kreditkarten-nummer
Sozialversich.-nummer E-Mailadresse
Geburts-datum
5212 3456 7890 1234 959 355 1234 5 [email protected] 12.10.1988
AESLÜ?ADHKJssj3487698&"&/&!xaasakjhkaskjh
ÖK/&!xaasakjhkaskjhjxkvhgsdf
aasakjhkaskjhfhiuw0985z7z89iup&7
ALJDHUIfnn,m3287zacj
Verwendung im Kontext von SQL und semantischen Auswertungen nicht geeignet
VOLL 8735 5543 1470 9876 386 498 7654 7 [email protected] 24.06.1925
Verwendung als Testdaten, Softwareentwicklung intern / extern und Auslagerung
Teil 5212 3470 6528 1234 572 786 1234 9 [email protected] xx.yy.1988Teilverschlüsselung nach Verwendungszweck und autorisierter Aufgabe
Format-offen 5212 34xy acxz 1234 abc def 1234 x [email protected] 01.01.1900
Verfremdung für zweckbestimmte Aufgaben (z.B. Audit, Forensik etc.)
Explore part of Reimagine 2016
HPE SecureData Architektur
HPE SecureDataAppliance(s)
Management Console
Native APIsCommand Line ToolsWeb Services
HSMEvent Monitoring
AuthenticationAD/LDAP
Production Databases
MainframeApplications &
Databases
3rd Party Applications
Teradata& Hadoop
ETL & Data Integration
Suites
XMLGateways
Web & Browser Applications
PaymentDevices
Plattform Tools
Applikationen
Infrastructure
15Explore part of Reimagine 2016
Architekturschema (Beispiel)
16
1
2
3 4 56
Explore part of Reimagine 2016
Architekturschema (Beispiel)
17
1. Management Console• Webbasierende Steuerung aller administrativen Funktionen und Überwachung2. Key Management Server• Dynamische Schlüsselgenerierung auf Basis patentierter Cryptomodelle• Einfache Integration in bestehende IAM Umgebungen • HSM Modulunterstürtung nach FIPS 140-23. Web Services • Skalierbare Web Services Plattform für SOA Implementierungen • Standardisierte Web Service Protokollunterstützung 4. SecureData Simple API• Systemintegration durch anwendungsnahe API Unterstützung• Höchste Performance • Breites Plattformangebot 5. SecureData z/Protect und z/FPE• Mainframe Unterstützung 6. Voltage SecureData Command Line • Batch Prozesse mit Skript Unterstützung in eigener Konsolumgebung
Explore part of Reimagine 2016
HPE SecureData Partner NetzwerkOEM PartnersPayments Partners
Device Platforms
Payment & Gateway Platforms
Technology Partners
Global Systems Integrators
Reseller Partners
18Explore part of Reimagine 2016
Datenzentrierter Schutz-AnsatzWie startet man am besten?
Explore part of Reimagine 2016
Datenzentrierter Sicherheitsansatz und Start mit PoCAuswahl des Anwendungsfalles
20
Finanzen • Versicherungen
• Kreditkarten (PCI DSS)
• E-Banking
Gesundheit
ÖffentlicheHand
• Krankenkassen
• Spitäler, Psychiatrien etc.
• Pharma: klinische Studien
• Internet der Dinge (IOT)
• Sicherheitsdienste
• Steuerwesen
Handel
Information
• E-Kommerz
• Logistik
• Marketing, Werbung
• SharePoint & Co
• Azure & AWS
• Big Data
Hoch-Technologie
• Luftfahrt
• Autobau, Verkehr
• Mobile Data
Explore part of Reimagine 2016
Datenzentrierter SicherheitsansatzZusammenfassung
– Datenzentrischer Schutz der Daten mit der Hilfe von FPE, SST, PIE– Strukturierte Daten schützen und gleichzeitig funktionale und analytische Integrität behalten– End-to-End-Schutz über Internet-Browser, durch und über den SSL-Tunnel hinaus– Minimiert Implementierungszeit mit maximierter Datenwerten
– Eingebautes HPE Stateless Key Management– Keine Schlüssel DB zu speichern oder managen– Höchste Performance, unlimitiert skalierbar– Bietet Verschlüsselung und Tokenisierung– Breite Plattformunterstützung, sowie On-premise/Cloud/Big Data– Sehr schneller time-to-value
– Starten mit einem PoC bei einen Anwendungsfall der für Ihr Unternehmen wichtig ist
21Explore part of Reimagine 2016
Danke für Ihr Interesse
22Explore part of Reimagine 2016
23Explore part of Reimagine 2016
KONTAKT:Andreas DortaSales Manager Enterprise Security Products Switzerland & AustriaHewlett Packard Schweiz GmbHÜberlandstrasse 1, 8600 Dübendorf+41 76 560 66 66, Skype +41 58 199 01 [email protected] | hpe.com/security
WEITERE INFORMATIONEN:HPE Software in der ExpoProtect Stand
• ArcSight SIEM
• Applikations Sicherheit• SecureData (Voltage)