Vortrag "ISO this *" von Jörg Simon
Gestern also fand in unserer GI-Regionalgruppe der Vortrag "ISO this *" von Jörg Simon statt.
Das Sternchen steht übrigens für ein beliebiges Schimpfwort. Es wendet sich gegen die Unart, echte Sicherheit durch Compliance zu ersetzen. Grundsätzlich widersprechen Compliance und Sicherheit einander nicht, sondern unterstützen einander. Aber im Einzelfall muss man sich eventuell entscheiden.
Was ist nochmal Sicherheit? Security bedeutet, den zu schützenden Wert (Asset) von der Bedrohung zu trennen. Leider funktioniert dann das Business meist nicht mehr. Es ist also ein gewisses Maß an Öffnung (Porosity) nötig, was Angriffsflächen erschafft. Safety ist dann die Kontrolle dieser Öffnung. Für die Öffnung gilt: Porosity = Visibility + Access + Trust, d.h. Sichtbarkeit + Zugang + Vertrauen.
Jörg Simon berichtete uns lebhaft aus verschiedenen Projekten, wie und wo dort Sicherheit gemacht wird:
Fedora ist ein Open Source Betriebssystem und unterstützt durch das Fedora Security Lab das praktische Erlernen von Security-Testing in der Lehre, indem es Ziele für Angriffe anbietet.
Das OSSTMM Open Source Security Testing Methodology Manual ist ein Handbuch fürs Sicherheitstesten.
Kurse zum Thema Sicherheitstesten gibt es in der Hacker Highschool. Auch wir lernten nun die verschiedenen Artren von Teststrategien und Phasen eines Angriffs kennen.
Das Sternchen steht übrigens für ein beliebiges Schimpfwort. Es wendet sich gegen die Unart, echte Sicherheit durch Compliance zu ersetzen. Grundsätzlich widersprechen Compliance und Sicherheit einander nicht, sondern unterstützen einander. Aber im Einzelfall muss man sich eventuell entscheiden.
Was ist nochmal Sicherheit? Security bedeutet, den zu schützenden Wert (Asset) von der Bedrohung zu trennen. Leider funktioniert dann das Business meist nicht mehr. Es ist also ein gewisses Maß an Öffnung (Porosity) nötig, was Angriffsflächen erschafft. Safety ist dann die Kontrolle dieser Öffnung. Für die Öffnung gilt: Porosity = Visibility + Access + Trust, d.h. Sichtbarkeit + Zugang + Vertrauen.
Jörg Simon berichtete uns lebhaft aus verschiedenen Projekten, wie und wo dort Sicherheit gemacht wird:
Fedora ist ein Open Source Betriebssystem und unterstützt durch das Fedora Security Lab das praktische Erlernen von Security-Testing in der Lehre, indem es Ziele für Angriffe anbietet.
Das OSSTMM Open Source Security Testing Methodology Manual ist ein Handbuch fürs Sicherheitstesten.
Kurse zum Thema Sicherheitstesten gibt es in der Hacker Highschool. Auch wir lernten nun die verschiedenen Artren von Teststrategien und Phasen eines Angriffs kennen.
AndreaHerrmann - 3. Sep, 22:17
