Security Testing. Mark Bergman & Jeroen van Beek Platform voor Informatie Beveiliging 17 december 2009

Maat: px
Weergave met pagina beginnen:

Download "Security Testing. Mark Bergman & Jeroen van Beek Platform voor Informatie Beveiliging 17 december 2009"

Transcriptie

1 Security Testing Mark Bergman & Jeroen van Beek Platform voor Informatie Beveiliging 17 december 2009

2 Agenda Inleiding Security testing level1 level2 level3 Level10 level11 level12 Vragen? 2

3 Inleiding - wie wij zijn Mark Bergman Ing. Informatica en Organisatiekunde, Windesheim Zwolle CISSP, CISA Register EDP Auditor (RE), Erasmus Universiteit Rotterdam Security testing / software kwaliteit review Jeroen van Beek M.Sc system and network engineering, UvA CISSP, CISA Register EDP Auditor (RE), Vrije Universiteit Amsterdam Security testing / security onderzoek Totaal Samen goed voor 15+ jaar security testing & SW ontwikkeling 3

4 Inleiding - praktijk Hackers stelen creditcardgegevens Hackers stelen persoonlijke gegevens Hackers stelen foto s van bekende personen Hackers stelen patiëntgegevens Hackers zo ongeveer stelen alles! 4

5 Jeroen van Beek 19 oktober

6 Jeroen van Beek 19 oktober

7 Jeroen van Beek 19 oktober

8 Jeroen van Beek 19 oktober

9 Inleiding noodzaak security tests IT-audit Brede scope (compleet proces, veel systemen) Beperkte diepgang (samples, geen bits & bytes) Generieke kennis Hacks in de praktijk Eén probleem (specifieke stap in deelproces) Technische aanval (juist bits & bytes) Specifieke technische kennis Conclusie Moeilijk om hacks te voorkomen met alleen IT-audits Specifieke werkzaamheden en expertise noodzakelijk om rotte appels te vinden: ethical hacking / penetratietests 9

10 Inleiding - aanpak Aanpak penetratietest Voorbereiding Validatie juistheid testobjecten Vrijwaring Actieve informatievergaring Map Detecteren actieve componenten Scan Detecteren actieve services Detecteren misconfiguraties Detecteren zwakheden in software Test Misbruik geconstateerde zwakheden Overige handmatig testen Rapporteren en documenteren Conform IT-audit-opdracht, nadruk op aangetroffen kwetsbaarheden 10

11 Inleiding - voorbereiding Validatie juistheid testobjecten Je wilt niet misbruikt worden door derden Je wilt niet per ongeluk verkeerde doelsystemen misbruiken Vrijwaring Opzettelijk en wederrechtelijk binnendringen in computersystemen is strafbaar, ook als daarbij geen beveiliging wordt gekraakt Een klant ondertekent een vrijwaring waarin toestemming wordt verleend 11

12 Inleiding - actief scannen Map Zoeken naar actieve systemen Meeluisteren netwerkverkeer Z.g.n. PING-sweep en gerelateerde technieken Scan Zoeken naar actieve diensten Ieder actief systeem heeft >= 0 actieve diensten: poortscan Z.g.n. TCP- of UDP-poorten, maximaal 64k van elk type Zoeken naar zwakheden Kwetsbare software Missende patches Inadequate filtering invoer Kwetsbare configuraties Onveilige diensten Zwakke / standaard wachtwoorden Test Controle op false positives Controle om geen false negatives te missen Daadwerkelijk misbruik maken van zwakheden Welk technisch probleem heeft welke business impact Alles testen is meestal niet mogelijk! niet illegaal 12 valt onder wcc

13 Inleiding - demo Volledig fictief voorbeeld: HRM-applicatie NAW, BSN, etc. Salaris Bonussen Aandelenpakket Jaargesprekken Ongeautoriseerde toegang via publiek telefoonboek SQL-injection: volledige rechten op database Via database admin op besturingssysteem Remote toegang Dump alle gebruikersnamen en wachtwoorden applicatie Wat valt op? Dump alle gebruikersnamen en wachtwoorden besturingssysteem Toegang tot andere systemen in hetzelfde netwerk! 13

14 opeenvolgende wachtwoorden gelijke wachtwoorden verschillende wachtwoordlengte 14

15 Inleiding - demo, vervolgd Hoe zijn de wachtwoorden versleuteld? Eigen account aanmaken Wachtwoord = aaaaaaaa Resultaat opslaan, b.v. \01\02\03\04\05\06\07\08 Wachtwoord = bbbbbbbb Resultaat opslaan, b.v. \02\03\04\05\06\07\08\09 Etc. Zoek een relatie: wachtwoord resultaat Schrijf een decoder for (i = 0; i < in.lengte(); i++) print (alfabet(in.positie(i) + i)) Decodeer alle wachtwoorden Dump gevoelige informatie 15

16 Inleiding - misbruik aantonen Waarom misbruik aantonen? Awareness Beheerders denken dat het allemaal wel meevalt Awareness verandert als je binnen bent op hun systemen Managers denken dat het allemaal wel meevalt Een schermafdruk van de mailbox doet wonderen Kwaliteit van de rapportage Iedereen kan een vulnerabilityscan draaien en technische bevindingen kopiëren en plakken IT-afdeling kan hier weinig mee Business kan hier niets mee Hoe hangt de vlag er echt bij? 16

17 Inleiding - bevindingen Bevindingen zijn goed te categoriseren: Systeembeheer Gebrekkige patching besturingssysteem Gebrekkig wachtwoordbeleid besturingssysteem Gebrekkige configuratie besturingssysteem Gebrekkige configuratie netwerk Applicatiebeheer Gebrekkige patching webservers Gebrekkig wachtwoordbeleid webapplicaties Gebrekkige configuratie databases Gebrekkige invoer validatie SQL-injection Cross Site Scripting (CSS / XSS) Zie de OWASP top 17

18 Inleiding - audit versus testing IT-audit Penetratietest Motivatie klant wet- en regelgeving* kwaliteitsverbetering* Zekerheid redelijke mate geen Basis normenkader varieert Vergaring bewijs trust me, show me prove me Bevindingen risico s concrete zwakheden Risico voor auditee minimaal crash systemen Risico voor auditor tuchtrecht strafrecht * = gechargeerd 18

19 Inleiding samenvatting testing Ethical hacking is een effectief middel bij een specifieke klantvraag Hoe effectief zijn m n procedures nu echt? Juridische vrijwaring is een vereiste Veel specialistische kennis is noodzakelijk Ook achterdocht en nieuwsgierigheid / leergierigheid Zorg voor een basisniveau, b.v. cursus CISSP Ga zelf aan de slag met boekenserie Hacking Exposed Volg de een cursus Certified Ethical Hacker (CEH) Loop mee met een ervaren expert Geen expertise: niet zelf doen! Nothing more dangerous than a fool with a tool! De klant krijgt geen zekerheid / stempel /certificaat De bevindingen zijn 100% concreet en direct te vertalen naar de business 19

20 Inleiding - spelregels Team PC Vier personen S.v.p. ervaringsniveau aangeven zodat we kunnen mixen Eén of meer PC s per team (eigen keuze) Eén testomgeving per team Bootable DVD zodat iedereen een gelijke omgeving heeft BackTrack 4 pre release Testomgeving Linux-systeem Lekke webapplicatie Zwakheden in configuratie Verschillende levels 20

21 Inleiding - huisregels We zijn hier om iets te leren Help je collega s als je eerder klaar bent Niet rommelen op andere omgevingen, WiFi, etc. Niet één iemand constant achter de knoppen We willen allemaal wat leren De wet computercriminaliteit geldt ook hier We staan aanvallen alleen op toegewezen testomgevingen toe Bij illegale activiteiten wordt aangifte gedaan We zijn hier te gast Gedraag je ook als een goede gast 21

22 Security testing level1 Doel, hints en oplossing verwijderd 22

23 Security testing level2 Doel, hints en oplossing verwijderd 23

24 Security testing level3 Doel, hints en oplossing verwijderd 24

25 Security testing level10 Doel, hints en oplossing verwijderd 25

26 Security testing level11 Doel, hints en oplossing verwijderd 26

27 Security testing level12 Doel, hints en oplossing verwijderd 27

28 Vragen? 28

29 Contactgegevens 29

Security Testing. Omdat elk systeem anderis

Security Testing. Omdat elk systeem anderis Security Omdat elk systeem anderis Security U bent gebaat bij een veilig netwerk en beveiligde applicaties. Wij maken met een aantal diensten inzichtelijk hoe we uw security kunnen optimaliseren. Security

Nadere informatie

Zest Application Professionals Training &Workshops

Zest Application Professionals Training &Workshops Het in kaart krijgen van kwetsbaarheden in Websites & Applicaties en hoe deze eenvoudig te voorkomen zijn, wordt in Applicatie Assessments aangetoond en in een praktische Workshop behandelt. U doet hands-on

Nadere informatie

ISSX, Experts in IT Security. Wat is een penetratietest?

ISSX, Experts in IT Security. Wat is een penetratietest? De Stuwdam 14/B, 3815 KM Amersfoort Tel: +31 33 4779529, Email: info@issx.nl Aanval- en penetratietest U heeft beveiligingstechnieken geïnstalleerd zoals Firewalls, Intrusion detection/protection, en encryptie

Nadere informatie

Sr. Security Specialist bij SecureLabs

Sr. Security Specialist bij SecureLabs Wie ben ik? Ronald Kingma, CISSP ronald@securelabs.nl Sr. Security Specialist bij SecureLabs Introductie SecureLabs Voorheen ISSX Code of Conduct Real Penetration Testing Vulnerability Management Veiligheidsincidenten

Nadere informatie

Sebyde Web Applicatie Security Scan. 7 Januari 2014

Sebyde Web Applicatie Security Scan. 7 Januari 2014 Sebyde Web Applicatie Security Scan 7 Januari 2014 Even voorstellen Sebyde BV is Certified IBM Business Partner voor security systems, gespecialiseerd in applicatie security en security awareness. We leveren

Nadere informatie

Ethical hacking en Auditing. ISACA Round table. 11 juni 2018 Van der Valk Hotel - Eindhoven

Ethical hacking en Auditing. ISACA Round table. 11 juni 2018 Van der Valk Hotel - Eindhoven Ethical hacking en Auditing ISACA Round table 11 juni 2018 Van der Valk Hotel - Eindhoven Programma Even voorstellen Demo CloudHRM Een aantal begrippen Ethical hacking als onderdeel van een audit Demo

Nadere informatie

Factsheet SECURITY SCANNING Managed Services

Factsheet SECURITY SCANNING Managed Services Factsheet SECURITY SCANNING Managed Services SECURITY SCANNING Managed Services We maken inzichtelijk op welke punten u de beveiliging van uw applicaties en infrastructuur kunt verbeteren. Met onze Security

Nadere informatie

Factsheet SECURITY SCANNING Managed Services

Factsheet SECURITY SCANNING Managed Services Factsheet SECURITY SCANNING Managed Services SECURITY SCANNING Managed Services We maken inzichtelijk op welke punten u de beveiliging van uw applicaties en infrastructuur kunt verbeteren. Met onze Security

Nadere informatie

We maken inzichtelijk op welke punten u de beveiliging van uw applicaties en infrastructuur kunt verbeteren.

We maken inzichtelijk op welke punten u de beveiliging van uw applicaties en infrastructuur kunt verbeteren. Managed Services Managed Services We maken inzichtelijk op welke punten u de beveiliging van uw applicaties en infrastructuur kunt verbeteren. Met onze Security Management diensten bewaken we de continuïteit

Nadere informatie

Het Sebyde aanbod. Secure By Design

Het Sebyde aanbod. Secure By Design Het Sebyde aanbod Secure By Design Ons aanbod Security Scan Secure Development Security Awareness Security Assessment 1. Security Scan > Scan van uw web applicatie(s) op kwetsbaarheden. Hiervoor gebruiken

Nadere informatie

Informatiebeveiliging in de 21 e eeuw

Informatiebeveiliging in de 21 e eeuw Informatiebeveiliging in de 21 e eeuw beveiliging van de cloud webapplicatiepenetratietests vulnerability-assessments 12 maart 2012 R.C.J. (Rob) Himmelreich MSIT, CISA, CRISC Introductie Rob Himmelreich

Nadere informatie

Testnet Presentatie Websecurity Testen "Hack Me, Test Me" 1

Testnet Presentatie Websecurity Testen Hack Me, Test Me 1 Testnet Voorjaarsevenement 05 April 2006 Hack Me, Test Me Websecurity test onmisbaar voor testanalist en testmanager Edwin van Vliet Yacht Test Expertise Center Hack me, Test me Websecurity test, onmisbaar

Nadere informatie

Security Assessment. Laat uw bedrijfsbeveiliging grondig testen

Security Assessment. Laat uw bedrijfsbeveiliging grondig testen Security Assessment Laat uw bedrijfsbeveiliging grondig testen Vulnerability scan In een mum van tijd overzicht in uw veiligheid Wilt u weten hoe het met uw security gesteld staat? Laat uw netwerk en systemen

Nadere informatie

HET CENTRALE SECURITY PLATFORM

HET CENTRALE SECURITY PLATFORM HET CENTRALE SECURITY PLATFORM Wat komt er vandaag de dag op bedrijven af? Meldplicht datalekken Malware Spam Ddos-aanvallen Phishing Zwakke wachtwoorden Auditdruk Meldplicht datalekken Ingegaan op 1 januari

Nadere informatie

Productopbouw. BrainCap levert cybersecurityoplossingen in 3 stappen.

Productopbouw. BrainCap levert cybersecurityoplossingen in 3 stappen. U wilt online veiligheid voor uw bedrijf. U wilt daarom weten wat de cybersecuritystatus van uw organisatie is en inzicht hebben in de online risico s waaraan u bloot staat. Maar daar heeft u de kennis

Nadere informatie

Sebyde Prijslijst 30-8-2013

Sebyde Prijslijst 30-8-2013 Sebyde Prijslijst 30-8-2013 PRIJSLIJST Sebyde BV is een bedrijf dat diensten en producten levert om webapplicaties/websites veilig te maken. We helpen bedrijven met het beschermen van hun bedrijfsgegevens,

Nadere informatie

Secure Software Alliance

Secure Software Alliance Secure Software Alliance 6 SSD model SSDprocessen Organisatorische inrichting SSD Business impact analyse (BIA) Onderhoud standaard beveiligingseisen Risico attitude organisatie Sturen op maturity Standaard

Nadere informatie

Voordat sprake kan zijn van een TPM, moet aan een aantal voorwaarden worden voldaan:

Voordat sprake kan zijn van een TPM, moet aan een aantal voorwaarden worden voldaan: Wat is een Third Party Mededeling? Het uitbesteden van processen is binnen hedendaagse organisaties erg gebruikelijk. Maar hoe kunt u als dienstleverlener uw (potentiële) klanten overtuigen van de kwaliteit

Nadere informatie

Factsheet Penetratietest Infrastructuur

Factsheet Penetratietest Infrastructuur Factsheet Penetratietest Infrastructuur Since the proof of the pudding is in the eating DUIJNBORGH - FORTIVISION Stadionstraat 1a 4815NC Breda +31 (0) 88 16 1780 www.db-fortivision.nl info@db-fortivision.nl

Nadere informatie

INFORMATIEBEVEILIGING VOOR WEBWINKELS

INFORMATIEBEVEILIGING VOOR WEBWINKELS INFORMATIEBEVEILIGING VOOR WEBWINKELS HANDIGE CHECKLISTS In deze whitepaper bieden we u tips en checklists die kunnen bijdragen aan een optimale beveiliging van zowel uw eigen data als die van uw klanten.

Nadere informatie

RFID (in)security VUrORE. Jeroen van Beek VU AMSTERAM 18 april 2008

RFID (in)security VUrORE. Jeroen van Beek VU AMSTERAM 18 april 2008 RFID (in)security VUrORE Jeroen van Beek VU AMSTERAM 18 april 2008 Agenda Doel De techniek in vogelvlucht Toepassingen (en problemen) - In de eigen portemonnee - In het eigen huishouden - In de eigen organisatie

Nadere informatie

Behoud de controle over uw eigen data

Behoud de controle over uw eigen data BEDRIJFSBROCHURE Behoud de controle over uw eigen data Outpost24 is toonaangevend op het gebied van Vulnerability Management en biedt geavanceerde producten en diensten aan om bedrijven preventief te beveiligen

Nadere informatie

WEBAPPLICATIE-SCAN. Kiezen op Afstand

WEBAPPLICATIE-SCAN. Kiezen op Afstand WEBAPPLICATIE-SCAN Kiezen op Afstand Datum : 1 september 2006 INHOUDSOPGAVE 1 t Y1anagementsamen"'v atting 2 2 Inleiding 3 2.1 Doelstelling en scope ".".. " " " ".".3 2.2 Beschrijving scanproces.. """

Nadere informatie

Sebyde diensten overzicht. 6 December 2013

Sebyde diensten overzicht. 6 December 2013 Sebyde diensten overzicht 6 December 2013 Even voorstellen Sebyde BV is Certified IBM Business Partner voor security systems, gespecialiseerd in applicatie security en security awareness. We leveren diensten

Nadere informatie

de hackende rekenkamer De impact van een onderzoek naar Informatiebeveiliging

de hackende rekenkamer De impact van een onderzoek naar Informatiebeveiliging de hackende rekenkamer De impact van een onderzoek naar Informatiebeveiliging Landelijke impact Succesfactoren onderzoek met impact Actuele en relevante onderwerpen Kwaliteit van het onderzoek Geluk Vasthoudendheid

Nadere informatie

Testen van security Securityrisico s in hedendaagse systemen

Testen van security Securityrisico s in hedendaagse systemen INFIORMATION RISK MANAGEMENT Testen van security Securityrisico s in hedendaagse systemen TestNet - 5 april 2006 ADVISORY Visie van KPMG Organisaties willen aantoonbaar in control zijn over hun interne

Nadere informatie

Datalekken: praktijkvoorbeelden

Datalekken: praktijkvoorbeelden Datalekken: praktijkvoorbeelden Security Bootcamp Datalekken Verschillende oorzaken Technische kwetsbaarheden Missende patches, bugs, Gaan we vandaag niet op in Onkunde / missende procedures Onjuist redigeren

Nadere informatie

Sebyde AppScan Reseller. 7 Januari 2014

Sebyde AppScan Reseller. 7 Januari 2014 Sebyde AppScan Reseller 7 Januari 2014 Even voorstellen Sebyde BV is Certified IBM Business Partner voor security systems, gespecialiseerd in applicatie security en security awareness. We leveren diensten

Nadere informatie

Security NS. Onno Wierbos, Barry Schönhage, Marc Kuiper

Security NS. Onno Wierbos, Barry Schönhage, Marc Kuiper Security Testen @ NS Onno Wierbos, Barry Schönhage, Marc Kuiper On Board Information System (OBIS) 3 Security testen binnen OBIS 4 Security test op het nieuwe CMS Scope: Het nieuwe CMS vanuit reizigersperspectief

Nadere informatie

Welkom bij parallellijn 1 On the Move 14.20 15.10 uur

Welkom bij parallellijn 1 On the Move 14.20 15.10 uur Welkom bij parallellijn 1 On the Move 14.20 15.10 uur Stap 4 van de BIG Hoe stel ik vast of de informatiebeveiligingsmaatregelen van mijn gemeente effectief zijn en hoe rapporteer ik hierover? 1 IBD-Praktijkdag

Nadere informatie

Uw bedrijf beschermd tegen cybercriminaliteit

Uw bedrijf beschermd tegen cybercriminaliteit Uw bedrijf beschermd tegen cybercriminaliteit MKB is gemakkelijke prooi voor cybercriminelen Welke ondernemer realiseert zich niet af en toe hoe vervelend het zou zijn als er bij zijn bedrijf wordt ingebroken?

Nadere informatie

Factsheet Penetratietest Informatievoorziening

Factsheet Penetratietest Informatievoorziening Factsheet Penetratietest Informatievoorziening Since the proof of the pudding is in the eating DUIJNBORGH - FORTIVISION Stadionstraat 1a 4815NC Breda +31 (0) 88 16 1780 www.db-fortivision.nl info@db-fortivision.nl

Nadere informatie

Factsheet Penetratietest Webapplicaties

Factsheet Penetratietest Webapplicaties Factsheet Penetratietest Webapplicaties Since the proof of the pudding is in the eating DUIJNBORGH - FORTIVISION Stadionstraat 1a 4815NC Breda +31 (0) 88 16 1780 www.db-fortivision.nl info@db-fortivision.nl

Nadere informatie

Sebyde Security in een organisatie A3 Management Workshop. 7 Januari 2014

Sebyde Security in een organisatie A3 Management Workshop. 7 Januari 2014 Sebyde Security in een organisatie A3 Management Workshop 7 Januari 2014 Even voorstellen Sebyde BV is Certified IBM Business Partner voor security systems, gespecialiseerd in applicatie security en security

Nadere informatie

Training en workshops

Training en workshops Mirabeau Academy HACKING OWASP TOP 10 Training en workshops MIRABEAU ACADEMY AHEAD IN A DIGITAL WORLD Digitaal denken zit in onze code. We weten exact wat er online speelt. Sinds 2001 ontwikkelen we platformen

Nadere informatie

Technische QuickScan. JOMA secundair Merksem Pagina 1 van 28

Technische QuickScan. JOMA secundair Merksem Pagina 1 van 28 Technische QuickScan JOMA secundair Merksem Pagina 1 van 28 Technische QuickScan Technische Cybersecurity 1 Back up & Restore 1-1 Van welke systemen worden back-ups gemaakt? Indien geen back-ups gemaakt

Nadere informatie

Kwalificatie en certificatie van informatiebeveiligers

Kwalificatie en certificatie van informatiebeveiligers Kwalificatie en certificatie van informatiebeveiligers Marcel Spruit Fred van Noord Opleidingenmarkt, 24 mei 2011 Onderzoek Onderzoek naar de wenselijkheid en haalbaarheid van een (inter)nationaal kwalificatie-

Nadere informatie

DevSecOps Een buzzword of toch een noodzakelijke stap richting Secure DevOps?

DevSecOps Een buzzword of toch een noodzakelijke stap richting Secure DevOps? DevSecOps Een buzzword of toch een noodzakelijke stap richting Secure DevOps? Rachid Kherrazi 10-10-2018 Even voorstelen Rachid Kherrazi Test Manager @ InTraffic in Nieuwegein 18 jaar werkervaring bij

Nadere informatie

Paphos Group Risk & Security Mobile App Security Testing

Paphos Group Risk & Security Mobile App Security Testing Paphos Group Risk & Security Mobile App Security Testing Gert Huisman gert.huisman@paphosgroup.com Introductie 10 jaar werkzaam geweest voor Achmea als Software Engineer 3 jaar als Security Tester Security

Nadere informatie

WHO NEEDS ENEMIES WAAR DIENT U OP TE LETTEN? De BrainCheck is o.a.

WHO NEEDS ENEMIES WAAR DIENT U OP TE LETTEN? De BrainCheck is o.a. WHO NEEDS ENEMIES Onze IT-omgeving staat bloot aan een groot aantal dreigingen. DDoS aanvallen zijn aan de orde van de dag en hackers proberen hun slag te slaan. Maar de grootste dreiging voor onze digitale

Nadere informatie

IT Security in examineren

IT Security in examineren IT Security in examineren Hacken en fraude in de digitale toetsomgeving. Jochen den Ouden - 2015 - NVE - Stenden Hogeschool - Veteris IT Services Even voorstellen Jochen den Ouden Docent Informatica Ethical

Nadere informatie

WHITEPAPER. Security Assessment. Neem uw security serieus en breng het tot een hoger niveau. networking4all.com / whitepaper / security assessments

WHITEPAPER. Security Assessment. Neem uw security serieus en breng het tot een hoger niveau. networking4all.com / whitepaper / security assessments WHITEPAPER Security Assessment Neem uw security serieus en breng het tot een hoger niveau Bedrijfsbeveiliging is tegenwoording niet meer los te trekken van online security. Veel bedrijven doen bijna uitsluitend

Nadere informatie

Bijlage 1: DigiD aansluiting no.1 - Bijlage B + C Gemeente Loppersum

Bijlage 1: DigiD aansluiting no.1 - Bijlage B + C Gemeente Loppersum Collegeverklaring ENSIA 2017 - Bijlage 1 Bijlage 1: DigiD aansluiting no.1 - Bijlage B + C Gemeente Loppersum Vragen vooraf Vraag Vraag 1: Bent u aansluithouder van DigiD aansluitingen? Vraag 2: Hoeveel

Nadere informatie

Onderzoek naar de veiligheid c.q. beveiliging van de SURFnet IDS dienst. Lourens Bordewijk & Jimmy Macé

Onderzoek naar de veiligheid c.q. beveiliging van de SURFnet IDS dienst. Lourens Bordewijk & Jimmy Macé Onderzoek naar de veiligheid c.q. beveiliging van de SURFnet IDS dienst. Lourens Bordewijk & Jimmy Macé Amsterdam 8-2-2006 Achtergrond IDS dienst SURFnet netwerk Aangesloten instellingen te maken met security

Nadere informatie

Jacques Herman 21 februari 2013

Jacques Herman 21 februari 2013 KING bijeenkomst Audit- en Pentestpartijen Toelichting op de DigiD Rapportage template en de NOREA Handreiking DigiD ICT-beveiligingsassessments Jacques Herman 21 februari 2013 Samenvatting van de regeling

Nadere informatie

DIGID-AUDIT BIJ ZORGPORTAAL RIJNMOND

DIGID-AUDIT BIJ ZORGPORTAAL RIJNMOND DIGID-AUDIT BIJ ZORGPORTAAL RIJNMOND SAFEHARBOUR Audit en Security ISO 27001/ NEN7510 implementatie Projectadvies Risicoanalyses Zorg en overheden @djakoot @safeharbour_nl WAAROM DIGID-AUDIT? DAAROM DIGID-AUDIT

Nadere informatie

SABA: IT-audit tooling 2.0

SABA: IT-audit tooling 2.0 36 SABA: IT-audit tooling 2.0 Marc Smeets MSc M.R.A.M. Smeets MSc is junior adviseur bij KPMG en werkzaam in de unit ICT Security & Control. Hij is specialist op het gebied van beveiliging van besturingssystemen

Nadere informatie

Rapportage DigiD Assessment - ENSIA 2017 Aansluiting no.1 Bijlage B en C

Rapportage DigiD Assessment - ENSIA 2017 Aansluiting no.1 Bijlage B en C DigiD aansluiting no.1 - Bijlage B + C Rapportage DigiD Assessment - ENSIA 2017 Aansluiting no.1 Bijlage B en C gemeente Renswoude Vragen vooraf Vraag Vraag 1: Bent u aansluithouder van DigiD aansluitingen?

Nadere informatie

Quick guide. IT security, AVG en NIB. Version 3.0

Quick guide. IT security, AVG en NIB. Version 3.0 Quick guide IT security, AVG en NIB Version 3.0 AVG - bescherming persoonsgegevens Op 25 mei 2018 gaat de nieuwe wetgeving rondom gegevensbescherming in werking, geldend voor alle EUlanden. Deze wet zal

Nadere informatie

BEVEILIGINGSARCHITECTUUR

BEVEILIGINGSARCHITECTUUR BEVEILIGINGSARCHITECTUUR Risico s onder controle Versie 1.0 Door: drs. Ir. Maikel J. Mardjan MBM - Architect 2011 cc Organisatieontwerp.nl AGENDA Is een beveiligingsarchitectuur wel nodig? Oorzaken beveiligingsincidenten

Nadere informatie

Bewustwording en awareness TIPS EN HANDVATTEN OM HET RISICO OP EEN DATALEK TE VERKLEINEN

Bewustwording en awareness TIPS EN HANDVATTEN OM HET RISICO OP EEN DATALEK TE VERKLEINEN Bewustwording en awareness TIPS EN HANDVATTEN OM HET RISICO OP EEN DATALEK TE VERKLEINEN Helaas, 100% beveiliging bestaat niet. Kwetsbaarheden veranderen dagelijks en hackers zitten niet stil. Een datalek

Nadere informatie

Het Sebyde aanbod. Secure By Design. AUG 2012 Sebyde BV

Het Sebyde aanbod. Secure By Design. AUG 2012 Sebyde BV Het Sebyde aanbod Secure By Design AUG 2012 Sebyde BV Wat bieden wij aan? 1. Web Applicatie Security Audit 2. Secure Development 3. Security Awareness Training 4. Security Quick Scan 1. Web Applicatie

Nadere informatie

Beveilig klanten, transformeer jezelf

Beveilig klanten, transformeer jezelf Beveilig klanten, transformeer jezelf Managed Services Providers Hacks, ransomware en datalekken zijn dagelijks in het nieuws. Bedrijven moeten in 2018 voldoen aan de Algemene Verordening Gegevensbescherming

Nadere informatie

als onderdeel in IT-audits

als onderdeel in IT-audits Compact_ 2009_4 9 en als onderdeel in IT-audits Ir. Peter Kornelisse RE CISA, Marc Smeets MSc en ing. Michiel van Veen MSc Ir. P. Kornelisse RE CISA is director bij KPMG IT Advisory en verantwoordelijk

Nadere informatie

Digiveiligheid en kwalificaties. Fred van Noord (PvIB, VKA) Marcel Spruit (HHS, PBLQ/HEC)

Digiveiligheid en kwalificaties. Fred van Noord (PvIB, VKA) Marcel Spruit (HHS, PBLQ/HEC) Digiveiligheid en kwalificaties Fred van Noord (PvIB, VKA) Marcel Spruit (HHS, PBLQ/HEC) Digiveiligheid en functioneel beheer Functioneel beheer Informatiebeveiliging ICT-beveiliging Specificeren BIV Ongewenste

Nadere informatie

Beveiliging van smartphones in de zorg

Beveiliging van smartphones in de zorg Beveiliging van smartphones in de zorg Spitsseminar Nictiz Pieter Ceelen Agenda Welke maatregelen kan een zorgorganisatie nemen om veilig met smartphones en tablets om te gaan? Beveiligingsrisico s Beveiligingsoplossingen

Nadere informatie

STUDIEWIJZER NETWORK AND SYSTEM PENTESTING BACHELOR IN DE TOEGEPASTE INFORMATICA SEMESTER 4 ACADEMIEJAAR

STUDIEWIJZER NETWORK AND SYSTEM PENTESTING BACHELOR IN DE TOEGEPASTE INFORMATICA SEMESTER 4 ACADEMIEJAAR Network and System Pentesting BACHELOR IN DE TOEGEPASTE INFORMATICA SEMESTER 4 ACADEMIEJAAR 2016-2017 LECTOREN PARCIFAL AERTSSEN EN TIJL DENEUT STUDIEWIJZER NETWORK AND SYSTEM PENTESTING Onderdeel van

Nadere informatie

Hoe veilig is uw data? Oscar Vermaas Hoffmann bedrijfsrecherche B.V.

Hoe veilig is uw data? Oscar Vermaas Hoffmann bedrijfsrecherche B.V. Hoe veilig is uw data? Oscar Vermaas Hoffmann bedrijfsrecherche B.V. Agenda Wat is Cybercrime Casus: Valse factuur Informatie verwerven Casus: Inloopactie Delen van informatie Awareness Tips Wat ziet de

Nadere informatie

SWAT PRODUCT BROCHURE

SWAT PRODUCT BROCHURE SWAT PRODUCT BROCHURE BEVEILIGING VAN WEB APPLICATIES Het beveiligen van web applicaties is de afgelopen jaren voor veel bedrijven een enorme uitdaging geworden, omdat er op de markt weinig effectieve

Nadere informatie

De hackende rekenkamer

De hackende rekenkamer De hackende rekenkamer impact van een onderzoek naar informatiebeveiliging Paul Hofstra Landelijke impact Aanleiding onderzoek rekenkamer Steeds meer gevoelige informatie bij gemeenten Toenemende aandacht

Nadere informatie

Security Pentest. 18 Januari 2016. Uitgevoerde Test(s): 1. Blackbox Security Pentest 2. Greybox Security Pentest

Security Pentest. 18 Januari 2016. Uitgevoerde Test(s): 1. Blackbox Security Pentest 2. Greybox Security Pentest DEMO PENTEST VOOR EDUCATIEVE DOELEINDE. HET GAAT HIER OM EEN FICTIEF BEDRIJF. 'Inet Veilingen' Security Pentest 18 Januari 2016 Uitgevoerde Test(s): 1. Blackbox Security Pentest 2. Greybox Security Pentest

Nadere informatie

BIJLAGE 6: VASTSTELLINGEN IN CIJFERS

BIJLAGE 6: VASTSTELLINGEN IN CIJFERS BIJLAGE 6: VASTSTELLINGEN IN CIJFERS In deze bijlage worden enkele vaststellingen cijfermatig weergegeven. Deze cijfers hebben enkel betrekking op de geauditeerde organisaties (zie bijlage 2). Elke audit

Nadere informatie

Help! Mijn website is kwetsbaar voor SQL-injectie

Help! Mijn website is kwetsbaar voor SQL-injectie Help! Mijn website is kwetsbaar voor SQL-injectie Controleer uw website en tref maatregelen Factsheet FS-2014-05 versie 1.0 9 oktober 2014 SQL-injectie is een populaire en veel toegepaste aanval op websites

Nadere informatie

Security in het MKB: Windows 10

Security in het MKB: Windows 10 Security in het MKB: De security uitdagingen en behoeften in het MKB Security in het MKB: De security uitdagingen en behoeften in het MKB Bedrijven zijn zich inmiddels bewust van de noodzaak om hun bedrijfsgegevens

Nadere informatie

UWV Security SSD Instructies

UWV Security SSD Instructies UWV Security SSD Instructies BESTEMD VOOR : Patrick van Grevenbroek AUTEUR(S) : Gabriele Biondo / T. Uding (vertaling) VERSIE : 1.0 DATUM : 20-03-2014 HISTORIE Datum Auteur(s) Omschrijving 20/03/2014 Gabriele

Nadere informatie

Veilige webapplicaties

Veilige webapplicaties Arthur de Jong - Software Engineer - West Consulting BV - www.west.nl - arthur@west.nl Arthur is bij West Consulting BV onder andere verantwoordelijk voor het beheer van de technische infrastructuur, waarbij

Nadere informatie

STUDIEWIJZER NETWORK AND SYSTEM PENTESTING SEMESTER 4 ACADEMIEJAAR Onderdeel van de opleiding Bachelor in de Toegepaste Informatica

STUDIEWIJZER NETWORK AND SYSTEM PENTESTING SEMESTER 4 ACADEMIEJAAR Onderdeel van de opleiding Bachelor in de Toegepaste Informatica Network and System Pentesting BACHELOR IN DE TOEGEPASTE INFORMATICA SEMESTER 4 ACADEMIEJAAR 2018-2019 LECTOREN PARCIFAL AERTSSEN EN TIJL DENEUT STUDIEWIJZER NETWORK AND SYSTEM PENTESTING Onderdeel van

Nadere informatie

Privacy Policy v Stone Internet Services bvba

Privacy Policy v Stone Internet Services bvba Privacy Policy v09.16 Stone Internet Services bvba Stone Internet Services Privacy Policy Dit document heeft als doel te beschrijven hoe Stone Internet Services bvba omgaat met het opslaan en beheren van

Nadere informatie

Beveiligingsmaatregelen voor een doeltreffende Cyber verdediging

Beveiligingsmaatregelen voor een doeltreffende Cyber verdediging Beveiligingsmaatregelen voor een doeltreffende Cyber verdediging ivo.depoorter@v-ict-or.be V-ICT-OR Vlaamse ICT organisatie Ons overkomt dit niet.of toch? Inschatting Risico Kans X Schade Zijn wij een

Nadere informatie

ENSIA guidance DigiD-assessments

ENSIA guidance DigiD-assessments ENSIA guidance DigiD-assessments Joep Janssen Werkgroep DigiD assessments v 31 oktober 2018 Agenda De testaanpak 2018 DigiD normenkader 2.0 Nieuwe bijlage DigiD Vooruitzichten 2019 2 DigiD assurance Richtlijn

Nadere informatie

Systeemconfiguratie Policy VICnet/SPITS

Systeemconfiguratie Policy VICnet/SPITS Ministerie van Verkeer en Waterstaat opq Rijkswaterstaat Systeemconfiguratie Policy VICnet/SPITS 15 Februari 2005 Eindverantwoordelijkheid Opgesteld Naam Datum Paraaf Security Manager SPITS E.A. van Buuren

Nadere informatie

INFORMATIEBEVEILIGING

INFORMATIEBEVEILIGING juli 2009 nummer 5 Vertrouwelijke informatie in het buitenland AutoNessus: makkelijk herhaald scannen Black Hat Europe European Identity Conference 2009 Anonimiteit versus verantwoording INFORMATIEBEVEILIGING

Nadere informatie

Shenandoa a Forensic Challenge DIGITAL INVESTIGATION B.V.

Shenandoa a Forensic Challenge DIGITAL INVESTIGATION B.V. Shenandoa a Forensic Challenge DIGITAL INVESTIGATION B.V. Past Present Future Black Hat Sessions 2012 AGENDA Past Present Future Black Hat Sessions 2012 Wie is DI? Shenandoa case Uitdagingen Eerste Bevindingen

Nadere informatie

THIRD PARTY MEDEDELING 2017 LEVERANCIER: LIAAN CONSULT B.V. APPLICATIE: Third Party Mededeling 2017 E-DIENSTVERLENING VERSIE 7.2

THIRD PARTY MEDEDELING 2017 LEVERANCIER: LIAAN CONSULT B.V. APPLICATIE: Third Party Mededeling 2017 E-DIENSTVERLENING VERSIE 7.2 THIRD PARTY MEDEDELING 2017 LEVERANCIER: LIAAN CONSULT B.V. APPLICATIE: E-DIENSTVERLENING VERSIE 7.2 KENMERK: 1709R.AH117 DATUM: 29 SEPTEMBER 2017 Third Party Mededeling 2017 Applicatie: CityPermit Release:

Nadere informatie

1. EXECUTIVE SUMMARY 1.1 SCOPE EN WERKWIJZE

1. EXECUTIVE SUMMARY 1.1 SCOPE EN WERKWIJZE Phishing Test ACME GEHEIMHOUDING Belangrijk: de in dit document opgenomen informatie is vertrouwelijk en dient als dusdanig behandeld te worden. Alle informatie is bijzonder gevoelig te noemen. Het is

Nadere informatie

Beveiligingsaspecten van webapplicatie ontwikkeling

Beveiligingsaspecten van webapplicatie ontwikkeling Beveiligingsaspecten van webapplicatie ontwikkeling 9-4-2009 Wouter van Kuipers Informatiekunde Radboud Universiteit Nijmegen w.vankuipers@student.ru.nl Inhoud Het onderzoek Literatuurstudie Interviews

Nadere informatie

ENSIA. Het audit perspectief. René IJpelaar Achmed Bouazza Werkgroep ENSIA. 4 juli 2017

ENSIA. Het audit perspectief. René IJpelaar Achmed Bouazza Werkgroep ENSIA. 4 juli 2017 ENSIA Het audit perspectief René IJpelaar Achmed Bouazza Werkgroep ENSIA 4 juli 2017 Agenda Even voorstellen Uitgangspunten ENSIA Auditproces ENSIA voor de IT auditor Aandachtspunten bij het auditproces

Nadere informatie

Databeveiliging en Hosting Asperion

Databeveiliging en Hosting Asperion Databeveiliging en Hosting Asperion www.asperion.nl info@asperion.nl Het Asperion Datacenter Uw gegevens veilig en professioneel bewaard Administraties bevatten vertrouwelijke informatie en daar moet vanzelfsprekend

Nadere informatie

Patch management. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)

Patch management. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Patch management Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Colofon Onderhavig operationeel product, behorende bij de Baseline Informatiebeveiliging Rijksdienst

Nadere informatie

Automate Security. Get proactive.

Automate Security. Get proactive. Automate Security. Get proactive. Een korte introductie Wie is: Patchman Wie is: Bart Mekkes Security oplossing voor (hosted) webapplicaties 2011 eerste prototype geboren bij Nederlandse webhost 2014 opgericht

Nadere informatie

Zonder deze tool blijft je netwerk onbeheersbaar

Zonder deze tool blijft je netwerk onbeheersbaar Zonder deze tool blijft je netwerk onbeheersbaar In 5 stappen naar HSNM hosted Inleiding HS Network Manager is een softwaretool en/of hardware product dat alle (draadloze) datastromen beheert en monitort

Nadere informatie

5W Security Improvement

5W Security Improvement 2 Bij veel bedrijven zien we dat IT-gerelateerde beveiligingsmaatregelen verbeterd kunnen worden. Kent u het verhaal van het huis dat door inbrekers voorbij werd gelopen? Het was het enige huis waar men

Nadere informatie

Joomla & Security. Ing. Gertjan Oude Lohuis Byte Internet 19 november 2007

Joomla & Security. Ing. Gertjan Oude Lohuis Byte Internet 19 november 2007 Joomla & Security Ing. Gertjan Oude Lohuis Byte Internet 19 november 2007 2 Over mij Gertjan Oude Lohuis Studie: informatica Platformontwikkelaar/beheerder bij Byte. Uit rol van beheerder, maar ook uit

Nadere informatie

ECTS fiche. Module info. Evaluatie. Gespreide evaluatie OPLEIDING. Handelswetenschappen en bedrijfskunde HBO Informatica

ECTS fiche. Module info. Evaluatie. Gespreide evaluatie OPLEIDING. Handelswetenschappen en bedrijfskunde HBO Informatica ECTS fiche Module info OPLEIDING STUDIEGEBIED AFDELING MODULE MODULENAAM Programmeren 5 MODULECODE B STUDIEPUNTEN 10 VRIJSTELLING MOGELIJK ja Handelswetenschappen en bedrijfskunde HBO Informatica Evaluatie

Nadere informatie

SOX Scoping van de relevante ICT

SOX Scoping van de relevante ICT Compact 2005/3 SOX Scoping van de relevante ICT In dit artikel wordt de werkwijze uiteengezet voor het vaststellen van de relevante ICT in het kader van SOX. Het is aan de ICT-auditor om vast te stellen

Nadere informatie

Keuzedeel mbo. Veilig programmeren. gekoppeld aan één of meerdere kwalificaties mbo. Code

Keuzedeel mbo. Veilig programmeren. gekoppeld aan één of meerdere kwalificaties mbo. Code Keuzedeel mbo Veilig programmeren gekoppeld aan één of meerdere kwalificaties mbo Code Penvoerder: Sectorkamer ICT en creatieve industrie Gevalideerd door: Sectorkamer ICT en creatieve industrie Op: 12-04-2016

Nadere informatie

Aanbevelingen en criteria penetratietest

Aanbevelingen en criteria penetratietest Aanbevelingen en criteria penetratietest Versie 1.0 Datum 21 februari 2012 Status Definitief Colofon Projectnaam DigiD Versienummer 1.0 Contactpersoon Servicecentrum Logius Organisatie Logius Postbus 96810

Nadere informatie

Forensisch IT Onderzoek Authenticatie

Forensisch IT Onderzoek Authenticatie Forensisch IT Onderzoek Authenticatie Forensisch IT onderzoek? Forensisch IT onderzoek! Forensisch IT Onderzoek Digitaal sporenonderzoek Het speuren naar digitale sporen van (digitale) delicten in computers,

Nadere informatie

Kennissessie Information Security

Kennissessie Information Security Kennissessie Information Security 3 oktober 2013 Bonnefantenmuseum De sleutel ligt onder de mat Wachtwoord: welkom1234 Focus op vertaling strategie in de organisatie Advies, programma, project en interim

Nadere informatie

Handleiding. Maart Versie 1.2. Handleiding NCDR Pacemaker & ICD Registratie Maart 2016, versie 1.2.

Handleiding. Maart Versie 1.2. Handleiding NCDR Pacemaker & ICD Registratie Maart 2016, versie 1.2. Handleiding Maart 2016 Versie 1.2. 1 Inhoudsopgave Inleiding... 3 1. Internet Browsers... 4 2. Inloggen... 4 2.1. Inlog in applicatie en Zorg TTP... 4 2.2. Token... 5 3. Home... 6 4. Patiënt... 7 4.1.

Nadere informatie

Black Hat Sessions X Past Present Future. Inhoud. 2004 BHS III Live Hacking - Looking at both sides of the fence

Black Hat Sessions X Past Present Future. Inhoud. 2004 BHS III Live Hacking - Looking at both sides of the fence Black Hat Sessions X Past Present Future Madison Gurkha BV 4 april 2012 Stefan Castille, MSc., GCIH, SCSA Frans Kollée, CISSP, GCIA, GSNA Inhoud Een terugblik naar 2004 BHS III De situatie vandaag de dag

Nadere informatie

Checklist beveiliging webapplicaties

Checklist beveiliging webapplicaties Versie 1.02-5 oktober 2011 Factsheet FS 2011-08 Checklist beveiliging webapplicaties De beveiliging van webapplicaties staat de laatste maanden sterk in de belangstelling. Diverse incidenten op dit gebied

Nadere informatie

Gemeente Rotterdam Gemeenteraad d.t.k.v. de Griffie Coolsingel AD ROTTERDAM. Geacht raadslid,

Gemeente Rotterdam Gemeenteraad d.t.k.v. de Griffie Coolsingel AD ROTTERDAM. Geacht raadslid, Meent 94 Postbus 70012 info@rekenkamer.rotterdam.nl t 010 267 22 42 3000 KP Rotterdam www.rekenkamer.rotterdam.nl Gemeente Rotterdam Gemeenteraad d.t.k.v. de Griffie Coolsingel 40 3011 AD ROTTERDAM ons

Nadere informatie

Who are we? Madison Gurkha Protectors of your data and systems! Largest independant security testing and advisory company in NL

Who are we? Madison Gurkha Protectors of your data and systems! Largest independant security testing and advisory company in NL Privacy in de zorg Who are we? Madison Gurkha Protectors of your data and systems! Largest independant security testing and advisory company in NL Audit & Advisory Security Assessments Training and Awareness

Nadere informatie

FAQ - Veelgestelde Vragen. Over het incident

FAQ - Veelgestelde Vragen. Over het incident FAQ - Veelgestelde Vragen Over het incident 1. Ik heb gehoord dat een onbevoegde partij toegang heeft gehad tot de de Explor@ Park database - kunnen jullie bevestigen of dit waar is? We kunnen bevestigen

Nadere informatie

Welke van onderstaande factoren bepaalt mede de prioriteit van een incident?

Welke van onderstaande factoren bepaalt mede de prioriteit van een incident? VRAAG 1 Bij welk van onderstaande alternatieven vind je een beschrijving van een afdeling in plaats van een proces? A Change Management B Incident Management D Service Desk VRAAG 2 Welke van onderstaande

Nadere informatie

Handleiding. Mei 2015. Versie 1.1. Handleiding NCDR Pacemaker & ICD Registratie - Mei 2015, versie 1.1.

Handleiding. Mei 2015. Versie 1.1. Handleiding NCDR Pacemaker & ICD Registratie - Mei 2015, versie 1.1. Handleiding Mei 2015 Versie 1.1. 1 Inhoudsopgave Inleiding... 3 1. Internet Browsers... 4 2. Inloggen... 4 2.1. Inlog in applicatie en Zorg TTP... 4 2.2. Token... 5 3. Home... 6 4. Patiënt... 7 4.1. Patient

Nadere informatie

Checklist informatieveiligheid. 12 januari versie 1.1

Checklist informatieveiligheid. 12 januari versie 1.1 Checklist informatieveiligheid 12 januari 2017 - versie 1.1 ICT-Beveiligingsrichtlijnen voor webapplicaties Beschrijving van de beveiligingsrichtlijn Is informatiebeveiliging als een proces ingericht in

Nadere informatie