Dienstenportfolio ITsec

Transcriptie

1 Dienstenportfolio ITsec

2 Het bedrijf ITsec ITsec is onderdeel van Insite Groep. Insite Groep wil de best mogelijke IT security dienstverlening leveren, van board tot byte. We doen dit door de menselijke, organisatorische en technische kant van informatiebeveiliging met elkaar te verbinden. Zo voegen we op een succesvolle manier waarde toe aan organisaties. Binnen Insite Groep geloven in een praktische en nuchtere aanpak: geen theoretische beschouwingen en verhalen, maar concrete adviezen. Een klant van Insite Groep heeft altijd direct contact met de persoon waarmee hij zaken doet. What you see, is what you get. Geschiedenis van ITsec ITsec is opgericht in 1995 als een onafhankelijke leverancier van IT-beveiliging gerelateerde expertise en diensten. ITsec was een van de eerste partijen in Nederland die zich specialiseerde in security assessments en penetratietesten. De oprichters van ITsec, Christiaan Roselaar en Jan van Ek waren ervan overtuigd dat IT-beveiliging in de nabije toekomst een belangrijke rol zou gaan spelen. Internet deed zijn intrede en de verwachting was dat vooral financiële instellingen dit, voor hen toen nog onbekende medium, zouden gaan gebruiken als distributiekanaal voor hun diensten. Het begin De verwachtingen werden waarheid. Vrij kort na de oprichting raakte ITsec betrokken bij het interbancaire ipay -initiatief. ipay was het eerste Internet-gebaseerde betaalinitiatief van Nederland. ITsec werd door Interpay, tegenwoordig Equens, gevraagd om de beveiliging van ipay te toetsen. De uitkomsten van het onderzoek leverden, tegen de verwachting van Equens in, een aantal interessante bevindingen op. De reputatie van ITsec binnen de financiële sector was gevestigd. ITsec heeft de reputatie van een bedrijf waar mensen werken met de vaardigheden van een hacker, de betrouwbaarheid van een notaris en de nauwkeurigheid van een accountant. Kort na het ipay-initiatief kwam Rabobank met Internet Bankieren op de markt. ITsec werd gevraagd om vanuit het perspectief van een hacker de effectiviteit van de getroffen beveiligingsmaatregelen te testen. Na dit onderzoek werd ITsec een steeds bekendere partij in de Nederlandse financiële sector. ITsec werkte tot medio 2008 voornamelijk voor banken. Binnen dit marktsegment bouwde ITsec de reputatie op van een bedrijf waar mensen werken met de vaardigheden van een hacker, de betrouwbaarheid van een notaris en de nauwkeurigheid van een accountant. Gekscherend zeggen we binnen ITsec weleens dat er in Nederland geen applicatie voor internetbankieren is die niet door ons is getest.

3 Groei De omzet en afhankelijkheid van ITsec in de financiële sector is onder invloed van de financiële crisis en andere ontwikkelingen verminderd. Door regelgeving zoals Basel hebben, vooral grootbanken, eigen teams opgezet voor pentesting en red teaming. We zijn er trots op dat in de financiële sector een groot aantal mensen werkt die oorspronkelijk bij ITsec werkten of door ITsec zijn opgeleid. Anno nu werkt ITsec voor verschillende markten waar IT-beveiliging mede als gevolg van de veranderende bedrijfsmodellen, nieuwe dreigingen en/of wet- en regelgeving serieus op de agenda staat. Denk aan zorginstellingen, lokale overheid en ITdienstverleners. Overname In 2016 is ITsec overgenomen door Insite Groep B.V. De twee oprichters en eigenaren, Christiaan en Jan, wilden na ruim 20 jaar, een stapje terug doen. Belangrijk hierbij was dat de identiteit, kwaliteit en continuïteit van ITsec bleven bestaan. Na vele, lange en intensieve gesprekken met de huidige eigenaar en directeur Erik Rutkens, ontstond een mooie samenwerking. Jan en Christiaan zijn, in meer of mindere mate, nog betrokken bij ITsec. Jan als ambassadeur en eerste stuurman tijdens de zeiluitjes die we traditioneel voor klanten organiseren. Christiaan als chef leuke dingen. Hij werkt wat minder, onderhoud relaties en selecteert de hackers van morgen. Onze visie op IT-beveiliging De veiligheid van een IT-infrastructuur of een applicatie wordt getest in de vorm van een security assessment en/of een penetratietest. In de praktijk vinden deze testen vaak pas plaats na oplevering. De beveiliging van de IT-infrastructuur of applicatie ligt dan niet verankerd in het ontwerp. Het nadeel hiervan is dat zwakheden of fouten achteraf geconstateerd worden en moeilijk of niet zijn te herstellen. De testen zijn bovendien slechts momentopnames. Wat vandaag getest is, kan morgen al achterhaald zijn. Secure development lifecycle In de ogen van ITsec is het van belang om in iedere fase van het ontwikkelproces van de IT-infrastructuur en/of (web)applicatie, of dit nu devops, agile of een meer traditionele methode betreft, risico-gedreven aandacht te besteden aan beveiliging. Op deze manier wordt iteratief een inherent veilige IT-infrastructuur en/of (web)applicatie ontwikkeld. Ook is het mogelijk om vroegtijdig aanpassingen door te voeren waardoor kosten beter worden beheerst. Dit geeft het management en de (externe) auditor de mogelijkheid om op elk gewenst moment vast te stellen of de IT-infrastructuur en/of (web)applicatie goed functioneert en veilig is. In de praktijk betekent dit dat één of meerdere ethical hackers, security specialisten, of security architecten zijn betrokken bij iedere van fase van het ontwikkelproces. Van het opstellen van use-cases, bepalen van risico s, vaststellen van beveiligingseisen tot het uitvoeren van testen. Doelstelling is om de testen zoveel mogelijk geautomatiseerd (regressie) uit te voeren zodat deze in een modern ontwikkelproces kunnen worden geïntegreerd. De voordelen hiervan zijn evident: een herhaalbaar proces en inherent veilige infrastructuren en software. Een holistische benadering Het verwerken en uitwisselen van informatie is voor veel organisaties een kernactiviteit geworden. Informatie is overal en steeds meer bedrijfsprocessen worden ondersteund door IT. Het is belangrijk dat informatie beschikbaar is op het moment dat deze nodig is, juist en volledig is en alleen toegankelijk voor degenen voor wie deze is bedoeld. Dat kan alleen als de techniek goed werkt, het beleid klopt en als de mensen er op de juiste manier mee omgaan. ITsec is onderdeel van Insite Groep. Binnen Insite Groep zien we het bewustzijn van de mens als het startpunt. Informatiebeveiliging is in onze ogen pas echt veilig als de mensen op de juiste manier omgaan met de

4 technische en organisatorische maatregelen. Het gedrag van mensen bepaalt uiteindelijk hoe veilig informatie is. Daarom zoeken we altijd naar de verbinding tussen mens, organisatie en techniek. Informatiebeveiliging is geen eenmalige activiteit, het is een continu proces. De omgeving en de risico s veranderen doorlopend. Daarom is het belangrijk dat u blijft meebewegen en verbeteren en niet eenmalig maatregelen treft. Onze aanpak geeft doorlopend inzicht in het beveiligingsniveau en de zwakke punten. Zo houdt u de vinger aan de pols. We vertellen wát u kunt verbeteren, waarom en hoe. Uiteraard helpen we u graag bij het doorvoeren van die verbeteringen. Zo werken we aan informatiebeveiliging, vandaag en morgen. Innovatie; een absolute noodzaak De wereld om ons heen verandert in rap tempo. Ruim twintig jaar geleden betrad ITsec als een van de eerste onafhankelijke penetration testing organisaties de IT-security markt. Gek genoeg is er, in ons vakgebied, niet zo veel veranderd. Innovatie is in onze ogen een absolute noodzaak om de dreigingen van vandaag en morgen het hoofd te bieden. Ontwikkelingen ITsec ziet dat organisaties, soms op de harde manier, snel volwassen worden als het gaat om IT-beveiliging. Er vindt een verschuiving plaats van oppervlakkige testen voor compliance doeleinden naar een beoordeling van het inherente beveiligingsniveau van een netwerk of applicatie. De volgende stap is om beveiliging structureel in te bedden in de levenscyclus. ITsec ziet dat klanten steeds vaker serieuzer testen. Gericht op weerbaarheid en herstel. Hierbij smelten penetration testing en social engineering samen en worden echte bedreigingen getest (red teaming). Een terrein waar ITsec, in samenwerking met zusterbedrijf Insite Security, zeer goed voor is uitgerust. Een belangrijk element is het gebruik open source intelligence (OSINT). Belang van innovatie De IT-security markt is nog steeds erg gefragmenteerd en moet naar onze mening sneller volwassen worden dan haar klanten. Om dit te doen is innovatie een kritische succes factor. Onze strategie is om onze kennis met kunstmatige intelligentie en cognitieve technologie schaalbaar te maken. Zo werken we onder andere aan een intelligent vulnerability management systeem. Het doel is om een systeem te ontwikkelen dat autonoom is. Zero-day lab Binnen ITsec werken afstudeerders en onze eigen medewerkers dagelijks in ons Zeroday-lab. Zij doen onderzoek naar zero-days. Een zero-day is een lek in software die nog niet bekend is bij de ontwikkelaar ervan. De kennis die hier wordt opgedaan, gebruiken we om de kwaliteit van onze dienstverlening continu te verbeteren. Binnen het Zero-day lab hebben we een aantal thema s gedefinieerd: connected cars, energy grid en aviation. Zerocopter Eén van de innovaties van Insite Groep is Zerocopter ( een platform voor het continu testen van webapplicaties. Via het platform van Zerocopter krijgt u toegang tot de beste security experts wereldwijd. De researchers van Zerocopter gaan op zoek naar zero-days, waardoor organisaties het niveau van beveiliging van hun webapplicaties nog verder kunnen verhogen. Zerocopter stelt alleen de relevante bevindingen van researchers op een begrijpelijke wijze ter beschikking. Als organisatie betaalt u alleen wanneer een feitelijke nieuwe kwetsbaarheid is gevonden (no-cure-no-pay).

5 Diensten ITsec heeft een sterke reputatie opgebouwd op het gebied van security assessments en penetratietesten. In de meeste gevallen is het doel van de werkzaamheden van ITsec om te bepalen of een internetgebaseerde dienst of applicatie voldoende cybercrime- dan wel hack-proof is. Wij voeren deze opdrachten vaak uit in opdracht van bedrijven uit het bank- en verzekeringswezen, overheidsinstellingen en een aantal grote telecom- en zakelijke dienstverleners. Security Assessments Onze security assessments komen in verschillende smaken. Om inzicht te krijgen in het beveiligingsniveau van de systeemsoftware, besturingssystemen en/of firewall-regels voert ITsec een zogenaamde infrastructuur assessment uit. ITsec beoordeelt het systeem niet alleen op bekende kwetsbaarheden, ook worden concrete adviezen gegeven over bijvoorbeeld de netwerksegmentatie. De meeste security assessments die ITsec uitvoert zijn gericht op de beveiliging van zakelijke toepassingen. Denk aan internetbankieren, het bestellen van tickets of het afsluiten van verzekeringen via internet. ITsec test de applicatie grondig op beveiligingsfouten. Deels geautomatiseerd, maar vooral met handwerk. Onze medewerkers halen alles uit de kast tijdens de hands-on tests. Ze gaan, als een echte Sherlock, door de broncode op zoek naar gebreken tijdens een zogenaamde code-review. Tijdens een security assessment probeert ITsec als hacker toegang te krijgen tot uw systemen. Onze ethical hackers testen uw beveiliging op bekende en onbekende dreigingen. Een security assessment geeft u inzicht in het actuele beveiligingsniveau van uw IT-infrastructuur en/of (web)applicatie. Een security assessment laat ook zien hoeveel moeite het kost om de beveiliging te doorbreken en wat de gevolgen kunnen zijn (penetratietest). Een security assessment bestaat uit één of meer van de volgende onderdelen: Infrastructure-assessment o Reconnaissance (open source intelligence) o Remote host-assessment o Local host-assesment Application-assessment o Hands-on testing o Code review De voordelen van een assessment door ITsec: Diepgaand en compleet overzicht van het beveiligingsniveau Inzicht in de effectiviteit van het beveiligingsbeleid Heldere en begrijpelijke rapportages Security Monitor Computernetwerken staan tegenwoordig niet meer op zichzelf. Alles is met elkaar verbonden, via internet of interne netwerken. Hoe complexer de systemen, hoe lastiger de beveiliging ervan. Hoe voorkomt u dat belangrijke informatie op straat komt te liggen? De Security Monitor van ITsec scant uw IT-infrastructuur doorlopend op bekende kwetsbaarheden. Zo heeft u structureel zicht op het beveiligingsniveau van uw ITinfrastructuur en kunt u tijdig actie ondernemen als dat nodig is. De Security Monitor (voorheen AVMS) is in samenwerking met (en financiering door) vooraanstaande financiële instellingen ontwikkeld. Met de Security Monitor houden we u op een kosteneffectieve wijze voortdurend op de hoogte van de beveiligingsstatus van uw IT-infrastructuur. Of, anders geformuleerd: of er in

6 componenten binnen de IT-infrastructuur kwetsbaarheden aanwezig zijn waar een cybercrimineel zijn voordeel mee zou kunnen doen. De Security Monitor werkt in drie stappen: bewaken, signaleren en beheersen. De Security Monitor is inzetbaar voor systemen en websites die vanaf internet bereikbaar zijn. Daarnaast is het ook goed mogelijk uw interne systemen te bewaken. Hiervoor installeren we een lokale sensor in uw netwerk en configureren deze op maat. De beveiligingsscans werken met de op dat moment bekende kwetsbaarheden en aanvalstechnieken. Bewaken, signaleren en beheersen De Security Monitor wordt dagelijks bijgewerkt met de meest recente informatie over kwetsbaarheden. Zodra er kwetsbaarheden met een hoog risico worden gesignaleerd, nemen wij onmiddellijk contact met u op. Onze experts adviseren hoe u de kwetsbaarheden en achterliggende oorzaken kunt oplossen. Elk kwartaal krijgt u een rapportage, waarin we in begrijpelijke taal uitleggen wat de staat van het beveiligingsniveau is. Met de Security Monitor heeft u dus structureel zicht op het beveiligingsniveau van uw IT-infrastructuur. De Security Monitor wordt in abonnementsvorm aangeboden. U betaalt een vast maandelijks bedrag, afhankelijk van het aantal te scannen IP-adressen en de te leveren ondersteuning. U kunt kiezen voor een basis, een professional of een enterprise abonnement. De voordelen van de Security Monitor Op maat gemaakt voor uw IT-infrastructuur Inclusief managementconsole en scan-sensors Bepaal samen met ons waar uw prioriteit ligt Incident response Het aloude adagium 100% beveiliging bestaat niet wordt dagelijks bevestigd. Het is niet de vraag óf u te maken krijgt met een security incident, de vraag is wanneer en wanneer u het ontdekt. ITsec biedt eerste hulp bij ongelukken. Eerste hulp bij een beveiligingslek, hackaanval, phishing en/of ransomware In Nederland is in 2016, als onderdeel van de Wet bescherming persoonsgegevens, de meldplicht datalekken ingevoerd. Organisaties die een ernstig datalek hebben, moeten dit melden bij de Autoriteit Persoonsgegevens en soms ook aan de mensen van wie de gelekte gegevens zijn. In 2016 zijn er datalekken gemeld. In het geval van een datalek en andere security incidenten is het van belang om snel inzicht te krijgen in de de oorzaak, de mogelijke gevolgen en korte- en lange termijn maatregelen om eventuele schade zoveel mogelijk te beperken. De Incident Response dienst van ITsec biedt uitkomst. ITsec ondersteunt organisatie bij de afhandeling van security incidenten. Organisatie kunnen security incidenten melden bij het ITsec. ITsec geeft technisch en organisatorisch advies over de afhandeling van het security incident. ITsec voert aanvullende technische analyses uit van bijvoorbeeld netwerkverkeer of kwaadaardige software. Incident response is afhankelijk van de situatie, na een intake stelt ITsec samen met u een actieplan op. De Incident Response dienst kan ad hoc en in abonnementsvorm worden afgenomen. U kunt terecht bij ITsec bij een: Beveiligingslek (zoals een datalek) Hackaanval Phishing- en social engineering aanval Malware besmetting (waaronder ransomware) Denial-of-Service aanval Onbekend of onduidelijk security incident

7 Wanneer u tijdens kantooruren (8:00 18:00 uur) contact opneemt met ITsec wordt binnen 24-uur een actieplan opgesteld. Security incidenten kunnen worden gemeld op telefoonnummer , of via e- mail (soc@itsec.nl). Na afloop van ieder security incident stelt ITsec een rapportage op met hierin een beschrijving van het security incident, de oorzaak en het gevolg, een chronologisch logboek van de werkzaamheden (incl. eventueel bewijsmateriaal), het resultaat en aanbevelingen. De voordelen van de Incident Response dienst Snel inzicht in oorzaak en gevolg van een security incident Toegang tot ruim 20 jaar kennis en ervaring met cyber security Praktische adviezen voor continue verbetering Training De aard van de dreigingen verandert en het aantal dreigingen neemt toe. De oorzaak hiervan kan worden gezocht in de voortschrijdende technologische ontwikkelingen en de onbegrensde omgeving waarin de bedreigingen zich kunnen manifesteren. Het continu trainen van uw medewerkers is een absolute noodzaak. Vergroot het bewustzijn, de kennis en vaardigheden van uw medewerkers Een mooi voorbeeld van technologische ontwikkelingen is het internet der dingen. Onze toekomst is meer en meer verbonden met internet. Denk aan machines, sieraden, auto s, de thermostaat en de koelkast. Dit biedt oneindig veel mogelijkheden. De verwachtingen zijn dat het internet der dingen in de (nabije) toekomst productieprocessen zal verbeteren en dat het oplossingen biedt voor problemen rondom energie en milieu, criminaliteit, gezondheidszorg en onderwijs. Er is ook een keerzijde. Er is altijd wel iemand die probeert binnen te komen en misbruik wil maken van de kansen die worden geboden. In hoeverre is uw medewerker zich bewust van de risico s van het internet, het internet der dingen en de toenemende cybercriminaliteit? Aan de andere kant, in hoeverre zijn uw medewerkers in staat veilige software of dingen te ontwikkelen, testen en beheren? ITsec heeft een aantal praktische workshops en trainingen ontwikkeld. Rode draad hierin is dat theorie en praktijk op een leuke en interactieve wijze met elkaar worden afgewisseld. ITsec heeft verschillende eigen labs en applicaties ontwikkeld die hierbij ondersteunen. Indien gewenst worden de trainingen volledig op maat gesneden. ITsec biedt de de volgende workshop en trainingen: Workshop hacken voor dummies (dagdeel) Workshop hands-on pentesting (dag) Training secure programming (twee dagen) Training secure development lifecycle (drie dagen) Workshop en trainingen worden op locatie bij ITsec, op een externe locatie, bij u op kantoor of virtueel verzorgd. Alle workshops en trainingen van ITsec zijn geaccrediteerd en kunnen met een examen worden afgerond. De voordelen van de trainingen van ITsec Toegespitst op uw situatie en behoefte Actueel en hands-on Meer dan 20 jaar kennis en ervaring

8 ITsec Security Services BV Haarlem Bezoekadres: Diakenhuisweg AP Haarlem Nederland Postadres: Postbus GC Haarlem Nederland Telefoon: +31(0) FAX: +31(0) Bankrelatie: NL26 RABO BTW nr.: NL B01 KvK Haarlem: Groningen Bezoekadres: Sylviuslaan NS Groningen Nederland