Cyber Security: door toeval of door design?

Transcriptie

1 Cyber Security: door toeval of door design? Software Improvement Group Radboud Universiteit Nijmegen 3 juli, 2013 T info@sig.eu

2 Cyber Security: door toeval of door design Het beoogde effect 2 I 19 Adviesdienst voor het vaststellen van het security niveau van software Veilige software producten worden herkenbaar Security expertise wordt doeltreffend gemobiliseerd Door brede inzet zal de digitale weerbaarheid van de Nederlandse maatschappij op korte termijn kosteneffectief worden verhoogd.

3 Cyber Security: door toeval of door design De oplossingsrichting 3 I 19 Adviesdienst voor het vaststellen van het security niveau van software Onder de motorkap Tijdens ontwerp, aanbesteding, ontwikkeling Niet pas bij ingebruikname of bij gebruikersacceptatietest ontwerp aanbesteding ontwikkeling acceptatie gebruik

4 Cyber Security: door toeval of door design Het belang 4 I 19 Aanpak bij de bron requirements architecture source code design Niet dweilen met de kraan open Inherent veiliger

5 Pitch (done) 5 I 19 Achtergrond Partijen Positionering ISO Uitvoering Haalbaarheid Fase Reflectie Ervaringen met SBIR Toekomstig onderzoek

6 Achtergrond Partijen 6 I 19 Software Improvement Group (SIG) Missie: Inzichtelijk maken van softwarekwaliteit vanuit onafhankelijke positie Track record: jaarlijkse assessment van 150+ software systemen en continue monitoring van 550+ software systemen Samenwerking met universiteiten, publicaties, colleges, afstudeerders en promovendi Management advies Software analyse lab ISO certified Radboud Universiteit Nijmegen Digital Security onderzoeksgroep (Bart Jacobs, Eric Poll) Expertise: security assessment, verificatie, secure software-engineering

7 ISO Traditional focus: Maintainability 7 I 19 Usability Reliability Compatibility Security Performance Efficiency Maintainability Functional Suitability Technical Quality ISO Portability

8 Software Analyse Lab Key numbers Monitoring: 550+ systems, concurrently 27 mln+ lines of code per week 50+ technologies 100+ events per week 30+ monitor alerts per week 8 I 19 Benchmark: 750+ systems 22,000 snapshots 160 mln+ lines of code 100+ technologies 3 bln+ lines of code analyzed

9 Software Product Certification Samenwerking met TÜV Informationstechnik 9 I 19 Kas BANK Tri-party collateral management internal development Rabobank Bank-lobby console CRM Ordina / Cognizant India ProRail On-board track visualization Sogeti KLM Transfer kiosk Accenture SIDN Domain registration Profict Agentschap BPR Exchange of citizen information internal development GlobalCollect Online payment QuadroVision Ordina Insurance internal development MetaPress (USA) Document management SpringerLink IT Mobile Vehicle tracking, fleet management internal development RIPE NCC Internet resource certification internal development Rijkswaterstaat Incident and disaster management Logica Havenbedrijf Rotterdam Harbour management internal development Rijkswaterstaat Dredging Technolution 2013

10 ISO Nieuwe focus: Security 10 I 19 Usability Reliability Compatibility Security Performance Efficiency Maintainability Functional Suitability Technical Quality ISO Portability

11 Positionering OpenSAMM BSIMM process NEN I 19 MS-SDL process models management systems ISO development operations Common Criteria modeling & measurement testing & monitoring intrusion detection ISO OWASP ASVS product penetration testing ethical hacking

12 Fase 1: Is het haalbaar? Proof-of-principle Security evaluatie model. Operationaliseert ISO Niet documentatie, maar broncode (in brede zin) is leidend. 12 I 19

13 Fase 1: Is het haalbaar? Pilots Vele bevindingen. Haalbaar en smaakt naar meer. 13 I 19 Properties Pilot 1 Pilot 2 System owner Government Telecommunications System type Web application Web and mobile applications Development stage Finalizing development Several years in production Nr. of technical findings Rating HHIII HHIII Size 10,000 LOC 230,000 LOC Resultaten Technisch en economisch haalbaar Investering nodig

14 Fase 2: Wegnemen van obstakels Knelpunten Afbakening: wat valt er binnen de evaluatie-scope? Automatisering: hoe wordt evaluatie ondersteunt met tooling? Objectiviteit: hoe wordt evaluatie onafhankelijke van de evaluator? Herhaalbaarheid: wat garandeert zelfde uitkomst bij herhaalde evaluatie? 14 I 19 Efficiency: hoe kan met minimale inspanning het veiligheidsniveau betrouwbaar worden vastgesteld? WP1: Evaluatie model en tooling WP2: Risico assessment methode WP3: Complete adviesdienst WP4: Wetenschappelijke validatie

15 Fase 3: de markt op Promotie Multi-level: het bestaat ik wil het met deze specifieke oplossing 15 I 19 Diensten Risk assessment, inspectie, scan Samenwerkingsverbanden Klanten Vakgroepsorganisaties (PvIB, CIP, Nederland ICT, ) Certificeringsinstanties (lab accreditatie en productcertificatie) Universiteiten (onderwijs én onderzoek)

16 16 I 19 Reflectie Ervaringen met SBIR Toekomstig onderzoek

17 Ervaringen met SBIR Tijdslijn Mei 2012: wetenschappelijke partner maakt ons attent op SBIR call Jun 2012: informatievergaring en intern overleg levert meerdere ideeën op Jul-Aug 2012: externe toetsing van idee #1 leidt tot overschakelen op idee #2 Aug-Sep 2012: uitwerking idee en indiening van voorstel m.b.v. adviseur Nov 2012: gunning fase 1 Dec 2012 Mei 2013: team aan de slag 17 I 19 Lessons learned SBIR is in vergelijking met andere instrumenten zeer toegankelijk, weinig bureaucratisch Uitvoering van haalbaarheidsstudie dwingt tot in vroeg stadium aandacht schenken aan alle aspecten (natuurlijke neiging is focus op vooral korte termijn en technische zaken) Klein consortium tijdens fase 1 is prettig voor focus en snelheid

18 Toekomstig onderzoek Cyber security 18 I 19 Enkele ideeën Vergelijkbare pragmatische aanpak voor process assessment (in het kwadrant van ISO 27001, ISO 27799, NEN 7510, ISO 27034). Vergelijkbare pragmatische aanpak voor veiligheid van industrial control systems (van software security naar system security). Security in de keten: op welke manier kunnen software eco-systemen (waar vele applicaties samenhangende functionaliteit realiseren) veiliger gemaakt worden? Van risicomodel naar verzekeringsmodel: Technische inspectie als basis voor berekening van premies en uitkeringen. Continue monitoring van security aspecten in grootschalige (agile) software ontwikkeling (vergt aanvullende, frequent herhaalbare metingen).

19 Toekomstig onderzoek ISO I 19 Usability Reliability Compatibility Security Energy Efficiency Performance Efficiency Maintainability Functional Suitability Technical Quality ISO Portability

20 Contact 20 I 19 Prof. dr. ir. Joost Visser Software Improvement Group j.visser@sig.eu