Security. Awareness.

Transcriptie

1 Security. Awareness.

2 Security Awareness Van verrassing naar bevestiging Rory Breuk Marinus Kuivenhoven Martin Visser #PaSS UWV SSD Security Awareness 2

3 Marinus Kuivenhoven Verkenner van technologie met een Hacker Mindset IT specialist sinds 2003 Security specialist sinds 2006 Auteur van: Staying ahead in the Cybersecurity game. (mede)oprichter PaSS binnen Sogeti Professioneel Ethical Hacker Ontwikkelaar DDOS test Ontwikkelaar SSEC2012/2013/2014 Techlead binnen Sogeti Security Inspirator, trainer en presentator over alles wat Security is. Spreker op Engineeringworld, Infosecurity beurs, ALT-S, Landelijk Architectuurcongres, OWASP meetings, Landelijk Bestuurskunde congres Gastspreker op HBO en Universiteiten (+10x per jaar), HitB lightningtalks SDLc-, SSD-, SDL-Guru Oracle DBA, Webdeveloper, Developer Java, Coldfusion, PhP, SQL UWV SSD Security Awareness 3

4 Rory Breuk New School Ethical Hacker Afgestudeerd op Honeypots en DMA hack via firewire, op HitB showcase. Teamleider Red Ace CTF team. Winnaar Hackathon Antifraude BZK. Ontwikkelaar DDOS test (alle scripting gericht op uitvoeren 30 verschillende aanvalsscenario's). Security Tester in Sogeti SOC. Networking, Architectuur, TCL-expert (exotische scriptingtaal), web development talen: python, JavaScript, PHP. +20 trainingen gegeven in security UWV SSD Security Awareness 4

5 Martin Visser Security Architect Bijna 10 jaar Sogetist. Offensive Security Professional in 2010 SSD-, SDL-, SDLc-Guru (mede)oprichter PaSS PKI, Identitymanagement, DDOS, Pentesting, Consultancy Inspirator, Trainer en Presentator in security: +100 trainingen gegeven.net Software Engineer Microsoft Systems specialist o.a. Sharepoint, AD, SQL e.d. UWV SSD Security Awareness 5

6 Wat gaan we doen? Interactieve sessie: U vraagt wij draaien. Wij zenden: Informatiebeveiliging Hacker Mindset Waarom zijn veilige applicaties NU zo belangrijk? Waar komen bedreigingen vandaan? OWASP & demo s Social Engineering Software Development (SDLc, SDL) Proactive Security Strategy (PaSS) SSD bij het UWV UWV SSD Security Awareness 6

7 Wat is informatiebeveiliging? Applicaties hebben betrekking op informatie! 3 pijlers van informatiebeveiliging Beschikbaarheid Integriteit Vertrouwelijkheid UWV SSD Security Awareness 7

8 - Wat is een veilige applicatie? Wanneer is een informatiesysteem veilig? Een informatiesysteem is veilig als het te allen tijde doet wat er van verwacht wordt Wens Realisatie veilig onveilig onveilig UWV SSD Security Awareness 8

9 Out of the box denken - Interactief 9

10 Wat is een veilig informatiesysteem? Bugs are simple mistakes in code leading to problems like buffer overflows; flaws are mistakes in design. It turns out that a lot of software is flawed. In fact, if you step back and look at a multitude of security problems over time, you'll find that about 50% of them are due to bugs and 50% due to flaws. Functionele specificatie veilig veilig Technische implementatie flaw bug UWV SSD Security Awareness 10

11 Informatiebeveiliging waarom nu? De omgeving waarin een applicatie draaide, was gesloten Hierdoor werd de applicatie open ontworpen en geïmplementeerd UWV SSD Security Awareness 11

12 Informatiebeveiliging waarom nu? De omgeving waarin een applicatie draaide, breidt uit Er ontstaat connectiviteit door middel van netwerken UWV SSD Security Awareness 12

13 Informatiebeveiliging waarom nu? De omgeving waarin een applicatie nu draait, is globaal: Internet UWV SSD Security Awareness 13

14 HTTP, enig idee wat het is? 1. Client request naar de Server 2. Server creert de paging Statische content Dynamische content (DB) 3. Server response naar de client 4. De pagina wordt door de browser geinterpreteerd en getoond UWV SSD Security Awareness 14

15 Cookiewetgeving en Privacy Weet je wat je deelt? Functionele cookies Analytische cookies Wat deel je wat je niet weet? Fingerprinting UWV SSD Security Awareness 15

16 Informatiebeveiliging waarom nu? Gevoel van veiligheid ontstaat door lapmiddelen Maar: Zeer lage leercurve Aanvallen van een webgebaseerde applicatie is niet moeilijk UWV SSD Security Awareness 16

17 Waar komen bedreigingen vandaan? Bewust Cracker Hacker Scriptkiddie Gebruiker Systeem Omgeving Onbewust Risico=( Bedreiging * Kwetsbaarheid )*Waarde Tegenmaatregelen UWV SSD Security Awareness 17

18 Take 5 UWV SSD Security Awareness 18

19 Waar komen bedreigingen vandaan? Bewust Cracker Hacker Scriptkiddie Gebruiker Systeem Omgeving Onbewust Risico=( Bedreiging * Kwetsbaarheid )*Waarde Tegenmaatregelen UWV SSD Security Awareness 19

20 OWASP - OWASP TOP TEN 1. Injection 2. Cross Site Scripting (XSS) 3. Broken Authentication and Session Management 4. Insecure Direct Object References 5. Cross Site Request Forgery 6. Security Misconfiguration 7. Insecure Cryptographic Storage 8. Failure to Restrict URL access 9. Insufficient Transport Layer Protection 10. Unvalidated Redirects and Forwards UWV SSD Security Awareness 20

21 OWASP TOP TEN 1 Injection Flaws SQL injection Scherm: USERNAME:[PERSOONA] PASSWORD:[GEHEIM12] Achtergrond: Mag er toegang worden gegeven aan de gebruiker wanneer: de username is 'PERSOONA' en het wachtwoord is 'GEHEIM12'; UWV SSD Security Awareness 21

22 OWASP TOP TEN 1 Injection Flaws SQL injection Scherm: USERNAME:[PERSOONA] PASSWORD:[Onbekend of 1=1] Achtergrond: Mag er toegang worden gegeven aan de gebruiker wanneer: de username is 'PERSOONA' en het wachtwoord is Onbekend' of 1=1; UWV SSD Security Awareness 22

23 XSS op organisatie.cursisten.nl UWV SSD Security Awareness 23

24 Of database injecten om XSS te krijgen (Voorbeelden van vulnerabilities op de website(s) van het bedrijf waar de cursisten werken.) UWV SSD Security Awareness 24

25 Information Disclosure (Voorbeelden van vulnerabilities op de website(s) van het bedrijf waar de cursisten werken.) UWV SSD Security Awareness 25

26 Take 5 UWV SSD Security Awareness 26

27 J.C. van Marken Sociale Engineers UWV SSD Security Awareness 27

28 Wat is Social Engineering? Gevoel Realiteit veilig Onveilig Onveilig UWV SSD Security Awareness 28

29 Victor Lustig Gebruikt informatie Voordoen als iemand Too good to be true Meerdere malen Gebruikt informatie Voordoen als iemand Too good to be true Meerdere malen UWV SSD Security Awareness 29

30 Anton Lee UWV SSD Security Awareness 30

31 Frank Abignale Gebruikt informatie Voordoen als iemand Too good to be true Meerdere malen UWV SSD Security Awareness 31

32 Recentelijk UWV SSD Security Awareness 32

33 Spanish Prisoner UWV SSD Security Awareness 33

34 Linken van nutteloze informatie UWV SSD Security Awareness 34

35 Waarom nu? UWV SSD Security Awareness 35

36 Resultaten Social Engineering Challenge UWV SSD Security Awareness 36

37 Social Engineering - hoe te voorkomen? Wanneer vertrouw je iemand? Pakketje Telefoon In persoon Met welke informatie? UWV SSD Security Awareness 37

38 Take 5 UWV SSD Security Awareness 38

39 Software Development lifecycle Penetratietest Requiremnts Usecases Architectuur Ontwerpen Testplannen Code Test resultaten Applicatie Terug koppeling Doorlooptijd UWV SSD Security Awareness 39

40 Markt Acteren op gevoel Verkoop op basis van angst Security kost resources Security beperkt Reactief Adhoc Alleen specialisten UWV SSD Security Awareness 40

41 Development lifecycle Ondersteuning Requiremnts Usecases Architectuur Ontwerpen Testplannen Code Test resultaten Applicatie Terug koppeling Security Requirem ents Abuse cases Threat model Flaw Analyse Security test plannen Static Code Review Vrijgave advies Security Assess ment Continuity Plan Ervaring UWV SSD Security Awareness 41

42 Development lifecycle Ondersteuning Requiremnts Usecases Architectuur Ontwerpen Testplannen Code Test resultaten Applicatie Terug koppeling Security Requirem ents Abuse cases Threat model Flaw Analyse Security test plannen Static Code Review Vrijgave advies Security Assess ment Continuity Plan Ervaring UWV SSD Security Awareness 42

43 Development lifecycle We took a look at the set of the population using prescriptive application security methodologies. It turns out that those practicing SDL specifically reported visibly better ROI results than the overall population. Unlike point technologies, SDL advocates a coordinated approach to application security throughout the life cycle, and its emphasis is on a set of processes that supports such coordination. We can potentially extrapolate that a coordinated approach to application security is what drives positive ROI. Forrester Requiremnts Usecases Architectuur Ontwerpen Testplannen Code test resultaten Applicatie Beheer en onderhoud UWV SSD Security Awareness 43

44 Software Development lifecycle Applicaties & Services Requiremnts Usecases Architectuur Ontwerpen Testplannen Code test resultaten Applicatie Beheer en onderhoud WebApp App Backend UWV SSD Security Awareness 44

45 Infrastructure Development lifecycle Hardware & Netwerken Requiremnts Usecases Architectuur Ontwerpen Testplannen Code test resultaten Applicatie Beheer en onderhoud Upgrade IPv6 VoIP UWV SSD Security Awareness 45

46 Organization Development lifecycle Hardware & Netwerken Requiremnts Usecases Architectuur Ontwerpen Testplannen Code test resultaten Applicatie Beheer en onderhoud Vestiging Vacature Outsourcing UWV SSD Security Awareness 46

47 Development lifecycle Spinoff s Organisatie Requirements Usecases Architectuur Ontwerpen Testplannen Implementatie Testresultaten Infrastructuur Beheer en onderhoud Software Requirements Usecases Architectuur Ontwerpen Testplannen Implementatie Testresultaten Infrastructuur Beheer en onderhoud Infrastructuur Requirements Usecases Architectuur Ontwerpen Testplannen Implementatie Testresultaten Infrastructuur Beheer en onderhoud Cloud BYOD Fusie UWV SSD Security Awareness 47

48 Enterprise Lifecycle Strategisch Moeten Behoren Willen Tactisch Beschrijven Faciliteren Reageren Controleren Operationeel Organisatie Software Infrastructuur UWV SSD Security Awareness 48

49 Proactive Security Strategy Acteren op gevoel feiten Verkoop op basis van angst voordelen Security kost resources levert op Security beperkt enabled Reactief Proactief Adhoc Proces Alleen specialisten Iedereen zijn taak UWV SSD Security Awareness 49

50 Software Development (Bedrijf) Contactpersonen (binnen bedrijf cursisten) Kees Klaassen Projectmanager SSD Jaap Jongbloed Test coördinator SSD Siemen Siemens SSD coördinator leverancier management Aart Staartjes Enterprise architect Piet Paulusma Hoofd Operating Centre UWV SSD Security Awareness 50

51 Software Development (bedrijf) Status implementatie (binnen bedrijf cursisten)) SSD beveiligingseisen contractueel geborgd vanaf Divisie A heeft testlines ingericht Awareness Business Units en IM s Divisie B eerste aanvraag voor impact voor SSD compliancy op hun applicatieportefeuille Voorbereiding voor invoering risico-analyse is gestart SSD normen met SIVA schrijfwijze als bijlage aan leveranciers verstrekt SSD methode vastgesteld in commissie IB Dashboard wordt gevuld en onderhouden door Divisie A UWV SSD Security Awareness 51

52 Security. van Veilig Voelen naar Veilig Zijn Aware.