RESILIENCE. Hoe geeft mijn organisatie concreet invulling aan weerbaarheid? SECURITY CONGRES ir. Gerard Klop

Transcriptie

1 SECURITY CONGRES 2013 RESILIENCE Hoe geeft mijn organisatie concreet invulling aan weerbaarheid? ir. Gerard Klop Security Consultant bij Motiv ICT Security 9 oktober 2013

2 Messaging Beveiliging: AS / AV /CC Reverse Proxy Vulnerability Social Engineering Local Load Balancing Secure Site-to-Site Mobile Access Data Loss/Leakage Access VPN Endpoint Security Prevention Database Scan Config / Change IAM Cloud Broker Advanced Anti-Mal- Ware & Anti-Bot Cloud DDoS itigation Service obile App Security Security Analytics Policy Compliance / Forensics Ethical Hacking Web Application Firewall Network Traffic Scan App Cntrl / URLF IPS / AV / Anti-bot / DLP Database Firewall Web Security: URLF / App Cntrl / AV Element en Ketenmonitoring Cloud Web App Firewall Service Bandbreedte IT Security Uitdagingen Content Delivery Network Web Application Scanning Security Incident & Event Firewall Database Activity Monitoring WAF Scan Intrusion Detection / Protection System U moet alle ICT-middelen beschermen Hackers hoeven maar EÉN ingang te vinden Global Load Balancing Patch DDoS Protector Network Access Control Messaging Beveiliging Identity & Access Mobile Device Log

3 Agenda De complexiteit van aanval en verdediging Hoe kom ik precies In Control? Hoe bepaal ik concreet hoe ik er op dit moment voor sta qua weerbaarheid?

4

5 DDoS: Aanvallen op de beschikbaarheid van uw bedrijf Ping of death (1996) Hoog volume netwerkverkeer Server aanval SYN Floods Socket stress (low and slow) Applicatieaanval Open DNS HTTP/HTTPS Brute force attack Low-and-slow aanvallen SSL

6 BIV classificatie voor de beveiliging van informatie

7 Waar moeten Integriteit en Vertrouwelijkheid worden beschermd? Gebruiker Service / Resource Endpoint Gelaagde Perimeter Server Device Niet vertrouwd Vertrouwd Type Bedreigingen Beleid Rogue Identiteitsdiefstal Applicatie Devices of Data Aanval Afdoende Ongewenste Social (op technische Engineering beveiliging Changes zwakte) & Acceptabele beschikbaarheid Config Fouten & performance Netwerk worms, functionele spyware, Aanval zwakte) spam, Optimaal gebruiksgemak Malware Business Logica (viruses, Aanval trojans, (op adware, etcetera) Data Loss & Leakage Applicatie Data

8 100% beveiliging bestaat niet Het is slechts een kwestie van tijd en geld voordat een vastberaden hacker binnendringt.

9 Met gelaagde beveiliging koop je tijd Acquire target, sneak in, hop around (Perimeter doesn t help) Get privileged access to critical assets (Impact takes time) Conduct the crime for an extended time (Early detection matters)

10 om een hacker te detecteren en te stoppen Hacker Gebruiker Security Monitoring (Detectie) Endpoint Server Incident Response Secure Operating Center Informatie Data Applicatie Gelaagde Perimeter (Beschermende Maatregelen)

11 Log en SIEM

12 Informatiebeveiliging als Proces Het Operationele Beveiligingswiel Mitigeren risico s Automatisch opvolging Validatie check (stabiel) Bronnen voor Dreigingen Operationele beveiligingsadviezen Incident Response Threat Intelligence Security Monitoring Beschermende Maatregelen Dashboards: Beschikbaarheid Malware Cyber incidenten Bescherming Malware Cyber Digitale identiteit

13 Het Operationele Beveiligingswiel in breder perspectief

14 Het Secure Operating Center de motor van het Beveiligingswiel Risico & Compliance Advies Incident Reponse Borging Security Monitoring Advies 24x7 Beheer Identity & Access Perimeter Security Controls Application Level Security Controls

15 Agenda De complexiteit van aanval en verdediging Hoe kom ik precies In Control? Hoe bepaal ik concreet hoe ik er op dit moment voor sta qua weerbaarheid?

16 Mix van ICT Beveiligingsmaatregelen Categorie Beschikbaarheid & Performance Cloud Internet Koppeling On-Premise DDoS DDoS Protector Cloud DDoS Mitigation Service DDoS BM Bandbreedte Content Delivery Network CDN IAS LB Local Load Balancing Global Load Balancing GLB MON Element en Ketenmonitoring LOG Log Aanwezig, In gebruik, Getuned Aanwezig, In gebruik, Niet getuned Aanwezig, Niet/deels in gebruik Niet/deels aanwezig, Aanbevolen Niet aanwezig, Nice-to-have Niet van toepassing

17 Mix van ICT Beveiligingsmaatregelen Categorie Netwerkbeveiliging Preventieve Maatregelen Detectieve Maatregelen Secure Site-to-Site Access VPN Vulnerability VM Firewall FW Policy Compliance PC Intrusion Detection / Protection System IPS Log LOG Patch PATCH Security Incident & Event SIEM Config / Change CNFG Security Analytics / Forensics FOR Aanwezig, In gebruik, Getuned Aanwezig, In gebruik, Niet getuned Aanwezig, Niet/deels in gebruik Niet/deels aanwezig, Aanbevolen Niet aanwezig, Nice-to-have Niet van toepassing

18 Mix van ICT Beveiligingsmaatregelen Categorie Applicatiebeveiliging Cloud Internet Koppeling On-Premise IAM Cloud Broker Messaging Beveiliging CIAM MSG RPROXY IAM Reverse Proxy Identity & Access Web Application Scanning Cloud Web App Firewall Service WAS CWAF WAF DAM Web Application Firewall Database Activity Monitoring DBF Database Firewall Aanwezig, In gebruik, Getuned Aanwezig, In gebruik, Niet getuned Aanwezig, Niet/deels in gebruik Niet/deels aanwezig, Aanbevolen Niet aanwezig, Nice-to-have Niet van toepassing

19 Mix van ICT Beveiligingsmaatregelen Categorie Gebruikersbeveiliging Gebruiker & Device Communicatie Pad Applicaties & Informatie Identity & Access SSO / Sterke Auth IAM Network Access Control NAC AAM Advanced Anti-Mal- Ware & Anti-Bot Mobile Device MDM WEB Web Security: URLF / App Cntrl / AV Endpoint Security Mobile App Security EPS APP SSL Mobile Access VPN MAIL DLP Messaging Beveiliging: AS / AV /CC Data Loss/Leakage Prevention Aanwezig, In gebruik, Getuned Aanwezig, In gebruik, Niet getuned Aanwezig, Niet/deels in gebruik Niet/deels aanwezig, Aanbevolen Niet aanwezig, Nice-to-have Niet van toepassing

20 Mix van ICT Beveiligingsmaatregelen Categorie Beveiligingsarchitectuur Welke gelaagdheid kent de beveiliging? (verticale zonering) Zijn informatiestromen zodanig gescheiden dat een aanval slechts beperkte impact heeft? (horizontale partitionering) Wordt er gebruik gemaakt van architectuurprincipes zoals NORA, SABSA en Jericho? Maakt bepaling van de security impact integraal onderdeel uit van elke ICT wijziging die wordt beoordeeld?

21 Voordelen van een Network Traffic Scan: Threats and Intrusions High Risk Applications Sensitive Information Loss Bots & Viruses

22 Ken uw huidige beveiligingsstatus Threats and Intrusions High Risk Applications Sensitive Information Loss Bots & Viruses 12 Bots & Viruses Found 23 Infected Hosts

23 Mix van ICT Beveiligingsmaatregelen Categorie Security Scans Netwerk Scans Applicatie Scans Network Traffic Scan App Cntrl / URLF IPS / AV / Anti-bot / DLP NTS Web Application Scanning WAS Vulnerability VM WAF Scan WAFS Policy Compliance PC Database Scan DBS Ethical Hacking ETH Ethical Hacking ETH Social Engineering SOC In gebruik, Periodiek In gebruik, Eenmalig Niet in gebruik, Aanbevolen Niet van toepassing

24 Alles ingevuld, alle scans gedaan, hoe nu verder? Gebruik de verzamelde informatie om JA te kunnen zeggen op de onderstaande vier vragen. Dan is uw organisatie echt RESILIENT 1. Zijn de beschermende maatregelen in overeenstemming met uw risico-gebaseerde beveiligingsbeleid? 2. Heeft u invulling gegeven aan een SOC? 3. Kunt u compliance aantonen met de voor u relevante wet- en regelgeving? 4. Zijn uw organisatie en bedrijfsprocessen er klaar voor?

25 Bedankt voor uw aandacht! Vragen?