Sr. Security Specialist bij SecureLabs

Transcriptie

1

2 Wie ben ik? Ronald Kingma, CISSP Sr. Security Specialist bij SecureLabs

3 Introductie SecureLabs Voorheen ISSX Code of Conduct Real Penetration Testing Vulnerability Management

4 Veiligheidsincidenten afgelopen maanden?

5

6

7

8 Beveiliging webapplicaties Op 2 februari 2012 heeft minister Spies in een brief aan de Tweede Kamer aangegeven dat alle organisaties die DigiD gebruiken, moeten voldoen aan een beveiligingsnorm. Via een ICT-beveiligingsassessment moeten zij dit vervolgens laten toetsen. Het in de brief geformuleerde beleid is erop gericht om de kwaliteit van ICT-beveiliging een impuls te geven.

9 DigiD risico s One-factor authenticatie (gebruikersnaam / wachtwoord) Eventueel aan te vullen met SMS authenticatie (inmiddels gekraakt!) Wachtwoordbeleid is aangepast, maar wordt niet afgedwongen bij bestaande gebruikers Te vrijblijvend!

10

11 DigiD is een Single Point of Failure DDoS Blacklisting Storingen Etc.

12 Impact analyse KING ICTbeveiligingsassessment DigiD Software Processen Infrastructuur

13

14 Stappenplan Zelf toetsen aan de hand van richtlijnen Maatregelen treffen Penetratietest uitvoeren Eventuele bevindingen oplossen Audit uitvoeren Bevindingen naar Logius sturen

15 Issue: Scope De scope van de toetsing is "de internet-facing webpagina's, systeemkoppelingen en infrastructuur die met DigiD gekoppeld zijn en betrekking hebben op het proces". Met systeemkoppelingen wordt met name de system-to-systemkoppeling (authenticatieverzoek en uitwisselen RID en verificatieverzoek van webdienst) bedoeld.

16 Focus: DigiD koppeling Pentest: steekproef van variabelen op website => 100 variabelen, we testen er 30 Audit heeft focus op controle, zijn de steekproeven goed, dan passed. Niet geteste variabelen kunnen nog steeds kwetsbaar zijn

17 Moeten we tijdens de penetratietest en audit niet verder gaan dan alleen de DigiD koppeling? Hackers worden hierdoor ook niet beperkt.

18 Positief is natuurlijk wel dat er bewustwording is en dat er in ieder geval getest wordt, ook al is dit beperkt

19 Scenario s / Attack Vectoren Toegang tot webserver met DigiD koppelingen via management systemen Toegang tot netwerkcomponenten / firewalls om zo data te onderscheppen Toegang tot interne systemen Etc. etc. etc. etc.

20 Waar zitten de kwetsbaarheden?

21 20% websystemen van Nederlandse gemeenten is door gebruik van verouderde software onvoldoende beveiligd (jan. 2013)

22 Gemeenten mikpunt Russische spionage (juli 2013)

23 Hoe werkt een hacker? Eerste doel is toegang tot het netwerk door bijvoorbeeld: Social Engineering Verouderde software / slechte applicaties Eenmaal binnen, installeer een backdoor om toegang te houden en wis de sporen

24 Hoe werkt een hacker? Toegang vaak door misleiding, bijv. DDoS welke echte aanval maskeert

25 Hoe werkt een hacker? Op het netwerk: Sniffer userid s / passwords Zoek naar gevoelige informatie Etc.

26 Trends Denial of Service aanvallen APTs Web applicatie aanvallen De mens BYOD / Mobile devices Cloud

27 Social Engineering Niet op zoek naar burgemeester, wethouder of topambtenaar, maar lagere functie in gemeentehuis. Secretaresse Systeembeheerder Ambtenaren Worden vaak over het hoofd gezien, maar hebben toegang tot gevoelige informatie

28

29

30 Wat moeten we doen? Omarm het zero trust model Ga er van uit dat je system gecompromitteerd raakt als deze het al niet is en neem de stappen om risico s zo snel mogelijk te identificeren en te elimineren. Er is geen buitenkant (perimeter), [en] geen vertrouwde gebruikers. Vergeet vertrouwen en controleer.

31 Penetratietest Voorbereiding: Stappenplan Uitvoer: Informatie inwinnen Uitvoer: service discovery / vulnerability assessment Uitvoer: hacking Rapportage

32 Penetratietest Eventueel aan te vullen met: Uitvoer: behouden van toegang Uitvoer: sporen wissen

33 Vulnerability Management Beveiliging handhaven is niet eenvoudig Waarborgen van permanente beveiliging door het systematisch opsporen en elimineren van kwetsbaarheden in het netwerk

34 Vulnerability Management Patchen is geen vervanging voor Vulnerability Management Scannen naar kwetsbaarheden zonder opvolging is niet voldoende

35 Vulnerability Management Detecteren en managen

36 Security Awareness Alerte medewerkers, een alert management en alerte veiligheidsprofessionals zijn essentieel om illegale activiteiten tijdig te herkennen.

37 Samenvattend Zorg voor identificatie, monitoring, mitigatie en controle Maak risico s inzichtelijk en classificeer deze Bewustwording op alle niveau s

38 Media Zorg dat PR en Marketing een draaiboek hebben liggen voor als het misgaat Journalisten bellen niet meer voor een afspraak, ze komen gewoon

39

40 Contact us