Informatiebeveiliging in de 21 e eeuw

Maat: px

Weergave met pagina beginnen:

Download "Informatiebeveiliging in de 21 e eeuw"

Tine Claes
8 jaren geleden
Aantal bezoeken:

1 Informatiebeveiliging in de 21 e eeuw beveiliging van de cloud webapplicatiepenetratietests vulnerability-assessments 12 maart 2012 R.C.J. (Rob) Himmelreich MSIT, CISA, CRISC

2 Introductie Rob Himmelreich informatiebeveiliger, risicomanager, IT-auditor Achtergrond Bedrijfskundige Informatica Master of Security in Information Technology (MSIT, TUe) Certified Information Systems Auditor (CISA, Isaca) Certified in Risk and Informations Systems Control (CRISC, Isaca) Specialisatie securitymanagement, penetratietests, vulnerability assessments, applicatiebeveiliging, netwerkbeveiliging, fysieke beveiliging, business continuity Page 2

Isaca) Certified in Risk and Informations Systems Control (CRISC, Isaca) Specialisatie securitymanagement,

3 Security? social engineering Wat is informatiebeveiliging? Waarom beveiligen we? Page 3

4 Informatiebeveiliging in de 21 e eeuw Wat is informatiebeveiliging? Welke veranderingen vinden plaats? Wat zijn nu en in de toekomst de grootste uitdagingen? Page 4

5 De Geschiedenis van het WWW 6 augustus 1991 Page 5

6 Cloud vanuit security-perspectief Page 6

7 Security in de vorige eeuw Page 7

8 Security-architectuur (oud) Page 8

9 Security-architectuur (nieuw) Anytime Anyplace Any device BYOD! Page 9

10 Security-architectuur (hybride) Page 10

Commercieel gebruik tot 1995 geweerd Privatisering van de

11 Commercieel gebruik van Internet Eerste verschijning term e-commerce in 1994 Hoge mate van idealisme in de begindagen van het WWW Commercieel gebruik tot 1995 geweerd Privatisering van de Internetbackbone op 30 april 1995 Pioniers: 1994: Pizza Hut 1995: Amazon 1996: ebay Page 11

12 Cloud: wat is een webapplicatie? Een webapplicatie is een applicatie waartoe toegang wordt verkregen via het Internet of intranet. Een webapplicatie is gecodeerd in een door webbrowser ondersteunde taal. - Een webapplicatie kan altijd, overal en van elk apparaat worden benaderd - Een webapplicatie heeft geen client-software nodig, alleen een webbrowser - Een webapplicatie wordt centraal beheerd en beveiligd - Een webapplicatie maakt deel uit van een proces (versus statische website) - De webapplicatie is uw enige line of defence Page 12

- Een webapplicatie kan altijd, overal en van elk apparaat worden benaderd - Een webapplicatie heeft geen client-software nodig, alleen

13 De wereld van nu Bron: xkcd.com Page 13

14 En beveiliging? 2001: De eerste webapplicatie-aanvallen worden bekend (directory traversal) Onder meer creditcardgegevens worden buitgemaakt en bankgegevens ingezien Een firewall alleen is niet meer voldoende Page 14

15 En beveiliging? SQL-injection Verkrijg databasetoegang via de webapplicatie Page 15

16 En beveiliging? Session hijacking Sessies van legitieme gebruikers worden overgenomen Page 16

17 En beveiliging? Cross-site scripting De website toont ongewenste inhoud van buitenaf. Hiermee kunnen bijvoorbeeld man in the middle -aanvallen worden uitgevoerd Page 17

18 Incidenten afgelopen jaar 5 februari - Hackers kraken computersysteem Amerikaanse aandelenbeurs 18 maart - Hackers stelen RSA SecurID-informatie 23 april - Sony haalde PlayStation Network offline na hack 29 april - Hackers PSN maakten gegevens 2,2 miljoen creditcards buit 2 mei - Sony: vermoedelijk 10 miljoen creditcardaccounts buitgemaakt 30 mei - Hacker maakt mailadressen Duinrell-klanten buit 1 september - DigiNotar gaf mogelijk valse ssl-certificaten uit na ontdekking hack 6 september - Hackers stalen wellicht persoonsgegevens miljoen leden Smulweb 15 september - Miljoenennota uitgelekt door blunder 20 september - Beveiliging websites mogelijk in gevaar door ssl-kwetsbaarheid 26 september - Hacker verminkt sites 28 september - Recherche pakt 17-jarige jongen op vanwege KLPD-hack 8 oktober - Vijftig gemeentesites blijken nauwelijks beveiligd 24 oktober - Cheaptickets.nl laat gegevens klanten uitlekken 4 november KPN staakt uitgifte certificaten na ontdekking verdachte sporen 18 november Criminelen hacken waterinstallatie en vernielen waterpomp 22 november Gegevens kinderen toegankelijk via Sinterklaarjournaal.nl 29 november Website FD.nl serveert malware 24 januari Databasestoring legt internetbankieren ING plat 11 februari Gehackte KPN mailaccounts afkomstig van Baby Dump-database 5 maart Hackers stelen muziek Michael Jackson 6 maart Hackers maken wachtwoorden buit via Proserve 12 maart - Beveiliging Chrome voor derde keer binnen korte tijd gekraakt Nog steeds worden dezelfde fouten gemaakt als tien jaar geleden! Page 18

000 Duinrell-klanten buit 1 september - DigiNotar gaf mogelijk valse ssl-certificaten uit na ontdekking hack 6 september - Hackers stalen wellicht persoonsgegevens miljoen leden Smulweb 15 september

19 Risico s Datalekken Valse berichten Bestellen zonder betalen Ontvangen zonder betalen Frauduleuze ideal-transacties Gebruikersgegevens (username/wachtwoord) Creditcardgegevens Privacy Artikeldatabase verwijderen Prijzen aanpassen Voorraad aanpassen Cross-site scripting (man in the middle attacks) Denial of Service Etc. Page 19

Creditcardgegevens Privacy Artikeldatabase verwijderen Prijzen aanpassen Voorraad

20 Hoe pakken hackers dat aan? 1. Doelwit uitzoeken (gericht, portscan, willekeurig) 2. Informatie verzamelen (portscan, DNS-loopup, etc.) 3. Vulnerability scan 4. Misbruik maken van bekende kwetsbaarheden Waar gaat het in 90% van de gevallen mis? 1. Software bugs 2. Configuratiefouten Live demo Page 20

Informatie verzamelen (portscan, DNS-loopup, etc.) 3. Vulnerability scan 4.

21 Live demo information gathering Page 21

22 Wat doet u hieraan? Page 22

23 Waar te beginnen? 1. De voorkant Identificeer kwetsbaarheden Installeer updates Identificeer de toegangspunten Verklein het aanvalsoppervlak, beveilig de webapplicatie Beperk de bevoegdheden (gebruikersaccounts, autorisaties) Gebruik sterke wachtwoorden Zekerheid door periodieke onafhankelijke penetratietests en vulnerability assessments Page 23

24 Verkrijg meer zekerheid 2. De achterkant Breng het applicatielandschap in kaart Controleer de interface met financiële administratie en logistieke systemen Bepaal controles in het complete proces niet uitsluitend op onderdelen Implementeer preventieve maatregelen Implementeer repressieve maatregelen (ontdekking, acteren op uitzonderingen) Zekerheid door audits Page 24

25 Borging door middel van een proces 3. Beheer Bepaal verantwoordelijkheden voor beveiliging Implementeer een proces voor gebruikersbeheer Implementeer een proces voor autorisatiebeheer Implementeer een proces voor wijzigingsbeheer Maak afspraken bij uitbestede diensten (Service Level Agreement) Controleer uitbestede diensten (onafhankelijke audit / certificering) Zekerheid en continuïteit door beleid Page 25

26 Wat is een vulnerability-assessment? Page 26

27 Wat is een vulnerability-assessment? Page 27

28 Wat is een penetratietest? Page 28

29 Wat is een penetratietest? Page 29

30 Wat is een penetratietest? Page 30

31 Hoe gaat een penetratietest in zijn werk? Page 31

Vergelijkbare documenten

Databeveiliging en Hosting Asperion

Databeveiliging en Hosting Asperion www.asperion.nl info@asperion.nl Het Asperion Datacenter Uw gegevens veilig en professioneel bewaard Administraties bevatten vertrouwelijke informatie en daar moet vanzelfsprekend