Control driven cyber defense

Vergelijkbare documenten
Beveiligingsmaatregelen voor een doeltreffende Cyber verdediging

8 nov InAudit 1. Cybersecurity: moet ROBBERT KRAMER

Wat is Cyber Security Management? 3 oktober ISA / Hudson Cybertec Arjan Meijer Security Consultant

"Baselines: eigenwijsheid of wijsheid?"

Volwassen Informatiebeveiliging

Readiness Assessment ISMS

GDPR & GeoData Omgaan met gegevensbescherming in een digitale wereld in verandering

Cyber Security Assessment (NOREA-CSA) Analyse Cyber Security Standaarden en Frameworks

ISO/IEC in een veranderende IT wereld

Het Sebyde aanbod. Secure By Design. AUG 2012 Sebyde BV

Security Starts With Awareness

ICT-Risico s bij Pensioenuitvo ering

11 oktober Heeft u voldoende in(zicht) op uw procesautomatisering en organisatie?

Informatiebeveiliging & Privacy - by Design

Optimale ICT-beveiliging. Van advies en ontwikkeling tot implementatie en beheer

Stappen ze bij u ook gewoon door de achterdeur binnen? Bart de Wijs. IT Security in de Industrie. FHI 11 Mei 2006

Informatiebeveiliging & ISO/IEC 27001:2013

Business as (un)usual

NS in beweging, Security als business enabler september 2008

Het Sebyde aanbod. Secure By Design

Tijd voor verandering: Lean Security. Simpeler, sneller, goedkoper, flexibeler en toch effectief

HET GAAT OM INFORMATIE

IT auditorsdag 2019 DIGITAL TRANSFORMATION & CONTROL. Digital Transformation & Control. 17 september 2019

Klant. Klant - Branche: Industrie - > employees - Vestigingen in > 25 landen. Specifiek - Profitabele, kosten gedreven strategy

Productopbouw. BrainCap levert cybersecurityoplossingen in 3 stappen.

LIO NOREA bijeenkomst 4 februari 2019

Welkom bij parallellijn 1 On the Move uur

Cybersecurity: waar begin je?

Informatiebeveiliging binnen de financiële sector: Wat kunnen we hiervan leren? 8 Oktober 2014

5W Security Improvement

André Salomons Smart SharePoint Solutions BV. Cloud security en de rol van de accountant ICT Accountancy praktijkdag

Intrusion Detection/Prevention System (IDS/IPS) Een onmisbaar onderdeel van een passende technische informatiebeveiliging

RESILIENCE. Hoe geeft mijn organisatie concreet invulling aan weerbaarheid? SECURITY CONGRES ir. Gerard Klop

Who are we? Madison Gurkha Protectors of your data and systems! Largest independant security testing and advisory company in NL

Proof of Concept SIEM

BootCamp. Template Powerpoint Datum

CompTIA opleidingen. voor beginnende systeembeheerders

Sebyde Security in een organisatie A3 Management Workshop. 7 Januari 2014

1 Copyright 2016 Deloitte Risk Services B.V. All rights reserved.

Organisatie, beheer en lifecycle management. Vergroot de grip op uw cyber security domein.

ISO/IEC Governance of InformationTechnology. Yvette Backer ASL BiSL Foundation. 16 juni ISO Governance of Information Technoloy 1

Digital Independence. Plan Today to be ready for Tomorrow. Grip op uw continuïteit! Information Security and Continuity Services

De Enterprise Security Architectuur

Informatiebeveiliging voor gemeenten: een helder stappenplan

F-Secure: Complete en uitgebreide end-point beveiliging voor het mkb

Seize the cloud?! Seminar Aviodrome, Lelystad 23 maart 2011

Slide 1. Slide 2 Introduktie. Slide 3 Deze les: 2 onderwerpen. Les 1 Definities en belang Informatie Technologie. Intro docent Opzet/tentamenstof

Bericht aan de aanvragende onderneming

Op 14 maart 2017 publiceerde het DNB Expertisecentrum Operationele en IT Risico's een memo 'Toelichting Toetsingskader Informatiebeveiliging 2017'.

Cloud dienstverlening en Informatiebeveiliging. ISACA Round Table Assen - Maart 2017

Elke digitale reis start met een vertrekpunt Hyperconverged Infrastructure as a Service

Simac Kennissessie Security HENRI VAN DEN HEUVEL

CERTIFICERING NEN 7510

Meer Business mogelijk maken met Identity Management

Solution Dag refresh-it. Printing. Frits de Boer Frenk Tames

Shenandoa a Forensic Challenge DIGITAL INVESTIGATION B.V.

IAM en Cloud Computing

OFFICE 365 REGIEDIENST. Onderdeel van de clouddiensten van SURF

Wat te doen tegen ransomware

Sebyde Prijslijst

WHO NEEDS ENEMIES WAAR DIENT U OP TE LETTEN? De BrainCheck is o.a.

Security by Design. Security Event AMIS. 4 december 2014

ISO CTG Europe

Berry Kok. Navara Risk Advisory

Informatiebeveiligingsbeleid. Stichting Pensioenfonds Chemours

Wat komt er op ons af?

IT Security in de industrie

Unified Enterprise Security wordt geleverd door onze strategische partner Masergy, de wereldspeler in global communications en security.

Privacy & Data event Johan Rambi 18 Mei 2017

Process Control Netwerk Security bij Lyondell. Dave Chong European IT Project Manager Lyondell Chemie Nederland B.V.

Seminar Trends in Business & IT bij woningcorporaties. Informatiebeveiliging

Auteurs: Jan van Bon, Wim Hoving Datum: 9 maart Cross reference ISM - COBIT

Practitioner s Certificate in IT Service Management: Release & Control (based on ITIL )

Offshore Outsourcing van Infrastructure Management

Certified Ethical Hacker v9 (CEH v9)

Naar een nieuw Privacy Control Framework (PCF)

Opdrachtgeverschap 2.0. Toezien op de afspraken in de verwerkersovereenkomst

Hardening. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)

Agenda Next Level in Control. 15:00 16:00 Next Plenair - Control Productivity - Control Security - Control Flexibility

Asset 1 van 17. Mobile Application Management en security. Gepubliceerd op 18 april 2015

CobiT. Drs. Rob M.J. Christiaanse RA PI themabijeenkomst Utrecht 29 juni /2/2005 1

Sebyde AppScan Reseller. 7 Januari 2014

Introductie IP-Solutions Uw Technisch Management service provider

Hoe overleven in een wereld van cyberspionage, hackers en internetoplichters? Jan Verhulst

Stappenplan naar GDPR compliance

Jaap van Oord, FourTOP ICT

Stappenplan naar GDPR compliance

De maatregelen in de komende NEN Beer Franken

Agile : Business & IT act as one

ISO/IEC 20000, van standaardkwaliteit naar kwaliteitsstandaard. NGI Limburg 30 mei 2007

Disaster Recovery uit de Cloud

Connectivity/Magic of Mobility

Seminar! BETEKENIS VAN INTERNE AUDIT voor specifieke verzekeraars! Informatiebeveiliging the next level!

Informatiebeveiliging in de praktijk gebracht! Een pragmatische aanpak van IT-beveiliging.

Exploitatie testen voor het testen van Service Level Agreements. Geïnspireerd door

Continuous testing in DevOps met Test Automation

CYBER SECURITY MONITORING

Privacy in de Audit IIA PAS conferentie 2016 November 2016 Maurice Steffin

Transcriptie:

Control driven cyber defense An introduction to 20 critical security controls for effective cyber defense ferdinand.hagethorn@snow.nl Engineer

Agenda Informatiebeveiliging & IT-security Een technische norm: 20 critical security controls De eerste 5 controls & infosec Implementeren van de 20 CSC Conclusie

Informatiebeveiliging & IT-security IT-security: firewalls antivirus update-systemen Intrusion detection/prevention systemen (IDS/IPS) Alles is technisch en niet zo zeer procedureel, juridisch, fysiek, organisatorisch of gericht op personeel

Informatiebeveiliging & IT-security Informatiebeveiliging: volgens de 133 controls uit de ISO27001 annex A: IT gerelateerde controls : 46% ß IT-security controls in relatie tot organizatie / documentatie: 30% Fysieke beveiligingsmaatregelen: 9% Juridische indekking: 6% Controls over relatie-management t.a.v. toeleveranciers en klanten: 5% human resources management controls: 4%

Split brain? IT-security Top down of bottom up? Vanuit techniek of vanuit proces?

20 CSC

Twenty Critical Security Controls for Effective Cyber Defense De 20 CSC

20 CSC Geschiedenis 1/2 2008 aanvraag vanuit DoD naar NSA NSA internal key controls - "For Official Use Only" Consortium van NSA + CIS + SANS

20 CSC Geschiedenis 2/2 Later ook: CESG & CPNI (UK) 1ste draft SANS 20 in 2009 Kennis is gebaseerd op >10 jaar onderzoek SANS instituut trok de kar SANS?

SANS Instituut Sinds 1989-165.000+ professionals - Vendor independent Coöperatief onderzoeks- & trainingeninstituut Computer security trainingen & certificeringen Informatiebeveiligingsonderzoek

Verzelfstandiging 20 CSC 19 augustus 2013 SANS à The Council on CyberSecurity (the CCS) http://www.counciloncybersecurity.org/

20 CSC controls Compatible met - NIST 800-53 - ISO27002 En ook met - ITIL - COBIT - Etc.

Wat doet de controlset? Bestrijdt vulnerability based risk vanuit techniek Zoveel mogelijk automatiseren Tool om beheerdoelstellingen meetbaar te maken

Wat doet het niet? Governance- / beheer-framework Top-down approach

Controls Uitgangspunten

Controls Uitgangspunten Controls hebben direct invloed op weerbaarheid tegen risico's op het gebied van kwetsbaarheden

Controls Uitgangspunten Controls hebben direct invloed op weerbaarheid tegen risicos op het gebied van kwetsbaarheden Controls zijn gebaseerd op daadwerkelijke aanvalsinformatie: > 10 jaar aan relevante informatie

Controls Uitgangspunten Controls hebben direct invloed op weerbaarheid tegen risicos op het gebied van kwetsbaarheden Controls zijn gebaseerd op daadwerkelijke aanvalsinformatie, > 10 jaar aan relevante informatie Effectiviteit bepaalt prioriteit

Controls Uitgangspunten Controls hebben direct invloed op weerbaarheid tegen risicos op het gebied van kwetsbaarheden Controls zijn gebaseerd op daadwerkelijke aanvalsinformatie, > 10 jaar aan relevante informatie Effectiviteit bepaalt prioriteit De top-5 controls worden door gezien als Tier-1 : de fundering

U.S. State Department In 2009: Onderzoek: 3085 aanvallen op de systemen van de U.S. State Department Observatie: Critical Security Controls toepasbaar op vrijwel alle aanvallen. Programma gestart om de 20 CSC te implementeren, de CISO aan het roer

U.S. State Department Resultaat 88% afname van het vulnerability-based risk over ICT-landschap van 85.000 systemen Het programma is nu het model voor grote overheidsinstellingen en bedrijven.

De Top 5 Controls

De Top 5 Controls 1 Hardware asset inventory van geautoriseerde en niet-geautoriseerde apparatuur

De Top 5 Controls 1 Hardware asset inventory van geautoriseerde en niet-geautoriseerde apparatuur NIST SP 800-53 CM - Configuration Management ISO27002 7 - Asset Management PM - Program Management

De Top 5 Controls 2 Software asset inventory van geautoriseerde en niet-geautoriseerde software

De Top 5 Controls 2 Software asset inventory van geautoriseerde en niet-geautoriseerde software NIST SP 800-53 CM - Configuration Management PM - Program Management SA - System and Services Acquisition ISO27002 5 - Security Policy 6 - Organization of Information Security 8 - Human Resources Security 10 - Communications & Operations Management 11 - Access Control 12 - Information Systems Acquisition, Development & Maintenance 15 - Compliance

De Top 5 Controls 3 Veilige standaardinstallaties & -instellingen voor hard- en software

De Top 5 Controls 3 Veilige standaardinstallaties & -instellingen voor hard- en software NIST SP 800-53 CM - Configuration Management PM - Program Management SA - System and Services Acquisition SI - System and Information Integrity ISO27002 5 - Security Policy 6 - Organization of Information Security 8 - Human Resources Security 10 - Communications & Operations Management 11 - Access Control 12 - Information Systems Acquisition, Development & Maintenance 15 - Compliance

De Top 5 Controls 4 Continue controleren & wegnemen van kwetsbaarheden

De Top 5 Controls 4 Continue controleren & wegnemen van kwetsbaarheden NIST SP 800-53 RA - Risk Assessment ISO27002 6 - Organization of Information Security 10 - Communications & Operations Management 12 - Information Systems Acquisition, Development & Maintenance

De Top 5 Controls 5 Malware defenses; anti-virus & anti-spyware

De Top 5 Controls 5 Malware defenses; anti-virus & anti-spyware NIST SP 800-53 SC - System and Communications Protection ISO27002 10 - Communications & Operations Management SI - System and Information Integrity

ITIL aansluiting Service asset & configuration management Patch management Incident management Event management Change management

De Top 5 Controls 1 Hardware asset inventory van geautoriseerde en niet-geautoriseerde apparatuur 2 Software asset inventory van geautoriseerde en niet-geautoriseerde software 3 Veilige standaardinstallaties & -instellingen voor hard- en software 4 Continue controleren & wegnemen van kwetsbaarheden 5 Malware defenses; anti-virus & anti-spyware

Structuur van een control Omschrijving met hoe aanvallers de missende control misbruiken

Structuur van een control Omschrijving met hoe aanvallers de missende control misbruiken Subcontrols in 4 categorieën: - quick wins - configuration & hygiene - visibility & attribution - advanced

Structuur van een control Omschrijving met hoe aanvallers de missende control misbruiken Subcontrols in 4 categorieën Aansluitingen met standaarden (NIST)

Structuur van een control Omschrijving met hoe aanvallers de missende control misbruiken Subcontrols in 4 categorieën Aansluitingen met standaarden (NIST) Procedures & tools voor implementatie

Structuur van een control Omschrijving met hoe aanvallers de missende control misbruiken Subcontrols in 4 categorieën Aansluitingen met standaarden (NIST) Procedures & tools voor implementatie Metric beschrijving

Structuur van een control Omschrijving met hoe aanvallers de missende control misbruiken Subcontrols in 4 categorieën Aansluitingen met standaarden (NIST) Procedures & tools voor implementatie Metric beschrijving Test beschrijving

Structuur van een control Omschrijving met hoe aanvallers de missende control misbruiken Subcontrols in 4 categorieën Aansluitingen met standaarden (NIST) Procedures & tools voor implementatie Metric beschrijving Test beschrijving Entity Relationship Diagram

Hoe organisaties de controls implementeren 2 delen 5 stappen

Fase 1 Stap 1 - Awareness & GAP analyse Stap 2 Opstellen implementatie roadmap

Hoe organisaties de controls implementeren (2/2) Stap 3 Implementeren van de eerste fase uit de roadmap van Controls Stap 4 Integratie van de controls in de Business As Usual operations Stap 5 Beheren en rapporteren, KPI rapportages, etc. Hierna stap 3 t/m 5 herhalen voor de volgende fases in de roadmap.

Fasering in de uitrol Op basis van het officieuze Maturity Model

Maturity model 4 tiers (Tier = rank/classificatie) Is een mogelijk startpunt voor een roadmap Control à 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 Top- 5 (Tier 1) Tier 2 Tier 3 Tier 4 NB: Altijd blijven kijken naar de werkelijke bedrijfsrisico s! Tier-1 is wel foundational

Critical Security Controls tier 1 1. Hardware inventory authorized & unauthorized devices (laptops/ desktops/servers/mobile) 2. Software inventory authorized & unauthorized applications 3. Secure configurations for hardware & software 4. Continuous Vulnerability Assessment & Remediation 5. Malware Defenses

Critical Security Controls tier 2 6. Application software security 7. Wireless Device Control 8. Data Recovery Capability 9. Security Skills Assessment and Appropriate Training to Fill Gaps

Critical Security Controls tier 3 10. Secure configurations for network devices (switches/routers/firewalls/etc) 11. Limitation and Control of Network Ports, Protocols and Services 12. Controlled Use of Administrative Privileges 13. Boundary Defense 14. Maintenance, Monitoring and Analyses of Audit logs 15. Controlled Access Based On Need to Know 16. Account Monitoring and Control

Critical Security Controls tier 4 17. Data loss prevention 18. Incident Response & Management 19. Secure Network Engineering 20. Penetration tests and Red team exercises

Fase 1 à Stap 1 - Awareness & GAP analyse ß Stap 2 Opstellen implementatie roadmap

Snow Security Assessment - Top-5 CSC - awareness training & gap-analyse

Snow Top-5: 1-daags assessment Awareness & training Uitleg over de het nut en de noodzaak van de controls, diepgaand bij de eerste 5. Inventarisatie Per control een sessie met de Subject Matter Expert(s) van de organisatie, waarin diep wordt ingegaan op de control en de huidige situatie in kaart wordt gebracht Resultaat Een rapportage van aandachtspunten met de daaraan gerelateerde risico s, de echte blind-spots op basis van de Top-5 critical security controls

Conclusie Resultaatgedreven, vanuit techniek Laaghangende fruit het eerst met de 20 CSC Tier 1 vereist processen vanuit de techniek Processen vereisen ook techniek: Van papieren tijger naar echte tijger Certificering is een middel, niet een doel en 20 CSC ondersteunen dit

20 CSC Middel

Bedankt!

2024 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback