Security. Awareness.



Vergelijkbare documenten
Deny nothing. Doubt everything.

Functioneel Beheer dag 2016

ISSX, Experts in IT Security. Wat is een penetratietest?

Secure Software Alliance

Back to the Future. Marinus Kuivenhoven Sogeti

Cloud. Regie. Cases.

Testnet Presentatie Websecurity Testen "Hack Me, Test Me" 1

Zest Application Professionals Training &Workshops

Grip op Secure Software Development de rol van de tester

Curriculum Vitae Ishak Atak. Naam : Ishak Atak Roepnaam : Ishak. Woonplaats : Utrecht Geboorte datum :

Web Application Security Hacking Your Way In! Peter Schuler & Julien Rentrop

Security web services

Het Sebyde aanbod. Secure By Design. AUG 2012 Sebyde BV

Security assessments. het voor- en natraject. David Vaartjes

GETTING THE BEST OUT OF YOUR SOURCE CODE MODERNISEREN MET UNIFACE

DevSecOps Een buzzword of toch een noodzakelijke stap richting Secure DevOps?

Security Pentest. 18 Januari Uitgevoerde Test(s): 1. Blackbox Security Pentest 2. Greybox Security Pentest

Architecten-debat 21 juni 2006 PI GvIB Themamiddag. Renato Kuiper. Principal Consultant Information Security

Cyber Security: hoe verder?

De Enterprise Security Architectuur

We maken inzichtelijk op welke punten u de beveiliging van uw applicaties en infrastructuur kunt verbeteren.

Disaster Recovery uit de Cloud

Het Sebyde aanbod. Secure By Design

Responsive web applicaties op Oracle

Webapplication Security

Wat is Cyber Security Management? 3 oktober ISA / Hudson Cybertec Arjan Meijer Security Consultant

Inhoud leereenheid 2. Software vulnerabilities. Introductie 23. Leerkern 23. Terugkoppeling 26

Introductie Veiligheidseisen Exploiten Conclusie. Browser security. Wouter van Dongen. RP1 Project OS3 System and Network Engineering

Training en workshops

Business Architectuur vanuit de Business

"Baselines: eigenwijsheid of wijsheid?"

Parasoft toepassingen

Lifecycle management. Why you should do it

Certified Ethical Hacker v9 (CEH v9)

Model driven Application Delivery

SWAT PRODUCT BROCHURE

Firewall van de Speedtouch 789wl volledig uitschakelen?

CLOUDSTRATEGIE. voor Stedin Netbeheer. v1.0 26/03/2019

Persoonlijke gegevens. Werkgevers / Projecten. Certificering. Werkervaring. E.H.B. (Ewout) Vocking

Ontwerp. <naam applicatie>

BEVEILIGINGSARCHITECTUUR

Moderne vormen van samenwerken Maarten Groeneveld

Werkplek anno De werkplek; maak jij de juiste keuze?

Oracle Application Server Portal Oracle Gebruikersgroep Holland Oktober 2003

Third party mededeling

Grip op Secure Software Development

Security NS. Onno Wierbos, Barry Schönhage, Marc Kuiper

HET CENTRALE SECURITY PLATFORM

SOA Security. en de rol van de auditor... ISACA Roundtable 2 juni Arthur Donkers, 1Secure BV arthur@1secure.nl

Gemeente Alphen aan den Rijn

Je website (nog beter) beveiligen met HTTP-Security Headers

Naar een nieuw Privacy Control Framework (PCF)

SECURITY UITDAGINGEN 2015

PRESENTS. CO3 Talent Ontwikkel Programma ICT i.s.m. Bridging the gap between business and talent

Third party mededeling

Zelftest Informatica-terminologie

Workflows voor SharePoint met forms en data K2 VOOR SHAREPOINT

Onder de motorkap van Microsoft Azure Web Sites. Eelco Koster Software architect ORDINA

Informatiebeveiliging & Privacy - by Design

Auditen van Agile projecten

Bart Van Ingelghem Infrastructure Consulting Services - Hybrid Cloud Hyperconverged vs. Traditioneel: voordelen en aandachtspunten

5 Hackaanvallen die uw webwinkel bedreigen. Hans Bouman B2U

Solution Dag refresh-it. Printing. Frits de Boer Frenk Tames

Cloud werkplek anno Cloud werkplek anno 2014

CV CygnusZ Pagina ${page}

Sr. Security Specialist bij SecureLabs

GETTING THE BEST OUT OF YOUR SOURCE CODE FIT TEST VOOR UNIFACE

TFS als perfecte tool voor Scrum

Curriculum Vitae

SURFconext Cookbook. Het koppelen van Alfresco aan SURFconext. Versie: 1.0. Datum: 8 december admin@surfnet.nl

Business Continuity Management

ICT Opleidingen, beroepen, bedrijven en verhalen. YoungWorks

Business as (un)usual

Secure software development. NGI 27 mei Zoetermeer Leo van Koppen

5 CLOUD MYTHES ONTKRACHT

Inhoud: Inleiding tot Taak Omschrijving van vacatures 2 Matrix van benodigde 5 Bronvermeldingen 7

Technische implementatie De infrastructuur rondom Transit kent de volgende rollen:

Agenda Wat zijn de gevolgen van Cloud en Gridcomputing voor de gebruikersorganisatie en de beheersfunctie.

VDI WORKSPACE. 3D CAD virtualisatie & Next Gen. Grafische werkplek. PTC Userdag 2017

Curriculum Vitae

Capita Selecta Design Patterns voor administratieve applicaties

OpenIMS 4.2 Portaal Server

Bart Van Ingelghem Infrastructure Consulting Services - Hybrid Cloud Hyperconverged vs. Traditioneel: voordelen en aandachtspunten

Bedrijfscontinuïteit met behulp van een BCMS

Oplossingen overzicht voor Traderouter > 02/11/2010

Transcriptie:

Security. Awareness.

Security Awareness Van verrassing naar bevestiging Rory Breuk Marinus Kuivenhoven Martin Visser #PaSS UWV SSD Security Awareness 2

Marinus Kuivenhoven Verkenner van technologie met een Hacker Mindset IT specialist sinds 2003 Security specialist sinds 2006 Auteur van: Staying ahead in the Cybersecurity game. (mede)oprichter PaSS binnen Sogeti Professioneel Ethical Hacker Ontwikkelaar DDOS test Ontwikkelaar SSEC2012/2013/2014 Techlead binnen Sogeti Security Inspirator, trainer en presentator over alles wat Security is. Spreker op Engineeringworld, Infosecurity beurs, ALT-S, Landelijk Architectuurcongres, OWASP meetings, Landelijk Bestuurskunde congres Gastspreker op HBO en Universiteiten (+10x per jaar), HitB lightningtalks SDLc-, SSD-, SDL-Guru Oracle DBA, Webdeveloper, Developer Java, Coldfusion, PhP, SQL UWV SSD Security Awareness 3

Rory Breuk New School Ethical Hacker Afgestudeerd op Honeypots en DMA hack via firewire, op HitB showcase. Teamleider Red Ace CTF team. Winnaar Hackathon Antifraude BZK. Ontwikkelaar DDOS test (alle scripting gericht op uitvoeren 30 verschillende aanvalsscenario's). Security Tester in Sogeti SOC. Networking, Architectuur, TCL-expert (exotische scriptingtaal), web development talen: python, JavaScript, PHP. +20 trainingen gegeven in security UWV SSD Security Awareness 4

Martin Visser Security Architect Bijna 10 jaar Sogetist. Offensive Security Professional in 2010 SSD-, SDL-, SDLc-Guru (mede)oprichter PaSS PKI, Identitymanagement, DDOS, Pentesting, Consultancy Inspirator, Trainer en Presentator in security: +100 trainingen gegeven.net Software Engineer Microsoft Systems specialist o.a. Sharepoint, AD, SQL e.d. UWV SSD Security Awareness 5

Wat gaan we doen? Interactieve sessie: U vraagt wij draaien. Wij zenden: Informatiebeveiliging Hacker Mindset Waarom zijn veilige applicaties NU zo belangrijk? Waar komen bedreigingen vandaan? OWASP & demo s Social Engineering Software Development (SDLc, SDL) Proactive Security Strategy (PaSS) SSD bij het UWV UWV SSD Security Awareness 6

Wat is informatiebeveiliging? Applicaties hebben betrekking op informatie! 3 pijlers van informatiebeveiliging Beschikbaarheid Integriteit Vertrouwelijkheid UWV SSD Security Awareness 7

- Wat is een veilige applicatie? Wanneer is een informatiesysteem veilig? Een informatiesysteem is veilig als het te allen tijde doet wat er van verwacht wordt Wens Realisatie veilig onveilig onveilig UWV SSD Security Awareness 8

Out of the box denken - Interactief 9

Wat is een veilig informatiesysteem? Bugs are simple mistakes in code leading to problems like buffer overflows; flaws are mistakes in design. It turns out that a lot of software is flawed. In fact, if you step back and look at a multitude of security problems over time, you'll find that about 50% of them are due to bugs and 50% due to flaws. Functionele specificatie veilig veilig Technische implementatie flaw bug UWV SSD Security Awareness 10

Informatiebeveiliging waarom nu? De omgeving waarin een applicatie draaide, was gesloten Hierdoor werd de applicatie open ontworpen en geïmplementeerd UWV SSD Security Awareness 11

Informatiebeveiliging waarom nu? De omgeving waarin een applicatie draaide, breidt uit Er ontstaat connectiviteit door middel van netwerken UWV SSD Security Awareness 12

Informatiebeveiliging waarom nu? De omgeving waarin een applicatie nu draait, is globaal: Internet UWV SSD Security Awareness 13

HTTP, enig idee wat het is? 1. Client request naar de Server 2. Server creert de paging Statische content Dynamische content (DB) 3. Server response naar de client 4. De pagina wordt door de browser geinterpreteerd en getoond UWV SSD Security Awareness 14

Cookiewetgeving en Privacy Weet je wat je deelt? Functionele cookies Analytische cookies Wat deel je wat je niet weet? Fingerprinting UWV SSD Security Awareness 15

Informatiebeveiliging waarom nu? Gevoel van veiligheid ontstaat door lapmiddelen Maar: Zeer lage leercurve Aanvallen van een webgebaseerde applicatie is niet moeilijk UWV SSD Security Awareness 16

Waar komen bedreigingen vandaan? Bewust Cracker Hacker Scriptkiddie Gebruiker Systeem Omgeving Onbewust Risico=( Bedreiging * Kwetsbaarheid )*Waarde Tegenmaatregelen UWV SSD Security Awareness 17

Take 5 UWV SSD Security Awareness 18

Waar komen bedreigingen vandaan? Bewust Cracker Hacker Scriptkiddie Gebruiker Systeem Omgeving Onbewust Risico=( Bedreiging * Kwetsbaarheid )*Waarde Tegenmaatregelen UWV SSD Security Awareness 19

OWASP - OWASP TOP TEN 1. Injection 2. Cross Site Scripting (XSS) 3. Broken Authentication and Session Management 4. Insecure Direct Object References 5. Cross Site Request Forgery 6. Security Misconfiguration 7. Insecure Cryptographic Storage 8. Failure to Restrict URL access 9. Insufficient Transport Layer Protection 10. Unvalidated Redirects and Forwards UWV SSD Security Awareness 20

OWASP TOP TEN 1 Injection Flaws SQL injection Scherm: USERNAME:[PERSOONA] PASSWORD:[GEHEIM12] Achtergrond: Mag er toegang worden gegeven aan de gebruiker wanneer: de username is 'PERSOONA' en het wachtwoord is 'GEHEIM12'; UWV SSD Security Awareness 21

OWASP TOP TEN 1 Injection Flaws SQL injection Scherm: USERNAME:[PERSOONA] PASSWORD:[Onbekend of 1=1] Achtergrond: Mag er toegang worden gegeven aan de gebruiker wanneer: de username is 'PERSOONA' en het wachtwoord is Onbekend' of 1=1; UWV SSD Security Awareness 22

XSS op organisatie.cursisten.nl UWV SSD Security Awareness 23

Of database injecten om XSS te krijgen (Voorbeelden van vulnerabilities op de website(s) van het bedrijf waar de cursisten werken.) UWV SSD Security Awareness 24

Information Disclosure (Voorbeelden van vulnerabilities op de website(s) van het bedrijf waar de cursisten werken.) UWV SSD Security Awareness 25

Take 5 UWV SSD Security Awareness 26

J.C. van Marken - 1894 Sociale Engineers UWV SSD Security Awareness 27

Wat is Social Engineering? Gevoel Realiteit veilig Onveilig Onveilig UWV SSD Security Awareness 28

Victor Lustig - 1925 Gebruikt informatie Voordoen als iemand Too good to be true Meerdere malen Gebruikt informatie Voordoen als iemand Too good to be true Meerdere malen UWV SSD Security Awareness 29

Anton Lee - 2012 UWV SSD Security Awareness 30

Frank Abignale - 1965 Gebruikt informatie Voordoen als iemand Too good to be true Meerdere malen UWV SSD Security Awareness 31

Recentelijk UWV SSD Security Awareness 32

Spanish Prisoner UWV SSD Security Awareness 33

Linken van nutteloze informatie UWV SSD Security Awareness 34

Waarom nu? UWV SSD Security Awareness 35

Resultaten Social Engineering Challenge UWV SSD Security Awareness 36

Social Engineering - hoe te voorkomen? Wanneer vertrouw je iemand? Email Pakketje Telefoon In persoon Met welke informatie? UWV SSD Security Awareness 37

Take 5 UWV SSD Security Awareness 38

Software Development lifecycle Penetratietest Requiremnts Usecases Architectuur Ontwerpen Testplannen Code Test resultaten Applicatie Terug koppeling Doorlooptijd UWV SSD Security Awareness 39

Markt Acteren op gevoel Verkoop op basis van angst Security kost resources Security beperkt Reactief Adhoc Alleen specialisten UWV SSD Security Awareness 40

Development lifecycle Ondersteuning Requiremnts Usecases Architectuur Ontwerpen Testplannen Code Test resultaten Applicatie Terug koppeling Security Requirem ents Abuse cases Threat model Flaw Analyse Security test plannen Static Code Review Vrijgave advies Security Assess ment Continuity Plan Ervaring UWV SSD Security Awareness 41

Development lifecycle Ondersteuning Requiremnts Usecases Architectuur Ontwerpen Testplannen Code Test resultaten Applicatie Terug koppeling Security Requirem ents Abuse cases Threat model Flaw Analyse Security test plannen Static Code Review Vrijgave advies Security Assess ment Continuity Plan Ervaring UWV SSD Security Awareness 42

Development lifecycle We took a look at the set of the population using prescriptive application security methodologies. It turns out that those practicing SDL specifically reported visibly better ROI results than the overall population. Unlike point technologies, SDL advocates a coordinated approach to application security throughout the life cycle, and its emphasis is on a set of processes that supports such coordination. We can potentially extrapolate that a coordinated approach to application security is what drives positive ROI. Forrester Requiremnts Usecases Architectuur Ontwerpen Testplannen Code test resultaten Applicatie Beheer en onderhoud UWV SSD Security Awareness 43

Software Development lifecycle Applicaties & Services Requiremnts Usecases Architectuur Ontwerpen Testplannen Code test resultaten Applicatie Beheer en onderhoud WebApp App Backend UWV SSD Security Awareness 44

Infrastructure Development lifecycle Hardware & Netwerken Requiremnts Usecases Architectuur Ontwerpen Testplannen Code test resultaten Applicatie Beheer en onderhoud Upgrade IPv6 VoIP UWV SSD Security Awareness 45

Organization Development lifecycle Hardware & Netwerken Requiremnts Usecases Architectuur Ontwerpen Testplannen Code test resultaten Applicatie Beheer en onderhoud Vestiging Vacature Outsourcing UWV SSD Security Awareness 46

Development lifecycle Spinoff s Organisatie Requirements Usecases Architectuur Ontwerpen Testplannen Implementatie Testresultaten Infrastructuur Beheer en onderhoud Software Requirements Usecases Architectuur Ontwerpen Testplannen Implementatie Testresultaten Infrastructuur Beheer en onderhoud Infrastructuur Requirements Usecases Architectuur Ontwerpen Testplannen Implementatie Testresultaten Infrastructuur Beheer en onderhoud Cloud BYOD Fusie UWV SSD Security Awareness 47

Enterprise Lifecycle Strategisch Moeten Behoren Willen Tactisch Beschrijven Faciliteren Reageren Controleren Operationeel Organisatie Software Infrastructuur UWV SSD Security Awareness 48

Proactive Security Strategy Acteren op gevoel feiten Verkoop op basis van angst voordelen Security kost resources levert op Security beperkt enabled Reactief Proactief Adhoc Proces Alleen specialisten Iedereen zijn taak UWV SSD Security Awareness 49

Software Development (Bedrijf) Contactpersonen (binnen bedrijf cursisten) Kees Klaassen Projectmanager SSD Jaap Jongbloed Test coördinator SSD Siemen Siemens SSD coördinator leverancier management Aart Staartjes Enterprise architect Piet Paulusma Hoofd Operating Centre UWV SSD Security Awareness 50

Software Development (bedrijf) Status implementatie (binnen bedrijf cursisten)) SSD beveiligingseisen contractueel geborgd vanaf 1-1-2014 Divisie A heeft testlines ingericht Awareness Business Units en IM s Divisie B eerste aanvraag voor impact voor SSD compliancy op hun applicatieportefeuille Voorbereiding voor invoering risico-analyse is gestart SSD normen met SIVA schrijfwijze als bijlage aan leveranciers verstrekt SSD methode vastgesteld in commissie IB Dashboard wordt gevuld en onderhouden door Divisie A UWV SSD Security Awareness 51

Security. van Veilig Voelen naar Veilig Zijn Aware.

2026 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback