Informatiebeveiliging in het hoger onderwijs Practische voorbeelden VLHORA studiedag -The Eduction Highway Tim Wulgaert
Kenmerken onderwijsorganisaties + de nieuwe evoluties = grote uitdaging op het vlak van beveiliging Evolutie Digital natives Tablets & smartphones Social media (Mobiele) breedbandverbindingen overal Consumerization van IT Cloud computing Kenmerken onderwijs Openlijk delen van informatie Open communicatie Veel verschillende gebruikers BYOD Page 2
Dilemma Laag Gebruikers acceptatie Hoog Laag Governance/ Control Hoog Page 3
De uitdaging voor beveiliging Het juiste niveau van beveiliging inbouwen Zonder de openheid naar delen van informatie te schaden Zonder de flexibiliteit te beperken Van controle focus naar risicobeheersing focus Niet alle informatie kan en moet beveiligd worden Nadruk op specifieke types van informatie Page 4
Informatie, informatiedragers en hun zwakheden Informatie Informatie dragers Kwetsbaarheden Wat kan er misgaan Examenresultaten van studenten Persoonlijke gegevens van studenten of personeel Onderzoeksdata en onderzoeksresultaten Financiële gegevens Informatie op elektronische leeromgeving IT infrastructuur Open netwerken Zwakke wachtwoorden Onvoldoende system, database en applicatiebeveiliging Gebruikers Delen van informatie Afluisteren / schoudersurfen Papier Verlies / diefstal Vuilbak snuffelen Draagbare media Verlies / diefstal Schoudersurfen Gebruik op onbeveiligde omgevingen Confidentialiteit Persoonlijke gegevens studenten gelekt Examenvragen gestolen Onderzoeksresultaten gelekt Integriteit Examenresultaten aangepast Website aangepast Beschikbaarheid Examenresultaten niet meer beschikbaar Elektronische leeromgeving niet beschikbaar Informatie op website Page 5
Informatie, informatiedragers en hun zwakheden Informatie Informatie dragers Kwetsbaarheden Beveiliging Examenresultaten van studenten Persoonlijke gegevens van studenten of personeel Onderzoeksdata en onderzoeksresultaten Financiële gegevens Informatie op elektronische leeromgeving IT infrastructuur Open netwerken Zwakke wachtwoorden Onvoldoende system, database en applicatiebeveiliging Gebruikers Delen van informatie Afluisteren Papier Verlies / diefstal Vuilbak snuffelen Draagbare media Verlies / diefstal Schoudersurfen Gebruik op onbeveiligde omgevingen Beleid Management processen Technische beveiliging Fysische beveiliging Bewustzijn Informatie op website Page 6
Case study Hoe het niveau van beveiliging testen?
Objectieven van de opdracht Een duidelijk beeld te vormen van huidige status van beveiliging van het netwerk en informatie Technische zwakheden identificeren Impact en business risico s in te schatten Aanbevelingen te formuleren ter verbetering. Page 8
Scope van de opdracht Controle testen Architectuur: het hele campus netwerk, met een sterkte nadruk op de scheiding tussen interne netwerken en de implementatie van de internet perimeter. Configuratie: enkele configuraties van netwerkcomponenten: routers, switches, firewalls, IDS/IPS Toegangscontrole proces: specifiek voor het verwijderen van toegangen Substantieve testen Attack & penetration testing: Windows domain, applicatie en databank voor puntenadministratie Social engineering 1 2 3 Page 9
Onze aanpak voor de controle testen 1 Nagaan of de strategie of beleidslijnen rond informatiebeveiliging op een adequate manier vertaald worden naar praktische implementaties van procedures, processen en technische IT controles. Specifiek drie domeinen Architectuur Configuratie Toegangscontrole Evalueren van de effectiviteit van de bestaande technische IT controles. Page 10
Onze aanpak voor de controle testen 1 Page 11
Uw informatie beschermen in een netwerkomgeving waar zijn de risico s? 2 Intern Netwerk sub Netwerk i Toegangsnetwerk studenten Intern Netwerk Toegangsnetwerk derden Private data netwerk onderwijsinstellingen Publiek netwerk (Internet) Intern Netwerk ICT dienstenleverancier i Page 12
Attack & penetration testing 2 Dreigingen simuleren dienen realistisch te zijn! Intern perspectief Extern perspectief Partner perspectief Kwetsbaarheden identificeren en misbruiken Netwerken vanuit campus netwerk, bibliotheek, labo s, studentenkot, internet, Systemen en applicaties: Windows domain, studentenadministratie, e-learning platform, boekhouding, Risico s en aanbevelingen rapporteren Page 13
Hacken kan op vele manieren 2 Hoogtechnologisch Bv. iphone capturing key strokes Eenvoudiger Bv. Raden paswoorden/ paswoordvragen Page 14
Attack & Penetration aanpak 2 Reconnaissance Exploiting Reporting Remediation The first phase consists of gathering as much information as possible on the target. The black box approach assumes that no prior knowledge of the target is held. Only publicly available information sources are consulted. The grey box or white box approach provides an interesting alternative. In this approach, the customer should provide detailed information concerning the target beforehand for example the network topology or the location, source code of an application,... The second phase is to try and exploit any identified vulnerability in a controlled manner. This is done by a combination of automatic and manual testing techniques. An example breakdown of the effort is shown below. The result of this phase will allow Ernst & Young to perform a better estimation of technical and business impact of vulnerabilities. During the reporting phase, Ernst & Young will deliver an assessment report including the following: An executive summary with strong and weak points of the design, configuration, setup, support and/or management of the network and web sites. A description of successful attack scenarios including business risk estimation and recommendations. A technical report with an overview of individual vulnerabilities including a technical risk estimation and detailed recommendations to mitigate or eliminate the risk. Ernst & Young can assist you in fixing the identified vulnerabilities. Several services can be provided: Define an Information Security or IT Security Framework with policies, standards and baselines. IT Security process implementation: logical access management, privileged user management, security incident management Train developers in secure code development Page 15
Attack & Penetration Rapportering is van belang! 2 De juiste communicatie naar het juiste publiek IT departement Technische aanbevelingen voor IT infrastructuur Audit comité of raad van bestuur Focus op risico s en aanbevelingen op lange termijn Directies, personeelsleden en studenten Bewustwording Page 16
Social engineering 3 Social engineering is een techniek waarbij een computerkraker een aanval op computersystemen tracht te ondernemen door de zwakste schakel in de computerbeveiliging, namelijk de mens, te kraken. De aanval is erop gericht om voornamelijk gebruikersnaam of wachtwoorden los te krijgen. Verschillende precedenten waarbij studenten op basis van valse e-mail of facebook accounts informatie bemachtigen Page 17
Social engineering Enkele concrete voorbeelden 3 Phishing Road apple USB Page 18
Social engineering Enkele concrete voorbeelden 3 Telefonisch of per e-mail Hallo met Patrick Hallo Patrick. U spreekt hier met Tim van de IT-helpdesk. Kunde mij efkes helpen met enkele testen of stoor ik u? Mr. slachtoffer Nee hoor, ik heb wel efkes tijd! Zeg maar. Voila. Da s zo gebeurd! We hebben net onze servers verplaatst en om zeker te zijn dat alles werkt, zou ik u even willen vragen om te surfen naar http://web.hogent.com/ en daar in te loggen Mr. hacker Merci Patrick! Page 19
Enkele afsluitende opmerkingen
Slotbeschouwing IT als initiatiefnemer Een mentaliteitswijziging heeft een initiatiefnemer nodig Om op lange termijn te slagen, dient echter iedereen betrokken te zijn Beveiliging is ruimer dan IT het is de verantwoordelijkheid van iedereen Raad van bestuur: het beleid Directies: het kenbaar maken van vereisten, risico s aanvaarden en het beleid inbouwen in de dagelijkse taken IT: technische implementatie Personeelsleden en studenten: naleving Page 21
Veel voorkomende root causes! Gebrek aan beleid Apathie Risico s onduidelijk Geen security by design Ad hoc, ongestructureerde aanpak Paswoord chaos bij IT Geen bewustzijn bij eindgebruikers Page 22
Ernst & Young Assurance Tax Transactions Advisory Over Ernst & Young s Advisory Services Om het maximale uit uw onderneming te halen, moet uw organisatie op effectieve wijze omgaan met fundamentele uitdagingen op het gebied van risico's en prestaties. Ernst & Young Advisory biedt een breed palet van diensten die u helpen de risico s te managen en de prestaties van uw organisatie en de processen waarvoor u verantwoordelijk bent te verbeteren, tot en met de (her)inrichting van uw bedrijfsprocessen. Onze dienstverlening is gebaseerd op specialistische sectorkennis en een uitgebreid internationaal netwerk. Of u zich nu richt op bedrijfstransformatie of op het vasthouden van resultaten, het feit dat de juiste adviseurs voor u werken, geeft zonder meer de doorslag. Onze 20.000 professionele adviseurs wereldwijd vormen samen een van de grootste mondiale adviesnetwerken. Zij leveren uiterst ervaren multidisciplinaire teams die met onze klanten samenwerken om een gedegen klantenervaring te bieden. Daarvan staan vanuit Ernst & Young Advisory België/Nederland circa 600 adviseurs tot uw dienst. Dankzij ons sterke internationale netwerk hebben we specifieke kennis en ervaring in huis van uw sector. Zodat resulteert wat verwacht mag worden: verrassende oplossingen gebaseerd op aantoonbare uitvoerbaarheid. Alleen zo wordt het beste uit de beschikbare mensen en middelen gehaald en optimaal geprofiteerd van de kansen in de markt, nu en in de toekomst. Contactgegevens Andy Deprez Partner andy.deprez@be.ey.com +32 477 627 848 Tim Wulgaert Director tim.wulgaert@be.ey.com +32 497 597 270 www.ey.com 2011 EYGM Limited. All Rights Reserved. This publication contains information in summary form and is therefore intended for general guidance only. It is not intended to be a substitute for detailed research or the exercise of professional judgment. Neither EYGM Limited nor any other member of the global Ernst & Young organization can accept any responsibility for loss occasioned to any person acting or refraining from action as a result of any material in this publication. On any specific matter, reference should be made to the appropriate advisor.