Security by Design Security Event AMIS 4 december 2014
Een bedrijf... Mens Organisatie Techniek (PPEI)
Incidenten Stuxnet RSA hack Diginotar Dorifel Belgacom KPN hack Spamhouse APT1 2010 2011 2012 2013 DDOS attack door Anonymous SONY Playstation Network hack Lektober Flame PRISM DDOS banken
Wie is de hacker Gefrusteerde medewerker Crimineel Overheden Spion Terrorist / hacktivisten Cyberonderzoekers Organisaties Kiddies
Wat is nuttig voor een hacker? Toegang tot een Netwerk, bijvoorbeeld user ID en passwords Fysieke toegang tot een data center E-mail adressen Bekende kwetsbaarheden in bepaalde (vaak oude) versies van software Vriendelijke behulpzame medewerkers
Welke technieken gebruiken zij Tooltjes op het Internet Infectie door Malware (malicious software, bijv. virussen) Botnets Social engineering Phishing Shoulder surfing APT; Advanced Persistent Threats Combinatie van bovenstaande technieken gedurende lange periode
Top 10 Informatie Security dreigingen 1. Software met kwetsbaarheden 2. Oude versies van software en OS 3. Onveilige netwerken 4. Medewerkers met onveilig gedrag 5. Ontevreden (ex) medewerkers 6. Malware, virussen 7. Mobiele apparaten 8. Social engineering 9. Gebrek aan security / privacy beleid in een organisatie 10.???????
Wie zijn het doelwit? Financiële instellingen Overheden Gezondheidszorg Productie industrie Wij Allemaal Burger Vitale industrie Applicatie bouwers Ondernemingen Hosting providers
Doel Informatiebeveiliging Vertrouwelijkheid Beschikbaarheid Integriteit
Spanningsveld Security; hoe bescherm ik mijn informatie? Software
Waarom is software kwetsbaar? Secure coding heeft geen aandacht Software verouderd Software is complex Software is overal Software komt overal vandaan Software moet overal op aansluiten
Weerbaarheid Driehoek Intern / extern Mensen Gevaren Organisatie / Processen Technologie Response Team Gelegenheid Dreigingen
Weerbaarheid Bijwerken Bijwerken Terugval Terugval zonder refresh Assessment Tijd
Maatregelen Preventief Secure by Design Secure by Default Weerbaarheid training Detectief Logging Monitoring SIEM Defensief Firewall Spam filter Encryptie
Secure by Design Risico analyse Classificatie Requirements fase Security principles Compliance Secure Architecture Secure Development
Risico Analyse Schade erg klein klein gemiddeld hoog zeer hoog 1 2 4 8 16 zeer hoog 5 5 10 20 40 80 hoog 4 4 8 16 32 64 Kans middelmatig 3 3 6 12 24 48 klein 2 2 4 8 16 32 erg klein 1 1 2 4 8 16
Requirements fase Business Functional System
Security Principles Fail Safe Trust but Verify Secure the weakest Link Defense in Depth Secure Design Principes Avoid security by Obscurity End to End security KISS
TOGAF BSIMM Open SAMM MS-SDL BMIS development Process modellen processen Management systems ITIL NEN7510 COBIT ISO 27001 ISO 27005 ISO 27002 ISO 31000 ISO 22301 Standard of good practice operations SABSA Common Criteria ISO 27033 CWE/SANS Top-25 ISO 25010 OWASP ASVS Modelling & measurement product Testing & monitoring Penetratie test Bron: Prof. Joost Visser; Software Improvement Group & Radboud University Nijmegen PCI-DSS Intrusion detection CVSS Ethical hacking ISO/IEC 27035 ISAE 3402 CERT SSAE 1601
Secure Development Vroeg, Vaak & Voortdurend Verlies van klantvertrouwen Rechtszaken Reputatieschade Reparatie kosten Boetes Productie Bij een incident Vroeg testen bespaart veel geld. 80% van de ontwikkelkosten wordt besteed aan het opsporen en oplossen van fouten 100x Deployment Dynamisch testen Oplossen van een kwetsbaarheid in een applicatie die al in productie is kost 100 keer meer dan in de design fase 15x Test Acceptatie testen 1x Design Secure by Design 6,5 x Development Statisch testen
Security by Default Door middel van systeeminstellingen maximale security van betrokkenen waarborgen en waar mogelijk door het systeem laten afdwingen Security is gewaarborgd doordat het is ingebouwd in het systeem Als het individu niets doet is toch de security gewaarborgd
Samenvattend Criminelen Overheid Bedrijven Tone at the Top Uw Security is onze zorg MVO Wees Transparant Klantvertrouwen Verifieer Testen Trainen Audit Preventie is key Security by Design / Default Test vroeg, vaak en voortdurend
Sebyde Academy Internet Weerbaarheid Management Medewerkers ICT Professional Programma management 1. Optimaal Weerbaar Workshop ½ dag 5 dgn + x wkn 2. Bewust Worden Training 1 dag + 6 wkn 3. Bewust Zijn Training ½ dag 4. Bewust Handelen Workshop ½ dag 5. Train de Trainer Training ½ dag 6. Update Training ½ dag / Kwartaal EC Council Cursus Aanvraag CISSP Cursus Aanvraag ISO 27002 Cursus Aanvraag
Contact us E-mail info@sebyde.nl Web www.sebyde.nl www.sebydeacademy.nl Twitter www.twitter.com/sebydebv LinkedIn www.linkedin.com/company/sebyde-bv Facebook facebook.com/sebydebv facebook.com/sebydeacademy
Thank You Derk Yntema (derk.yntema@sebyde.nl)