Sr. Security Specialist bij SecureLabs



Vergelijkbare documenten
H t ICT -Beveili iligings- assessment DigiD & Informatiebeveiliging

Jacques Herman 21 februari 2013

Security Testing. Omdat elk systeem anderis

makkelijke en toch veilige toegang

ISSX, Experts in IT Security. Wat is een penetratietest?

Solution Dag refresh-it. Printing. Frits de Boer Frenk Tames

Het Sebyde aanbod. Secure By Design

Handleiding uitvoering ICT-beveiligingsassessment

SCAN UW NETWERK SECURITY. Krijg een helder beeld van de kwetsbaarheden en voorkom schade

Factsheet Penetratietest Infrastructuur

Template Powerpoint Datum

Factsheet Penetratietest Informatievoorziening

Het Sebyde aanbod. Secure By Design. AUG 2012 Sebyde BV

Zest Application Professionals Training &Workshops

Bijlage 1: DigiD aansluiting no.1 - Bijlage B + C Gemeente Loppersum

Security Testing. Mark Bergman & Jeroen van Beek Platform voor Informatie Beveiliging 17 december 2009

Aanbevelingen en criteria penetratietest

Partners in Information Security. Partners in Information Security. Peter Rietveld. DDoS in perspectief

Security Assessment. Laat uw bedrijfsbeveiliging grondig testen

HET CENTRALE SECURITY PLATFORM

Gemeente Alphen aan den Rijn

Norm ICT-beveiligingsassessments DigiD

Aan de Voorzitter van de Tweede Kamer der Staten- Generaal Postbus EA Den Haag

Beveiligingsmaatregelen voor een doeltreffende Cyber verdediging

Wat te doen tegen ransomware

Introductie Veiligheidseisen Exploiten Conclusie. Browser security. Wouter van Dongen. RP1 Project OS3 System and Network Engineering

Unified Enterprise Security wordt geleverd door onze strategische partner Masergy, de wereldspeler in global communications en security.

Keynote: Gevaren van zowel het GSM als het Wi-Fi netwerk

Dataprotectie op school

Whitepaper. Veilig de cloud in. Whitepaper over het gebruik van Cloud-diensten deel 1.

Privacy Bijsluiter Digitale Leermiddelen Basisonderwijs (Dr. Digi), Noordhoff Uitgevers

Rapportage DigiD Assessment - ENSIA 2017 Aansluiting no.1 Bijlage B en C

Paphos Group Risk & Security Mobile App Security Testing

INFORMATIEBEVEILIGING: WAAR STAAT U NU?

INFORMATIEBEVEILIGING VOOR WEBWINKELS

IBM; dataopslag; storage; infrastructuur; analytics; architectuur; big data

De Security System Integrator Het wapen tegen onbekende dreigingen

Resultaten van de scan. Open poorten. High vulnerabilities. Medium vulnerabilites. Low vulnerabilities

Targets. Wie zou er iets tegen ons hebben? We zijn toch geen bank? Wat kunnen ze doen met onze gegevens?

The bad guys. Motivatie. Info. Overtuiging. Winst

5W Security Improvement

Hardening. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)

Op 14 maart 2017 publiceerde het DNB Expertisecentrum Operationele en IT Risico's een memo 'Toelichting Toetsingskader Informatiebeveiliging 2017'.

Informatiebeveiliging En terugblik op informatiebeveiliging 2016

DE 5 VERBETERPUNTEN VAN UW SECURITY

WHITEPAPER. Security Assessment. Neem uw security serieus en breng het tot een hoger niveau. networking4all.com / whitepaper / security assessments

Voor onder meer volgende preventieve diensten hebben wij sterke partners : Doopput Kontich

Bijlage 2: Communicatie beveiligingsincidenten

Productopbouw. BrainCap levert cybersecurityoplossingen in 3 stappen.

HOE OMGAAN MET DE MELDPLICHT DATALEKKEN?

Hoe veilig is uw data? Oscar Vermaas Hoffmann bedrijfsrecherche B.V.

Technische QuickScan. JOMA secundair Merksem Pagina 1 van 28

Beveiliging van smartphones in de zorg

Certified Ethical Hacker v9 (CEH v9)

Een veilige draadloze internet-en netwerkverbinding in uw gemeente, voor u en uw burgers. Hoe pakt u dit aan? impakt.be

Certified Ethical Hacker v9 (CEH v9)

Bent u een onderneming 1.0 of 2.0? Doe de test en ontdek uw resultaten!

E X P O N E N T I A L T I M E S L E A D TO E X P O N E N T I A L

Bring Your Own ID HET NIEUWE INLOGGEN VOOR OVERHEID EN BEDRIJFSLEVEN

Informatiebeveiliging in de 21 e eeuw

m.b.v. digitale certificaten en PKI Versie: mei 2002 Beknopte Dienstbeschrijving beveiligen van VPN s

Sebyde Security in een organisatie A3 Management Workshop. 7 Januari 2014

Beveilig klanten, transformeer jezelf

IT Galaxy 2018 ON THE RIGHT TRACK ON THE RIGHT TRACK. Secure by design #PQRITG18 #PQRITG18

Asset 1 van 17. Mobile Application Management en security. Gepubliceerd op 18 april 2015

Beschrijving maatregelen Informatie beveiliging centrale omgeving

Privacy Bijsluiter (digitale) leermiddelen en educatieve diensten voor het primair onderwijs van Blink

Bewustwording en awareness TIPS EN HANDVATTEN OM HET RISICO OP EEN DATALEK TE VERKLEINEN

CLOUDCOMPUTING (G)EEN W LKJE AAN DE LUCHT!

WHITEPAPER DEEPBLUE HONEYPOT

Security by Design. Security Event AMIS. 4 december 2014

Databeveiliging en Hosting Asperion

Forensisch IT Onderzoek Authenticatie

De Nationale Wasstraat (NaWas)

Certified Ethical Hacker v9 (CEH v9)

Asset 1 van 4. Data Recovery as a Service. Gepubliceerd op 9 november 2015

Stappen ze bij u ook gewoon door de achterdeur binnen? Bart de Wijs. IT Security in de Industrie. FHI 11 Mei 2006

Advocatuur en informatie beveiliging Een hot topic

Authentication is the key

Tags: online; websites; automatisering; infrastructuur; cloud; infrastructure; Mirabeau; 626; automation; guidelines

Stappenplan naar GDPR compliance

BIJLAGE 6: VASTSTELLINGEN IN CIJFERS

Kennissessie Information Security

De hierna met een hoofdletter aangeduide begrippen hebben in deze Voorwaarden de volgende betekenis:

w o r k s h o p s

Black Hat Sessions X Past Present Future. Inhoud BHS III Live Hacking - Looking at both sides of the fence

SiteSafe. Rapportage. Security Audit voor CFConsultancy

INFORMATIEBEVEILIGING: WAAR STAAT U NU? HANDIGE CHECKLISTS VOOR DE FINANCIELE SECTOR

We maken inzichtelijk op welke punten u de beveiliging van uw applicaties en infrastructuur kunt verbeteren.

Factsheet Penetratietest Webapplicaties

BootCamp. Template Powerpoint Datum

Welkom bij parallellijn 1 On the Move uur

VERSIE 1.0 WOLFMEISTER VOF SERVICE LEVEL AGREEMENT UITGEREIKT DOOR: WOLFMEISTER IT. Graafseweg AL - s-hertogenbosch KVK

Factsheet SECURITY SCANNING Managed Services

Sebyde Prijslijst

Informatieveiligheid, de praktische aanpak

WHO NEEDS ENEMIES WAAR DIENT U OP TE LETTEN? De BrainCheck is o.a.

ENSIA guidance DigiD-assessments

Transcriptie:

Wie ben ik? Ronald Kingma, CISSP ronald@securelabs.nl Sr. Security Specialist bij SecureLabs

Introductie SecureLabs Voorheen ISSX Code of Conduct Real Penetration Testing Vulnerability Management

Veiligheidsincidenten afgelopen maanden?

Beveiliging webapplicaties Op 2 februari 2012 heeft minister Spies in een brief aan de Tweede Kamer aangegeven dat alle organisaties die DigiD gebruiken, moeten voldoen aan een beveiligingsnorm. Via een ICT-beveiligingsassessment moeten zij dit vervolgens laten toetsen. Het in de brief geformuleerde beleid is erop gericht om de kwaliteit van ICT-beveiliging een impuls te geven.

DigiD risico s One-factor authenticatie (gebruikersnaam / wachtwoord) Eventueel aan te vullen met SMS authenticatie (inmiddels gekraakt!) Wachtwoordbeleid is aangepast, maar wordt niet afgedwongen bij bestaande gebruikers Te vrijblijvend!

DigiD is een Single Point of Failure DDoS Blacklisting Storingen Etc.

Impact analyse KING ICTbeveiligingsassessment DigiD Software Processen Infrastructuur

Stappenplan Zelf toetsen aan de hand van richtlijnen Maatregelen treffen Penetratietest uitvoeren Eventuele bevindingen oplossen Audit uitvoeren Bevindingen naar Logius sturen

Issue: Scope De scope van de toetsing is "de internet-facing webpagina's, systeemkoppelingen en infrastructuur die met DigiD gekoppeld zijn en betrekking hebben op het proces". Met systeemkoppelingen wordt met name de system-to-systemkoppeling (authenticatieverzoek en uitwisselen RID en verificatieverzoek van webdienst) bedoeld.

Focus: DigiD koppeling Pentest: steekproef van variabelen op website => 100 variabelen, we testen er 30 Audit heeft focus op controle, zijn de steekproeven goed, dan passed. Niet geteste variabelen kunnen nog steeds kwetsbaar zijn

Moeten we tijdens de penetratietest en audit niet verder gaan dan alleen de DigiD koppeling? Hackers worden hierdoor ook niet beperkt.

Positief is natuurlijk wel dat er bewustwording is en dat er in ieder geval getest wordt, ook al is dit beperkt

Scenario s / Attack Vectoren Toegang tot webserver met DigiD koppelingen via management systemen Toegang tot netwerkcomponenten / firewalls om zo data te onderscheppen Toegang tot interne systemen Etc. etc. etc. etc.

Waar zitten de kwetsbaarheden?

20% websystemen van Nederlandse gemeenten is door gebruik van verouderde software onvoldoende beveiligd (jan. 2013)

Gemeenten mikpunt Russische spionage (juli 2013)

Hoe werkt een hacker? Eerste doel is toegang tot het netwerk door bijvoorbeeld: Social Engineering Verouderde software / slechte applicaties Eenmaal binnen, installeer een backdoor om toegang te houden en wis de sporen

Hoe werkt een hacker? Toegang vaak door misleiding, bijv. DDoS welke echte aanval maskeert

Hoe werkt een hacker? Op het netwerk: Sniffer userid s / passwords Zoek naar gevoelige informatie Etc.

Trends Denial of Service aanvallen APTs Web applicatie aanvallen De mens BYOD / Mobile devices Cloud

Social Engineering Niet op zoek naar burgemeester, wethouder of topambtenaar, maar lagere functie in gemeentehuis. Secretaresse Systeembeheerder Ambtenaren Worden vaak over het hoofd gezien, maar hebben toegang tot gevoelige informatie

Wat moeten we doen? Omarm het zero trust model Ga er van uit dat je system gecompromitteerd raakt als deze het al niet is en neem de stappen om risico s zo snel mogelijk te identificeren en te elimineren. Er is geen buitenkant (perimeter), [en] geen vertrouwde gebruikers. Vergeet vertrouwen en controleer.

Penetratietest Voorbereiding: Stappenplan Uitvoer: Informatie inwinnen Uitvoer: service discovery / vulnerability assessment Uitvoer: hacking Rapportage

Penetratietest Eventueel aan te vullen met: Uitvoer: behouden van toegang Uitvoer: sporen wissen

Vulnerability Management Beveiliging handhaven is niet eenvoudig Waarborgen van permanente beveiliging door het systematisch opsporen en elimineren van kwetsbaarheden in het netwerk

Vulnerability Management Patchen is geen vervanging voor Vulnerability Management Scannen naar kwetsbaarheden zonder opvolging is niet voldoende

Vulnerability Management Detecteren en managen

Security Awareness Alerte medewerkers, een alert management en alerte veiligheidsprofessionals zijn essentieel om illegale activiteiten tijdig te herkennen.

Samenvattend Zorg voor identificatie, monitoring, mitigatie en controle Maak risico s inzichtelijk en classificeer deze Bewustwording op alle niveau s

Media Zorg dat PR en Marketing een draaiboek hebben liggen voor als het misgaat Journalisten bellen niet meer voor een afspraak, ze komen gewoon

Contact us

2024 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback