Security NS. Onno Wierbos, Barry Schönhage, Marc Kuiper

Vergelijkbare documenten
Secure Software Alliance

Back to the Future. Marinus Kuivenhoven Sogeti

Security web services

End-to-End testen: de laatste horde

Third party mededeling

Informatiebeveiliging & Privacy - by Design

Deny nothing. Doubt everything.

Naar een nieuw Privacy Control Framework (PCF)

ISSX, Experts in IT Security. Wat is een penetratietest?

Testnet Presentatie Websecurity Testen "Hack Me, Test Me" 1

Denken als een aanvaller Carlo Klerk Zeist. Verwijder deze afbeelding en voeg een nieuwe in.

Zest Application Professionals Training &Workshops

TESTEN % ITIL & ASL & BISL WAT HEEFT EEN TESTER AAN ITIL? EEN PRAKTISCH HULPMIDDEL OF BUREAUCRATISCHE BALLAST?

Paphos Group Risk & Security Mobile App Security Testing

Sr. Security Specialist bij SecureLabs

DevSecOps Een buzzword of toch een noodzakelijke stap richting Secure DevOps?

Deny nothing. Doubt everything.

Security Testing. Omdat elk systeem anderis

Privacy & Data event 18 mei Privacy by Design. Jan Rochat, Chief Technology Officer

Third party mededeling

Security assessments. het voor- en natraject. David Vaartjes

Security, Continuïty & Privacy by design. Jaap van der Veen CIO-office DG Belastingdienst

Het bouwen van veilige mobiele applicaties in agile teams. Wat is er nodig om niet de krantenkoppen te halen?

Het Sebyde aanbod. Secure By Design

Web Application Security Hacking Your Way In! Peter Schuler & Julien Rentrop

Grip op Secure Software Development de rol van de tester

Forecast XL Technology

Certified Ethical Hacker v9 (CEH v9)

SOA Security. en de rol van de auditor... ISACA Roundtable 2 juni Arthur Donkers, 1Secure BV arthur@1secure.nl

Security Pentest. 18 Januari Uitgevoerde Test(s): 1. Blackbox Security Pentest 2. Greybox Security Pentest

Beveiligingsbeleid Perflectie. Architectuur & Procedures

De FAS (Federal Authentication Service) Peter Strick SmartCities IDM workshop 07/05/2009

Het avontuur van een nieuw intranet. Frank Alta Product Owner intranet Sociale Verzekeringsbank (SVB)

Trust & Identity Innovatie

Wat te doen tegen ransomware

Certified Ethical Hacker v9 (CEH v9)

De brug tussen requirement engineer en gebruiker

Sebyde AppScan Reseller. 7 Januari 2014

OMSCHRIJVING. Opleiding IT PRO

IT Galaxy 2018 ON THE RIGHT TRACK ON THE RIGHT TRACK. Secure by design #PQRITG18 #PQRITG18

Het Sebyde aanbod. Secure By Design. AUG 2012 Sebyde BV

Accelerate? Automate!

Security Testing. Mark Bergman & Jeroen van Beek Platform voor Informatie Beveiliging 17 december 2009

SWAT PRODUCT BROCHURE

B.Sc. Informatica Module 4: Data & Informatie

Dennis Reumer 9 Oktober

Enterprise SSO Manager (E-SSOM) Security Model

Service

Business Impact Anlayses worden in de meeste organisaties eens per jaar of eens per halfjaar geactualiseerd en bevatten meestal beschrijvingen van:

Organisatie, beheer en lifecycle management. Vergroot de grip op uw cyber security domein.

Software Processen. Ian Sommerville 2004 Software Engineering, 7th edition. Chapter 4 Slide 1. Het software proces

Keynote: Gevaren van zowel het GSM als het Wi-Fi netwerk

Testen van security Securityrisico s in hedendaagse systemen

Testing University. A fool with a tool is still a fool

2690,00 excl. BTW. Belangrijk: Deelnemers dienen zelf een laptop mee te brengen voor de hands-on icloud-lab-oefeningen. #120466

IT Galaxy 2018 ON THE RIGHT TRACK ON THE RIGHT TRACK #PQRITG18 #PQRITG18

Zelftest Java EE Architectuur

Overheidsservicebus met volledige Digikoppeling connectiviteit. Foutberichten en foutafhandeling

Technische architectuur Beschrijving

Requirements Traceability. Marcel de Baas, Jan Bank, Edwin Buisman, Frits Jacobs, Kitty Spaas, Erik Venema, Arno Zandman

Certified Ethical Hacker v9 (CEH v9)

Training en workshops

Parasoft toepassingen

Ethical hacking en Auditing. ISACA Round table. 11 juni 2018 Van der Valk Hotel - Eindhoven

De organisatorische (trein)reis naar een Shared Service Center bij de Nederlandse Spoorwegen

ISACA round-table 7 december 2009 Rik Marselis

Dr. ir. Jaap Vreeswijk, MAPtm 25 oktober Use cases

Solution Dag refresh-it. Printing. Frits de Boer Frenk Tames

Inhoud. Deel een Het ontwikkeltraject 13. Inleiding 11

Big Data en Testen samen in een veranderend speelveld. Testnet 10 april 2014 Paul Rakké

Data? Informatie? Kennis! Wijsheid!

De Enterprise Security Architectuur

Adding value to test tooling Hoe en waarom DevOps de wereld van performance testen verandert

Cloud. Regie. Cases.

SAML & FEDERATED IDENTITIES. The Single Sign-on provider

vra + NSX and it all comes together

Readiness Assessment ISMS

Plan van aanpak. 1 Inleiding. 2 Onderzoek. 3 Taken. Kwaliteitswaarborging van webapplicaties. Rachid Ben Moussa

Belastingdienst MCC Visie op mobiel en interactie met burgers en bedrijven

Business Continuity Management. Pieter de Ruiter 1 / MAXIMAAL DRIE WOORDEN

NORA werkdocument. Katern Beveiliging. In 3 klikken naar bouwstenen voor invulling van de eisen. Sessie 6. Bijgewerkt op 23 aug.

Medische Apps ontwikkel en gebruik ze veilig! Rob Peters & Roel Bierens

Requirements Management Werkgroep Traceability

Software Test Plan. Yannick Verschueren

De praktische kant van de Cloud De Cloud en modellen maken pay per use mogelijk

Onderzoek naar de veiligheid c.q. beveiliging van de SURFnet IDS dienst. Lourens Bordewijk & Jimmy Macé

Identity & Access Management (IAM) Verleden, heden en toekomst 24 maart Trudie Seegers

Risk & Requirements Based Testing

3254,90 incl. BTW OMSCHRIJVING PROGRAMMA. Opleiding IT PRO

Proefexamen ITIL Foundation

Transport Layer Security. Presentatie Security Tom Rijnbeek

Geen ISO zonder pragmatiek! Implementeren van een ISMS, niets nieuws.

Continuous testing in DevOps met Test Automation

Model driven Application Delivery

Labo-sessie: Gegevensbeveiliging

Riskpoker - Confirmation - Planningpoker. Opfrissing TMap NEXT in scrum en toelichting op de opdracht Leo van der Aalst - Jos Punter - Hans Lantink

Succes = Noodzaak x Visie x Draagvlak 2. Case: Implementatie Requirements Lifecycle management bij Rabobank International

5 Hackaanvallen die uw webwinkel bedreigen. Hans Bouman B2U

Test Automatisering? Mislukken Slagen gegarandeerd! Ruud Teunissen - Polteq Test Services BV

Transcriptie:

Security Testen @ NS Onno Wierbos, Barry Schönhage, Marc Kuiper

On Board Information System (OBIS) 3 Security testen binnen OBIS

4

Security test op het nieuwe CMS Scope: Het nieuwe CMS vanuit reizigersperspectief Ik zit in de trein en maak verbinding met Wifi in de trein Waar kan ik bij waar ik niet bij zou mogen? Voor én na het accepteren van de gebruikersvoorwaarden (captive portal) OWASP (Open Web Application Security Project ) TOP10 Blackbox approach (eigenlijk grey/white box, gezien mijn voorkennis) 5 Security testen binnen OBIS

Testopstelling 6 Security testen binnen OBIS

Wat te doen met de resultaten? Nader onderzoek: Tools geven hele concrete meldingen, maar ook hele vage meldingen Kans op False positives/negatives is behoorlijk Alles handmatig naspelen Rapporteren Rapportje met bevindingen Vastleggen in bevindingen registratie van het project, maar Separate excel met details Versturen buiten NS? Voorzichtigheid geboden! 7 Security testen binnen OBIS

XSS Cross Site Scripting in effect Voor Na 8 Security testen binnen OBIS

Winst? Wat hebben we er aan? We krijgen vroegtijdig al inzicht in het kwaliteitsaspect security Professionalisering van het testproces Beter ondersteuning van het ontwikkelproces Resulterend in een hogere kwaliteit van opleveringen Maar Nog steeds onafhankelijke partij voor finale pentest Dan wel white- of zelfs crystalbox Nog meer winst te behalen? 9 Security testen binnen OBIS

Interesse gewekt? Kali Linux tutorial op pluralsight https://www.pluralsight.com/courses/kali-linux-penetration-testing-ethical-hacking Portal met overzicht van hacktools https://www.concise-courses.com/hacking-tools/ Spelen? Bewust kwetsbare applicaties; Webgoat en Mutillidae https://www.owasp.org/index.php/category:owasp_webgoat_project https://www.owasp.org/index.php/owasp_mutillidae_2_project Oefenenwebsite met uitdagingen van oplopend niveau https://www.hackthissite.org/ 10 Security testen binnen OBIS

11 Security Testen Viool

Application Security Frameworks 12 Security Testen Viool

ISF application security framework B1 Application Security Requirements Business Impact Analyse (BIA) Privacy Impact Analyse (PIA) Security Beleid Rollen en verantwoordelijkheden 13 Security Testen Viool C1 Application Security Architecture Functioneel bijvoorbeeld > 20.000 gebruikers maak gebruik van SSO Moet aansluiten op de bestaande AD C3 Threat modeling (Design) Ontwerpers maken de diagrammen Ontwerpers en testers maken de dreigingen D3 OWASP top 10 of Certified Secure checklist D5 Application Security Testing Application Security Testing volgens OWASP Web Application Testing Penetratietesten intern / extern

TCC Security Test Proces Requirements Design / Development Deployment BIA, PIA, Security Beleid Threat modeling Security Maatregelen of ontwerp aanpassen Security Testen Penetration testing (CEH) Rol TCC Doet een review van het document of heeft een actieve bijdrage Rol TCC Ontwerpers maken de diagrammen Ontwerpers en testers maken de dreigingen Security Officer heeft QA rol

Application Threat Modeling 15 Security Testen Viool

Application Threat Modeling - Stappen Stap 1 Decompositie van de applicatie Begrijpen hoe de applicatie werkt en de interactie met externe systemen Identificeren van entry points voor een aanval Identificeer assets waar een aanvaller mogelijk geïnteresseerd in is Identificeer trust levels Opstellen van Data Flow Diagram Diagram Stap 2 Identificatie en ranken van threats STRIDE threat categorisering toepassen Bepalen van security risico voor elke threat door middel van bijvoorbeeld DREAD of de kans x impact Diagram Stap 3 Bepalen van tegen maatregelen en mitigatie Sorteer threats op basis van risico Gebruik van threatcountermeasure mapping lists Diagram

Reiziger Decompositie van de applicatie Request Response Tussenlaag Request Data Response Proxy en Planner Datafile Data Dataverwerking bron systemen

Reiziger Trust boundaries Request Response Datacenter API laag Request Data Plan data Response Proxy en planner Datafile Data Bron Dataver werking Bron

A Reiziger 1 Actoren en processen 3 2 E API laag 5 B Aanlevering Data 4 Viool F 6 9 D Bron 8 7 C Bron

STRIDE threat list Security Control Spoofing Tampering Repudiaton Information disclosure Denial of service Elevation of priviliges Authentication Integrity Non-Repudiation Confidentiality Availability Authorization 20 Security Testen Viool

Bepalen van tegen maatregelen en mitigatie Spoofing Identity Repudiation Denial of Service Appropriate authentication Digital signatures Filtering Protect secret data Timestamps Throttling Don't store secrets Audit trails Quality of service Tampering with data Appropriate authorization Hashes Digital signatures Tamper resistant protocols Information Disclosure Elevation of privilege Authorization Run with least privilege Privacy-enhanced protocols Encryption 21 Security Testen Viool

Web Application Security Testing Configuration and Deployment Management Testing Identity Management Testing Authentication Testing Authorization Testing Input Validation Testing Testing for Error Handling Testing for weak Cryptography Business Logic Testing Client Side Testing Session Management Testing 22 Security Testen Viool

HTTPS valideren HTTPS protocol is gebouwd op TLS/SSL om data te encrypten De veiligheid hangt af van: Encryptie algoritme Robuustheid van de sleutels SSL/TLS moet goed geconfigureerd zijn 23 Security Testen Viool

Wireshark voorbeeld / HTTPS test voorbeeld 24 Security Testen Viool

TCC Security Test Proces Requirements Design / Development Deployment BIA, PIA, Security Beleid Threat modeling Security Maatregelen of ontwerp aanpassen Security Testen Penetration testing (CEH) Rol TCC Doet een review van het document of heeft een actieve bijdrage Rol TCC Ontwerpers maken de diagrammen Ontwerpers en testers maken de dreigingen Security Officer heeft QA rol

26 Security Testen Viool

2024 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback