Continuous Auditing. Onderdeel van een volwaarde beveiligingsorganisatie

Vergelijkbare documenten

Maturity van security architectuur

Informatiebeveiliging & Privacy - by Design

MULTIFUNCTIONELE DIGITALE SYSTEMEN. Windows Server 2003, Server 2008 & Scan-to-file

Readiness Assessment ISMS

Control driven cyber defense

Session Educa-on October 2013

Continuous testing in DevOps met Test Automation

Settings for the C100BRS4 MAC Address Spoofing with cable Internet.

Informatiebeveiliging & ISO/IEC 27001:2013

André Salomons Smart SharePoint Solutions BV. Cloud security en de rol van de accountant ICT Accountancy praktijkdag

Seriously Seeking Security

It s CMMI Jim, but not as we know it! CMMI toegepast op een Compliance organisatie Door Jasper Doornbos Improvement Focus

Stappen ze bij u ook gewoon door de achterdeur binnen? Bart de Wijs. IT Security in de Industrie. FHI 11 Mei 2006

BootCamp. Template Powerpoint Datum

Auteurs: Jan van Bon, Wim Hoving Datum: 9 maart Cross reference ISM - COBIT

Snel naar ISO20000 met de ISM-methode

Incidenten in de Cloud. De visie van een Cloud-Provider

GDPR & GeoData Omgaan met gegevensbescherming in een digitale wereld in verandering

2 e webinar herziening ISO 14001

Business as (un)usual

General info on using shopping carts with Ingenico epayments

Het Sebyde aanbod. Secure By Design. AUG 2012 Sebyde BV

Who are we? Madison Gurkha Protectors of your data and systems! Largest independant security testing and advisory company in NL

Veilig samenwerken. November 2010

ISA SP-99 Manufacturing and Control Systems Security

Internettechnlogie, systteem- en netwerkbeheer MODULECODE STUDIEPUNTEN 10 VRIJSTELLING MOGELIJK ja

ICT-Risico s bij Pensioenuitvo ering

Architecten-debat 21 juni 2006 PI GvIB Themamiddag. Renato Kuiper. Principal Consultant Information Security

Bescherming van (software) IP bij uitbesteding van productie

De laatste ontwikkelingen op het gebied van NEN-EN normering de nieuwe norm is compleet

Wat komt er op ons af?

Optimale ICT-beveiliging. Van advies en ontwikkeling tot implementatie en beheer

Requirements Traceability. Marcel de Baas, Jan Bank, Edwin Buisman, Frits Jacobs, Kitty Spaas, Erik Venema, Arno Zandman

Standard Parts Installatie Solid Edge ST3

Process Mining and audit support within financial services. KPMG IT Advisory 18 June 2014

Ervaringen met begeleiding FTA cursus Deployment of Free Software Systems

Beveiliging in Industriële netwerken. Waarom monitoring een goed idee is

Naar een nieuw Privacy Control Framework (PCF)

Information security officer: Where to start?

Welkom. De fysieke beveiliging van uw industriële netwerk. Sjoerd Hakstege van Eekhout Network & Security Specialist Phoenix Contact B.V.

E X P O N E N T I A L T I M E S L E A D TO E X P O N E N T I A L

Activant Prophet 21. Prophet 21 Version 12.0 Upgrade Information

Software Processen. Ian Sommerville 2004 Software Engineering, 7th edition. Chapter 4 Slide 1. Het software proces

Hoe met Windows 8 te verbinden met NDI Remote Office (NDIRO) How to connect With Windows 8 to NDI Remote Office (NDIRO

Citrix XenApp and XenDesktop Fast Track

Integratie van Due Diligence in bestaande risicomanagementsystemen volgens NPR 9036

User-supplied VMs op BiG Grid hardware

ISO/IEC in een veranderende IT wereld

UNECE/UNESCAP Workshop on. Electronic Trade Documents. Ulaanbaatar, Mongolia, October 2009

Hoe overleven in een wereld van cyberspionage, hackers en internetoplichters? Jan Verhulst

IBM i Security. Common Nederland april

We maken inzichtelijk op welke punten u de beveiliging van uw applicaties en infrastructuur kunt verbeteren.

Cloud dienstverlening en Informatiebeveiliging. ISACA Round Table Assen - Maart 2017

Risk & Requirements Based Testing

NS in beweging, Security als business enabler september 2008

Factsheet SECURITY SCANNING Managed Services

Firewall van de Speedtouch 789wl volledig uitschakelen?

ESET Anti-Ransomware Setup

Contents. Introduction Problem Definition The Application Co-operation operation and User friendliness Design Implementation

"Baselines: eigenwijsheid of wijsheid?"

[ ] OVER ASCOM HARRY WASSENS, SALES DIRECTOR. Over Ascom Harry Wassens Ascom (Nederland) B.V.

E-learning maturity model. Hilde Van Laer

vra + NSX and it all comes together

Privacy & Data event 18 mei Privacy by Design. Jan Rochat, Chief Technology Officer

Testen van security Securityrisico s in hedendaagse systemen

8 nov InAudit 1. Cybersecurity: moet ROBBERT KRAMER

Wat is Cyber Security Management? 3 oktober ISA / Hudson Cybertec Arjan Meijer Security Consultant

GDPR voor KVK 6/03/2018

BLIJVEND STRUCTUREEL TEKORT AAN DIGITAL EXPERTS!

Welke standaard is het beste? 4 december 2008, Bianca Scholten, bianca.scholten@task24.nl, tel

Onderzoek naar de veiligheid c.q. beveiliging van de SURFnet IDS dienst. Lourens Bordewijk & Jimmy Macé

Plan van aanpak. 1 Inleiding. 2 Onderzoek. 3 Taken. Kwaliteitswaarborging van webapplicaties. Rachid Ben Moussa

Solution Dag refresh-it. Printing. Frits de Boer Frenk Tames

Enterprise Security Architecture A BUSINESS DRIVEN APPROACH AAD UITENBROEK COMPETENCE CENTER SECURITY 0 / MAXIMAAL DRIE WOORDEN

Modellen, Raamwerken en Methode s

Pijlers van Beheer. Bram van der Vos

De Enterprise Security Architectuur

Scope Of Work: Sourcefire Proof Of Concept

IT Galaxy 2018 ON THE RIGHT TRACK ON THE RIGHT TRACK #PQRITG18 #PQRITG18

AT One Touch Network Assistent. Fluke Versiv

7 aug Snelstart document Thecus N2100 Y.E.S.box BlackIP Versie 1.0

CREATING VALUE THROUGH AN INNOVATIVE HRM DESIGN CONFERENCE 20 NOVEMBER 2012 DE ORGANISATIE VAN DE HRM AFDELING IN WOELIGE TIJDEN

Configureren van een VPN L2TP/IPSEC verbinding

Security- en Compliance-monitoring. Remco van der Lans Senior Solutions Consultant KPN Security Services

BABOK meets BiSL. Marcel Schaar, IIBA Dutch Chapter Mark Smalley, ASL BiSL Foundation Jan de Vries, ASL BiSL Foundation. Kennissessie, 19 januari 2016

Hoe start ik een test competence center of excellence? Thomas Veltman

Mobile Devices, Applications and Data

Sarbanes-Oxley en de gevolgen voor IT. Daniel van Burk 7 november 2005

NBA Waardecreatie, Integrated Thinking en Integrated Reporting. 17 januari 2017 Paul Hurks

HET GAAT OM INFORMATIE

Agenda. Over KPN en de relatie tot Docker Contains paradigma De uitdagingen De benefits Vragen. 2 The good, the bad and the containers

Identity & Access Management & Cloud Computing

Enterprise Architectuur. een duur begrip, maar wat kan het betekenen voor mijn gemeente?

1 Copyright 2016 Deloitte Risk Services B.V. All rights reserved.

Volwassen Informatiebeveiliging

ISO/IEC 20000, van standaardkwaliteit naar kwaliteitsstandaard. NGI Limburg 30 mei 2007

BCM en de Cloud. CSA-nl 10 april 2012 André Koot

Enterprisearchitectuur

m.b.v. digitale certificaten en PKI Versie: mei 2002 Beknopte Dienstbeschrijving beveiligen van VPN s

Transcriptie:

Continuous Auditing Onderdeel van een volwaarde beveiligingsorganisatie 8 maart 2006 Matthijs Koot, Jonel Spellen, Fangbin Liu Universiteit van Amsterdam Master Systeem en NetwerkBeheer 2005-2006 Large Installation Administration 1

Opzet Waarom te auditen? (Matthijs) Wat te auditen? (Jonel) Hoe te auditen? (Fangbin) 2

Opzet Waarom te auditen? (Matthijs) Wat te auditen? (Jonel) Hoe te auditen? (Fangbin) Noot: ons verhaal gaat NIET over (EDP-)auditing in formele zin! 2

Waarom te auditen? Rode draad: Begripsdefinitie + rechtvaardiging Verbanden met: systeemontwikkeling systeembeheer 3

Continuous Auditing Wat is "auditing"? Systematisch onderzoek naar organisatie, werkwijzen en procedures Controle op naleving van normen(kaders) De rest volgt op 17 maart (gastcollege KPMG) Wat is "continuous auditing"? écht continu perodiek - Ad 2.1: echt continu= inband -verankerde controles (vgl. halt-on-audit-failure Grid) - Ad 2.2: periodiek= out-ofband controleprocessen 4

Continuous Auditing (2) Continuous auditing in verschillende betekenissen: Kern: financiën Vanwege Ahold, Enron Ondersteunend: ICT Vanwege Ahold, Enron :-) 5

Waarom dit alles? Goed huisvaderschap Common sense? Nederlandse corporate governance code SOx, HIPAA, NEN7510,... 6

Beginselen Informatie is een productiemiddel (geworden) Kwaliteit van informatievoorziening is belangrijk voor bedrijfsvoering Schaalbaarheid is een kwaliteitsaspect... Uitbreidbaarheid is een kwaliteitsaspect... Maar beveiliging ook! - in accountancy ligt de nadruk op kwaliteit van informatie, niet zozeer van de informatievoorziening 7

Beveiliging door maatregelen? Maatregelen om kwaliteit te vergroten? Organisatorische/procedurele maatregelen Technische maatregelen Voorbeelden staan in CvIB (ISO/IEC 17799), Common Criteria, enz. Om een informatievoorziening te beveiligen worden maatregelen genomen (kort door de bocht) 8

Beveiliging door maatregelen? (2) Selectie van maatregelen volgt na risicoanalyse en wordt vastgelegd in een beleidsplan Algemene regel: beleid moet controleerbaar zijn! Dus: (technische) beveiligingsmaatregelen moeten ook controleerbaar zijn Zijn de gastaccounts uitgeschakeld? Staat accounting aan? (success/failure) Risicoanalyse: kans, impact, blootstelling, kosten/baten (asset value) 9

Beveiliging van informatievoorziening Aandacht nodig tijdens systeemontwikkeling Best practices: secure coding, software testing, enz. Incl. voorzien in controleerbaarheid! SSE-CMM als procesmodel? - (security) requirements engineering - security in analysis/design - security in implementation - enz. - Jaap s voorbeeld van promiscue backupschermen 10

Beveiliging van informatievoorziening Aandacht nodig tijdens systeembeheer Best practices: segmentation, least privilege, enz. Incl. uitvoeren van controles! SSE-CMM als procesmodel? - (security) requirements engineering (!) - security in deployment (secure unattended install) - security in maintenance (versleuteling in remote admin; anonimisatie) - enz. 11

Beveiliging van informatievoorziening Bron: http://www.usenix.org 12

Wat is SSE-CMM? Referentiemodel voor security engineering processen Best practices zijn nu meetbaar! (KPIs) 22 Process Areas (PAs) 6 organisatie PAs 5 project PAs 11 security engineering PAs (!) - Ad. 1: Compilatie van bestpractices (veelal common sense, er varingskennis) - Ad. 1: Losjes gebaseerd op SE- CMM van SEI - Ad. 2: meetbaar = goed :-) (zelfreflectie) - Ad. 3: org/project PAs zijn algemeen CMM - Let wel: dit is LARGE Installation Administration 13

Wat is SSE-CMM? (2) Security Engineering Process Areas: PA 02 - Assess Impact PA 03 - Assess Security Risk PA 04 - Assess Threat PA 05 - Assess Vulnerability PA 01 - Administer Security Controls PA 06 - Build Assurance Argument 14

Wat is SSE-CMM? (3) Security Engineering Process Areas (vervolg): PA 07 - Coordinate Security PA 08 - Monitor Security Posture PA 09 - Provide Security Input PA 10 - Specify Security Needs PA 11 - Verify and Validate Security 15

Wat is SSE-CMM? (4) Process Areas: 5+1 niveaus van volwassenheid 0=initial 1=performed informally 2=planned & tracked 3=well-defined 4=quantitatively controlled 5=continuously improving - dit is algemeen CMM 16

Wat is SSE-CMM? (5) Bron: http://www.cetic.be 17

Wat is SSE-CMM? (6) Een middel voor zelfevaluatie Een selectiecriterium Transitieve vertrouwensrelaties in procesketens - Ad. 2: vgl. ISO-17799 certificering; selectiecriterium voor klanten - Ad. 3: if A>=B and C>=B, dan C>=A Echter: vgl. ISO 9000 doet SSE-CMM geen uitspraak over de kwaliteit van de geimplementeerde maatregelen... that s up to the SSE-CMM taxateur! 18

Wat is SSE-CMM? (7) - Ad. 1: sinds oktober 2002 - Ad. 2: doch niet zo technisch als Common Criteria - Ad. 3: OMB Circulars (white house), Security Process Framework, ISO/IEC 13335 (GMITS), NIST Handbook,... SSE-CMM = ISO/IEC 21827 17799 beschrijft wàt, 21827 beschrijft hóe Raakvlak/overlap met andere methoden/ raamwerken zie http://www.issea.org/docs/sseguides_2001.pdf 19

Voor wie is SSE-CMM bedoeld? Leveranciers van beveiligingsdiensten Ontwikkelaars van beveiligingsproducten Secure system developers/integrators/jouwfunctie-hier - Ad. 1: managed security services - Ad. 2: firewalls, VPNs, anti-virus, IDS,... 20

Voor wie is SSE-CMM bedoeld? Leveranciers van beveiligingsdiensten Ontwikkelaars van beveiligingsproducten Secure system developers/integrators/jouwfunctie-hier Dus: voor ons allemaal! - Ad. 1: managed security services - Ad. 2: firewalls, VPNs, anti-virus, IDS,... 20

Says who? DISA, NSA NCSA, NIST MITRE Software Engineering Institute (Carnegie Mellon) Electronic Warfare Associates Cisco Onderhoud/ontwikkeling SSE-CMM is sinds 1999 belegd bij ISSEA 21

Wat is de scope van SSE-CMM? De gehele "trusted product or secure system life cycle Alle sectoren - Ad. 1: van concept tot uitfasering (ref. ISO 15288 voor "system life cycle") - Ad. 2: overheid, finance, retail, onderwijs,... 22

Hoe wordt het SSE- CMM niveau bepaald? Taxatie via SSAM Appraisal Method intern (zelfevaluatie) extern (klantrelaties, overnames,...) Projectmatig preparation phase on-site phase post-appraisal phase 23

Hoe wordt het SSE- CMM niveau bepaald? Bron: http://sse-cmm.org 24

Pff, en nou concreet Onder PA-05 (Assess Vulnerability) kan NSA beslag leggen op belastinggeld om 1337 security/scanning tools te kunnen gebruiken: CORE IMPACT, Nessus, nmap, metasploit,... Onder PA-08 (Monitor Security Posture) kan NSA beslag leggen op belastinggeld om hun NT/UNIX/etc. systemen fatsoenlijk te configureren (voorbeelden uit NT checklist): "1.5 GUEST accounts are disabled or removed?" "1.14 Unnecessary Services are disabled?" "4.1 Auditing is Enabled For Logon and Logoff (Success and Failure)?" Ons praatje gaat vooral over PA-08 25

Ten slotte MBAs denken in processen MSc s denken in techniek HRMs denken in mensen Beveiliging = MBA + MSc + HRM 26

Bronnen Handboek EDP-Auditing, Kluwer, 2003 SSE-CMM.org netcentrum.nl/ea/ GvIB.nl :-) 27

Vragen? >> Next in line-up: Jonel 28

What to audit? Red Wire: Introduction Internal and External Auditing Security Policies Continuous System Auditing Summary Questions 29

Introduction Ways to audit External audit Internal audit 30

Internal auditing Checking whether security environment are in compliance with policy and design criteria Employee and contractor list against AA database Physical checking Machine checking up-to-date Scanning relevant machines to verify services Launching sophisticated in-depth attacks particular area in the infrastructure. 31

External auditing Examining security of a company from outside Scanning networks Penetration tests In-dept attacks Social engineering Remote access point 32

Policies Acceptable Use Policy Monitoring and Privacy Policy Remote Accessing Policy Network Connectivity Policy Log Retention Policy 33

Continuous System Auditing What is Internal Continuous System Auditing System en network policies Checklist to audit 34

Continuous System Auditing Central Processing Unit Operator System Application Programs Database Management System Physical Security Control Logical Security Control 35

Model #1 36

Model #2 37

Checklist How much systems on the network What type of systems Check amount Router and Switches on the network Default Configurations Check if systems are patched or not patched Services running on the hosts Resources in use etc? 38

What we want to audit Operating System Application Programs Logical Security Control 39

Operating System Audit Antivirus Firewall Security updates Status of the default configuration File systems 40

Application Programs Services running Open ports User policies Backups Log files 41

Logical Security Control Changes Network Infrastructure (without change procedure) Network configurations Routers Log files 42

Summary system auditing Knowing the environment Company policy Make checklist Find the appropriate tools 43

References The Practice of System and Network Administration, Thomas A. Limoncelli and Christine Hogan Auditing Information Systems, Second Edition, Jack J. Champlain 44

Questions? >> Next in line-up: Fangbin 45

How to audit? Red wire: Target of Continuous System Auditing (CSA) Tools Characters of CSA Tools Utilization of CSA Tools Evaluation of CSA Tools 46

Target of CSA tools Internal Applications Intranet systems Database management External Services E-commerce Database management Cross-LAN Systems Communication with partners LAN VLANS, C-level domains,... 47

Characters of CSA tools Plan Action Do Check Continuous Auditing as a PDCA-cycle 48

Utilization of CSA tools Available Tools for CSA applications: Nessus (Vulnerability Scan); Snare (Events-driven Auditing); YouRen (Penetration Tests). 49

Utilization of CSA tools (2) Nessus: Structure of Nessus system: Lighting Console Remote scanners Deployment of Nessus: Achieving the system and network information Scanning the system and network vulnerabilities ''Duister Corner'': CGI enabled System crash possibilities 50

Utilization of CSA tools (3) Snare: Structure of Snare event-log system: Snare Server Snare Agent Deployment of Snare system Remote Installation Events Filter No agent cache Analyzing with ''Objectives'' Vulnerabilities Logs changed Amounts of data logged 51

Utilization of CSA tools (4) YouRen: Vulnerability Database Password test Host configuration test 52

Utilization of CSA tools (5) Main Steps of CSA processes: External network test Remote attack to web servers and so forth Password vulnerability tests Firewall security tests Services vulnerability tests 53

Utilization of CSA tools (6) Main Steps of CSA processes (continued): Internal network test Buffer overflow tests Password security tests Services security tests System optimization through log analysis 54

Evaluation of CSA tools Speed - Accuracy - Stability Speed Stability Accuracy Dimensions of Evaluation 55

Questions? 56