Informatiebeveiliging Informatiemanagement Rob Poels
Beschikbaarheid Integriteit Vertrouwelijkheid Risico s logisch fysiek organisatorisch Maatregelen
Onderwerpen informatiebeveiliging Actueel Hacking for business Classificatie Bedreigingen Mobile computing: de kwetsbaarheid neemt toe Risico s (kans * Schade) Maatregelen Certificering Kosten (3-5% IT kosten!)
Actueel
Hacking for business Criminaliteit Mass mailers (I-love you) worms Zichtbaarheid phishing Botnets Roem en glorie Kwaadaardige intentie Tijd Govert.nl Zichtbaarheid en kwaadaardige intentie
Informatiebeveiliging is moeilijk Beveiligers moeten elk gat dichten, aanvallers hoeven er maar één te vinden Elke dag komen nieuwe virussen beschikbaar Virussen worden steeds makkelijker te maken maar verdedigers moeten alert blijven op de onderliggende technologie
Belangrijke oorzaken voor beveiligingslekken Time-to-market: soms worden betaversies al in de markt gebracht (Microsoft) Ontwikkelaars leggen focus op functionaliteit boven beveiliging Complexiteit van softwareontwikkeling Installatie wordt uitgevoerd zonder goede kennis
Classificatie BIV Beschikbaarheid Integriteit Vertrouwelijkheid AIC Availability Integrity Confidentiality ISO-standaard 17799 Schaal van 1 (laag) tot 3 (hoog) Dus classificatie is bijvoorbeeld: BIV 223
Classificatie Aspect Kenmerk Bedreiging Voorbeelden van bedreiging Beschikbaarheid Tijdigheid Vertraging Overbelasting infrastructuur Continuïteit Uitval Defect in infrastructuur Integriteit Correctheid Wijziging Ongeautoriseerd wijzigen van gegevens, virusinfectie, typefout Volledigheid Vertrouwelijkheid Exclusiviteit Verwijdering, Toevoeging Ongeautoriseerd wissen van gegevens, ongeautoriseerd toevoegen van gegevens Geldigheid Veroudering Gegevens niet up-to-date houden Authenticiteit Vervalsing Frauduleuze transactie Onwegeerbaarheid Verloochening Ontkennen bepaald bericht te hebben verstuurd Onthulling misbruik Afluisteren van netwerk, Hacking, Privé gebruik
Bedreigingen Interne spion Dumpster diving Clean desk? Social engineering Malware Phishing
Herken de interne spion! Uit onderzoek blijkt dat de spion aan het volgende profiel voldoet: Is bijzonder geïnteresseerd in wat collega s aan het doen zijn Meldt zich altijd aan voor extra werk of wil graag werk van een ander overnemen Werkt lang en laat Neemt zelden vakantie Makkelijk te herkennen toch?
Bedreigingen Dumpster diving Mensen onderschatten de waarde van vuilnis concept notities bevatten net zoveel informatie als de finale versie kopie afschrift creditcard bij tankstation is makkelijker te verkrijgen als hacken via internet mogelijk materiaal om via social engineering in te breken Oude PC aan de weg zetten?!
Bedreigingen Clean desk? Wie heeft toegang tot jou spullen als je er niet bent Schoonmakers worden hiet het best betaald maar hebben wel toegang tot alle kantoren Kasten zijn geen kluizen
Bedreigingen Social Engineering De kunst van het naar je hand zetten van mensen Beheerst het jargon Met liegen is veel informatie boven water te halen
Bedreigingen Social Engineering Voorbeelden: Hoi, ik ben mijn wachtwoord vergeten en dit werk moet gedaan worden, Kun je me even helpen? Hallo, je spreekt met systeembeheer, we hebben nu een probleem. Wil je even jou password even terugzetten naar welkom? Hallo, je spreekt met KPN we hebben een probleem met jou modem. Wat is precies jou nummer? Hallo, je spreekt met Jeroen van CAP Gemini, ik heb van Kees (namen achterhaald via ander circuit) de opdracht gekregen bestanden terug te zetten. Geef je me even rechten hiertoe?
Bedreigingen Malware Malicious software Verzamelnaam voor Virussen Wormen Trojaanse paarden Hoaxes Spyware Botnets
Bedreigingen Phishing Nep-sites om gegevens van de gebruiker te krijgen Automatiseringsgids 3 november 2006: Phishing kost jaarlijks miljard dollar
Mobile computing De kwetsbaarheid neemt toe Laptops locale data, nauwelijks beveiligd Data is niet altijd versleuteld en makkelijk over te zetten Laptops zitten in please steal me tassen PDA Bevatten belangrijke gegevens (agenda, contacten, financiële gege3ens, passwords) Nauwelijks beveiligd Draadloos vaak nauwelijks beveiligd: opsporen via sniffing. Kunt data lezen maar ook manipuleren!
Risico s Meeste door menselijk falen & onbewust! Risico is te bepalen door kans * schade Schade kan financiëel zijn maar ook bijvoorbeeld imagoschade Wordt vaak uitgedrukt in Euro s per jaar in de vorm van Jaarlijkste Schade Verwachting (JSV) of Annual Loss Expectancy (ALE)
Maatregelen Bedreiging Preventie Correctie Herstel Verstoring Detectie Incidentcyclus Beveiligingscyclus Schade Repressie
Maatregelen Fysieke Maatregelen Logische Maatregelen Informatie voorziening Organisatorische Maatregelen = Preventieve maatregelen = Repressieve maatregelen
Maatregelen Fysiek Backup Uitwijk Brandblussers Noodstroomvoorzieningen Sloten Logisch DMZ VPN Encriptie Identificatie (Token, kaart, biometisch, FIM blz 38 TIEM)
Maatregelen Logisch Encriptie VPN (Virtual Private Network) DeMilitarized Zone (DMZ) DMZ Gebruiker firewall firewall Gegevens Organisatie
Maatregelen Logisch Identificatie Password Token Kaart Biometisch Federated Identity Management (FIM) Voorbeeld DigiD
Maatregelen DigiD Overheid Webdienst Burger DigiD 3. Geef gebruikersnaam en wachtwoord 2. Verifieer deze gebruiker 5. Gebruiker geverifieerd, Dit is zijn nummer 4. Mijn gebruikersnaam en wachtwoord 1. Aanmelden 6. Komt u verder
Maatregelen Logisch 1 Isolatie Het kasteel heeft maar één toegangspoort 2 Veilige defaults De poort is altijd gesloten 3 Volledigheid Iedere bezoeker moet zich melden bij de schildwacht 4 Open ontwerp De architectuur van een kasteel is bekend 5 Functiescheiding Er staan altijd twee schildwachten bij de poort 6 Beperking Gewone bezoekers hebben geen toegang tot de kroonjuwelen 7 Compartimenten Het kasteel heeft verschillende afgesloten vertrekken 8 Ergonomie De poort kan niet per ongeluk worden opengezet 9 Redundantie Het kasteel heeft muren en een slotgracht 10 Diversiteit Muren en slotgracht vergen andere aanvalstechnieken
Maatregelen Logisch 1 Isolatie Uitwisseling van gegevens tussen het interne netwerk en internet is alleen mogelijk via de firewall 2 Veilige defaults Uitwisseling van gegevens tussen het interne netwerk en internet is alleen mogelijk na expliciete permissie 3 Volledigheid Iedere bezoeker moet zich melden bij de firewall 4 Open ontwerp De architectuur van de firewall is bekend 5 Functiescheiding De firewall wordt beheerd en gecontroleerd door twee verschillende functionarissen 6 Beperking De firewall laat alleen strikt noodzakelijke netwerkdiensten door 7 Compartimenten Het interne netwerk is opgesplitst in verschillende segmenten 8 Ergonomie De firewall kan niet per ongeluk worden opengezet 9 Redundantie De firewall bestaat uit meerdere componenten 10 Diversiteit De firewall bestaat uit meerdere componenten, die onderling van elkaar verschillen
Probleem Doelgroep Aanpak Medewerkers maken Medewerkers Maatregelen Redelijkheid van te treffen maatregelen fouten waarborgen en zonodig uitleggen Organisatorisch Goede voorbeeld door managers Participatie van medewerkers Inzetten van 'ambassadeurs' Belonen van gewenst gedrag en niet belonen van ongewenst gedrag Verhouding kosten/opbrengsten moet in individuele situaties positief uitvallen Opleiding, training en coaching van nieuwe medewerkers Booswichten nemen het niet zo Booswichten functiescheiding en andere maatregelen om ongewenst gedrag te voorkomen nauw met normen en waarden Extra beveiligingsmaatregelen bij gevoelige functies Duidelijke communicatie van de huisregels naar alle medewerkers Goede voorbeeld door managers Managers Managers Opleiden ven trainen van managers veroorzaken organisatiefouten Afspraken over informatiebeveiliging opnemen in management contracten nakomen van afspraken toetsen in self assessments en audits Opzetten van adequate incidenten-registratie en regelmatige rapportage informatie over risico's verschaffen aan het management door deskundigen
Maatregelen Vul individueel voor jou organisatie de tabel in als het gaat om de maatregelen Geef een oordeel over de huidige situatie ten aanzien van informatiebeveiliging