Security Event AMIS

4 december 2014

Security by Design

© 2013 Sebyde BV© 2014 Sebyde BV

Een bedrijf ...

Mens

Techniek

(PPEI)Organisatie

© 2013 Sebyde BV© 2014 Sebyde BV

© 2013 Sebyde BV© 2014 Sebyde BV

2010 2011 2012 2013

Incidenten

Stuxnet

SONY

Playstation

Network

hack

RSA

hack

DDOS attack

door

Anonymous

KPN

hack

Lektober

Diginotar

Flame

Dorifel

Spamhouse

APT1

DDOS

banken

PRISM

Belgacom

© 2013 Sebyde BV© 2014 Sebyde BV

Wie is de hacker

Gefrusteerde medewerker

Crimineel

Overheden

Spion

Terrorist / hacktivisten

Cyberonderzoekers

Organisaties

Kiddies

© 2013 Sebyde BV© 2014 Sebyde BV

Wat is nuttig voor een hacker?

Toegang tot een Netwerk, bijvoorbeeld user ID en passwords

Fysieke toegang tot een data center

E-mail adressen

Bekende kwetsbaarheden in bepaalde (vaak oude) versies van software

Vriendelijke behulpzame medewerkers

© 2013 Sebyde BV© 2014 Sebyde BV

Welke technieken gebruiken zij

Tooltjes op het Internet

Infectie door Malware (malicious software, bijv. virussen)

Botnets

Social engineering

– Phishing

– Shoulder surfing

APT; Advanced Persistent Threats

– Combinatie van bovenstaandetechnieken gedurende lange periode

© 2013 Sebyde BV© 2014 Sebyde BV

Top 10 Informatie Security dreigingen

1. Software met kwetsbaarheden

2. Oude versies van software en OS

3. Onveilige netwerken

4. Medewerkers met onveilig gedrag

5. Ontevreden (ex) medewerkers

6. Malware, virussen

7. Mobiele apparaten

8. Social engineering

9. Gebrek aan security / privacy beleid in een organisatie

10. ???????

© 2013 Sebyde BV© 2014 Sebyde BV

Wie zijn het doelwit?Financiële instellingen

Productie industrie

Ondernemingen

Overheden

Hosting providers

Applicatie bouwers

Gezondheidszorg

Wij AllemaalBurger

Vitale industrie

© 2013 Sebyde BV© 2014 Sebyde BV

Vertrouwelijkheid

IntegriteitBeschikbaarheid

Doel Informatiebeveiliging

© 2013 Sebyde BV© 2014 Sebyde BV

SpanningsveldSecurity;

hoe bescherm

ik mijninformatie?

Software

© 2013 Sebyde BV© 2014 Sebyde BV

Waarom is software kwetsbaar?

Secure coding heeft geen aandacht

Software verouderd

Software is complex

Software is overal

Software komt overal vandaan

Software moet overal op aansluiten

© 2013 Sebyde BV© 2014 Sebyde BV

Weerbaarheid Driehoek

Gelegenheid

Response Team

Intern /

extern

Gevaren

Dreigingen

© 2014 Sebyde BV

Mensen

TechnologieOrganisatie /

Processen

© 2013 Sebyde BV© 2014 Sebyde BV

Weerbaarheid

Tijd

Assessment

Bijwerken

Terugval

Bijwerken

Terugval

zonder

refresh

© 2014 Sebyde BV

© 2013 Sebyde BV© 2014 Sebyde BV

Maatregelen

Preventief

• Secure by Design

• Secure by Default

• Weerbaarheidtraining

• …

Detectief

• Logging

• Monitoring

• SIEM

• …

Defensief

• Firewall

• Spam filter

• Encryptie

• …

© 2013 Sebyde BV© 2014 Sebyde BV

Secure by Design

Risico analyse

Classificatie

Requirements fase

Security principles

Compliance

Secure Architecture

Secure Development

© 2013 Sebyde BV© 2014 Sebyde BV

Risico AnalyseSchade

erg klein klein middelmatig hoog zeer hoog

1 2 4 8 16

Kan

s

zeer hoog 5 5 10 20 40 80

hoog 4 4 8 16 32 64

middelmatig 3 3 6 12 24 48

klein 2 2 4 8 16 32

erg klein 1 1 2 4 8 16

© 2013 Sebyde BV© 2014 Sebyde BV

Requirements fase

Business

Functional

System

© 2013 Sebyde BV© 2014 Sebyde BV

Security Principles

Secure Design

Principes

Fail Safe

Secure the

weakest Link

Avoid security

by Obscurity

KISSEnd to End

security

Defensein Depth

Trust but Verify

© 2013 Sebyde BV© 2014 Sebyde BV

Process modellen

Management systems

Testing & monitoring

Modelling & measurement

processen

operations

product

development

Bron: Prof. Joost Visser; Software Improvement Group & Radboud University Nijmegen

TOGAF

MS-SDL

BMIS

Open SAMM

BSIMM

SABSA

Common

Criteria ISO

27033

ISO

25010CWE/SAN

S

Top-25

OWASP

ASVS

Penetratie

test

PCI-DSS

CVSS

Ethical

hacking

Intrusion

detection

SSAE

1601

ISO/IEC 27035

ISAE

3402

CERT

ITIL

COBIT

NEN7510

ISO

27001

ISO

27002

ISO

27005ISO

22301

ISO

31000

Standard of

good practice

© 2013 Sebyde BV© 2014 Sebyde BV

Design

Secure by Design

Development

Statisch testen

Test

Acceptatie testen

Deployment

Dynamisch testen

Secure Development

Vroeg testen bespaart veel geld.

80% van de ontwikkelkosten

wordt besteed aan het opsporen

en oplossen van fouten

Oplossen van een kwetsbaarheid

in een applicatie die al in productie

is kost 100 keer meer dan in de

design fase

1x

6,5 x

15x

100x

Productie

Bij een incident

Verlies van klantvertrouwen

Rechtszaken

Reputatieschade

Reparatie kosten

Boetes

Vroeg, Vaak & Voortdurend

© 2013 Sebyde BV© 2014 Sebyde BV

Security by Default

Door middel van systeeminstellingen maximale security van betrokkenen waarborgen en waar mogelijk door het systeem laten afdwingen

Security is gewaarborgd doordat het is ingebouwd in het systeem

Als het individu niets doet is toch de security gewaarborgd

© 2013 Sebyde BV© 2014 Sebyde BV

Samenvattend

Criminelen

Overheid

Bedrijven

Wees Transparant

Klantvertrouwen

Verifieer

Preventie is key

Security by Design / Default

Test vroeg, vaak en voortdurend

Tone at the Top

Uw Security is onze zorg

MVO

Testen

Trainen

Audit

© 2013 Sebyde BV© 2014 Sebyde BV

Sebyde Academy Internet Weerbaarheid

Pro

gra

mm

a m

anag

em

ent

Management

1.

Optimaal Weerbaar

Workshop

½ dag

5 dgn + x wkn

Medewerkers

2.

Bewust Worden

Training

1 dag

+ 6 wkn

3.

Bewust Zijn

Training

½ dag

4.

Bewust Handelen

Workshop

½ dag

5.

Train de Trainer

Training

½ dag

6.

Update

Training

½ dag / Kwartaal

ICT Professional

EC

Cou

ncil

Cu

rsu

sA

anvra

ag

CIS

SP

Cu

rsu

sA

anvra

ag

ISO

27

00

2C

urs

us

Aanvra

ag

© 2014 Sebyde BV

© 2013 Sebyde BV© 2014 Sebyde BV

Contact us

E-mail info@sebyde.nl

Web www.sebyde.nl

www.sebydeacademy.nl

Twitter www.twitter.com/SebydeBV

LinkedIn www.linkedin.com/company/sebyde-bv

Facebook facebook.com/SebydeBV

facebook.com/Sebydeacademy

Derk Yntema (derk.yntema@sebyde.nl)

Thank You