introductie sebyde bv | security testing | security awareness | secure development
DESCRIPTION
De activiteiten van SeByDe leunen op 3 pijlers; 1. De Organisatie; Het verbeteren van ontwikkelprocessen en organisaties; 2. De Mensen; Kweken van bewustzijn en inzicht bij mensen in de organisatie 3. De Techniek; Door assessments op het gebied van security en privacy. Wij hebben daarvoor een aantal diensten in de markt gezet. Een web applicatie scan en een penetratietest van netwerken en systemen waarbij wij inzicht verschaffen in kwetsbaarheden, de manier waarop deze misbruikt kunnen worden en hoe deze te verhelpen. Wij geven trainingen aan het management, de medewerkers en meer specifiek de ontwikkelaars als het gaat om security bewustzijn en veilige systemen maken. Wij scannen en testen organisaties, applicaties, netwerken en systemen op veiligheid en privacy. Tot slot bieden wij bedrijven security scan tools waarmee zij hun ontwikkelproces kunnen verbeteren en uitbreiden en de ontwikkelaars helpen veilige systemen te bouwen.TRANSCRIPT
Secure By Design
SEBYDE
Korte introductie
© 2013 Sebyde BV© Sebyde BV
Wie zijn wij ?> SEBYDE (se-bie-de)– Secure by Design
> IBM Certified Business Partner
> Specialisatie– Security Assessments
• Applicatie scans• Netwerk + Systemen
– Security Awareness• Gedrag en motivatie verandering• Security Awareness programma
© 2013 Sebyde BV© Sebyde BV
Focus van hackers is verlegd
VanInfrastructuur
NaarApplicaties
© 2013 Sebyde BV© Sebyde BV
Realiteit …> 60-80% van de Web applicaties / Websites hebben minimaal één zwak security
punt (kwetsbaarheid, vulnerability).
> 75% van alle hacks gebeuren op Web applicaties / Websites
> IBM’s X-Force Report Maart 2013: 43% van alle security issues worden veroorzaakt door Web applicaties.
>81% van de Web applicaties voldoen niet aan de PCI DSS regulering (Payment Card Industry).
> IDC Research: 25% van alle bedrijven worden “exploited” via een zwakke plek in de Web Application security.
> Onwetende gebruikers worden besmet door websites waarop “Malware” staat.
> Google : >2 Miljoen zoekopdrachten per maand over “Hoe te hacken”, “Download hacking tools” en gerelateerde informatie.
© 2013 Sebyde BV© Sebyde BV
Schade> Diefstal– Informatie
– Privacy gevoelige info
– Geld
> Systeemuitval– Applicatie niet beschikbaar
– Verlies aan business
– DDOS
> Herstelkosten– Software
– Informatie
> Reputatie– Klantenvertrouwen
– Nieuws / media
– Kosten: ????
– Indirect (ISP)
> Boetes– EU Privacy act
– CBP
© 2013 Sebyde BV© Sebyde BV
Maar toch …
Network ServerInfrastructuur
WebApplicaties
% aanvallen % van Budget
75%
10%
25%
90%
Security Uitgaven
75%
10%
© 2013 Sebyde BV© Sebyde BV
De oplossing: Secure by Design
> Voorkom zwakheden in de IT security door bij het ontwerpen en bouwen van een web applicatie alvast rekening te houden met de security aspecten.
> Ontwerpers en programmeurs dienen er bij de ontwikkeling van een web applicatie van uit te gaan dat deze vanaf “dag 1” aangevallen word.
> Software Security is een integraal deel van het ontwikkel proces.
© 2013 Sebyde BV© Sebyde BV
DesignSecure by Design
DevelopmentStatisch testen
Test faseAcceptance testen
Deployment faseDynamisch testen
Vroeg testenVroeg testen bespaart veel geld. 80% van de ontwikkelkosten wordt besteed aan het opsporen en oplossen van fouten
Oplossen van een kwetsbaarheid in een applicatie die al in productie is kost 100 keer meer dan in de design fase
1x
6,5 x
15x
100x
Productie faseBij een incident
Verlies van klantvertrouwenRechtszakenReputatieschadeReparatie kostenBoetes
Secure By Design
Het Sebyde aanbod
© 2013 Sebyde BV© Sebyde BV
Sebyde aanbod
Security Scan
Secure Developmen
t
(Reseller)
Security Awareness
Security Assessments
© 2013 Sebyde BV© Sebyde BV
1. Security Scan> Scan van uw web applicatie(s) op 1400 exploits
> Hiervoor gebruiken wij gespecialiseerde softwaretools, IBM Security Appscan®)
> Duidelijke rapportage van de zwakke plekken in de applicatie en een advies hoe die te verhelpen zijn
> Assistentie bij aanpassen van de broncode
> Snel resultaat
> 3 dagen
> 1 dag Vital Few
> Eenmalig, abonnement, knipkaart
© 2013 Sebyde BV© Sebyde BV
Een Software as a Service (SAAS) versie van IBM Security appscan®. De service wordt gerunned in de cloud door een team van IBM experts, of door Sebyde specialisten, die op gezette tijden uw applicatie scannen. Bedoeld voor bedrijven die geen eigen expertise kunnen en willen opbouwen.
Dynamische analyse security testen (DAST) of black-box testen van uw web applicatie vanaf een desktop. Bedoeld voor bedrijven die zelf hun web applicaties willen testen.
Statische analyse security testen (SAST) of white-box testen om kwetsbaarheden in de source code van uw applicatie te ontdekken. Bijvoorbeeld om uw testprocedures uit te breiden.
Een multi user omgeving waarin simultaan meerdere applicaties kunnen worden gescanned. Met een centrale rapportage omgeving.
2. Secure Development
Enterprise
IBM Security Appscan® Enterprise
Development Integratie
IBM Security Appscan® Source
In-House Audits
IBM Security Appscan® Standard
Outsourced Audits
Sebyde Security Scan
IBM Security Appscan® OnDemand
© 2013 Sebyde BV© Sebyde BV
3. Security Awareness Training
> 2-3 halve dag sessies bij de klant aan huis
> Awareness op het gebied van security
> Medewerkers bewust maken van de risico’s en gevaren van het werken met informatiesystemen en vertrouwelijke (bedrijfs) informatie.
> Uitleg van vele security gerelateerde zaken die het bedrijfsproces kunnen verstoren
> Herkennen van mogelijke risico’s
> Weten wat te doen bij een incident
> Stimuleert risico-verlagend gedrag
> Meenemen van security aspecten in de dagelijkse activiteiten
© 2013 Sebyde BV© Sebyde BV
Gespecialiseerde Security trainingenCode Titel DuurCEH EC-Council Certified Ethical Hacker 5 dagen
CHFI EC-Council Computer Hacking Forensic Investigator 5 dagen
ECSA-LPT EC Council Security Analyst & Licensed Penetration Tester 5 dagen
ECSP EC-Council Certified Secure Programmer 5 dagen
EDRP EC-Council Disaster Recovery Professional 5 dagen
ENSA EC-Council Network Security Administrator 5 dagen
GK9840 CISSP Certification Preparation 5 dagen
ISO27002F ISO 27002 Foundation (incl. examen ISFS) 2 dagen
ISO27002A ISO 27002 Advanced (incl. examen ISMAS) 3 dagen
Trainingen worden gegeven door Global Knowledge
© 2013 Sebyde BV© Sebyde BV
4. Security Assessments> Quick Assessment– Samen met de klant houden we de complete ICT Security tegen
het licht
> Privacy Impact Assessment– Beoordeling security maatregelen bij projecten en systemen
welke persoonsgegevens verwerken
> Netwerk Assessment– Penetratie test
– Open poorten, lekken en kwetsbare software
> Systeem Assessment– Configuratie en instellingen
– Fysieke infrastructuur, Services, Software, BIOS, Operating System, etc.
© 2013 Sebyde BV© Sebyde BV
Overzicht Sebyde diensten
Security Awareness•management•medewerkers•ontwikkelaars
Security
assessmentSecure
Development
SebydeSecure by
Design
Software testen
Software services
Mens
ProcesTechniek
Rob Koch ([email protected])Derk Yntema ([email protected])
Hartelijk dank