security by design by sebyde
DESCRIPTION
Sebyde Academy Internet Weerbaarheid programmaTRANSCRIPT
Security Event AMIS
4 december 2014
Security by Design
© 2013 Sebyde BV© 2014 Sebyde BV
Een bedrijf ...
Mens
Techniek
(PPEI)Organisatie
© 2013 Sebyde BV© 2014 Sebyde BV
© 2013 Sebyde BV© 2014 Sebyde BV
2010 2011 2012 2013
Incidenten
Stuxnet
SONY
Playstation
Network
hack
RSA
hack
DDOS attack
door
Anonymous
KPN
hack
Lektober
Diginotar
Flame
Dorifel
Spamhouse
APT1
DDOS
banken
PRISM
Belgacom
© 2013 Sebyde BV© 2014 Sebyde BV
Wie is de hacker
Gefrusteerde medewerker
Crimineel
Overheden
Spion
Terrorist / hacktivisten
Cyberonderzoekers
Organisaties
Kiddies
© 2013 Sebyde BV© 2014 Sebyde BV
Wat is nuttig voor een hacker?
Toegang tot een Netwerk, bijvoorbeeld user ID en passwords
Fysieke toegang tot een data center
E-mail adressen
Bekende kwetsbaarheden in bepaalde (vaak oude) versies van software
Vriendelijke behulpzame medewerkers
© 2013 Sebyde BV© 2014 Sebyde BV
Welke technieken gebruiken zij
Tooltjes op het Internet
Infectie door Malware (malicious software, bijv. virussen)
Botnets
Social engineering
– Phishing
– Shoulder surfing
APT; Advanced Persistent Threats
– Combinatie van bovenstaandetechnieken gedurende lange periode
© 2013 Sebyde BV© 2014 Sebyde BV
Top 10 Informatie Security dreigingen
1. Software met kwetsbaarheden
2. Oude versies van software en OS
3. Onveilige netwerken
4. Medewerkers met onveilig gedrag
5. Ontevreden (ex) medewerkers
6. Malware, virussen
7. Mobiele apparaten
8. Social engineering
9. Gebrek aan security / privacy beleid in een organisatie
10. ???????
© 2013 Sebyde BV© 2014 Sebyde BV
Wie zijn het doelwit?Financiële instellingen
Productie industrie
Ondernemingen
Overheden
Hosting providers
Applicatie bouwers
Gezondheidszorg
Wij AllemaalBurger
Vitale industrie
© 2013 Sebyde BV© 2014 Sebyde BV
Vertrouwelijkheid
IntegriteitBeschikbaarheid
Doel Informatiebeveiliging
© 2013 Sebyde BV© 2014 Sebyde BV
SpanningsveldSecurity;
hoe bescherm
ik mijninformatie?
Software
© 2013 Sebyde BV© 2014 Sebyde BV
Waarom is software kwetsbaar?
Secure coding heeft geen aandacht
Software verouderd
Software is complex
Software is overal
Software komt overal vandaan
Software moet overal op aansluiten
© 2013 Sebyde BV© 2014 Sebyde BV
Weerbaarheid Driehoek
Gelegenheid
Response Team
Intern /
extern
Gevaren
Dreigingen
© 2014 Sebyde BV
Mensen
TechnologieOrganisatie /
Processen
© 2013 Sebyde BV© 2014 Sebyde BV
Weerbaarheid
Tijd
Assessment
Bijwerken
Terugval
Bijwerken
Terugval
zonder
refresh
© 2014 Sebyde BV
© 2013 Sebyde BV© 2014 Sebyde BV
Maatregelen
Preventief
• Secure by Design
• Secure by Default
• Weerbaarheidtraining
• …
Detectief
• Logging
• Monitoring
• SIEM
• …
Defensief
• Firewall
• Spam filter
• Encryptie
• …
© 2013 Sebyde BV© 2014 Sebyde BV
Secure by Design
Risico analyse
Classificatie
Requirements fase
Security principles
Compliance
Secure Architecture
Secure Development
© 2013 Sebyde BV© 2014 Sebyde BV
Risico AnalyseSchade
erg klein klein middelmatig hoog zeer hoog
1 2 4 8 16
Kan
s
zeer hoog 5 5 10 20 40 80
hoog 4 4 8 16 32 64
middelmatig 3 3 6 12 24 48
klein 2 2 4 8 16 32
erg klein 1 1 2 4 8 16
© 2013 Sebyde BV© 2014 Sebyde BV
Requirements fase
Business
Functional
System
© 2013 Sebyde BV© 2014 Sebyde BV
Security Principles
Secure Design
Principes
Fail Safe
Secure the
weakest Link
Avoid security
by Obscurity
KISSEnd to End
security
Defensein Depth
Trust but Verify
© 2013 Sebyde BV© 2014 Sebyde BV
Process modellen
Management systems
Testing & monitoring
Modelling & measurement
processen
operations
product
development
Bron: Prof. Joost Visser; Software Improvement Group & Radboud University Nijmegen
TOGAF
MS-SDL
BMIS
Open SAMM
BSIMM
SABSA
Common
Criteria ISO
27033
ISO
25010CWE/SAN
S
Top-25
OWASP
ASVS
Penetratie
test
PCI-DSS
CVSS
Ethical
hacking
Intrusion
detection
SSAE
1601
ISO/IEC 27035
ISAE
3402
CERT
ITIL
COBIT
NEN7510
ISO
27001
ISO
27002
ISO
27005ISO
22301
ISO
31000
Standard of
good practice
© 2013 Sebyde BV© 2014 Sebyde BV
Design
Secure by Design
Development
Statisch testen
Test
Acceptatie testen
Deployment
Dynamisch testen
Secure Development
Vroeg testen bespaart veel geld.
80% van de ontwikkelkosten
wordt besteed aan het opsporen
en oplossen van fouten
Oplossen van een kwetsbaarheid
in een applicatie die al in productie
is kost 100 keer meer dan in de
design fase
1x
6,5 x
15x
100x
Productie
Bij een incident
Verlies van klantvertrouwen
Rechtszaken
Reputatieschade
Reparatie kosten
Boetes
Vroeg, Vaak & Voortdurend
© 2013 Sebyde BV© 2014 Sebyde BV
Security by Default
Door middel van systeeminstellingen maximale security van betrokkenen waarborgen en waar mogelijk door het systeem laten afdwingen
Security is gewaarborgd doordat het is ingebouwd in het systeem
Als het individu niets doet is toch de security gewaarborgd
© 2013 Sebyde BV© 2014 Sebyde BV
Samenvattend
Criminelen
Overheid
Bedrijven
Wees Transparant
Klantvertrouwen
Verifieer
Preventie is key
Security by Design / Default
Test vroeg, vaak en voortdurend
Tone at the Top
Uw Security is onze zorg
MVO
Testen
Trainen
Audit
© 2013 Sebyde BV© 2014 Sebyde BV
Sebyde Academy Internet Weerbaarheid
Pro
gra
mm
a m
anag
em
ent
Management
1.
Optimaal Weerbaar
Workshop
½ dag
5 dgn + x wkn
Medewerkers
2.
Bewust Worden
Training
1 dag
+ 6 wkn
3.
Bewust Zijn
Training
½ dag
4.
Bewust Handelen
Workshop
½ dag
5.
Train de Trainer
Training
½ dag
6.
Update
Training
½ dag / Kwartaal
ICT Professional
EC
Cou
ncil
Cu
rsu
sA
anvra
ag
CIS
SP
Cu
rsu
sA
anvra
ag
ISO
27
00
2C
urs
us
Aanvra
ag
© 2014 Sebyde BV
© 2013 Sebyde BV© 2014 Sebyde BV
Contact us
E-mail [email protected]
Web www.sebyde.nl
www.sebydeacademy.nl
Twitter www.twitter.com/SebydeBV
LinkedIn www.linkedin.com/company/sebyde-bv
Facebook facebook.com/SebydeBV
facebook.com/Sebydeacademy
Derk Yntema ([email protected])
Thank You