Agenda. De beveiliging van mobiele apparaten en de cloud

Nationaal Cyber Security Centrum Ministerie van Veiligheid en Justitie

De beveiliging van mobiele apparaten en de cloud

Den Haag, 15 november 2012 John van Huijgevoort

Nationaal Cyber Security Centrum Ministerie van Veiligheid en Justitie

Agenda • • • •

Het Nationaal Cyber Security Centrum (NCSC) Cloud computing Consumerization NCSC-publicaties – Whitepaper Cloudcomputing & Security •

https://www.ncsc.nl/dienstverlening/expertise-advies/kennisdeling/whitepapers/whitepapercloudcomputing.html

– Position Paper / Point of View (PoV) •

https://www.ncsc.nl/dienstverlening/expertise-advies/kennisdeling/whitepapers/consumerization-security.html

– Beveiligingsrichtlijnen voor mobiele apparaten •

https://www.ncsc.nl/dienstverlening/expertise-advies/kennisdeling/whitepapers/beveiligingsrichtlijnen-voormobiele-apparaten.html

15 november 2012

2

Nationaal Cyber Security Centrum Ministerie van Veiligheid en Justitie

Introductie: John van Huijgevoort • Senior adviseur informatiebeveiliging bij het Nationaal Cyber Security Centrum (NCSC) • Board member Netherlands Chapter of Cloud Security Alliance (CSA): – ad interim voorzitter – Research and Development (R&D)

• Aandachtsgebieden: – Continuïteit in de cloud – Risico van dataopslag in de cloud – Identiteits- en toegangsbeheer met betrekking tot de cloud

3

15 november 2012

Nationaal Cyber Security Centrum Ministerie van Veiligheid en Justitie

Startpunt NCSC De Nationale Cyber Security Strategie (NCSS) • • • • • •

Integrale aanpak (Publiek-Privaat) Dreiging- en risicoanalyse Versterking ICT-weerbaarheid Versterking responsecapaciteit Intensivering opsporing en vervolging Stimuleren onderzoek en onderwijs

15 november 2012

4

Nationaal Cyber Security Centrum Ministerie van Veiligheid en Justitie

De NCSC-missie Bijdragen aan • het vergroten van de weerbaarheid van de Nederlandse samenleving in het digitale domein En daarmee bijdragen aan • een veilige, open en stabiele (digitale) samenleving Door • Het leveren van inzicht en het bieden van handelingsperspectief. 5

15 november 2012

Nationaal Cyber Security Centrum Ministerie van Veiligheid en Justitie

Doelgroepen NCSC Primair • Rijksoverheid • Vitale sectoren Secundair • Mede-overheden • Bedrijfsleven, NGO’s • MKB • Eindgebruikers, burgers

15 november 2012

6

Nationaal Cyber Security Centrum Ministerie van Veiligheid en Justitie

Pijlers NCSC Expertise & Advies Generiek / Proactief

Response op dreigingen & incidenten

Specifiek / Reactief Crisisbeheersing

7

15 november 2012

Nationaal Cyber Security Centrum Ministerie van Veiligheid en Justitie

Adviezen & Publicaties

15 november 2012

8

Nationaal Cyber Security Centrum Ministerie van Veiligheid en Justitie

Hype Cycle for Emerging Technologies 2012 BYOD (Bring Your Own Device) is op het hoogtepunt

Cloud Computing wordt al minder trendy

Bron: Gartner – Hype Cycle for Emerging Technologies 2012

9

15 november 2012

Nationaal Cyber Security Centrum Ministerie van Veiligheid en Justitie

Wat is Cloud Computing? “Cloud computing is a model for enabling ubiquitous, convenient, on-demand network access to a shared pool of configurable computing resources (e.g., networks, servers, storage, applications, and services) that can be rapidly provisioned and released with minimal management effort or service provider interaction. This cloud model promotes availability and is composed of five essential characteristics, three service models, and four deployment models.” Bron: NIST SP800-145 - Definition of Cloud Computing (October 2011)

15 november 2012

10

Nationaal Cyber Security Centrum Ministerie van Veiligheid en Justitie

U kunt wel

uitbesteden maar, u blijft zelf altijd eindverantwoordelijk.

11

15 november 2012

Nationaal Cyber Security Centrum Ministerie van Veiligheid en Justitie

Wat u moet weten voordat u naar de ‘cloud’ gaat?

15 november 2012

12

Nationaal Cyber Security Centrum Ministerie van Veiligheid en Justitie

Beveiligingsaspecten • • • • • • • • • •

Naleving van wet- en regelgeving Beheersbaarheid van processen en systemen Gegevensbescherming Relatie met leverancier Beschikbaarheid van clouddiensten Gebruikersbeheer Incidentbeheer Wijzigingsbeheer Back-up en recovery-strategie Transparantie 13

15 november 2012

Nationaal Cyber Security Centrum Ministerie van Veiligheid en Justitie

Bring Your Own Device / Consumerization

15 november 2012

14

Nationaal Cyber Security Centrum Ministerie van Veiligheid en Justitie

Aantal smartphones en tablets

• “Het aantal smartphone en tablet eigenaren zal de komende jaren toenemen tot een miljard” volgens Forrester. Source: http://www. forrester.com

15

15 november 2012

Nationaal Cyber Security Centrum Ministerie van Veiligheid en Justitie

Bring Your Own Device (BYOD)

Is een beleid waarin medewerkers, zakelijke partners en andere gebruikers in staat worden gesteld om persoonlijk geselecteerde en gekochte client (computer) apparatuur - zoals smartphones, tablets en laptops - op de werkplek te gebruiken en met het bedrijfsnetwerk te verbinden. 15 november 2012

16

Nationaal Cyber Security Centrum Ministerie van Veiligheid en Justitie

Consumerization Online storage

Web & Social media

Consumer apps

Enterprise apps

Basic services

Is breder dan BYOD en verwijst dan ook niet alleen naar het gebruik van persoonlijk geselecteerde en gekochte client (computer) apparatuur op het werk, maar ook naar onlinediensten, 17

15 november 2012

Nationaal Cyber Security Centrum Ministerie van Veiligheid en Justitie

Persoonlijke cloud

De aggregatie van onlinediensten die een gebruiker vanaf elke plek, op elk moment met behulp van elk (mobiel) apparaat kan benaderen 15 november 2012

18

Nationaal Cyber Security Centrum Ministerie van Veiligheid en Justitie

Invloed van de persoonlijke cloud • Het heeft gevolgen voor de wijze waarop ITdiensten worden geleverd aan werknemers. • Het heeft invloed op de wijze waarop consumenten communiceren met de organisaties.

19

15 november 2012

Nationaal Cyber Security Centrum Ministerie van Veiligheid en Justitie

Het nieuwe werken

15 november 2012

20

Nationaal Cyber Security Centrum Ministerie van Veiligheid en Justitie

CCS vs. BYOD

CSS = Consolidatie, centralisatie en standaardisatie (CCS) 21

15 november 2012

Nationaal Cyber Security Centrum Ministerie van Veiligheid en Justitie

BYOD of Niet?

“nee” is  geen optie.

De conclusie… 15 november 2012

22

Nationaal Cyber Security Centrum Ministerie van Veiligheid en Justitie

BYOD / CoIT is meer dan

het leveren van de infrastructuur.

Het is ook een verandering in de balans tussen werk en privé 23

15 november 2012

Nationaal Cyber Security Centrum Ministerie van Veiligheid en Justitie

Vragen die beantwoord moeten worden.

Is het huidige bedrijfsnetwerk er klaar voor?

Wat zijn de kosten van BYOD?

Is BYOD onderdeel van de bedrijfsstrategie en (HR) beleid? 15 november 2012

24

Nationaal Cyber Security Centrum Ministerie van Veiligheid en Justitie

Samenwerking BYOD is ‘alleen' mogelijk als de regels van Open ICT worden gevolgd

open standaarden

Interoperabiliteit 25

15 november 2012

Nationaal Cyber Security Centrum Ministerie van Veiligheid en Justitie

Mobiele bedreigingen model

Source: OWASP presentation on Appsec USA - Minneapolis, MN; September 23, 2011 OWASP Top 10 Mobile Risks

15 november 2012

26

Nationaal Cyber Security Centrum Ministerie van Veiligheid en Justitie

Kwetsbaarheden (1/2)

Covert channels (verscholen kanaal)

Zwakheden in de toegepaste encryptiemethode bij netwerkverbinding

Zwakke implementatie van sandboxing

Kwetsbaarheden waardoor malware geïnstalleerd kan worden

32

15 november 2012

Nationaal Cyber Security Centrum Ministerie van Veiligheid en Justitie

Kwetsbaarheden (2/2)

Gebrek aan vaardigheid bij gebruikers Zwakke authenticatiemechanismen bij appdistributie Er zijn geen privacy ‘best practices’ beschikbaar Gebrek aan bewustwording bij gebruikers 15 november 2012

33

Nationaal Cyber Security Centrum Ministerie van Veiligheid en Justitie

Top Mobiele Bedreigingen (1/2)

Het lekken van gegevens *

Afluisteren of wijzigen van netwerkverkeer

Onbedoeld (lekken) Verstrekken van gegevens

34

15 november 2012

Nationaal Cyber Security Centrum Ministerie van Veiligheid en Justitie

Top Mobiele Bedreigingen (2/2)

Spyware *

Phishing 15 november 2012

Financiële malware *

Social engineering *

Netwerkcongestie

Diallerware *

Surveillance 36

Nationaal Cyber Security Centrum Ministerie van Veiligheid en Justitie

NCSC-publicaties • Whitepaper Cloudcomputing & Security – https://www.ncsc.nl/dienstverlening/expertiseadvies/kennisdeling/whitepapers/whitepaper-cloudcomputing.html

• Position Paper / Point of View (PoV) – https://www.ncsc.nl/dienstverlening/expertiseadvies/kennisdeling/whitepapers/consumerization--security.html

• Beveiligingsrichtlijnen voor mobiele apparaten – https://www.ncsc.nl/dienstverlening/expertiseadvies/kennisdeling/whitepapers/beveiligingsrichtlijnen-voor-mobiele-apparaten.html

42

15 november 2012

Nationaal Cyber Security Centrum Ministerie van Veiligheid en Justitie

Beveiligingsrichtlijnen voor mobiele apparaten

15 november 2012

43

Nationaal Cyber Security Centrum Ministerie van Veiligheid en Justitie

Mobile Device Management (1/3)

Source: Gartner - Magic Quadrant for Mobile Device Management Software (May 2012)

44

15 november 2012

Nationaal Cyber Security Centrum Ministerie van Veiligheid en Justitie

Mobile Device Management (2/3) • Software management – This is the ability to manage and support mobile applications, content and operating systems.

• Network service management – This is the ability to gain information off of the device that captures location, usage, and cellular and WLAN network information.

• Hardware management – Beyond basic asset management, this includes provisioning and support Source: Gartner - Magic Quadrant for Mobile Device Management Software (May 2012)

15 november 2012

45

Nationaal Cyber Security Centrum Ministerie van Veiligheid en Justitie

Mobile Device Management (3/3) • Security management – This is the enforcement of standard device security, authentication and encryption. – The components are: • • • • • • • • •

Remote wipe Remote lock Secure configuration Policy enforcement password-enabled Encryption Authentication Firewall Antivirus Mobile VPN

Source: Gartner - Magic Quadrant for Mobile Device Management Software (May 2012)

46

15 november 2012

Nationaal Cyber Security Centrum Ministerie van Veiligheid en Justitie

Conclusie • Gegevensbeveiliging wordt steeds belangrijker • Uw beslissing om ‘gebruik te gaan maken van clouddiensten’ of ‘BYOD toe te staan’ moet altijd gebaseerd zijn op een risicoanalyse ....... zodat u uw risico's en die van uw klanten weet. • Als u uw medewerkers meer gelegenheid wil bieden om met hun eigen smartphones, tablets, computers en diensten te mogen werken, doe het dan wel op een verantwoorde en weloverwogen manier. 15 november 2012

47

Nationaal Cyber Security Centrum Ministerie van Veiligheid en Justitie

Aanbevolen lectuur / interessante bronnen

–

Smartphones: Information security risks, opportunities and recommendations for users

–

Smartphone Secure Development Guidelines

• •

–

http://www.enisa.europa.eu/activities/Resilience-and-CIIP/critical-applications/smartphone-security-1/smartphone-secure-development-guidelines

Mobile Working Group •

–

http://www.enisa.europa.eu/activities/identity-and-trust/risks-and-data-breaches/smartphones-information-security-risks-opportunities-and-recommendations-for-users

https://cloudsecurityalliance.org/research/mobile/

Mobile Security Project •

https://www.owasp.org/index.php/OWASP_Mobile_Security_Project

OWASP = Open Web Application Security Project

48

15 november 2012

Nationaal Cyber Security Centrum Ministerie van Veiligheid en Justitie

Hardeningsrichtlijnen / Benchmarks mobiele apparaten

–

Security Configuration Benchmark For Apple iOS 5.0.1,v1.4.0

–

Security Configuration Benchmark For Google Android 2.3, v1.1.0

• •

–

https://benchmarks.cisecurity.org/tools2/iphone/CIS_Apple_iOS_Benchmark_v1.4.0.pdf https://benchmarks.cisecurity.org/tools2/android/CIS_Google_Android_2.3_Benckmark_v1.1.0.pdf

iOS Hardening Configuration Guide •

http://www.dsd.gov.au/publications/iOS5_Hardening_Guide.pdf

15 november 2012

49

Nationaal Cyber Security Centrum Ministerie van Veiligheid en Justitie

50

15 november 2012

Nationaal Cyber Security Centrum Ministerie van Veiligheid en Justitie

Contactgegevens

John van Huijgevoort Telefoon: 070 888 755 E-mail: [email protected] https://www.ncsc.nl/

15 november 2012

51

Nationaal Cyber Security Centrum Ministerie van Veiligheid en Justitie

Tack

Dank u

Jag tackar

Belgium

Finland

Gracias

Danke Germany

Sweden

Spain

Obrigado Thanks Takk Dakujem Slovakia

Arigato Japan

15 november 2012

Engraziel Switzerland

Grazie

Austria

Italy

Poland

Portugal

United States

Dziekuje

Dankschen

Toda Israel

Norway

Thank You United Kingdom

Bedankt

Tak

Netherlands

Denmark

Merci France

Russia

Tesekkür ederim Turkey

52