Cyber Security: door toeval of door design? Software Improvement Group Radboud Universiteit Nijmegen 3 juli, 2013
T +31 20 314 0950
[email protected] www.sig.eu
Cyber Security: door toeval of door design Het beoogde effect
2 I 19
Adviesdienst voor het vaststellen van het security niveau van software Veilige software producten worden herkenbaar Security expertise wordt doeltreffend gemobiliseerd Door brede inzet zal de digitale weerbaarheid van de Nederlandse maatschappij op korte termijn kosteneffectief worden verhoogd. © Software Improvement Group
Cyber Security: door toeval of door design De oplossingsrichting
3 I 19
Adviesdienst voor het vaststellen van het security niveau van software Onder de motorkap Tijdens ontwerp, aanbesteding, ontwikkeling Niet pas bij ingebruikname of bij gebruikersacceptatietest ontwerp © Software Improvement Group
aanbesteding
ontwikkeling
acceptatie
gebruik
Cyber Security: door toeval of door design Het belang
4 I 19
Aanpak bij de bron requirements
architecture
design
source code Niet dweilen met de kraan open Inherent veiliger © Software Improvement Group
5 I 19
Pitch • (done)
Achtergrond • Partijen • Positionering • ISO 25010
Uitvoering • Haalbaarheid • Fase 2 + 3
Reflectie • Ervaringen met SBIR • Toekomstig onderzoek © Software Improvement Group
Achtergrond Partijen
6 I 19
Software Improvement Group (SIG) • Missie: Inzichtelijk maken van softwarekwaliteit vanuit onafhankelijke positie • Track record: jaarlijkse assessment van 150+ software systemen en continue monitoring van 550+ software systemen • Samenwerking met universiteiten, publicaties, colleges, afstudeerders en promovendi
Management advies Software analyse lab ISO 17025 certified
Radboud Universiteit Nijmegen • Digital Security onderzoeksgroep (Bart Jacobs, Eric Poll) • Expertise: security assessment, verificatie, secure software-engineering
© Software Improvement Group
ISO 25010 Traditional focus: Maintainability
7 I 19 Usability
Reliability
Compatibility
Security
Performance Efficiency
Functional Suitability
Maintainability
Technical Quality ISO 25010
© Software Improvement Group
Portability
Software Analyse Lab Key numbers
Monitoring: • 550+ systems, concurrently • 27 mln+ lines of code per week • 50+ technologies • 100+ events per week • 30+ monitor alerts per week
Benchmark: • 750+ systems • 22,000 snapshots • 160 mln+ lines of code • 100+ technologies • 3 bln+ lines of code analyzed
© Software Improvement Group
8 I 19
Software Product Certification Samenwerking met TÜV Informationstechnik
9 I 19 Kas BANK
Tri-party collateral management
internal development
Rabobank
Bank-lobby console CRM
Ordina / Cognizant India
ProRail
On-board track visualization
Sogeti
KLM
Transfer kiosk
Accenture
SIDN
Domain registration
Profict
Agentschap BPR
Exchange of citizen information
internal development
GlobalCollect
Online payment
QuadroVision
Ordina
Insurance
internal development
MetaPress (USA)
Document management
SpringerLink
IT Mobile
Vehicle tracking, fleet management
internal development
RIPE NCC
Internet resource certification
internal development
Rijkswaterstaat
Incident and disaster management
Logica
Havenbedrijf Rotterdam
Harbour management
internal development
Rijkswaterstaat
Dredging
Technolution
2013 © Software Improvement Group
ISO 25010 Nieuwe focus: Security
10 I 19 Usability
Reliability
Compatibility
Security
Performance Efficiency
Functional Suitability
Maintainability
Technical Quality ISO 25010
© Software Improvement Group
Portability
Positionering
process
11 I 19
BSIMM
NEN 7510
OpenSAMM
ISO 27001
MS-SDL
process models
management systems
development
operations modeling & measurement
Common Criteria
testing & monitoring
intrusion detection
ISO 25010 OWASP ASVS © Software Improvement Group
product
penetration testing
ethical hacking
Fase 1: Is het haalbaar?
12 I 19
Proof-of-principle • Security evaluatie model. Operationaliseert ISO 25010. • Niet documentatie, maar broncode (in brede zin) is leidend.
© Software Improvement Group
Fase 1: Is het haalbaar?
13 I 19
Pilots • Vele bevindingen. Haalbaar en smaakt naar meer. Properties
Pilot 1
Pilot 2
System owner
Government
Telecommunications
System type
Web application
Web and mobile applications
Development stage
Finalizing development
Several years in production
Nr. of technical findings
77
101
Rating
HHIII
HHIII
Size
10,000 LOC
230,000 LOC
Resultaten • Technisch en economisch haalbaar • Investering nodig © Software Improvement Group
Fase 2: Wegnemen van obstakels
14 I 19
Knelpunten • Afbakening: wat valt er binnen de evaluatie-scope? • Automatisering: hoe wordt evaluatie ondersteunt met tooling? • Objectiviteit: hoe wordt evaluatie onafhankelijke van de evaluator? • Herhaalbaarheid: wat garandeert zelfde uitkomst bij herhaalde evaluatie? • Efficiency: hoe kan met minimale inspanning het veiligheidsniveau betrouwbaar worden vastgesteld?
WP1: Evaluatie model en tooling
WP2: Risico assessment methode
WP4: Wetenschappelijke validatie © Software Improvement Group
WP3: Complete adviesdienst
Fase 3: de markt op
15 I 19
Promotie • Multi-level: het bestaat … ik wil het … met deze specifieke oplossing
Diensten • Risk assessment, inspectie, scan
Samenwerkingsverbanden • Klanten • Vakgroepsorganisaties (PvIB, CIP, Nederland ICT, …) • Certificeringsinstanties (lab accreditatie en productcertificatie) • Universiteiten (onderwijs én onderzoek)
© Software Improvement Group
16 I 19
Reflectie • Ervaringen met SBIR • Toekomstig onderzoek
© Software Improvement Group
Ervaringen met SBIR
17 I 19
Tijdslijn • Mei 2012: wetenschappelijke partner maakt ons attent op SBIR call • Jun 2012: informatievergaring en intern overleg levert meerdere ideeën op • Jul-Aug 2012: externe toetsing van idee #1 leidt tot overschakelen op idee #2 • Aug-Sep 2012: uitwerking idee en indiening van voorstel m.b.v. adviseur • Nov 2012: gunning fase 1 • Dec 2012 – Mei 2013: team aan de slag
Lessons learned • SBIR is in vergelijking met andere instrumenten zeer toegankelijk, weinig bureaucratisch • Uitvoering van haalbaarheidsstudie dwingt tot in vroeg stadium aandacht schenken aan alle aspecten (natuurlijke neiging is focus op vooral korte termijn en technische zaken) • Klein consortium tijdens fase 1 is prettig voor focus en snelheid
© Software Improvement Group
Toekomstig onderzoek Cyber security
18 I 19
Enkele ideeën • Vergelijkbare pragmatische aanpak voor process assessment (in het kwadrant van ISO 27001, ISO 27799, NEN 7510, ISO 27034). • Vergelijkbare pragmatische aanpak voor veiligheid van “industrial control systems” (van software security naar system security). • Security in de keten: op welke manier kunnen software eco-systemen (waar vele applicaties samenhangende functionaliteit realiseren) veiliger gemaakt worden? • Van risicomodel naar verzekeringsmodel: Technische inspectie als basis voor berekening van premies en uitkeringen. • Continue monitoring van security aspecten in grootschalige (agile) software ontwikkeling (vergt aanvullende, frequent herhaalbare metingen).
© Software Improvement Group
Toekomstig onderzoek ISO 25010
19 I 19 Usability
Reliability
Compatibility
Security
Energy Efficiency Performance Efficiency
Functional Suitability
Maintainability
Technical Quality ISO 25010
© Software Improvement Group
Portability
Contact
20 I 19
Prof. dr. ir. Joost Visser Software Improvement Group http://www.sig.eu +31 20 3140950
[email protected]
© Software Improvement Group
