Sebyde diensten overzicht 6 December 2013
Even voorstellen
Sebyde BV is Certified IBM Business Partner voor security systems, gespecialiseerd in applicatie security en security awareness. We leveren diensten en producten om webapplicaties / websites veilig te maken en het bewustzijn op het gebied van IT security te verhogen. We helpen bedrijven bij het verlagen van de risico’s en het beschermen van hun bedrijfsgegevens en reputatie. We leveren hiervoor de volgende diensten: • • • •
1. Web Applicatie Security Scan 2. IBM Authorised reseller 3. Security Awareness training + specialistische Security Certificeringen 4. Security Assessments
Ad 1. We controleren websites en andere web applicaties op de zwakke punten in de beveiliging. De scan van de websites wordt uitgevoerd met behulp van IBM Security Appscan®, het beste product wat hiervoor ingezet kan worden. In een gedetailleerd rapport kan de klant vervolgens lezen waar de zwakke punten in de beveiliging van de website zitten. We geven advies over hoe die kwetsbaarheden verholpen kunnen worden door middel van aanpassingen in de programmacode van de website. Ad 2. Bedrijven die het security-testen van hun web applicaties in eigen beheer willen houden kunnen bij Sebyde BV terecht voor een advies over de aan te schaffen eigen versie van de IBM Security AppScan® scanning tool, de implementatie en de training. Sebyde BV is een Certified IBM Reseller. Ad 3. Security Awareness training geeft de deelnemers een goed overzicht over de verschillende aspecten van IT-Security. Tijdens 2-3 halve-dag-sessies maken we de deelnemers bewust van de risico’s van het werken met informatiesystemen en vertrouwelijke (bedrijfs)informatie. Na deze training begrijpen de deelnemers de security aspecten en zullen die meenemen tijdens hun dagelijkse activiteiten. Naast de Security Awareness training bieden wij ook zeer specialistische trainingen aan op het gebied van security. Deze trainingen worden verzorgd door een van ’s werelds grootste onafhankelijke aanbieders van IT trainingen en leiden u op voor de officiële EC-Council certificeringen. Ad 4. Sebyde Security Assessments zijn verschillende vormen van (security) assessments die wij kunnen uitvoeren. Hierbij denken we bijvoorbeeld aan de volgende mogelijkheden: • • • •
Sebyde Security Quick Assessment Netwerk Penetratie test Systeem test Sebyde Privacy onderzoek
2
Achtergrond
Er is de afgelopen jaren een duidelijke trend geweest in de richting van het gebruik van web applicaties. Gedreven door de veranderende manier van werken en globalisering worden web applicaties steeds vaker toegepast. Web applicaties zijn aantrekkelijk voor de business omdat ze het mogelijk maken om altijd en overal toegang te krijgen tot services voor zowel interne- als externe gebruikers. Dit heeft echter ook een schaduwkant: 75% van de hackers-aanvallen van buitenaf zijn tegenwoordig gericht op die web applicaties/websites. Is uw website / web applicatie veilig? Om uw IT-infrastructuur te beschermen tegen ongeautoriseerd of crimineel gebruik heeft u waarschijnlijk al maatregelen getroffen. U hebt een firewall, het netwerk gesegmenteerd, een intrusion prevention systeem ingericht, antivirus software geïnstalleerd, …etc. Daarnaast houdt u de software op alle componenten up-to-date om de nieuwste lekken te voorkomen. Maar uiteindelijk zal toch vanaf het Internet, of belangrijker vanuit intern, de web applicatie kunnen worden benaderd. En of de verbinding nou versleuteld is of niet, men zal applicatiefuncties uitvoeren die geautoriseerd zijn om de onderliggende database(s) te benaderen voor lees- en / of schrijfacties. Waar liggen de gevaren? Meer en meer richten hackers zich van buitenaf, of ontevreden personeel van binnenuit, op die web applicaties om er hun voordeel mee te doen. Denk aan leeglezen van database tabellen, het moedwillig wijzigen van gegevens, het uitvoeren van database commando’s, tot het kunnen uitvoeren van commando’s op operating systeem niveau! SQL-injectie is de meest voorkomende hack techniek en kan door iemand, met een beetje kennis en wat opzoekwerk op het Internet, worden uitgevoerd op allerlei invoervelden in uw web applicatie. Vooral hackers zetten technieken in als SQL Injection, Cross-site Scripting (XSS), Cross-Site Request Forgery (CSRF), om de communicatie tussen gebruiker en de web applicatie te kapen. Op het Internet zijn vele tools te vinden om, verbazingwekkend simpel, deze technieken uit te voeren. Methodieken gebruikt door hackers. Onderzoek wijst uit dat 80% van de websites minimaal één kwetsbaarheid bevat. Dit verklaart waarom 75% van alle hack-aanvallen worden uitgevoerd via de websites van bedrijven. Er worden steeds meer methoden bedacht door hackers om toegang te krijgen tot bedrijfsgegevens. Er bestaan een aantal wereldwijde organisaties die zich bezighouden met onderzoek naar de door hackers gebruikte methodieken om in te breken in uw web applicatie. Sommige van die organisaties publiceren in samenwerking met security experts vanuit de hele wereld regelmatig overzichten met de meest gebruikte bedreigingen. De bekendste organisatie op dit gebied is OWASP. Het is aan te raden om deze informatie in acht te nemen bij het ontwerpen of ontwikkelen van web applicaties. Security By Design!
3
Wet/regelgeving Er komen steeds meer regels waaraan aanbieders van e-services en of web applicaties moeten voldoen om zichzelf (én de gebruikers / consumenten) te beschermen. In de Amerikaanse markt bestaat er al lange tijd regulering voor verschillende branches, zoals PCI DSS (Payment Card Industry Data Security Standard) voor websites die creditcard gegevens verwerken. Dergelijke regelgeving wordt steeds vaker toegepast. In sommige staten is het verplicht dat leveranciers moeten kunnen aantonen dat security een standaard onderdeel is van hun software ontwikkelingsprocessen en welke tools ze hebben gebruikt om aangeboden software te testen op security. Ook in Europa is de discussie gestart of dergelijke regelgeving verplicht gesteld zou moeten worden. Regulering als Basel III en de e-privacy richtlijn zijn al in gebruik in Europa. De Europese Privacy wetgeving is in beweging! Binnen de Europese commissie ligt een voorstel voor een aanscherping van de wet- en regelgeving met betrekking tot de privacy. Dit gaat grote gevolgen hebben voor het bedrijfsleven. De nieuwe wetgeving dicteert concrete maatregelen om de privacy van opgeslagen informatie te waarborgen. Organisaties worden verplicht een intern privacy beleid vast te stellen, een functionaris voor de gegevensbescherming aan te stellen, privacy te integreren als vast onderwerp binnen de bedrijfsvoering, en de werking daarvan jaarlijks te controleren. Dit is bepaald niet vrijblijvend. Het niet naleven van deze verplichtingen kan een materieel risico opleveren omdat er ‘Neelie Kroes-achtige’ sancties opgelegd kunnen worden door de toezichthouder. Boetes kunnen oplopen tot een miljoen euro of twee procent van de jaaromzet. Daarnaast wordt de toepassing van Privacy Impact Assessments (PIA) verplicht in geval nieuwe systemen worden ontwikkeld of aangeschaft en in gebruik genomen. Ook moeten nieuwe systemen voldoen aan de principes van “privacy by design and default”. Gezien de implicaties van de nieuwe wetgeving is een goede voorbereiding daarop onontkoombaar. Wat is er tegen te doen? Attack the cause, not the symptom Bij het ontwerpen van web applicaties kan veel worden gedaan om security- en privacy problemen in de toekomst te voorkomen. Belangrijk is dat iedereen die betrokken is bij de ontwikkeling van web applicaties bewust is van security en het belang er van inziet. Dat betekent een verandering van gedrag en houding. Dit is niet eenvoudig te implementeren en moeilijk te controleren. Het allerbeste is om de softwareontwikkeling processen in de organisatie zodanig in te richten dat tijdens het ontwerpen en bouwen van een web applicatie al rekening wordt gehouden met de veiligheid van de applicatie en de privacy van de gegevens. Het inrichten van een Software Development Life Cycle (SDLC) proces is van groot belang, maar is niet voor alle organisaties weggelegd.
4
Het (security) testen van applicaties: Doe het zo vroeg mogelijk in het ontwikkelproces In de praktijk kijkt men vaak pas naar de veiligheid van de web applicaties nadat deze zijn gebouwd. Door te testen denkt men dan de fouten uit de applicatie te halen. Functionaliteit gaat vaak boven veiligheid omdat onder druk van “de business” de applicatie snel in gebruik moet worden genomen. Het testen op security schiet er dan vaak bij in. Er wordt dan alleen op functionaliteit getest en niet of er veiligheidslekken in de applicatie zitten. Handmatig web applicaties testen op mogelijke lekken is een duur, langzaam en moeilijk proces. En het is niet gezegd dat alle mogelijke lekken gevonden worden. Om het testen geautomatiseerd, consistent en volledig te doen zijn tools beschikbaar. Onderzoek wijst uit dat het oplossen van security problemen in een applicatie die al in gebruik is genomen een factor 100 keer duurder is dan het oplossen van diezelfde problemen in een applicatie die nog in de bouwfase zit. Er bestaat dus ook een goede “business case” voor het security testen tijdens de bouwfase van een applicatie!
5
Onze aanpak : Sebyde Security Cycle Zoals hierboven beschreven speelt de interne beveiliging van web applicaties een belangrijke rol tegen ongewenste aanvallen van buitenaf en de bescherming van bedrijfsgegevens. Om uw bedrijfsgegevens goed te beschermen dienen uw web applicaties daarom van binnen uit, in de broncode, beschermd te zijn tegen inbraakpogingen. Via een Scan kunt u een web applicatie laten scannen of er voldoende bescherming tegen bedreigingen van buitenaf wordt geboden. Sebyde BV levert een Web Applicatie Security Scan waarbij de veiligheid van uw web applicatie wordt getest. Deze scan bestaat uit het Controleren, Evalueren en Analyseren van gegevens die we met behulp van geavanceerde scan-software (IBM Security AppScan) over uw website genereren. We rapporteren de bevindingen met een rapport van kwetsbaarheden, en evalueren samen met u de te nemen stappen om de gevonden kwetsbaarheden te repareren.
Sebyde Security Cycle
6
1. Controleren; het scannen van de web applicatie. Met behulp van IBM Security AppScan® wordt uw software getest op kwetsbaarheden tijdens een serieuze simulatie van een externe aanval. Deze gecontroleerde “aanval” gebeurt na overleg met de klant op een vooraf overeengekomen tijd. Tijdens deze scan wordt de webapplicatie onderworpen aan een groot aantal hack technieken. Kwetsbaarheden in de webapplicatie komen in deze fase onmiddellijk boven water. Het uitvoeren van een scan met behulp van IBM Security Appscan® bestaat uit de volgende fases: •
•
Explore fase : In deze fase onderzoekt Appscan® de applicatie en inventariseert welke pagina’s er zijn, hoeveel elementen er onderzocht moeten worden en wat de onderliggende technologieën zijn . Vervolgens zal IBM Security Appscan® aan de hand van de gevonden artifacten bepalen welke testen uitgevoerd moeten worden. Test fase : Dit is de daadwerkelijke test van alle elementen aan de hand van de eerder gedane explore
2. Evalueren van de uitkomsten van de scan. Na de scan wordt er een rapport geproduceerd waarin de kwetsbaarheden van uw web applicatie duidelijk worden uitgelegd. Naast een “executive summary” bevat dit rapport ook gedetailleerde informatie over de gevonden kwetsbaarheden en hoe ze worden veroorzaakt. U weet dan dus precies hoe er in uw web applicatie ingebroken kan worden. 3. Analyseren hoe de gevonden lekken moeten worden gedicht. In deze fase bespreken we met de klant welke maatregelen er genomen moeten worden om de kwetsbaarheden op te lossen en wat de prioriteiten zijn. Zijn er wellicht andere factoren die een positieve rol kunnen spelen bij de veiligheid van uw applicaties en gegevens? 4. Realiseren; aanpassen van de programmatuur. Om de kwetsbaarheden te laten verdwijnen zijn er aanpassingen nodig in de broncode zodat uw web applicaties van binnenuit beveiligd zijn tegen inbraken van buitenaf. Sebyde assisteert bij de aanpassing van de programmacode. Indien noodzakelijk kan er via Sebyde BV ook een externe programmeur ingeschakeld worden om de gevonden kwetsbaarheden op te lossen.
7
Sebyde Web Applicatie Security Scan
De Sebyde Web Applicatie Security Scan bestaat uit de stappen 1-2-3 van de totale cycle. De Webapplicatie Security Scan zal ongeveer 3 dagen in beslag nemen. De gegevens van de scan worden geëvalueerd, geanalyseerd en met u besproken. U ontvangt een rapport met gedetailleerde gegevens over de kwetsbaarheden van uw web applicatie. Voor de kosten van een Web Applicatie Security Scan kunt u de meest recente prijslijst opvragen via
[email protected] of via onze website: www.sebyde.nl/downloads
Sebyde Keurmerk
Na het uitvoeren van een Webapplicatie security scan leveren we een rapport af bij de klant met aanbevelingen hoe de gevonden kwetsbaarheden gerepareerd kunnen worden. De klant kan deze aanbevelingen opvolgen en daarna een controlescan door ons laten uitvoeren tegen een sterk gereduceerd tarief van € 995 (ex BTW). Indien de applicatie dan geen High en/of Medium severity kwetsbaarheden meer bevat dan krijgt de applicatie een certificaat en een keurmerk.
Dit keurmerk wordt bij ons geregistreerd. Het keurmerk is een jaar geldig. De klant mag dit keurmerk op de website zetten om aan hun relaties te laten zien dat hun website gecontroleerd is en veilig bevonden. Eenmalige scan - abonnement - Knipkaart? Omdat hack-methodieken veranderen en omdat bedrijven hun website regelmatig voorzien van nieuwe pagina’s, etc. hebben we ook abonnementsvormen waarbij de Security scan op periodieke basis (2 x per jaar, 4 x per jaar, 12 x per jaar) wordt uitgevoerd. Hiervoor gelden uiteraard zeer aantrekkelijke kortingen. Tevens beschikken we over een knipkaart waarbij een aantal scans (2-3-5) tegen aantrekkelijke kortingen aangekocht kunnen worden en op afroep uitgevoerd zullen worden. Hierbij kunt u bijvoorbeeld denken aan het laten scannen van een applicatie in verband met het uitkomen van een nieuwe release. Voordelen van de Sebyde Web applicatie Security Scan: Snel in te regelen / uit te voeren Goedkoper dan manueel testen Weinig kennis nodig van de te scannen applicatie Herhaalbaar. 8
IBM Security AppScan® Authorized Reseller
In het geval dat bedrijven besluiten om de scanning van hun applicaties in eigen beheer uit te gaan voeren kan Sebyde BV u ondersteunen door middel van de implementatie van, en de training op de benodigde software licenties van IBM Security AppScan®. Er zijn bijvoorbeeld de volgende mogelijkheden.
Outsourced Audits
In-House Audits
Development Integratie
Enterprise
Sebyde Security Scan
IBM Security AppScan® Standard
IBM Security AppScan® Source
IBM Security AppScan® Enterprise
Dynamische analyse security testen (DAST) of black-box testen van uw web applicatie vanaf een laptop. Bedoeld voor bedrijven die zelf hun web applicaties willen testen.
Statische analyse security testen (SAST) of white-box testen om kwetsbaarheden in de source code van uw applicatie te ontdekken. Bijvoorbeeld om uw testprocedures uit te breiden en te integreren in uw software development procedures.
Een multi user omgeving waarin simultaan meerdere applicaties kunnen worden gescanned. Met een centrale rapportage omgeving.
IBM Security AppScan OnDemand Een Software as a Service (SAAS) versie van AppScan®. De service wordt gerunned in de cloud door een team van Sebyde of IBM experts die op gezette tijden uw applicatie scannen. Bedoeld voor bedrijven die geen eigen expertise kunnen en/of willen opbouwen.
Bedrijven die geen expertise kunnen en/of willen opbouwen kunnen bijvoorbeeld overstappen op IBM Security AppScan® OnDemand. Bedrijven die zelf hun websites (dynamisch) willen testen kunnen gebruik maken van IBM Security AppScan® Standard Edition. Statische Analyse van de sourcecode als integraal onderdeel van de development lifecycle van web applicaties kan gebeuren met de IBM Security AppScan® Source Edition. Tot slot is er de IBM Security AppScan® Enterprise Edition voor organisaties die in een multi-user omgeving meerdere applicaties tegelijk willen scannen en gebruik willen maken van een centrale rapportage omgeving in een executive dashboard.
9
Sebyde Security Awareness Training
Sebyde BV verzorgt trainingen om het bewustzijn op het gebied van security bij het werken met informatiesystemen te vergroten. Door het vergroten van het bewustzijn wordt veilig en verantwoord omgaan met informatie een natuurlijk onderdeel van het dagelijkse handelen. Security Awareness training Elke organisatie heeft er belang bij dat de medewerkers bewust zijn van het feit dat er risico’s zitten aan het werken met bedrijfsinformatie en -systemen. Het maakt niet uit wat de functies en verantwoordelijkheden van die medewerkers zijn. Het kunnen medewerkers zijn van een boekhoudafdeling, magazijn, computerprogrammeurs maar zeker de directieleden. Iedereen in de organisatie heeft te maken met ICT en informatie, iedereen speelt daarom een belangrijke rol in het proces van het beschermen van de eigendommen van het bedrijf. Van “Onbewust onveilig” naar “Onbewust veilig” gedrag. Het belangrijkste doel van de Security Awareness training is om medewerkers bewust te maken van de risico’s en ze de juiste “security-gewoontes” aan te leren die de risico’s op digitale aanvallen verlagen.
Dit doen we door de risico’s die te maken hebben met informatiebeveiliging uit te leggen en adviezen te geven hoe ze die risico’s kunnen verkleinen of (beter nog!) vermijden.
10
Het leerproces Zoals hierboven staat uitgelegd willen we de mensen brengen van “Onbewust onveilig” naar “Onbewust veilig” gedrag. Dit gaat niet in één stap. Er worden tijdens het leerproces een aantal fases doorlopen die elk hun eigen specifieke activiteiten in het leerproces behoeven. Schematisch ziet het leerproces naar veilig gedrag er als volgt uit:
Voordat cursisten naar een training voor Security awareness komen vertonen ze geregeld “onbewust onveilig” gedrag. Hierdoor worden er (onbewust) onnodige security-risico’s gelopen door een organisatie. Hierdoor kan schade ontstaan. Niet alleen directe schade (systeemuitval, gestolen of verminkte gegevens) maar ook indirecte schade (reputatie-schade, herstelkosten). Het veranderen van gedrag van mensen is een proces waarbij verschillende fases doorlopen worden. De training van Sebyde begeleidt de deelnemers bij het doorlopen van deze verschillende fases.
11
Global Knowledge trainingen. Sebyde BV heeft een samenwerking met Global Knowledge op het gebied van specialistische security trainingen die de deelnemers opleiden voor de bekende “EC-Council” certificeringen. EC-Council (International Council of Electronic Commerce Consultants) is een bekende organisatie die vooral bekend staat als uitgever van certificeringen. De bekendste certificering van EC-Council is die van “Certified Ethical Hacker” (CEH). Global Knowledge is een van ’s werelds grootste onafhankelijke aanbieder van IT trainingen. Global Knowledge levert sinds 1961 aan IT en management professionals hoogwaardige trainingen van onder andere Microsoft, Cisco, VMware, Citrix, Avaya, Oracle/Sun Microsystems, EMS, Netapp, Red Hat, Novell en HP. Daarnaast beschikt Global Knowledge over een eigen opleidingscurriculum op de gebieden Networking, Security en Wireless en biedt het een managementportfolio aan met cursussen van ITIL® en PRINCE2®. Ze zijn wereldwijd vertegenwoordigd in 34 landen en geven trainingen in 13 talen. In Nederland zijn er vestigingen in Nieuwegein, Amsterdam, Drachten, Eindhoven, Groningen, Rotterdam, Zoetermeer en Zwolle. Sebyde BV biedt de volgende gespecialiseerde Security trainingen aan: Code
Titel
Duur
CEH
EC-Council Certified Ethical Hacker
5
dagen CHFI
EC-Council Computer Hacking Forensic Investigator
5 dagen
ECSA-LPT
EC Council Security Analyst & Licensed Penetration Tester
5 dagen
ECSP
EC-Council Certified Secure Programmer
5 dagen
EDRP
EC-Council Disaster Recovery Professional
5 dagen
ENSA
EC-Council Network Security Administrator
5 dagen
GK9840
CISSP Certification Preparation
5 dagen
ISO27002F
ISO 27002 Foundation (incl. examen ISFS)
2 dagen
ISO27002A
ISO 27002 Advanced (incl. examen ISMAS)
3 dagen
12
Sebyde Security Assessments
Sebyde biedt de volgende vormen van security assessments aan: Sebyde security Quick Assessment De Sebyde Security Quick Assessment bestaat uit een gericht onderzoek waarbij samen met de klant meerdere aspecten van IT security tegen het licht worden gehouden. Na het invullen van een Sebyde Quick Assessment questionnaire volgt een gesprek met een security expert over de gebruikte security procedures in de organisatie. Daarna produceren we een rapport over de status. Een goede manier om eens te controleren of de gebruikte beveiligingsmaatregelen nog wel actueel en afdoende zijn. Op basis van die informatie kan er een betere inschatting worden gemaakt van de risico’s die worden gelopen. De Security Scan neemt 2 dagen in beslag en bestaat uit drie fases : Invullen Sebyde Security Assessment questionnaire. Informatie inwinnen; Security Assessment meeting met Sebyde BV. Uitlevering Sebyde Assessment rapport + nabespreking.
Netwerk penetratie test Bij een Netwerk Penetratie test zullen we pogen binnen te dringen in het netwerk en toegang te krijgen tot vitale server systemen. Er zal getest worden op open poorten, lekken en kwetsbare software. De benodigde tijd voor het uitvoeren van een netwerk penetratietest is afhankelijk van de complexiteit en grootte van het netwerk. De totale test is inclusief voorwerk, het testen zelf en het aanmaken en afleveren van de rapportage.
Systeem test Een Systeem test is een controle van de systemen op security maatregelen, onder andere het gebruik van overbodige services en onvoldoende toegangsbeveiliging. Hiervoor wordt een checklist gebruikt waarop vitale onderdelen staan zoals de fysieke infrastructuur, Services, Software, BIOS, Operating System, etc. De benodigde tijd voor het uitvoeren van een Systeem test is afhankelijk van de complexiteit en grootte van het netwerk. De totale test is inclusief voorwerk, het testen zelf en het aanmaken en afleveren van de rapportage.
Sebyde Privacy onderzoek Een Sebyde Privacy onderzoek wordt uitgevoerd om de mogelijke privacy impact te beoordelen op betrokkenen waarvan gegevens worden opgeslagen in IT systemen. Het onderzoek bestaat uit 6 fases.
13
Het onderzoek kent een aantal belangrijke doelen. Bij het in gebruik nemen van nieuwe systemen is het belangrijkste doel het voorkomen van kostbare aanpassingen in processen, herontwerp van systemen of stopzetten van een project door vroegtijdig inzicht in de belangrijkste privacy-risico’s. Daarnaast kunnen nog de volgende doelen worden onderscheiden: Het verminderen van de gevolgen van toezicht en handhaving. Het verbeteren van de kwaliteit van gegevens. Het verbeteren van de dienstverlening. Het verbeteren van de besluitvorming. Het verhogen van het privacy-bewustzijn binnen een organisatie. (Awareness) Het verbeteren van de haalbaarheid van een project. Het verstevigen van het vertrouwen van de klanten, werknemers of burgers in de wijze waarop persoonsgegevens worden verwerkt en privacy wordt gerespecteerd.
Fase 1, de inventarisatie neemt 5-10 dagen in beslag. Daarna kan een goede inschatting gemaakt worden van de totale duur van het onderzoek. Voor de kosten van de verschillende Sebyde Assessments kunt u de meest recente prijslijst opvragen via
[email protected] of via onze website: www.sebyde.nl/downloads 14
Contact gegevens Sebyde Sebyde BV Legerland 56 1541 NG Koog aan de Zaan Telefoon: 06-53233269 Email:
[email protected] www.sebyde.nl LinkedIn: Twitter: Facebook:
www.linkedin.com/company/sebyde-bv www.twitter.com/SebydeBV www.facebook.com/sebydeBV
15
