Security. Awareness.
Security Awareness Van verrassing naar bevestiging
Rory Breuk Marinus Kuivenhoven Martin Visser #PaSS UWV SSD | Security Awareness |
2
Marinus Kuivenhoven
Verkenner van technologie met een Hacker Mindset IT specialist sinds 2003 Security specialist sinds 2006 Auteur van: Staying ahead in the Cybersecurity game. (mede)oprichter PaSS binnen Sogeti Professioneel Ethical Hacker Ontwikkelaar DDOS test Ontwikkelaar SSEC2012/2013/2014 Techlead binnen Sogeti Security Inspirator, trainer en presentator over alles wat Security is. Spreker op Engineeringworld, Infosecurity beurs, ALT-S, Landelijk Architectuurcongres, OWASP meetings, Landelijk Bestuurskunde congres Gastspreker op HBO en Universiteiten (+10x per jaar), HitB lightningtalks SDLc-, SSD-, SDL-Guru Oracle DBA, Webdeveloper, Developer Java, Coldfusion, PhP, SQL UWV SSD | Security Awareness |
3
Rory Breuk
“New School” Ethical Hacker Afgestudeerd op Honeypots en DMA hack via firewire, op HitB showcase. Teamleider Red Ace CTF team. Winnaar Hackathon Antifraude BZK. Ontwikkelaar DDOS test (alle scripting gericht op uitvoeren 30 verschillende aanvalsscenario's). Security Tester in Sogeti SOC. Networking, Architectuur, TCL-expert (exotische scriptingtaal), web development talen: python, JavaScript, PHP. +20 trainingen gegeven in security
UWV SSD | Security Awareness |
4
Martin Visser Security Architect
Bijna 10 jaar Sogetist. Offensive Security Professional in 2010 SSD-, SDL-, SDLc-Guru (mede)oprichter PaSS PKI, Identitymanagement, DDOS, Pentesting, Consultancy Inspirator, Trainer en Presentator in security: +100 trainingen gegeven .NET Software Engineer Microsoft Systems specialist o.a. Sharepoint, AD, SQL e.d.
UWV SSD | Security Awareness |
5
Wat gaan we doen? Interactieve sessie: U vraagt wij draaien. Wij zenden: Informatiebeveiliging Hacker Mindset Waarom zijn veilige applicaties NU zo belangrijk? Waar komen bedreigingen vandaan? OWASP & demo’s Social Engineering Secure Software Development (SDLc, SDL) Proactive Security Strategy (PaSS) SSD bij het UWV UWV SSD | Security Awareness |
6
Wat is informatiebeveiliging? Applicaties hebben betrekking op informatie! 3 pijlers van informatiebeveiliging Beschikbaarheid Integriteit Vertrouwelijkheid
UWV SSD | Security Awareness |
7
- Wat is een veilige applicatie? Wanneer is een informatiesysteem veilig? Een informatiesysteem is veilig als het te allen tijde doet wat er van verwacht wordt Realisatie
Wens
veilig
onveilig
onveilig UWV SSD | Security Awareness |
8
Out of the box denken - Interactief
|
9
Wat is een veilig informatiesysteem? “Bugs are simple mistakes in code leading to problems like buffer overflows; flaws are mistakes in design. It turns out that a lot of software is flawed. In fact, if you step back and look at a multitude of security problems over time, you'll find that about 50% of them are due to bugs and 50% due to flaws.” Functionele
Technische
specificatie
implementatie veilig veilig
flaw
bug UWV SSD | Security Awareness | 10
Informatiebeveiliging – waarom nu? De omgeving waarin een applicatie draaide, was gesloten Hierdoor werd de applicatie ‘open’ ontworpen en geïmplementeerd
UWV SSD | Security Awareness | 11
Informatiebeveiliging – waarom nu? De omgeving waarin een applicatie draaide, breidt uit Er ontstaat connectiviteit door middel van netwerken
UWV SSD | Security Awareness | 12
Informatiebeveiliging – waarom nu? De omgeving waarin een applicatie nu draait, is globaal: Internet
UWV SSD | Security Awareness | 13
HTTP, enig idee wat het is?
1. Client request naar de Server 2. Server creert de paging • Statische content • Dynamische content (DB) 3. Server response naar de client 4. De pagina wordt door de browser geinterpreteerd en getoond UWV SSD | Security Awareness | 14
Cookiewetgeving en Privacy Weet je wat je deelt? Functionele cookies Analytische cookies Wat deel je wat je niet weet? Fingerprinting
UWV SSD | Security Awareness | 15
Informatiebeveiliging – waarom nu? Gevoel van veiligheid ontstaat door ‘lapmiddelen’ Maar: Zeer lage leercurve Aanvallen van een webgebaseerde applicatie is niet moeilijk
UWV SSD | Security Awareness | 16
Waar komen bedreigingen vandaan? Bewust
Cracker Hacker Scriptkiddie
Risico=(
Onbewust
Gebruiker Systeem Omgeving
Bedreiging * Kwetsbaarheid Tegenmaatregelen
)*Waarde
UWV SSD | Security Awareness | 17
Take 5
UWV SSD | Security Awareness | 18
Waar komen bedreigingen vandaan? Bewust
Cracker Hacker Scriptkiddie
Risico=(
Onbewust
Gebruiker Systeem Omgeving
Bedreiging * Kwetsbaarheid Tegenmaatregelen
)*Waarde
UWV SSD | Security Awareness | 19
OWASP - OWASP TOP TEN 1. Injection 2. Cross Site Scripting (XSS) 3. Broken Authentication and Session Management 4. Insecure Direct Object References 5. Cross Site Request Forgery 6. Security Misconfiguration 7. Insecure Cryptographic Storage 8. Failure to Restrict URL access 9. Insufficient Transport Layer Protection 10. Unvalidated Redirects and Forwards
UWV SSD | Security Awareness | 20
OWASP TOP TEN 1 Injection Flaws – SQL injection Scherm: USERNAME:[PERSOONA] PASSWORD:[GEHEIM12]
Achtergrond: Mag er toegang worden gegeven aan de gebruiker wanneer: de username is 'PERSOONA' en het wachtwoord is 'GEHEIM12';
UWV SSD | Security Awareness | 21
OWASP TOP TEN 1 Injection Flaws – SQL injection Scherm: USERNAME:[PERSOONA] PASSWORD:[Onbekend of 1=1]
Achtergrond: Mag er toegang worden gegeven aan de gebruiker wanneer: de username is 'PERSOONA' en het wachtwoord is ‘Onbekend' of 1=1;
UWV SSD | Security Awareness | 22
XSS op organisatie.cursisten.nl
UWV SSD | Security Awareness | 23
Of database injecten om XSS te krijgen (Voorbeelden van vulnerabilities op de website(s) van het bedrijf waar de cursisten werken.)
UWV SSD | Security Awareness | 24
Information Disclosure (Voorbeelden van vulnerabilities op de website(s) van het bedrijf waar de cursisten werken.)
UWV SSD | Security Awareness | 25
Take 5
UWV SSD | Security Awareness | 26
J.C. van Marken - 1894 “Sociale Engineers”
UWV SSD | Security Awareness | 27
Wat is Social Engineering?
Gevoel
Realiteit veilig
Onveilig
Onveilig
UWV SSD | Security Awareness | 28
Victor Lustig - 1925 Gebruikt informatie Voordoen als iemand Too good to be true Meerdere malen
Gebruikt informatie Voordoen als iemand Too good to be true Meerdere malen
UWV SSD | Security Awareness | 29
Anton Lee - 2012
UWV SSD | Security Awareness | 30
Frank Abignale - 1965
Gebruikt informatie Voordoen als iemand Too good to be true Meerdere malen
UWV SSD | Security Awareness | 31
Recentelijk
UWV SSD | Security Awareness | 32
Spanish Prisoner
UWV SSD | Security Awareness | 33
Linken van ‘nutteloze’ informatie
UWV SSD | Security Awareness | 34
Waarom nu?
UWV SSD | Security Awareness | 35
Resultaten Social Engineering Challenge
UWV SSD | Security Awareness | 36
Social Engineering - hoe te voorkomen? Wanneer vertrouw je iemand? Email Pakketje Telefoon In persoon Met welke informatie?
UWV SSD | Security Awareness | 37
Take 5
UWV SSD | Security Awareness | 38
Software Development lifecycle “Penetratietest”
Requiremnts Usecases
Architectuur Ontwerpen
Testplannen
Code
Test resultaten
Applicatie
Terug koppeling
Doorlooptijd
UWV SSD | Security Awareness | 39
Markt Acteren op gevoel Verkoop op basis van angst Security kost resources Security beperkt Reactief Adhoc Alleen specialisten UWV SSD | Security Awareness | 40
Secure Development lifecycle Ondersteuning Requiremnts Usecases
Architectuur Ontwerpen
Security Requirem ents
Threat model
Abuse cases
Flaw Analyse
Testplannen
Code
Test resultaten
Applicatie
Terug koppeling
Security test plannen
Static Code Review
Vrijgave advies
Security Assess ment
Continuity Plan
Ervaring UWV SSD | Security Awareness | 41
Secure Development lifecycle Ondersteuning Requiremnts Usecases
Architectuur Ontwerpen
Security Requirem ents
Threat model
Abuse cases
Flaw Analyse
Testplannen
Code
Test resultaten
Applicatie
Terug koppeling
Security test plannen
Static Code Review
Vrijgave advies
Security Assess ment
Continuity Plan
Ervaring UWV SSD | Security Awareness | 42
Secure Development lifecycle “We took a look at the set of the population using prescriptive application security methodologies. It turns out that those practicing SDL specifically reported visibly better ROI results than the overall population. Unlike point technologies, SDL advocates a coordinated approach to application security throughout the life cycle, and its emphasis is on a set of processes that supports such coordination. We can potentially extrapolate that a coordinated approach to application security is what drives positive ROI.” Forrester Secure Requiremnts Secure Usecases
Secure Architectuur Secure Ontwerpen
Secure Testplannen
Secure Code
Secure test resultaten
Secure Applicatie
Secure Beheer en onderhoud
UWV SSD | Security Awareness | 43
Secure Software Development lifecycle Applicaties & Services
Secure Requiremnts Secure Usecases
Secure Architectuur Secure Ontwerpen
WebApp
Secure Testplannen
Secure Code
App
Secure test resultaten
Secure Applicatie
Secure Beheer en onderhoud
Backend UWV SSD | Security Awareness | 44
Secure Infrastructure Development lifecycle Hardware & Netwerken
Secure Requiremnts Secure Usecases
Secure Architectuur Secure Ontwerpen
Upgrade
Secure Testplannen
Secure Code
IPv6
Secure test resultaten
Secure Applicatie
Secure Beheer en onderhoud
VoIP
UWV SSD | Security Awareness | 45
Secure Organization Development lifecycle Hardware & Netwerken
Secure Requiremnts Secure Usecases
Secure Architectuur Secure Ontwerpen
Vestiging
Secure Testplannen
Secure Code
Vacature
Secure test resultaten
Secure Applicatie
Secure Beheer en onderhoud
Outsourcing
UWV SSD | Security Awareness | 46
Secure Development lifecycle – Spinoff’s Organisatie Software
Infrastructuur
Secure Architectuur Secure Ontwerpen
Secure Testplannen
Secure Implementatie
Secure Testresultaten
Secure Infrastructuur
Secure Beheer en onderhoud
Secure
Secure Architectuur Secure Ontwerpen
Secure Testplannen
Secure Implementatie
Secure Testresultaten
Secure Infrastructuur
Secure Beheer en onderhoud
Requirements Secure Usecases
Secure Architectuur Secure Ontwerpen
Secure Testplannen
Secure Implementatie
Secure Testresultaten
Secure Infrastructuur
Secure Beheer en onderhoud
Requirements Secure Usecases
Requirements Usecases
Cloud
BYOD
Fusie UWV SSD | Security Awareness | 47
Secure Enterprise Lifecycle Strategisch
Moeten
Behoren
Willen
Tactisch
Beschrijven
Faciliteren
Reageren
Controleren
Operationeel
Organisatie
Software
Infrastructuur
UWV SSD | Security Awareness | 48
Proactive Security Strategy Acteren op gevoel feiten Verkoop op basis van angst voordelen Security kost resources levert op Security beperkt enabled Reactief Proactief Adhoc Proces Alleen specialisten Iedereen zijn taak UWV SSD | Security Awareness | 49
Secure Software Development (Bedrijf) Contactpersonen (binnen bedrijf cursisten) Kees Klaassen Projectmanager SSD
Jaap Jongbloed Test coördinator SSD
Siemen Siemens SSD coördinator leverancier management
Aart Staartjes
Enterprise architect
Piet Paulusma
Hoofd Secure Operating Centre
UWV SSD | Security Awareness | 50
Secure Software Development (bedrijf) Status implementatie (binnen bedrijf cursisten)) SSD beveiligingseisen contractueel geborgd vanaf 1-1-2014 Divisie A heeft testlines ingericht Awareness Business Units en IM’s Divisie B eerste aanvraag voor impact voor SSD compliancy op hun applicatieportefeuille Voorbereiding voor invoering risico-analyse is gestart
SSD normen met SIVA schrijfwijze als bijlage aan leveranciers verstrekt SSD methode vastgesteld in commissie IB Dashboard wordt gevuld en onderhouden door Divisie A
UWV SSD | Security Awareness | 51
Security. van Veilig Voelen naar Veilig Zijn
Aware.
