INFO
JAARGANG 1 - MAART 2015 - WWW.INFOSECURITYMAGAZINE.BE
SECURITY MAGAZINE
ICSS CYBERSECURITY CONFERENCE LEUVEN
VERRASSENDE EN MINDER VERRASSENDE VASTSTELLINGEN EN INZICHTEN
‘WE LEREN NIET VAN ONZE FOUTEN, DE CYBERCRIMINELEN HELAAS WEL’
BEURSSPECIAL
INFOSECURITY - STORAGE EXPO - TOOLING EVENT NIET ALLE EUROPESE LIDSTATEN EVEN GOED VOORBEREID INZAKE CYBER SECURITY-WETGEVING - BEST PRACTICES HELPEN GEBOUWBEHEERSYSTEMEN GOED TE BEVEILIGEN - DIRK COOLS WIL G DATA OP DE KAART ZETTEN BIJ HET BELGISCHE BEDRIJFSLEVEN - IN DRIE STAPPEN NAAR EEN VEILIG NETWERK - HOE VEILIG IS EEN PROGRAMMEERBARE INFRASTRUCTUUR? - SCRIPT MET HASH CODES MAAKT GEROMMEL IN SOFTWARE HERKENBAAR - ENCRYPTIE IS BEZIG AAN EEN STEVIGE OPMARS - ‘VEEL CYBERCRIMINELEN BEGINNEN MET DIGITALE DIEFSTALLEN IN GAMES’ - COLUMN GUY KINDERMANS
Not PURE
g
Colofon - Editorial
Infosecurity Magazine is het enige onafhankelijke vakblad in de Benelux dat zich expliciet bezighoudt met informatiebeveiliging. Het blad beweegt zich op het snijvlak van technologie en beleid. Vanaf het hekwerk tot in de boardroom. Toezending van Infosecurity Magazine vindt plaats op basis van abonnementen en controlled circulation. Vraag uw abonnement aan via www.infosecuritymagazine.be/ abonnement. Uitgever Jos Raaphorst +31 (0)6 - 34 73 54 24
[email protected] twitter.com/raaphorstjos nl.linkedin.com/pub/dir/jos/raaphorst Hoofdredacteur Stef Gyssels 0473 940 430
[email protected] Advertentie-exploitatie Jan De Bondt Tel 0475 904 781 E-mail:
[email protected]
PURE All-flash storage is what we do. Which is why we’ve become the natural choice for accelerating the next-generation data center. Pure Storage FlashArrays are purpose-built to deliver the full advantages of flash, pushing the speed limit for business with disruptive innovation that’s hard to imitate. Pure Storage is a leader in the 2014 Gartner Magic Quadrant for Solid-State Arrays. Find out why, visit: purestorage.com/gartner
Peter Witsenburg Tel: 0486 754 756 E-mail:
[email protected] Eindredactie/traffic Ab Muilwijk Vormgeving Media Service Uitgeest Druk Profeeling Infosecurity magazine is een uitgave van FenceWorks BV Beatrixstraat 2 2712 CK Zoetermeer +31 (0)79 - 500 05 59
[email protected]
© 2015 Niets uit deze uitgave mag op enigerlei wijze worden overgenomen zonder uitdrukkelijke toestemming van de uitgever. Meer informatie: www.infosecuritymagazine.be
© 2015 Pure Storage, Inc. Pure Storage and the Pure Storage Logo are trademarks or registered trademarks of Pure Storage, Inc. or its affiliates in the U.S. and other countries. Gartner, Magic Quadrant for Solid-State Arrays, Valdis Filks et al, 28 August 2014. Gartner does not endorse any vendor, product or service depicted in its research publications, and does not advise technology users to select only those vendors with the highest ratings or other designation. Gartner research publications consist of the opinions of Gartner’s research organization and should not be construed as statements of fact. Gartner disclaims all warranties, expressed or implied, with respect to this research, including any warranties of merchantability or fitness for a particular purpose.
2
‘Klanten’
Gefeliciteerd, u houdt het eerste nummer van Infosecurity Magazine Belgium vast, een magazine dat we met enige trots het allereerste volwaardige security magazine van dit land mogen noemen. In samenwerking met onze Nederlandse collega's willen we u van de meest recente en relevante informatie over security en de security-sector voorzien. Via dit magazine en via ons online platform www.infosecuritymagazine.be. Bent u tevreden met dit nieuwe initiatief? Mist u nog iets? Laat het ons zeker weten: mail ons op
[email protected], en wij gaan graag met u in dialoog om ons magazine nog beter te maken. In een onlangs in Nederland gehouden onderzoek concludeert Peter Vermeulen van onderzoeksbureau Pb7 Research dat IT-security meer is dan een indrukwekkend aantal digitale sloten op de deur spijkeren. Het gaat ook en misschien wel vooral om de mens. Die maakt veel fouten. Meestal onbewust, maar er zijn natuurlijk ook individuen die - bijvoorbeeld - wraak willen nemen na een in hun ogen onterecht ontslag. Het laatste lossen we weer technisch op (intrekken van toegangsrechten en dergelijke), maar het eerste is vooral bewustwording. En goede procedures. Stel nu dat we alle hiervoor genoemde maatregelen hebben genomen, zowel technisch als op menselijk vlak. Zijn we dan veilig? Toch niet, vrees ik. Er is namelijk nog een derde probleem: klanten. Of beter gezegd: mensen die zich als klant voordoen. Dit zijn fraudeurs, oplichters of hoe u hen ook wilt noemen. Zij praten zich bij een bedrijf binnen. Vaak op basis van een mooi verhaal over een apparaat of dienst waar een probleem mee zou zijn. Men wil dan uiteraard geld terug of iets dergelijks. Die groep blijft in de wereld van infosecurity nog vaak onbelicht. Het is meer iets voor een fraude-afdeling. De vraag is of dat terecht is. Want cybercriminelen lijken steeds vaker ook van dit kanaal gebruik te maken. Grote ondernemingen spenderen wereldwijd vele miljarden om dit soort misbruik tegen te gaan. Dat geld besteden zij bij bekende aanbieders van big dataen business analytics-technologie als SAP en SAS Institute. Met de tools van dit soort aanbieders zoeken zij in de enorme hoeveelheden data die zij verzamelen over klanten, partners, transacties enzovoort naar abnormale patronen. Patronen die kunnen duiden op oneigenlijk gebruik van procedures.
Maar lang niet alle communicatie tussen bedrijf en klant (of ‘klant’) verloopt via online-formulieren of e-mails. Vaak wordt ook simpelweg gebeld naar een call center. Daar ‘babbelen’ dit soort criminelen zich redelijk soepel naar binnen. Van een koppeling met systemen en processen voor IT-security is geen sprake. Die integratie moet nu snel komen. Grote bedrijven zijn dan ook op zoek naar tools om alle big data-technieken te koppelen aan - bijvoorbeeld - audio-analyses. Dat verklaart de grote belangstelling van venture capital-firma’s voor bedrijven als Pindrop Security. Deze startup ontwikkelt technologie waarmee telefoontjes kunnen worden onderzocht: welke is afkomstig van een legitieme klant en welke van een potentiële frauderende ’klant’ of cybercrimineel? Zulke tools laten zich prima koppelen aan bijvoorbeeld SIEM-oplossingen. Daarmee zetten we opnieuw een belangrijke stap in de strijd met de cybercriminelen. Stef Gyssels Hoofdredacteur Infosecurity Magazine
INFOSECURITY MAGAZINE - NR. 1 - MAART 2015
3
INHOUD
10 Niet alle Europese lidstaten even goed voorbereid inzake cyber securitywetgeving 11 Best practices helpen gebouwbeheersystemen goed te beveiligen
Thru side panel for Microsoft Outlook Non-Repudiation
B2B MFT
Ad Hoc MFT
OpenPGP Mobile File Transfer
Secure Managed File Transfer
Integrated Global File exchange with Salesforce Seamless Enterprise Integration
OWASP
File-based Automation
MFT: more than File Sharing
Experts in Managed PCI Compliant File Transfer Software and Solutions for the Enterprise! Transport Encryption (“Data-in-Transit”)
Integration and Programmatic File Transfer
Comprehensive File Transfer for the Enterprise Automate, Integrate and Control Secure File Transfer
‘We leren niet van onze fouten, de cybercriminelen helaas wel’ 14 Eén van de belangrijkste problemen waarmee we op het gebied van IT-security worstelen, is dat we niet of nauwelijks leren van onze fouten. “Hoe kunnen we anders verklaren dat cybercriminelen nog altijd zeer succesvol zijn met aanvalsmethodes die al jaren oud zijn en problemen in software en netwerken misbruiken die al lang geleden opgelost hadden kunnen zijn?”, vraagt Simon Leech van Hewlett Packard Belgium zich af.
Script met hash codes maakt gerommel in software herkenbaar 38 Nadat vele jaren cybersecurity voornamelijk was gericht op het beveiligen van de poorten van computersystemen is nu een terugkeer naar de basis waarneembaar. Het gaat weer om het afschermen van de software tegen ongeoorloofd gebruik. Door het opnemen van een script met hash codes tussen de instructieregels is met zekerheid vast te stellen of bepaalde programma’s nog dezelfde kenmerken hebben als toen ze voor het eerst werden geactiveerd.
45 Column Guy Kindermans : Aandacht voor de 'tweede linie'-gevaren
Experts in Managed File Transfer Software and Solutions!
18-34 PROGRAMMA, BEURSPLATTEGROND, STANDHOUDERSOVERZICHT EN ALLE INFORMATIE OVER INFOSECURITY.BE, STORAGE EXPO EN THE TOOLING EVENT VIACLOUD BV • BEECH AVENUE 54 • 1119 PW SCHIPHOL-RIJK • THE NETHERLANDS +31 (0)20-6586421 • WWW.VIACLOUD.NL •
[email protected]
VASTSTELLINGEN EN INZICHTEN
6
Vorige maand vond in Leuven het International Cyber Security Strategy Congress (ICSS) plaats rond het thema ‘Cyber Security and Forensic Readiness’. Dit congres, georganiseerd door onder meer het Belgian Cybercrime Centre of Excellence for Training, Research and Education (B-CCENTRE) en gastheer KU Leuven, bood heel wat verrassende en minder verrassende vaststellingen en inzichten. Wij sommen de opmerkelijkste voor u op.
DIRK COOLS WIL G DATA OP DE KAART ZETTEN BIJ HET BELGISCHE BEDRIJFSLEVEN
12
Sinds 1 januari heeft hij het stokje overgenomen van Jan Van Haver als Country Manager G DATA Benelux. Dirk Cools heeft grote ambities voor G DATA in de Benelux-markt. “G DATA biedt de meest betrouwbare IT-beveiligingsproducten, en dat moeten alle ondernemers in Nederland, Luxemburg, maar vooral ook in België, mijn eigen land, weten”, aldus de strijdvaardige Dirk.
35 In drie stappen naar een veilig netwerk
43 ‘Veel cybercriminelen beginnen met digitale diefstallen in games’
4
VERRASSENDE EN MINDER VERRASSENDE
HOE VEILIG
IS EEN PROGRAMMEERBARE INFRASTRUCTUUR?
36
Veel mensen zien software-defined networking als een van de grootste veranderingen in IT sinds de verschuiving van mainframes naar desktops. Overigens zijn het niet alleen LANs’, WAN’s en datacenternetwerken die de gevolgen ondervinden van deze verschuiving. Software krijgt steeds meer dominantie in alle onderdelen van de IT-infrastructuur en daar is een goede reden voor. Op software gebaseerde systemen beloven meer flexibiliteit, schaalbaarheid en automatisering. Het ideaalbeeld voor dergelijke systemen zou zijn dat de volledige IT-omgeving direct op afstand te programmeren is. Daarmee is beter in te spelen op de dynamiek, waarmee organisaties tegenwoordig te maken hebben. Maar hoe veilig is zo’n programmeerbare infrastructuur eigenlijk?
ENCRYPTIE
IS BEZIG AAN EEN STEVIGE OPMARS
40
Encryptie, het versleutelen van informatie om deze onleesbaar te maken voor onbevoegden, wordt steeds belangrijker nu er veel meer aandacht is voor dataveiligheid en privacy dankzij onthullingen over de afluisterpraktijken van veiligheidsdiensten en de grote data hacks die in het nieuws komen. Denk aan de recent uitgekomen hack bij Gemalto. Encryptie is hot. Forrester heeft onlangs op basis van 52 criteria de belangrijkste leveranciers van endpoint encryptie in kaart gebracht. Sophos is koploper.
INFOSECURITY MAGAZINE - NR. 1 - MAART 2015
5
ICSS CYBERSECURITY CONFERENCE LEUVEN
VERRASSENDE
EN MINDER VERRASSENDE VASTSTELLINGEN EN INZICHTEN Vorige maand vond in Leuven het International Cyber Security Strategy Congress (ICSS) plaats rond het thema ‘Cyber Security and Forensic Readiness’. Dit congres, georganiseerd door onder meer het Belgian Cybercrime Centre of Excellence for Training, Research and Education (B-CCENTRE) en gastheer KU Leuven, bood heel wat verrassende en minder verrassende vaststellingen en inzichten. Wij sommen de opmerkelijkste voor u op.
1. SAMENWERKEN IS NOODZAKELIJK... De openingsspeech van de Belgische Minister van Justitie Koen Geens zette al meteen de toon. Na de opsomming van enkele lokale initiatieven - zoals een beter wettelijk kader om cybercrime doeltreffender te bestrijden en een betere opleiding van het politiekorps om cybercrime sneller te herkennen en bestrijden - benadrukte Koen Geens het belang van internationale samenwerking. “Cybercriminelen worden niet gehinderd door fysieke of virtuele grenzen: ze kunnen alle wereldwijde mogelijkheden
van het internet benutten, meestal zelf in volledige anonimiteit. Dus moeten ook de misdaadbestrijders grensoverschrijdend kunnen werken als ze een redelijke kans op slagen willen.” Frederic Van Leeuw, federaal magistraat bij FOD Justitie, benadrukte een andere reden voor internationale samenwerking: elk op zich zijn de cybermisdaadbestrijders vaak niet opgewassen tegen de grote benden en tegen grote ondernemingen die van de virtuele en globaliserende wereld gebruik maken om lokale verplichtingen te ontvluchten. Hij verge-
leek het op het congres met het Wilde Westen: “Hoe kan een lokale sheriff van een klein dorpje standhouden tegen grote bendes en organisaties in het grotendeels wetteloze landschap waar we ons nu in bevinden?” De samenwerking geldt dus zowel voor de wetgeving als voor de handhaving ervan, als we een stap verder in de bestrijding van de cybercriminelen willen geraken, besluit Frédéric Van Leeuw. 2. MAAR SAMENWERKEN IS OOK MOEILIJK Als één ding duidelijk wordt op een congres zoals ICSS2015 is dat samenwerking, zowel nationaal als internationaal, een bijzonder complexe zaak is. Elke vorm van geslaagde samenwerking mag dus zeker als een succes bestempeld worden. Overloop even met ons mee. In elk land vinden we uiteraard de traditionele politiediensten, met daarnaast op nationaal en soms ook federaal en/of lokaal niveau een in cybermisdaad gespecialiseerde cel. Daarnaast hebben we Europol, de overkoepelende Europese politiedienst, die ook weer een eigen cybercrime-afdeling heeft opgericht (European CyberCrime Center, kortweg EC3). En dan hebben we het nog niet gehad over politiediensten in de VS of in het Oosten, over Interpol of andere diensten. Elk van deze diensten heeft eigen bevoegdheden en verplichtingen, en samenwerking wordt vaak daardoor al gehinderd. Ook op het vlak van wetgeving en rechtspraak wordt samenwerking vaak belemmerd door nationale, regionale of andere restricties en bekommernissen. Toch wordt er veel aan gedaan om die obstakels te overwinnen. Zo heeft Euro-
just - het samenwerkingsverband van de Europese Unie op het vlak van Justitie van cybermisdaadbestrijding één van zijn negen prioriteiten gemaakt. Zo zetten ze zich in voor een betere samenwerking tussen de lidstaten, treden ze op als juridisch adviseur en willen ze een betere uitwisseling van informatie mogelijk maken. Niet altijd even evident, geeft Eurojust-voorzitster Michèle Coninsx graag toe, maar ook niet onmogelijk. Zo werd dankzij de interne samenwerking en overleg met FBI en Europol het Blackshades-netwerk blootgelegd, dat opereerde op internationale schaal. Maar we waren nog niet uitgeteld: na politie en justitie kwamen immers ook nog EDA (het Defensie-agentschap van de Europese Unie), de cybercrime-afdeling van de NAVO, enkele nationale CERT’s (Cyber Emergency Response Teams) en ENISA (European Union Agency for Network and Information Security) aan de beurt. Elk van deze instanties levert nuttig werk op zijn gebied en beschikt ongetwijfeld ook over zeer nuttige informatie. Maar het lijkt haast onmogelijk om alle nuttige informatie ook efficiënt te delen met iedereen, al was het maar omdat men vaak niets eens van elkaars bestaan afweet. De roep om een soort superdatabank die alle nationale, regionale en grensoverschrijdende informatie over malware, cybermisdaad en gekende cybermisdadigers bundelt, klinkt luider dan ooit. Maar in afwachting van een overkoepelend orgaan dat zoiets zou mogelijk maken - een droombeeld dat wellicht nog vele jaren verwijderd is - mag men al blij zijn met de goede wil die alle aanwezigen uitstraalden om informatie en best practices op een ad hoc of structurele manier met elkaar uit te wisselen. 3. DE EXTRA DIMENSIES VAN CYBERMISDAAD Wie aan de Aula Pieter De Somer in de Leuvense Beriotstraat aankwam tijdens de conferentie kreeg een niet alledaags tafereel voorgeschoteld. Gewapende beveiligingsagenten voor de ingang, en nog extra beveiliging net binnen het gebouw. Of het geïnspireerd was door de recente terroristische aanslagen, weten we niet, maar het illustreert wat ons betreft wel perfect een algemene waarheid: cyber-
Rik Ferguson
misdaad is allang niet meer beperkt tot de digitale en virtuele wereld. Die verhoogde aandacht voor misdaad op de grens tussen de digitale en virtuele wereld merkten we ook bijvoorbeeld bij de uiteenzetting van Rik Ferguson, vice president security research bij Trend Micro. Hij vestigde onze aandacht op een misschien wel onderbelicht malwarefenomeen dat zeker het voorbije jaar aan belang heeft gewonnen: PoS (Point of Sales)-malware. In het verleden bleef kredietkaartfraude in winkels en betaalautomaten beperkt tot ‘key capture’ en ‘screen scraping’, twee gekende manieren om
de gegevens op een kaart te recupereren. Nu is de aandacht verschoven naar zogeheten ‘RAM scrapers’, malware die de informatie uit het RAM-geheugen van de kassa’s en betaalterminals ‘schraapt’. “In 2014 zagen we net zo veel nieuwe RAM-scrapers opduiken als in alle voorgaande jaren samen”, waarschuwde Rik Ferguson voor dit nieuwe gevaar. Er zijn ook nog andere manieren waarop de digitale en analoge wereld moeilijker uiteen te houden zijn. Denk maar aan de zogeheten ‘slimme lampen’, die je kan besturen met je smartphone. “Die lampen bevatten ook informatie over je
'Samenwerking is zowel nationaal als internationaal - een bijzonder complexe zaak'
Koen Geens
6
INFOSECURITY MAGAZINE - NR. 1 - MAART 2015
7
ABONNEER U NU OP
ICSS CYBERSECURITY CONFERENCE LEUVEN onbekend met de beste hackingtechnieken.
wifi-wachtwoord, en meestal ligt die informatie zo voor het grijpen voor hackers”, waarschuwt Gorazd Bosic, hoofd van het Sloveense CERT-team. 4. HET WORDT PERSOONLIJK De aanvallen op bedrijven in het voorbije jaar hebben meestal hetzelfde ‘kill chain’ patroon gevolgd, aldus Ronald Prins, CTO van Fox-IT: verkenning op zoek naar een exploit, het bouwen van wapens om die exploit te misbruiken, het afleveren van de wapens via e-mail, USB of andere achterpoortjes, het misbruiken van de zwakte om malware te installeren, van op afstand deze malware besturen voor criminele doeleinden. “Maar dat betekent niet dat we ervan uitgaan dat het voortaan altijd zo zal gaan”, waarschuwt Prins. Prins waarschuwt wel dat we nog veel complexer en krachtiger aanvallen mogen verwachten: “Wat nu state of the art is en enkel weggelegd voor de allerbelangrijkste objectieven, wordt binnen enkele jaren mainstream. En de malware zal
Roberto Tavano 8
steeds moeilijker te traceren en detecteren zijn. En - last but not least - de malware wordt steeds persoonlijker: niet enkel gericht, maar eenvoudigweg op maat gebouwd voor uw bedrijf. Dit staat ons allemaal te wachten, binnen een drietal jaar.” Wat we dan kunnen doen om dit te bestrijden? “Eerst en vooral moet je ervan uitgaan dat je sowieso zal worden aangevallen. Met dit basis uitgangspunt kom je al een heel eind. Zo kan je je verdediging hieraan aanpassen. Met ‘honeypots’, bijvoorbeeld, waarmee je de aanvaller lokt om meer over hem te weten te komen. Zo kan je een geraffineerd spel beginnen spelen waarbij je de aanvaller steeds probeert te doorgronden en een stap voor te blijven.” Maar ook andere ‘best practices’ blijven gelden, vervolgt Ronald Prins: “Voorzie voldoende segmentatie tussen verschillende delen van uw netwerk, zodat een geslaagde aanval slechts beperkte schade kan aanrichten. Beperk de interne communicatiemogelijkheden tot het noodzakelijke zodat het speelveld voor een hacker verkleint. Dit doet u ook door de administrator rights zo goed mogelijk af te schermen van onbevoegden. Gebruik ‘antivirus file reputation services’ om zo goed mogelijk op de hoogte te blijven van alle recente malware, beter dan welke antivirusleverancier afzonderlijk ooit zal kunnen. Implementeer en optimaliseer Host Intrusion Prevention Systems (HIPS) om het gedrag van aanvallen sneller te detecteren en om deze aanvallen te kunnen voorkomen.” Deze best practices werden overigens geplukt uit een terzake bevoegde bron: NSA, niet
5. BIG DATA, EEN VLOEK EN EEN ZEGEN Zoals we hierboven al vermeldden: als alles digitaal wordt, is er ook veel meer informatie over ons beschikbaar voor de cybercriminelen. Denk maar aan de sociale netwerken waar slechts een beetje social engineering volstaat om een schat aan informatie los te weken. In dat opzicht is big data dus een vloek: er komen dagelijks talloze stromen van data bij waaruit de criminelen waardevolle informatie kunnen putten. “Maar big data kunnen ook een zegen zijn”, nuanceert Tomas Clemente Sanchez van PwC: “de cybermisdaadbestrijders kunnen big data bijvoorbeeld gebruiken om verdachte patronen te ontdekken en op basis hiervan de verdediging te verbeteren.” Sanchez waarschuwt wel voor een ongebreideld gebruik van big data: “Er vallen ook privacy-regels te respecteren, dus daarmee moet rekening worden gehouden bij het verzamelen van gegevens. Het zal dus steeds een kwestie van afwegen zijn, waarbij de belangen van elke partij - burger, overheid, politie, bedrijven - tegen elkaar worden afgewogen om het gemeenschappelijke belang zo goed mogelijk te dienen.”
INFOSECURITY MAGAZINE BELGIUM ALTIJD OP DE HOOGTE VAN DE LAATSTE ONTWIKKELINGEN OP HET GEBIED VAN IT-SECURITY!
GRATIS ABONNEMENT VIA: WWW.INFOSECURITYMAGAZINE.BE/ABONNEMENT
Y SECGUARZ IIT NE
O F N I JA
INE.BE
RITYMAGAZ
W.INFOSECU
2015 - WW
- MAART ARGANG 1
MA
E LEUVEN
ENDE S S A R R E V EN MINDZEIR E D EN N E S S A VERR ELLINGEN EN IN CHT VASTST ONFERENC ECURIT Y C
S ICSS CYBER
BELGIË IS VANAF VANDAAG EEN STUKJE VEILIGER
Stef Gyssels is hoofdredacteur van Infosecurity Magazine
2014 IN CIJFERS 19% van de Android-gebruikers heeft een mobiele aanval meegemaakt. 38% van de computers van eindgebruikers waren het slachtoffer van minstens één webaanval. Cybercrime kost wereldwijd 445 miljard dollar, hetzij 1% van het bruto wereldwijd product. Er zijn wereldwijd 15,577,912 kwaadaardige mobiele apps aangetroffen, waaronder 12.100 mobiele banking Trojans. Elke seconde van het voorbije jaar werden er meer dan 5 nieuwe cyberbedreigingen aangetroffen. Moet het nog gezegd dat voor 2015 nog een serieuze groei wordt verwacht, zowel in aantal als in het bereik van de digitale aanvallen? Bron: Europol
UTEN, O F E Z N O NIET VANEN HEL A AS WEL’ N E R E L E ‘W RIMINEL C R E B Y C E D
ALOLING EVENT I C E P S S R U BE RAGE EXPO - TO Y - STO
G - BEST TY-WETGEVIN CYBER SECURIOLS WIL G DATA OP DE KE ZA IN D EI VOORBER - DIRK CO ILIG NETWERK - HOE VE EN EVEN GOED TE BEVEILIGEN PESE LIDSTATBEHEERSYSTEMEN GOED DRIE STAPPEN NA AR EEN ES MA AK T GEROMMEL RO EU LE AL D W IN U CO NIET H BO EN AS GE EV H MET RCRIMINELEN RIJFSL ELPEN PR ACTICES H BIJ HET BELGISCHE BEDFR ASTRUCTUUR? - SCRIPT IGE OPMARS - ‘VEEL CYBE EN EV IN TT ST E ZE N EE RBAR S KA ART PROGR AMMEE E IS BEZIG A AN Y KINDERMAN VEILIG IS EEN HERKENBA AR - ENCRYPTI IN GAMES’ - COLUMN GU E EN AR LL IN SOFTW ET DIGITALE DIEFSTA BEGINNEN M
IT INFOSECUR
NIEUW MEDIAPLATFORM OVER IT-SECURITY: WEBSITE - NIEUWSBRIEF - SOCIAL MEDIA - MAGAZINE
ALLES WAT U WILT WETEN OVER:
IT-SECURITY - PRODUCTEN, BEST PRACTICES, PRAKTIJKCASES CYBERCRIME - HOE HOUDT U UW DATA VEILIG? GOVERNANCE - VEILIG WERKEN IS EEN PROCES, NIET EEN PRODUCT RISK MANAGEMENT - WELKE RISICO’S WILT U MET UW BEDRIJFSINFORMATIE LOPEN? INFOSECURITY MAGAZINE - NR. 1 - MAART 2015 9 COMPLIANCE - VOLDOEN ALLE RELEVANTE WET- EN REGELGEVING?
BSA-ONDERZOEK TOONT AAN
WHITEPAPER
NIET ALLE EUROPESE LIDSTATEN EVEN GOED VOORBEREID INZAKE CYBER SECURITY-WETGEVING
Niet elke EU-lidstaat is even goed voorbereid als het gaat om cyber security. Dat blijkt uit een onderzoek van BSA | The Software Alliance, dat voor het eerst Europese wet- en regelgeving op het gebied van cyber security analyseerde. BSA toetste de nationale wet- en regelgeving in alle 28 EU-lidstaten aan de hand van 25 criteria die als essentieel worden beschouwd voor effectieve bescherming van cyber security. “Als het gaat om cyberbescherming, is er in Europa sprake van grote verdeeldheid. De meeste lidstaten erkennen dat cyber security een prioriteit is. Toch blijft de volledige interne markt kwetsbaar voor bedreigingen vanwege de inconsistenties in hun aanpak”, zegt Thomas Boué, Director of Policy EMEA bij BSA. Een aantal van de belangrijkste onderzoeksresultaten op een rij. • De meeste EU-lidstaten zien cyber security als een nationale prioriteit – vooral als het gaat om cruciale infrastructuren. • Er zijn aanzienlijke hiaten tussen de cyber security-policy’s, juridische kaders en operationele mogelijkheden van alle lidstaten, met als gevolg een grote achterstand in algehele cyber security-bescherming in Europa. • Bijna alle EU-lidstaten hebben incident response-teams samengesteld om cyberincidenten aan te pakken, maar het doel en de ervaring van deze eenheden verschillen. • Er is op het gebied van cyber security een zorgwekkend gebrek aan systematische samenwerking tussen overheid en bedrijfsleven, en tussen Europese regeringen en niet-gouvernementele organisaties (ngo’s) en internationale partners. Op basis van het onderzoek raadt de BSA EU-lidstaten aan te focussen op vier belangrijke onderdelen van een krachtig juridisch kader voor cyber security. • Creëer en onderhoud een uitgebreid juridisch kader met policy’s, gebaseerd op een nationale cyber security-strategie die is aangevuld met sectorspecifieke cyber security-plannen. 10
•
•
•
Thomas Boué is Director of Policy EMEA bij BSA.
•
Geef operationele eenheden duidelijke verantwoordelijkheden voor operationele computerbeveiliging en emergency response en incident response. • Kweek vertrouwen bij en werk samen met het bedrijfsleven, ngo’s en internationale partners en allianties. • Stimuleer het onderwijs en het bewustzijn rondom risico’s en prioriteiten op het gebied van cyber security. Verder waarschuwt de BSA Europese regeringen ervoor om nutteloze beschermingsregelingen te voorkomen, die afbreuk kunnen doen aan cyberbeschermingsinitiatieven in plaats van ze te verbeteren. Lidstaten moeten in het bijzonder: • onnodige of onredelijke eisen vermijden, die de keuze kunnen beperken en kosten verhogen, zoals unieke, landspecifieke certificerings- of
testeisen, mandaten voor lokale content, voorschriften voor gevoelige informatie als broncode en encryptiesleutels, en beperkingen aan buitenlands eigendom en intellectueel eigendom; standaarden niet manipuleren, maar juist toonaangevende, internationaal erkende, technische standaarden ondersteunen; datalokalisatieregels vermijden en ervoor zorgen dat data vrij tussen de verschillende markten kunnen bewegen; buitenlandse concurrentie dulden en zo vermijden dat wereldwijde innovatie wordt geschaad door nationalistische bekommernissen.
BELGIË België scoort over het algemeen gemiddeld, vergeleken met andere Europese landen, al is er geen ranking opgemaakt op basis van een totaalresultaat. Het onderzoeksrapport vermeldt dat de Belgische overheid in 2012 de Cyber Security Strategy bekrachtigde. Maar het juridische kader voor cybersecurity in België blijft onduidelijk en er is beperkte informatie over de implementatie van de strategie. België heeft wel een gevestigd computer emergency response-team, CERT.be, en een goed ontwikkelde structuur voor het rapporteren van cybersecurity-incidenten. Daarnaast introduceerde België onlangs een nieuw Cybersecurity Centre. Overal in het land is er actieve ondersteuning voor partnerships tussen overheid en bedrijfsleven. Dit is mogelijk door BeINIS, een overheidsorgaan dat nauwe contacten onderhoudt met private en semi-private organisaties.
BEST PRACTICES
HELPEN GEBOUWBEHEERSYSTEMEN GOED TE BEVEILIGEN
Volgens Schneider Electric hebben organisaties de beveiliging van gebouwbeheersystemen (GBS) niet altijd op orde. Doordat de systemen nauw zijn geïntegreerd met de gehele IT enterprise, communiceren ze via allerlei open protocollen onder meer met internet en mobiele apparaten. Hierdoor zijn gebouwbeheersystemen zeer kwetsbaar voor cybersecurity. Schneider Electric geeft daarom ‘best practices’ om grote financiële schade te voorkomen. De totale schade van cybercriminaliteit aan IT-systemen bedraagt volgens een onderzoek van McAfee zo’n 263 miljard dollar per jaar. Het GBS is daar inmiddels een volwaardig onderdeel van. Het resultaat is verloren productiviteit, technische support en gemiste omzet. Maar ook minder kwantificeerbaar verlies zoals imagoschade. Het is volgens Marcel Spijkers, Algemeen Directeur bij Schneider Electric in Nederland, dan ook merkwaardig dat veel van deze systemen nog geen adequate beveiligingsstrategie hebben.
terfaces tegen SQL-injecties. Investeer in goede firewalls en vergeet ook de fysieke beveiliging niet.
nieuwste updates. Hiermee blijven ondernemingen maximaal beschermd tegen lekken en bugs in de code.
3.Gebruikersmanagement Verleen gebruikers slechts die toegangsrechten die zij nodig hebben om hun werk te doen. Op die manier voorkomen organisaties schade door bijvoorbeeld ongeautoriseerde medewerkers.
5. Beheers kwetsbaarheden Ontwikkel een risk management-plan dat alle types risico’s afdekt. Zorg voor een formeel document voor iedere installatie.
4. Softwaremanagement Laat alleen geautoriseerde gebruikers software uitrollen. Installeer altijd de
Lees voor meer informatie de whitepaper ‘Five Best Practices to Improve Building Management Systems (BMS) Security’ via de website van Schneider Electric.
“Daar moet verandering in komen”, aldus Spijkers. “Organisaties behoren onder meer het beherende personeel goed te trainen, zodat zij (nieuwe) bedreigingen leren herkennen en passende maatregelen kunnen toepassen.” Daarnaast zijn de best practices voor het beveiligen van IT in het algemeen ook zeer goed toepasbaar voor een GBS. Deze verminderen de kans op een digitale inbraak en de daaraan verbonden schade aanzienlijk. De best practices zijn: 1. Wachtwoordmanagement Bij de ingebruikname van apparaten wordt gemakshalve het standaardwachtwoord niet gewijzigd. Veel gemakkelijker kunnen bedrijven het een hacker niet maken. Het internet wemelt immers van de lijsten met apparaten en bijbehorende standaardwachtwoorden. 2. Netwerkmanagement Een GBS is onderdeel van het IT-netwerk en beveiliging van dit netwerk is dan ook een goed startpunt. Beperk toegang tot niet IP-gerelateerde communicatiekanalen zoals USB-poorten en beveilig webinINFOSECURITY MAGAZINE - NR. 1 - MAART 2015
11
INTERVIEW
DIRK COOLS
WIL G DATA OP DE KAART ZETTEN BIJ HET BELGISCHE BEDRIJFSLEVEN Sinds 1 januari heeft hij het stokje overgenomen van Jan Van Haver als Country Manager G DATA Benelux. Dirk Cools heeft grote ambities voor G DATA in de Benelux-markt. “G DATA biedt de meest betrouwbare IT-beveiligingsproducten, en dat moeten alle ondernemers in Nederland, Luxemburg, maar vooral ook in België, mijn eigen land, weten”, aldus de strijdvaardige Dirk.
nieuwe markt betreedt, doe je dat toch iets gemakkelijker met de producten die zichzelf in andere markt, zoals in Duitsland, al ruimschoots hebben bewezen. Dat is de reden dat er in het verleden een grote focus is geweest op de consumentenmarkt en de bedrijfsoplossingen een beetje het onderschoven kindje zijn gebleken”, legt Dirk uit.
markt als geen ander. “G DATA bestaat dit jaar 30 jaar. Alleen de laatste acht jaar daarvan is G DATA ook echt actief op de Benelux-markt. In diezelfde periode is G DATA oplossingen gaan bieden voor zakelijke gebruikers. Maar wanneer je een
GEDEGEN, OVERZICHTELIJK PORTFOLIO Dat is ook niet vreemd, als je beseft hoe goed de consumentenoplossingen van G DATA door de jaren heen al zijn gebleken. De consumentenorganisaties in
Hoewel de rol van Country Manager nieuw is voor Dirk, is G DATA dat allerminst. Al in 2011 kwam Dirk bij het bedrijf werken als Sales Manager BeLux. Daardoor kent Dirk het bedrijf, de oplossingen en de reputatie van het merk in de
'België moet zijn infrastructuur nu echt gaan beveiligen met de beste beveiligingssoftware' Europa, waaronder ook de Belgische, beoordelen G DATA sinds 2005 bijna jaarlijks als de beste virusscanner na hun jaarlijkse vergelijkende tests. “We hebben momenteel acht overwinningen op onze naam staan”, vertelt Dirk trots. Maar, als onderneming moet je af en toe groter dromen. En Dirk’s dromen gaan uit naar de zakelijke markt. “Wij hebben een zeer gedegen, overzichtelijk portfolio voor zakelijke klanten, die geschikt is voor bedrijfsnetwerken van elke omvang. De producten zijn modulair, van een basisoplossing Antivirus Business, die detectiepercentages van malware kent waar de meeste grote, bekende merken zich niet mee kunnen meten, maar verder weinig extra features biedt, tot het zeer uitgebreide Endpoint Protection, dat naast dezelfde basisbescherming bijvoorbeeld ook een Policy Manager biedt waarmee het naleven van de IT-policy kan worden afgedwongen”, licht Dirk toe. MOBILE DEVICE MANAGEMENT “Bovendien zijn onze producten klaar voor de toekomst, die toenemend mobiel zal zijn. Android wint aan populariteit, ook op de zakelijke markt, terwijl ook malwareschrijvers hun pijlen op dat platform richten. G DATA biedt met Mobile Device Management een uitstekende oplossing om de gevaren van Bring Your Own Device het hoofd te bieden.” De overzichtelijke opzet van het productportfolio maakt G DATA voor ondernemers een aantrekkelijke keuze, denkt Dirk: “Het is namelijk niet nodig om een cursus te volgen, laat staan een certificeringprocedure te doorlopen voor een netwerkbeheerder om het pakket te installeren en te beheren. Dit gecombineerd met het feit dat wij de technische ondersteuning van onze zakelijke klanten hier vanuit België bieden, gewoon netjes in het Vlaams, geeft G DATA echt een streepje voor op veel van onze concurrenten.” In de afgelopen jaren is het aantal bedrijven, scholen, overheidsinstellingen en zorginstellingen dat voor de oplossingen voor G DATA kiest al hard gegroeid.
12
Maar het kan volgens Dirk nog beter: “Duitse bedrijven hebben een andere aanpak dan bijvoorbeeld Amerikaanse. Duitsers willen eerst zeker weten dat de technologie helemaal perfect en ondoordringbaar is en gaat daarna misschien heel voorzichtig in een hoekje van de kamer fluisteren dat hun product goed is. Amerikaanse bedrijven doen het vaak andersom, er wordt begonnen met een marketingplan, de kwaliteit van het product volgt dan hopelijk vanzelf. Maar wij moeten stoppen met de valse bescheidenheid, want daar is niemand bij gebaat. Als je ziet dat het afgelopen jaar verschillende overheidsinstellingen en telecombedrijven in België geïnfecteerd zijn geraakt door de geavanceerde malware als Uroburos, wordt plotseling duidelijk dat het twee voor twaalf is. België moet zijn infrastructuur nu echt gaan beveiligen met de beste beveiligingssoftware. En die hebben wij.” En hoe zit het met de privacy van de klanten van G DATA? Dirk vertelt: “In onze software zitten geen achterdeuren ingebouwd en wij hoeven als Duits bedrijf, in tegenstelling tot Amerikaanse bedrijven, niet samen te werken met de geheime diensten van Amerika. En ook niet met de geheime diensten van Duitsland, trouwens. De Duitse wetgeving op het gebied van privacy is de meest strenge ter wereld. Het is bedrijven zelfs niet eens toegestaan om databases met klantgegevens aan te leggen, tenzij de klant daar nadrukkelijk toestemming voor heeft gegeven. Bovendien zit het privacybewustzijn
in de genen van de Duitse ontwikkelaars en bestuurders van G DATA, die dergelijke dingen dus wel uit hun hoofd laten. Bij ons is het dus uitgesloten dat een door de staat gesponsorde malware of spyware bewust door de vingers wordt gezien. En wij zullen nooit en te nimmer gegevens van onze klanten delen met derden, ook niet als er een dringend verzoek op wordt gedaan door de overheid. En dat is het soort veiligheid waar we in België behoefte aan hebben.” HOOGGESPANNEN VERWACHTINGEN De verwachtingen van Dirk voor 2015 zijn hooggespannen. “In het zakelijke segment wil ik in 2015 een groei van minimaal 25% zien.” Om dit te verwezenlijken is per 1 februari het salesteam uitgebreid met een Channel Sales Manager, Jerrel Abdoel. Dirk zegt hierover: “Jerrel zal zich gaan richten op het aantrekken van channel partners, zowel distributeurs als resellers die de corporate klanten bedienen.” Daarnaast is de ambitie uitgesproken om de zorgsector in brede zin kennis te laten maken met G DATA. “Apothekers, huisartsen, ziekenhuizen en alle andere zorgverleners hebben een grote taak in de komende jaren. Patiëntgegevens worden in toenemende mate digitaal, maar blijven even privacygevoelig als altijd. Het is dus van essentieel belang dat de zorgsector gebruik maakt van de beste IT-beveiliging die er te krijgen is. Bovendien zijn incidenten van ziekenhuizen die enkele weken, of zelfs enkele minuten, niet goed kunnen functioneren omdat er een malware-uitbraak is geweest, zoals we hebben gezien bij het Imelda-ziekenhuis in Bonheiden niet langer acceptabel. De infrastructuur van ziekenhuizen is ondertussen even zeer van levensbelang als de artsen en medicijnen zelf. G DATA kan hierin een heel belangrijke rol spelen”, aldus Dirk.
'De infrastructuur van ziekenhuizen is ondertussen even zeer van levensbelang als de artsen en medicijnen zelf' INFOSECURITY MAGAZINE - NR. 1 - MAART 2015
13
SIMON LEECH VAN HP
‘WE LEREN NIET VAN ONZE FOUTEN, DE CYBERCRIMINELEN HELAAS WEL’
Eén van de belangrijkste problemen waarmee we op het gebied van IT-security worstelen, is dat we niet of nauwelijks leren van onze fouten. “Hoe kunnen we anders verklaren dat cybercriminelen nog altijd zeer succesvol zijn met aanvalsmethodes die al jaren oud zijn en problemen in software en netwerken misbruiken die al lang geleden opgelost hadden kunnen zijn?”, vraagt Simon Leech van Hewlett Packard Belgium zich af. HP publiceerde onlangs een Cyber Risk Report dat op dit punt ronduit schokkend te noemen is. Bekende kwetsbaarheden
die soms al decennialang bekend zijn, vormden in 2014 nog altijd de meest belangrijke risico’s op het gebied van cy-
bercrime. Bovendien kwam maar liefst 44 procent van de inbreuken op enterprise IT-systemen vorig jaar tot stand via kwetsbaarheden die al twee tot vier jaar bekend zijn. En waarvoor wel degelijk een goede technische oplossing bestaat. SAMENWERKEN “Dat is geen resultaat waar we trots op mogen zijn”, zegt Simon Leech, Architects Manager, EMEA Data Center Team HP. HP roept dan ook de security-industrie op om meer en beter te gaan sa-
menwerken. “Bovendien maken wij ons als HP niet alleen grote zorgen als het gaat om enterprise IT en security, maar we zijn ook allesbehalve gerust op de beveiliging van Internet of Things-projecten. Zeker nu de daadwerkelijke uitrol van dit soort systemen - denk aan huisbeveiligingssystemen - een hoge vlucht begint te nemen, zullen we snel met serieuze security-maatregelen moeten komen.” Het jaarlijkse Cyber Risk Report van HP is enerzijds zeer interessant om te lezen, maar anderzijds ook zeer verontrustend. De diepgaande analyses van de aanvallen en de werkmethoden van cybercriminelen doen de vraag rijzen of we de strijd met ‘the bad guys’ nu eigenlijk aan het winnen of toch eerder aan het verliezen zijn. Wat bovendien sterk in het oog loopt, is de professionele manier waarop de cybercriminelen zich hebben georganiseerd. Zij kiezen meer en meer voor goed omschreven specialisaties die zij vervolgens te huur aan anderen aanbieden. Op die manier kunnen snel en eenvoudig zeer geavanceerde systeemomgevingen worden samengesteld die zeer geraffineerde aanvallen mogelijk maken. We zouden het bijna een zeer professionele manier van samenwerken noemen. Die vorm van samenwerking ontbreekt echter nog grotendeels bij de aanbieders en afnemers van security-oplossingen. Leveranciers opereren veelal alleen, terwijl ook afnemers onderling nauwelijks tot samenwerkingsafspraken komen. Ook de samenwerking tussen aanbieders en afnemers van security-tools komt nog niet erg uit de verf. WAARSCHUWING Het rapport van HP geeft echter een niet mis te verstane waarschuwing. Als zelfs duidelijk gecommuniceerde bugs en andere gaten door veel ICT-afdelingen na jaren nog niet zijn gedicht, hoe kunnen we dan verwachten dat we de razendsnel op nieuwe ‘kansen’ inspelende cybercriminelen tegenspel kunnen bieden? Samenwerken is dan de enige oplossing - tussen aanbieders onderling, tussen gebruikers onderling, tussen aanbieders en afnemers en tussen aanbieders, afnemers en overheden. Maar zoals Art Gilliland, senior vice president en general manager van Enterprise Security Products
14
The home security Internet of Things paradox Is home security really secure?
HP reveals that the Internet of Things (IoT) is far from secure. According to an ongoing HP IoT study series, home security systems are not nearly as secure as you may think— or as they should be.
It's a huge issue. Gartner, Inc. forecasts that 4.9 billion connected things will be in use in 2015, up 30 percent from 2014, and will reach 25 billion by 2020.1
of home security systems tested were
VULNERABLE
to account harvesting
4.9B “things” in 2015
Deficiencies include: • Authentication • Authorization • Cloud interfaces • Mobile interfaces • Privacy
Unrestricted account enumeration: The ability to determine whether a specific account is valid on a system Weak password policy: The lack of a policy and/or the presence of a weak policy Lack of account lockout mechanism: The failure to lock out an account after a certain number of failed access attempts
Account harvesting is exacerbated when video access is granted to additional users such as family members or neighbors.
Top 5 vulnerability categories identified : 2
1 2 3 4 5
Privacy (100%)—raised privacy concerns regarding the collection of names, addresses, dates of birth, phone numbers, and even credit card numbers. Video image leaks are also an area of concern. Authorization (100%)—an attacker can use vulnerabilities such as weak passwords, insecure password recovery mechanisms, and poorly protected credentials to gain access to a system. Insecure cloud (70%)—cloud-based Web interfaces exhibit account-enumeration concerns. Insecure software/firmware (60%)—did not include obvious update capabilities. Insecure mobile (50%)—have enumeration concerns with their mobile application interface.
Are you the only one monitoring your home? groei-aan-overheidsmaatregelen-be-
van HP, vorig jaar al in een interview met Infosecurity Magazine (http://infosecuritymagazine.nl/2014/10/21/wild-
moeilijkt-security/) aangaf, moeten we hierbij wel oppassen dat overheden die
INFOSECURITY MAGAZINE - NR. 1 - MAART 2015 If video streaming is available through a cloud-based Web or mobile application interface, then video can be
15
5
Insecure mobile (50%)—have enumeration concerns with their mobile application interface.
SIMON LEECH VAN HP Are you the only one monitoring your home? samenwerking niet eerder frustreren dan faciliteren. Nog te vaak ziet de HP-topman in tal van landen wetgeving ontstaan die technische oplossingen soms onbedoeld in de wielen rijden. Dit gebeurt bijvoorbeeld als in wet- en regelgeving zeer specifieke security-maatregelen worden opgenomen, waar het definiëren van doelen - en niet de middelen om die doelen te bereiken - vaak een veel grotere kans op succes oplevert.
VAKBEURZEN, SEMINARIES EN ONLINE MATCHMAKING VOOR IT-MANAGERS EN IT-PROFESSIONALS
DE BELGISCHE EDITIE IN BRUSSELS EXPO If video streaming is available through a cloud-based Web or mobile application interface, then video can be viewed by an Internet-based attacker from hacked accounts anywhere in the world.
Three actions to mitigate risk
1 2 3
CYBER RISK REPORT De belangrijkste bevindingen uit het Cyber Risk Report liegen er niet om: •
•
•
•
44 procent van de bekende inbreuken zijn kwetsbaarheden van twee tot vier jaar oud. Aanvallers blijven bekende technieken gebruiken en zijn succesvol in het binnendringen van systemen en netwerken. De top tien kwetsbaarheden die in 2014 benut zijn, profiteren allemaal van code die jaren of zelfs decennia geleden geschreven zijn. Foutief geconfigureerde servers zijn het grootste probleem onder alle geanalyseerde applicaties. Het gaat dan vooral om toegang tot onnodige bestanden en bestandsmappen, naast issues rond privacy en cookies. Met dit soort informatie kunnen die aanvallers hun methoden verder verbeteren. In 2014 werden ook geheel nieuwe aanvalsmethoden ontdekt. Vooral via fysieke apparaten die verbonden zijn met internet (Internet of Things). In 2014 nam ook het gebruik van mobiele malware toe. De meeste kwetsbaarheden komen voort uit een relatief klein aantal ge-
25 - 26 MA ART 2015 BRUSSEL
Include security in feature considerations when evaluating potential IoT product purchases
Avoid using system defaults for user names and passwords whenever possible, and choose good passwords3 when the option is available
IT IT SECURITY SECURITY
STORAGE
IT MANAGEMENT SOLUTIONS
Don’t share account access with anyone outside your immediate family—and stress secure password practices with those who have access
The Federal Trade Commission (FTC) recommends that IoT device manufacturers incorporate security into the design of connected products.4
HP Fortify on Demand
Solutions like HP Fortify on Demand enable organizations to test the security of software quickly, accurately, affordably, and without any software to install or manage—eliminating the immediate risk in legacy applications and the systemic risk in application development.
THEMA 2015: THE INTERNET OF THINGS
Read the full report: hp.com/go/fortifyresearch/iot2
Gartner, Press Release, “Gartner Says 4.9 Billion Connected "Things" Will Be in Use in 2015” November 2014, http://www.gartner.com/newsroom/id/2905717. Open Web Application Security Project (OWASP) Internet of Things Top Ten Project SANS Institute Password Construction Guidelines (PDF) 4 Security Is a Must for the Internet of Things, Terrell McSweeny, Commissioner, Federal Trade Commission 1
2 3
meenschappelijke fouten.
programmeer•
Wat doen we hieraan? HP komt met een aantal aanbevelingen: •
Netwerkbeheerders moeten een snelle en flexibele patching-strate-
•
•
Cloud Computing
gie ontwikkelen om ervoor te zorgen dat systemen up-to-date zijn. Systemen en netwerken dienen regelmatig getest en geverifieerd te worden op kwetsbaarheden en configuratiefouten. IT-afdelingen dienen een fundamenteel begrip van hun systemen en netwerken te ontwikkelen. Alleen dan kunnen zij de impact van nieuwe technologieën maar bijvoorbeeld ook de gevolgen van specifieke kwetsbaarheden in software bepalen. Samenwerking en kennisdeling tussen de security-bedrijven helpt om inzicht krijgen in de tactiek van aanvallers, zorgt voor een meer proactieve verdediging, versterkt de bescherming die aangeboden wordt in beveiligingssoftware en zorgt daarmee voor een veiligere werkomgeving.
Cyber Security
Data Center & Infrastructure Optimisation
Data Growth & Storage Capacity
Enterprise Mobility
ITSM & Control
Privacy Governance & Risk Management
REGISTREER NU VOOR GRATIS TOEGANG: WWW.INFOSECURITY.BE | WWW.STORAGE-EXPO.BE | WWW.THETOOLINGEVENT.BE KEYNOTES | SEMINARIES | KLANTENGETUIGENISSEN | INNOVATIES
Gold sponsor
Hans Vandam is journalist 16
distributed by Westcon
INFOSECURITY MAGAZINE - NR. 1 - MAART 2015
17
INFOSECURITY.BE, STORAGE EXPO EN THE TOOLING EVENT 2015
IN HET TEKEN VAN
THE INTERNET OF THINGS Op 25 en 26 maart 2015 bent u weer welkom tijdens de drie gezamenlijke beurzen Infosecurity, Storage Expo en The Tooling Event Belgium in Paleis 8 van de Heizel. Dit jaar staat het thema The Internet of Things centraal, wat als een paraplu is voor een breed aanbod van activiteiten, zowel op de traditionele beursvloer als tijdens het inhoudelijke programma. Tijdens deze twee dagen kunt u terecht bij meer dan honderd leveranciers die hun nieuwste technieken, producten en diensten voorstellen. Via seminaries, keynotes en klantgetuigenissen verwoorden marktleiders, verenigingen en ICT-professionals hun visies, ideeën en antwoorden op de meest actuele ICT-thema’s.
THE INTERNET OF THINGS Zoals elk jaar is er ook deze editie weer voor een overkoepelend thema gekozen dat raakvlakken heeft met alle drie de beurzen. Dit jaar is dit thema The Internet of Things. Door de opkomst van The Internet of Things krijgen bedrijven te maken met een grote hoeveelheid data
die alleen maar zal toenemen. Deze verzamelde data brengt veel mogelijkheden met zich mee. Zo versnelt The Internet of Things de stap van data naar analytics, naar applicaties en weer terug naar data. Inzichten kunnen hierdoor sneller en makkelijker worden verkregen om vervolgens betere bedrijfsbeslissingen te
kunnen nemen. Maar tegelijkertijd zullen er ook een aantal drastische veranderingen plaats moeten vinden binnen bedrijven, om voorbereid te zijn op het ‘The Internet of Things-tijdperk’. INFOSECURITY.BE, STORAGE EXPO EN THE TOOLING EVENT The Internet of Things biedt organisaties volop uitdagingen op het gebied van beheer, beveiliging, storagecapaciteit en datamanagement. De beurzen Infosecurity.be, Storage Expo en The Tooling Event bieden gezamenlijk de handvatten om IT-organisaties klaar te stomen voor het tijdperk dat reeds is begonnen. Op de beursvloer en in de stands is er namelijk volop de mogelijkheid voor kennismaking met en oriëntatie op toonaangevende IT-bedrijven, -producten en -diensten. Daarnaast is er een uitgebreid inhoudelijk programma met presentaties en keynote-sessies van specialisten uit het veld. Hierbij worden ook de technisch diepgravende onderwerpen niet gemeden. INHOUDELIJK PROGRAMMA Het overkoepelende ‘Internet of Things’-thema bundelt zeven actuele topics, die zowel bij de exposanten als in de seminaries zullen terugkomen. De zeven thema’s zijn: • Cyber Security • Data Growth & Storage Capacity • IT Service Management & Control • Enterprise Mobility • Data Center & Infrastructure Optimisation • Cloud Computing • Privacy, Governance & Risk Management Het inhoudelijk programma is door deze verschillende thema’s zeer divers en zal worden geopend door een keynote seminarie van trendwatcher Herman Konings. Volgens hem zijn we beland in het ‘overaltijdperk’, the Age of Everyware, ‘waar de mens niet langer het apparaat lijkt aan te sturen, maar het apparaat de mens.’ Tijdens zijn keynote zal hij uitgebreid ingaan op ‘the Age of Everyware’ en wat dit voor bedrijven inhoudt en zal hij bovendien leuke en interessante voorbeelden aanhalen. Verder verzorgen onder anderen Cain Ransbottyn (The Other Agency), Danny De Cock (KULeuven) en Heidi Rakels (GuardSquare NV) seminaries over the-
18
BEURSSPECIAL | WWW.INFOSECURITY.BE | WWW.STORAGE-EXPO.BE | WWW.THETOOLINGEVENT.BE
matieken als privacy, cybercrime en security. Brussels onderzoeksrechter Michel Claise, gespecialiseerd in witteboordencriminaliteit belicht het thema dan weer vanuit een heel ander standpunt. Wil men cybercriminelen overigens een stapje voor zijn, dan kan het helpen om te leren denken als een hacker. Om die reden organiseert Infosecurity samen met Deloitte opnieuw de succesvolle ‘Hacking Challenge’ tijdens de beurs. Daarnaast vertelt Datacenter Strategist Hans de Leenheer over een nieuwe generatie van storage en komt u tijdens het seminar van senior sales engineer Leon Van Dongen meer te weten over het impact van Flash op het datacenter netwerk. Wat de impact van customer service is op de klantervaring en wat het effect van Enterprise Mobility is op IT Service Management en Compliance komt u te weten in de sessies van FrontRange en Matrix42. Dit is slechts een greep uit het complete inhoudelijke programma. Het volledige programma is verderop in deze beursspecial te vinden en op www.infosecurity.be, www.storage-expo.be en www.thetoolingevent.be.
deskundigen beantwoord. Dit alles, zodat u na deze twee dagen weer vertrekt met praktische handvatten om in te zetten in het dagelijks werk als IT-er.
PRAKTISCHE INFORMATIE • Beurscombinatie over databeveiliging (Infosecurity.be) data-opslag (Storage Expo) IT-beheer (The Tooling Event) •
Wanneer Woensdag 25 & donderdag 26 maart 2015 Op beide dagen van 09.30 uur tot en met 17.00 uur
•
Waar Brussels Expo, Brussel – Paleis 8
•
Website www.infosecurity.be www.storage-expo.be www.thetoolingevent.be
•
Toegang Registreer direct voor gratis toegang via:
TWEE BEURSDAGEN Bezoekers krijgen tijdens de twee beursdagen volop informatie over vraagstukken en trends. Ook de vraag waar het met de IT naartoe gaat, wordt door een grote hoeveelheid aanwezige partijen en INFOSECURITY MAGAZINE - NR. 1 - MAART 2015
19
DEELNEMERSLIJST / LISTE DES PARTICIPANTS
25 - 26 MAART 2015 / MARS BRUSSELS EXPO
INFOSECURITY.BE Exposant Standnummer A.N.S. Benelux D117 AirWatch by VMware B129 Akamai Technologies C130 AP Nederland A061 Arcadiz Telecom A031 Arrow Value Recovery C018 Atlantis Computing D124 BA A128 Barracuda Networks B040 Black Box Network Services A045 Blancco A120 Cegeka D092 Check Point A023 CHG MERIDIAN D147 Cisco Systems Belgium B052 Cofely Fabricom A089 Contec B.V. D137 Copaco Belgium D113 CRYPSYS secure computing A041 CyberArk Software B113 Cyberoam Technologies Pvt. Ltd. A125 Data Unit A089 David Lynas Consulting Ltd D130 DCB A129 DelITad B121 Dimension Data B094 / C092 DrayTek B128 ESET Belgium & Luxembourg B060 Exclusive Networks A076 Fox-IT D136 G DATA Software Belgium B120 Heynen B125 HP Belgium A104 Imtech A107 Interoute Belgium A135 Intronics B110 (ISC)² C128 ISACA - Information Systems Audit and Control Association A124 ISSA Brussels-European Chapter A124 Kahuna - Managing Security A136 Kannegieter D108 Kaspersky Lab A094
20
THE TOOLING EVENT Exposant Kroll Ontrack LCL Belgium LSEC - Leaders in Security MT-C Netleaf Nextel Nutanix Oodrive Optima Networks Out of use Palo Alto Networks Prodata Systems Proximus QNAP Systems Qualys Rittal S3 Bvba (Server Storage Solutions) Saasforce SafeNet Technologies Saikoa BVBA Schneider Electric nv/sa SecureLink SecurIT Secutec SMS Passcode SMT - Simple Management Technologies Solvay Brussels School of Economics and Management Sophos SWITCHPOINT NV/SA Synology TD Azlan part of Tech Data Telenet Trend Micro Belgium TrueGEN UBM Belux Unitt vanroey.be Van Randwijk Paperflow Solutions Varonis ViaCloud Virtual Instruments Westcon Security (TM)
BEURSSPECIAL | WWW.INFOSECURITY.BE | WWW.STORAGE-EXPO.BE | WWW.THETOOLINGEVENT.BE
Standnummer D104 D120 A136 D144 B112 A077 A073 D098 D132 D140 A066 A018 A048 D122 A108 A030 B035 C066 A011 A136 A015 C078 A136 C066 A041 A112 A126 A060 A051 C128 B018 B104 A052 A037 A065 A088 C010 D138 D129 D118 D109 A040
Exposant A.N.S. Benelux Allied Telesis International B.V. Axios Systems CHG MERIDIAN Cisco Systems Belgium Dimension Data FrontRange HP Belgium Krinos Academy LANDESK Matrix42 AG MT-C NET-measure Nucleus OMNINET Proximus Secutec ServiceNow TOPdesk Belgium Unacle Unitt
Standnummer D117 A143 C146 D147 B052 B094 / C092 D155 A104 D142 D148 B156 D144 D145 D149 B155 A048 C066 A155 B145 D150 A088
STORAGE EXPO Exposant A.N.S. Benelux Arcadiz Telecom Arrow Value Recovery Barracuda Networks Cegeka Cisco Systems Belgium Citrix CommVault Computacenter Dell Dimension Data Fujitsu Technology Solutions HP Belgium I.R.I.S. ICT Interxion Belgium LCL Belgium Minkels MT-C NETGEAR Nimble Storage Proximus Pure Storage Saasforce Seagate Technology International SecureLink Secutec Simac ICT Smals Stellar Data Recovery Tintri Unitt Uptime Group Vanroey.be Veeam Software
Standnummer D117 A031 C018 B040 D092 B052 C018 D039 B052 D030 B094 / C092 D042 A104 D070 D064 D120 D060 D144 D096 B036 A048 D072 C066 C012 C078 C066 C060 D035 D012 B048 A088 B030 C010 D052
INFOSECURITY MAGAZINE - NR. 1 - MAART 2015
21
PLAN / CARTE
25 – 26 MAART / MARS 2015 BRUSSELS EXPO
INGANG / ENTRÉE Theater / Theatre 6
D150 D148 D144 D142 D140 D138 D136
D155
D149 D147 D145
D137
C146
Theater / Theatre 5
LY SS ON ACCE IP BADGE V WITH
B156
D132
D130 D124 D122 D120
D129
D121
D108
D109
C128
B128
D104
B155
B129
A136
B120
Theater / Theatre 1
A151
A143
A135
A129
D070
D064
D060
D042
D052
D030
C078
A104 A112
A125
C060
D012
B052
TERRAS / TERRASSE
B048
B030
A108
A107
B036 B018
B060
A088
C010
C018
Sponsored by REGISTRATIE GEBIED / RÉCEPTION D'ENREGISTREMENT
B035
INFOSECURITY.BE A094
C012
D035
D039
B110
B113
A120
C066
B040
B121
A124
D072
B104 B112
B125
A126 A126
A155
Theater / Theatre 3
D092
B094
B136
B145
D096
C092
MEDIATERRAS / MEDIA TERRASSE
Theater / Theatre 4
D098
STORAGE EXPO D117 D113
C130
TOOLING EVENT
D118
A052 A076
A066
A048
A040 A030
A060
A018 A011
INFOSECURITY.BE A089
A077
A073
A051
A065 A061
A045 A041
A037
A031
A023
A015
Theater / Theatre 2
PALEIS 3 LEGENDA / LÈGENDE
PARKING C RING EXIT 7bis
RING EXIT 7bis
Theater 1 : Infosecurity.be technische sessies Theatre 1 : Infosecurity.be sessions techniques
LOOPBRUG/ PASSERELLE ROM
ENTREE
8
EINS
9
PATIO
EST
EEN
WEG
1 3
4
5
6
7
11 12
2
GOLDEN SPONSOR:
SHUTTLE BUS
Theater 3 : Praktische sessies Theatre 3 : Sessions pratiques Theater 4 : Praktische sessies Theatre 4 : Sessions pratiques
10
BRUSSELS EXPO
PARKING
Theater 2 : Infosecurity.be management sessies Theatre 2 : Infosecurity.be sessions de management
METRO
Theater 5 : Storage Expo seminaries Theatre 5 : Storage Expo séminaires Theater 6 : Praktische sessies Theatre 6 : Sessions pratiques Nooduitgang / sortie de secours Garderobe / vestiaire
Situatie op 15-02-2015, wijzigingen voorbehouden. Situation au 15-02-2015, altérations réserve.
22
BEURSSPECIAL | WWW.INFOSECURITY.BE | WWW.STORAGE-EXPO.BE | WWW.THETOOLINGEVENT.BE
INFOSECURITY MAGAZINE - NR. 1 - MAART 2015
23
g
Seminaroverzicht Woensdag 25 - Donderdag 26 maart
BRUSSELS EXPO
INFOSECURITY.BE: MANAGEMENT SEMINARIES WOENSDAG 25 MAART Keynote: “The Age Of Everyware” Spreker: Herman Konings - Trendwatcher, Pocket Marketing/nXt 11.00-11.45 uur – Theater 2
Over de Keynote: In 2013 werd de Narrative-camera geïntroduceerd, een draagbare minifotocamera die iedere dertig seconden automatisch een foto van je omgeving maakt. Zo kun je aan het eind van de dag de voorbije 15-16 (waakzame) uren in ruim 1500 stills herbeleven. Handig om je eigen geheugen te checken, of in deze vergrijzende wereld de dag te reconstrueren van senioren met geheugenproblemen. De Narrative illustreert hoe technologie steeds meer verwordt tot een alomtegenwoordig en ononderbroken vliegwiel van het mens-zijn. We zijn beland in het ‘overaltijdperk’, the Age of Everyware, waar de mens niet langer het apparaat lijkt aan te sturen, maar het apparaat de mens. Over de spreker: Herman Konings [°64] is master in de theoretische psychologie en zaakvoerder van het Antwerpse trend- en toekomst-onderzoeksbureau Pocket Marketing/nXt. Als trendverkenner geeft hij regelmatig adviesrondes en spreekbeurten aan bedrijven, genootschappen en hogescholen over socio-culturele verschuivingen, trendobservaties en toekomstverwachtingen. Tot zijn klanten behoren o.m. AG Insurances, Autogrill, BMW, BNP Paribas Fortis Bank, Confederatie Bouw, Europese Commissie, Electrolux, FeMa/Ufemat, Henkel, IBM, Industria, ING Bank, JBC, Nespresso, Philips Lighting, Procter & Gamble, Roularta Media, Siemens, Toerisme Vlaanderen, Unilever, Vlaamse Overheid en VRT. Het vijfde boek van Herman – “Futures”” [uitgeverij Lannoo] – rolt in augustus 2015 van de persen.
Seminarie: Bridging the Gap between Physical & information Security Spreker: Stefaan Bolle - Enterprise Security Officer, Deme 12.00-12.45 uur – Theater 2
Over de sessie: The goal of this presentation is to provide a pragmatic overview of today’s security threats towards corporate information and demonstrate the need to have both physical and information security departments joined to answer the problem in an all-encompassing way. We will show you how corporate information is effectively stolen from your company. Over de spreker: Security professional responsible for managing all threats and risks of malicious intent (on the domains of information security, physical security and personnel security). Specialties: Pragmatic and to the point Security management of critical infrastructures (energy sector) & Constructing an enterprise security office with global reach.
Seminarie: Cyber Threat: IT-Security at the European Commission Spreker: Ken Ducatel - Chief Information Security Officer, European Commission 13.00-13.45 uur – Theater 2
Over de sessie: The presentation will describe the cyber threat landscape as it impacts the European Commission’s operations. It will explain how the Commission sets about combatting such cyber threats in collaboration with other EU-institutions. Over de spreker: Ken Ducatel has recently been appointed
as the first ever CISO in the Informatics Department of the European Commission. He has an IT policy background stretching back 30 years. Originally a member of faculty in the Science and Technology Policy Department at the University of Manchester, his career path has taken him from analysing IT policy to designing and implementing IT policy as member of the Cabinet of Commissioner Reding (2004-08) and as Head of Unit for the Digital Agenda (2009-12) and then Cloud Computing in DG Connect (2012-14).
Seminarie: A holistic approach to handle cyber security threats Spreker: Geert Degezelle - Head of Cloud, Security & Datacenter, Proximus 15.00-15.45 uur – Theater 2
Over de sessie: Recent extensive press coverage of security incidents is scaring many companies. Most of them have a hard time keeping up to date with the rapid evolving threats and defences. The main challenge for a company is obtaining the right balance between managing security risks impacting their critical business and investing in a 24/7 security going from prevention and detection up to incident response processes (while taking into account business flexibility). Over de spreker: Geert is an experienced professional in ICT & Telecom for more than 15 years. He’s passionated about innovative new
trends like advanced cyber security, cloud computing, mobile payment and IoT. Geert is heading the security and cloud computing departments at Proximus.
DONDERDAG 26 MAART Seminarie: 2014 Information Security Breaches survey Spreker: Marc Sel - Director, PwC 11.00-11.45 uur – Theater 2
Over de sessie: The 2014 Information Security Breaches survey aims to measure and interpret how well organisations face highly skilled adversaries. The presentation will address the state of information security today, as well as the impact of management on this state. Today’s security defences are discussed, as well as what participating organisations actually due when an incident took place. Also dealing with the aftermath of an incident is addressed. Finally, the impact on participants’ business is discussed, and lessons learnt are presented. Over de spreker: Marc Sel is working for PricewaterhouseCoopers ‘Advisory Services’ in Belgium as a Director, specialised in IT Performance Improvement. I joined the firm in january 1989 as a Consultant. Over time, I specialised in the field of security, both from the technical and from the organisational/management perspective. I performed specialised in-depth reviews, assisted clients with the selection of solutions, and performed implementations. Areas I worked in include authorisations and access control, network security, PKI, smartcards, as well as information security organisation and policies, standards and guidelines.
est aujourd’hui juge d’instruction, à Bruxelles, spécialisé dans la lutte contre la criminalité en col blanc. Il s’est notamment illustré dans les dossiers de la Belgolaise, de Georges Dumortier ou encore du délit d’initié dans l’affaire Fortis.
Seminarie: Where is our privacy? Spreker: Cain Ransbottyn - Founder, The Other Agency 13.00-13.45 uur – Theater 2
Over de sessie: Meer info vindt u op www.infosecurity.be Over de spreker: A Chief Digital Officer with a broad technical background intersecting corporate strategy, marketing, technology and innovation. Expert in driving growth by converting traditional analog businesses into digital ones. He oversees operations in rapidly changing digital sectors, such as mobile applications, social media and related applications, virtual goods, as well as “wild” web-based information management and marketing. Not just a marketeer, new media architect or social media evangelist, or a people, sales or project manager, but a cocktail of all the above with a thorough technical background. With the experience required for a digital publisher of this era, that can liaise between
management and editors-in-chief, speaking a language they can each understand. Seminarie: Bedtime stories of a Storm Chaser Spreker: Peter Strickx - Directeur-Generaal Systeemarchitectuur, Standaarden & Support / CTO, FEDICT 14.00-14.45 uur – Theater 2
Over de sessie: Definition, architecture and obstacles on the road of a G(overnment)-cloud project Over de spreker: Peter Strickx holds a MSc in Computer Science (Artificial Intelligence) from the Vrije Universiteit Brussel (VUB), where he graduated in 1987. In 91 he participated in starting Sun Microsystems Belgium. From the start of Fedict, the Belgian Federal Government’s eGov/ICT Service, in 2001, Peter Strickx has been their Chief Technology Officer. He was the technical lead in projects such as FedMAN, Universal Messaging Engine/Federal Service Bus (UME/FSB)and the Federal Authentication Service and co-authored papers on open standards and the use of ODF. In 2013 he was the executive lead in launching a public tender for a G(overnment-cloud (IAAS platform).His interests include programming languages and microprocessor & network technology.
Keynote: Hacking et répression pénale Spreker: Michel Claise - Onderzoeksrechter 12.00-12.45 uur – Theater 2
THEMA’S
Cloud Computing
24
Cyber Security
Data Center & Infrastructure Optimisation
Data Growth & Storage Capacity
Enterprise Mobility
IT Service Management & Control
Privacy, Governance & Risk Management
BEURSSPECIAL | WWW.INFOSECURITY.BE | WWW.STORAGE-EXPO.BE | WWW.THETOOLINGEVENT.BE
Over de Keynote: Dans son exposé « Hacking et répression pénale », Monsieur Michel Claise, abordera quelques principes de la répression pénale des faits de hacking. Il parlera également de cas d’espèces rencontrés actuellement. Over de spreker: Michel Claise fut avocat durant vingt ans et il INFOSECURITY MAGAZINE - NR. 1 - MAART 2015
25
g
Seminaroverzicht Woensdag 25 - Donderdag 26 maart
BRUSSELS EXPO
INFOSECURITY.BE: TECHNISCHE SEMINARIES WOENSDAG 25 MAART Seminarie: Hacking Challenge: Leer denken als een hacker (powered by Deloitte) Spreker: Joris Lambrechts - Manager Cyber Risk Services, Deloitte 12.00-12.45 uur – Theater 1
Over de sessie: Always wanted to test your hacking skills, but never found the right target, audience or excitement? Soon you can find it all at Infosecurity. be! 10 teams of 2 people will compete for the trophy in an exciting Deloitte Hacking Challenge. You will work in teams of two and try to gain access to the systems and data of a fictitious organization in a Capture-The-Flag type of game. The Deloitte experts will guide the audience through the hacking game as your actions and those of your opponents are monitored and shown on a large screen for the audience. Your opponents keep a close eye on your score in the battle for fame and an award! Do you want to test your hacking skills and think you can win? Then don’t hesitate and sign up! Over de spreker: Joris is a member of the Enterprise Risk Services department of Deloitte in Brussels and a member of the worldwide Security & Privacy Services Group of Deloitte, which primarily delivers expertise in technical and organizational aspects of information security. He has experience in information security and security architecture with significant expertise on the financial and public sector.
Seminarie: CERT.be and security in Belgium: past, present and future Spreker: Christian Van Heurck - Coordinator, CERT.be 13.00-13.45 uur – Theater 1
Over de sessie: After some rough years CERT.be is rebuilding its services again, aiming to face some tough challenges in the years to come. This talk will offer a glance into the future of infosec in Belgium, supported by some very interesting and revealing statistics gathered since its existence. Over de spreker: Christian Van Heurck studied physics in Antwerp (RUCA) and Brussels (VUB), where he graduated. After his studies he continued as
26
an electron microscopy researcher at the EMAT lab (RUCA). He then switched to IT as project manager for the Port of Antwerp’s IT department ICH and as manager for the services & helpdesk department of Telepolis Antwerpen. He then moved to Cultuurnet Vlaanderen as system & application manager for the Cultuurdatabank. Christian joined Belnet’s CERT team in 2007 as a Security Analyst and he is now head of CERT.be, the Belgian Federal Cyber Emergency Team, also known as “the firemen of the Belgian internet”. Seminarie: One Packer to Rule Them All: Empirical Identification, Comparison and Circumvention of Current Antivirus Detection Techniques Spreker: Arne Swinnen - Senior IT Security Consultant, NVISO 14.00-14.45 uur – Theater 1
Over de sessie: Many popular anti-virus solutions claim to be effective against unknown and obfuscated malware, but remain vague about how they supposedly achieve this goal. This presentation presents empirically discovered results on the various implementations of these methods per solution, which reveal that some anti-virus solutions have more mature methods to detect x86 malware than others, but all of them are lagging behind when it comes to x64 malware. Several new evasion techniques are presented, through which real-world malicious executables with a high detection rate were rendered completely undetected to the prying eyes of anti-virus products. Over de spreker: Arne Swinnen works as an IT Security Consultant at NVISO with a strong emphasis on technical security. He has experience with a myriad of security services, such as blackbox penetration tests, application source code reviews, digital forensics and secure development training. Arne also conducts research in the field of IT security both in his own time and as a member of the Research & Development team at NVISO. His current research field of interest is malware in both the mobile and desktop ecosystems. He is an occasional speaker at technical security conferences such as BruCON and Black Hat USA.
Seminarie: Security challenges of the Internet of Things Spreker: Danny De Cock - Senior Researcher, KULeuven 15.00-15.45 uur – Theater 1
Over de sessie: In this presentation we will sketch the main security issues we encounter when deploying the Internet of Things. We will also provide a set of rules of thumb to deal with these effectively. Over de spreker: Danny received a Master’s Degree in Computer Science and a Ph.D in Engineering Science from the Katholieke Universiteit Leuven. He is specialized in computer security and industrial cryptography applications. He is particularly interested in applied cryptography and conducts research on the analysis of identity management systems, online and electronic voting mechanisms, computer forensics, smart cards, telematics systems, electronic banking and payment systems, biometric authentication systems and home automation
DONDERDAG 26 MAART Seminarie: Hacking Challenge: Leer denken als een hacker (powered by Deloitte) Spreker: Joris Lambrechts - Manager Cyber Risk Services, Deloitte 11.00-11.45 uur – Theater 1
Over de sessie: Always wanted to test your hacking skills, but never found the right target, audience or excitement? Soon you can find it all at Infosecurity. be! 10 teams of 2 people will compete for the trophy in an exciting Deloitte Hacking Challenge. You will work in teams of two and try to gain access to the systems and data of a fictitious organization in a Capture-The-Flag type of game. The Deloitte experts will guide the audience through the hacking game as your actions and those of your opponents are monitored and shown on a large screen for the audience. Your opponents keep a close eye on your score in the battle for fame and an award! Do you want to test your hacking skills and think you can win? Then don’t hesitate and sign up!
BEURSSPECIAL | WWW.INFOSECURITY.BE | WWW.STORAGE-EXPO.BE | WWW.THETOOLINGEVENT.BE
Over de spreker: Joris is a member of the Enterprise Risk Services department of Deloitte in Brussels and a member of the worldwide Security & Privacy Services Group of Deloitte, which primarily delivers expertise in technical and organizational aspects of information security. He has experience in information security and security architecture with significant expertise on the financial and public sector. Seminarie: Android application protection Spreker: Heidi Rakels - CEO, GuardSquare 12.00-12.45 uur – Theater 1
Over de sessie: Mobile apps are vulnerable and prone to attacks: reverse engineering, piracy, data theft, and insertion of malware. With these apps living on mobile devices, outside the control of their developers, perfect protection is fundamentally impossible. However, by applying multiple layers of obfuscation, developers can raise the bar for attackers. We describe a number of techniques applied in the Android world. Over de spreker: Heidi Rakels is the CEO of Saikoa BVBA, the company that creates ProGuard and DexGuard. ProGuard is the open-source optimizer and obfuscator in Google’s Android SDK, used by millions of developers. DexGuard is its commercial sibling that focuses on Android app protection.
the power of stopping fraud even before it happens. Over de spreker: Filip brings 15 years of experience in cyber-security and intelligence, and was at the forefront in defending Fortune 500 companies and governments against malware attacks. As an advisor in Information Operations and cyberwarfare, he has a strong technical background, while blending this with governance experience gained while implementing ISMS systems for critical infrastructures and architecting mobile banking channels for major banks. His background in cyber-security, big data, artificial intelligence and mobile make him an expert on next generation mobile security topics. Seminarie: PDFs, Passwords and Passion Fruit - Public Problems and Personal Protection Spreker: Bruce Wynn - Independent Freelance Cyber Consultant 14.00-14.45 uur – Theater 1
Over de sessie: In a unique style, and with a selection of live
and vivid demonstrations of the realistic threats that attacks from ‘the bad guys’ pose to our personal way of life, Bruce will then graphically emphasise what simple precautions we can all take to mitigate the dangers, and how those precautions can defeat a large number of the risks we all face! He does nothing sophisticated or difficult, but his aim in the session is to: • Open Your Eyes • Focus Your Mind • Stimulate Your Imagination • Scare you Half to Death • (Resuscitate You!) Over de spreker: After more than 34 years of military ‘cyber’ experience, Bruce has for the last 10 years been an external consultant into commercial organisations (from blue-chip/Fortune 100 to SMEs) as well as to government departments, on both sides of the Atlantic. He speaks and demonstrates widely on the subject of ‘Cyber’, and is a regular at hacker events like Black Hat, DefCon, 44Con, and bSides. This year he has already been an invited speaker in South Africa, Prague, Bucharest, Las Vegas, San Diego, and Istanbul, and was the closing keynote speaker at NATO’s big Cyber/Information Assurance Conference in Mons.
Seminarie: Mobile context-aware security: When Artificial Intelligence secures your channel Spreker: Filip Maertens - Founder and Chief Product Officer, Sentiance 13.00-13.45 uur – Theater 1
Over de sessie: Learn how context-aware technology is used to secure mobile transactions. Due to recent advances in artificial intelligence and mobile, banks and payment providers are capable to further reduce fraud on the mobile channel, while offering context-aware authentication and transactions. Behavioral profiling unlocks INFOSECURITY MAGAZINE - NR. 1 - MAART 2015
27
g
Seminaroverzicht Woensdag 25 - Donderdag 26 maart
BRUSSELS EXPO
INFOSECURITY.BE: CASE STUDY & SOLUTION SESSIONS WOENSDAG 25 & DONDERDAG 26 MAART Seminarie: Optimized Security for the Software Defined Datacenter Spreker: Trend Micro Belgium 10.30-11.00 uur – Theater 4
gang hacked their way into highly secured networks, using techniques coming straight out of the APT playbook, and got away with millions. The presentation will highlight their modus operandi and discuss simple to advanced countermeasures that could have saved each company millions and their reputation.
Sessie:
Over de sessie: As you build your modern data center, security is a critical consideration and yet often considered a painful necessity that slows down data center operations. Don’t let security slow you down. If you are using traditional security technologies built for a physical data center, there are better security options out there. Options that understand and take advantage of virtualization technology to fit your data center needs. Join this session to learn how the right security solution can automate security as part of provisioning process, reduce management burden while still ensuring a highly secure modern data center. Walk away with a better understanding of how security can be optimized for virtual environments to reduce impact on resources.
Sessie:
Security for the Next-generation Data Centre Spreker: Dimension Data 11.15-11.45 uur – Theater 3
Over de sessie: The intelligent use of data is core to achieving business success. Traditional data centre security approaches that worked before have no place in the Next-generation Data Centre. We now have to build new information security infrastructures that support virtualisation, cloud and SDN, establishing the right security ecosystem of controls, processes and policies. This presentation provides insight on how to deal with this new challenge and lays out a structured approach for establishing a secure ecosystem of controls in the modern data centre.
Sessie:
The e-mail that will cost you millions Spreker: Kaspersky Lab 11.15-11.45 uur – Theater 4
Over de sessie: This presentation is a real case that will give insight information of how a cybercriminal
28
Intelligent Cybersecurity for the Real World Spreker: Cisco Systems Belgium Woensdag 12.45-13.15 uur – Theater 3 Donderdag 14.15-14.45 uur – Theater 3
Over de sessie: Not only have the motives and persistence of attackers increased, but also has their understanding of classic security technologies, applications, and how to exploit the gaps between them. Attackers are indiscriminate as they relentlessly drive their attacks home, frequently using tools that have been developed specifically to circumvent the target’s security infrastructure. They employ a methodical approach to an attack that can be demonstrated as an “attack chain” – the chain of events that leads up to and through the phases of an attack. To truly protect across all attack vectors, we have to accept the nature of modern networked environments and start defending them by understanding how attackers think and what is required to secure our infrastructure. Join our presentation and learn more about Cisco’s threat-centric and operationalized approach to security and get a peak preview of the highlights from the 2015 Cisco Annual Security Report.
Sessie: The Threat Landscape Spreker: Dell 12.45-13.15 uur – Theater 4
Over de sessie: Bill Beverley will present the latest intelligence from the Dell SecureWorks on the cyber threat landscape. He will discuss both targeted and commodity threats, and how the threat landscape is changing. What are the motives of threat actors, and what could make your organisation target? Bill will provide pragmatic advice on what you can do to protect your critical information assets and reduce risk.
gulation – Encrypt now and prevent million dollar fines! Spreker: Sophos 13.30-14.00 uur – Theater 3
Over de sessie: The EU is currently finalizing their new Data Protection Regulation which will apply one consistent set of requirements for all organizations that hold data on European citizens. In terms of personal data security, the proposed legislation will require everyone who holds data on European citizens to implement appropriate security measures to protect the data. Failure to comply can incur fines of up to €100 million or 5% annual turnover. Encryption is one of the most recommended security measures to prevent such penalties. During this session, Sophos’ Vincent Vanbiervliet tells you what you need to know about this new regulation and how you can prepare your organization for its arrival. Make sure you’re ready for what’s coming and don’t miss this presentation!
Sessie:
How to protect against the continued rise of DDOS attacks Spreker: Proximus 13.30-14.00 uur – Theater 4
Over de sessie: Meer info vindt u op www.infosecurity.be
The new EU Data Protection Re-
Over de sessie: When people see the term “cloud”, it’s no longer a mystery. Having embarrassing celebrity photos stolen, hacked or leaked from clouds to the web this year made the cloud more visible. Until recently, only a few leading enterprises were leveraging the cloud as a way to gain competitive advantage; but that will change in 2015. In this Juniper Network session we will address, through example, how to leverage the “cloud”. We will explain how the Juniper Networks portfolio of Routing/Switching and Security can help you on this Journey. Juniper Networks mission is to connect everything and empower everyone.
Sessie:
The science of Big Data: Taking security to a new level using the global internet intelligence Spreker: Akamai Technologies 15.45-16.15 uur – Theater 3
Application Firewalls and Managed Security Service. This will enable organizations to make the right business risk and fraud detection decisions for their internet facing web applications.
Sessie:
So you didn’t get hacked - now what? Spreker: Fox-IT 15.45-16.15 uur – Theater 4
Over de sessie: A major incident is like opening Pandora’s box: security controls didn’t work as expected, weren’t implemented well, or worse, were non-existent. In short: you find yourself with a long list of things that need to be improved. Perhaps your SIEM failed to provide value, missing patches weren’t mitigated for or you simply realised that most tools are actually useless without enough skilled people to run operations with them. Learn the lessons that others learned the hard way and prepare to transform your organization: treat security as a strategic value for the business, instead of as an after-thought.
Sessie:
Over de sessie: Tim Vereecke explores how global intelligence gathered from 30% of the internet traffic can be used to improve threat detection, attack prevention and real-time Client Reputation. Learn how this data can be used in real world security applications, such as Web
Easy security monitoring and automated anomaly detection at European Union - EEAS Spreker: SMT Simple Management Technologies 15.45-16.15 uur – Theater 6
Over de sessie: This presentation will address European External Action Service (EEAS) security monitoring use case based on Splunk’s operations intelligence platform in combination with automated self-learning anomaly behavior detection from Unomaly. Lex Crielaars, Solution Architect at SMT will explain the benefits of an operational intelligence platform for monitoring security and increase visibility of security threat landscape, reporting of user-authentication and in-house applications. He will be supported by Eric Daras, Security Officer at EEAS.
Sessie: Who’s using your privileges? Spreker: CyberArk Woensdag, 16.00-16.30 uur – Theater 5 Donderdag, 15.00-15.30 uur – Theater 5
Over de sessie: Strong perimeter security isn’t stopping nowadays attackers from obtaining access anymore. Recent attacks show that inside or remote access to unmonitored privileged accounts is a major concern for nearly all organizations. In this session, we will go through some of these attacks and show step by step how CyberArk can help by securing and monitoring privileged access to your sensitive infrastructure.
Sessie: DDOS, a technical overview Spreker: Telenet for Business 14.15-14.45 uur – Theater 4
Over de sessie: More and more, DDOS attacks make it to the front pages of publications : North Korea, France. Sometimes the reason for the attacks are clear, sometimes it is less obvious. But what are the several flavors of DDOS attacks? In this talk, Marc will address them, explain with illustrations and show how one can prepare for them. Because, in the context of “security by design”, there is some good advice that can already be helpful. And where products are needed, implementation advice will be given. Preparing to mitigate DDOS attacks starts with the design and even definition of applications.
Sessie: Sessie:
cloud, or be left behind Spreker: Westcon Security 15.00-15.30 uur – Theater 4
Why ‘NOT’ Cloud? Expect 2015 to be the year to move to the
BEURSSPECIAL | WWW.INFOSECURITY.BE | WWW.STORAGE-EXPO.BE | WWW.THETOOLINGEVENT.BE
INFOSECURITY MAGAZINE - NR. 1 - MAART 2015
29
g
Seminaroverzicht Woensdag 25 - Donderdag 26 maart
STORAGE EXPO: MANAGEMENT SEMINARIES Woensdag 25 maart Seminarie: A New Generation of Storage Spreker: Hans De Leenheer - Datacenter Strategist, HaDeLe Services 14.00-14.45 uur – Theater 5
understanding language to answer customers IT needs. As a Technology Evangelist he gets the opportunity to share his passion & ideas into different market segments and to make the cloud adaptable & understandable for everyone. DONDERDAG 26 MAART
Over de sessie: Today, storage has become a lot more interesting than a couple of years back. Cloud storage, object storage, server side cache, share-nothing distributed storage, all-flash & hybrid, deduplication & compression, smartclones & snapshots, converged & hyper-converged, ... Instead of explaining what these technologies are, you should go away knowing how they impact your datacenter architecture, your buying cycle and ultimately your business. Over de spreker: The IT Hulk, Enterprise Clown and Don Quichotte of Corporate Marketing are just a few of Hans De Leenheer’s split personalities. Hans has worked for customers, resellers and vendors, giving that broad experience to be able to troubleshoot storage issues or explain new technologies to a C-level audience. As a recognized storage & virtualization blogger & independent speaker, Hans is a well-known face at industry events across the world. He is also a co-host of the Enterprise Technologies podcast “In Tech We Trust”. Seminarie: How to build a solid infrastructure Spreker: Pieter D’Haens - ICT Channel Development Manager, Proximus 15.00-15.45 uur – Theater 5
Over de sessie: Get a different view on the way of designing your existing infrastructure. By categorising your storage & applications you can extend your local environment with Storage & Infrastructure as a service. What is possible and how can you build your complete disaster recovery environment in which RPO & RTO are based on your concerns and needs. Getting access to high secure environments where you can decide the level of access & management. Get inspired in how to build a solid infrastructure in the actual world were hybrid has become a standard. Over de spreker: Pieter D’Haens is a Technology Geek with the ability to translate complex technologies in an
30
Seminarie: Applying Information Management and Big Data Techniques to Open (Government) Data Spreker: Yves Vanderbeken - Account Chief Technologist & Open Data Expert, HP Enterprise Services 11.00-11.45 uur – Theater 5
Over de sessie: Open (Government) Data is a strategic initiative in governments all over the world to offer more transparency to citizens. Most governments have adopted an Open Data policy and many datasets are available on a multitude of websites (e.g. opendataforum.be) all around the world. By using Information Management and Big Data techniques we can now create added value with these government datasets. The session will feature a short introduction to Open Data and explore possibilities for viewing and analyzing Open Data sets, including new trends like Open Sensor Data. Over de spreker: Yves Vanderbeken is the HP Enterprise Services account Chief Technologist and Lead Enterprise Architect for the Flemish Government and Local Governments (Flanders). Since 2010, Yves has been a core team member of the Flemish Government’s Open Data team. He has defined the technical strategy for setting up the Open Data platform and extracting, transforming and publishing information in a consistent manner. He is the co-author of the Open Data Handbook that was published by the Flemish Government in February 2014. He coaches and advises the various departments on their Open Data Master Plan and how to disclose data from their source systems to the Open Data platform, thereby ensuring data quality and consistency across datasets. Seminarie: VMWare Cloud Management Platform – Management & Automation for Hybrid heterogeneous Cloud Spreker: Colin Fernandes - Global Cloud Solution Evangelist, VMWARE 13.00-13.45 uur – Theater 5
BRUSSELS EXPO
STORAGE EXPO: TECHNISCHE SEMINARIES Over de sessie: The session will provide an concise update on our unique value proposition and demonstrate our continued leadership and innovation we bring to the market with our integrated solution offerings and share real customer use cases. Over de spreker: Colin has had over 32 years in IT experience including start up Tivoli (startup) IBM Mercury, HP and ATG . My current role at VMware focused on driving and enabling customer and partners to acknowledge and demonstrate business/IT value in context of Cloud Management transformation and , and provide an overview of our SDDC Cloud Management Platform solutions to support critical customer initiates Seminarie: Preventing a digital dark age: Case study In Flanders Fields Museum Spreker: Dries Chaerle - Medewerker Kenniscentrum IFFM & Jan Guldentops - Consultant, BA 14.00-14.45 uur – Theater 5
Over de sessie: More and more we live our lives in a digital, online world. In tremendous volumes we produce all kinds of multimedia material and documents but how will this digital society be able to keep its memory. How do we prevent that in centuries to come, historians looking back at the beginning of the 21th century will confront a digital desert comparable to the dark ages, the period after the fall of the roman empire of which we have almost no written records. In this presentation we discuss how the In Flanders Fields Museum uses new techniques like crowd sourcing, big data and digital preservation to create new insights in the past. We will present our problems with long-term preservation and the solutions we see. Over de spreker: Dries studied philosophy and political science. As from the first of january 2015 he is in charge of the digital program at the In Flanders Fields Museum Jan (° 1973) is an historian by education who found his vocation as a security-consultant and researcher in 1996 after exposing serious, fundamental security problems in the first Belgian internet banking system. Since then he has been working on both sides of the frontline exposing security problems and trying to build fundamentally secure solutions with his team @ BA.
BEURSSPECIAL | WWW.INFOSECURITY.BE | WWW.STORAGE-EXPO.BE | WWW.THETOOLINGEVENT.BE
WOENSDAG 25 MAART Seminarie: 2015: Will the Internet-of-Things break loose? Spreker: Piet Vandaele - Managing Director, WAYLAY 12.00-12.45 uur – Theater 5
Over de sessie: The Internet-of-Things (IoT) embeds sensors in everyday objects and connects them to the cloud to enable a whole range of new services in various markets. The 2014 Gartner hype cycle for emerging technologies ranked the Internet-of-Things at the top of the hype cycle. Every day, the news is full of new product announcements about IoT. This presentation will go beyond the hype. We will discuss the business and technology drivers behind IoT, the main components of an IoT solution and we will explain how IoT leverages other technology trends. Over de spreker: Piet Vandaele is entrepreneur, co-founder and MD of waylay. Piet has 10+ years of experience in bringing to market new B2B software technologies and has previously been working in M2M, predictive maintenance, device management, desktop virtualization, customer care and telecommunications. He previously had positions in marketing, product management, business development and presales. Piet holds a MSc. in Engineering, a PhD in applied sciences and an MBA degree from Vlerick Business School.
management area. He has a wealth of systems management expertise, and uses this expertise to help his customers to achieve an easier to manage ICT environment. Alexandre is an ITIL- certified engineer and strives to deliver quality on every single assignment he has. Additionally he believes strongly in sharing knowledge amongst his peers, for this particular belief he founded the System Center User Group Belgium. As an industry expert Alexandre is a frequent speaker and ask-the-expert guest at both national and international events. In line with the continued education principle Alexandre can also be found at both national and international industry events to stay on top of what is moving in the industry, watch industry trends, and analyze how this might benefit its customers. DONDERDAG 26 MAART Seminarie: The Flash impact on a Datacenter Network Spreker: Leon Van Dongen - Sr. Sales Engineer, Brocade 12.00-12.45 uur – Theater 5
the background of flash. New technology will address specific needs and as always push a problem into a different direction. Brocade, the datacenter network market leader, anticipates on these levels to gain maximal advantage from technology inventions and improvements. Over de spreker: Leon is een storage veteraan met zijn oorsprong bij Fluke Europe. Juist in deze positie is de ervaring als eindgebruiker opgedaan. Een succesvolle samenwerking met EMC trok zijn aandacht om aan de leverancierstafel te geraken. Als systems engineer bij EMC om de transitie naar open systemen verder mee op te bouwen en tot een succes uit te breiden. Bouwen zit hem in het bloed vandaar dat hij in NL als eerste Systems Engineer voor Brocade is begonnen. Hier is hij na een uitstapje van 2 jaar weer terug als senior systems engineer. Het uitstapje naar Flash pionier Violin Memory is een ontzettend leuke en leerzame periode geweest wat hem ontzettend verreikt heeft.
Over de sessie: This presentation will dive a bit deeper into
Seminarie: The cloud in your own datacenter Spreker: Alexandre Verkinderen - Managing Consultant, Inovativ 13.00-13.45 uur – Theater 5
Over de sessie: Hybrid cloud, what does it mean and what can you do with it? Come and see this session to learn how you can implement an hybrid cloud infrastructure. One platform for public, private and hosted cloud. Over de spreker: Alexandre is an industry expert in the systems INFOSECURITY MAGAZINE - NR. 1 - MAART 2015
31
g
Seminaroverzicht Woensdag 25 - Donderdag 26 maart
BRUSSELS EXPO
STORAGE EXPO:CASE STUDY & SOLUTION SESSIONS
THE TOOLING EVENT: CASE STUDY & SOLUTION SESSIONS
WOENSDAG 25 & DONDERDAG 26 MAART
WOENSDAG 25 & DONDERDAG 26 MAART
Sessie:
A game-changer in the data centre: hyper-converged Dell solution Spreker: Dell 10.30-11.00 uur – Theater 3
setup? Your immediate success factors will be in your approach and the way you would plan and combine the ‘old and the new’ in the Next Generation Datacenter. This is a presentation with best practices and interesting business case.
Sessie:
Network virtualization and application delivery consolidation Spreker: Citrix 15.00-15.30 uur – Theater 3
Sessie:
Transform a Complex IT Environment using the Cloud Spreker: ServiceNow Woensdag, 10.30-11.00 uur – Theater 6
siak, Director, Technology Solutions, CHAMP Cargosystems S.A., will discuss: • ServiceNow integrations with Splunk, Twilio and Algosec • IT automation, including password resets • SnowMirror with Tableau for BI insight • Government Risk & Compliance (GRC) in IT, including its ISO27001 certification
Sessie:
Over de sessie: With the advent of the Software Defined Data Center, storage is rapidly becoming hyper-converged. Data Protection is evolving to meet the ever increasing scale of data storage and to protect the logical storage pools introduced by Software Defined Storage (SDS). Learn more about a revolutionary hyper-converged solution based on the latest generation of Dell’s SDS-ready servers, powered by the leader in hyper-converged software (IDC MarketScape, Dec 2014) and protected by the Dell Data Protection Offerings, based on SLA, Workload, Virtual Machine Density, Application Protection, Backup Storage, Cloud and Disaster Recovery.
Sessie:
Veeam - Availability for the Modern Data Center Spreker: Veeam 12.00-12.30 uur – Theater 3
Over de sessie: High-Speed Recovery; Data Loss Avoidance; Verified Protection; Risk Mitigation; Complete Visibility
Beyond SDN… Cisco Application Centric Infrastructure for Next-Generation Datacenters Spreker: Cisco Woensdag, 14.15-14.45 uur – Theater 3 Donderdag, 12.45-13.15 uur – Theater 3
Over de sessie: Datacenter infrastructure is currently undergoing a massive landscape change, dictated by evolving requirements from shifting consumption models. Cisco’s Application Centric Infrastructure (ACI) is a holistic architecture for datacenters with centralized automation and policy-driven application profiles, delivering software flexibility with the scalability of hardware performance. ACI brings the following benefits aligned to new requirements arising in modern datacenter environments : • Simplified automation by an application-driven policy model • Centralized visibility with real-time, application health monitoring • Open software flexibility for DevOps teams and ecosystem partner integration • Scalable performance and multi-tenancy in hardware
mers are becoming more demanding; ideally, everything should have been done yesterday. How do we cope with these critical customers and how can we ensure that the customer is satisfied? Together we will look at where it goes wrong and how we can, to a certain extent, solve this. Sessie:
Over de sessie: In the last decade many IT Managers managed to successfully save costs by virtualizing servers, storage, applications and desktops. Citrix has been the leading vendor to virtualize these applications and desktops but the next logical step consists of network and application delivery virtualization and consolidation. This session will dive deeper on technologies to help you increase application delivery in a secure way and consolidate the appliance sprawl.
Over de sessie: Companies count on their IT teams to deliver new services faster – and keep them running. However, limited visibility into the IT resources and dependencies that support them stand between the IT team and their goals. In this session, you will learn how CHAMP Cargosystems S.A. is using ServiceNow at the heart of its cloud operations and management team to deploy new services and manage change in its complex IT environment. As part of this presentation, Wojciech Solty-
Sessie: Social Service Management: is it all about meeting expectations? Spreker: TOPdesk Belgium 11.15-11.45 uur – Theater 6
Over de sessie: IT is not always easy. On the one hand, we have to maintain an infrastructure, which everybody takes for granted. On the other hand we get a whole lot of questions, remarks and ideas. At the end of the day it turns out we often do not meet all expectations. In short, our custo-
Challenges & Benefits of Integrated Business Service Management Spreker: OMNINET Software Solutions 12.00-12.30 uur – Theater 6
Over de sessie: Service Organizations are constantly looking for ways to improve their operational efficiency. Processes are more or less under control, but a fragmented software landscape often leads to data duplication, large maintenance effort and an overall inefficiency. The trend is to evolve from IT Service Management to a com-
Sessie:
Sessie:
How do you transform your business into a business service center? Spreker: Dimension Data 12.00-12.30 uur – Theater 4
Over de sessie: Cloud, mobility and software defined datacenter developments are giving us opportunities with the adjoining challenges. How to Transform your datacenter to a business service centre that will scale to the increasing demands from the business and their users. With the promise of cloud computing as the new delivery model for IT new questions arise : How do you decide which applications you will host out of a cloud environment and when do you migrate these ? How would you merge your existing environment with a cloud-like
32
Do you need to easily and professionally manage all mobile devices in your organization? What about Dell? Spreker: Dell Woensdag, 14.15-14.45 uur – Theater 6 Donderdag, 10.30-11.00 uur – Theater 6
Over de sessie: Companies are facing critical choices regarding mobility. End users want maximal flexibility while security still needs to be in place. Data needs to be available on all devices the end user wants but how do we manage all those devices? How can we make IT as agile as possible to keep up with the rapidly changing business without adding too much complexity?
BEURSSPECIAL | WWW.INFOSECURITY.BE | WWW.STORAGE-EXPO.BE | WWW.THETOOLINGEVENT.BE
INFOSECURITY MAGAZINE - NR. 1 - MAART 2015
33
g
Seminaroverzicht Woensdag 25 - Donderdag 26 maart
plete and integrated Business Service Management, covering the lifecycle from CRM-, Project-, Service- and Finance Management. This pragmatic and hands-on presentation focusses on the benefits and challenges that service organisations are facing during this transition and on how an increase in efficiency and cost reduction can go hand-in-hand.
Sessie: Manage the full asset lifecycle and deliver business value Spreker: Axios Systems 12.45-13.15 uur – Theater 6
Over de sessie: IT Asset Management (ITAM) and IT Service Management (ITSM) share the same goal: managing technology to deliver business value. In this session IT Service Management experts of Axios will elaborate on why it makes sense to help IT Asset Managers work in harmony with IT Service Managers and explain why we’re continually evolving the ITAM capabilities of our assyst product - to help you deliver more business value from technology. We believe that Solid IT Asset Management and IT Service Management are critical to business continuity and agility. Integrating ITAM and ITSM helps you manage your infrastructure and operations to deliver maximum business value while reducing risk.
Sessie:
What is the impact of customer service on your customer experience? Spreker: FrontRange 13.30-14.00 uur – Theater 6
Over de sessie: Customer dissatisfaction, bad availability figures, repeat traffic and complaints are being perceived in many organizations as a problem of customer service. But is this correct? What influence does customer service have on your customer experience? Customer Experience is the basis for all your interactions with your customers. In this era it is important for (IT-) organizations to introduce innovative services so customers can be served faster, better and more efficient. Learn during this session how a multichannel strategy, flexibility, automation and telephony-integration with your service management solution can have a positive contribution on your customer experience.
Sessie:
34
Consolidate and Automate Enter-
prise Service Management Spreker: ServiceNow Donderdag, 14.15-14.45 uur – Theater 6
Over de sessie: Working asynchronously via email, spreadsheets and other 20th century tools has become ingrained in our day-to-day business life. The problem is that they make it difficult to keep track of what has been done, where employees are in a process and the status of what your team has worked on, or have any contingency when a key team member is out. Alain Menezes, Manager, IT Quality & Compliance, Bridgestone Europe NV/SA will share how the IT organisation has embarked into a transformation path with ServiceNow as the “Single place of truth” todeliver servicesconsistently across the enterprisein a multi-vendor context, creating a modern and efficient work environment. He will explain how his team has consolidated and automated service management processes, increasing visibility, efficiency and improving user-experience, automating a number of enterprise processes such as employee on-boarding.
Theater 6
Over de sessie: The workspace of the future is a Personal Cloud that consists of many Apps, many Devices, many Data and many IT-Services that are provided on-premise or/ and are consumed as a cloud service. The Personal Cloud is the next major evolution of the user experience. As the Personal Cloud rises in importance, IT organizations will find current approaches to dealing with users will fail. IT leaders are seeking for an easy button to manage the hybrid personal cloud of end-users. Learn in this session about the challenges that Personal Cloud brings to IT organizations and how IT can control and secure it through a management solution from the Cloud.
Sessie:
The impact of Enterprise Mobility on IT Service Management and Compliance Spreker: Matrix42 Woensdag, 15.00-15.30 uur – Theater 6
Over de sessie: Today’s employees have the desire to work from anywhere, anytime and on any device. To support mobile work-styles many IT organizations have started to use Enterprise Mobility Management (EMM) solutions to control the Mobility Tsunami. But a Mobility project is more than just technology and does not end with the ability to deploy Apps and Data to devices. The mobile workspace creates new requirements on IT Service Desk and the Compliance processes and teams. Learn in this session about the impact of Mobility on IT Service Management and License Management and how to avoid the most common pitfalls in Mobility projects.
Sessie:
Workspace Management as a Service: Managing the Personal Cloud from the Cloud Spreker: Matrix42 Donderdag, 15.00-15.30 uur –
BEURSSPECIAL | WWW.INFOSECURITY.BE | WWW.STORAGE-EXPO.BE | WWW.THETOOLINGEVENT.BE
WATCHGUARD EN FROST & SULLIVAN PUBLICEREN EBOOK:
IN DRIE STAPPEN NAAR EEN VEILIG NETWERK Naast menselijk falen blijft onvoldoende aandacht voor de technische aspecten een van de grootste problemen waar we mee worstelen als het om security gaat. Daarom publiceren WatchGuard en onderzoeksbureau Frost & Sullivan nu een eBook om in een handvol stappen de veiligheid van het netwerk drastisch op te voeren.
Goed opgeleide medewerkers die weten aan welke procedures zij zich dienen te houden, zijn van cruciaal belang voor een kwalitatief hoogwaardige IT-security. Maar er is meer nodig om een netwerk schoon te houden. Er is ook een aantal technische maatregelen nodig. Daarbij hebben zowel grote als kleinere organisaties behoefte aan technische oplossingen die eigenlijk alleen bij enterprise-organisaties betaalbaar waren. Een aantal security-aanbieders is er echter in geslaagd om de kosten van ‘enterprise grade security’ te verlagen waardoor ook middelgrote en kleinere ondernemingen en overheidsorganisaties hier nu gebruik van kunnen maken. EBOOK Zeker voor kleinere bedrijven is dit echter een lastige stap. Men heeft vaak intern slechts de beschikking over een beperk-
te hoeveelheid mensen en middelen, terwijl het vaak ook ontbreekt aan de diepgaande kennis die bij de IT-afdelingen van grote concerns juist volop aanwezig is. WatchGuard is daarom een samenwerking aangegaan met onderzoeksbureau Frost & Sullivan voor het samenstellen van een eBook getiteld ‘Fulfilling the Promise of Unified Threat Management (UTM): Unlocking Full UTM-Enabled Network Protection’. In dit digitale boekje wordt in drie stappen aangegeven hoe ook kleinere organisaties hun IT-security op enterprise-niveau kunnen brengen. UTM-AANPAK “Hoewel veel bedrijven stellen dat hun eisen en wensen ten aanzien van IT-security bepalend zijn voor de planning van hun netwerkcapaciteit, is de realiteit
anders”, zegt Chris Rodriquez, senior industry analist netwerk-security bij Frost & Sullivan. Hij is tevens de auteur van het eBook. “UTM-platformen staan onder enorme druk om tegemoet te komen aan de almaar toenemende eisen die organisaties aan hun beveiliging stellen.” In de publicatie geeft Rodriquez drie stappen aan die zullen leiden tot een UTM-aanpak die niet alleen vandaag de dag voldoet, maar die tevens een goede voorbereiding inhoudt op de toekomst. DRIE STAPPEN Stap 1: Richt de aandacht op de prestaties van het UTM-platform en niet op die van de firewall alleen. Veel aanbieders leggen de nadruk op de prestaties van hun firewall als deze stateful wordt gebruikt. Kijk vooral naar de prestaties als ook de UTM-functionaliteit in gebruik is. Stap 2. Analyseer zorgvuldig de gegevens die testlabs publiceren. Dan zal vaak blijken dat in deze tests UTM-prestaties worden vergeleken wanneer het systeem in feite als een andersoortig security-apparaat wordt gebruikt. Bijvoorbeeld als een IPS (intrusion preventive system). Stap 3. Kies bij voorkeur niet voor een traditionele firewall maar juist voor een UTM-platform. Zulke systemen kennen een modulaire architectuur en zijn dus volledig voorbereid op uitbreiding van de functionaliteit. Hierdoor zal ook de impact van eventuele nieuwe security features nauwelijks invloed hebben op de netwerkprestaties. Het eBook kan hier worden gedownload: http://bit.ly/1zQQiTl.
INFOSECURITY INFOSECURITYMAGAZINE MAGAZINE- -NR. NR.11--MAART MAART2015 2015
35 35
SOFTWARE-DEFINED NETWORKING
HOE VEILIG
IS EEN PROGRAMMEERBARE INFRASTRUCTUUR? Veel mensen zien software-defined networking als een van de grootste veranderingen in IT sinds de verschuiving van mainframes naar desktops. Overigens zijn het niet alleen LANs’, WAN’s en datacenternetwerken die de gevolgen ondervinden van deze verschuiving. Software krijgt steeds meer dominantie in alle onderdelen van de IT-infrastructuur en daar is een goede reden voor. Op software gebaseerde systemen beloven meer flexibiliteit, schaalbaarheid en automatisering. Het ideaalbeeld voor dergelijke systemen zou zijn dat de volledige IT-omgeving direct op afstand te programmeren is. Daarmee is beter in te spelen op de dynamiek, waarmee organisaties tegenwoordig te maken hebben. Maar hoe veilig is zo’n programmeerbare infrastructuur eigenlijk? Stephen Mills, Global Security Consulting Product Manager en Gary Middleton, Business Development Manager for Networking bij Dimension Data vinden dat de sector verzuimt kritische vragen te stellen over beveiliging. Hoe
kwetsbaar is een programmeerbare infrastructuur? En als de risico’s groter zijn dan bij een hardware-georiënteerde omgeving, hoe kan software-defined beveiliging dan bijdragen aan het verlagen van risico’s?
OPKOMST Middleton wijst erop dat de programmeerbare infrastructuur weliswaar nog in de kinderschoenen staat, maar dat het niet lang meer zal duren voordat het een realiteit is in de ICT-sector. “We zien al orkestratie- en automatiseringstechnologieën in het datacenter en software-defined LAN’s en WAN’s die voor betere ondersteuning zorgen van applicaties en technologieën. Er wordt in de branche ook al gesproken over programmeerbare mobiliteitsoplossingen en beveiligingsinfrastructuren.” De route richting programmeerbaarheid wordt vooral gedreven door de open source-beweging - zoals Open Stack en de orkestratietools die steeds meer worden ingezet. Middleton noemt ook de opkomst van de DevOps-benadering. “In essentie maakt die het mogelijk om de infrastructuur voor een bepaald zakelijk doel te programmeren terwijl de infrastructuur draait. Hetzelfde team is verantwoordelijk voor de ontwikkeling én de bedrijfsvoering. Vandaar de term ‘development operations’. Facebook, bijvoorbeeld, voert wel dertig infrastructuurupdates per dag uit met gebruik van DevOps-technologie. Dat is een tempo dat in een hardware-omgeving ongehoord is. Wij zijn al begonnen met de evolutie naar een flexibeler manier van het runnen van ICT-infrastructuren. Dat is mogelijk door software. Er blijft altijd behoefte aan hardware, maar we gaan ervan uit dat de hardware-laag langzamerhand steeds dunner zal worden op alle infrastructuuronderdelen.” BEVEILIGING EN RISICO’S “Het is waar dat de programmeerbare infrastructuur nog in zijn kinderschoenen staat”, zegt Mills. “Dat zorgt voor meer risico’s omdat de branche nog geen inzicht heeft in de volle breedte van bedreigin-
36
'Software krijgt steeds meer dominantie in alle onderdelen van de ITinfrastructuur' gen. Veel technologie die we tot nu toe hebben gezien, is niet ontwikkeld en geïnstalleerd met het oog op beveiliging. Sterker nog: de software-defined infrastructuur als brede beweging heeft zich vanaf de start niet bekommerd om beveiliging. De beveiligingsindustrie loopt nu achter en moet opgeleid worden. We moeten weten wat de bedreigingen en risico’s zijn en wat ze voor iedere organisatie specifiek betekenen.” “In de traditionele beveiligingswereld gebruikten we hardware in de vorm van netwerkpoorten om de luiken te sluiten”, zegt Mills. “Wanneer je poorten dicht zijn, is de infrastructuur beschermd tegen bedreigingen. Vergelijk het met een slotbrug van een kasteel. Dat is nu anders. De applicatielaag domineert de infrastructuur. Die moet daarom open zijn, omdat anders de business schade lijdt. Dit is een probleem voor de beveiliging, omdat de omgeving ook openstaat voor ongeautoriseerde toegang.” “In de afgelopen zes tot zeven jaar is de manier waarop we applicatiebeveiliging evalueerden veranderd”, stelt Mills. “Nog niet zo lang geleden was dit voor ons een compleet nieuw terrein. Nu is het onderdeel van ons DNA. Wij moeten nu ook kennis hebben van de applicatielaag, omdat de programmeerbare infrastructuur zich daar bevindt.” HET BEVEILIGEN Middleton en Mills zijn het erover eens dat de basisprincipes van beveiliging ook bij de inzet van nieuwe technologie gelden, of het nu gaat om mobility, de cloud of software defined netwerken. Middleton: “De programmeerbare infrastructuur is weliswaar een belangrijke technologische trend met een belangrijke impact. Niettemin moeten organisaties continu blijven letten op de beveiligingsaspecten.” Mills voegt daar aan toe: “Dit onderstreept nog eens het belang van een consistente benadering voor een architectuurraamwerk voor beveiliging. Ui-
teraard zul je op detailniveau verschillen en variaties zien, zoals de tooling die je gebruikt. Maar in de breedte zijn de benadering en de processen gelijk.” “Bij informatiebeveiliging gaat het om de data”, benadrukt Middleton. “En de drie pijlers van databeveiliging zijn: vertrouwelijkheid, integriteit en beschikbaarheid. Deze drie zijn ook relevant bij het beveiligen van een programmeerbare infrastructuur. Beleid is de eerste stap. Wanneer je overweegt een programmeerbare infrastructuur in te zetten, moet je je beveiligingsbeleid updaten. Daarna is het zaak om de juiste beveiligingsmiddelen te kiezen voor het beschermen van de infrastructuur. In een software-defined omgeving zijn deze middelen software georiënteerd. Dat betekent dat de aanvalsmogelijkheden toenemen. Software-gebaseerde systemen zijn immers op afstand te configureren. Je moet dus meer beveiliging implementeren rond de toegang tot software om bijvoorbeeld het toevoegen van niet-geautoriseerde of kwaadaardige code te voorkomen. “De sector moet op dit moment nog bepalen hoe dat het beste kan. De focus heeft tot nu toe vooral gelegen op het gebruik van software-defined netwerken om data sneller heen en weer te verplaatsen. Er is nog niet veel aandacht besteed aan de veiligheid. Dat betekent dat het aanvalsvlak groter is geworden”, stelt Middleton. HOE KAN SDN HELPEN? Volgens Middleton biedt de programmeerbare infrastructuur interessante mogelijkheden voor beveiliging. “De beveiligingstechnologieën zelf worden ook zo
ontwikkeld dat ze programmeerbaar zijn. We zien nu al firewall- en intrusion detection-oplossingen in de vorm van software. Daarmee kun je tools op een optimale manier programmeren, inrichten, installeren en automatiseren. Bedenk dat de virtual machine binnen heel korte tijd de belangrijkste bouwsteen van moderne computing-omgevingen is geworden. Er is op dit moment nog geen eenvoudige manier om een virtual machine te beveiligen. Je kunt het hele netwerk beveiligen of segmenten van het datacenter, maar het is erg moeilijk om een fijnmazig beveiligingsniveau te bieden voor de virtual machine. Wanneer beveiligingstechnologie is opgenomen in de software kun je per virtual machine een beveiligingspolicy toepassen waardoor deze direct beschermd wordt door een firewall en tegen intrusie. Dan kun je de beveiligingsinstellingen ook meeverhuizen met de virtual machine, of deze nu in of uit het datacenter gaat of naar de cloud.” Mills zegt dat er al verschillende beveiligingsleveranciers zijn die deze aanpak kiezen. “Dat is bemoedigend omdat het beveiligen van zo’n snel bewegende dynamische omgeving in het verleden moeilijk is gebleken. Software defined security helpt bij het creëren van een zeer flexibele en wendbare infrastructuur die ook zeer veilig is. Een ander voordeel van software-gebaseerde beveiliging is de mogelijkheid om ‘on demand’ en op basis van een policy zeer gevoelige datastromen dynamisch te beveiligen. Denk aan credit card-gegevens of gevoelige persoonsgegevens”, aldus Middleton. “Je kunt dan verschillende encryptiemogelijkheden toepassen om een deel van het verkeer te beschermen, terwijl je het andere deel in ‘clear text’ laat stromen. Je zou dat deel van data zelfs over een aparte netwerklink kunnen laten lopen. Op deze manier is het netwerkverkeer te controleren en pas je policy’s effectiever en efficiënter toe.” Hans Vandam is journalist
'De basisprincipes van beveiliging gelden ook bij de inzet van nieuwe technologie' INFOSECURITY MAGAZINE - NR. 1 - MAART 2015
37
DIGITALE BEVEILIGING MOET TERUG NAAR DE BRON
SCRIPT MET HASH CODES MAAKT GEROMMEL IN SOFTWARE HERKENBAAR
Nadat vele jaren cybersecurity voornamelijk was gericht op het beveiligen van de poorten van computersystemen is nu een terugkeer naar de basis waarneembaar. Het gaat weer om het afschermen van de software tegen ongeoorloofd gebruik. Door het opnemen van een script met hash codes tussen de instructieregels is met zekerheid vast te stellen of bepaalde programma’s nog dezelfde kenmerken hebben als toen ze voor het eerst werden geactiveerd. Met authenticode biedt Microsoft ontwikkelaars de mogelijkheid om informatie over zichzelf en de door hen ontwikkelde code aan hun programma’s te linken. Dat is een goede stap in de richting van een beveiliging aan de bron. Het niveau is alleen te beperkt. We moeten veel verder gaan wanneer we willen voorkomen dat processen van buitenaf het verloop van software gaan verstoren. Cross-checks lenen zich hiervoor; de eerste ’executable’ test de tweede en vice versa. Met uitzondering van Windows bieden de meeste moderne besturingssystemen aan ’embedded’ applicaties de mogelijkheid om op het niveau van de ’boot loader’ de integriteit van het OS te laten checken alvorens deze te activeren. Op deze wijze inspecteert elke volgende
‘Self Check in Executable / Library’
38
laag (applicatie runtime, applicatie configuratie data) het verloop in de vorige laag. In de industriële wereld is het heel gebruikelijk om door middel van encryptie via hash codes en handtekeningcertificaten de verschillende lagen te controleren. Wanneer producten, voortgekomen uit de ontwikkelingen rond Internet of Things volop gaan communiceren met standaard softwarepakketten, lijkt een dergelijke integriteitcontrole de aangewezen oplossing om kwaadwillige code buiten de deur te houden. Op een nog hoger niveau ligt een controle waarbij niet alleen in voorwaartse richting de processen in de diverse lagen elkaar inspecteren, maar waarbij ook de applicatie achterwaarts, dus richting het OS, kan nagaan
Marcel Hartgerink
of de status daarvan correspondeert met de zijne. Een reeds langer geleden uitgegeven certificaat kan bijvoorbeeld verlopen zijn. Omdat doorgaans een laag in het systeem maar een geringe toegangsmogelijkheid naar de vorige laag heeft, is er dus een vertrouwde referentie buiten de lagen nodig, bijvoorbeeld in de vorm van een in hardware uitgevoerde token (dongle). TRUSTED PLATFORM MODULE Wie geen externe dongle wil, omdat bijvoorbeeld op het aangesloten apparaat geen USB poort voorhanden is, kan ook gebruikmaken van een Trusted Platform Module (TPM). Meer en meer systemen en apparaten worden standaard uitgerust met dit stukje extra elektronica met een eigen processor en geheugen waarin de correcte status van de diverse registers in diverse lagen vanaf de ’boot loader’ tot en met de applicatie wordt bijgehouden. Maar een TPM is niet voldoende. Zo kan het ook voor de beveiliging wenselijk zijn om het gebruik van de software alleen toe te staan aan houders van licentie-
rechten. Het is dan zinvol om die rechten op een centraal punt aan te maken, te distribueren en te beheren. Daarnaast heb je ook nog gereedschap nodig om de integriteitcontrole en authenticatie in de software in te bouwen. In de ontwikkelfase doe je dat door met API’s een test ’shell’ rondom je C-Sharp, Delphi of Java code heen te bouwen. Maar het is ook mogelijk die tests achteraf aan bestaande ’executables’ en DLL’s te verbinden. NEMEN VAN VINGERAFDRUK Ook zonder extra security-hardware zijn er volop mogelijkheden. Daartoe nemen we eerst een vingerafdruk van het systeem, waarop de software moet draaien. Voor praktisch elk OS en hardwareplatform zijn tools beschikbaar om sluitende ’checks’ op basis van gangbare encryptietechnieken in de softwarecode in te bouwen. Het moeilijkste deel van het traject zit aan het begin wanneer je als ontwikkelaar samen met vertegenwoordigers van de gebruikers het beveiligingsniveau en het bijbehorende beleid moet uitstippelen. Op welke manier gaan we een vingerafdruk nemen? Soms denken mensen dat met een simpele controle op een MAC-adres applicaties al voldoende beveiligd zijn. De praktijk leert dat dat niet genoeg is. De uitdaging is om eerst alle mogelijke variabelen in OS’en in kaart te brengen en de verschillen in eigenschappen van de gebruikte hardware. Zo kennen AMD processoren geen CPU-ID, maar die van Intel wel. Laptops werken vaak met meer dan één MAC-adres, terwijl ook Raid-opslagsystemen zich kenmerken door een aantal hardware id’s. Het doel moet zijn om een maximale beveiliging voor elk binnen het project toegepast apparaat of systeem te krijgen. Daarvoor is het nodig om vooraf vast te stellen of er sprake kan zijn van een ’tight’, ‘medium’ of ’loose binding’ van de beveiliging met de hardware. In
Cross Check voor Executable / Library’
‘SmartBind voor een optimale binding’
het eerste geval is geen enkele verandering toegestaan. Komt een kenmerk in de check niet overeen, dan vervalt direct het gebruiksrecht. Het tweede en derde scenario biedt meer tolerantie. Zo kan het bijvoorbeeld toegestaan zijn om geheugen in ’devices’ bij te steken of zelfs complete cpu’s te vervangen zonder dat die wijziging consequenties heeft voor de licentierechten. Licenties zijn sterk verbonden aan een vergoedingregeling voor het gebruik van software. In een wereld vol open source code en cloud-toepassingen rekenen we met andere financiële modellen. Maar in dezelfde wereld, waar straks alles met alles elektronisch verbonden is, lijkt het licentiemodel met de certificeringmethodiek de meest adequate oplossing om individuele personen en hun persoonlij-
'Digitale Certificaten en private 'keys' maken het beveiligingsproces een stuk veiliger en de inrichting een stuk simpeler'
ke IT-hulpmiddelen te identificeren en de integriteit van de door hen ingevoerde of ontsloten data te controleren. Digitale Certificaten en private ’keys’ maken het beveiligingsproces een stuk veiliger en de inrichting een stuk simpeler dan een stelsel van wachtwoorden en het misplaatste vertrouwen dat de individuele mens daar omzichtig mee omgaat.
Wibu-Systems AG is in 1989 opgericht in het Duitse Karlsruhe als producent van beveiligingstechnologie voor wereldwijd softwarelicentiebeheer. De brede reeks producten van het bedrijf bieden een oplossing voor het afschermen van alle vormen van digitale content, inclusief intellectueel kapitaal en software-applicaties voor computersystemen, mobiele toepassingen, industriële automatiseringsoplossingen en cloud-diensten. Deze oplossingen laten zich eenvoudig implementeren via speciaal daarvoor samengestelde development kits. Marcel Hartgerink is Zaakvoerder Wibu-Systems NV
INFOSECURITY MAGAZINE - NR. 1 - MAART 2015
39
NIEUWE WETGEVING VEREIST VERSLEUTELING VAN DATA
ra to
lou pt c
ion nc dm anage e
Mobile Encryption
ry
le m
i
an
pt
es
keys
SafeGuard Enterprise
tion
Native Device Encryption
r
edia
te
cr yp
men t Cen
l en
age
rna Data Exchange
mo
va b
Encr y
te
ds
ex
an
lic
40
M
re
pt Encryption for File Shares
Sec
c
ry
go
to
DATA EVERYWHERE
ENCRYPTIE NIET LANGER VRIJBLIJVEND Encryptie is geen vrijblijvende zaak meer, maar bittere noodzaak, zo bleek tijdens de GDPR Roadshows die Sophos onlangs organiseerde in Nederland. De Europese wetgever vraagt van ondernemingen en instellingen wereldwijd dat zij de data van Europese burgers die zij beheren en bezitten beveiligen. Het gaat dan om de EU General Data Protection Regulation die vanaf dit voorjaar de beveiliging van data in 28 landen zal unifor-
g
n
REMOTE OFFICES
AT HOME AND ON THE MOVE
na
tio
V
Ma
Encryption for Cloud Storage
t ec
HEADQUARTERS
OVERHEID NAM HET VOORTOUW Encryptie komt niet zomaar uit de lucht vallen. De Algemene Inlichtingen- en Veiligheidsdienst (AIVD) certificeert sinds jaar en dag oplossingen voor harddisk-encryptie voor de niveaus Staatsgeheim Confidentieel en Departementaal Vertrouwelijk. Voor het beschermen van gevoelige informatie van overheidsdiensten worden beveiligingsproducten gebruikt, bijvoorbeeld een product om de informatie op een harde schijf van een computer mee te vercijferen, of een telefoon die spraakvercijfering gebruikt. Het Nationaal Bureau voor Verbindingsbeveiliging (NBV) houdt een gerubriceerde lijst bij van goedgekeurde producten waarbij encryptie telkens een reële optie is. Het gaat hierbij om off-line beveiliging, laptop-, netwerk- en spraakbeveiliging en beveiliging van externe media.
ps
Device Encryption
pro
“My goal would be that all data is encrypted everywhere all the time”, zo onthulde een voormalige CTO van de Amerikaanse inlichtingendienst CIA onlangs. Met deze uitspraak onderstreept hij het be-
lang van encryptie anno 2015. Met de komst van The Internet of Things ontstaat volgens James Lyne, global head of security research bij Sophos, een nieuwe goudmijn voor cybercriminelen. “If
you can connect to it you can own it”, met andere woorden: elk apparaat dat niet is versleuteld, is dan te hacken. Niet voor niets staat de vakbeurs Infosecurity België in Brussel dit jaar in het teken van The Internet of Things. Netwerkbeveiliging en encryptie zijn essentieel om te voorkomen dat cybercriminelen de communicatie tussen het apparaat en de server kunnen onderscheppen en op die manier data stelen. Na de spraakmakende hacks bij Home Depot en Sony vorig jaar was het voor Sophos niet moeilijk om de Security Threat Trends voor 2015 te voorspellen. ‘Encryptie als trend’ staat met stip
a p t o p s , d e s kt o
ge
Data
Encryptie, het versleutelen van informatie om deze onleesbaar te maken voor onbevoegden, wordt steeds belangrijker nu er veel meer aandacht is voor dataveiligheid en privacy dankzij onthullingen over de afluisterpraktijken van veiligheidsdiensten en de grote data hacks die in het nieuws komen. Denk aan de recent uitgekomen hack bij Gemalto. Encryptie is hot. Forrester heeft onlangs op basis van 52 criteria de belangrijkste leveranciers van endpoint encryptie in kaart gebracht. Sophos is koploper.
r ypt l
o Set p
IS BEZIG AAN EEN STEVIGE OPMARS
GEEN COMPROMISSEN Bedrijven kunnen tegenwoordig encryptie toepassen zonder dat ze compromissen hoeven te sluiten. Toch zijn veel bedrijven vaak nog terughoudend met de adoptie van encryptietechnologie. Verouderde encryptietechnieken zorgden vroeger voor vertraging in de IT-processen die grote irritaties opwekten bij eindgebruikers. Met moderne encryptieproducten, zoals bijvoorbeeld SafeGuard Enterprise, is die tijd voorbij. Encryptie biedt protectie en performance. James Lyne: “You don’t have to worry about encryption impacting performance.” Encryptiesoftware volgt tegenwoordig de data en biedt bescherming waar die data ook wordt opgeslagen: op de devices van gebruikers, hun gedeelde mappen, een USB-stick of in de cloud. Bovendien is deze moderne encryptietechnologie tegenwoordig eenvoudig te managen.
Enc
e
ENCRYPTIE
op drie. Encryptie ontwikkelt zich tot de standaard.
En
res ure n e t wo r k fi l e s h a
meren en regelen. Doel van de richtlijn is dat elk individu baas wordt over zijn eigen data en het recht heeft om ‘vergeten’ te worden. De GDPR kent een strikt regime met boetes tot wel 100 miljoen of 5 procent van de wereldwijde omzet bij een ernstige inbreuk. Het is algemeen aanvaard dat encryptie de beste methode is om te voldoen aan deze nieuwe regulering. Wanneer een datalek ontstaat en de ondernemer kan aantonen dat alle persoonlijke data was versleuteld, zal hij minder snel worden beboet. Veel organisaties hebben geen idee wat deze nieuwe regulering inhoudt of hoe zij zich moeten voorbereiden op deze nieuwe regels. MELDPLICHT DATALEKKEN Ook op nationaal niveau bevindt nieuwe wetgeving zich al in een vergevorderd stadium. Zo is in Nederland op 10 februari jongstleden het wetsvoorstel Meldplicht datalekken door de Tweede Kamer goedgekeurd en ligt het nu bij de Eerste Kamer. Het doel van de voorgestelde wet is het voorkomen van datalekken en, mocht er toch gelekt worden, de effecten ervan te beperken. In dit wetsvoorstel krijgt het College Bescherming Persoonsgegevens (CBP) een meer uitgebreide bestuurlijke boetebevoegdheid oplopend tot 810.000 euro of 10 procent van de jaaromzet van de onderneming. Verder regelt dit wetsvoorstel een meldplicht voor gegevensverlies. In België klonk de roep om een meldplicht voor datalekken lange tijd minder luid. Sinds een datalek
bij vervoerder NMBS en Belgacom-gate is iedereen wakker geschud. KOPLOPER Veiligheid begint bij de eindgebruikers. Sophos wordt in het rapport ‘The Forrester Wave: Endpoint Encryption, Q1 2015’ van het Amerikaanse onderzoeksbureau Forrester Research gekwalificeerd als koploper in endpoint encryptie. De onderzoekers constateren dat de ondersteuning van gebruikers en de eenvoudige implementatie consequent hoge cijfers krijgen van Sophos-klanten. De hoge waardering van Sophos is mede te danken aan de sterke SafeGuard encryptieoplossingen, de flexibiliteit in de encryptieregels voor externe media en de mogelijkheden om op bestandsniveau te versleutelen. Vooral dit laatste punt is interessant, aangezien het gebruikers in staat stelt om op eenvoudige wijze informatie veilig op te slaan op mobiele apparaten of in de cloud. Gezien de ontwikkelingen in het huidige IT-landschap is dit onmisbare technologie.
ENCRYPTIE IS NOODZAAK In het rapport beoordeelt Forrester leveranciers op 52 criteria verdeeld in drie categorieën: het actuele aanbod, de strategie en visie en de marktpositie, inclusief partnerprogramma’s. • Sophos staat in de categorie ‘actueel aanbod’ in de top en heeft de hoogste scores in de subcategorieën ‘endpoint volume encryptie’, ‘be-
INFOSECURITY MAGAZINE - NR. 1 - MAART 2015
41
NIEUWE WETGEVING VEREIST VERSLEUTELING VAN DATA
•
stand/map encryptie’ en ‘encryptie van externe media’. In de totale categorie ‘marktpositie’ staat de onderneming op de tweede plaats; in de subcategorieën ‘technologie partners’ en ‘financiële stabiliteit’ heeft Sophos de hoogste scores.
Het Forrester-rapport beoordeelt niet alleen de leveranciers, maar onderzoekt ook de noodzaak van endpoint encryptie. Forrester constateert dat organisaties die geen endpoint encryptie implementeren een verhoogd risico lopen op datalekken of schending van complianceregels. Met name de explosie in het gebruik van privéapparaten, mobiele toepassingen en het feit dat de scheiding tussen werk en privé steeds verder vervaagt, zijn volgens de onderzoekers de belangrijkste redenen waarom organisaties serieus werk moeten maken van endpoint encryptie. 52 procent van de kenniswerkers op kantoor neemt kantoorwerk regelmatig mee naar buiten. PLATFORMONAFHANKELIJK De ontwikkelingen op het gebied van encryptietechnologie staan niet stil. Er is een ratrace aan de gang met cybercriminelen die leveranciers dwingt voortdurend met nieuwe softwareversies en updates te komen. Zo lanceerde Sophos onlangs SafeGuard Encryption 7 en Mobile Encryption 3 om eindgebruikers nog beter te beschermen tegen malware en geavanceerde bedreigingen. Deze encryptiesoftware stelt ondernemingen in staat om versleutelde data op elk willekeurig apparaat te creëren, te raadplegen en te wijzigen. Zo kan een Windows-gebruiker via de cloud versleutelde data delen met een Mac-gebruiker. De software voorziet in gegevensbescherming op alle mogelijke platformen en apparaten. Het maakt daarbij niet uit of de data zich op een laptop, smartphone of tablet bevindt of gedeeld wordt via het netwerk of de cloud. De software kan in de werk- en bedrijfsprocessen worden geïntegreerd zonder dat er vertraging in het netwerk optreedt. Daarnaast kunnen eindgebruikers versleutelde documenten aanmaken, wijzigen, opslaan en weer versturen vanaf hun mobiele apparaten. De nieuwste softwareversies ondersteunen zogenoemde native encryptie van Apple (Apple FileVault 2) en Microsoft (BitLocker). Het beheer van encryptie op 42
‘VEEL CYBERCRIMINELEN
alle apparaten, platforms en in de cloud vindt plaats vanaf één console. ENCRYPTIE IN DE CLOUD Data encryptie in de cloud tot slot is een relatief nieuw fenomeen waar weinig onderzoek naar is gedaan. In april 2014 publiceerden Thales e-Security en The Ponemon Institute een rapport met de titel Encryption in the Cloud. “Data-encryptie in de cloud is nog geen mainstream”, zo luidde de hoofdconclusie. Hoewel meer dan de helft van de in totaal 4.275 ondervraagde business- en IT-managers gevoelige of vertrouwelijke gegevens opslaat in de cloud, bleek encryptie zeker nog niet volledig ingeburgerd te zijn. Slechts 39 procent van de SaaS-gebruikers en 26 procent van de IaaS- en PaaS-gebruikers antwoordden dat hun gegevens ‘in rust’ standaard versleuteld worden. Slechts 44 procent van die SaaS-gebruikers en 40 procent van die IaaS- en PaaS-gebruikers versleutelt gegevens vóór ze die naar de cloud verzenden. Belangrijk bij gebruik van encryptie is wie de controle over de sleutels heeft (zie de hack bij Gemalto). Voor encryptie in rust gaf 34 procent van de ondervraagden aan dat zij de controle over de encryptiesleutels hebben en 29 procent dat het een combinatie van hun organisatie en de cloudprovider is. Bij 18 procent heeft een third-party dienst de touwtjes in handen en bij 17 procent heeft de cloudprovider de volledige controle over de sleutels. Tegenwoordig is het prima mogelijk om op een veilige manier gebruik te maken van bijvoorbeeld Dropbox. Door informatie die in de cloud wordt opgeslagen direct automatisch te versleutelen, ben je bovendien niet afhankelijk van Dropbox of welke ander provider dan ook. Versleutelen van de informatie doe je namelijk zelf. CONCLUSIE Encryptie is here to stay. Werknemers kunnen dankzij encryptiesoftware veilig samenwerken en bestanden met elkaar delen, waardoor ze overal, op het werk, onderweg en thuis een hoge en veilige productie kunnen leveren. Toch is niet iedereen blij met de opkomst van encryptie. Zo zijn opsporingsorganisaties en inlichtingendiensten bang dat professionele encryptie door bedrijven een gevaar vormt voor de (nationale) veiligheid. Maar overheden hebben vaak verschillende petten op. Naast bescherming van burgers treden zij op als ‘statelijke
NIEUWS
BEGINNEN MET DIGITALE DIEFSTALLEN IN GAMES’
Hoe ontstaan eigenlijk cybercriminelen? Cybercriminelen die zich bezig houden met serieuze cybercriminaliteit blijken in de praktijk vaak te zijn begonnen met kleinschalige digitale diefstallen in met name online games. Vanaf deze relatief onschuldige misdaden groeien de aanvallers door tot volleerde cybercriminelen, die veel schade kunnen veroorzaken. Peter Magez actoren’. Zo pleit het Nederlandse kabinet in een omstreden wetsvoorstel voor ’terughacken’ en wil zij de politie hackbevoegdheden geven. Bovendien zouden bepaalde verdachten moeten worden gedwongen hun encryptiesleutels op te geven. CHECKLIST Investeer 60 seconden in de Compliance Check op de website van Sophos en hoor direct in hoeverre uw onderneming voldoet aan de GDPR. 1. Verwerkt u jaarlijks persoonsgegevens van meer dan 5.000 Europese burgers? 2. Beschikt u over een beleid voor gegevensbescherming dat werknemers laat zien hoe ze het beste hun persoonlijke gegevens kunnen beschermen? 3. Worden de harde schijven van de laptops van de zaak versleuteld? 4. Wordt data opgeslagen in de cloud? Denk hierbij ook aan klantgegevens in Salesforce, Dropbox enzovoorts? 5. Worden persoonlijke data die via e-mail worden verstuurd geëncrypt? 6. Beschikt u over persoonlijke gegevens die zijn opgeslagen op draagbare media zoals USB sticks, cd’s en dvd’s?
De directeur van de National Crime Agency, Jamie Saunders, zegt tegenover de Independent dat cybercriminelen veel schade kunnen veroorzaken. Ondanks deze grote schade beginnen veel cybercriminelen met kleinschalige praktijken. “Veel jongeren nemen sommige vormen van criminaliteit niet serieus”, legt Saunders uit. “Het stelen van goud van elkaar in online games of ‘cheaten’.
Het lijkt moeilijk voor te stellen de politie op bezoek te krijgen voor het stelen van een zwaard van een vriend in World of Warcraft.” World of Warcraft is een populair online game dat door miljoenen mensen over de wereld wordt gespeeld. In dit game kunnen duizenden spelers gelijktijdig in een server verblijven en hier interactie
met elkaar hebben. Jongeren willen objecten en geld in World of Warcraft vaak niet stelen met een economisch motief in het achterhoofd, maar juist als experiment of als uitdaging. Ook realiseren sommige jongeren zich niet dat dergelijke diefstallen illegaal zijn.
Onder het motto Security made Simple zal Sophos deelnemen aan de vakbeurs Infosecurity die op 25 en 26 maart aanstaande zal plaatsvinden in de Brusselse EXPO. Standnummer: A060. Auteur: Peter Magez, country manager Belgium/Luxembourg
INFOSECURITY MAGAZINE - NR. 1 - MAART 2015
43
SMALS CLOUD SECURITY EVALUATIE MODEL
COLUMN GUY KINDERMANS
SMALS
BOUWT CLOUD SECURITY EVALUATIEMODEL
AANDACHT
VOOR DE ‘TWEEDE LINIE’-GEVAREN
Smals, de ICT-dienstenleverancier voor overheidsdiensten, heeft een evaluatiemodel gebouwd om de veiligheid van cloud diensten mee in te schatten. Hiermee kunnen de lidinstellingen, indien nodig met de gedeeltelijke steun van Smals, op gestructureerde en gestaafde wijze bepalen hoe en welke gegevens men kan verwerken in de cloud.
Het model is opgedeeld in twee evaluatieluiken. Luik A bevat de vragenlijst ‘Security-assessment-cloud-service’ waarmee het maturiteitsniveau in verband met de beveiliging van een specifieke cloud dienst geëvalueerd kan worden. Luik B bevat de vragenlijst ‘Client-guide-cloud-assessment’ waarmee men de mogelijkheid kan evalueren om een specifieke cloud dienst te gebruiken, afhankelijk van het soort gegevens dat men wil overbrengen. De belangrijkste beveiligingsaspecten die geëvalueerd worden door het model worden gegroepeerd in 4 hoofdcriteria: governance, identiteitsbeheer en toegangscontrole, IT-beveiliging en operationele beveiliging. In de context van sociale zekerheid en gezondheidszorg evalueert het model ook de conformiteit van de cloud dienst met de daar gehanteerde veiligheidspolicy gepubliceerd door de KSZ. De resultaten worden geëvalueerd aan de hand van kleurzones. De groene zone, genaamd ‘confidence zone’, vertegenwoordigt het percentage dat een cloud dienst met zekerheid aan een hoofdcriterium voldoet. De gele zone, genaamd ‘doubt zone’, vertegenwoordigt het percentage dat een cloud dienst mogelijk aan een hoofdcriterium voldoet. We spreken van ‘mogelijk voldoet’ om de geëvalueerde cloud dienst niet te bestraffen: de ‘doubt zone’ geeft dus de vragen van de vragenlijst ‘Security-assessment-cloud-service.xlsm’ weer waar we onmogelijk met zekerheid op kunnen antwoorden. De rode zone, genaamd ‘death zone’, vertegenwoordigt het per44
centage dat een cloud dienst niet aan een hoofdcriterium voldoet. Een assessment van een aantal cloud diensten kan er dan als volgt uitzien (zie schema’s): “Eén van de belangrijkste voordelen van de cloud is dat je resources kan delen”, aldus Tania Martin, hoofdauteur van het model. “Het delen van zo’n infrastructuur is spijtig genoeg ook de achilleshiel van de cloud diensten. Cyberaanvallen hebben immers aangetoond dat het delen van eenzelfde cloud dienst door tenants misbruikt kan worden. De beveiligingsproblemen, in het bijzonder vertrouwe-
lijkheid en integriteit van gegevens, baren de gebruikers van de cloud dus veel kopzorgen omdat ze het volledige beheer van hun gegevens niet meer in eigen handen hebben. In de context van de overheid, sociale zekerheid en gezondheidszorg zijn deze problemen eens zo groot omdat ze mogelijk gevoelige gegevens betreffen van de burgers en ondernemingen. Daarom is dit evaluatiemodel een nuttig instrument, als eerste inschatting of u een cloud dienst om security-redenen al dan niet beter zou vermijden.”
dersteuning te krijgen, ondanks heel wat toezeggingen. Laat staan dat de gebruikers zelf over voldoende tijd en middelen beschikken om zo’n controle in hun drukke ontwikkelingsfase uit te voeren. Om niet te spreken over ‘wees’-projecten/frameworks/componenten, die door hun ontwikkelaars niet meer verder worden gezet, maar waarvan de resultaten wel nog her en der worden aangewend! Een serie van posts op de blog van Yeri Tiete (https://yeri.be/) - in de kijker gezet door het Belgisch ICT-blad Data News tekende een behoorlijk onthutsend beeld van hoe slecht banken wel omspringen met cruciale security onderdelen. Met behulp de ‘SSL Server’-test van SSL Labs (https://www.ssllabs.com/, een researchproject van securityspecialist Qualys) controleerde Yeri Tiete elementaire security-aspecten als server certificates, SSL/TLS-implementatie, sleuteluitwisseling en de sterkte van de aangewende sleutels in de beveiligde toegang tot servers, en dat bij een trits grote en kleinere banken in België. En daaruit bleek dat een aantal grote namen zwaar ‘zakten’ (‘F’-score) voor deze test, waaronder BNP Paribas Fortis, de Bpost bank en ING! Het predicaat ‘beste leerling’ was er dan weer voor onder meer de Rabobank. De resultaten veroorzaakten nogal wat heisa en een aantal ict’ers hebben vervolgens heel wat overuren mogen klokken. Een dikke maand later bleken alle grote zondaars immers hun score al te hebben verbeterd tot minstens een ‘A-’ niveau (op een laatste bank na, Optima bank, die nog een F aan z’n broek kreeg gelapt). GEVAREN UIT DE TWEEDE LINIE De resultaten van Tietes controle tonen aan hoe gevaarlijk het is voor een ontwik-
kelaar om zonder meer te vertrouwen op de kwaliteit van bouwstenen afkomstig van derden (zelfs afkomstig uit het eigen bedrijf). Vorig jaar toonde de OpenSSL- en Heartbleed-affaire dat gevaar al uiterst pijnlijk aan. Door onvoldoende middelen en mensen om het geleverde ontwikkelingswerk te controleren, zorgde de kwetsbaarheid in de OpenSS-implementatie wereldwijd voor grote zorgen bij wie een en ander zonder meer had aangewend. Dat geldt overigens niet alleen voor securitybouwstenen, maar ook voor frameworks in ontwikkelingsomgevingen, bibliotheken van componenten en zelfs complete toepassingen. Het zou niet de eerste keer zijn dat een securityprobleem zich voordoet omdat een ontwikkelaar onterecht dacht dat in een ander onderdeel van de toepassingsomgeving wel aan ‘input validation’ werd gedaan (met een mogelijk SQL-injection probleem tot gevolg). Een ketting is slechts zo sterk als de zwakste schakel, en dat kan dus zeer zeker een onderdeel afkomstig van derden zijn. Helaas beschikken die laatsten niet altijd over voldoende middelen en personen voor de nodige kwaliteitscontrole en security testen tijdens de ontwikkeling en doorheen de hele levensloop van het onderdeel. Zo blijkt ook vandaag het OpenSSL project nog onvoldoende on-
EIGEN VERANTWOORDELIJKHEID Dat alles bezorgt ook de eindgebruiker heel wat onrust. Immers, voordien zag die in zijn browser het ‘slotje’ van een beveiligde verbinding verschijnen en meende hij dat hij goed zat. Maar nu weet hij dat het toch anders kan uitpakken. Banken, maar ook overheidsinstellingen, online winkels en dies meer moeten dan ook meer inspanningen leveren om hun klanten en gebruikers klaar en duidelijk - lees: transparant en begrijpbaar - te informeren over wat ze doen om hun werking te beveiligen, maar wat eventueel nog de mogelijke gevaren zijn. En de eindgebruiker moet vervolgens voldoende onderlegd zijn om te weten wat nog zijn eigen verantwoordelijkheid is, en welke bijkomende maatregelen hij best nog neemt (zoals het standaard gebruikmaken van zo sterk mogelijke authenticatie). Dat klinkt allicht als een moeilijk verteerbare waarheid, maar niemand in een waardeketting mag zomaar voetstoots aannemen dat de ‘anderen’ wel het nodige (en voldoende) hebben gedaan wat betreft security. Guy Kindermans, jarenlang senior editor bij Data News, is een gerenommeerd security-specialist in België. Hij zal op geregelde basis voor Infosecurity Magazine bepaalde aspecten of problemen uit de security-wereld uitlichten en bespreken.
INFOSECURITY MAGAZINE - NR. 1 - MAART 2015
45
The Trusted Bring-Your-Own Identity Platform TRUSTED BRING-YOUR-OWN-IDENTITY MYDIGIPASS.COM is the secure and trusted BYO-ID platform of VASCO Data Security, a world leader in strong user authentication, electronic signature and ID-management solutions. APPLICATION PROVIDERS can easily integrate the MYDIGIPASS.COM “secure connect” API into both their online and mobile applications in order to increase security, comply with legal requirements, facilitate user onboarding and gain customer knowledge (KYC).
e-Healthcare e-Banking
e-Gaming e-Insurance
e-Commerce
e-Government
IDENTITY PROVIDERS are able to join the platform and offer their user community access to a full range of new and secure online services under their own brand. MOBILE READY Users can download the MYDIGIPASS.COM mobile app from the appstores, create a free account and gain secure access to all supported applications that have integrated the API. Additionally, users are able to stay in control of their digital identity attributes. eID READY! Users can now register for a free MYDIGIPASS.COM account simply by using their Belgian eID card. Application providers can benefit from the validated user data to further personalize their online service.
Visit www.vasco.com/BYOID to learn more!
Banking level security
Easy deployment
Costefficient
VASCO is the world leader in providing Two-factor authentication and Electronic Signature solutions to financial institutions. More than half of the Top 100 global banks rely on VASCO solutions to enhance security, protect mobile applications, and meet regulatory requirements. VASCO also secures access to data and applications in the cloud, and provides tools for application developers to easily integrate security functions into their web-based and mobile applications. VASCO enables more than 10,000 customers in 100 countries to secure access, manage identities, verify transactions, and protect assets across financial, enterprise, E-commerce, government and healthcare markets.
www.vasco.com
turnIng off encrypted traffIc InspectIon for performance?
We have a better Idea. IntroducIng the fastest fIrebox ever. ®
Encrypted traffic is exploding worldwide. That’s why WatchGuard has released two new security appliances that deliver unprecedented speed – the Firebox M400 and M500. In fact, the M500 is 61% faster than the competition with all layers of security turned on – and 149% faster for capacity-intensive HTTPS inspection.* Now you have the power to amp up network performance without sacrificing security strength. Never compromise security. Step up to the new Firebox. Contact us today at:
[email protected] or call +31 (0)70 711 20 85
Copyright © 2015 WatchGuard Technologies, Inc. All Rights Reserved. * Report TB141118, Miercom, 2014, http://bit.ly/1yBAXGV
48
