INFO
JAARGANG 14 - JULI 2015 - WWW.INFOSECURITYMAGAZINE.NL
SECURITY MAGAZINE
SECURITY
IN ELKE PORIE VAN DE ORGANISATIE
TOP 10
AANBEVELINGEN VOOR SOFTWARE-ONTWIKKELAARS
SPECIAL EDITION MEEST OPVALLENDE CIJFERS NATIONALE IT-SECURITY MONITOR 2015 - ETHISCH HACKEN? ETHISCHE SECURITY! - 'PERSONEELSVERLOOP IS VRIJ HOOG' - ‘SECURITY-KENNIS GROOTSTE UITDAGING IN KOMENDE TIEN JAAR’ - SECURITY-EXPERTS MOETEN HET CLOUDJESVOLK DIENEN - STAYING AHEAD IN THE CYBER SECURITY GAME - LOOPBAANONTWIKKELING IS EEN PROBLEEM OVERZICHT SECURITY-SCANNERS
g
Colofon - Editorial
Infosecurity Magazine is het enige onafhankelijke vakblad in de Benelux dat zich expliciet bezighoudt met informatiebeveiliging. Het blad beweegt zich op het snijvlak van technologie en beleid. Vanaf het hekwerk tot in de boardroom. Toezending van Infosecurity Magazine vindt plaats op basis van abonnementen en controlled circulation. Vraag uw abonnement aan via
[email protected].
VOORWOORD
‘Angst is een slechte raadgever’. Daar zijn we het snel over eens. En toch is dit vreemd genoeg de manier waarop security leveranciers hun diensten steeds weer aan de man brengen. Websites, boeken of advertenties staan bol van hackers die met een bivakmuts achter hun laptop zitten.
Uitgever Jos Raaphorst 06 - 34 73 54 24
[email protected] twitter.com/raaphorstjos nl.linkedin.com/pub/dir/jos/raaphorst Hoofdredacteur Robbert Hoeffnagel 06 - 51 28 20 40
[email protected] twitter.com/rhoeffnagel nl.linkedin.com/in/robberthoeffnagel www.facebook.com/robbert.hoeffnagel Advertentie-exploitatie Will Manusiwa 06 - 38 06 57 75
[email protected] Eindredactie/traffic Ab Muilwijk Vormgeving Media Service Uitgeest Druk Control Media Infosecurity magazine is een uitgave van FenceWorks BV Beatrixstraat 2 2712 CK Zoetermeer 079 - 500 05 59
[email protected]
© 2015 Niets uit deze uitgave mag op enigerlei wijze worden overgenomen zonder uitdrukkelijke toestemming van de uitgever. Meer informatie: www.infosecuritymagazine.nl
Sloten of onleesbare codes vormen veelal de achtergrond van teksten als ‘miljoenenschade door hackers’. Volgens mij helpt dat niet of nauwelijks bij het creëren van draagvlak of verandering. Net zo goed als waarschuwingsteksten op sigarettenpakjes niet werken. Hoe komt het toch dat we tijdens het autorijden onze berichtjes op de smartphone blijven bekijken ondanks de bekende gevaren voor grote ongelukken? Wij denken vaak alleen in het hier en nu. Als het ons direct iets oplevert, passen we ons gedrag aan. Daarom pleit ik voor de inzet van security als business-enabler. Maak inzichtelijk wat het oplevert als je bijvoorbeeld het borgen van de veiligheid van applicaties direct meeneemt bij de ontwikkeling van de software. Een concreet voorbeeld van wat zo mooi heet, het omarmen van een proactieve security strategie. Bent u net zo benieuwd als ik hoe organisaties ervoor staan op dat gebied? Dan moet u zeker even de uitkomsten van de jaarlijkse Nationale IT-Security
2
Monitor bekijken. Ook Achmea laat haar licht schijnen op de IT-security uitdagingen binnen grote organisaties. Zouden hackers een hele andere kijk op de zaak hebben? U leest het in het rondetafelgesprek met zeven ervaren ethische hackers van Sogeti. Verder heb ik voor u alle wereldwijde en Nederlandse security normeringen op een rij gezet, de overlap eruit gehaald en daarmee de tien belangrijkste punten in beeld gebracht voor de ontwikkeling van veilige software. Wellicht handig om die punten bij uw software-ontwikkelaars aan de muur te hangen. En wilt u weten welk security gereedschap u voor welk doel het beste kunt gebruiken? Ga dan snel naar pagina 22. Kortom, veel leesplezier! Marinus Kuivenhoven Senior Specialist Informatiebeveiliging Sogeti
INFOSECURITY MAGAZINE - JULI 2015
3
INHOUD
Meest opvallende cijfers Nationale ITSecurity Monitor 2015 6 De tweede editie van de Nationale IT Security Monitor is een feit. Op initiatief van Infosecurity Magazine voert Pb7 Research een jaarlijks terugkerend onderzoek uit onder bedrijven met minimaal 50 medewerkers (N=225) om in kaart te brengen hoe Nederlandse organisaties omgaan met IT-beveiliging.
Dé cloud bestaat niet.
Ethisch hacken? Ethische security!
10 Ethisch hacken is in de mode, maar sommige beoefenaars hebben een hekel aan de toevoeging ‘ethisch’. Niet omdat ze blackhat zijn, maar omdat ethiek eigenlijk normaal moet zijn. Ook voor kwetsbare organisaties die soms te weinig doen aan security. “Je noemt een dokter toch ook geen ethische dokter”, zeggen de hackers bijna in koor. TOP 10 aanbevelingen voor software-ontwikkelaars 16 Kwaliteit, betrouwbaarheid, gebruiksgemak, functionaliteit en mobiel toegankelijk. Om maar een aantal zaken te noemen waar goede software aan moet voldoen. Maar hoe zorg je voor de veiligheid van software? Security-experts moeten het cloudjesvolk dienen 20 De belangrijkste vraag rondom security is en blijft ‘wat zijn we nou eigenlijk aan het securen?’ Zeker als we ons realiseren dat de meeste medewerkers virtueel allang het bedrijfspand hebben verlaten. Verrassende opinie van Menno van Doorn. Het schaap met de vijf poten 22 Het aanbod van security tools om geautomatiseerd zwakheden in software te vinden, is groot. Welke tool heeft welke eigenschappen? Een overzicht.
Hoe ziet een modern IT-landschap eruit? Met welke inrichting krijgt uw organisatie meer snelheid en flexibiliteit tegen zo laag mogelijke kosten? En via welke route bereikt u dat? Bezorg uzelf rust en ruimte. Begin bij Sogeti. Wij helpen u met concrete cloudoplossingen. Van een stapsgewijze aanpak tot de meest vergaande cloud-only strategie.
In alle gevallen hebben we het dan over úw cloud. Want dé cloud bestaat niet. Door onze no-nonsense aanpak genieten wij al jaren het vertrouwen van top 500 organisaties binnen de overheid en het bedrijfsleven, waaronder PostNL. Verbreed uw horizon. Kijk op www.sogeti.nl/cloudcases en ontdek dat dé cloud niet bestaat.
Staying ahead in the Cyber Security Game 26 ‘Het is een spel’. Dit is een veelgehoorde uitspraak in de gesprekken die ik had voorafgaand aan de ontwikkeling van ons boek. Een voortdurende strijd tussen aanvallers en verdedigers. ‘Kunnen we die strijd winnen?’ ‘Helaas niet', antwoordde menig Security Manager met een positieve kanttekening daarbij. ‘We kunnen de ander wel voor blijven. Dat is al een groot goed’. Zo werd de titel van het boek geboren: ‘Staying Ahead in the Cyber Security Game’. Lees waarom dit boek een aanrader is.
SECURITY IN ELKE PORIE VAN DE ORGANISATIE
8
Het is voor grote organisaties allang niet meer voldoende om hun eigen ICT-systemen te beveiligen. Sterker nog, beveiliging volledig integreren binnen de eigen IT-huishouding lijkt ook niet meer afdoende. Te vaak blijkt dat een bedrijf of overheidsinstelling op één punt goed is beveiligd, maar op andere punten tekort schiet. En daardoor grote risico’s loopt. Volgens Franck Greverie, wereldwijd verantwoordelijk voor Cybersecurity bij IT-dienstverlener Sogeti, is het daarom van cruciaal belang security integraal onderdeel te laten zijn van het gehele reilen en zeilen van een organisatie. Zowel binnenshuis als daarbuiten. In plaats van alleen beoordelen of een IT-systeem technisch al dan niet veilig is. Daarbij maakt het dus niet uit of het gaat om mensen, bedrijfsapplicaties, inzet van de cloud, het alles en iedereen aan het internet verbinden of zelfs industriële systemen.
‘PERSONEELSVERLOOP IS VRIJ HOOG’
14
Achmea wil de meest vertrouwde verzekeraar in Nederland zijn. Dat is een bedrijfsdoelstelling die Achmea een aantal jaren geleden heeft vastgesteld. Dat heeft direct gevolgen voor de betrouwbaarheid van de digitale systemen. Manager IT Security Henry Meutstege doet er alles aan veilige applicaties te leveren, maar merkt dat het moeilijk is goed personeel te vinden en te houden.
‘SECURITY-KENNIS GROOTSTE UITDAGING
IN KOMENDE TIEN JAAR’
18
Afgelopen decennium is ons IT-landschap drastisch veranderd. De complexiteit en afhankelijkheid van technologie is immers enorm en wordt alleen maar groter. Daar is iedereen het snel over eens. Maar als er een thema in veel opzichten aan verandering onderhevig is, dan is het wel de rol van informatiebeveiliging. Van een technisch naar een maatschappelijk thema. Van een gedelegeerd probleem naar een agendapunt in de bestuurskamer. De tijd van incidenteel management is voorbij. Wat hebben we van de afgelopen tien jaar geleerd? En wat zijn onze verwachtingen voor het komende decennium? We vragen het aan Rogier van Agt, leider van de security-divisie bij IT-dienstverlener Sogeti.
LOOPBAANONTWIKKELING IS EEN PROBLEEM
28
Het is misschien een wat treurige constatering, maar als CISO loop je constant achter de feiten aan. Voor een belangrijk deel is dat inherent aan IT-beveiliging. Hoe goed je de boel ook dichttimmert, er zitten altijd zwakke plekken in je beveiliging die je pas ontdekt als er iemand doorheen is gekomen. En dan wordt een deel van de aanvallen ook nog eens in een snel tempo geavanceerder.
maakt cloud concreet. 4
INFOSECURITY MAGAZINE - JULI 2015
5
ONDERZOEK
Preview:
MEEST OPVALLENDE
CIJFERS NATIONALE IT-SECURITY MONITOR 2015
De tweede editie van de Nationale ITSecurity Monitor is een feit. Op initiatief van Infosecurity Magazine voert Pb7 Research een jaarlijks terugkerend onderzoek uit onder bedrijven met minimaal 50 medewerkers (N=225) om in kaart te brengen hoe Nederlandse organisaties omgaan met IT-beveiliging. Het onderzoek wordt onafhankelijk opgezet en uitgevoerd en wordt gefinancierd met behulp van een aantal sponsors. 6
In plaats van in te gaan op het aantal incidenten, kijken we in de Monitor naar hoe IT-beveiliging georganiseerd wordt, hoe er wordt geïnvesteerd, hoe bedrijven omgaan met het veranderende dreigingsveld en welke uitdagingen ze daarbij tegenkomen. Ook gaan we ieder jaar in op een aantal specifieke thema’s. Dit jaar gaat het daarbij onder meer om training & ontwikkeling, cloud security, managed services en SIEM. In de komende
maanden wordt uitgebreid ingegaan op de uitkomsten en zult u steeds meer analyses van de verschillende onderwerpen voorbij zien komen. Bij deze bieden we u alvast een blik op een aantal van de meest opvallende cijfers. Peter Vermeulen is directeur van Pb7 Research
INFOSECURITY MAGAZINE - JULI 2015
7
VISIE
In gesprek met Franck Greverie, wereldwijd security topman bij Sogeti
SECURITY
IN ELKE PORIE VAN DE ORGANISATIE Het is voor grote organisaties allang niet meer voldoende om hun eigen ICT-systemen te beveiligen. Sterker nog, beveiliging volledig integreren binnen de eigen IT-huishouding lijkt ook niet meer afdoende. Te vaak blijkt dat een bedrijf of overheidsinstelling op één punt goed is beveiligd, maar op andere punten tekort schiet. En daardoor grote risico’s loopt.
Volgens Franck Greverie, wereldwijd verantwoordelijk voor Cybersecurity bij IT-dienstverlener Sogeti, is het daarom van cruciaal belang security integraal onderdeel te laten zijn van het gehele reilen en zeilen van een organisatie. Zowel binnenshuis als daarbuiten. In plaats van alleen beoordelen of een IT-systeem technisch al dan niet veilig is. Daarbij maakt het dus niet uit of het gaat om mensen, bedrijfsapplicaties, inzet van de cloud, het alles en iedereen aan het internet verbinden of zelfs industriële systemen. “De meeste organisaties hebben geen holistisch beeld van cybersecurity. Daarom zien we nog altijd zoveel cyberaanvallen.” Gezien zijn enorm rijke ervaring, mag het geen verrassing zijn dat brancheveteraan Greverie zich niet blindstaart op een beperkt aantal security-aspecten. In het verleden was de Fransman securityverantwoordelijke bij technologiegigant Thales. Als Vice President voor Thales Shield hield Greverie zich bezig met de beveiliging van onder meer luchthavens en de energie-infrastructuur. Later was hij eindverantwoordelijke voor de security-divisie van mainframe-leverancier Bull. Sinds vorig jaar is hij wereldwijd verantwoordelijk voor het bepalen en incorporeren van security-dienstverlening bij Sogeti. DRIE FAMILIES, VIJF PILAREN “Sogeti biedt intelligente diensten voor cybersecurity”, begint hij zijn verhaal. “We verkopen geen product maar helpen onze klanten zichzelf goed te organiseren, te beschermen en stellen hen in staat met succes te reageren op cyberaanvallen. Daarbij onderscheiden we drie dienstenfamilies: consulting, beschermingsdiensten en security monito-
8
Franck Greverie, Hoofd Cybersecurity bij IT-dienstverlener Sogeti
naar mobiel of de cloud. Om maar een paar voorbeelden te noemen.”
‘Omdat organisaties veelal geen holistisch beeld hebben van cybersecurity, helpt ons raamwerk om alle aspecten de revue te laten passeren’ ring. Daarvoor hebben we een raamwerk van type diensten ontwikkeld dat bestaat uit vijf pilaren: de veiligheid van datacenters, applicatiesecurity, endpoint security, dataveiligheid en identity access management voor veilig toegangsbeheer.” “Dus je hebt eigenlijk drie families maal vijf pilaren, waardoor we organisaties helpen op zo’n vijftien security-gebieden.” Maar hoe eenvoudig dat ook lijkt, het blijkt voor veel organisaties toch lastig hier adequaat mee om te gaan. Dat terwijl de wereldwijde cybercrime schade jaarlijks op een slordige half miljard dollar wordt geschat. Het kan soms een half jaar duren om een informatiesysteem opnieuw op te bouwen na een cyberaanval. “We zien helaas nog al teveel organisaties waarbij zo maar vijf van genoemde gebieden niet adequaat georganiseerd zijn”, verzucht hij. Hij snapt ook wel waarom. “Niet alle domeinen zijn even risicovol. Omdat organisaties veelal geen holistisch beeld hebben van cybersecurity helpt ons raamwerk om alle aspecten de revue te laten passeren. En daar gezamenlijk bepaalde prioriteiten aan te geven.” SECURITY ALS ONDERDEEL VAN DE TRANSFORMATIE Greverie adviseert grote organisaties dan ook bij ieder project een audit uit te voeren waarbij de beveiliging wordt doorgelicht. “Na zo’n audit is het zaak de applicaties te testen”, zegt hij. “Zelf hebben we een cloud-omgeving waarin dat gedaan kan worden. De volgende stap is om na te gaan of er een reactiesysteem op mogelijke aanvallen is ingericht. Dat ontbreekt in 95 procent van de gevallen. En als laatste is het zaak om goed voor ‘bevoorrechte’ gebruikers te zorgen,
zoals systeem- en netwerkbeheerders. Zij moeten de omgeving veilig kunnen houden en daar de juiste toegang voor hebben.” Met die filosofie in het achterhoofd heeft Capgemini in samenwerking met Sogeti eerder dit jaar een Global Service Line Cybersecurity opgestart, onder leiding van Frank Greverie. Die bestaat uit meer dan 2.500 security experts waaronder onderzoekers, auditors, consultants, ICT-architecten en ethisch hackers. Het idee van dit initiatief is om security deel uit te laten maken van transformatieprojecten binnen organisaties, zo legt Greverie uit. “Het is een uitstekende gelegenheid voor een groot bedrijf om zijn ICT-systemen te renoveren of op te waarderen”, zegt hij. “We werken nauw samen met het team dat de transformatie bij de klant uitvoert. Dan maakt het in wezen niet uit wat voor soort project het is. Dat kan de uitrol zijn van verschillende applicaties, een big data project, de transformatie
DE ICT VOORBIJ Maar zelfs dat is voor Greverie niet compleet genoeg. “In een wereld waarin de informatiesystemen en fabriekssystemen ook steeds meer samenkomen, is veiligheid ook van cruciaal belang. Of anders gezegd, IT (Informatietechnologie) en OT (Operationele Technologie) convergeren. Afgelopen jaar hebben wij het bedrijf Euriware overgenomen. Een organisatie die de beveiliging verzorgt voor Areva; de grootste producent ter wereld van nucleaire reactoren en hernieuwbare energie. Ook onze HighTech divisie die organisaties helpt bij de ontwikkeling van Internet-of-Things producten heeft een speciaal security team. Op het moment dat steeds meer dingen en mensen aan het internet hangen, wordt veiligheid nog belangrijker. Sogeti is klaar voor deze ontwikkelingen. We hebben extreem veel knowhow in huis.” Het is uiteindelijk zaak om je niet blind te staren op de technologie, zo vindt Greverie. “Natuurlijk hebben wij een goed netwerk met uitstekende leveranciers”, zegt hij. “Maar voor elke technologie kies ikzelf altijd twee leveranciers die niet alleen voldoen op het gebied van functionaliteit, maar ook op de kennis en kunde deze goed uit te rollen. Er zijn veel goede producten op de markt, maar uiteindelijk gaat het om de uitkomst van het geheel.” Michiel van Blommestein is freelance journalist
‘In een wereld waarin informatiesystemen en fabriekssystemen steeds meer samenkomen, is veiligheid van cruciaal belang’
INFOSECURITY MAGAZINE - JULI 2015
9
RONDETAFELGESPREK
Sogeti hackers vertellen over de valkuilen van de praktijk
ETHISCH HACKEN?
Michel van Veen: ‘Er zijn verschillende ethische stromingen’
ETHISCHE SECURITY! Ethisch hacken is in de mode, maar sommige beoefenaars hebben een hekel aan de toevoeging ‘ethisch’. Niet omdat ze blackhat zijn, maar omdat ethiek eigenlijk normaal moet zijn. Ook voor kwetsbare organisaties die soms te weinig doen aan security. “Je noemt een dokter toch ook geen ethische dokter”, zeggen de hackers bijna in koor.
10
Marinus Kuivenhoven: ‘We helpen steeds meer bedrijven met het maken van een security roadmap’ INFOSECURITY MAGAZINE - JULI 2015
11
RONDETAFELGESPREK “Ethiek kun je niet in één ding vangen”, zegt securitytester Arend Wolters tijdens een rondetafelgesprek over ethisch hacken. Hij en zijn collega-hackers bij IT-dienstverlener Sogeti bespreken het belang van ethiek plus de haken en ogen daaraan voor security. “Het gaat om hele grote dilemma’s”, knikt securityspecialist Rory Breuk. GROTE DILEMMA'S Cybersecurity specialist Michel van Veen vult aan: “Er zijn verschillende ethische stromingen.” Want wat is nou precies ethisch: het melden en stilhouden van een kwetsbaarheid of het openlijk onthullen van een lek? De felle discussie over respectievelijk non-disclosure en full disclosure loopt al jaren, met nog tussenvormen zoals responsible disclosure en coordinated disclosure. “Full disclosure is niet ethisch”, reageert Jacco van Tuijl. Het volledig vrijgeven van een kwetsbaarheid compleet met details om er misbruik van te maken, kan niet door de beugel. De andere hackers val-
Tessa Smolenaars: ‘Het gaat steeds beter, ook al verschilt het nog erg per organisatie’
12
Jacco van Tuijl: ‘Full disclosure is niet ethisch’ len hem bij. Een aanpak met een timer voor de disclosure, zoals Google hanteert, kan beter zijn. “Responsible disclosure is wel een stok achter de deur”, erkent Breuk. Hij zet dit dilemma verder uiteen met de hamvraag: hoe lang wacht je voordat je tot onthulling overgaat? TIJD VERSUS IMPACT De timing van onthulling na een paar dagen kan namelijk conflicteren met de complexiteit van een fix en de benodigde tijd voor het uitrollen daarvan. “Hoe lang is er nodig?”, vraagt Breuk. Securitytester Guus Siebers draagt aan om het aan de organisatie zelf te vragen, wat hun inschatting is. “Maar soms kun je niet updaten”, weet Van Tuijl. Het dichten van een lek kan bijvoorbeeld technisch niet mogelijk zijn of heeft teveel ‘bijwerkingen’. “Soms wordt een oplossing overruled, bijvoorbeeld omdat het teveel business impact heeft”, weet Siebers uit ervaring. Belangrijk is ook een afweging over de kwetsbaarheid zelf, voegt Breuk weer toe. “Wat is het: een klantenbestand of een DoS?” Kunnen gevoelige gegevens op straat komen te liggen of loopt een organisatie ‘slechts’ het risico van een DoS-aanval (denial of service)? Het beste zou zijn om samen met de getroffen leverancier of gebruikende organisatie een kwetsbaarheid in stilte te fixen, opperen de securityspecialisten van Sogeti. “En het moet ook via een betrouwbaar kanaal gaan”, concludeert Wolters.
OBSTAKELS IN DE PRAKTIJK Helaas is de realiteit anders. Enerzijds omdat de factor tijd niet alleen wordt bepaald door de ontdekkers en de fixers van kwetsbaarheden. Als wij iets kunnen vinden, kan een ander dat ook, legt de groep ethische hackers uit. Die ander
Rory Breuk: ‘Het gaat om hele grote dilemma’s’ kan dan criminele bedoelingen hebben. Anderzijds is er nog de complicerende factor van de getroffen leverancier of gebruikende partij. Soms kan of wil die een kwetsbaarheid niet oplossen. Bijvoorbeeld vanwege te hoog geachte kosten voor het fixen. “Ik heb dat wel vaker gehoord”, vertelt Van Tuijl. Hij heeft lang geleden een kwetsbaarheid bij gemeenten gevonden waardoor hij toegang kon hebben tot informatie over alle uitkeringen. Na netjes melding te hebben gedaan, kreeg hij een verrassende reactie: ‘Het fixen hiervan kost tien euro per inwoner, dat gaan we niet doen’. De ethische hacker verbaasde zich over het gebrek aan ver-
antwoordelijkheidsgevoel van de kwetsbare instantie. Want wat kost de eventuele schade die burgers lijden wel niet? En is dit wel ethisch? MOEIZAAM MELDEN Zijn eigen ethiek heeft hem er nog wel toe aangezet om de gevonden kwetsbaarheid elders aan te kaarten. Maar waar dan? Waar kun je terecht? Het NCSC (Nationaal Cyber Security Center) en het centrale meldpunt daar bestonden toen nog niet, legt Van Tuijl uit. En bij GovCERT.nl kreeg hij nul op het rekest. De kleinschalige voorganger van het NCSC opereerde namelijk voor organisaties die lid waren en het lek bij gemeenten viel buiten die scope. In die tijd was het lastig om van hacken een fulltime baan te maken, geeft de security-expert van Sogeti aan. Dat is na 2011 wel veranderd. Mede door de beruchte Lektober-actie waarbij elke dag in oktober een beveiligingsgat of privacylek is onthuld. Tegenwoordig valt er een goede boterham te verdienen met ethisch hacken, zegt Van Tuijl. “Ik kan nu volledig met security bezig zijn.” ALIAS UIT BITTERE NOODZAAK Naast hacken binnen het werkgebied van Sogeti en haar klanten, zoekt hij ook el-
ders naar kwetsbaarheden. Om die dan netjes te melden. Vanuit een drijfveer om de wereld veiliger te maken. “Dat doe ik niet uit eigen naam”, geeft Van Tuijl aan. Het vinden van een kwetsbaarheid kan al strafbaar zijn, of in ieder geval vervolgbaar. Bovendien kun je een kwetsbaarheid al toevallig tegenkomen bij normaal gebruik, legt hij uit. Van Tuijl heeft ooit melding gedaan van een groot beveiligingsgat en kreeg van de betrokken minister de boodschap dat hackers niet vervolgd worden als ze er geen gewin bij hebben. “Dus gebruik ik een alias.” Dit om buiten schot te blijven wanneer een organisatie of aanklager toch meent dat er sprake is van gewin, of van schade die op iemand verhaald moet worden. Het is dus zaak om een betrouwbare tussenpartij te hebben. ORGANISATIES DOEN HET STEEDS BETER Op de vraag hoe bedrijven en overheden vandaag de dag met hun digitale veiligheid omgaan, zijn de hackers het snel eens over het antwoord. “Het gaat steeds beter, ook al verschilt het nog erg per organisatie. Bij het ene bedrijf moet de security-mindset nog veel groter worden”, vertelt Tessa Smolenaars. Bij andere organisaties is het bewustzijn groot, maar
Guus Siebers: ‘Soms wordt een oplossing overruled, bijvoorbeeld omdat het teveel business impact heeft’
Arend Wolters: ‘Ethiek kun je niet in één ding vangen’ wordt er nog teveel op eilandjes gewerkt. “Zo leiden wij ontwikkelaars op om security te borgen in het ontwikkelproces”, vertelt Van Veen. “We helpen steeds meer bedrijven met het maken van een security roadmap”, voegt Kuivenhoven toe. En toch is er ook nog altijd sprake van een bepaalde mate van naïviteit, vindt Van Tuijl. Zo zijn er nog genoeg ontwikkelaars die denken dat bijvoorbeeld een Internet-of-Things oplossing in een gesloten netwerk ontwikkeld kan worden. Dat is een illusie. Overal zit al draadloze technologie”, aldus Van Tuijl. HEKEL AAN ‘ETHISCH’ HACKEN De ethische hackers aan tafel bij Sogeti zeggen tenslotte dat hacken nog te vaak verkeerd wordt gezien. Het is geen boosaardige of zelfs kwaadaardige activiteit. De toevoeging van het woord ‘ethisch’ aan wat hackers doen, is eigenlijk fout. Van Tuijl: “Dat komt door de media en films waarin de vreselijkste doemscenario’s voorbij komen. Noem dat andere gewoon ‘crimineel hacken’!” Zijn collega Breuk vat kort samen: “Ik heb een hekel aan ‘ethisch’ hacken.” Jasper Bakker, freelance journalist
INFOSECURITY MAGAZINE - JULI 2015
13
PRAKTIJK
‘PERSONEELSVERLOOP
IS VRIJ HOOG’
Achmea wil de meest vertrouwde verzekeraar in Nederland zijn. Dat is een bedrijfsdoelstelling die Achmea een aantal jaren geleden heeft vastgesteld. Dat heeft direct gevolgen voor de betrouwbaarheid van de digitale systemen. Manager IT Security Henry Meutstege doet er alles aan veilige applicaties te leveren, maar merkt dat het moeilijk is goed personeel te vinden en te houden.
HOE GROOT IS DE DRUK OM VEILIGE APPLICATIES TE LEVEREN? “Het vertrouwen in een verzekeraar hangt in belangrijke mate af van hoe wij in staat zijn onze klantgegevens af te schermen, transacties snel af te handelen en onze communicatie betrouwbaar en vlot te laten verlopen. Dat is lastig in een wereld die steeds digitaler wordt. Dat schept kansen, maar natuurlijk ook bedreigingen. Deze ontwikkelingen stellen hoge eisen aan de automatisering van ons bedrijf. Je moet niet vergeten dat het ‘aan de andere kant’ ook steeds professioneler is geworden. Het loont tegenwoordig veel meer om data te stelen dan een bank te beroven. We zijn in gevecht met
de georganiseerde misdaad, die tot ver over onze landsgrenzen heen reikt.” WELK PLAN MOET JE DAN TREKKEN? “Wij hebben contact gezocht met adviesbureau KPMG. Zij hebben het Security Maturity Framework ontwikkeld. Dat hebben we getoetst aan onze eigen organisatie. Eind 2013 hebben we een nulmeting gedaan. Toen bleek onze organisatie op niveau 2 te zitten. De schaal loopt van 0 tot 5. Op het hoogste niveau kun je spreken van een ‘resilient enterprise’. Twee keer per jaar bekijken we hoe we op de schaal scoren. Begin 2015 zaten we gemiddeld op niveau 3. Op sommige onderdelen zaten we daar net onder. Op
‘Het vertrouwen in een verzekeraar hangt in belangrijke mate af van hoe wij in staat zijn onze klantgegevens af te schermen’ 14
andere onderdelen daar net boven. De komende twee jaar willen we toegroeien naar schaalniveau 4+. Inmiddels hebben we flinke stappen gezet in die richting.” WAT DOET U NU ANDERS DAN VROEGER? “In het verleden is vrijwel alle aandacht gegaan naar het fortificeren van onze systemen. Met firewalls, antivirus software, DMZ en alles wat erbij hoort. Alles was gericht op preventie. Dat blijven we nog steeds doen, maar we hebben nu veel meer aandacht voor detectie en response. We willen inzicht hebben in het gedrag van onze systemen. En vervolgens weten hoe je moet handelen als zich iets voordoet waar dreigingen uit kunnen ontstaan. Dan hebben we het over intrusion detection, controle van gedrag van verkeer, en dergelijke. We monitoren voortdurend onze systemen. Dit betekent tegelijkertijd ook dat je moet oefenen. Zo stellen we draaiboeken op hoe je moet reageren op bepaalde situaties. Dit moet je minutieus uitschrijven: wie doet wat, wanneer, en met wie? Vervolgens proberen we dat uit. Net zoals je ook ontruimingsoefeningen doet in het kantoor.” BEVEILIGING IS NIET ALLEEN GERICHT OP DE INFRASTRUCTUUR. WAT DOET U OP HET GEBIED VAN APPLICATIES? “Dat begint eigenlijk allereerst met het bevorderen van ons beveiligingsbewustzijn in alle lagen van ons bedrijf. Ik moet zeggen dat onze medewerkers de laatste twee jaar veel bewuster omgaan met het belang van veiligheid. Niet in het minst door alle problemen die in de openbaarheid zijn gekomen. En er is scherpe aandacht voor de intrinsieke beveiliging van applicaties. We doen penetratietesten op alle applicaties: mobiel, web, bedrijfsap-
plicaties; alles gaat door de handen van onze testers. Helaas is het verloop onder beveiligingsdeskundigen vrij hoog. Wij doen ons best een interessante werkgever te zijn om personeel aan te trekken en te behouden. Onze IT-security specialisten zijn gevestigd op ons kantoor in het oosten van het land. Daarmee hebben we gelukkig wat minder concurrentie met andere bedrijven zoals in de Randstad. Toch heeft het binden en boeien van security experts onze volle aandacht. Zo hebben we vorig jaar een aantal HBO IT-security schoolverlaters aangenomen. Ik merk dat zij het prettig vinden bij ons te werken. Tegelijkertijd brengt zo’n groep jonge mensen nieuw elan op de afdeling. Dat is leuk om te zien.” REDT U HET ZO BINNEN DE EIGEN ORGANISATIE? “Nee; we moeten ook een beroep doen op IT-dienstverleners. Voor het testen van applicaties hebben we Sogeti ingeschakeld. Er is echt specialistische kennis nodig voor pentesting. Bovendien heb je vaak speciale apparatuur nodig. Zij beschikken over die specifieke vaardigheden en de apparatuur. Bovendien passen ze in ons team en dragen al doende kennis over aan onze eigen medewerkers.” WORDT UW AFDELING SERIEUS GENOMEN? “Uitermate serieus. Gelukkig wel. Dat is uiteraard ook gerelateerd aan onze bedrijfsstrategie van meest vertrouwde verzekeraar. We hebben een programma opgesteld om alle applicaties door de mangel te halen. Zo hebben we Sogeti ingeschakeld om alle websites te testen op veiligheid. Als een site niet voldoet op dit punt, dan hebben wij de bevoegdheid om hem onmiddellijk te sluiten. We willen de risico’s op onze websites zoveel mogelijk beperken. De site mag pas weer de lucht in als alles in orde is.” WAT STAAT ER NOG OP UW TO-DO LIJST? “Op hoofdlijnen werken we nu aan drie zaken. We hebben een SIEM-tool aangeschaft (Security Information and Event Management) dat inzicht geeft in de gebeurtenissen binnen onze systemen. Daarmee kunnen we ook goede analyses maken. Wij breiden het werkterrein van deze tool steeds verder uit. Verder werken we waar nodig vaker met versleuteld
Manager IT Security Henry Meutstege
verkeer. Dat betekent dat je het beheer van certificaten goed op orde moet hebben. En verder voeren we sterke authenticatie op de werkplekken in. Zo zetten we naast gebruikersnaam en wachtwoord een token in waarop een certificaat staat
om in te loggen op pc en/of laptop. Verder is het heel belangrijk bewust te zijn van het feit dat security geen project maar een proces is!” Teus Molenaar is journalist
‘We hebben nu veel meer aandacht voor detectie en response’ INFOSECURITY MAGAZINE - JULI 2015
15
TOP 10 aanbevelingen voor software-ontwikkelaars Kwaliteit, betrouwbaarheid, gebruiksgemak, functionaliteit en mobiel toegankelijk. Om maar een aantal zaken te noemen waar goede software aan moet voldoen. Maar hoe zorg je voor de veiligheid van software? Er bestaan verschillende lijsten en normeringen voor de ontwikkeling van veilige software. Senior security-expert Marinus Kuivenhoven van Sogeti heeft alle normeringen op een rij gezet. De tien belangrijkste punten uit deze lijsten geselecteerd en eenduidig beschreven.
5
6
Scheiden van data en logica
Zorg bij het aanspreken van een verwerkende eenheid (zoals database) voor onderscheid tussen data en logica. Lever data gescheiden aan of sla de data plat zodat de gegevens geen logica kunnen bevatten. Zwakheden als SQL-injection, cross-site scripting en XML entityaanvallen worden hiermee voorkomen.
Functiescheiding in functionaliteiten en systemen
7
Voeg een transactietoken toe aan requests die wijzigingen aanbrengen in het systeem. Hiermee voorkom je herhaling van acties of een CSRF-aanval.
Geen enkele gebruiker mag over het gehele proces van begin tot eind controle hebben. Implementeer daarom functiescheiding in functionaliteiten en systemen. Dat zorgt ook voor minimale hoeveelheid autorisaties voor de eindgebruiker.
8
1
2
3
4
5
6
7
8
9
Voorkom CSRF-aanvallen
Signaleringsfuncties inrichten Stel in de applicaties vast welke transacties onweerlegbaar gelogd moeten worden. Richt de signaleringsfuncties (registratie en detectie) actief en beveiligd in. Maak daarbij gebruik van centrale loggingfaciliteiten. De trace en versleutelde loggevens altijd buiten de applicatie opslaan.
10
Deze top 10 is geselecteerd op basis van de meest vooraanstaande normeringen van o.a. de Nederlandse overheid (SSD), het Nationaal Cyber Security Center (NCSC), Amerikaanse overheid (NIST) en de internationale security federatie (SANS).
1 Minimale rule-based functionaliteit
Maak gebruik van een bedrijfsbrede authenticatie en autorisatievoorziening. Dit voorkomt meerdere implementaties. En helpt bij toegangsbeheer. Laat IAM oplossingen ‘functiecreep’ beperken. Biedt daarom minimale rule-based functionaliteit aan.
Marinus Kuivenhoven van Sogeti 10Door • SECURITY Illustratie van Ivo van IJzendoorn (Axioma)
18
2 Geen overbodige informatie Stuur alleen informatie aan die functioneel nodig is voor gebruik. Overige informatie zoals technische foutmeldingen, type en versie of debug informatie geeft onnodig veel prijs.
3 ‘Client-side-security’ bestaat niet Vertrouw alleen gegevens die de applicatie zelf valideert of verifieert. Dus garantie geven op de integriteit van gegevens is niet mogelijk.
4
Instellingen aanpassen
Activeer alleen functioneel noodzakelijke protocollen, services, content en accounts. Deze instellingen moeten ook gaandeweg bijgewerkt worden in nieuwbouwtemplates.
9
Gebruiker pro-actief beschermen
Definieer standaard de http headers op de veiligste settings. Met de toevoeging van security flags en paden aan cookies, content-type, CORS en HTST-headers en het toepassen van de Content Security Policy wordt de gebruiker proactief beschermd.
10
Versleutel gegevens
Versleutel gegevens tijdens verwerking, verzending en opslag op basis van de content en de context tegenover de BIV classificatie.
INFOSECURITY MAGAZINE - JULI 2015
19
VISIE
In gesprek met Rogier van Agt
analist die in een vast team van een Security Operating Centre (SOC) werkt, perspectief op groei geven? Er is tenslotte maar een SOC-manager en een omgeving waar hij afgelopen twee jaar heeft gemonitord. Met deze security analisten ga je bekijken hoe en waar verandering van omgeving mogelijk is. Weg van het vaste ‘eiland’. Daarmee bied je de analist een nieuwe uitdaging, maar wel in een vertrouwde omgeving. En de organisatie is verzekerd van behoud van kennis en continuïteit plus binding met de medewerker. Ontwikkeling van deze ‘binden & boeien aanpak’ kan heel goed samen met je leverancier.
‘SECURITY-KENNIS GROOTSTE UITDAGING IN KOMENDE TIEN JAAR’
Afgelopen decennium is ons IT-landschap drastisch veranderd. De complexiteit en afhankelijkheid van technologie is immers enorm en wordt alleen maar groter. Daar is iedereen het snel over eens. Maar als er een thema in veel opzichten aan verandering onderhevig is, dan is het wel de rol van informatiebeveiliging. Van een technisch naar een maatschappelijk thema. Van een gedelegeerd probleem naar een agendapunt in de bestuurskamer. De tijd van incidenteel management is voorbij. Wat hebben we van de afgelopen tien jaar geleerd? En wat zijn onze verwachtingen voor het komende decennium? We vragen het aan Rogier van Agt, bij ICT-dienstverlener Sogeti verantwoordelijk voor security. “Security-kennis op peil houden is voor de meeste Chief Information Security Officers (CISO’s) de grootste uitdaging”, zegt Van Agt. Hij vertelt hoe deze uitdaging aan te gaan. WAT HEBBEN WE GELEERD VAN DE AFGELOPEN TIEN JAAR? We kunnen enorm veel lessen trekken als we terugkijken. Zo weten we inmiddels dat voorkomen beter is dan genezen. Iedere organisatie is zich bewust van de noodzaak voor preventief securitybeleid en beleid dat erop gericht is adequaat te handelen tijdens en na security-aanvallen. De belangrijkste les is wel dat we gelijk bij de start van het ontwerp en de ontwikkeling van IT-systemen security-eisen meenemen. Voorheen werden veiligheidsmaatregelen achteraf genomen. Daarmee ben je per definitie te laat. En krijg je met extra maatregelen te maken. Met het inbedden van securitymaatregelen in het initiële proces, kun je veel gedoe, tijd en kosten besparen. 18
HOE ORGANISEER JE ‘SECURITYBY-DESIGN’? Uiteraard begint het bij de erkenning dat het nodig is security-eisen mee te nemen bij de start van een project. Dan is het een kwestie van doen. De eerste stap daarbij is het vaststellen van security-eisen naast de benodigde functionele requirements. Beide requirements samen laten komen, gaat voor het echte succes zorgen. Functionele systeemeisen die tegelijkertijd ook veilig zijn. WAT IS VOLGENS JOU DE GROOTSTE SECURITY-UITDAGING VOOR KOMEND DECENNIUM? Kennis op peil houden. We hebben nog een achterstand in te halen op de slimmigheid van aanvallers. Je zou het een beetje kunnen vergelijken met de ontwikkeling van autodiefstal. Jaren terug waren dieven de autofabrikanten veel te slim af met hun handige manieren om snel en effectief in te breken. Auto-inbraken aan de lopende band waren het gevolg. Inmiddels is het aantal inbraken en autodiefstallen aanzienlijk verminderd omdat de fabrikanten een goede inhaalslag hebben gemaakt.
HOE ZORG JE ERVOOR, DAT SECURITY-KENNIS OP PEIL BLIJFT TERWIJL HACKERS STEEDS SLIMMER WORDEN? Haal ethische hackers in huis. Zij kijken op een andere manier naar de wereld en in het bijzonder naar informatiesystemen en processen. Met een gecontroleerde inzet van deze kennis en ervaring, toets je voortdurend of genomen maatregelen effectief zijn. En uiteraard waar verbetering nodig is. De aanval is toch uiteindelijk de beste verdediging. We weten dat het niet de vraag is of je gehackt wordt, maar wanneer dat gaat gebeuren. Dat betekent dat je ervan uit moet gaan, dat het fout gaat. Dat dwingt je om van tevoren alle mogelijke scenario’s tegen het licht te houden. Een goede voorbereiding is het halve werk. Door op voorhand maatregelen te treffen, kun je je volledig richten op de oplossing op het moment dat een aanval zich voordoet. IS MET HET IN HUIS HALEN VAN HACKERS SECURITY-KENNIS GEWAARBORGD? Nee, zeker niet. Het is slechts een voorbeeld van benodigde maatregelen. Een ander belangrijk aandachtspunt is het bewustzijn van medewerkers. Het staat als een paal boven water dat de mens nog altijd de zwakste schakel is in het proces. Dan is het zaak dat je medewerkers meeneemt in het bewustwordingsproces. Niet door een willekeurige training. Dat gaat geen verschil maken. Om een gedragsverandering te laten slagen, moet je een handeling zeker dertig keer hebben gedaan. Zorg dat je dat beloont, in plaats van te straffen. Een blijvende gedragsverandering realiseer je door goed gedrag op een ludieke manier kort cyclisch te tonen en te belonen.
Rogier van Agt
HOE BLIJFT HET KENNISNIVEAU VAN SECURITYSPECIALISTEN OP PEIL? Een van de grootste uitdagingen van morgen, is het behoud van goed opgeleid personeel. Op dat vlak is er ook veel veranderd. Ook al bestaat IT-security al jarenlang, de functie heeft nog niet zo lang geleden een vaste plaats in de organisatie gekregen. Dat betekent dat er nog weinig wordt gedaan aan loopbaan-
ontwikkeling voor securityspecialisten. Uiteraard is dat in eerste instantie een verantwoordelijkheid van zowel de specialist als zijn of haar werkgever. Echter, daarin kan de leverancier ook een belangrijke rol spelen. In zo’n situatie is er geen sprake meer van een klant-leverancier relatie maar een gedegen partnerrelatie. Zo werken wij samen met de klant om kennis en personeel uit te wisselen. Hoe kun je bijvoorbeeld een security
‘Om gedragsverandering te laten slagen, moet je een handeling zeker dertig keer hebben gedaan’
HEB JE DAN ALLE MAATREGELEN GETROFFEN OM SECURITYKENNIS OP PEIL TE HOUDEN? Je zult ook moeten blijven monitoren. Meten is weten. Dat is ook van toepassing op security. IT-systemen actief en voortdurend monitoren, betekent continu inzicht in wat er precies gebeurt. Die data omzetten in kennis en intelligentie helpt bij het nog beter anticiperen op afwijkend gedrag. Inzet van goede monitoringtechnologie maar ook de inzichten van ervaringsdeskundigen zoals security-analisten en (ethische) hackers zijn daarbij onontbeerlijk. En natuurlijk is het daarbij belangrijk dat je leert van het verleden. Nog altijd zijn de meest succesvolle organisaties die bedrijven en instellingen die zich voortdurend weten aan te passen. Ook als straks alles aan het internet hangt. Bij de ontwikkeling van Internet-of-Things is security-by-design een absolute must. HOE HOUDT TENSLOTTE DE CISO ZIJN EIGEN KENNIS OP PEIL OVER DE DIVERSITEIT AAN SECURITY-TOOLING? Het is van belang dat organisaties weten waar naartoe ontwikkeld wordt. De bekende stip op de horizon. Of anders gezegd ‘Think big, start small’. Op deze manier kan de CISO een gedegen afweging maken welke technologie daar het beste bij past. De geselecteerde technologie kan voortdurend getoetst worden aan gekozen strategie. Dat is niet altijd even makkelijk met de wildgroei aan technologie. Bepaal dan ook of je die kennis zelf op peil wilt houden, of dat je daarbij een beroep doet op onafhankelijke kennis van IT-dienstverleners.
INFOSECURITY MAGAZINE - JULI 2015
19
OPINIE
SECURITY-EXPERTS
MOETEN HET CLOUDJESVOLK DIENEN
De belangrijkste vraag rondom security is en blijft ‘wat zijn we nou eigenlijk aan het securen’? Het logische antwoord luidt: bedrijfsgeheimen, de dagelijkse operaties en administraties van onze organisaties. In mijn ogen zaken die nauwelijks de moeite waard zijn om te beschermen. De uiterste houdbaarheidsdatum van de meeste traditionele organisaties is namelijk al lang gepasseerd. Flexibele netwerkorganisaties zijn de toekomst. Medewerkers hebben het pand virtueel overigens al lang verlaten.
foto: Denys Prykhodov - www.shutterstock.com
Iedereen Whatsappt zich het ongans, en samenwerken doet de nieuwe generatie professionals tegenwoordig het liefst in ‘Slack’. Dat is San Francisco’s nieuwe so-
20
cial business trots. In een paar tellen ben je je eigen baas en run je de tent voor een appel en een ei. Allemaal op supergoede systemen die gebouwd zijn op het
DNA van de genetwerkte samenleving. Zo wordt het klootjesvolk het cloudjesvolk. Tegelijkertijd doet de security-expert alsof zijn neus bloed. De vraag is of deze wise-guy zo wijs is. Met ge- en verboden, strakke procedures en regeltjes proberen de veiligheidsofficieren de boel dicht te timmeren. Je vraagt je af hoe dat komt. Daar is een logisch antwoord op te geven. Fraai verwoordt door Melvin Conway. Van ‘Conway’s Law’ leren we dat organisaties systemen bouwen die exacte kopieën zijn van hun eigen structuren. Als de structuur van een bedrijf hiërarchisch is, lossen we het probleem ook hiërarchisch op. Met van bovenaf opgelegde oekazes. Deze organisatietragiek noemt antropoloog David Graeber ‘total bureaucratization’. Na te lezen in zijn nieuwste boek ‘The Utopia of rules: on technology, stupidity and the secret joys of bureaucracy’. Dat ‘secret joys’ verraadt het al. Het lijkt erop, dat mensen er plezier aan beleven. Wie weet zal dat ook zo zijn. Inmiddels hebben de bureaucraten de overhand. Zo zien we waterhoofdorganisaties verder groeien. Meer dan de helft van tijd en geld zit in het controleapparaat. Dat is niet alleen van toepassing op overheidsinstellingen en het onderwijs. De totale bureaucratisering beslaat ziekenhuizen, banken en zelfs industriële ondernemingen. Kortom, organisaties in elke sector. ‘DO I HAVE AN ASSISTANT’? Blijft de vraag wat zijn we dus nou eigenlijk aan het beveiligen? Misschien onze eigen banen? Ietsje pijnlijker nog dan in zijn boek, beschrijft Graeber de huidige situatie in zijn essay ‘On the phenomenon of bullshit jobs’. Graeber is een anarchist. Die inschatting had u wellicht al gemaakt.
Hij is een van de belangrijkste figuren uit de occupy-beweging. Zijn recalcitrante gedrag heeft hem zijn baan gekost aan het prestigieuze Yale. Inmiddels heeft hij zich weer opgewerkt tot professor aan de London School of Economics. Ik heb uren achter hem aangezeten voor zijn speech op ons VINT symposium ‘Computers say no’. Gemaild, gebeld en geslijmd. Zelfs bij hem op de stoep gestaan, een selfie genomen en getwittert naar deze actieve twitteraar. Het enige dat ik ooit van hem te horen kreeg, was een mail van 1 regel lang die hij zaterdagnacht om 02:30 uur verstuurde. ‘Do I have an assistant’? was de tekst in die ene regel. Het was zijn antwoord op mijn laatste poging: ‘Als u het te druk heeft, kan ik dan een afspraak van 5 minuten met u regelen via uw assistent’? Anarchisten hebben geen assistenten weet ik inmiddels. Terug naar het al dan niet veiligstellen van die bullshit jobs. Een goed voorbeeld is de baan van de bedrijfsjurist. Volgens Graeber zal elke bedrijfsjurist dat direct beamen. Die juristen hebben het maar al te druk met onzin. Daarom komen ze niet meer toe aan alledaagse dingen als het uitlaten van hun hond. De hondenuitlaatdiensten zijn dus een afgeleide en behoren volgens de anarchist ook tot de categorie bullshit-banen. Zowel bedrijfsjuristen als de security-officers inspireren de klerken daaronder om hun goede werk te doen volgens de door hen opgelegde structuren. We zijn weer terug waar we waren. OUT-OF-THE-BOX OPLOSSING Zoals altijd geeft een out-of-the-box oplossing redding en verlichting. Verander simpelweg de hele organisatie in een bedrijf dat wel het beveiligen waard is. Een netwerkorganisatie dus. De taak van de security-officer is om u te gidsen en te begeleiden in uw data-integriteit. Vertellen wat helpt en waar u op moet letten. Een vriendelijke meneer of mevrouw (het wordt waarschijnlijk een intelligente machine) die u voor uw grootste stommiteiten behoedt. Dat maakt de organisatie niet alleen productiever, maar ook een stuk leuker om voor te werken. De tweede stap is om de organisatie op de blockchain te krijgen. Onlangs mocht ik dat komen uitleggen bij De Nederlandse Bank. Er zaten veel slachtoffers van
Menno van Doorn
Conway in de zaal. De Hoofd risk-management zei dat er meer geïnnoveerd moet worden. Dat geeft hoop. By the way, de blockchain is een netwerkorganisatie pur sang. Met een gedecentraliseerde public key infrastructuur waar transparantie de norm is. Dat wordt ook wel de nieuwe manier van vertrouwen organiseren genoemd. Het volk is de eigenaar van het netwerk en rekent mee of het allemaal
klopt. Als 51% van de aangesloten computers akkoord is, is de transactie een feit. Zo kijkt er constant een notaris mee. Verlos u van Conway. Bouw een organisatie die het securen waard is. Menno van Doorn Directeur Verkenningsinstituut Technologie (VINT) van Sogeti
Nieuwe
'Met ge- en verboden, strakke procedures en regeltjes proberen de veiligheidsofficieren de boel dicht te timmeren' INFOSECURITY MAGAZINE - JULI 2015
21
SECURITY
Overzicht van security tools met de meest gevraagde eigenschappen
HET SCHAAP MET DE VIJF POTEN
Het aanbod van security tools om geautomatiseerd zwakheden in software te vinden, is groot. Bovendien blijkt uit onderzoek dat er geen tool te vinden is die in staat is alle kwetsbaarheden bloot te leggen. Zelfs niet als je alle beschikbare tools los zou laten op een applicatie en de uitkomsten combineert. Dan komen niet meer dan de helft van alle kwetsbaarheden boven tafel. Dat is logisch. Security scans herkennen nu eenmaal alleen contentpatronen van reeds bekende zwakheden. Bovendien is dit geautomatiseerde gereedschap niet bekend met de business logica. Ook de intelligentie voor de juiste context ontbreekt. Toch zijn geautomatiseerde scans niet meer weg te denken in onze IT-security omgeving. Sterker nog, veel organisaties zetten in op meer automatisering om eenvoudige kwetsbaarheden snel en makkelijk te detecteren. En daarmee ontwikkelprocessen met een hoge release cycle, zoals DevOps, ook te ondersteunen. Kortom, hoog tijd voor een overzicht van de meest gevraagde eigenschappen van security scanners. En antwoord op de vraag welke tools daar het beste op aansluiten. Zeven eigenschappen op een rij:
22
INFOSECURITY MAGAZINE - JULI 2015
23
SECURITY
1
PROTOCOL SUPPORT De meeste scanners richten zich op het webverkeer. Tegelijkertijd zijn informatiesystemen ook in staat informatie te ontsluiten via andere protocollen. Daarom zijn er scanners die ook een inkijk geven op de netwerklaag. Bijvoorbeeld Nessus van Tenable en Nexpose van AppSpider. Deze security scanners kunnen ook hardingsfouten vinden.
'Nexpose en HP WebInspect beschikken over de meest uitgebreide rapportagemogelijkheden'
2
AUTHENTICATIE Een deel van de zwakheden is alleen te vinden als de tool zowel verticale (zelfde informatie, meer rechten) als horizontale (verschillende informatie met dezelfde rechten) escalaties vindt. Dat betekent dat de scan in staat moet zijn zich in verschillende rollen aan te melden. En de verschillen daarbij ook kan opsporen. De meeste tools nemen authenticatiestappen op. Deze worden daarna bij het testen afgespeeld. HP WebInspect en OWASP ZAP bieden daarnaast de beste mogelijkheden om de autorisatiezwakheden te vinden.
dan ook als beste uit de test voor handmatige controle.
4
RAPPORTAGE
3
HANDMATIGE CONTROLE Om false positives ofwel schijnresultaten te voorkomen, moet een tool in staat zijn bevindingen uit de geautomatiseerde test handmatig te verifiëren. Daarom moet de security scan de mogelijkheid bieden iedere stap van de test na te spelen. BurpSuite en OWASP ZAP zijn van oorsprong tools die ingezet worden bij handmatig testen. Deze beide tools komen
Verschillende specialisten en gebruikers doen een beroep op de uitkomsten van de security scan. Dat betekent dat de tool ook in staat moet zijn op verschillende wijzen inzicht te geven in de resultaten. Zo wil een technicus exact weten hoe de bevinding is geconstateerd, wat de bewijslast is en hoe de zwakheden opgelost kunnen worden. Tegelijkertijd willen interne klanten vanuit de business inzage hebben in de risico’s. Daarmee kan de impact op de business
'Veel organisaties zetten in op meer automatisering om eenvoudige kwetsbaarheden snel en makkelijk te detecteren' 24
worden bepaald. Iedere beschikbare tool kan een XML weergeven, zodat informatie kan worden omgezet naar een eigen template. Nexpose en HP WebInspect beschikken over de meest uitgebreide rapportagemogelijkheden.
5 CRAWLING
Een scanner kan alleen testen uitvoeren op plaatsen waarvan bekend is dat ze bestaan. Daarom beschikken security tools over verschillende manieren om alle mogelijke invoerspunten te vinden. OWASP ZAP en AppSpider maken allebei gebruik van dezelfde type engine. Beide tools zetten namelijk de browserengine in om dynamische links op die manier te vinden.
6
TESTCAPACITEITEN Uiteraard zijn alle security scanners bedoeld om op een geautomatiseerde manier zoveel mogelijk zwakheden te vinden. Uit onze test blijkt wel dat Arachni en HP
WebInspect in staat zijn de meeste kwetsbaarheden op te sporen met de minste false positives.
7
COMMAND & CONTROL Bij een dagelijkse scan van honderden applicaties, is het aan te raden een portaal in te zetten waarop scans worden ingepland. Daarop kunnen de uitkomsten van grote hoeveelheden scans ook overzichtelijk gepubliceerd worden. Als dit een belangrijk aanschafcriterium is, kies dan voor IBM AppScan of HP WebInspect. Beide security tools voorzien in een console die overzicht biedt over meerdere scans.
BRONNEN: AppScan - www.ibm.com AppSpider - www.rapid7.com Arachni - www.arachni-scanner.com BurpSuite - www.portswigger.net Nessus - www.tenable.com Nexpose - www.rapid7.com WebInspect - www.hp.com ZAP - www.owasp.org
ALGEMENE EIGENSCHAPPEN
ode beschikbaar is. Hou daar rekening mee tijdens de evaluatieperiode.
Wat voor elke investering geldt, is uiteraard ook van toepassing op de aanschaf van security tooling: algemene criteria voor het maken van een keuze. Ook deze zetten we nog even op een rij.
VOORAF AAN PITCH BEPALEN WELKE APPLICATIES GETOETST WORDEN Bepaal vooraf aan het testen van de geselecteerde security scanners welke applicaties ingezet worden. Het is het beste om applicaties mee te nemen die actief zijn in de dagelijkse operatie. Selecteer daarbij applicaties gebaseerd op meerdere technologie platformen. Als de organisatie veel Java en .Net applicaties heeft, neem deze dan mee in de pitch. En kies daarbij uiteenlopende type applicaties van de webwinkel tot de bedrijfsapplicatie voor declaraties.
AANSCHAFCRITERIA PRIORISEREN Stel vast wat de belangrijkste functies moeten zijn van de security scanners. Uiteraard zal dat voor meerdere personen anders zijn. Maak onderscheid in de ‘must-haves’ en ‘nice-to-haves’. ALLE KOSTEN MEENEMEN Natuurlijk zijn de kosten afhankelijk van de mate van gebruik en grootte van de organisatie. Neem in het kostenoverzicht alles mee. Aanschafprijs, kosten voor voortdurend onderhoud, aanvullende hardware kosten, trainingsmogelijkheden, de kwaliteit van de documentatie, gebruikersgemak, toegang tot een gebruikerscommunity, kosten voor regelmatige updates en licentiebeperkingen. WELKE SCAN OP DE SHORTLIST Zet alleen die security tools op de shortlist die uitblinken in de ‘must-haves’. Daarmee wordt veel tijd bespaard voor een gedegen evaluatie van alle security scanners. LAATSTE VERSIES OP SHORTLIST Het lijkt een open deur maar zorg ervoor, dat alleen de meest recente versies van de security scanners deel uitmaken van de shortlist. Leveranciers voorzien veelal in software die voor een beperkte peri-
GOEDE VOORBEREIDING VOOR HET SCANNEN VAN APPLICATIES De voorkeur gaat uit naar het scannen van applicaties die buiten een huidige productie-omgeving staan. Met name applicaties die nog niet eerder gescand zijn. Mocht je toch applicaties meenemen in een bestaande productie-omgeving, zorg dan voor goede back-ups van relevante databases. Ook is het zaak dat betrokken collega’s goed ingelicht zijn. RESULTATEN PUBLICEREN Zorg voor gedegen gedetailleerde opslag van de resultaten uit de scannerevaluatie op bestaande applicaties. Denk aan applicatieversienummers, web server types, database versies en besturingssystemen. De resultaten kunnen dan makkelijker her- of elders gebruikt worden. Marinus Kuivenhoven, Sogeti
INFOSECURITY MAGAZINE - JULI 2015
25
EBOOK
STAYING AHEAD IN THE CYBER SECURITY GAME
‘Het is een spel’. Dit is een veelgehoorde uitspraak in de gesprekken die ik had voorafgaand aan de ontwikkeling van ons boek. Een voortdurende strijd tussen aanvallers en verdedigers. De verdedigers schermen met één hand op de rug en soms geblinddoekt tegen een legertje tegenstanders die altijd met nieuwe manieren uit onverwachte hoek komen. ‘Kunnen we die strijd winnen’? was vervolgens mijn vraag.
‘Helaas niet’, antwoordde menig Security Manager met een positieve kanttekening daarbij. ‘We kunnen de ander wel voor blijven. Dat is al een groot goed’. Zo werd de titel van het boek geboren: ‘Staying Ahead in the Cyber Security Game’. Met het lezen van dit boek ben je volledig bij over de stand van zaken rondom Cyber Security. Je krijgt alle ontwikkelingen op het vizier. En ook praktische tips aangereikt hoe jouw organisatie veiliger te maken. Het boek staat stil bij de verschuiving van security als technisch risico naar een bedrijfsrisico. Inmiddels zijn veel bestuurders zich bewust van de imagoschade, de bedrijfsvoering die op het spel staat en bijvoorbeeld het kwijtraken van gevoelige data dat kan leiden tot hoge juridische kosten. Om maar een paar niet-technische risico’s te noemen. Dat vraagt om een allesomvattende aanpak. Zowel op communicatief vlak, financieel, juridisch als uiteraard ook technisch. In het boek beschrijven we welke preventieve stappen te ondernemen, hoe voorbereid te zijn op een cyber-aanval en hoe de impact van een geslaagde aanval te verkleinen. Ook de uitdagingen op het gebied van het gebruik van nieuwe technologie komen aan bod. Een groeiend aantal apparaten in allerlei verschijningsvormen verbindt zich met onze systemen. De
VOOR WIE IS DIT CYBERSECURITY BOEK BEDOELD? Elke manager die voor het eerst volop met informatiebeveiliging te maken krijgt. Met dit boek kom je goed beslagen ten ijs tijdens beleidsdiscussies en gesprekken met security experts. 26
Erik van Ommeren
DRIE REDENEN OM ‘STAYING AHEAD IN THE CYBER SECURITY GAME’ TE LEZEN: 1. Een snelle en heldere manier om bij te zijn 2. Veel inzichten en tips om direct tot actie over te gaan 3. Overtuigende stellingen die helpen in de discussie rondom veiligheidsbewustzijn
evolutie gaat snel. Innovatie ligt grotendeels in handen van de gebruiker. Je eigen telefoon, tablet en straks ook jouw eigen smartwatch of body-sensor. Deze apparaten hebben een ding gemeen. Ze lijken op precies het tegenovergestelde van alles wat we ooit met beveiliging wilden bereiken. Ze zijn overal en je raakt ze makkelijk kwijt. De mobiele apparatuur is doorgaans slecht beveiligd, terwijl het apparaat mogelijk vol zit met gevoelige informatie. In het boek spreken we dan ook van mobile als de ‘doos van Pandora’. Het beheer van deze apparatuur is al een onderneming op zich. Gelukkig gaat nieuwe technologie niet alleen gepaard met nieuwe risico’s. De techniek helpt ons inmiddels ook om proactief beleid te ontwikkelen op het vlak van beveiliging. Data, automatische analyses en slimme systemen laten ons ‘live’ meekijken met wat er gebeurt. Zo kunnen we direct ingrijpen in plaats van achteraf repareren op basis van een forensische analyse. Waar we vroeger omkwamen in de logfiles waar niemand iets mee kon, helpen geautomatiseerde systemen ons nu de uitzonderingen te vinden waar we extra aandacht aan moeten besteden. Het boek geeft interessante inzichten hoe dit te organiseren. Last but not least, is en blijft de voornaamste uitdaging wel de rol van de mens. Iedereen doet een beroep op data en systemen. Daarmee draagt ieder mens ook een eigen verantwoordelijkheid voor de veiligheid daarvan. Daar lijkt iedereen het wel mee eens te zijn. Toch is de praktijk helaas wat weerbarstiger. Of sterker nog, het is een enorme puzzel om het gedrag van mensen zo te beïnvloeden dat dit bijdraagt aan de vermindering van bedrijfsrisico’s. Zonder dat de digitale vrijheden van gebruikers worden
beperkt. Of zonder de gebruiker te frustreren of processen nodeloos complex te maken.
vice voor de klant, en hoe security dicht bij de waarde ligt die een organisatie wil creëren.
Een deel van de oplossing ligt in communicatie, cultuur en zaken als gamification: het op een andere manier belonen en stimuleren van het juiste gedrag. En het zit hem ook in de boodschap zelf. Zolang we security als een duister thema behandelen, met alleen gevaren en risico’s, is het lastig om echt enthousiasme te kweken. Angst als motivatie is snel uitgewerkt. Verander daarentegen de discussie van ‘Fear’ naar ‘Value’ en de sfeer verandert. Werk dus binnen de organisatie aan breed gedeelde inzichten over hoe goede security bijdraagt aan een goede ser-
Deze en andere onderwerpen, praktische tips, do’s en don’ts, worden allemaal besproken in dit Cyber Security boek. Verkrijgbaar via www.sogeti.nl/security. Dit Sogeti-boek is geschreven in samenwerking met het IBM Institute for Advanced Security. De auteurs van ‘Staying ahead in the Cyber Security Game – What matters now’: Erik van Ommeren (Sogeti), Martin Borrett (IBM) en Marinus Kuivenhoven (Sogeti). Erik van Ommeren, trend watcher bij Sogeti
DRIE CONCLUSIES UIT DIT CYBERSECURITY BOEK: 1. Jouw organisatie wordt ook gehacked. Dat is een fact of life. Jouw reactie daarop maakt het verschil 2. Digitale veiligheid is niet langer een IT-thema maar ook agendapunt in de bestuurskamer 3. Er zijn meer dan genoeg tools, methodes en inzichten voorhanden om stappen vooruit te zetten. Zowel op het vlak van cultuur, gedrag als technologie
INFOSECURITY MAGAZINE - JULI 2015
27
ANALYSE
LOOPBAANONTWIKKELING IS EEN PROBLEEM Het is misschien een wat treurige constatering, maar als CISO loop je constant achter de feiten aan. Voor een belangrijk deel is dat inherent aan IT-beveiliging. Hoe goed je de boel ook dichttimmert, er zitten altijd zwakke plekken in je beveiliging die je pas ontdekt als er iemand doorheen is gekomen. En dan wordt een deel van de aanvallen ook nog eens in een snel tempo geavanceerder.
28
Peter Vermeulen
Daarnaast is de IT-omgeving een alsmaar sterker bewegende entiteit. Constant worden nieuwe applicaties in gebruik genomen, komt er nieuwe apparatuur het netwerk binnen en worden nieuwe manieren bedacht om workloads te verwerken en data op te slaan. Het zwaartepunt van de security-investeringen blijft in Nederland echter hardnekkig liggen bij netwerkbeveiliging. En dat terwijl de meeste security beslissers aangeven dat er onvoldoende kennis in huis is om het gebruik van slimme mobiele apparaten en cloudoplossingen afdoende te kunnen beveiligen.
Doorgroeimogelijkheden voor IT-security professionals (N=225) Vraag: Welke mogelijkheden biedt u de security professionals binnen uw organisatie?
Intussen neemt het belang van IT voor de organisatie in snel tempo toe. Steeds meer producten en processen worden ‘gedigitaliseerd’. Veel CISO’s zijn zich ervan bewust dat principes als secure by design en private by design mede bepalend worden voor het succes van de gehele organisatie. Dat betekent dat ze vroeg betrokken moeten worden bij de ontwikkeling van toepassingen en steeds meer ook bij het ontwerp van de processen zelf. Terwijl er dus aan de ene kant steeds meer aan de technische kant wordt geëist, worden zachte vaardigheden en de kennis van bedrijfsprocessen steeds meer een vereiste. Dat is geen eenvoudige opgave, maar het heeft ook iets moois te bieden aan de security professional: doorgroeimogelijkheden.
heden worden aangeboden, blijven de doorgroeimogelijkheden steken. In de meeste organisaties geldt dat een security professional een security professional is en blijft. Natuurlijk neemt de senioriteit gaandeweg toe en blijven er ontwikkelingsmogelijkheden, maar het is minder eenvoudig om een grote stap te maken. Juist nu er steeds meer wordt gevraagd van de breedte van de kennis van de security professional, is het wenselijk om een breder carrièreperspectief te kunnen bieden. Het is gunstig voor de organisatie als securitykennis in meerdere lagen van de organisatie te vinden is en er zo steeds meer met een securitybril naar nieuwe producten en diensten en allerlei kleine en grote procestransformaties wordt gekeken. En het zorgt ervoor dat de security professional langer bij je blijft of juist bij je wil komen werken.
Het hebben van doorgroeimogelijkheden is voor een IT-security professional geen vanzelfsprekendheid. Natuurlijk, je bent constant aan het leren en je krijgt regelmatig de kans om je kennis te verdiepen met behulp van cursussen. Maar zeker bij middelgrote bedrijven zijn er niet altijd evenveel mogelijkheden om in de organisatie door te groeien. Van de Nederlandse organisaties met 50 of meer medewerkers biedt net iets minder dan de helft de security professionals de kans om zich te laten certificeren, bijvoorbeeld als CISSP. Een vergelijkbaar aantal biedt kansen om de technische vaardigheden te vergroten. Het is opvallend te zien dat inmiddels 1 op de 3 organisaties aangeeft dat ze ook buiten het securitygebied trainingsmogelijkheden aanbieden. Ook op het vlak van zachte vaardigheden zegt bijna 1 op de 3 mogelijkheden aan te bieden. Hoewel er redelijk veel trainingsmogelijk-
Bron: Nationale IT-Security Monitor 2015, Pb7 Research
Natuurlijk geldt niet voor iedere IT-security professional dat deze op zoek is naar een verbreding met een uitgebreide kennis van bedrijfsprocessen. Veel professionals willen zich juist liever verdiepen en eventueel specialiseren. Bij sommige organisaties is die ruimte er, maar bij heel veel organisaties is er geen ruimte voor vergaande specialisatie, omdat de schaal simpelweg ontbreekt. Om deze medewerkers toch gemotiveerd te houden, zou je kunnen overwegen om samen met een andere partij, of meerdere partijen, deze schaal te creëren. Maak bijvoorbeeld goede afspraken met een security specialist. Met zo’n partij zou je een onderhoudsplan kunnen maken over het gehele kennisniveau, zodat het kennisniveau altijd op het juiste peil is en security professionals toegang krijgen tot meer doorgroeimogelijkheden. Natuurlijk zou je dat ook kunnen realise-
ren door alles uit te besteden, maar dat is voor veel organisaties geen gewenste situatie. Een hybride variant ligt eerder voor de hand. Ook zien we dat steeds meer organisaties van managed security services gebruik gaan maken. Sommige security-activiteiten, bijvoorbeeld monitoring, lenen zich daar zeer goed voor, omdat het in-huis vaak een behoorlijk arbeidsintensieve klus is geworden. En deze kan veel baat hebben bij automatisering en schaalvergroting. Dat biedt ruimte om andere prioriteiten op te pikken, maar niet iedere security professional die zo zijn activiteiten (deels) ziet verdwijnen, zit daar per se op te wachten. De hybride variant, co-sourcing zo je wilt, kan deze transitie makkelijker maken voor zowel de professional (elders doorgroeien) en voor de CISO. Op dit moment maken veel security beslissers zich zorgen over de doorgroeimogelijkheden die securitymedewerkers wordt geboden. Maar 44% van de respondenten in de Nationale IT-Security Monitor zegt dat er voldoende loopbaanmogelijkheden zijn binnen de eigen organisatie voor security professionals. Als we dat combineren met de behoefte aan nieuwe vaardigheden die meekomt met nieuwe technologie als cloud, mobiel, Big Data, of het Internet der Dingen, zien we een bedreiging en een kans. Er is een bedreiging dat security het niet meer kan bolwerken, met alle negatieve gevolgen van dien. En er is een kans om door samenwerking het kennisniveau naar een hoger niveau te tillen en security professionals nieuwe kansen te bieden. Peter Vermeulen is directeur van Pb7 Research
INFOSECURITY MAGAZINE - JULI 2015
29
BLOG
It SIEMs that way
PREVENTIE
OF DETECTIE? Als winkeldeuren goed beveiligd zijn, de kledingstukken allemaal aan het rek vastzitten of achter slot en grendel van de vitrinekast worden bewaard, wordt er niks gestolen. Zo zijn veel security specialisten van mening dat preventieve maatregelen afdoende zijn om cybercriminelen buiten de deur te houden. Kort door de bocht gezegd, als een document of andere bron van informatie versleuteld is en enkel toegankelijk is voor de gewenste gebruikers, dan zou er niks mis kunnen gaan. In theorie ongetwijfeld waar. Helaas is de praktijk weerbarstiger. Diezelfde praktijk wordt nog complexer met alle technologische veranderingen in ons vooruitzicht. Onze wens om informatie met alles en iedereen te delen groeit alleen maar. Bring your own Device en Internet of Things maken het er ook niet makkelijker op. Risicoanalyses in deze nieuwe omgevingen laten zien dat er steeds nieuwe dreigingsactoren bijkomen. Deze actoren genereren dus weer andere veiligheidsrisico’s. In de goed beveiligde winkel kan het zomaar gebeuren dat de dreiging van binnen komt. Een kwaadwillende medewerker kent ongetwijfeld allerlei listige manieren om te stelen. Mede om die reden kiest de winkelier dus niet alleen voor preventieve maatregelen, maar ook voor acties om criminaliteit op te sporen. Denk aan camera’s, bewakers, kledingbeveiliging en detectiepoortjes. Kortom, preventie is niet genoeg. Dat gaat hand in hand met detectie. Security Information and Event Management (SIEM) lijkt de uitkomst. Deze monitoring software helpt cyberaanvallen te detecteren en de aanvallen vervolgens af te slaan. Veel security experts positioneren SIEM als het walhalla. Ofwel de ‘holy grail’ voor optimale detectie. Tegelijkertijd gaan er stemmen op die zeggen dat SIEM implementaties falen of uiteindelijk
veel te duur zijn. De waarheid is sterk afhankelijk van het gebruik en aansluiting bij de organisatie. Zo blijkt dat organisaties vaak weinig geduld hebben bij de implementatie van SIEM en moeite hebben met het beheer ervan. Op zich begrijpelijk want de urgentie om op te sporen is hoog. Alle aandacht gaat uit naar de SIEM applicatie en niet naar het doel van detectie en monitoren. Er worden geen incident response processen bepaald. Dus een incident wordt opgemerkt, maar men weet niet hoe onderzoek te doen. En het is veelal onbekend wie vanuit de business eindverantwoordelijk is voor de applicaties. Een aanvaller heeft wel veel geduld. Soms blijkt dat hackers al vijf jaar rondneuzen in een bepaald computersysteem van een organisatie. Dat betekent dat de organisatie en haar Security Operations Center (SOC) zelf ook het geduld zou moeten hebben om beleid en maatregelen op het gebied van detectie, monitoringtools, processen en personeel te ontwikkelen. En voortdurend bij te sturen. Het continu blijven verbeteren is echter alleen mogelijk in een volwassen organisatie die haar security intelligentie toepast als een soort vaccinatie. Eerst ent je de organisatie in met een kleine gecontroleerde injectie van ‘ziektes’ zoals red teaming en responsible disclosure.
KUNNEN WE JOU DE BEVEILIGING VAN MILJOENEN KLANTGEGEVENS TOEVERTROUWEN?
Vervolgens bouw je de weerstand verder op tegen de ongecontroleerde aanvallen van buitenaf. Kortom, geduld is een schone zaak! Er is nog meer dat bijdraagt aan een succesvolle inzet van SIEM. Zorg voor de uitvoering van een gedegen risicoanalyse. Het incident respons proces wordt vastgelegd waarbij helder is wie verantwoordelijk is voor welke applicaties en bedrijfsprocessen. Uiteraard met toevoeging van externe betrokkenen zoals technologieleveranciers en serviceproviders. Zorg vervolgens ook voor de bouw van een Security Intelligence database en het toepassen van Security Intelligence. Dat kan met eigen onderzoek van beheerders en analisten of pentesters die detectieve maatregelen testen (red & blue teaming). Hun Modus Operandi kan verwerkt worden in een Security Intelligence database. Tenslotte dragen ‘Indicators of Compromise’ en dreigingsinformatie van derde partijen ook bij. Dit alles in combinatie met eindeloos geduld helpt je goed op weg voor zowel een preventief als detectief security beleid! Ilse van Werkhoven, security specialist bij Sogeti
Achmea heeft de ambitie om de meest vertrouwde verzekeraar te zijn. Daarbij speelt IT een cruciale rol. We zijn dan ook voortdurend op zoek naar ambitieuze IT’ers. Bijvoorbeeld IT’ers die gaan meewerken aan zaken zoals security monitoring, Intrusion Prevention/Detection, security testing, en auditing. Professionals die grote uitdagingen aangaan in een complexe infrastructuur en met de opkomst van cyber crime. Zo bouwen we verder aan ons bedrijf als de grootste digitale verzekeraar en het vertrouwen van onze klanten. We bieden je een groot aantal opleidingen en doorgroeimogelijkheden. Meer weten? Kijk op werkenbijachmea.nl
WIJ STAAN VOOR GROTE IT-UITDAGINGEN
AGIS AVÉ RO ACH MEA
KUNNEN WE DIE JOU TOEVERTROUWEN?
C E N T R A A L B E H E ER A C H M E A FBTO I N T E R PO L I S Z I LV E R E N K RU I S A C H M E A
IT VACATURES Senior Security Tester in Apeldoorn
Security Specialist in Apeldoorn
Technisch Tester in Amsterdam Bekijk alle vacatures op werkenbijachmea.nl
30
INFOSECURITY MAGAZINE - JULI 2015
31
Hoeveel dagen per jaar voelt u zich veilig?
Kent u dat verhaal van die kalkoen die zich het hele jaar veilig voelde? De afloop laat zich raden... Ook op het gebied van IT-security is het verschil tussen veilig voelen en veilig zijn levensgroot. Vandaar onze vraag: hoeveel dagen per jaar voelt u zich veilig? Heeft uw organisatie alles onder controle of loopt u het risico verrast te worden? Sogeti helpt u graag met het
identificeren, verminderen en voorkomen van risico’s. Dankzij onze kennis, ervaring en bewezen aanpak op het gebied van IT-security is uw informatiebeveiliging 365 dagen per jaar op orde. Zodat u zich volledig kunt richten op uw strategische bedrijfsdoelstellingen. Kijk op sogeti.nl/security. Want zolang u zich veilig voelt, bent u het niet.
Security. Uw veiligheid, onze drive.