Informatiebeveiliging in de 21e eeuw beveiliging van de cloud webapplicatiepenetratietests vulnerability-assessments
12 maart 2012 R.C.J. (Rob) Himmelreich MSIT, CISA, CRISC
Introductie • Rob Himmelreich informatiebeveiliger, risicomanager, IT-auditor
• Achtergrond Bedrijfskundige Informatica Master of Security in Information Technology (MSIT, TUe) Certified Information Systems Auditor (CISA, Isaca) Certified in Risk and Informations Systems Control (CRISC, Isaca)
• Specialisatie securitymanagement, penetratietests, vulnerability assessments, applicatiebeveiliging, netwerkbeveiliging, fysieke beveiliging, business continuity
Page 2
© 2012 BDO
social engineering Security? Wat is informatiebeveiliging? Waarom beveiligen we?
Page 3
© 2012 BDO
Informatiebeveiliging in de 21e eeuw Wat is informatiebeveiliging? Welke veranderingen vinden plaats? Wat zijn nu en in de toekomst de grootste uitdagingen?
Page 4
© 2012 BDO
De Geschiedenis van het WWW
6 augustus 1991 Page 5
© 2012 BDO
Cloud vanuit security-perspectief
Page 6
© 2012 BDO
Security in de vorige eeuw
Page 7
© 2012 BDO
Security-architectuur (oud)
Page 8
© 2012 BDO
Security-architectuur (nieuw)
Anytime Anyplace Any device
BYOD! Page 9
© 2012 BDO
Security-architectuur (hybride)
Page 10
© 2012 BDO
Commercieel gebruik van Internet • Eerste verschijning term ‘e-commerce’ in 1994 • Hoge mate van idealisme in de begindagen van het WWW • Commercieel gebruik tot 1995 geweerd • Privatisering van de Internetbackbone op 30 april 1995 Pioniers: • 1994: Pizza Hut • 1995: Amazon • 1996: eBay
Page 11
© 2012 BDO
Cloud: wat is een webapplicatie? Een webapplicatie is een applicatie waartoe toegang wordt verkregen via het Internet of intranet. Een webapplicatie is gecodeerd in een door webbrowser ondersteunde taal. -
Een Een Een Een
webapplicatie kan altijd, overal en van elk apparaat worden benaderd webapplicatie heeft geen client-software nodig, alleen een webbrowser webapplicatie wordt centraal beheerd en beveiligd webapplicatie maakt deel uit van een proces (versus statische website)
- De webapplicatie is uw enige ‘line of defence’
Page 12
© 2012 BDO
De wereld van nu
Bron: xkcd.com
Page 13
© 2012 BDO
En beveiliging?
2001: De eerste webapplicatie-aanvallen worden bekend (directory traversal) Onder meer creditcardgegevens worden buitgemaakt en bankgegevens ingezien Een firewall alleen is niet meer voldoende Page 14
© 2012 BDO
En beveiliging?
SQL-injection Verkrijg databasetoegang via de webapplicatie
Page 15
© 2012 BDO
En beveiliging?
Session hijacking Sessies van legitieme gebruikers worden overgenomen
Page 16
© 2012 BDO
En beveiliging?
Cross-site scripting De website toont ongewenste inhoud van buitenaf. Hiermee kunnen bijvoorbeeld ‘man in the middle’-aanvallen worden uitgevoerd
Page 17
© 2012 BDO
Incidenten afgelopen jaar 5 februari - Hackers kraken computersysteem Amerikaanse aandelenbeurs 18 maart - Hackers stelen RSA SecurID-informatie 23 april - Sony haalde PlayStation Network offline na hack 29 april - Hackers PSN maakten gegevens 2,2 miljoen creditcards buit 2 mei - Sony: vermoedelijk 10 miljoen creditcardaccounts buitgemaakt 30 mei - Hacker maakt mailadressen 80.000 Duinrell-klanten buit 1 september - DigiNotar gaf mogelijk valse ssl-certificaten uit na ontdekking hack 6 september - Hackers stalen wellicht persoonsgegevens miljoen leden Smulweb 15 september - Miljoenennota uitgelekt door blunder 20 september - Beveiliging websites mogelijk in gevaar door ssl-kwetsbaarheid 26 september - Hacker verminkt 200.000 sites 28 september - Recherche pakt 17-jarige jongen op vanwege KLPD-hack 8 oktober - Vijftig gemeentesites blijken nauwelijks beveiligd 24 oktober - Cheaptickets.nl laat gegevens 715.000 klanten uitlekken 4 november – KPN staakt uitgifte certificaten na ontdekking verdachte sporen 18 november – Criminelen hacken waterinstallatie en vernielen waterpomp 22 november – Gegevens 13.000 kinderen toegankelijk via Sinterklaarjournaal.nl 29 november – Website FD.nl serveert malware 24 januari – Databasestoring legt internetbankieren ING plat 11 februari – Gehackte KPN mailaccounts afkomstig van Baby Dump-database 5 maart – Hackers stelen muziek Michael Jackson 6 maart – Hackers maken wachtwoorden buit via Proserve 12 maart - Beveiliging Chrome voor derde keer binnen korte tijd gekraakt
Nog steeds worden dezelfde fouten gemaakt als tien jaar geleden! Page 18
© 2012 BDO
Risico’s • • • • • • • • • • • • • •
Datalekken Valse berichten Bestellen zonder betalen Ontvangen zonder betalen Frauduleuze ideal-transacties Gebruikersgegevens (username/wachtwoord) Creditcardgegevens Privacy Artikeldatabase verwijderen Prijzen aanpassen Voorraad aanpassen Cross-site scripting (man in the middle attacks) Denial of Service Etc. Page 19
© 2012 BDO
Hoe pakken hackers dat aan? 1. 2. 3. 4.
Doelwit uitzoeken (gericht, portscan, willekeurig) Informatie verzamelen (portscan, DNS-loopup, etc.) Vulnerability scan Misbruik maken van bekende kwetsbaarheden
Waar gaat het in 90% van de gevallen mis? 1. Software bugs 2. Configuratiefouten Live demo
Page 20
© 2012 BDO
Live demo information gathering http://www.domaintools.com/ http://www.webyield.net/ipa.php http://www.bing.com http://tclinks.net/web-tools/display_server_header.asp http://cve.mitre.org/cve/cve.html
Page 21
© 2012 BDO
Wat doet u hieraan?
Page 22
© 2012 BDO
Waar te beginnen? 1. De voorkant Identificeer kwetsbaarheden Installeer updates Identificeer de toegangspunten Verklein het ‘aanvalsoppervlak’, beveilig de webapplicatie Beperk de bevoegdheden (gebruikersaccounts, autorisaties) Gebruik sterke wachtwoorden Zekerheid door periodieke onafhankelijke penetratietests en vulnerability assessments
Page 23
© 2012 BDO
Verkrijg meer zekerheid… 2. De achterkant Breng het applicatielandschap in kaart Controleer de interface met financiële administratie en logistieke systemen Bepaal controles in het complete proces niet uitsluitend op onderdelen Implementeer preventieve maatregelen Implementeer repressieve maatregelen (ontdekking, acteren op uitzonderingen) Zekerheid door audits
Page 24
© 2012 BDO
Borging door middel van een proces… 3. Beheer Bepaal verantwoordelijkheden voor beveiliging Implementeer een proces voor gebruikersbeheer Implementeer een proces voor autorisatiebeheer Implementeer een proces voor wijzigingsbeheer Maak afspraken bij uitbestede diensten (Service Level Agreement) Controleer uitbestede diensten (onafhankelijke audit / certificering) Zekerheid en continuïteit door beleid
Page 25
© 2012 BDO
Wat is een vulnerability-assessment?
Page 26
© 2012 BDO
Wat is een vulnerability-assessment?
Page 27
© 2012 BDO
Wat is een penetratietest?
Page 28
© 2012 BDO
Wat is een penetratietest?
Page 29
© 2012 BDO
Wat is een penetratietest?
Page 30
© 2012 BDO
Hoe gaat een penetratietest in zijn werk?
Page 31
© 2012 BDO