Informatiebeveiliging in het hoger onderwijs Practische voorbeelden

Informatiebeveiliging in het hoger onderwijs Practische voorbeelden

VLHORA studiedag - The Eduction Highway Tim Wulgaert

Kenmerken onderwijsorganisaties + de nieuwe evoluties = grote uitdaging op het vlak van beveiliging

Evolutie ► Digital natives ► Tablets & smartphones ► Social media ► (Mobiele) breedbandverbindingen overal ► Consumerization van IT ► Cloud computing

Page 2

Kenmerken onderwijs ► Openlijk delen van informatie ► Open communicatie ► Veel verschillende gebruikers ► BYOD

VLHORA studiedag - The Eduction Highway

Hoog

Dilemma

Laag

Gebruikers acceptatie

ü

Laag

Page 3

Governance / Control

VLHORA studiedag - The Eduction Highway

Hoog

De uitdaging voor beveiliging ►

Het juiste niveau van beveiliging inbouwen ► ►

►

Zonder de openheid naar delen van informatie te schaden Zonder de flexibiliteit te beperken

Van controle focus naar risicobeheersing focus ► ►

Page 4

Niet alle informatie kan en moet beveiligd worden Nadruk op specifieke types van informatie

VLHORA studiedag - The Eduction Highway

Informatie, informatiedragers en hun zwakheden Informatie Examenresultaten van studenten Persoonlijke gegevens van studenten of personeel Onderzoeksdata en onderzoeksresultaten Financiële gegevens Informatie op elektronische leeromgeving

Informatie dragers

Kwetsbaarheden IT infrastructuur Open netwerken Zwakke wachtwoorden Onvoldoende system, database en applicatiebeveiliging

Confidentialiteit

Gebruikers

Persoonlijke gegevens studenten gelekt Examenvragen gestolen Onderzoeksresultaten gelekt

Delen van informatie Afluisteren / schoudersurfen

Integriteit

Papier Verlies / diefstal Vuilbak snuffelen Draagbare media Verlies / diefstal Schoudersurfen Gebruik op onbeveiligde omgevingen

Informatie op website Page 5

Wat kan er misgaan

VLHORA studiedag - The Eduction Highway

Examenresultaten aangepast Website aangepast

Beschikbaarheid Examenresultaten niet meer beschikbaar Elektronische leeromgeving niet beschikbaar

Informatie, informatiedragers en hun zwakheden Informatie Examenresultaten van studenten Persoonlijke gegevens van studenten of personeel Onderzoeksdata en onderzoeksresultaten Financiële gegevens Informatie op elektronische leeromgeving

Informatie dragers

Kwetsbaarheden IT infrastructuur Open netwerken Zwakke wachtwoorden Onvoldoende system, database en applicatiebeveiliging

Gebruikers Delen van informatie Afluisteren

Papier Verlies / diefstal Vuilbak snuffelen Draagbare media Verlies / diefstal Schoudersurfen Gebruik op onbeveiligde omgevingen

Informatie op website Page 6

Beveiliging

VLHORA studiedag - The Eduction Highway

Beleid Management processen Technische beveiliging Fysische beveiliging Bewustzijn

Case study

Hoe het niveau van beveiliging testen?

Objectieven van de opdracht ►

Een duidelijk beeld te vormen van huidige status van beveiliging van het netwerk en informatie ► ►

►

Technische zwakheden identificeren Impact en business risico’s in te schatten

Aanbevelingen te formuleren ter verbetering.

Page 8

VLHORA studiedag - The Eduction Highway

Scope van de opdracht ►

Controle testen ►

► ►

►

Architectuur: het hele campus netwerk, met een sterkte nadruk op de scheiding tussen interne netwerken en de implementatie van de internet perimeter. Configuratie: enkele configuraties van netwerkcomponenten: routers, switches, firewalls, IDS/IPS Toegangscontrole – proces: specifiek voor het verwijderen van toegangen

1

Substantieve testen ► ►

Page 9

Attack & penetration testing: Windows domain, applicatie en databank voor puntenadministratie Social engineering

VLHORA studiedag - The Eduction Highway

2 3

Onze aanpak voor de controle testen ►

►

Nagaan of de strategie of beleidslijnen rond informatiebeveiliging op een adequate manier vertaald worden naar praktische implementaties van procedures, processen en technische IT controles. Specifiek drie domeinen ► ► ►

►

Architectuur Configuratie Toegangscontrole

Evalueren van de effectiviteit van de bestaande technische IT controles.

Page 10

VLHORA studiedag - The Eduction Highway

1

Onze aanpak voor de controle testen

Page 11

VLHORA studiedag - The Eduction Highway

1

Uw informatie beschermen in een netwerkomgeving – waar zijn de risico’s? Intern Netwerk sub Netwerk

i

Intern Netwerk Toegangsnetwerk studenten

Private data netwerk onderwijsinstellingen

Toegangsnetwerk derden

Publiek netwerk (Internet)

Intern Netwerk ICT dienstenleverancier

i Page 12

VLHORA studiedag - The Eduction Highway

2

Attack & penetration testing ►

Dreigingen simuleren – dienen realistisch te zijn! ► ► ►

►

Kwetsbaarheden identificeren en misbruiken ► ►

►

Intern perspectief Extern perspectief Partner perspectief

Netwerken – vanuit campus netwerk, bibliotheek, labo’s, studentenkot, internet, … Systemen en applicaties: Windows domain, studentenadministratie, e-learning platform, boekhouding, …

Risico’s en aanbevelingen rapporteren

Page 13

VLHORA studiedag - The Eduction Highway

2

Hacken kan op vele manieren Hoogtechnologisch

Eenvoudiger

Bv. iPhone capturing key strokes

Bv. Raden paswoorden/ paswoordvragen

Page 14

VLHORA studiedag - The Eduction Highway

2

Attack & Penetration aanpak Reconnaissance The first phase consists of gathering as much information as possible on the target. ► The black box approach assumes that no prior knowledge of the target is held. Only publicly available information sources are consulted. ► The grey box or white box approach provides an interesting alternative. In this approach, the customer should provide detailed information concerning the target beforehand for example the network topology or the location, source code of an application, ...

Page 15

Exploiting The second phase is to try and exploit any identified vulnerability in a controlled manner. This is done by a combination of automatic and manual testing techniques. An example breakdown of the effort is shown below. The result of this phase will allow Ernst & Young to perform a better estimation of technical and business impact of vulnerabilities.

Reporting During the reporting phase, Ernst & Young will deliver an assessment report including the following: ► An executive summary with strong and weak points of the design, configuration, setup, support and/or management of the network and web sites. ► A description of successful attack scenarios including business risk estimation and recommendations. ► A technical report with an overview of individual vulnerabilities including a technical risk estimation and detailed recommendations to mitigate or eliminate the risk.

VLHORA studiedag - The Eduction Highway

2

Remediation Ernst & Young can assist you in fixing the identified vulnerabilities. Several services can be provided: ► Define an Information Security or IT Security Framework with policies, standards and baselines. ► IT Security process implementation: logical access management, privileged user management, security incident management ► Train developers in secure code development

Attack & Penetration Rapportering is van belang! ►

2

De juiste communicatie naar het juiste publiek ► ► ►

Page 16

IT departement – Technische aanbevelingen voor IT infrastructuur Audit comité of raad van bestuur – Focus op risico’s en aanbevelingen op lange termijn Directies, personeelsleden en studenten – Bewustwording

VLHORA studiedag - The Eduction Highway

Social engineering

3

►

Social engineering is een techniek waarbij een computerkraker een aanval op computersystemen tracht te ondernemen door de zwakste schakel in de computerbeveiliging, namelijk de mens, te kraken. De aanval is erop gericht om voornamelijk gebruikersnaam of wachtwoorden los te krijgen.

►

Verschillende precedenten waarbij studenten op basis van valse e-mail of facebook accounts informatie bemachtigen

Page 17

VLHORA studiedag - The Eduction Highway

Social engineering Enkele concrete voorbeelden ►

Phishing

Page 18

►

Road apple USB

VLHORA studiedag - The Eduction Highway

3

Social engineering Enkele concrete voorbeelden ►

3

Telefonisch of per e-mail

Hallo met Patrick

Nee hoor, ik heb wel efkes tijd! Zeg maar.

Mr. slachtoffer

Voila. Da’s zo gebeurd!

Hallo Patrick. U spreekt hier met Tim van de IT-helpdesk. Kunde mij efkes helpen met enkele testen of stoor ik u?

We hebben net onze servers verplaatst en om zeker te zijn dat alles werkt, zou ik u even willen vragen om te surfen naar http://web.hogent.com/ en daar in te loggen

Merci Patrick!

Page 19

VLHORA studiedag - The Eduction Highway

Mr. hacker

Enkele afsluitende opmerkingen

Slotbeschouwing IT als initiatiefnemer ► ► ►

Een mentaliteitswijziging heeft een initiatiefnemer nodig Om op lange termijn te slagen, dient echter iedereen betrokken te zijn Beveiliging is ruimer dan IT – het is de verantwoordelijkheid van iedereen ► ► ► ►

Page 21

Raad van bestuur: het beleid Directies: het kenbaar maken van vereisten, risico’s aanvaarden en het beleid inbouwen in de dagelijkse taken IT: technische implementatie Personeelsleden en studenten: naleving

VLHORA studiedag - The Eduction Highway

Veel voorkomende root causes! ►

Gebrek aan beleid ► ►

► ► ► ►

Apathie Risico’s onduidelijk

Geen “security by design” Ad hoc, ongestructureerde aanpak Paswoord chaos bij IT Geen bewustzijn bij eindgebruikers

Page 22

VLHORA studiedag - The Eduction Highway

Ernst & Young Assurance | Tax | Transactions | Advisory Over Ernst & Young’s Advisory Services Om het maximale uit uw onderneming te halen, moet uw organisatie op effectieve wijze omgaan met fundamentele uitdagingen op het gebied van risico's en prestaties. Ernst & Young Advisory biedt een breed palet van diensten die u helpen de risico’s te managen en de prestaties van uw organisatie en de processen waarvoor u verantwoordelijk bent te verbeteren, tot en met de (her)inrichting van uw bedrijfsprocessen. Onze dienstverlening is gebaseerd op specialistische sectorkennis en een uitgebreid internationaal netwerk. Of u zich nu richt op bedrijfstransformatie of op het vasthouden van resultaten, het feit dat de juiste adviseurs voor u werken, geeft zonder meer de doorslag. Onze 20.000 professionele adviseurs wereldwijd vormen samen een van de grootste mondiale adviesnetwerken. Zij leveren uiterst ervaren multidisciplinaire teams die met onze klanten samenwerken om een gedegen klantenervaring te bieden. Daarvan staan vanuit Ernst & Young Advisory België/Nederland circa 600 adviseurs tot uw dienst. Dankzij ons sterke internationale netwerk hebben we specifieke kennis en ervaring in huis van uw sector. Zodat resulteert wat verwacht mag worden: verrassende oplossingen gebaseerd op aantoonbare uitvoerbaarheid. Alleen zo wordt het beste uit de beschikbare mensen en middelen gehaald en optimaal geprofiteerd van de kansen in de markt, nu en in de toekomst.

www.ey.com © 2011 EYGM Limited. All Rights Reserved.

This publication contains information in summary form and is therefore intended for general guidance only. It is not intended to be a substitute for detailed research or the exercise of professional judgment. Neither EYGM Limited nor any other member of the global Ernst & Young organization can accept any responsibility for loss occasioned to any person acting or refraining from action as a result of any material in this publication. On any specific matter, reference should be made to the appropriate advisor.

Contactgegevens

Andy Deprez

Tim Wulgaert

Partner

Director

[email protected]

[email protected]

+32 477 627 848

+32 497 597 270