Informatiebeveiliging Informatiemanagement Rob Poels
€ Beschikbaarheid Integriteit Vertrouwelijkheid Risico’s
logisch
fysiek
organisatorisch Maatregelen
Onderwerpen informatiebeveiliging • • • • • • • • •
Actueel Hacking for business Classificatie Bedreigingen Mobile computing: de kwetsbaarheid neemt toe Risico’s (kans * Schade) Maatregelen Certificering Kosten (3-5% IT kosten!)
Actueel
Zichtbaarheid en kwaadaardige intentie
Hacking for business
Mass mailers (I-love you)
Criminaliteit worms
Zichtb aarhei d
phishing
Botnets
Roem en glorie tentie Kwaadaardige in
©Govert.nl
Tijd
Informatiebeveiliging is moeilijk • Beveiligers moeten elk gat dichten, aanvallers hoeven er maar één te vinden • Elke dag komen nieuwe virussen “beschikbaar” • Virussen worden steeds makkelijker te maken maar verdedigers moeten alert blijven op de onderliggende technologie
Belangrijke oorzaken voor beveiligingslekken • Time-to-market: soms worden betaversies al in de markt gebracht (Microsoft) • Ontwikkelaars leggen focus op functionaliteit boven beveiliging • Complexiteit van softwareontwikkeling • Installatie wordt uitgevoerd zonder goede kennis
Classificatie
• BIV – Beschikbaarheid – Integriteit – Vertrouwelijkheid
• AIC – Availability – Integrity – Confidentiality
• ISO-standaard 17799
• Schaal van 1 (laag) tot 3 (hoog) • Dus classificatie is bijvoorbeeld: BIV 223
Classificatie
Aspect Beschikbaarheid Integriteit
Kenmerk Tijdigheid Continuïteit Correctheid
Bedreiging Vertraging Uitval Wijziging
Volledigheid
Verwijdering, Toevoeging
Geldigheid Authenticiteit Onwegeerbaarheid Vertrouwelijkheid Exclusiviteit
Voorbeelden van bedreiging Overbelasting infrastructuur Defect in infrastructuur Ongeautoriseerd wijzigen van gegevens, virusinfectie, typefout
Ongeautoriseerd wissen van gegevens, ongeautoriseerd toevoegen van gegevens Veroudering Gegevens niet up-to-date houden Vervalsing Frauduleuze transactie Verloochening Ontkennen bepaald bericht te hebben verstuurd Onthulling misbruik Afluisteren van netwerk, Hacking, Privé gebruik
Bedreigingen • • • • • •
Interne spion Dumpster diving Clean desk? Social engineering Malware Phishing
Herken de interne spion! • Uit onderzoek blijkt dat de spion aan het volgende profiel voldoet: – Is bijzonder geïnteresseerd in wat collega’s aan het doen zijn – Meldt zich altijd aan voor extra werk of wil graag werk van een ander overnemen – Werkt lang en laat – Neemt zelden vakantie
Makkelijk te herkennen toch?
Bedreigingen Dumpster diving • Mensen onderschatten de waarde van vuilnis – concept notities bevatten net zoveel informatie als de finale versie – kopie afschrift creditcard bij tankstation is makkelijker te verkrijgen als hacken via internet – mogelijk materiaal om via “social engineering” in te breken – Oude PC aan de weg zetten?!
Bedreigingen Clean desk? • Wie heeft toegang tot jou spullen als je er niet bent • Schoonmakers worden hiet het best betaald maar hebben wel toegang tot alle kantoren • Kasten zijn geen kluizen
Bedreigingen Social Engineering • De kunst van het naar je hand zetten van mensen • Beheerst het jargon • Met liegen is veel informatie boven water te halen
Bedreigingen Social Engineering • Voorbeelden: – “Hoi, ik ben mijn wachtwoord vergeten en dit werk moet gedaan worden, Kun je me even helpen?” – “Hallo, je spreekt met systeembeheer, we hebben nu een probleem. Wil je even jou password even terugzetten naar ‘welkom’?” – “Hallo, je spreekt met KPN we hebben een probleem met jou modem. Wat is precies jou nummer?” – “Hallo, je spreekt met Jeroen van CAP Gemini, ik heb van Kees (namen achterhaald via ander circuit) de opdracht gekregen bestanden terug te zetten. Geef je me even rechten hiertoe?”
Bedreigingen Malware • Malicious software • Verzamelnaam voor – – – – – –
Virussen Wormen Trojaanse paarden Hoaxes Spyware Botnets
Bedreigingen Phishing • Nep-sites om gegevens van de gebruiker te krijgen Automatiseringsgids 3 november 2006: “Phishing kost jaarlijks miljard dollar”
Mobile computing De kwetsbaarheid neemt toe • Laptops – locale data, nauwelijks beveiligd – Data is niet altijd versleuteld en makkelijk over te zetten – Laptops zitten in “please steal me” tassen
• PDA – Bevatten belangrijke gegevens (agenda, contacten, financiële gege3ens, passwords) – Nauwelijks beveiligd
• Draadloos – vaak nauwelijks beveiligd: opsporen via “sniffing”. Kunt data lezen maar ook manipuleren!
Risico’s • Meeste door menselijk falen & onbewust! • Risico is te bepalen door kans * schade • Schade kan financiëel zijn maar ook bijvoorbeeld imagoschade • Wordt vaak uitgedrukt in Euro’s per jaar in de vorm van “Jaarlijkste Schade Verwachting (JSV) of Annual Loss Expectancy (ALE)”
Maatregelen Bedreiging Preventie
Correctie
Herstel
Incidentcyclus Beveiligingscyclus
Verstoring
Schade
Repressie
Detectie
Maatregelen
Fysieke Maatregelen
Informatie voorziening
Organisatorische Maatregelen = Preventieve maatregelen = Repressieve maatregelen
Logische Maatregelen
Maatregelen Fysiek • • • • •
Backup Uitwijk Brandblussers Noodstroomvoorzieningen Sloten – Logisch • • • •
DMZ VPN Encriptie Identificatie (Token, kaart, biometisch, FIM blz 38 TIEM)
Maatregelen Logisch • Encriptie • VPN (Virtual Private Network) • DeMilitarized Zone (DMZ)
DMZ Gebruiker
firewall
firewall
Gegevens Organisatie
Maatregelen Logisch • Identificatie – – – – –
Password Token Kaart Biometisch Federated Identity Management (FIM) • Voorbeeld DigiD
Maatregelen DigiD 2. Verifieer deze gebruiker
Overheid Webdienst
DigiD
1.
6.
ijn en geb wa r u ch ike tw rsn 3. oo aa Ge r m d ef g en e wa bru ch ike tw rs oo na rd a m
5. Gebruiker geverifieerd, Dit is zijn nummer
n Aa
tu m Ko
m
er
4. M
en eld
rd ve
Burger
Maatregelen Logisch 1 Isolatie 2 Veilige defaults 3 Volledigheid
Het kasteel heeft maar één toegangspoort De poort is altijd gesloten Iedere bezoeker moet zich melden bij de schildwacht
4 Open ontwerp De architectuur van een kasteel is bekend 5 Functiescheiding Er staan altijd twee schildwachten bij de poort 6 Beperking Gewone bezoekers hebben geen toegang tot de kroonjuwelen 7 Compartimenten Het kasteel heeft verschillende afgesloten vertrekken 8 Ergonomie De poort kan niet per ongeluk worden opengezet 9 Redundantie Het kasteel heeft muren en een slotgracht 10 Diversiteit Muren en slotgracht vergen andere aanvalstechnieken
Maatregelen Logisch 1 Isolatie
Uitwisseling van gegevens tussen het interne netwerk en internet is alleen mogelijk via de firewall
2 Veilige defaults
Uitwisseling van gegevens tussen het interne netwerk en internet is alleen mogelijk na expliciete permissie 3 Volledigheid Iedere bezoeker moet zich melden bij de firewall 4 Open ontwerp De architectuur van de firewall is bekend 5 Functiescheiding De firewall wordt beheerd en gecontroleerd door twee verschillende functionarissen 6 Beperking De firewall laat alleen strikt noodzakelijke netwerkdiensten door 7 Compartimenten Het interne netwerk is opgesplitst in verschillende segmenten 8 Ergonomie De firewall kan niet per ongeluk worden opengezet 9 Redundantie 10 Diversiteit
De firewall bestaat uit meerdere componenten De firewall bestaat uit meerdere componenten, die onderling van elkaar verschillen
Probleem Medewerkers maken fouten
Doelgroep Medewerkers
Maatregelen Organisatorisch
Booswichten nemen Booswichten het niet zo nauw met normen en waarden
Managers veroorzaken organisatiefouten
Aanpak Redelijkheid van te treffen maatregelen waarborgen en zonodig uitleggen Goede voorbeeld door managers Participatie van medewerkers Inzetten van 'ambassadeurs' Belonen van gewenst gedrag en niet belonen van ongewenst gedrag Verhouding kosten/opbrengsten moet in individuele situaties positief uitvallen Opleiding, training en coaching van nieuwe medewerkers functiescheiding en andere maatregelen om ongewenst gedrag te voorkomen Extra beveiligingsmaatregelen bij gevoelige functies Duidelijke communicatie van de huisregels naar alle medewerkers Goede voorbeeld door managers Opleiden ven trainen van managers Afspraken over informatiebeveiliging opnemen in management contracten nakomen van afspraken toetsen in self assessments en audits Opzetten van adequate incidenten-registratie en regelmatige rapportage informatie over risico's verschaffen aan het management door deskundigen
Managers
Maatregelen • Vul individueel voor jou organisatie de tabel in als het gaat om de maatregelen • Geef een oordeel over de huidige situatie ten aanzien van informatiebeveiliging