JAARGANG 12 - februari/maart 2013 - e 12,00
magazine
Nationaal Cyber Security Centrum
maakt Nederland veiliger
Trends in cybercrime 2013 - Identity is de nieuwe perimeter Beurs Infosecurity.be - Een stap verder dan next generation Behaviour wordt key - Verzeker uw data nu het nog kan
www.infosecuritymagazine.nl
SECURE DATA TRANSFER / NETWORK DIAGNOSTIC WAN ACCELERATION / REDUNDANCY WS_FTP Server with SSH Simple. Secure. Managed. • • • • •
SSL / SSH support PCI DSS Compliance FIPS 140-2 ValidatedCryptography Secure Copy (SCP2) SSH Key Management www.wsftp.be
NEW: Wireshark Training • Analyzing TCP/IP Networks • Troubleshooting and Securing TCP/IP Networks www.wiresharkuniversity.be
MOVEit: Secure Managed File Transfer • Built-in end-to-end encrypted transfer and storage • Encrypted transfer over SSL (FTPS/ HTTPS), SSH(SFTP) and EDIINT ASx • Non-repudiation and guaranteed delivery • FIPS 140-2 validated cryptography (NIST and CSE) • Hardened platform and OS security independence www.scos.nl
Authorized Training Partner
Book: Wireshark Network Analysis • The Ultimate Guide • The Official Wireshark Certified Network Analyst Study Guide www.wiresharkbook.be
AirPcap
Cascade Pilot
802.11 a/b/g/n Wi-Fi Capture Adapters www.airpcap.be
Network Communication, Analysis and Forensic investigation www.airpcap.be
CSI – Cyber Security Investigations and Network Forensic Analysis Practical Techniques for Analyzing Suspicious Network Traffic
• Forensics Analysis fundamentals • Data Recorder technology and data-mining • Network security principles Security threat recognition
Colofon - Editorial
Infosecurity.nl magazine is het enige onafhankelijke vakblad in de Benelux dat zich expliciet bezighoudt met informatiebeveiliging. Het blad beweegt zich op het snijvlak van technologie en beleid. Vanaf het hekwerk tot in de boardroom.
magazine Infosecurity.nl magazine verschijnt viermaal per jaar, toezending geschiedt op abonnementbasis Uitgever Jos Raaphorst 06 - 347 354 24
[email protected] Hoofdredacteur Hans Lamboo 06 – 166 486 70
[email protected]
CSI – CYBER SECURITY INVESTIGATIONS TRAINING
This course is designed for Network Security and Law Enforcement Personnel:
g
• Understand Network Forensics Analysis • Utilize tools to recognize traffic patterns associated with suspicious network behavior • Reconstruct suspicious activities such as Emails, file transfer or Web-Browsing for detailed analysis and evidentiary purposes • Understand and recognize potential network security infrastructure misconfigurations
CSI Courses CSI-trainers are Certified Wireshark University Trainers, member of FBI InfraGard, Computer Security Institute, the IEEE and Cyber Warfare Forum Initiative. www.scos.nl
FOR EXTREME UP TIME... ALL THE TIME • The highest level of WAN Redundancy
• Firewall, VPN, IPSec and DHCP Server
• SmartDNS for automatic inbound/ outbound line failover and dynamic load balancing
• MultiPath Security (MPSec) for the highest possible secure transmission and redundancy for VPN tunnels
• Automatic VPN, VoIP, Thin Client load balancing and auto failover of sessions
• Multi-line QoS, WAN Optimization, acceleration and compression
Advertentie-expolitatie Will Manusiwa 06 - 38065775
[email protected] Abonnementen Wilt u zich abonneren op Infosecurity.nl magazine of heeft u een vraag over uw abonnement? Stuur een e-mail naar
[email protected] Vormgeving Media Service Uitgeest Drukwerk Control Media Infosecurity.nl magazine is een uitgave van FenceWorks B.V. Maredijk 17 2316 VR Leiden 071 – 5214998 © 2013
Niets uit deze uitgave mag op enigerlei wijze worden overgenomen zonder uitdrukkelijke toestemming van de uitgever. Meer informatie: www.infosecuritymagazine.nl
Besef Onlangs zag ik een spannend filmpje. Het laat een regenachtig, nachtelijk straatje zien dat zwak verlicht wordt door enkele lantaarns. Tegen de gevels aangedrukt beweegt zich een gestalte in donkere kleding, de kraag van de jas hoog opgeslagen, een dikke sjaal om en een muts op. De gestalte sluipt zo naar het einde van de straat, waar hij in het licht van de neonreclame van een bank stapt. Om zich heen spiedend drukt de persoon zich tegen de daar aanwezige geldautomaat aan en onderwerpt de pasinvoer aan een nauwgezet onderzoek. Pas als dat zijn goedkeuring kan wegdragen reikt hij in zijn binnenzak en steekt zijn pinpas in de sleuf. Nogmaals om zich heen speurend plaatst hij zijn gehandschoende hand ter
gevraagde code verstrekken, ze zijn immers niet gek. Deze Pavlov-achtige reactie is een knap staaltje conditionering. Het besef dat het weggeven van je pincode tot verstrekkende gevolgen kan leiden, is helemaal doorgedrongen in ons systeem. Het niet direct kunnen vinden van bijvoorbeeld een portemonnee of een sleutelbos leidt tot een bijna panische reactie; een soortgelijke reactie kennen we van mensen die niet meer zeker weten of ze
Onze conditionering werkt uitstekend in de analoge wereld – maar niet in cyberspace. afscherming op het display en tikt zijn pincode in. Zo snel als de procedure het toelaat neemt hij de pas weer uit de automaat en bergt die zorgvuldig op, neemt zijn geld uit de automaat en steekt dat weg, kijkt uitgebreid om zich heen, en als de kust veilig is begeeft hij zich sluipend terug naar huis. Daar aangekomen neemt hij plaats achter de pc. Zonder enige bedenking of voorbehoud tikt hij waar het maar gevraagd wordt wachtwoorden en creditcardnummers in, en geeft hij in antwoord op een mailtje van zijn bank zijn pincode. Tot slot opent hij nog een leuke felicitatiekaart van een anonieme afzender - waarna de pc explodeert. Grappig dus. Maar tegelijk uiterst leerzaam. Als je aan een willekeurige kennis vraagt om zijn pincode, schiet hij of zij direct in de verdediging. Geen van hen zal je de
de voordeur op slot hebben gedaan, of het strijkijzer dan wel gasfornuis hebben uitgedaan. De persoon in kwestie rust niet voor hij zekerheid heeft dat alles in orde is. Onze veiligheid is in gevaar en daar reageren we op zoals ons dat geleerd is. Tot zover de analoge wereld. Vreemd genoeg kun je via de digitale wereld veel gemakkelijker achter persoonlijke gegevens komen. Onze conditionering werkt uitstekend in de analoge wereld – maar niet in cyberspace. Het zal nog minstens een generatie duren voor die zich ook tot in de digitale wereld uitstrekt, tot ons systeem is doordrenkt van het besef dat de digitale wereld vele malen gevaarlijker kan zijn dan de analoge.
Hans Lamboo is hoofdredacteur van Infosecurity.nl magazine
WWW.SCOS.NL
Distribution: SCOS Benelux • www.scos.nl •
[email protected] • tel. +31 (0)23 5685615 • tel. +32 (0)28081587
Infosecurity.nl magazine - februari/maart 2013
www.overheid-en-ict.nl 23 t/m 25 april 2013 Jaarbeurs Utrecht
Overheid & ICT is hét platform voor ICT-toepassingen en -diensten voor de overheid
In f o r als s matie leute l vo o een slimm r e ov e r h eid
g
INHOUD
9 Recht & informatiebeveiliging In elke editie van Infosecurity zal Mr. Victor A. de Pous de juridische aspecten van security onderzoeken en toelichten.
Nationaal Cyber Security Centrum maakt Nederland veiliger
6
Het NCSC is een volgende stap op het evolutiepad van het Government Computer Emergency Response Team, kortweg GovCERT. Was de laatste een volledige overheidsinstelling, het NCSC is een publiek/privaat samenwerkingsverband met als belangrijkste doel Nederland ook digitaal veiliger te maken. “Dat doen we door eerst de overheid en de vitale sectoren van ons land veiliger te maken,” zegt Elly van den Heuvel, General Manager van het NCSC.
12 Veilige toegang met smartphone tot data in de cloud Hackers vinden steeds nieuwe manieren vinden om misbruik te maken van cloud-data door ongeoorloofde toegang te krijgen via notebooks, tablets en smartphones, schrijft Remco van der Zwet van Kaseya. 16 Identity is de nieuwe perimeter De manier waarop informatiebeveiliging is ingericht heeft ervoor gezorgd dat elk mens over een hele reeks identiteiten beschikt . Met modern ingericht Identity Management is de identiteit van elke persoon losgekoppeld van zijn rol. Paul Ferron van CA Technologies legt uit hoe. 18 Explosieve groei in bedreigingen voor Android in 2013 Gastcolumn van Tonny Roelofs van Trend Micro. 19 Beursinformatie Infosecurity.be, Storage Expo en Tooling Event De Belgische pendant van het Nederlandse evenement vindt plaats op 24 en 25 maart 2013 in Brussel. In het hart van dit blad vindt u de plattegrond van de beurzen, een exposantenlijst en een overzicht van de seminarprogramma’s. 33 MAP vult MDM aan in mobiele beveiliging Levert Mobile Device Management nog wel afdoende beveiliging in deze wereld vol nieuwe zakelijk apps? Frans van der Geest bericht. 34 Een stap verder dan next generation Het is goed mogelijk om kosten op IT-security te besparen zonder afbreuk te doen aan de mate van beveiliging, vertelt Etiënne van der Woude van WatchGuard aan Ferry Waterkamp.
Weet wat er speelt in de Cloud. Volg de Cloud Tour op Overheid & ICT
36 Verzeker uw data, nu het nog kan Bedrijven focussen vooral op kostenbesparing en te weinig op veiligheid. Dat kan een bedrijf duur komen te staan. In de cloud gaan kostenefficiëntie en veiligheid hand in hand, stelt Aad Dekkers van EVault.
#oict13
Vraag nu gratis uw toegangsbadge aan via overheid-en-ict.nl MEDE MOGELIJK GEMAAKT DOOR
BRANCHEORGANISATIES
HOOFDMEDIAPARTNERS
KENNISPARTNER
MEDIAPARTNERS
39 Portofoons rukken op in het bedrijfsnetwerk Doordat portofoons ook steeds meer geschikt zijn voor dataverkeer en mobiele apparatuur via het Wifi-netwerk portofoon-functies krijgen, dreigt een gevaarlijk security-gat te ontstaan. 40 Security versus Performance Het beveiligen van informatie heeft altijd invloed op de prestaties van applicaties. Nu bedrijven steeds meer in de cloud en op mobiele apparatuur gaan werken met bedrijfskritische applicaties, groeit de behoefte om deze twee KPI’s te optimaliseren. Dat kan met zogenaamde ‘Application Delivery Controllers’. 42 Veiligheid uit het Oosten Gastkolom van Serge Vandenhoudt van T-Systems.
Trends
in cybercrime
10
Veel beveiligingsexperts voorspellen dat zakelijke beveiligingsincidenten in 2013 in het teken zullen staan van kwetsbaarheden in clouds, aanvallen op mobiele apparaten en grootschalige cyberoorlog. De onderzoekers achter het Verizon Data Breach Investigations Report komen echter tot een totaal andere conclusie. Volgens hen bestaat er dit jaar een veel grotere kans op authenticatiegerelateerde aanvallen en storingen, bedrijfsspionage, ‘hacktivisme’, misbruik van kwetsbaarheden in webapplicaties en social engineering.
Behaviour wordt key
56
Identiteit en de authenticatie daarvan is een groeiend probleem. Het aantal internetcriminelen dat identiteiten steelt, groeit. Identiteiten die worden gebruikt om geld over te boeken of toegang te krijgen tot technologiebeschrijvingen en R&D-rapporten. Het identificeren en analyseren van gedragspatronen van mensen én software kan helpen bij authenticatie, bij de detectie van malware en de identificatie van hackers, stelt Corné van Rooij van RSA.
Infosecurity.nl magazine - februari/maart 2013
g
Nationaal Cyber Security Centrum publiek/private samenwerking
‘Nederland moet
private sector echt een representant van de hele sector is. Het is niet de bedoeling dat er individuele bedrijven worden vertegenwoordigd. Het detacheringsmes snijdt aan twee kanten: het centrum krijgt meer inzicht in de sector en de sectorvertegenwoordiger krijgt meer informatie over cyber security en cyber crime – en kan zijn netwerk enorm uitbreiden.” Gezien de interesse verwacht Van den Heuvel het detacheren in 2013 goed te kunnen gaan invullen.
veiliger’
De vaste medewerkers van het NCSC zijn momenteel ambtenaren, maar het is de bedoeling ook op personeelsgebied tot een publiek/privaat samenwerkingsverband te komen. In 2013 zal vorm worden gegeven aan de publiek/private governance van het centrum. Uiteraard wordt gestreefd naar nauwe samenwerking met de wetenschap.
Het Nationaal Cyber Security Centrum (NCSC) is een volgende stap op het evolutiepad van het Government Computer Emergency Response Team, kortweg GovCERT. Was de laatste een volledige overheidsinstelling, het NCSC is een publiek/privaat samenwerkingsverband met als belangrijkste doel Nederland ook digitaal veiliger te maken. “Dat doen we door eerst de overheid en de vitale sectoren van ons land veiliger te maken,” zegt Elly van den Heuvel, General Manager van het NCSC.
Het NCSC ondersteunt de overheid en de vitale sectoren in de maatschappij – zoals telecom, energie, transport, multinationals, banking – op een aantal manieren. Een daarvan is Incident Response. “Voor de bij het centrum betrokken organisaties zijn we elke dag van het jaar 24 uur bereikbaar om ze te helpen bij incidenten waar ze zelf niet meer uitkomen,” legt Van den Heuvel uit. “Daarnaast hebben we een waakdienst die het internet monitort van ’s morgens 9 tot ’s avonds 9 uur – daarna nemen onze Australische collega’s het van ons over. We onderzoeken verschillende bronnen om een beeld te krijgen wat zich op internet afspeelt, waarbij we vooral op kwetsbaarheden letten.” Het werk dat het NCSC doet, gebeurt over de hele wereld: er zijn meer dan 200 CERT’s in 43 landen, die onderling intensief met elkaar communiceren. Het NCSC heeft met de meeste CERT’s een nauwe relatie, en een speciale band met de Australische collega’s. “Het NCSC is dus eigenlijk veel groter dan dit kantoor in Den Haag,” stelt Van den Heuvel. “Het is een wereldwijd netwerk van mensen die dedicated met elkaar samenwerken.” Samenwerkingsverbanden Voorloper GovCERT was een pure overheidsinstelling, maar het NCSC is een pu
bliek-private samenwerking. “We zijn bezig om private partijen aan het centrum te binden. Een van de grote resultaten die we het afgelopen jaar behaald hebben, is dat de ISAC’s zich per 1 januari 2013 hebben verbonden aan het centrum. Information Security Assessment Centers (ISAC’s) zijn informatieknooppunten per sector, waar bedrijven heel veel kennis en ervaring delen op het gebied van cyber security. Er zijn multinational ISAC’s, banking ISAC’s, het zijn er heel wat en er komen er nog bij. Maar wat ze gemeen hebben is dat ze van cruciaal belang zijn voor de economie van ons land. Op die manier hebben we direct contact met de vitale sectoren. We hebben geen zeggenschap over ze, de ISAC’s zijn zelf in de lead, maar het feit dat we met elkaar verbonden zijn en heel veel informatie delen, is van enorme toegevoegde waarde.” Vanuit de publieke sector heeft het NCSC liaisons, zoals vanuit Defensie, de OPTA, de SIDN, de AIVD, de KLPD – alle partijen die te maken hebben met cyber security of cyber crime. Die groep van ongeveer 10 liaisons, komt minstens één keer week samen voor het delen van informatie en het maken van analyses. “Niet alle informatie wordt zomaar gedeeld,” benadrukt Van den Heuvel. “Dat verloopt allemaal
DOOR Hans Lamboo
via vastgestelde protocollen. Vertrouwen is in ons werkveld buitengewoon belangrijk en dat mag niet geschonden worden.” Naast het liaison-schap is het ook mogelijk mensen te detacheren bij het NCSC.
Op dit moment werkt er iemand uit de energiesector voor twee jaar bij het centrum. Een bijzondere en waardevolle constructie, vindt Van den Heuvel, die dat meer wil gaan doen. “Het is daarbij wel van belang dat een gedetacheerde uit de
Organisatie en werkwijze Het NCSC maakt onderdeel uit van de Directie Cyber Security, die bestaat uit het centrum en een beleidscluster. Een mooi model, vindt Van den Heuvel, omdat de ervaringen uit de operatie gedeeld kunnen worden met de beleidsmakers. De genoemde Directie Cyber Security maakt weer onderdeel uit van de Nationaal Coördinator Terrorismebestrijding en Veiligheid. “In het beleidscluster zitten 10 mensen met eigen portefeuilles, zoals bijvoorbeeld Europese Strategie, en Meldplicht. De implementatie daarvan gebeurt vanuit hier,” legt Van den Heuvel uit. “Er is veel belangstelling voor onze organisatie vanuit de hele wereld. De manier waarop wij in Nederland vorm hebben gegeven aan de strategie en de invulling daarvan, wordt wereldwijd gezien als een van de betere modellen. Het NCSC is echt publiek-privaat en gekoppeld aan beleid.” In de Cyber Security Raad hebben vertegenwoordigers van wetenschap, overheid, en bedrijfssectoren zitting. “Dat zijn echt invloedrijke mensen, de Captains of Industry. Dat zie je in geen enkel ander land. Ze hebben misschien wel een Raad, maar daar zitten vooral mensen in die verstand hebben van IT. Bij ons is de Raad invloedrijk: zij rapporteert aan de minister.” Als een van de in het NCSC deelnemende partijen een calamiteit meldt, gaat een team van experts er naartoe. “We komen
primair om rust te brengen. We beginnen niet direct in allerlei systemen te wroeten – die zijn immers eigendom van de organisatie. Rust en overzicht, daar begint het mee. We brengen natuurlijk heel veel kennis van zaken mee en een systematische approach om het probleem aan te pakken. We hebben inmiddels veel ervaring opgedaan,” zegt Van den Heuvel. “Een hack heeft vele kanten. In principe moet de organisatie de problemen zelf oplossen of een expertbedrijf inhuren. Meldt een organisatie het incident bij het NCSC, dan willen we uit gesprekken met de betrokkenen eerst antwoord hebben op de vraag: is de nationale veiligheid in gevaar? Is het antwoord ja, dan treden we direct handelend op. Dan komt ook de Directeur Cyber Security in actie en we gaan met elkaar proberen om de problemen te bestrijden of de schade te beperken.” Op het moment dat de nationale veiligheid in het geding is, is het van groot belang dat de ‘reparatiewerkzaamheden’ vakkundig en afdoende worden uitgevoerd. De gehackte partij moet dan ook hun plan van aanpak voorleggen en regelmatig aan het NCSC rapporteren. “We zijn er niet om de getroffen organisatie daarop af te rekenen, maar om te helpen,” stelt Van den Heuvel. “Dat kan technisch zijn, maar bijvoorbeeld ook op communicatiegebied.” Het melden van incidenten gebeurt nu nog vrijwillig, maar er is een meldingsplicht in aantocht waar 6 vitale sectoren zich aan hebben verbonden. Als er zich een incident, groot of klein, voordoet begint het centrum met de feiten op tafel te krijgen. “We checken of wat gezegd wordt waar is. Dat betekent dat we regelmatig – ik moet dat woord echt even gebruiken – incidenten de-hypen. We brengen het incident terug naar realistische proporties en echte feiten,” aldus Van den Heuvel. “Maar ook andersom: soms krijgen we een melding van een zogenaamd ‘klein’ incident, waarvan onze experts constateren dat het helemaal niet zo klein is, maar veelomvattend. DigiNotar is daar een voorbeeld van.” Niet alles op het gebied van cybersecurity is technisch. Er bestaat ook nog zoiets als awareness. Als bij bedrijven de top niet doordrongen is van het belang dat men moet investeren in informatiebe-
Infosecurity.nl magazine - februari/maart 2013
g
Nationaal Cyber Security Centrum
veiliging, dan gebeurt er niet zoveel, constateert Van den Heuvel. “Het centrum heeft een cybersecurity-strategie geformuleerd waar awareness een onderdeel van is. Een mooi voorbeeld is dat de leden van de Cyber Security Raad in het komende jaar zo’n 30 gesprekken gaan voeren in met collega-boardmembers om awareness te creëren. Dat kunnen we niet alleen. Een van de leuke dingen die we in 2012 hebben gedaan en die we zeker gaan voortzetten is de campagne Alert Online. Dat is een publiek-privaat initiatief waarbij het vooral om awareness gaat, bij de top en bij de mensen op de werkvloer. Kennis > houding > gedrag, die drietrapsraket is er bij elke communicatiestudent ingeslepen: het begint dus bij kennis.” Wat kan de gemiddelde IT-afdeling bijdragen aan betere cyber security? “Het zou al heel fijn zijn als ze goed in kaart brengen wat er allemaal draait. Ik maak toch mee dat dat nog steeds niet overal het geval is. Het zou ook fijn zijn als deze mensen wat vaker op onze site kijken en weten waar de kwetsbaarheden zitten. Maar ik vind dat de verantwoordelijkheid voor de informatiebeveiliging niet alleen bij de IT-afdeling gelegd mag worden. Absoluut niet, dat kan niet en mag niet. Het begint in de boardroom. Er zijn natuurlijk altijd maatregelen die impopulair zijn. Thuis kan alles, maar op mijn werk mag dit niet en dat niet. Maar dan Elly van den Heuvel is General Manager van het Nationaal Cyber Security Centrum, ressorterend onder de Directie Cyber Security, onderdeel van de Nationaal Coördinator Terrorismebestrijding en Veiligheid. Zij heeft een vrij lange carrière achter de rug bij de overheid, met name bij Justitie: ze was onder meer beleidsmedewerker en hoofd van een stafbureau. Na een tijd hoofd van de ICT-afdeling te zijn geweest, werd ze in 2008 benoemd tot manager van GovCERT. Toen dat begin 2012 opging in het Nationaal Cyber Security Centrum werd ze benoemd tot General Manager.
is het aan de communicatieafdeling en het management om uit te leggen wat de gevolgen zijn als je je er niet aan houdt. De manier waarop je het binnen je bedrijf neerzet speelt een belangrijke rol. Je mag nooit de IT-afdeling daar in z’n eentje voor verantwoordelijk maken,” aldus Van den Heuvel. Volgens haar moeten bedrijven een goede risico-afweging maken en op basis daarvan de mate bepalen waarop ze beveiligd moeten zijn. “Wat zijn nu echt de kroonjuwelen van het bedrijf, wat móét er absoluut goed beveiligd worden. Zorg daar dan ook voor en wat minder kan, hoef je minder te beveiligen. Het is een oud probleem in de IT om de balans te vinden tussen veiligheid en werkbaarheid. Dat kan voor elke organisatie anders zijn, maar dat gesprek moet wel gevoerd worden. Ook de eindgebruiker moet zijn verantwoordelijkheid nemen.” Van den Heuvel pleit voor een dedicated Security Officer bij organisaties. “Security is zo belangrijk dat je daar echt in moet investeren. Elke organisatie moet iemand met securitykennis en -ervaring in huis hebben, die ook nog eens invloed en zeggenschap heeft – en die rapporteert aan een van de bestuurders. Een Security Officer moet de taal spreken van de boardmembers en risico’s kunnen inschatten, en niet alleen een technisch verhaal hebben.” To do list Het werven van personeel staat in elk geval op de to-do-list voor 2013. Het centrum zoekt technische mensen, maar ook adviseurs en analisten. Er wordt verder gewerkt aan de vormgeving van de publiek/private samenwerking. Het nationale response netwerk wordt verder uitgebouwd; er bestaat al een Incident Response Board met daarin mensen uit de vitale sectoren. Ook de samenwerking met de wetenschap moet verder worden uitgebouwd, zegt Van den Heuvel. “We gaan samen kijken welke onderzoeken er nog moeten worden gedaan. Daar is geld voor vrijgemaakt; we gaan daar natuurlijk enorme
g Het Nationaal Cyber Security Centrum communiceert vooral via de website www.ncsc.nl. Daarnaast bestaat de website www.waarschuwingsdienst.nl die zich met name richt op het MKB en individuele burgers. Ook publiceert het centrum regelmatig fact sheets over onderbelichte onderwerpen, zowel via de websites als de via de media. Elk jaar verschijnt het Cyber Security Beeld – ook in een publiek/privaat samenwerkingsverband – waarin de belangrijkste trends, dreigingen en kwetsbaarheden op het gebied van cybersecurity en cybercrime op een neutrale, feitelijke manier worden gepresenteerd. Het NCSC is momenteel gevestigd in een gebouw aan de Wilhelmina van Pruisenweg te Den Haag. In juli 2013 verhuist het centrum naar het hoofdgebouw van het ministerie van Justitie en Veiligheid.
sprongen voorwaarts in maken. We gaan kijken hoe we het security-onderwijs in het algemeen kunnen opwaarderen. Dat is eigenlijk niet onze taak, maar we gaan met een aantal partijen kijken of we meer gekwalificeerde mensen kunnen opleiden. En we gaan werken aan het Nationaal Detectie Netwerk om meer informatie over malware te verkrijgen en verwerken. Dat doen we niet door in systemen te zoeken, maar door het uitwisselen van gedetecteerde malware om die te bestuderen en te ontdekken waar besmetting mogelijk is. We willen op dat gebied graag proactiever worden.” En dan is er natuurlijk de me de meldplicht die verder vorm moet worden gegeven. Een overvolle lijst voor 2013. Voor de lange termijn zijn de doelstellingen van Elly van den Heuvel en het NCSC duidelijk: er moet op termijn een goed Nationaal Response Netwerk zijn, een goed Nationaal Detectie Netwerk en een goed Nationaal Research Netwerk. Die drie netwerken moeten de basis vormen om Nederland echt veiliger te maken. Hans Lamboo is hoofdredacteur van Infosecurity.nl magazine.
De verantwoordelijkheid voor informatiebeveiliging mag niet alleen bij IT gelegd worden.
Recht & Informatiebeveiliging
Juridisch net rond
informatiebeveiliging sluit zich Het ene digitale lek tuimelt over de andere heen. Kwetsbaarheden in elektronische technologie en infrastructuur maken dagelijks headline news. Genadeloos worden slecht-beveiligde, gehackte organisaties aan de publieke schandpaal genageld. Wetgevers en rechters leggen verplichtingen op, stellen perk en paal aan de toepassing van ICT en proberen op deze wijze gedrag te sturen. Overigens met merkwaardige piketpalen en grijze gebieden. Zo is het downloaden van muziek en filmsuit illegale bron op grond van het Nederlandse strafrecht nog altijd legaal, maar van computerprogramma’s en games strafbaar. Dat begrijpt geen hond.
Informatiebeveiliging krijgt in ieder geval steeds vaker een gecodificeerde basis en niet alleen via de tot nu toe gangbare weg van strafrecht en privacyrecht. Parallel rukken allerhande wettelijke beveiligingsverplichtingen op via andere routes. Staats- en bestuursrecht, maar tevens het telecommunicatierecht komen in vizier. Net zo als meldverplichtingen bij storingen en lekken. En zelfs voor meer dan ICT alleen, zoals de regeling omtrent de bescherming van vitale infrastructuren in Nederland laat zien. Verder constateren we beleidsontwikkelingen. Justitie heeft namelijk recent een leidraad gepubliceerd over ‘verantwoorde openbaarmaking’ van ICT-kwetsbaarheden. De bottom-line voor ‘ethische hackers’ (de melders) luidt: publiceer niet klakkeloos de resultaten je daden. Voor organisaties is de hoofdregel: zorg dat je beleid hebt ontwikkeld hoe met een melding om te gaan en draag dat uit. Vooral informatiebeveiligers bij ICT-leveranciers en gebruikersorganisaties krijgen voor hun kiezen, omdat ze kennelijk hun zaken niet op orde hebben. Dat mag deels terecht zijn, maar vervolgens repliceren we met verve dat algemeen management en individuele gebruiker regelmatig boter op hun hoofd hebben. Organisatiebreed beleid, controle en sancties in de organisatie ontbreken nogal eens, terwijl gebruikers vaak domweg doen waar ze zin in hebben. Van slecht wachtwoordbeheer tot de inzet van ‘rogue clouds’. Het laatstgenoemde betreft de ongecontroleerde toepassing van
clouddiensten. Denk aan WhatsApp, de populaire berichtendienst die toegang heeft tot alle zakelijke en privécontacten van de gebruiker, zelfs degenen die geen WhatsApp-account hebben. Of de eveneens gratis, Dropbox-achtige opslagdiensten, welke mede op grond van hun gebruiksvoorwaarden niet geschikt zijn voor vertrouwelijk bedrijfsinformatie. Juridische normstelling in wet- en regelgeving en in contracten wil echter niet zeggen dat inbreuk op voorschriften coûte que coûte tot juridische aansprakelijkheid leidt. Sterker nog, bij de ontelbare incidenten in het domein informatiebeveiliging valt juist op dat aansprakelijkheidskwesties nauwelijks aan de orde komen, ondanks het feit dat bij inbreuk op persoonsgegevens maar liefst strafrechtelijke bestuursrechtelijke en privaatrechtelijke sancties open staan voor respectievelijk het OM, de toezichthouder en slachtoffer. Maar de risicotrend is wel stijgend. Sony werd onlangs door de Engelse toezichthouder beboet vanwege de beruchte Sony Playstation Network hack (21 juni 2011), die ‘te voorkomen’ was en waardoor gegevens van 100 miljoen spelers gelekt werden. Hoogte sanctie: 250.000 pond. Dat betrof alleen de Engelse gedupeerden. Langs deze weg kan Sony in beginsel in ieder land, waar slachtoffers van deze inbraak zich bevinden, worden beboet. Ondertussen ontwikkelt het informatie- of ICT-beveiligingsrecht zich breder. Niet alleen meer wettelijke voor-
schriften; er gaan vrijwel zeker ook specifieke juridische kaders voor security experts ontstaan. Die bieden onder meer aanknopingspunten voor wanneer, de wijze waarop en onder welke voorwaarden een professionele informatiebeveiliger verplicht is om een ter zijner kennis gekomen digitale kwetsbaarheid te delen met anderen uit de beroepsgroep en de leverancier van het betrokken product of dienst. Samen met de kersverse leidraad voorresponsible disclosure betekent een en ander dat iedere organisatie beveiligingsbeleid moet ontwikkelingen. Dat vertaalt zich door in allerlei contracten: met werknemers, freelancers, adviseurs en ICT-leveranciers. Wie weigert informatiebeveiliging primair als een maatschappelijke plicht te beschouwen, handelt desgewenst op grond van angst voor juridische aansprakelijkheid en financiële sancties wegens noncompliance. Er is geen tijd te verliezen. Mr. V.A. de Pous is bedrijfsjurist en industrie-analist.
Infosecurity.nl magazine - februari/maart 2013
g
Verizon Data Breach Investigations Report: opkomst van ha
Trends
in cybercrime Veel beveiligingsexperts voorspellen dat zakelijke beveiligingsincidenten in 2013 in het teken zullen staan van kwetsbaarheden in clouds, aanvallen op mobiele apparaten en grootschalige cyberoorlog. De onderzoekers achter het Verizon Data Breach Investigations Report komen echter tot een totaal andere conclusie. Volgens hen bestaat er dit jaar een veel grotere kans op authenticatie-gerelateerde aanvallen en storingen, bedrijfsspionage, ‘hacktivisme’, misbruik van kwetsbaarheden in webapplicaties en social engineering. De bevindingen van de onderzoekers van het RISK (Research Intelligence Solutions Knowledge)-team van Verizon zijn gebaseerd op gegevens die een periode van acht jaar en duizenden onderzochte beveiligingsincidenten beslaan. Hun conclusies zijn te vinden in het Data Breach Investigations Report (DBIR). Een korte samenvatting Het rapport signaleert een drastische toename van ‘hacktivisme’: het inbreken in computersystemen omwille van politieke redenen of een maatschappelijk doel. In meer dan 58 procent van alle gevallen werden gegevens door hacktivisten gestolen. Deze ontwikkeling staat in sterk contrast tot de patronen van de afgelopen jaren, waarbij de meeste aanvallen afkomstig waren van cybercriminelen die uit waren op financieel gewin. Het aantal gestolen gegevensrecords steeg naar ongekende hoogten na een historisch dieptepunt te hebben bereikt (of hoogtepunt, het is maar hoe je het bekijkt). Er werden maar liefst 174 miljoen records geschonden, ten opzichte van 4 miljoen records in het jaar daarvoor. In 2011 was er zelfs sprake van het op een na hoogste aantal verloren gegevens sinds 10
Verizon in 2004 begon met het verzamelen van incidentgegevens. Hiertoe werkt het samen met bekende instanties op het gebied van rechtshandhaving, zoals de Amerikaanse geheime dienst (USSS); de Nederlandse National High Tech Crime Unit (NHTCU); de Australische politie (AFP), de Ierse Irish Reporting & Information Security Service (IRISSCERT) en
de Police Central e-Crime Unit (PCeU) van de London Metropolitan Police. 79 procent van de aanvallen die in het rapport aan bod komen, hadden een opportunistisch karakter. 96 procent van deze aanvallen was verre van complex en had voorkomen kunnen worden zonder moeilijke of kostbare ingrepen. Wat aanvalsmethoden betreft bleef het gebruik van hacking en malware groeien. Hacking speelde een rol bij maar liefst bij 81 procent van de incidenten en vormde de oorzaak van 99 procent van alle gevallen van gegevensverlies. Malware speelde eveneens een belangrijke rol in beveiligingsincidenten. Het werd ingezet bij 69 procent van alle aanvallen, en voor 95 procent van alle gevallen van gegevensdiefstal. Hacking en malware genieten de voorkeur van aanvallers, omdat deze technieken hen in staat stellen om op afstand meerdere slachtoffers tegelijk aan te vallen. Veel hacking- en malwaretools zijn speciaal ontwikkeld om het cybercriminelen zo eenvoudig mogelijk te maken. De opkomst van langzaam opgebouwde, onopvallende aanvallen Waar veel beveiligingsexperts hun voorspellingen baseren op anekdotes en meningen, zetten de DBIR-onderzoekers empirisch bewijsmateriaal in om bedrijven te helpen om hoofdzaak van bijzaak te onderscheiden en zich te concentreren op wat het komende jaar van werkelijk belang is. Het onderzoek wijst erop dat beveiligingsincidenten bij grote ondernemingen in 2013 veel waarschijnlijker het resultaat zullen zijn van langzaam opgebouwde, onopvallende aanvallen dan van een grootschalige cyberoorlog.
cktivisme en spionage De meest waarschijnlijke bedreigingen voor de informatiebeveiliging – met een waarschijnlijkheidspercentage van 90 procent – zijn aanvallen en fouten die samenhangen met de authenticatie. In veel gevallen zullen zwakke of gestolen gebruikersnamen en wachtwoorden de aanleiding vormen voor incidenten. Gemiddeld wordt er bij negen van de tien indringingspogingen misbruik gemaakt van identiteiten of authenticatiesystemen. Bedrijven kunnen dan ook niet zonder goed doortimmerde procedures voor het maken, beheren en bewaken van gebruikersaccounts en aanmeldingsgegevens voor hun systemen, apparaten en netwerken. Volgens het onderzoek bestaat er een kans van 75 procent dat aanvallen op internetapplicaties gericht zullen zijn op grotere organisaties, en in het bijzonder overheidsinstellingen, in plaats van kleine en middelgrote bedrijven. Organisaties die in 2013 een afwachtende houding innemen en zich niet actief bezighouden met de ontwikkeling van veilige applicaties en netwerkevaluaties vragen dan ook om problemen. Bij aanvallen op grotere ondernemingen en overheidsinstellingen is sprake van een verdriedubbeling in het gebruik van sociale tactieken zoals phishing. Hierbij maken criminelen gebruik van slimme — en soms onbeholpen — misleidingstrucs om zich toegang tot bedrijfsgegevens te verschaffen. Hoewel het onmogelijk is om alle menselijke fouten en zwakheden uit een organisatie te bannen, is het mogelijk om met een verhoogde waakzaamheid en effectieve interne informatievoorziening dit soort trucs een halt toe te roepen. Een belangrijke conclusie van DBIR 2012 is dat er sprake zal blijven van gerichte aanvallen die in het teken staan van bedrijfsspionage en hacktivisme. Voor bedrijven en organisaties is het van cruciaal belang om hierop beducht te zijn.
Verder kijken dan de hype rond de gevaren van de cloud en mobiliteit Veel mensen vragen of de cloud een belangrijke rol speelt bij beveiligingsincidenten die Verizon onderzoekt. Niets
door Ben van Erck
wijst erop dat storingen of verkeerde configuraties binnen cloud-omgevingen de achterliggende oorzaak zijn van incidenten. Cloud-aanbieders kunnen echter de kans op een gegevensincident vergroten door de verkeerde maatregelen te treffen – of helemaal geen maatregelen te nemen.
2.
3. Wat betreft risicobeheer binnen cloudomgevingen is de grootste uitdaging om te beschikken over de gegevens die nodig zijn om de juiste beslissingen ten aanzien van de beveiliging te nemen. De onderzoekers adviseren beveiligingsmanagers een deel van de kostenbesparingen van de overstap naar de cloud, opnieuw te investeren in een oplossing die hen een beter overzicht op hun cloud-omgeving biedt. Dit kan gaan om krachtig identiteits- en toegangsbeheer, effectievere managed services of voortdurende netwerkbewaking. Wat mobiliteit betreft stelt DBIR 2012 dat er veel meer sprake zal zijn van verlies en diefstal van mobiele apparaten — met onversleutelde gegevens — dan van aanvallen op basis van hacking en malware. Aanvallen op mobiele toestellen door cybercriminelen houden sterk verband met de groeiende populariteit van mobiele betalingen onder bedrijven en consumenten. Het gebruik van mobiele apparaten als middel om in bedrijfsnetwerken in te breken zal na 2013 echter afnemen. 97 procent van alle aanvallen had voorkomen kunnen worden Maar liefst 97 procent van de incidenten die in het rapport worden geanalyseerd, was zonder moeilijke of kostbare ingrepen te voorkomen geweest. Dit geeft aan dat veel organisaties helaas onvoldoende weet hebben van de maatregelen die ze kunnen treffen om beveiligingsincidenten te voorkomen. Verizon heeft in de loop van jaren een aantal simpele aanbevelingen ontwikkeld die bedrijven helpen hun beveiligingsprocedures te optimaliseren en incidenten te voorkomen: 1.
4.
van alle belangrijke gegevens die u wel moet bewaren; Implementeer essentiële beveiligingsmaatregelen. Zorg ervoor dat de juiste beveiligingsmechanismen aanwezig zijn en controleer regelmatig of ze naar behoren functioneren; Bewaak uw logbestanden en controleer ze op verdachte activiteit. De meeste incidenten worden ontdekt door het analyseren van logbestanden; Deel de onderdelen van uw beveiligingsstrategie op prioriteit in. Evalueer de beveiligingsrisico’s voor uw organisatie en ontwikkel op basis van deze inzichten een op uw organisatie afgestemd en op prioriteiten ingedeeld beveiligingsprogramma.
Volgens Verizon zijn een grotere publieke bewustwording rond cyberbedreigingen en betere informatievoorziening aan eindgebruikers van doorslaggevend belang in de strijd tegen cybercriminaliteit. Voortdurende en realistische bedreiging Grote ondernemingen zijn vaak geneigd prat te gaan op hun beveiligingsstrategie en -programma’s. Toch is de kans dat zij beveiligingsincidenten zelf detecteren in de praktijk veel kleiner dan de mogelijkheid dat ze hiervan op de hoogte worden gesteld door de politie. Bedrijven die incidenten wel zelf ontdekken, doen dit meestal per ongeluk. De hierboven beschreven beveiligingsincidenten vormen een voortdurende en realistische bedreiging. Voor bedrijven is het daarom zaak regelmatig hun beveiligingsprogramma’s onder de loep nemen. Of het nu gaat om een klein of een grootschalig incident, elk incident is er één teveel. Sommige typen incidenten worden echter teveel gehyped. De kans dat bedrijven door deze incidenten worden getroffen, is veel kleiner dan over het algemeen wordt aangenomen.
Ben van Erck is Manager EMEA, Verizon RISK Team
Verwijder onnodige gegevens. Tenzij er een dringende reden is gegevens te bewaren, moet u deze vernietigen. Zorg voor een effectieve bewaking Infosecurity.nl magazine - februari/maart 2013
11
g
Slecht beveiligde mobiele devices aantrekkelijke vehicels
Veilige toegang
voor hackers
DOOR Marwin Marcussen
uit de volgende voorbeelden: Een gat in het Digital Rights Management (DRM) van een multimediaspeler zoals Windows Media Player biedt aanvallers de mogelijkheid het doelsysteem aan te vallen door een trojan te installeren. Via een drive-by aanval wordt de internetgebruiker naar een webpagina gelokt die probeert malware te installeren door te zoeken naar kwetsbaarheden op het systeem van de gebruiker.
met smartphone tot data in de cloud
In cloud computing-omgevingen is de veiligheid van data en applicaties cruciaal. Daarom doen bedrijven en cloud-serviceproviders veel moeite om hun netwerken te beschermen tegen aanvallen van buiten en binnen. Wat ze vaak over het hoofd zien, is dat hackers nieuwe manieren vinden om misbruik te maken van cloud-data door ongeoorloofde toegang te krijgen via slecht beheerde apparaten als notebooks, tablets en smartphones. De populariteit van cloud computing neemt snel toe. Steeds meer bedrijven maken gebruik van diensten op het gebied van private, public of hybride clouds. Zij lopen daarbij tegen verschillende uitdagingen aan, waaronder integratie van eigen systemen met externe cloud-omgevingen, beheer en veiligheid. Vooral databeveiliging staat hoog op de agenda. Een enquête van de Cloud Computing Security Association (CSA) in 2012 onder gebruikers en leveranciers van cloud-diensten in Europa, NoordAmerika en India toonde aan dat voor 91 procent het verlies van gegevens de grootste bedreiging vormt. Ook onveilige Application Programming Interfaces (90 procent) en opzettelijke of onopzettelijke fouten van werknemers (88 procent) zijn veelgenoemde bedreigingen. Eindgebruikerapparatuur speelt een centrale rol in het beveiligen van een cloud-infrastructuur. Niettemin besteden veel bedrijven en organisaties hier weinig aandacht aan. Dat heeft te maken met de traditionele opvatting van IT-beveiliging. Die gaat uit van beveiliging van het bedrijfsnetwerk met behulp van firewalls, Unified Threat Management (UTM), 12
SIEM-systemen (Security Information en Event Management) en kwetsbaarheidscanners. Deze instrumenten zijn geoptimaliseerd om kwetsbaarheden van ITsystemen binnen het bedrijfsnetwerk te identificeren. Door de opkomst van cloud computing is deze benadering niet langer houdbaar: • Bedrijfskritische informatie en applicaties zijn niet meer uitsluitend binnen het bedrijfsnetwerk actief, maar ook in de datacenters van cloud-serviceproviders. • Gebruikers hebben toegang tot data en applicaties die deels intern beschikbaar zijn en deels in de cloud. Zij gebruiken daarvoor eindgebruikerapparatuur zoals laptops of smartphones die de ene keer wel achter de firewall of intrusion detection-systemen van het bedrijf zitten, maar de andere keer gebruikt worden in een onbeveiligde omgeving, zoals in een hotel of thuis. Volgens een onderzoek van IT-beveiligingsbedrijf Symantec in 2012 is al 48 procent van de zakelijke informatie in Duitsland opgeslagen buiten het bedrijfsnetwerk. Ongeveer 16 procent daarvan bevindt zich op smartphones en tablets. Voor systeembeheerders betekent dit
dat dergelijke apparaten moeten worden beschermd. Risico’s van gecompromitteerde eindpunten Cybercriminelen hebben al op deze trend gereageerd. Zij gebruiken verschillende manieren om systemen te compromitteren: • Infectie van een systeem met behulp van een applicatie (app) die een trojan op het apparaat installeert. Het doel van deze acties is bijvoorbeeld om een key logger te plaatsen op het systeem, die gebruikersnamen en wachtwoorden opslaat en doorgeeft aan de aanvaller. • Malware-infectie via besmette Microsoft Office-bestanden, zoals Excel- en Word-documenten. Deze methode wordt gebruikt om de bescherming van tokens te omzeilen. De malware verzamelt persoonlijke informatie en stuurt deze door naar de server van de cybercriminelen. • Aanvallen door middel van gemanipuleerde browser-plug-ins. Deze aanvalsvorm is vooral gevaarlijk omdat de meeste cloud-applicaties via een browser gebruikt worden. Dat
geldt ook voor desktopomgevingen binnen een Virtual Desktop Infrastructure (VDI). Een plug-in kan bijvoorbeeld klantinformatie stelen en doorgeven wanneer een gebruiker het CRM-systeem (Customer Relationship Management) van de organisatie opent. Essentieel: centraal beheerde antivirussoftware en beheer van patches Het mag triviaal klinken, maar de eerste verdedigingslijn van een eindgebruikerclient bestaat uit een effectief antivirusen anti-spywareprogramma. Dit vereist een gecentraliseerd systeem en mobile device management. Alleen dan kun je ervoor zorgen dat alle systemen dezelfde beveiliging hebben: van het werkstation binnen het bedrijfsnetwerk tot de tablet van de vertegenwoordiger. De tweede component voor het beveiligen van eindgebruikerapparatuur is goed werkend patch management. Ook in dit geval is zaak dat alle systemen (mobiele en vaste), platformen (besturingssystemen) en toepassingen (standaard applicaties en industrie-specifieke toepassingen) zijn afgedekt. Dit is zelfs voor
kleinere bedrijven niet mogelijk zonder een betrouwbare IT-managementoplossing, die patches automatisch uitvoert en de status van systemen continu bewaakt. Het is belangrijk om patches meteen nadat ze beschikbaar komen, te installeren. De praktijk leert echter dat het vaak enkele dagen duurt voordat dit gebeurt. Kleine en middelgrote bedrijven met maximaal vijfhonderd werknemers hebben de neiging om patches pas na ongeveer een week te installeren. Volgens Art Manion van het Computer Emergency Readiness Team (CERT) van de Carnegie Mellon University in Pittsburgh (VS) brengen softwareproducenten jaarlijks 8.000 tot 10.000 patches uit voor hun softwareproducten. Dat betekent dat patchmanagement vooral voor grotere bedrijven een complex proces is dat alleen te automatiseren is met behulp van het juiste gereedschap. Afzien van downloads helpt niet Een veel voorkomende misvatting is dat een apparaat veilig is zolang de gebruiker geen bestanden kan downloaden. Volgens studies van IT-beveiligingsbedrijf Kaspersky Lab klopt dit niet, zo blijkt
Gelaagde beveiligingsconcepten De voorbeelden tonen aan dat apparaten die dienen als systemen voor toegang tot bedrijfsnetwerken en cloud-omgevingen gevoelig zijn voor aanvallen. Voor effectieve bescherming is het dan ook nodig om meerdere beveiligingstechnieken te combineren. Hoe meer beveiligingslagen zijn, hoe beter. Het nadeel van deze benadering is echter dat het de prestaties van eindgebruikerapparatuur negatief beïnvloedt. Het is aan de IT-afdeling een compromis te vinden tussen veiligheid en prestaties van de apparaten. Een gelaagde beveiligingsaanpak voor eindgebruikerapparaten bestaat uit de volgende onderdelen: • Effectieve patching van besturingssystemen • Effectieve patching van alle applicaties • Het gebruik van een antivirusoplossing • Het gebruik van anti-malwaresoftware voor het afweren van spyware, spam, trojans en meer • Versleuteling van belangrijke gegevens • Inzet van een Data Loss Preventiesysteem • Digital Rights Management • Twee-factor-authenticatie Bovendien is het zaak de status van de terminalapparaten continu te registreren. Een organisatie kan er niet van uitgaan dat gebruikers zelf heel alert zijn op beveiligingsincidenten of ongewoon gedrag van een systeem en dat dan rapporteren. Dat is de verantwoordelijkheid van de IT-afdeling. Door hiervoor monitoringsoftware in te zetten, is dit proces te automatiseren. Apparatenbeheer op afstand Wanneer een apparaat geïnfecteerd is,
Infosecurity.nl magazine - februari/maart 2013
13
g
Slecht beveiligde mobiele devices
g
Explosieve groei
zal de IT-afdeling de gebruiker in de meeste gevallen vragen het apparaat in te leveren voor verdere analyse. Deze aanpak heeft twee grote nadelen: • Tijdverlies: zo lang de gebruiker het apparaat nog niet heeft in ingeleverd, kan een aanvaller misbruik maken van data; • Gevaar voor andere IT-systemen: een besmet systeem is onderdeel van het bedrijfsnetwerk. Zelfs bij een voorzichtige analyse door de IT-afdeling is het mogelijk dat het bedrijfsnetwerk ook een infectie oploopt.
in bedreigingen voor Android in 2013 2013 is net van start gegaan. Een goed moment dus om vooruit te blikken. Wat verwachten we dit nieuwe jaar op het gebied van security? Op basis van ons laatste onderzoeksrapport met daarin de belangrijkste security-trends voor 2013 voorspellen wij een groei van het aantal Android bedreigingen. Waren er eind 2012 nog 350.000 kwaadaardige Android apps te vinden, zal dit aantal in 2013 stijgen naar een miljoen.
Dit betekent dat IT-professionals tools nodig hebben die hen in staat stellen om apparaten op afstand te beheren, en die het tegelijkertijd mogelijk maken om zonder de hulp van de gebruiker beveiligingsproblemen op te lossen. Een dergelijke tool moet tenminste de volgende opties bieden: • Het ondersteunen van beveiligingsupdates en software-upgrades • Het op afstand wissen van informatie • Het op afstand blokkeren van het toestel • Traceren van het device op basis van GPS en IP-adres • Elementen van cloudbescherming Volgens het Amerikaanse adviesbureau Enterprise Strategy Group (ESG) omvat een effectieve beveiligingsstrategie voor cloud computing-omgevingen als basis de volgende elementen: • Regels (beleid): zowel de gebruikers als aanbieders van cloud-diensten moeten in staat zijn om naleving van IT-beveiliging en compliance-regels te garanderen. Dit omvat onder andere dat de IT-afdeling alle apparaten die toegang tot de cloud hebben centraal kan detecteren en beheren. Zo kan bijvoorbeeld een regel zijn dat alleen geautoriseerde systemen met de nieuwste patches en actuele virusbescherming toegang krijgen.
•
Om dergelijke regels op mobiele systemen, zoals smartphones af te dwingen, is mobile device management-software nodig, zoals Kaseya MDM. Identity Management: deze oplossing controleert welk apparaat of welke gebruiker toegang heeft tot een cloud-omgeving. In het ideale geval wordt identity management geïntegreerd in de IT-beheersoftware. Dan zijn toegangsrechten centraal toe te kennen op basis van de rollen voor individuele gebruikers of gebruikersgroepen. Informatiebescherming: hieronder valt het beheer van toegangsrechten voor individuele applicaties en databases. Een belangrijk punt hier is de timing van de dataversleuteling van en naar een mobiel apparaat. Bovendien zijn tools nodig die gegevens terug kunnen zetten op een eindgebruikersdevice.
Cloud computing is beschikbaar in verschillende vormen en de implementatie ervan heeft aanzienlijke gevolgen voor de beveiliging van informatie en IT-beveiliging. Beveiligingsconcepten voor cloud computing zijn nog nooit zoveel besproken als nu en worden steeds volwassener. Uit onderzoek blijkt dat 59 procent van de ondervraagde IT-managers veiligheid analyseert en veiligheidseisen heeft geformuleerd. Voor 49 procent van de respondenten is cloud security een onderdeel van een formeel informatiebeveiligingssysteem. Deze breed gedefinieerde aanpak omvat alle organisatorische, conceptuele en technische maatregelen voor het waarborgen van de integriteit, beschikbaarheid en vertrouwelijkheid van gegevens. Marwin Marcussen is Senior Consultant bij Kaseya
Eindgebruikerapparatuur speelt een centrale rol in het beveiligen van een cloud-infrastructuur. 14
Gastcolumn
Waarom Android? Het is eigenlijk geen verrassing dat we zo’n enorme toename van mobiele malware zien. Android is het dominante smartphone-platform en heeft veel succes. Cybercriminelen en mensen lezen de statistieken en de rapporten van analisten net zo goed, en bedenken manieren om gemakkelijk geld te verdienen via mobiele malware. In tegenstelling tot op de computer, verkrijgen criminelen via smartphones ook informatie over bijvoorbeeld de locatie en gebelde telefoonnummers. Dit zijn allerlei zaken die gemakkelijk verkocht kunnen worden aan bedrijven en instanties. Android-malware heeft in 3 jaar bereikt, waar PC-bedreigingen 14 jaar over hebben gedaan, blijkt uit het onderzoek van Trend Labs, het onderzoeksbureau van Trend Micro. Slechts 20 procent van de Android-gebruikers maakt gebruik van een beveiligingsapp. Dit is risicovol gezien er aan het einde van 2012 al 350.000 bedreigingen waren op dit relatief nieuwe platform.
Ontwikkeling In 2013 zullen mensen meer moeite hebben om de veiligheid van hun gegevens op hun verschillende apparaten te waarborgen. De verschillende platformen, besturingssystemen en beveiligingsmodellen zullen het voor de gebruiker moeilijker dan ooit maken om zich te beschermen tegen cybercriminaliteit. Eind 2012 waren er 350.000 kwaadaardige Android apps te vinden, en dit aantal zal in 2013 naar verwachting verdrievoudigen. Terwijl het aantal bedreigingen op apparaten met Android dus enorm zal toenemen, verwachten we een afname van malware voor traditionele pc’s. Door de opkomst van nieuwe lifestyle devices met toegang tot het internet kunnen bedreigingen op nieuwe en onverwachte plaatsen opduiken, zoals op televisietoestellen en in huishoudelijke apparaten. De kans op nieuwe, meer gerichte aanvallen op andere devices dan telefoons, laptops of tablets is dus groot. Het zou dus zelfs zo kunnen zijn dat criminelen het hebben gemunt op bijvoorbeeld televisietoestellen of huishoudelijke apparaten.
Kansen Wat betekent dit voor de huidige security-wereld? Het feit dat consumenten zo veel verschillende apparaten en platformen gebruiken, maakt de beveiliging complexer. Deze bedreigingen bieden security-bedrijven kansen om nieuwe standaarden voor veiligheid te bepalen en oplossingen te bieden om consumenten en bedrijven te beschermen tegen nieuwe vormen van internetcriminaliteit. Dit vergt een nieuwe, integrale aanpak van beveiliging. Beveiligingsbedrijven moeten nu reageren op de nieuwe trends om zo cybercriminaliteit een halt toe te roepen. Als we erin slagen om op tijd te anticiperen en maatregelen te nemen, kan 2013 wat ons betreft de boeken in als een cruciaal keerpunt in de oorlog tegen cybercriminaliteit.
Tonny Roelofs is Country Manager Trend Micro Nederland
Infosecurity.nl magazine - februari/maart 2013
15
g
Context en content aware identity management
Identity is de nieuwe
perimeter
Hoewel een persoon normaliter maar één enkele identiteit bezit, heeft de manier waarop informatiebeveiliging is ingericht ervoor gezorgd dat elk mens over een hele reeks identiteiten beschikt . Bij elke rol moet een apart masker worden opgezet dat zijn eigen rechten meedraagt: bij de gemeente, op school, in het ziekenhuis, op het werk, bij de bank, enzovoorts. Dat is lastig en dat zal in de loop der tijd alleen nog maar lastiger worden. Met modern ingericht Identity Management is de identiteit van elke persoon losgekoppeld van zijn rol. Een veilige wereld van gebruiksgemak gaat open. Er zijn op dit moment drie bepalende trends in de informatiewereld. De eerste is Big Data: bedrijven verzamelen zowel gewenst als ongewild enorme hoeveelheden data van allerhande categorieën en typen. Die data kan zowel in de servers on premise bevinden als in de cloud, en dat gegeven, en het feit dat de hoeveelheid data almaar groeit, maakt het steeds moeilijk om de data naar de gebruiker te brengen. Beter – want sneller en efficiënter – is het om de benodigde informatie te verzamelen op een bepaald punt en vervolgens de gebruiker naar de data te brengen. Dat is een geheel andere benadering en vraagt om een geheel andere aanpak van de beveiliging. De tweede trend is de Extended Enterprise. Geen enkele organisatie staat nog
16
geheel op zichzelf, maar maakt deel uit van een netwerk met partners, suppliers, klanten en wellicht sourcingpartijen en providers. Een bekende grote onderneming becijferde recent dat er alleen in hun directe omgeving al 150 bedrijven zijn waar een zekere mate van wederzijdse afhankelijk mee bestaat, vaak vanwege specialistische kennis of diensten. Er zijn dus veel mensen buiten de eigen organisatie die informatie van daarbinnen nodig hebben – snel en veilig. Dat heeft zeker impact op de beveiliging van de informatie. Tenslotte is er het verschijnsel dat de consumerization of IT wordt genoemd. Dat veroorzaakt een verandering in de manier waarop mensen met informatie omgaan: ze verwachten direct de infor-
matie in hun persoonlijke context te krijgen op het moment dat ze het nodig hebben, ongeacht de tijd en de plaats waar ze zich bevinden. Daar komt nog bij dat er een grote diversiteit aan devices moet worden ondersteund. Dat brengt zeker uitdagingen op het gebied van informatiebeveiliging met zich mee. Resumerend: er is veel en veel meer informatie in een veelheid aan verschijningsvormen, die over vele stakeholders moet worden verdeeld die zich niet noodzakelijkerwijs op dezelfde locatie bevinden en een veelheid aan devices gebruiken, waarbij ook de informatie zich op verschillende locaties – on premise en in de cloud – kan bevinden. Dat alles heeft enorme impact op de beveiliging van informatie. Vertrouwensrelatie Traditioneel dient de username/password-combinatie om toegang tot bepaalde informatie te verkrijgen. In de praktijk betekent dat, dat een gebruiker vanaf een laptop thuis in een browser moet intikken welke informatie hij wil zien, waarna hij op een loginpagina komt waar hij username/password moet invullen. Afhankelijk van de eigenaar van het systeem waar hij toegang toe wil hebben, moet hij zich telkens opnieuw aanmelden. Bo-
door Paul Ferron
vendien gelden bij elk systeem andere regels. Daarmee verzeilt de businessgebruiker in een doolhof van usernames, passwords, rollen, rechten en claims. De security is een doel op zich geworden en vormt een belemmering voor de gebruiker om snel en efficiënt zijn werk te kunnen doen – wat nooit de bedoeling kan zijn. Wat de gebruiker wil, is dat de informatie hem als het ware in een kiosk of automatiek wordt aangeboden: treinkaartjes naast medicijnen, tijdschriften en voedingsmiddelen. De gebruiker identificeert zich één keer en de kiosk weet tot welke informatie hij toegang mag hebben en welke rechten er per informatiedomein gelden. Daarvoor is het nodig dat de gebruiker zijn identity makkelijk met zich mee kan dragen. En de context die hij op dat moment nodig heeft. Een rijbewijs is daarvan een mooi voorbeeld. Aan de ene kant staat de identiteit, en aan de andere kant staat wat de eigenaar in de context allemaal wel en niet mag. Waarom werkt dat zo mooi? Omdat het systeem zo ingericht is, dat de bestuurder maar op één manier de beschikking over een rijbewijs kan krijgen: er moet een vastgesteld proces worden doorlopen waar niet van kan worden afgeweken en met diverse controlemomenten erin. Wordt dat proces met goed gevolg doorlopen dan krijgt de adspirant-chauffeur zijn rijbewijs, waarmee hij met het hem toegestane voertuig(en) de weg op mag. Een agent die de hem later aanhoudt zal de bestuurder niet naar zijn naam vragen en vervolgens gaan bladeren in een boek waarin alle rijbewijshouders en hun bevoegdheden staan vermeld. Nee, hij zal vragen naar het rijbewijs dat hem alle benodigde informatie geeft: hij kan de eigenaar identificeren aan de hand van de foto en aan de andere kant ziet hij wat deze wel en niet is toegestaan. Dat werkt zo goed, omdat er een vertrouwensrelatie bestaat tussen de agent en de uitgever van het rijbewijs. Die aanpak is dé manier om ook binnen IT één identity te kunnen koppelen aan een heleboel claims – waarbij het verkrijgen van die claims gekoppeld moet zijn aan een veilig en solide proces zodat een vertrouwensrelatie kan worden opgebouwd. Dat is een heel andere approach van identiteitsmanagement.
Content Aware Identity Management Zover zijn we helaas nog niet. Iedere keer als een medewerker zijn e-mail aan het afhandelen is, een verkooporder of een transactie verwerkt of een transactie goedkeurt, werkt hij maar met een heel klein stukje van de totaal beschikbare informatie. Vervolgens schuift hij die informatie door naar de volgende in het proces, die gaat er mee aan de slag en zo loopt dat kleine brokje informatie langs het pad van het proces. Waar we naartoe willen, is dat elke keer als een medewerker een actie verricht, hij antwoord kan geven op deze vier vragen: • Wie bent u? • Welke claims neemt u mee in de context van uw persoon? • Met welk device wilt u toegang tot de informatie? • Wat wilt u met de informatie doen? De beschikbare informatie moet grofweg in drie groepen worden verdeeld, laten we die rood, geel en groen noemen. Rood is de gevoelige, bedrijfskritische data die alleen bedoeld is een selecte groep, geel is de informatie die niet voor iedereen bedoeld is, en groen is onschuldige, vaak publieke informatie. Uit onderzoek blijkt dat er bij een gemiddelde organisatie maar 1 procent rode en 14 procent gele informatie is - de rest is groen. Die 85 procent wordt ook nog eens het meest intensief gebruikt. Evenredig aan het belang van de informatie is de beveiliging zwaarder of juist minder strikt. De complexiteit kan worden gereduceerd tot het beantwoorden van de eerder genoemde vier vragen: wie, welke, hoe en wat. De zo verkregen contextuele informatie wordt meegenomen in de afweging om al dan niet toegang te verlenen. Voor het leeuwendeel, de groene informatie, zal dat zo soepel en dus werkbaar mogelijk gemaakt worden; gaat het om rode informatie dan moet alles nauwgezet worden gecontroleerd. De toepassing van een op die intelligentie gebaseerde systemen wordt Content Aware Identity Management genoemd. Identity is de nieuwe perimeter: als de claims rondom de identity van een bepaald persoon goed geregeld zijn, dan is het mogelijk om alle mensen toegang te verlenen tot informatie op dezelfde manier. Dan is er ergens in de cloud een Policy Descision Point, waar de regels over
wat wel en wat niet mag zich bevinden en hoeft er dus maar op één locatie te worden gekeken of iemand toegang heeft tot bepaalde informatie en wat hij ermee heeft gedaan. Zo’n cloud-gebaseerde oplossing heeft de voordelen die gelden voor alle cloudoplossingen, met als extra voordeel dat het Policy Descision Point een hub is waarmee heel gemakkelijk geschakeld kan worden tussen de on premise situatie en de cloud, tussen mensen en informatie: vele connectiemogelijkheden waar voorheen een heel ingewikkelde procedure voor nodig was. Zelfstandig domein Traditioneel is security een taak van de IT-afdeling, gebaseerd op de technische component die informatiebeveiliging in zich heeft. Maar de tijden zijn veranderd. De business wil snel en efficiënt zaken doen geholpen door IT. Daarin past niet langer de houding van een IT-afdeling die optimaal in control wil zijn. Een Chief Security Officer zou een oplossing kunnen zijn, een zelfstandig functionaris die zaken als Identity Management regelt voor de business en bijvoorbeeld privédevices geschikt maakt voor gebruik in de bedrijfsomgeving. Bovendien is security iets dat buiten de IT-afdeling treedt, zelfs buiten de muren van de onderneming – maar zeker ook daarbinnen op de werkvloer moet worden aangepakt. De traditionele manieren met VPN’s en in eigen systemen beheerde identity’s moeten worden losgelaten. Identity moet als een op zichzelf staand domein worden beschouwd , voorzien van alle contextuele informatie die nodig is om een beslissing te nemen. Alleen dan kan de balans tussen beveiliging en werkbaarheid worden teruggevonden. Stel de vraag wat van alle denkbare scenario’s nu de meest realistische is en wat het kost om daartegen beschermd te zijn. En de hamvraag: heeft de organisatie die kosten daarvoor over. Daar zal een goede balans in gevonden moeten worden. Het zal de komende tijd steeds weer blijken: identity is key. Paul Ferron Is Director Security Solutions EMEA bij CA Technologies.
Infosecurity.nl magazine - februari/maart 2013
17
g
Nieuws
Infosecurity Brussel Expo, stand A073:
Secure Managed File Transfer, Network Performance Management in de Cloud en Internet Redundancy en Bedrijfscontinuïteit MOVEit PrivateCloud en MOVEit Person-to-Person Transfer Ipswitch File Transfer, al 20 jaar de vertrouwde keuze in veilige bestandsoverdracht (WS_FTP en WS_FTP Server met SSH), introduceert MOVEit PrivateCloud en MOVEit Ad Hoc Transfer. MOVEit PrivateCloud is de eerste cloudoplossing voor beheerde bestandsoverdracht op enterprise-niveau. Daarmee maakt Ipswitch het overzetten van bestanden van en naar partners, klanten, werknemers en applicaties veilig en eenvoudig. MOVEit PrivateCloud speelt in op de toenemende belangstelling bij bedrijven voor cloudoplossingen. Met MOVEit PrivateCloud heeft een bedrijf de uitgebreide functies voor bestandsoverdracht zelf in handen, met de voordelen van een gemakkelijke, veilige in-house clouddienst. Daarnaast biedt Ipswitch het nieuwe MOVEit Ad Hoc Transfer voor het eerst aan als standalone product. MOVEit Ad Hoc Transfer is een eenvoudig, verantwoord alternatief waarmee werknemers onder elkaar snel en veilig bestanden kunnen overbrengen, één op één of binnen een groep. MOVEit Ad Hoc Transfer biedt een oplossing voor een groeiend probleem: werknemers die gevoelige bedrijfsinformatie delen via de verkeerde wegen, zoals persoonlijke e-mail of filesharingwebsites. Omdat vertrouwelijke en gevoelige bedrijfsinformatie steeds vaker elektronisch wordt uitgewisseld, is het belangrijk om oplossingen op enterprise-niveau te hebben die dat op een vertrouwde, veilige en handige manier mogelijk maken. MOVEit PrivateCloud en MOVEit Ad Hoc Transfer komen aan precies deze behoeften tegemoet. Ipswitch heeft altijd al een leidende rol gehad op het gebied van vertrouwde oplossingen voor bestandsoverdracht. Met dit nieuwe aanbod toont het bedrijf aan dat het nog steeds marktleider is en de ICT-branche de meest veelzijdige bestandsoverdrachtssoftware op enterprise-niveau biedt.
18
Network Performance Management met complete SaaS-oplossing. De enige Network Performance Management tool die vanuit de Cloud inzicht biedt in Netwerkpaden, Netwerkpakketten, Flow en Apparaten. AppNeta, marktleider op het gebied van cloud-delivered diensten voor performancemanagement, kondigt de uitbreiding aan van zijn toonaangevende Network Performance Management (NPM)-suite met apparaatmonitoring. Deze toevoeging zorgt voor een complete end-to-end monitoring van de PathView Clouddienst van AppNeta. Deze dienst is voor netwerkengineers de enige beschikbare oplossing waarmee netwerk monitoren en troubleshooting geïntegreerd kunnen worden in de vier onderdelen van de netwerkprestatiestack: Netwerkpaden, Netwerkpakketten, Flow en Apparaten. Traditionele oplossingen voor Network Performance Management en Simple Network Management-protocol (SNMP) hebben zich altijd beperkt tot de weergave van de status van netwerkapparatuur en binnen het eigen netwerk verzonden gegevensvolumes, waardoor de zichtbaarheid altijd beperkt bleef. De cloud-delivered PathView-clouddienst biedt een ongekend 360 graden-inzicht in bekende, eigen netwerken en daarnaast ook in WAN (Wide Area Network), het internet, clouddiensten en netwerken van derden. Als enige dienst voor Network Performance Management die volledig inzicht geeft in de vier onderdelen van de netwerkprestatiestack – Netwerkpaden, Netwerkpakketten, Flow en Apparaten – levert PathView eindgebruikers compleet inzicht in de volledige prestaties van de applicaties door netwerkprestaties en applicatieverkeer zichtbaar te maken en te analyseren. PathView geeft een nieuwe wending aan Network Performance Management. Alle elementen van netwerken worden vanuit één geïntegreerde oplossing gecontroleerd en geëvalueerd, waarbij een integraal beeld wordt gevormd van alle netwerkpaden, packet captures, flowgegevens en apparaatstatus. PathView maakt netwerkprestatiebeheer werkelijk ge-
makkelijk en betaalbaar en maakt processen meer inzichtelijk dan traditionele SNMP-oplossingen. PathView Cloud met on-demand SNMP biedt eenvoudige, intelligente functies voor apparaatmonitoring, waarmee continu de prestaties over het gehele netwerk kunnen worden gecontroleerd. Als er een probleem wordt gedetecteerd, verzamelt de oplossing de relevante data uit het totaal van netwerkpaden, packet captures, flowgegevens en apparaatstatussen, zodat het probleem snel en efficiënt gelokaliseerd en opgelost kan worden. FatPipe: Internet Redundancy en Bedrijfscontinuïteit SCOS biedt Internet Redundancy en Bedrijfscontinuïteit bij storingen in de ISP-dienstverlening aan door middel van FatPipe. FatPipe Networks, uitvinder en meervoudig patenthouder van Wide Area Network (WAN) redundancy-, beveiligings- en optimalisatieproducten, specialiseert zich in oplossingen voor internet- en andere WAN-storingen, waardoor bedrijfscontinuïteit gegarandeerd wordt. FatPipe-producten bundelen verschillende dataverbindingen met verschillende snelheden (bijvoorbeeld DSL, kabel, E1, DS3, 3/4G, satelliet, MPLS) van meerdere ISP’s om de grootst mogelijke internet-/WANstabiliteit en –redundancy te verkrijgen. FatPipe neemt automatisch, naadloos en op intelligente wijze de verbindingen en sessies over als de fysieke lijnen of componenten van uw ISP uitvallen, dit zonder BGP. FatPipe vergroot ook de bandbreedte voor eindgebruikers door meerdere lijnen van dezelfde of verschillende snelheden te bundelen en zorgt voor extra, optimale veiligheid, dankzij de gepatenteerde SmartDNS- en MPSec-technologie. FatPipe is ook het enige bedrijf dat gepatenteerde MPVPN/MPSEC multiline WAN-optimalisatie aanbiedt, waarmee het dataverkeer door middel van compressie, caching, Quality of Service (QoS) en reduplicatie wordt versneld over meerdere verbindingen, waardoor de effectieve bandbreedte 4 tot 10 keer toeneemt. Hun internetredundancy, -optimalisatie en –beveiligingsoplossingen bieden de klanten van FatPipe betrouwbare, veilige en efficiënte netwerken. Voor meer informatie: SCOS Software, Infosecurity Brussel Expo, stand A073, www.scos.nl
20-21 MAART 2013 BRUSSEL V A K B E U R Z E N E N S E M I N A R I E S V O O R I T- M A N A G E R S E N I T- P R O F E S S I O N A L S DE BELGISCHE EDITIE IN
BRUSSELS EXPO IT SECURITY
STORAGE
IT MANAGEMENT SOLUTIONS
NOVITEITEN EN OPLOSSINGEN INSPELEND OP DE HUIDIGE ONTWIKKELINGEN KEYNOTES | SEMINARIES | KLANTENGETUIGENISSEN | INNOVATIES
GRATIS NAAR DE BEURS? MELD U NU AAN VIA WWW.INFOSECURITY.BE | WWW.STORAGE-EXPO.BE | WWW.TOOLINGEVENT.BE
ORGANISATIE
Infosecurity.nl magazine - februari/maart 2013
19
g
Infosecurity.be Naam deelnemer (ISC)2 UK Ltd. Adyton Systems AG Airwatch Antwerp DC AP Nederland BA N.V. Barracuda Networks Ltd. Belgacom NV Bio XS International BV Blancco Oy Ltd Brocade Communications UK Ltd BTSoftware BV CA Inc. Check Point Cisco Systems Belgium COMPAREX Software Belgium Bvba COMPUTERLINKS Nederland bv Cyber-Ark Software Ltd. Data Unit NV DayTrek DCB Delitad NV Dell Belgie NV SA DenyAll Dimension Data e-BO Enterprises EMC Information Systems N.V. ESET Exclusive Networks - Fortinet Fortinet Fujitsu Technologies Solutions G Data Software Belgium BVBA Hermitage Solutions SARL HP Belgium IBM Belgium Sprl/bvba I.R.I.S. ICT Imtech Telecom ISACA - Information Systems Audit and Control Association ISSA Brussels-European Chapter Kaspersky Lab BV MMS-Secure NV/SA Netleaf NV Netshield Nextel NextiraOne NIS Consulting Norman Data Defense Systems B.V. Oracle Palo Alto Networks PricewaterhouseCoopers Belgium BCVBA Prodata Systems Radical Solutions Rittal N.V./S.A. S3 Bvba (server Storage Solutions) SafeNet - The Data Protection Company SCOS Software SecureLink N.V. Secutec SMS Passcode A/S SMT Simple Management Technologies B.V Solvay Brussels School of Economics and Management Sophos B.V. Switchpoint Symantec BVBA Telenet NV Thycotic Software Ltd Tracs/Faronics Trend Micro Belgium TrueGEN bvba (securing your network) UBM Belux BVBA
20
20-21 maart 2013 brussel
Deelnemersoverzicht 2012 Stand D104 A061 B109 D112 A107 A147 A031 A048 A112 D122 A108 A133 B125 A065 C060 A034 D121 B113 A089 A140 A088 B121 D030 A136 C076 A125 B060 A015 B132 B132 D078 B147 A041 A104 B018 B018 A105 D115 D116 A094 C096 A124 A051 A077 B094 A047 B120 D109 A066 A076 B112 B135 A030 B035 A011 A073 C066 C088 B108 A127 A145 A060 A143 A018 B104 A045 D120 A052 A037 A069
Varonis France SAS Websense BV Westcon Security (TM) ZyXEL Communications B.V.
A120 A023 A040 B141
Storage Expo Naam deelnemer A.N.S. Benelux N.V. Arrow BA N.V. Belgacom NV Blancco Oy Ltd CA Inc. Cisco Systems Belgium CommVault Computacenter Services & Solutions DattoBackup Dell Belgie NV SA Dimension Data EMC Information Systems N.V. Fujitsu Technologies Solutions Hitachi Data Systems Belgium NV/SA HP Belgium Huawei I.R.I.S. ICT IBM Belgium Sprl/bvba Ingram Micro B.V.B.A/S.P.R.L. Kroll Ontrack Sarl LCL Belgium NetApp BV NETGEAR NextiraOne Oodrive Be Oracle Proact Belgium SecureLink N.V. Simac ICT België-Kortenberg Smals SNIA Europe Headquarters Stellar Data Recovery StorageCraft Terach Bvba Uptime Group Veeam Software UK Limited
2012 Stand D108 B048 A147 A048 D122 B125 C060 D050 B052 B126 D030 C076 B060 D078 B040 A104 E124 B018 B018 B036 D104 D082 C016 D042 B094 D070 D109 C010 C066 C060 D026 D084 D007 A015 D060 B030 D052
Tooling Event Naam deelnemer Axios Systems Benelux Belgacom NV CA Inc. DattoBackup Dell Belgie NV SA Dimension Data Econocom EMC Information Systems N.V. Frontrange Solutions Fujitsu Technologies Solutions HP Belgium Infra Benelux IBM Belgium Sprl/bvba Mexon Technology NextiraOne OMNINET Technologies NV/SA Orsyp BV Rhea NV Symfoni Belgium TOPdesk Belgium Bvba Ultimo Belgium bvba
2012 Stand D146 A048 B125 B126 D030 C076 B146 B060 B146 D078 A104 D142 B018 B124 B094 B138 D128 D144 D121 B142 D138
beursspecial | WWW.INFOSECURITY.NL | WWW.STORAGE-EXPO.NL | WWW.TOOLINGEVENT.NL
g
Infosecurity.be
in het teken van ‘Social IT’ Op 20 en 21 maart 2013 kunnen IT-specialisten in Paleis 8 van Brussels Expo weer terecht voor de Belgische editie van Infosecurity.be. Samen met Storage Expo en het vorig jaar gelanceerde Tooling Event zijn meer dan honderd leveranciers present die hun nieuwste technieken, producten en diensten voorstellen. En bezoekers kunnen er uiteraard ook gratis casestudies en seminaries bijwonen. De tijd dat de IT-dienst een afgeschermde afdeling was, is voorgoed voorbij. Door de groeiende populariteit van sociale media en mobiele toestellen voor zowel particulier als professioneel gebruik, hangt het sociale leven meer en meer af van informatietechnologie, wat IT op haar beurt socialer en menselijker maakt. IT staat niet meer los van het dagelijkse leven en is vandaag alomtegenwoordig. Een IT’er wordt geacht van alle markten thuis te zijn. Infosecurity.be, Storage Expo BE en Tooling Event BE bieden de IT-professional een platform om de vele opportuniteiten van de IT-wereld van vandaag te ontdekken, de risico’s te herkennen en de uitdagingen aan te gaan. Met het thema ‘Social IT’ speelt deze IT-vakbeurs – overigens de grootste in België – volop in op de sociale
evolutie van informatietechnologie. De beurs over IT-beheer en IT management solutions sluit perfect aan op het aanbod van databeveiliging en -opslag dat al op de beursvloer te vinden is en heeft net als beide andere beurzen een eigen, gratis toegankelijk seminarieprogramma. Eén en dezelfde toegangsbadge geeft toegang tot de drie beurzen. Bovendien kan men met de badge ook een bezoekje brengen aan de gelijktijdige beurs Secura, d.i. de 2-jaarlijkse beurs over safety & security op het werk, die plaatsvindt in Paleis 1 en 3. Graag tot ziens op 20 en 21 maart in Brussels Expo! Namens het beursteam, Ivo Meertens, project manager
Praktische Informatie
Hackers opgelet!
Data: woensdag 20 en donderdag 21 maart 2013 Openingstijden: beide dagen van 09.30 - 17.00 uur Locatie: Brussels Expo, Paleis 8
Altijd al legaal willen hacken, maar nooit de juiste target, publiek, excitement en adrenaline rush gehad? Dat kan bij Infosecurity.be! Er zijn maar liefst twee hackingcompetities: allereerst op de woensdagmiddag de Cyber readiness challenge, waarbij deelnemers in de schoenen van hackers gezet worden en zo leren wat nu eigenlijk hun doelen, technologie en denkprocessen zijn. Daarnaast is er op beide dagen de Deloitte Hacking Challenge, waarbij 10 teams van twee personen om de trofee strijden. Ieder team probeert toegang te krijgen tot de systemen en gegevens van een fictieve organisatie. Alles wordt geprojecteerd op een groot scherm en de zaal ziet precies wat welk team doet. Meer info ( & inschrijven voor de challenges) op infosecurity.be.
Toegang: Gratis na aanmelding via de sites van de beurzen. Zonder vooraanmelding naar binnen? Ter plaatse registreren is eveneens mogelijk. Meer info: www.infosecurity.be, www.storage-expo.be en www.toolingevent.be
www.infosecurity.be
www.storage-expo.be
www.toolingevent.be
Infosecurity.nl magazine - februari/maart 2013
21
g
Beursplattegrond
g Infosecurity.be - Storage Expo - Toolingevent
8D146 8D144
Zaal/Salle 6
Exhibitors Lounge
8D138
8D134 8D128
8D126 8D122 8D112
8D120 8D108 8D104 8D100 8D094 8D090 8D084 8D082
8D078
8D070
8D060
8D052
TOOLING EVENT
8B146
Zaal/Salle 4
8D142
8B142
VIP Lounge
TERRAS / TERRASSE
Zaal/Salle 5
8D116
8
8D115
INGANG / ENTRÉE
8D139
8C096
8D109
8B124
8C088
8B141
8B135
8B125 8B132
Zaal/Salle 1
8A145
8A140
8B120
8A124
8A143
8A133
8A127
8E124
8D007
TERRAS / TERRASSE
8B113
8B109
8A120
8A112
8A125
8A094
8A108
8A107
8A105
8A088
8A076
8C016 INGANG / ENTRÉE
8B036
8B060
8A066
8B018 REGISTRATIE GEBIED / RÉCEPTION D'ENREGISTREMENT
8B035
INFOSECURITY.BE
8B121
8C010
8D026 8B030
8B040
8B108
8A147
Zaal/Salle 2
8C060
8B112
8A104
8A136
8C066
8B052 8B048
8B094
8B147
8C076
8B104
Zaal/Salle 7 Zaal/Salle 3
8D030
8D042
STORAGE EXPO
8D121 8D121 8B126
8B138
8D050
8A052 8A048
8A040
8A030 8A018
8A034
8A060
8A011
8A091
8A089
8A077
8A073 8A069
8A065
8A061
8A051
8A047 8A045 8A041
8A037
8A031
8A023
8A015
Zaal/Salle 8
SPONSORED BY:
GOLDEN SPONSOR:
LY SS ON ACCE IP BADGE V WITH
LEGENDA / LÈGENDE ZAAL 1/ : Seminaries Infsecurity.be (technische sessies) SALLE 1 : Séminaries d’Infosecurity.be (sessions techniques) ZAAL 2/ : Seminaries Infsecurity.be (management sessies) SALLE 2 : Séminaries d’Infosecurity.be (sessions de management) ZAAL 3/ : Klantengetuigenissen Infosecurity.be/Storage Expo PARKING C
SALLE 3 : Témoignages d’utilisateurs d’Infosecurity.be/ Storage Expo
RING EXIT 7bis
RING EXIT 7bis
ZAAL 4/ : Klantengetuigenissen Infosecurity.be/Storage Expo
LOOPBRUG/ PASSERELLE ROM
ENTREE
8
SALLE 4 : Témoignages d’utilisateurs d’Infosecurity.be/ Storage Expo ZAAL 5/ : Seminaries Storage Expo.be
EINS
9
PATIO
EST
SALLE 5 : Séminaries de Storage Expo.be
EEN
WEG
ZAAL 6/ : Seminaries/Klantengetuigenissen Tooling Event SALLE 6 : Séminaries/Témoignages d’utilisateurs de Tooling Event
1 3
4
5
6
7
11
ZAAL 7/ : Symantec Cyber Readiness Challenge
12 2
SALLE 7 : Symantec Cyber Readiness Challenge
10
ZAAL 8/ : Klantengetuigenissen Infosecurity.be SALLE 8 : Témoignages d’utilisateurs d’Infosecurity.be
BRUSSELS EXPO
NOODUITGANG / SORTIE DE SECOURS PARKING
SHUTTLE BUS
MET UW BADGE OOK TOEGANG TOT / EN MÊME TEMPS QUE
22
GARDEROBE / VESTIAIRE
METRO
GOlDEN SPONSOR
beursspecial | WWW.INFOSECURITY.NL | WWW.STORAGE-EXPO.NL | WWW.TOOLINGEVENT.NL
ORGANISATIE / ORGANISATION
Infosecurity.nl magazine - februari/maart 2013
23
g
Seminaroverzicht Woensdag 20 maart
Zaal 1 Seminaries Infosecurity.be 10:00 10:05 10:10 10:15 10:20 10:25 10:30 10:35 10:40 10:45 10:50 10:55 11:00 11:05 11:10 11:15 11:20 11:25 11:30 11:35 11:40 11:45 11:50 11:55 12:00 12:05 12:10 12:15 12:20 12:25 12:30 12:35 12:40 12:45 12:50 12:55 13:00 13:05 13:10 13:15 13:20 13:25 13:30 13:35 13:40 13:45 13:50 13:55 14:00 14:05 14:10 14:15 14:20 14:25 14:30 14:35 14:40 14:45 14:50 14:55 15:00 15:05 15:10 15:15 15:20 15:25 15:30 15:35 15:40 15:45 15:50 15:55 16:00 16:05 16:20
Zaal 2 Seminaries Infosecurity.be
Zaal 5 Seminaries Storage Expo
g Zaal 6 Seminaries & klantgetuigenissen Tooling Event
Legenda technische sessie Infosescurity managementsessie Infosecurity sessie Storage Expo sessie Tooling Event
KEYNOTE SESSIE
Social IT, of wat consumerization echt inhoudt
Johan Jacobs Sirris
Increasing IT Customer
Keynote sessie
Storage in the Time of the infrastruggle
Satisfaction with IT Service Management
Philip Claeys & Frank De Schepper Axios Systems
Jon Toigo,
Toigo Partners International
Keynote Sessie
Beheer is dood, lang leve beheer
Hacking Challenge
Leer denken als een hacker
Powered by Deloitte
Keynote sessie
Security and the new way of working
Hendrik van de Velde MobileIron
Marc van den Bossche,
Het Virtuele Storage Centrum
Independent Consultant
Ron Riffe IBM
Complete IT lifecycle management including BYOD Andy Struys DELL
This wasn’t supposed to happen:
real life incident response
Wim Remes IOActive
E-Identity, Trust and Security Challenges of
online & cloud services bij een Vlaamse Overheid
Erik Van Zuuren
Vlaamse Overheid
The two security dimensions of Big Data Stefan Van Daele
Keynote sessie
Storage Trends 2013
Gert Brouwer,
IBM
Brouwer Storage Consultancy
Incident Handling:
How to cope with the massive growth of data and information
It’s better to be prepared!
Christian van Heurck
Coordinator of CERT.be, BELNET
-An InformationCentric approach to IT
From process-oriented
organization to service provider
Wouter Vanden Bergh TOPdesk
Darren Thomson, Symantec
Cloud versus Premise, MultiChannel Communication:
how to make the right choices?
! WARNING: YOUR IDENTITY IS AT RISK!
Data leakage Spreker nog niet bekend
Data Privacy
What you should have done to protect your (online) identity… and what you thought others did to protect you.
challenges in the Enterprise
Bavo van den Heuvel
Fujitsu
Wil van Krieken Econocom
Carl Wethmar
Data Protection Institute
Align creativity to innovate Filip de Pessemier Begrip
A hybrid security cloud approach to contemporary threats
Bart Callens Belgacom
24
Who is concerned about cybersecurity in Europe in 2013 and where can you find help Demosthenes Ikonomou ENISA
A data Tsunami has arrived: How to build you find help reliable Exabyte scale storage systems
Wim de Wispelaere Amplidata
beursspecial | WWW.INFOSECURITY.NL | WWW.STORAGE-EXPO.NL | WWW.TOOLINGEVENT.NL
Seminaroverzicht Donderdag 21 maart
Zaal 1 Seminaries Infosecurity.be 10:00 10:05 10:10 10:15 10:20 10:25 10:30 10:35 10:40 10:45 10:50 10:55 11:00 11:05 11:10 11:15 11:20 11:25 11:30 11:35 11:40 11:45 11:50 11:55 12:00 12:05 12:10 12:15 12:20 12:25 12:30 12:35 12:40 12:45 12:50 12:55 13:00 13:05 13:10 13:15 13:20 13:25 13:30 13:35 13:40 13:45 13:50 13:55 14:00 14:05 14:10 14:15 14:20 14:25 14:30 14:35 14:40 14:45 14:50 14:55 15:00 15:05 15:10 15:15 15:20 15:25 15:30 15:35 15:40 15:45 15:50 15:55 16:00 16:05
Zaal 2 Seminaries Infosecurity.be
Zaal 5 Seminaries Storage Expo
Zaal 6 Seminaries & klantgetuigenissen Tooling Event
From process-oriented organization to service provider Wouter Vanden Bergh TOPdesk
Keynote sessie
Software licensing in the New Way of Working
The world becoming mobile:
Keynote Sessie
Leer denken als een hacker
risks, threats and Governance issues in the geolocation era
2013 Big Data Trends – Cutting through the Hype
Powered by Deloitte
Ramses Gallego
Carla Arend
Hacking Challenge
Quest/Dell
IDC
Marc van den Bossche
Independent Consultant
Complete IT lifecycle
management including BYOD
Andy Struys DELL
Cloud Encryption :
How to keep your data private in the cloud
Julien Cathalo Smals
Keynote sessie
BYOD: Device or Disaster?
Dimitri Lambrecht Arseus
Keynote sessie
Problem:Privacy; Solution: Security; Assurance: Audit
Sue Milton
ISACA London Chapter
Storage en business growth, een getuigenis van de Persgroep
Wim Vanhoof Persgroep
Security management in the gaming sector
The Benefits of Solid State in Enterprise Storage Systems
Christos Dimitrianos
Vincent Marescau
INTRALOT Group
Cloud versus Premise, MultiChannel Communication:
how to make the right choices?
Wil van Krieken Econocom
Dell Belux
Increasing IT Customer Satisfaction with IT Service Management Security assessments in the mobile world Koen Machilsen Ernst & Young
Horrorverhalen in ITsecurity en wat we eruit kunnen leren Guy Kindermans Data News
Technical Overview of Data Center Networks
Philip Claeys & Frank De Schepper Axios Systems
Gilles Chekroun SNIA Europe
From overflow to flow Pieter Hoekstra Begrip
Welcome to the Age of Weaponized Malware Dirk Vael
Lumension
Ensuring privacy protection and compliance in the cloud – emerging best practices and potential developments
Hans Graux Time.Lex
Can You Manage at PetaByte Scale? Wessel Gans NetApp
Infosecurity.nl magazine - februari/maart 2013
25
g
Seminaroverzicht
Keynote sessies Titel:
Social IT, of wat de consumerization van IT écht inhoudt Spreker: Johan Jacobs – Trendwatcher, ICT-consultant, Sirris Insteek: managementsessie Tijd en plaats: Woensdag 20 maart, 10.30 - 11.15 uur, zaal 2 Over het seminar: Analyse van de IT-enquête die door VNU Exhibitions werd gehouden bij respondenten uit het bezoekersbestand van Infosecurity BE, Storage Expo en Tooling Event Over de spreker: Johan Jacobs is een ervaren allround ICT-consultant bij Sirris, het collectief centrum van de Belgische technologische industrie. Als ICT-consultant begeleidt hij verschillende projecten die bedrijven helpen bij het informatiseren en automatiseren. Daarom blijft hij bij met de nieuwste ICT- trends en Twitter, en schrijft hij hierover via enkele trendwatching-blogs. Zijn specialiteiten zijn ICT, websites, e-commerce, SEO, SEA, e-mailmarketing, social media, procesanalyse, CRM, bedrijfsbrede oplossingen, ERP, BI, BPM, boekhoudpakketten, hardware, software, collaboration software, office software, tracking & tracing, tijdsregistratie, e-procurement, cloud computing, internet, document management, security, SaaS, green IT, IT policies, IT opleidingen, IT audits, assessments, mobiel werken, Het Nieuwe Werken, voorraadbeheer, facturatie, telecom, apps, KMO-portefeuille, planningsoftware, projectbeheer. Titel:
Security and the new way of working Spreker: Hendrik Van de Velde – Regional Manager BELUX, MobileIron Insteek: managementsessie Tijd en plaats: woensdag 20 maart, 11.30 - 12.15 uur, zaal 2 Over de sessie: In the post pcera users want to get their applications and data instantly across mobile devices. But there is a vast choice across multiple operations systems. IT needs to define the policies and the tools to enforce them. (Accidental) loss of confidential company data must be prevented. A great user-experience will be the productivity key when users use their applications, surf the web, consult their protected content or just simply e-mail. In this presentation we will highlight how high security and great customer experience can go hand in hand to make happy customers and confident IT. Over de spreker: Hendrik Van De Velde is currently responsible to develop the MobileIron business in Belgium and Luxembourg. MobileIron’s mobile IT platform secures and manages mobile applications, content and devices. The solution is compatible with multiple
26
operating systems and is purpose-built for a happy end-user while IT remains confident on security and operational efficiency is ensured. Before he took the role of general manager for the Huawei enterprise business in the BELUX. He started this professional career at Belgacom where after leading different teams (BiLAN, international,…) he became the vicepresent of the Belgacom enterprise products and solutions division. Titel:
Problem:Privacy; Solution: Security; Assurance: Audit Spreker: Sue Milton - president of the ISACA London Chapter Insteek: managementsessie Tijd en plaats: donderdag 21 maart, 12.30 - 13.15 uur, zaal 2 Over de sessie: Data, information, knowledge – these are the life blood of any organisation. Information security and data privacy are phrases we are all familiar with. Now we have Big Data, BYOD and an increase in security threat levels. Are we also at risk of mismanaging our security policies as the speed of change outpaces our ability to comprehend? Together, let’s clarify the difference between security and privacy, unravel some of the risk management issues, assess the impact of legislation and discover what insights independent assurance can provide. Over de spreker: Sue has been in the governance and IT industry for 30 years. She has two main objectives when working with organisations. The first is to improve and embed sound governance and resilience within organisations both at the board level and in operational areas. The second is to incorporate strong IT policies and processes to reduce the potential for negative outcomes. Sue lectures and advises on governance-related subjects to promote corporate understanding of how good governance, supported by a sound ethical and risk management culture, enhances organisations’ reputation and bottom line. Sue is currently the president of the ISACA London Chapter. Titel: Spreker:
BYOD: Device or Disaster? Dimitri Lambrecht - IT Solutions Manager, Arseus Insteek: technische sessie Tijd en plaats: donderdag 21 maart, 13.30 - 14.15 uur, zaal 1 Over de sessie: BYOD case ref. the implementation of our BYOD strategy @ Arseus. This BYOD case started as a major success…but resulted in a … valuable lesson and experience for our future strategy. Over de spreker: IT Solutions Manager Arseus. Goal oriented and service minded partner/advisor for both business and IT related challenges. More than 12 years of international experience within small, medium and large teams, projects and environments.
Overige sessies woensdag 20 maart Titel:
This wasn’t supposed to happen: real life incident response. Spreker: Wim Remes – Managing Consultant, IOActive Tijd en plaats: 12.30 - 13.15, zaal 1 Over de sessie: Even with all the expensive technology that protects our most valuable assets today, every realistic infosec person is aware that there will be a moment where the incident response plan will be put to the test. Are you ready to face your demons or will you call Ghostbusters(tm)? The executive in the audience will take away an Incident Response infrastructure blueprint composed of technology and processes, the technical geek provided with a tool chest that prepares him for that call he hopes to never receive. Titel:
The two security dimensions of Big Data Spreker: Stefan Van Daele – Senior Security Archtitect, IBM Tijd en plaats: 12.30 - 13.15, zaal 2 Over de sessie: As data volume, variety and velocity explode, organisations face significant risks across a complex threat landscape and they are subject to a growing number of compliance regulations. Traditional approaches to data protection are often unable to meet these requirements. How can organisations secure Big Data environments? Next to that organisations nowadays generate vast amounts of relevant security data from an increasing number of data silos. Applying realtime analytics to these ´big data of security´ can help organisations get the intelligence and predictive capabilities that have previously been witnessed in domains such as BI and web analytics. We will show how organisations can take a real-time security view of their environment with the aim to identity the threats that really matter. Titel:
E-Identity, Trust and Security Challenges of online & cloud services bij een Vlaamse Overheid Spreker: Erik Van Zuuren Tijd en plaats: 13.30 - 14.15, zaal 1 Over de sessie: These days everyone is running to put their applications/services online or to connect up their environment towards the cloud as it seems easy, cheap, etc. However, do organisations have a full understanding of what items need to be taken into account and the real total cost of ownership? This presentation builds upon real world experience and looks at different security and trust aspects and not in the least aspects with regard to identification/authentication and authorisation to be taken into account when connecting towards and/or into the cloud.
beursspecial | WWW.INFOSECURITY.NL | WWW.STORAGE-EXPO.NL | WWW.TOOLINGEVENT.NL
Titel:
Incident Handling: It’s better to be prepared! Spreker: Christian van Heurck – Coordinator of CERT.be, BELNET Tijd en plaats: 13.30 - 14.15, zaal 2 Over de sessie: Not being prepared for an incident in your company (big or small) can have serious consequences. There are 2 kind of companies: those that have fallen victim of cybercrime or cyber security incidents and those that haven’t realized yet that they have been victims. Your response to these type of threats can make a big difference. Prepare your organization for the inevitable, even small efforts can make a huge difference. Titel:
! WARNING: YOUR IDENTITY IS AT RISK! What you should have done to protect your (online) identity… and what you thought others did to protect you. Spreker: Bavo Van den Heuvel – Applied Privacy & Security specialist Tijd en plaats: 14.30 - 15.15, zaal 2 Over de sessie: Privacy? Many people argue that they have ‘nothing to hide’, as if privacy is about hiding bad things. Most of the time people submit their personal data without thinking. ‘If it is asked for, it is needed’ they say. People belief that the personal data they give can only be seen, used or further processed by the initial data collector. During this presentation we will run through many daily live examples to open up your eyes. Titel:
A hybrid security cloud approach to contemporary threats Spreker: Bart Callens - Security Prodcut manager, Belgacom Tijd en plaats: 15.30 - 16.15, zaal 1 Over de sessie: The security threats faced by your organization are exploding and becoming more sophisticated at the same time, e.g. DDOS attacks are becoming more voluminous, but also more targeted.In addition, trends such as (hybrid) cloud computing and mobility are there to stay and require an adaptation of your security strategy and architecture. Hybrid cloud security solutions are playing a key role in this evolving security landscape. Titel:
Who is concerned about cybersecurity in Europe in 2013 and where can you find help spreker: Demosthenes Ikonomou – Senior Expert, European Network and Information Security Agency(ENISA) Tijd en plaats: 15.30 - 16.15, zaal 2 Over de sessie: This session deals with Protecting Critical Information Infrastructure, Input to EU & MS Cyber Security Strategies, Assisting Operational Communities, Security & Data Breach Notification and Supporting the implementation of Data Protection legislation.
Donderdag 21 maart Titel:
The world becoming mobile: risks, threats and Governance issues in the geolocation era Spreker: Ramses Gallego - Security Strategist & Evangelist for Quest Software/Dell Tijd en plaats: 11.30 - 12.15, zaal 2 Over de sessie: We live in a world with no secrets, no barriers. We live in an ‘always-on’ world where being connected is a natural state. However, the basics of Security (protecting information) have not changed; companies have exponentially multiplied their exposure factor and the needed shift in perception is that we must move from a systems-centric architecture to a data-centric state of mind. Organizations must understand the value of information and the risk of getting it lost, stolen or leaked. Mobility does surely not help in that and the BYOD angle is required to be integrated into the corporate fabric. Adding into that, the geolocation discipline enters the mobility arena with all of its risks, benefits and governance issues. Titel:
Cloud Encryption : How to keep your data private in the cloud Spreker: Julien Cathalo – Researcher Cryptography & Security, Smals Tijd en plaats: 12.30 - 13.15, zaal 1 Over de sessie: Even when the cloud services providers take appropriate security measures, the confidentiality of the data that individuals and enterprises store in the cloud is at risk : internal attack, risk of a security flaw, Patriot Act..... This presentation will address the best approaches to protect data privacy. The data must be encrypted before it is sent to the cloud provider, and the user or organization must keep the corresponding keys. We will explain how recent cloud security gateways can help to implement this approach. Titel:
Security management in the gaming sector Spreker: Christos Dimitrianos - Head of Information Security, INTRALOT Group Tijd en plaats: 13.30 - 14.15, zaal 2 Over de sessie: This presentation is providing an overview of the most recent advance in security management, providing practical guidance on addressing common problems faced by organizations internationally. The gaming sector will be used as an example of security management implementation demonstrating the state of the art in the area. Titel:
Security assessments in the mobile world Spreker: Koen Machilsen - Information Security Advisor, Ernst & Young Tijd en plaats: 14.30 - 15.15, zaal 1 Over de sessie: The fast pace in which smart-
phones have integrated in our personal and professional lives is astonishing, however far from over ... this pace is even speeding. The presentation provides an overview of the latest relevant trends in mobile computing and information/IT security risks these may bring. Using some real-life samples you will be introduced to new types of attacks that have emerged, what attack vectors exist, how these are misused by cyber criminals and what is there to do about it ... Titel:
Horrorverhalen in IT-security en wat we eruit kunnen leren Spreker: Guy Kindermans – IT-journalist, Data News Tijd en plaats: 14.30 - 15.15, zaal 2 Over de sessie: In deze sessie komen een aantal horrorstory’s voorbij: het recente NMBSdatalek bijvoorbeeld, maar ook het verhaal van een werknemer bij Verizon Business die zijn werk outsourcete naar China door zijn token te verschepen, en de operatie ‘Red October’ die sinds ‘07 zowel diplomatieke en internationale organisaties bespioneerde, als onderzoeksinstellingen, energiegroepen en handelsorganisaties. Ten slotte: constructieve tips om dit soort verhalen te vermijden. Titel:
Welcome to the Age of Weaponized Malware Spreker: Dirk Vael – Director of international technical account management, Lumension Tijd en plaats: 15.30 - 16.15, zaal 1 Over de sessie: The weaponization of software has moved us into a new age of cyber attacks. And while our nation’s critical infrastructure is likely your first thought when it comes to state-sponsored malware targets, you should also consider what that means for the enterprise and intellectual property. Today, nation state funding exists for the development of very sophisticated, targeted attacks on other nations and enterprises that then can be engineered by hackers to target your most valuable information. This presentation will offer a top line look at recent weaponized malware attacks and offer how-to’s for evolving your defenses. Titel:
Ensuring privacy protection and compliance in the cloud – emerging best practices and potential developments Spreker: Hans Graux – IT lawyer, Time.Lex Tijd en plaats: 15.30 - 16.15, zaal 2 Over de sessie: Much has been said in the past on the impact of cloud computing on the privacy protection of citizens around the world. But is there a real cause for concern? This presentation will provide an overview of the main developments in cloud computing services from a legal perspective: how do cloud providers ensure their compliance with the law, what are the remaining concerns and challenges, and what can we expect for the future?
Infosecurity.nl magazine - februari/maart 2013
27
g
Identity Management in stroomversnelling
VAN DE REDACTIE RSA is een Amerikaans bedrijf dat al sinds het begin van de jaren 80 actief is in de informatiebeveiliging. Het bedrijf is van oorsprong een spin-off van de MIT en werd opgericht door drie hoogleraren, allen cryptologen. Het was hun bedoeling een onderneming op te richten waar ze hun patenten in konden onderbrengen en die als commerciële producten konden vermarkten. De tokens zijn afkomstig van Security Dynamics, een bedrijf dat uiteindelijk bovengenoemde RSA overnam om een bredere productportfolio te verkrijgen, dit onder de nieuwe gezamenlijke naam “RSA Security”. In 2006 werd RSA Security overgenomen door EMC en omgedoopt in “RSA”. RSA heeft twee pijlers: authenticatie en alles gelieerd aan fraudebeveiliging en identity management, met name in de bancaire sector. De andere pijler is Security management, waaronder forensische tooling en het beveiligen van informatie, daarover rapporteren, incidenten signaleren en opvolgen. RSA doet ook zelf veel onderzoek op die vakgebieden. RSA is het grootst in de VS, waar ongeveer de helft van de omzet wordt gerealiseerd; Nederland is nummer 3 van Europa wat betreft omzet.
Behaviour
wordt key
Identiteit en de authenticatie daarvan is een groeiend probleem. Het aantal internetcriminelen dat identiteiten steelt, groeit. Identiteiten die worden gebruikt om geld over te boeken of toegang te krijgen tot technologiebeschrijvingen en R&D-rapporten. Het identificeren en analyseren van gedragspatronen van mensen én software kan helpen bij authenticatie, bij de detectie van malware en de identificatie van hackers, stelt Corné van Rooij. RSA, onderdeel van EMC, werd groot in de token-omgevingen, maar richt zich de laatste jaren nadrukkelijk op fraudebestrijding en security management. Waarbij aangetekend moet worden dat het Amerikaanse fraud in het Nederlands vaak ten onrechte met ‘fraude’ wordt vertaald; ‘oplichting’ zou een beter woord zijn. Een wereld waarin voortdurend informatie wordt gedeeld en uitgewisseld, en waar continu op systemen moet worden ingelogd leunt zwaar op één gegeven: de identiteit. Dat maakt het voor oplichters een aantrekkelijk werkgebied. Identity Management (IM) is dan ook uitgegroeid tot een van de belangrijkste aandachtsvelden van RSA. Die identiteit omvat honderden varianten, en namen en passwords. “Dat heeft zich ontwikkeld tot een groot probleem waar eigenlijk nauwelijks over gesproken wordt,” zegt Corné van Rooij, District Manager Benelux & Switzerland van RSA. “De identiteit is probleem één. Daarnaast heb je de manier waarop iemand zich als het ware authenticeert, kan bewijzen dat hij of zij bij die identiteit hoort. Je kunt pas goed de gradaties van toegang en andere rechten regelen als je absoluut zeker weet wie de personen zijn die daarom vragen. Anders gaan we de strijd nooit winnen.” Mule accounts RSA is erg actief in de financiële wereld. 28
De malware die wordt gebruikt in de bankensector richt zich vooral op het leeghalen van internetrekeningen. Daar worden dus krachtige detectietechnieken toegepast om dat tot een minimum te beperken. “Er is altijd een afweging tussen user convenience en feitelijke beveiliging. Want maak je internetbankieren te moeilijk, dan haken de klanten af - eerst de ouderen maar vervolgens ook de jongeren. Dan willen de klanten gewoon de acceptgiro’s weer één keer per maand opsturen. Maar dat is een veel te duur model geworden voor de banken, zij zijn afhankelijk geworden van het efficiënte geautomatiseerde proces. Dus investeren ze in geautomatiseerde detectieelementen die 80 procent van de fraude gepleegd m.b.v. malware eruit filteren. Naar de overgebleven 20 procent kijken echte specialisten. Als resultante daarvan ontstaat een bepaald fraudegetal, dat elk jaar omhoog gaat. Dat is natuurlijk jammer, maar niet tegen te houden,” stelt Van Rooij. Een ander strijdmiddel is ervoor te zorgen dat hack-pogingen steeds meer gaan kosten en steeds minder opbrengen. De banken maken en houden het ‘window’ waarin gecashed kan worden zo klein mogelijk. “Lukt het toch om geld te ontvreemden dan hebben ze de kennis en technologie om het geldspoor te volgen om ervoor te zorgen dat de oplichter niet
kan cashen. De criminelen boeken dat geld meestal over naar wat wij een mule account noemen. Dat zijn rekeningen van mensen die tegen een aantrekkelijke vergoeding hun bankpas hebben afgegeven, ze kunnen niet meer op hun eigen rekening, maar de oplichter wel. Die zal dat geld echt niet bij de geldautomaat gaan opnemen, maar proberen het over te boeken naar PayPal en andere e-rekeningen waarna het in een wirwar van systemen terechtkomt. De kunst is het geld te onderscheppen voor het daar terecht komt,” legt Van Rooij uit. RSA legt de ontdekte mule accounts vast in een register, zodat die rekeningen bij alle banken kunnen worden herkend en de overboeking kan worden geblokkeerd. “Hoe minder geld de oplichter binnenkrijgt, hoe minder hij kan doen. Op een zeker moment verliest het zijn interesse en besluit hij zijn criminele werkterrein te verleggen naar andere bedrijfstakken of andere landen. Het een constante wedloop, maar je kunt niet zeggen dat het uit de hand loopt. Er komen steeds meer internetcriminelen, maar het is steeds minder makkelijk om het geld te cashen.”
Behaviour Geautomatiseerde detectie van gedragspatronen is een relatief nieuw vakgebied, dat volgens Van Rooij de komende jaren steeds belangrijker zal worden. “Niet alleen in informatiebeveiliging, maar ook in fysieke beveiliging. Er zijn nu al camerasystemen die kunnen voorspellen dat ergens een opstootje gaat plaatsvinden, ergens ruzie gaat ontstaan, door de wijze waarop mensen bewegen te analyseren. Dat is één. Maar ook het gedrag van software kan worden geanalyseerd. Nu werken anti-virus en anti-malware software nog met signatures, die pas aan het register worden toegevoegd als de malware op internet actief is. Het zou te veel tijd kosten om de pc de hele dag gedragspatronen van software te laten analyseren. Maar daar komt verandering in: behaviour gaat een absolute hoofdrol vertolken.” Een belangrijk verschil tussen virussen en malware is dat de eerste zichzelf verspreidt, terwijl er achter malware altijd menselijke handelingen zitten. Ook volgt de malware een menselijk patroon: het probeert in de e-mailbestanden te komen
en gaat op zoek naar usernames, passwords en andere toegangscodes. “Dat kan bijvoorbeeld door middel van screen scraping. Dat is een activiteit die herkend kan worden door een grafische kaart. Het is een grote stap vooruit als hardware en software in een machine informatie gaan uitwisselen, waardoor ongewoon gedrag kan worden gedetecteerd en aan de gebruiker kenbaar kan worden gemaakt,” stelt Van Rooij. “De gebruiker kan ook een register aanleggen waarin is vastgelegd wat zijn software wel en niet mag. Noem dat certificatie. Voor alle machines zou bijvoorbeeld moeten gelden dat de webcam pas aan mag als de gebruiker dat toestaat. Dat is nu een regel in Mac OSX. Maar een doorsnee pc kan hem in principe zelf aanzetten en malware kan ervoor zorgen dat het verklikkerlampje niet aangaat. “ Behaviour is een bijzonder aspect in het fraudegebied. Een vaste gebruiker van een computer tikt zijn wachtwoord vrijwel altijd op dezelfde manier in, met dezelfde vingers, met dezelfde pauzes tussen de verschillende tekens. Een detecteerbare routinehandeling, waaraan de gebruiker
van de machine herkend wordt. “Stel dat het om een internetbankieren gaat. Veel mensen hebben een vast patroon op de website van hun bank. Software kan ook daarin afwijkingen herkennen en besluiten de handelingen extra te monitoren of om aanvullende identiteitsgaranties te vragen. Dergelijke software draait al. Een van onze klanten controleert zelfs of de gebruiker van internetbankieren wel van de eigen pc komt, aan de hand van meer dan 40 kenmerken van je pc – een soort vingerafdruk dus, met dit verschil dat het geen statisch maar een variabel profiel is. De software begrijpt updates en upgrades, past de ‘fingerprint’ daarop aan. Ook als de gebruiker vanaf een ongebruikelijke pc een geslaagd transactie heeft gedaan, zal de software dat als usual behaviour beschouwen. Dat gebeurt allemaal ‘onder water’, dat ziet en merkt de gebruiker niet. Ook een hacker merkt niet als hij door het systeem is gedetecteerd en gevolgd wordt – en dat de gebruiker inmiddels van zijn aanwezigheid op de hoogte is. Daar houden hackers helemaal niet van, die voelen zich graag veilig en onbespied.”
Infosecurity.nl magazine - februari/maart 2013
29
g
Identity Management in stroomversnelling
“We doen als branche blijkbaar toch veel dingen goed.”
30
zijn. “Awareness is naast behaviour van groot belang. Mensen in een organisatie moeten in staat zijn gevaarlijke situaties op de automatische piloot te herkennen en ernaar te handelen. Vraag een gemiddelde burger naar zijn pincode en hij zal categorisch weigeren die prijs te geven. Dezelfde reactie verlangt een organisatie van de medewerkers. Heel belangrijk: vaardig niet alleen bevelschriften uit, maar leg vooral uit waaróm ze de autolock van de pc moeten gebruiken, regelmatig hun passwords moeten veranderen en geen confidentiële informatie op een USB-stick moeten zetten, naar hun gmailaccount sturen of in DropBox zetten. En niet zomaar moeten reageren op onduidelijke mails van nog onduidelijkere afzenders.” Uit de vele publicaties die ons dagelijks bereiken zou de wereld kunnen opmaken dat de internetcriminaliteit ons boven het hoofd groeit. Steeds meer mensen beschouwen deze berichten als bangmakerij. Daar is Van Rooij het hartgrondig mee oneens. “Het aantal internetcriminelen stijgt enorm, maar het aantal geslaagde digitale misdrijven groeit slechts heel langzaam. We hebben de zaken aardig onder controle en moeten dat proberen zo te houden. Maar we zullen de maatschappij wel degelijk op de hoogte moeten houden van nieuwe ontwikkelingen zodat iedereen weet wat er gebeurt en wat er aan zit te komen. Ik zou me er niet door bang laten maken. Dat is de verkeerde emotionele prikkel. Nog los van het feit dat dat niet meer werkt. De bedoeling is om te anticiperen op de dingen
MOBILE
door Frans van der Geest
VeliQ voegt Mocanatechnologie toe aan internationaal geleverde mPaaS
Corné van Rooij, District Manager Benelux & Switzerland van RSA:
Intellectual property Van Rooij constateert een groeiende dreiging vanuit opkomende economieën. “Er is een aantal staten dat in belang van eigen land en eigen volk proberen zaken naar zich toe te trekken, bijvoorbeeld het ontwikkelen van bepaalde consumentenproducten. Als dat soort landen de beschikking krijgt over alle ins en outs van nieuwe technologie zijn ze meesters in het kopiëren en reproduceren. Bovendien kunnen ze putten uit een bijna oneindig groot leger aan goedkope arbeidskrachten. Zo kunnen ze moderne producten leveren in markten waar de marges hoog zijn - en waar de concurrentie niet kan bieden wat zij wel kunnen. Het is dus van groot belang voor het bedrijfsleven hier om intellectual property meer dan goed te beschermen.” RSA houdt zich veel bezig met de detectie van en bescherming tegen hackers; met kleine aanvalletjes en spear fishing proberen de criminelen de pc over te nemen, nauwkeurig onder de radar blijvend en met kattengeduld. “We kijken daarbij zeker ook naar behaviour en passen sterke analyses toe op alles wat er op het netwerk gebeurt. Dat vergt veel meer kennis en kunde van de mensen die daar onderzoek naar plegen. Bij het detecteren gaat het erom net zoveel geduld te hebben als de indringer. Uiteindelijk wordt hij gespot zonder het te weten; vervolgens wordt geprobeerd zijn identiteit te achterhalen, via welk botnet hij werkt, op welke machine hij is aangelogd, en in welk land en welke plaats hij zich bevindt. Wij richten ons dus vooral op wat we noemen de Advanced Persistent Threats.” Social engineering is een steeds groter wordende bedreiging. Het is voor organisaties van groot belang awareness bij hun medewerkers te creëren – en levend te houden - van de loerende gevaren in sociale contacten. De stagiaire, de student in het internationale uitwisselingprogramma, de hoogleraar aan een gerenommeerd instituut: van niemand is zeker of ze een betrouwbare gesprekspartner
g
MAP vult MDM aan in
mobiele beveiliging Onderzoeken Corné van Rooij: “Er wordt heel wat onderzocht op het gebied van security, dagelijks verschijnen daar berichten over. Veel van die onderzoeken zijn op zijn zachtst gezegd niet best. Kortgeleden verscheen een rapport dat concludeerde dat maar 7 procent van de bekende antivirussoftware nieuwe virussen herkent en tegenhoudt. Dat klinkt heel ernstig, maar hoeveel virussen vallen ons nu eigenlijk nog lastig? Zowel op het bedrijf als thuis? Dat is eigenlijk maar beperkt, terwijl er toch een enorme, nog steeds groeiende hoeveelheid aan virussen is. Je kunt dan ook niet zeggen dat het totaal uit de hand gelopen is. En dat is ook de perceptie van de gebruiker, die ziet dat het probleem wel degelijk onder controle is. Datzelfde geldt voor spam: de totale hoeveelheid spam neemt elk jaar met zoveel procent toe, maar hoeveel spam komt er nu nog binnen? We doen als branche blijkbaar toch veel dingen goed.”
die komen gaan. Ga onderzoeken hoe je je ertegen kunt wapenen. Meer niet.”
De digitale wereld leunt zwaar op één gegeven: de identiteit. Dat maakt het voor oplichters een aantrekkelijk werkgebied.
De agenda’s van CIO’s en IT-managers staan onder invloed van de consumentenbeleving rondom mobile computing met smartphones en tablets. In het nieuwe werken loopt zakelijk en privé computergebruik door elkaar. Levert Mobile Device Management (MDM) nog wel afdoende beveiliging? Vragen die nieuwe zakelijk apps niet om een aparte beveiliging? Binnen het VeliQ ecosysteem is de oplossing voorhanden. VeliQ levert al jaren de cloudgebaseerde oplossing MobiDM. De dienst is gebaseerd op het MDM softwareproduct Avaria. Dat zit inmiddels in het productenpallet van SAP. De Duitse software gigant onderhoudt via zijn OEM-divisie nauwe banden met VeliQ. Dat is logisch, gelet op de ambities van de Barendrechters en hun huidige klantenkringen voor hun mPaaS (mobile Platform as a Service) met bekende namen als Vodafone, KPN, T-Systems en SwissCom. De beschikbaarheid van de clouddient onder white label is essentieel. Partners bieden de dienst onder eigen vlag aan en kunnen mondiaal terugvallen op een betrouwbaar en deskundig service apparaat. Voor een MKB-onderneming heeft VeliQ een indrukwekkend internationaal ecosysteem opgebouwd. Onder de partners treffen we ook minder bekende namen aan. Bij Mocana Corporation ervaren ze hun onbekendheid niet als handicap. Met het aanbrengen van embedded beveiliging geniet het bedrijf uit San Francisco het vertrouwen van meer dan 200 opdrachtgevers in de luchtvaartindustrie, uit de overheid- en defensiekringen, de financiële sector en de telecommunicatie. Het Mocana Device Security Framework (DSF) omvat FIPS 140-2 gecertificeerde (Suit B) algoritmen met een cryptogra-
fiemethodiek door de Amerikaanse National Security Agency (NSA) aangeduid als ’Suitable’. De vele toegekende en nog toe te kenen patenten voor techniek, diep in het hart van het Internet Protocol, staan borg voor jaarlijks 200 procent omzetgroei. Aan het vermarkten van expertise hoeft Mocana nauwelijks iets te doen. Wel bestuderen ze de belangrijkste beveiligingstrends. Die wijzen op een markt voor mobiele apps met een omvang van ruim 11 miljard dollar in 2014. Binnen 67 procent van alle business plannen staat de uitrol van 5 of meer mobiele apps per jaar centraal. Ruim de helft van de mobiele bedrijfsapps komen van onafhankelijke softwareleveranciers. Naast kopen gaan veel ondernemingen ook zelf apps ontwikkelen. En dat niet alleen voor gebruik binnen de eigen organisatie, maar vooral ook voor het delen van informatie met partners binnen de keten . Versnelling trage uitrol apps door IT De aandacht van beveiligingsspecialisten gaat momenteel uit naar de omvangrijke verspreiding van apps binnen de zakelijke wereld in het kader van de BYOD-projecten, waar ze co-existeren met apps uit de consumentensfeer. Beveiliging stopt
voor Mocana niet bij MDM. Het is het vertrekpunt voor Mobile App Protection (MAP), een pasklare aanpak en productreeks voor organisaties die via hun IT-afdelingen in de komende jaren mobiele apps voor het afhandelen van bedrijfsprocessen gaan introduceren. Het uitrollen van apps binnen een organisatie maakt IT-afdelingen doorgaans niet populair. Was de business al ontevreden over het tempo waarmee traditionele computerapplicaties hun weg vonden naar de gebruikers, bij apps ligt het verwachtingspatroon vele malen hoger en zijn de teleurstellingen dus ook groter. Echter, voor IT-afdelingen staat het afschermen en beveiligen van het corporate netwerk en de daarmee verbonden corporate databronnen centraal. Terecht stellen zij hoge eisen aan de procedures waarmee apps worden geselecteerd, ontwikkeld en getoetst aan strikte beveiligingsregels. Daarmee is tijd gemoeid. MAP omvat een raamwerk vanaf het definiëren van toegangsregels, inrichten van gebruiksvoorschriften en detectieprocessen, afhandelen van al dan niet VPN gebaseerde communicatie, het versleutelen van data via uiteenlopende algoritmen tot aan uitgebreide rapportage via integratie met voorhanden IT-beheerinstrumenten. MAP versnelt het proces van app-beveiliging, ongeacht of de apps in huis zijn ontwikkeld of ingekocht. Een als app wrapping aangeduid proces maakt het IT-afdelingen mogelijk om op een gestandaardiseerde en geautomatiseerde wijze veilige apps de onderneming binnen te sluizen. En dat alles in een door de business verlangd tempo.
Infosecurity.nl magazine - februari/maart 2013
31
g
De cloud als kostenbesparing en verzekering
DOOR AAD DEKKERS
Verzeker
Er zijn inmiddels veel hybride vormen van dataverzekering
uwnu hetdata, nog kan Het veiligstellen van informatie gaat verder dan beveiligingsoplossingen als virusscanners en firewalls. In deze crisistijd zijn bedrijven vooral bezig met kosten besparen en te weinig met veiligheid. Het vervelende is dat te weinig oog voor veiligheid een bedrijf duur kan komen te staan. Gelukkig gaan kostenefficiëntie en veiligheid hand in hand in de cloud. De cloud als kostenbesparing en verzekering. We staan op een kruispunt. Back-up & recovery van data en applicaties vanuit de cloud krijgt steeds meer momentum. Onlangs voerde EVault een onderzoek uit onder IT-managers in Europa en Amerika. Daaruit bleek dat maar liefst 35 procent van de onderzochte bedrijven nog steeds een tape-oplossing gebruikt voor hun back-up. Bemoedigend is dat uit het onderzoek blijkt dat in Nederland steeds meer bedrijven hun data extern onderbrengen. De vraag is alleen, hoe doen ze dat? Nemen ze een tape met de back-up van de dag mee naar huis? Heel vaak hoor ik nog dat directeuren van bedrijven zelfs dat vergeten, de tape blijf op het bureau of in de la liggen. Verontrustend is ook, dat duizenden bedrijven in Nederland hun data alleen maar binnen de muren van het bedrijf opslaan. Een veel gehoorde reden: CEO’s en CIO’s zijn
terughoudend over opslag in de cloud, omdat ze zich zorgen maken over de veiligheid (38 procent) en toegang tot hun op afstand opgeslagen data (22 procent). Dit zie je terug in de langzame acceptatie van cloudgebaseerde back-up en recovery. Dataveiligheid Op het gebied van dataveiligheid is er een viertal uitdagingen: 1. De exponentiele datagroei[\curs]. We hebben er met z’n allen vijftig jaar over gedaan om twee ZB aan data te produceren. De afgelopen acht jaar zijn we opeens van twee naar twintig geschoten. Een ongekende datalawine. En we willen alles bewaren. Tape is hier als medium totaal ongeschikt voor. Het back-uppen is tijdrovend, deduplicatie is onmogelijk en het is
35 procent van de bedrijven gebruikt nog steeds een tape-oplossing voor hun back-up. 32
2.
3.
moeilijk om bestanden terug te vinden. Het toenemende belang van data voor de continuïteit van een bedrijf[\ curs]. Voor de helft van alle Nederlandse bedrijven zou dataverlies een vertraging betekenen van de introductie van hun dienst of product. Voor 41 procent van de bedrijven heeft dataverlies een verlaging van de productiviteit tot gevolg. Voor bedrijven die online zaken doen, bijvoorbeeld webwinkels, is downtime helemaal onacceptabel. De nachtmerrie van iedere webwinkel is dat vlak voor sinterklaas alle gegevens verloren gaan. Maatschappelijke ontwikkelingen[\ curs]. Veel Nederlandse bedrijven hebben internationale banden, doen business over de grens of hebben daar zelfs kantoren; in de rest van Europa, maar ook het Midden-Oosten en Noord-Afrika. In het laatste geval is maatschappelijke onrust een risicofactor. Denk aan de sociale onrust in Griekenland en Egypte. In dat geval is het beter om data op te slaan in een veiliger land.
4.
Klimatologische en geografische aspecten[\curs]. Ten slotte, en hier wordt in Nederland vrij laconiek over gedaan, is er het gevaar van calamiteiten. Als je kantoren hebt in de rest van Europa, Amerika, het Midden-Oosten en Afrika, dan bestaat er een grotere kans op orkanen, aardbevingen en tsunami’s. Denk aan de Amerikaanse orkaan Sandy, of de recente aardbevingen in Italië. Een orkaan als Sandy zal in Nederland niet snel voorkomen, maar de zeespiegel stijgt, het klimaat wordt natter, waardoor de kans op waterschade toeneemt. Slenaken Limburg (juli 2012) en Lauwersoog (begin 2012) zijn recente voorbeelden. Daarnaast is brand altijd een reëel gevaar - daar kan Vodafone over meepraten.
Calamiteit Als CIO mag je je best zorgen maken over een veilige opslag en of je wel altijd toegang hebt tot je data als het in een datacenter/de cloud is ondergebracht. Daar mag je ook best vragen over stellen. Maar als deze risico’s al reëel zijn, ze zijn
niets vergeleken bij het verlies van alle bedrijfskritische data door een calamiteit. En bedrijfskritische data is niet voorbehouden aan gezondheidsinstellingen, banken, advocaten en verzekeraars. Eerder noemde ik al webwinkels, die geen cent omzet draaien als ze uit de lucht zijn. En belangrijker nog, de keuze is niet tussen wel of niet remote opslaan, er is ook een keuze tussen remote én lokaal opslaan. Er zijn inmiddels zoveel hybride vormen van dataverzekering, dat er altijd een oplossing is die perfect aansluit bij de verschillende business-modellen. De vraag die ik daarom altijd stel is: waarom wordt elk jaar wel veel geld uitgegeven aan een inboedelverzekering, terwijl het veilig stellen van data het verschil kan zijn tussen winst en faillissement? De voordelen van remote- en end-pointback-up in de cloud en op disk zijn evident. Data is veilig, blijft beschikbaar en toegankelijk, is eenvoudig te dedupliceren en geruisloos te back-uppen zonder dat de bedrijfsprocessen worden verstoord. Voor bedrijven die ook nog graag hun data op servers in het gebouw willen hebben, is er de mogelijkheid van hybride opslag, met een kopie in de cloud. Daarnaast is cloud-back-up en -recovery een manier om je business zo [curs]lean[\ curs] mogelijk te maken. Dat lijkt me goed nieuws in deze tijd. Geen initiële investeringen meer in hardware en software, maar het inkopen van flexibele cloud-diensten met lage, overzichtelijke en maandelijkse kosten. Kortom, cloud back-up-oplossingen verslaan tape-systemen op kosten, beveiliging, betrouwbaarheid, snelheid en schaalbaarheid. Overstap Ik zie de toekomst van cloud-back-up & recovery optimistisch tegemoet. Cloudoplossingen hebben zo veel voordelen, dat uiteindelijk alle bedrijven een over-
stap zullen overwegen. Onderzoek door Gartner toont dit ook aan. In de afgelopen drie jaar hebben veel Europese en Amerikaanse gebruikers van enterprisesoftware de overstap gemaakt van on premise -oplossingen naar SaaS. En dit zal blijven groeien volgens het onderzoeksbureau. Gartner deed het onderzoek onder 550 bedrijven in tien landen. Van de deelnemers aan het onderzoek zegt bovendien drie kwart dat zij de komende jaren meer wil spenderen aan SaaS-oplossingen. Ik houd mijn hart vast voor die duizenden bedrijven in Nederland, die alleen vasthouden aan hun server op kantoor met daarop alle bedrijfskritische data en applicaties. Steeds meer particulieren gebruiken de cloud om hun familiefoto’s op te slaan. Of ze maken een backup en geven die bij de buren of familie in bewaring. Want als het weg is, is het weg. Op 1 februari 2013 herdachten we dat het zestig jaar geleden is dat de watersnoodramp in Zeeland plaatsvond. Er verdronken meer dan 1.800 mensen en veel dieren, en 100.000 mensen verloren hun huis en bezittingen. Naast het verwerken van het verlies van dierbaren, bleek dat veel mensen geen foto’s en aandenken meer hadden van hun overleden familieleden. In een uitzending van het KRO-televisieprogramma De Reünie vertelde een overlevende van de ramp dat ze daarom nog altijd al haar foto’s op zolder bewaart. Ik zou zeggen, wacht niet tot een calamiteit voordat je maatregelen treft. Zie een cloud- of hybride back-upoplossing als een dataverzekering. En dan een die geld bespaart en gemoedsrust en gebruiksgemak oplevert. Het is tijd om te handelen. Aad Dekkers is Directeur Marketing bij EVault EMEA
Infosecurity.nl magazine - februari/maart 2013
33
g
WatchGuard roept op tot kostenbesparing op security
door Ferry waterkamp
Een stap
verder dan
next
zijn de zaken waar WatchGuard goed in is. En omdat wij met zo’n vijfhonderd medewerkers wereldwijd niet al te groot zijn, ligt hier ook onze focus. Voor de securityservices waar wij zelf niet zo goed in zijn, vertrouwen wij op de expertise van zorgvuldig geselecteerde partners.”
generation De economische crisis heeft budgetten flink onder druk gezet. Ook informatie- en netwerkbeveiliging lijdt daar onder. Toch is het goed mogelijk kosten op IT-security te besparen zonder afbreuk te doen aan de mate van beveiliging, ook in bestaande ICT-omgevingen. Etiënne van der Woude, Regional Sales Manager Benelux bij WatchGuard Technologies legt uit hoe. “Ook wij merken de invloed van de crisis op IT-security,” zegt Etiënne van der Woude van WatchGuard. “Er is veel meer aandacht gekomen voor de kosten van security waardoor de security sales cycles veel langer zijn geworden.” “Tegelijkertijd is Nederland nog altijd een heel rijk land met een enorme internetdichtheid, en oor een aantrekkelijk doelwit voor criminele organisaties”, constateert hij. De beveiligingsincidenten die met enige regelmaat het nieuws halen, zijn daar volgens hem het bewijs van. “Hierdoor zijn bedrijven genoodzaakt om de beveiliging op een hoger niveau te brengen, en dat met beperktere budgetten. Dat kan alleen als je slim omgaat met de kosten, en niet inboet op de kwaliteit. En dan blijkt dat WatchGuard voor
heel veel bedrijven de juiste oplossing kan bieden. Wij proberen altijd betaalbaar te zijn.” Best-of-breed Dit laatste realiseert WatchGuard onder andere door het bieden van een zo compleet mogelijk beveiligingsplatform dat nog een stapje verder gaat dan een zogenoemde ‘Next Generation Firewall’ en bijvoorbeeld ook URL-filtering biedt. Hierdoor is het voor klanten niet nodig om apart licenties aan te schaffen voor bijvoorbeeld URL-filtering, antivirus en antispam, wat volgens WatchGuard direct een kostenbesparing oplevert. En door alle beveiligingsdiensten op één platform onder te brengen – wat zorgt voor een eenvoudiger beheer – dalen ook de
operationele kosten. “Wij bieden een ‘best-of-breed’ aan securitycomponenten”, licht Van der Woude toe. “Daarvoor werken we samen met partners die innoveren en waar wij een scherpe deal mee kunnen maken. Hierdoor kan het voorkomen dat wij een product dat al in gebruik is bij een bedrijf goedkoper kunnen leveren via OEM, zelfs als het gaat om een verlenging van de licentie. Op die manier bespaar je enorm op de kosten.” Van der Woude haalt een voorbeeld aan van een bedrijf met 2.500 werkplekken dat in drie jaar tijd een besparing realiseerde van 160.000 euro door de licenties voor URL-filtering via WatchGuard aan te schaffen, en niet meer rechtstreeks
Etiënne van der Woude, Regional Sales Manager Benelux bij WatchGuard Technologies:
“Veel bedrijven kunnen enorm besparen op hun IT-security.” 34
bij de leverancier van het betreffende beveiligingsproduct. “Wij bieden exact hetzelfde, maar tegen een veel lager bedrag.” Proxy-based firewall De basis van het beveiligingsplatform van WatchGuard wordt al sinds de oprichting van het bedrijf in 1996 gevormd door de proxy-based firewall. Hiermee is het mogelijk om op een hoger niveau binnen bepaald verkeer te kijken. “En dat is heel belangrijk”, stelt Van der Woude. “Neem bijvoorbeeld botnets. Die maken gebruik van poort 443 en ik durf te stellen dat heel veel bedrijven de beveiliging van deze poort niet goed hebben geregeld. Zo kan een geïnfecteerde laptop die wordt ingeprikt op het bedrijfsnetwerk onder water via poort 443 weer contact maken met de buitenwereld. Met een proxy-based firewall is dit te voorkomen.” De basis rondom de proxy-based firewall wordt verder gecompleteerd door de mogelijkheid om beveiligingsdiensten zoals URL-filtering en antivirus met elkaar te laten correleren en met een goede rapportage om op basis van ‘meten is weten’ een beveiligingsbeleid op te kunnen stellen. Van der Woude stellig: “Dit
Antivirus Als eerste [curs]security service[\curs] noemt Van der Woude antivirus. “Vrijwel iedereen is bekend met antivirus, maar nog altijd maakt het gros van alle bedrijven geen gebruik van antivirus op de ‘gateway’ – de toegang vanaf het bedrijfsnetwerk naar het internet. Denk bijvoorbeeld aan het MKB wat voor WatchGuard een belangrijke doelgroep is; daar zit over het algemeen de awareness niet. Dan is het goed dat WatchGuard erop wijst dat je aan de gateway een andere antivirus gebruikt dan in het netwerk, en dat we samenwerken met een OEM-partner die daar goed in is.” Voor antispam wordt weer samengewerkt met een andere OEM-partner. Voor ‘email content security’ heeft WatchGuard met XCS zelf een oplossing in huis. De beveiligingsspecialist uit Seattle verwierf deze technologie in 2009 door de overname van BorderWare Technologies. WebBlocker Eerder haalde Van der Woude al URLfiltering aan, een dienst die WatchGuard levert onder de naam WebBlocker. Hiermee kunnen instanties binnen onder andere de zorg en educatie ervoor zorgen dat gasten geen toegang hebben tot bijvoorbeeld pornosites. Van der Woude: “WebBlocker doet voor 99 procent hetzelfde als het product van onze OEMpartner. Alleen Data Loss Prevention voor http-verkeer ontbreekt.” Andere security services waarvoor WatchGuard vertrouwt op partners, zijn patchmanagement en IPS, inclusief het bijwerken van de IPS-signatures. Van der
Woude: “Daardoor kunnen we richting de aanvaller aangeven: ‘let op, we zijn gepatcht, we gaan deze sessie blokkeren.” Social media WatchGuard biedt ook een antwoord op de beveiligingsrisico’s van social media. “Nog even los van de geconstateerde lekken zijn social media voor hackers een enorme bron van informatie en een middel om mensen ergens naartoe te lokken”, legt Van der Woude uit. “Zeker binnen de sector Educatie – waar studenten hun eigen mobiele devices meenemen en gebruikmaken van sociale netwerkdiensten uit de cloud – is dit gevaar nog veel meer aanwezig.” “Binnen een Windows-omgeving kunnen wij kijken welke applicaties worden opgestart”, vervolgt Van der Woude. “In totaal herkennen we 2.200 applicaties en kunnen we bepaalde zaken op zowel gebruikers- als groepsniveau inzichtelijk maken en controleren. Zo kunnen we bijvoorbeeld wel MSN toestaan, maar de filetransfer uitschakelen. Of Facebook toestaan maar het uploaden van foto’s blokkeren.” Juiste implementatie De geschetste services worden in verschillende bundels aangeboden, tegen een lagere prijs dan wanneer de klant de verschillende diensten los zou aanschaffen. De juiste implementatie van de complete beveiligingsoplossing wordt uiteindelijk verzorgd door de distributiepartners en resellers van WatchGuard, zo benadrukt Van der Woude. “Voor de klant is de vertrouwensrelatie die ze hebben met hun partner essentieel. We hebben het niet over het leveren van pc’s of een stukje storage, maar over security. Als daar een lek in zit, raak je het hart van de organisatie.” Ferry Waterkamp is freelance journalist
Infosecurity.nl magazine - februari/maart 2013
35
g
A brief glimpse into the areas of DLP and Web 2.0 security
DOOR Klaus Mochalski
Are nextgeneration firewalls more
than just new firewalls? We all know the usual clichés of the marketing industry, ‘New’, ‘More than just ...’or even ‘next generation’. Can you remember the last Persil that wasn’t ‘new’? Is there more behind the ‘next-generation’ stamp than just uncreative marketing? This is worth looking behind the scenes. What exactly makes a firewall a next-generation firewall nearly 25 years after its invention? What additional security features does the next-generation firewall (NGFW) offer?
What is a NGFW? Actually, there is more behind the concept of the next-generation firewall than mere marketing. The term, in present form, was probably coined by market research company Gartner. In essence, a NGFW is built around a single central processing unit, which analyzes data packets of incoming and outgoing traffic as to their nature and content. This is done by means of deep packet inspection technology. Thus protocols and applications can be addressed in the firewall rules without making a detour via the port numbers of 36
the transport protocols TCP and UDP. In addition to easy identification of applications, the transfers of applications can be tested as to their nature and content by means of decoding functions, which in turn allows for a fine-grained control of incoming and outgoing data. This is the function that gives rise to a new field of application for firewalls and is to be discussed in more detail below. In the central packet processing unit, often called single-pass engine, application control and important security features are directly integrated in the NGFW. Minimally these include intrusion prevention (IPS), anti-malware, anti-virus and web filtering. Here it is worth double-checking the marketing claims of the manufacturers. Many Unified Threat Management Systems (UTM), that like to call themselves NGFW, offer these functions using a combination of individual processing units. This is similar to having several programs that share a common hardware, but are unaware of each other. The ability to increase security and simplify administration is very limited and it causes severe degradation to the overall throughput if all security functions are activated. Conventional firewalls identify users on
the corporate network based on their IP addresses and therefore can only address a specific computer, but not an actual end user. Even that is often impossible when dynamic IP addresses are used, for instance for mobile devices. NGFWs have to offer the ability to manage real users and user groups via a connection to the directory service (Active Directory or LDAP). This makes the implementation of user- and group-specific security profiles possible. Data Loss Prevention (DLP) with NGFWs We often see reports of serious cases of data loss and theft in the media. Usually we assume these are targeted attacks on
Conventional firewalls identify users based on their IP addresses and therefore can only address a specific computer, but not an actual end user. corporate data from outside or inside an organization. However, a common, and often neglected, danger is accidental loss of data, e.g. by misconfigured peer-topeer file-sharing programs (P2P) used by staff members without authorization. Traditional DLP solutions are complex to install and operate. They require comple-
te classification, cataloging and labeling of all enterprise data - an undertaking that many companies understandably shy away from. Moreover, often only standardized transmission methods via Windows file sharing, email and HTTP are supported. The above-mentioned case of accidental release of internal data using P2P
software is not usually covered. NGFWs prevent this problem in two ways. First, application control restricts employees to applications required for work. Here P2P programs would be excluded from the onset. NGFWs enable the implementation of enterprise application whitelisting, where for the initial installa-
Infosecurity.nl magazine - februari/maart 2013
37
g
A brief glimpse into the areas of DLP and Web 2.0 security
Traditional DLP solutions are complex to install and operate, and require complete classification, cataloging and labeling of all enterprise data. tion all applications legitimately used in the company will be identified and allowed by firewall rules. Secondly NGFWs offer decoding functions for many applications that can not only determine that the use of these applications be allowed or forbidden, but can control individual protocol operations. So any existing file transfer functions in an application can be specifically deactivated. If the file transfer function of an application is approved, positive and negative filters for file types and key words in the file name can be defined. If a NGFW supports decoding of certain file formats, even a check of the transmitted content is possible. For text-based protocols, this type of content control always works. This greatly simplifies and improves the implementation of DLP functions using a perimeter firewall. Unlike many DLP solutions no additional software needs to be installed on the end system. Through their extensive support for application control, NGFWs offer a significant increase in security. Web 2.0 security with NGFWs Maybe instead of referring to ‘Internet access’, we should say ‘Web access’ since today the majority of what we do both
personally and professionally is based on the Web protocol HTTP. Many of the applications that we use on our PCs and mobile devices are Web-based. With socalled Web Application Firewalls (WAF), various manufacturers have tried to ensure safety in the use of such applications. The functionality of these WAFs overlaps with firewalls and UTMs, but is also limited in its scope to the Web only. The network administrator needs to take care of installation, administration and maintenance of yet another system that only addresses a very specific portion of security issues. NGFWs integrate many traditional WAF capabilities into their single-pass architecture. Web traffic is analyzed by the application control and decoded. The structured protocol data provided by the decoder can then be tested for traditional Web attacks such as SQL injection and cross-site scripting using attack signature databases. These operations take place in real time within the central packet processing and thus have little impact on the overall throughput of NGFW. Beyond typical threat scenarios, Web access can be allowed or disallowed based on the type of content by means of an integrated URL category database. In the modern Web 2.0, we are dealing not with simple Web pages, but with com-
plex applications that run in the browser. The decoding functions of NGFWs allow fine-grained control for supported Web applications. It is, for instance, possible to grant read access to Facebook, but to prevent the uploading of images and the use of the built-in chat feature for everyone except the marketing department, who have full access to Facebook. [tk]Summary This brief glimpse into the areas of DLP and Web 2.0 security shows that NGFWs are much more than traditional firewalls with some application control. They have not only combined, but integrated security features that were previously only available in separate products. They contribute to greater safety when using the Internet and help the network administrator to implement and manage enterprisewide security policies. For more information and an insight into the technology of the next-generation firewall NETWORK PROTECTOR, speak to Adyton Systems’ network security experts at Infosecurity.be, stand A061. Klaus Mochalski, CEO Adyton Systems.
g
Portofonie
van de redactie
Voor IT-afdelingen onbekend device vereist goede security
Portofoons rukken op in het bedrijfsnetwerk
De Portofoonfunctionaliteit, ook wel bekend als PTT, werd tot voor kort hoofdzakelijk gebruikt door politie en brandweer. In toenemende mate maken echter ook facilitaire medewerkers van bedrijven gebruik van dit soort apparatuur. Doordat portofoons ook steeds meer geschikt zijn voor dataverkeer via een Bluetooth-verbinding en mobiele apparatuur via het Wifi-netwerk PTT-functies krijgen, dreigt daarmee een gevaarlijk security-gat te ontstaan. Tot voor kort werden portofoons uitsluitend gebruikt voor spraakverkeer. Sinds enige tijd is het echter ook mogelijk om een portofoon onderdeel te laten uitmaken van het draadloze IT-netwerk van organisaties. Hierdoor kan een gebruiker data versturen of ophalen, waardoor geheel nieuwe applicaties beschikbaar komen voor portofoon-gebruikers én bedrijven. Wireless LAN’s zijn echter veel gevoeliger voor aanvallen van buitenaf dan het radionetwerk waar portofonie onderling gebruik van maakt. Kan de veiligheid in het bedrijfsnetwerk dan toch worden gewaarborgd? BYOD Volgens Philip Lansink, Solutions Manager bij Selecsys, is er inderdaad sprake
van een veiligheidsuitdaging, maar laat deze zich goed vergelijken met een andere trend die om de aandacht van de ITmanager vraagt, te weten BYOD . Selecsys levert onder andere portofoons van Motorola, maar bijvoorbeeld ook producten en diensten gericht op het integreren van portofonie in een IT-omgeving. De Bring Your Own Device-trend is ontstaan doordat steeds meer werknemers eigen communicatieapparatuur mee naar het werk nemen, zoals smartphones en tablets. Deze werknemers willen vervolgens hetzelfde kunnen doen met de eigen apparatuur als met de IT-apparatuur die het bedrijf beschikbaar stelt. Dit vereist dus een veilige toegang tot de IT-omgeving van het bedrijf.
Secure Access Enrollment Server De uitdaging die BYOD met zich meebrengt is dat willekeurig welk apparaat met welk type software dan ook, veilig toegang krijgt tot het draadloze netwerk van de organisatie. In dat opzicht is een portofoon ‘just another device’. Maar wel een apparaat met voor veel IT-afdelingen onbekende kenmerken en specificaties. Daarom heeft Motorola, een van de grootste leveranciers van portofoons, een zogeheten Secure Access Enrollment Server geïntroduceerd . Deze server laat werknemers, die geautoriseerd zijn om BYOD-apparatuur te gebruiken maar bijvoorbeeld ook de portofoon-app, toe om automatisch toegang te krijgen tot het WPA2-protocol beveiligde draadloze bedrijfsnetwerk. Autorisatie kan afgehandeld worden op verschillende manieren, bijvoorbeeld via Microsoft Active Directory. Eenmaal geautoriseerd kan het apparaat permanent toegang verkrijgen tot het draadloze bedrijfsnetwerk of voor slechts een bepaalde periode. Verder zijn andere WPA2-opties beschikbaar, waaronder dynamische VLAN, ACL en/of toekenning van een bepaalde bandbreedte. Zichtbaarheid en controle De netwerkbeheerder weet nu met deze oplossing dat alle draadloze gebruikers veilig toegang hebben tot het bedrijfsnetwerk, ook als zich hier portofoon-apps onder bevinden. Hij krijgt zo zicht en controle op ieder afzonderlijk apparaat. Daarnaast wordt hiermee de eigen apparatuur van de werknemers gescheiden van de apparatuur van het bedrijf. De Portofoniefunctionaliteit PTT krijgt zo ook een veilig plekje in het IT-netwerk van bedrijven, waardoor het mogelijk wordt om alle werknemers binnen het bedrijf met elkaar te laten communiceren.
38
Infosecurity.nl magazine - februari/maart 2013
39
g
Application Delivery Controllers, de nieuwe generatie load
balancers
van de redactie
Over A10 Networks
Securityversus
A10 Networks is in het najaar van 2004 opgericht met de missie om innovatieve netwerk- en beveiligingsoplossingen te leveren. Het bedrijf ontwikkelt en produceert hoge snelheid netwerkapparatuur die organisaties helpen om het gebruik van hun applicaties te versnellen, te optimaliseren en beter te beveiligen. A10 Networks heeft haar hoofdkantoor in Silicon Valley en lokale vestigingen in de Verenigde Staten, het Verenigd Koninkrijk, Frankrijk, Duitsland, Nederland, Spanje, Brazilië, Japan, China, Korea, Taiwan, Hong Kong, Maleisië, Australië en Singapore. Enkele bekende Nederlandse klanten zijn: 123inkt.nl, Cyso, Leaseweb, Oad Group, Tweakers.net en Universiteit van Amsterdam. Meer informatie op www.a10networks.com.
performance
Het beveiligen van informatie heeft altijd invloed op de prestaties van applicaties. Nu bedrijven steeds meer in de cloud en op mobiele apparatuur gaan werken met bedrijfskritische applicaties, groeit de behoefte om deze twee KPI’s te optimaliseren. Dat kan met zogenaamde ‘Application Delivery Controllers’. Harry Driedijk, de Nederlandse Country Manager van A10 Networks, vertelt over de toegevoegde waarde van deze oplossing voor het optimaliseren van applicatieprestaties. Inbraakfocus op cliënt en data Hackers en ontwikkelaars van malware richten hun aandacht steeds vaker op het ongezien installeren van software op cliënt computers en mobiele apparatuur, om waardevolle informatie te stelen. Om dat te voorkomen ontwikkelen beveiligingsleveranciers geavanceerdere beschermingtools en beveiligen steeds meer aanbieders van webservices/cloud-applicaties hun communicatie via SSL (Secure Sockets Layer) en TLS (Transport Layer Security). Die wapenwedloop tussen slimmere inbraakpogingen en betere beveiliging zal waarschijnlijk nooit ophouden met als mogelijke gevolgschade performanceverlies. Om informatie die met een 2048-bit key is beveiligd te ontcijferen, is namelijk vier tot zeven keer zoveel processorkracht nodig dan bij encryptie met
40
1024-bit sleutels. Bij gebruik van 4096-bit keys kunnen standaard serverprocessors het encrypten en decrypten al snel niet meer verwerken. A10 Networks is een leverancier van ‘next generation’Application Delivery Controllers (ADC), volledig gespecialiseerd in het optimaliseren van de applicatieperformance, rekening houdend met steeds geavanceerdere functionaliteit en beveiliging. “ADC’s zijn feitelijk nieuwe generatie load balancers, met onder andere beveiligingsfunctionaliteit als extra’s,” vertelt Driedijk. “Ze doen hun werk tussen het serverpark en de firewall/router van providers en bedrijven, om die van een aantal zware taken te ontlasten. Waaronder DDoS-bescherming, Server Load Balancing, Caching, Compressie, L7 Scripting, SSL Intercept, Web application firewall, Authentiticatie, SSL Offloading en DNS applicatiefirewall. Wij groeien al jaren hard door het sneltoenemend gebruik van cloud-toepassingen en virtualisatie van ICTresources. ADC’s verbeteren niet alleen de performance van alle bedrijf- of cloudapplicaties maar verhogen
tevens hun beschikbaarheid, wat een steeds belangrijker besliscriterium wordt bij de providerkeuze.” DDoS-bescherming en SSL Intercept Hoewel Denial-of-Service al een oude aanvalstechniek is, leggen ze nog regelmatig populaire websites en providerservers plat. Omdat ADC’s tussen de routers en het serverpark worden geïnstalleerd, zijn ze in staat om op hoge snelheid al het applicatieverkeer te inspecteren, te stoppen en indien nodig om te leiden. “Onze AX Series ADC kunnen met speciale ASIC’s en de beveiligingsfunctionaliteit in het 64-bit Advanced Operating System (ACOS) datacenters van providers en serverparken van bedrijven beschermen tegen DDoS-aanvallen,” vervolgt Driedijk. “Oftewel DDoS-bescherming bieden met een capaciteit van 100 miljoen SYN Floods per seconde, waarvoor we specifieke ASIC’s gebruiken die dit verkeer afhandelen. Daarnaast bieden we beveiligingsfunctionaliteit zoals zelf te definiëren policies en een black list of white list met te stoppen of toelaatbaar verkeer. Verder ondersteunen onze ADC’s zowel SSL offloading, om servers te ontlasten van de extreem rekenintensieve encryptie en decryptie taken, als uitgebreide SSL Intercept functionaliteit. SSL Intercept, ook wel SSL forward policy genoemd, wordt mogelijk door twee SLL-devices (of één, gebruikmakend van ADC-partities) aan beide zijdes van een beveiligde verbinding het versleutelen en ontcijferen te laten uitvoeren (zie afbeelding). Daartussen krijgen beveiligingsprogramma’s of apparatuur (firewall van derden) de gelegenheid om niet versleutelde data naar eigen behoefte te inspecteren op alle mogelijke bedreigingen. Vanuit de ge-
bruiker en server gezien blijven echter alle sessies tussen zender en ontvanger encrypted. Onze AX Series zijn speciaal ontwikkeld om op hoge snelheid gelijktijdig grote aantallen beveiligde verbindingen te kunnen opzetten en deze te blijven encrypten/decrypten. Daarbij kan de netwerkbeheerder zelf bepalen om de hiervoor toegelichte SSL Intercept functionaliteit op slechts een deel van het dataverkeer toe te passen”. Marktontwikkelingen Uit de besproken toepassingen van ‘next generation’ ADC’s, blijkt dat deze tegen-
woordig niet alleen maar worden gebruikt voor verbetering van de applicatieperformance en load balancing, maar ook opschuiven richting firewalls. Verder zijn de toename van cloud computing en virtualisatie duidelijke aanjagers voor de ADC-markt. Hoe ziet A10 Networks die markt verder evolueren? “Onze klanten willen een hoge performance en schaalbare oplossing met een duidelijke CAPEX/OPEX, passend in elke clouden/of gevirtualiseerde omgeving, zonder licentiestructuur”, zegt Driedijk. “Als een provider of eindgebruiker nog geen ADC heeft, dan koopt men die vaak voor
een specifieke behoefte, zoals de uptime verhogen, applicatieperformance verbeteren, of vermindering van het aantal servers. De behoefte aan een ADC neemt toe bij veel sessies en veel mobiel verkeer. Er zijn ook klanten die onze ADC’s met name voor DDoS-bescherming en/of SSL kopen.” Voor de komende jaren verwacht A10 Networks dat het migreren naar IPv6 een grote boost aan de ADCmarkt gaat geven. Providers worstelen nu al met het tekort aan IPv4-adressen en het rerouten van IPv6-gebruikers naar IPv4. Dat speelt onder andere bij Nederlandse universiteiten, waar steeds meer jongeren uit Azië studeren, die voorop lopen met het gebruik van IPv6-apparatuur. Waarin onderscheidt A10 Networks zich dan van andere ADC-leveranciers? “Met de combinatie van onze speciaal voor ADC’s ontwikkelde architectuur gebaseerd op ACOS, die een grote mate van flexibiliteit en schaalbaarheid biedt en de snelste ASIC’s voor het verhogen van de applicatieperformance met een zeer lage latency,” resumeert Driedijk. “Daarnaast waarderen klanten het feit dat wij niet met licenties werken waardoor ze met een transparante CAPEX/OPEX te maken hebben. Tenslotte is het in tegenstelling tot andere leveranciers onze enige kernactiviteit, wat onder andere blijkt uit het feit dat 225 van onze ruim 500 medewerkers in R&D en support werken.”
Infosecurity.nl magazine - februari/maart 2013
41
g
Gastcolumn
Veiligheid uit het Oosten
83% van privacy gevoelige informatie is opgeslagen in Bytes
”Eén hacker kan land platleggen” kopte De Telegraaf in een artikel waarin melding werd gemaakt van de recente aanvallen van het XDocCrypt/Dorifelvirus op diverse gemeentelijke computernetwerken. Maar liefst 3.000 computers werden geïnfecteerd. Behalve gemeenten waren ook computersystemen bij andere overheidsinstellingen besmet. Het blijkt dat het virus deel uitmaakt van een netwerk van aangetaste computersystemen. De beheerders of eigenaren van die computers zijn zich van geen kwaad bewust, terwijl hun systemen als onderdeel van het Citadel/Zbot botnet actief meewerken aan cyberaanvallen, stelen van digitale gegevens of verspreiding van spam.
De krant van ’Wakker Nederland’ weet inmiddels te vertellen dat Oost-Europese hackers het Dorifel-virus inzetten om de gegevens van klanten van Nederlandse banken te bemachtigen. Volgens de banken zijn ze er niet in geslaagd de bancaire systemen binnen te dringen. Dat schijnt echter wel gelukt te zijn bij computers van klanten. De elektronische snelweg in onze moderne samenleving begint gelijkenis te tonen met de karrenpaden en zandwegen uit lang vervlogen tijden. Ook die werden onveilig gemaakt door struikrovers en ander gespuis. Anders dan de computergebruiker nu, was de reiziger toen wel op zijn hoede voor het criminele gevaar. Men accepteerde de risico’s van reizen. Als we het in Europa hebben over risicovolle gebieden dan wijzen we meestal naar Oost-Europa. Merkwaardig, want in ieder geval voldoet de elektronische snelweg er aan alle beveiligingstandaarden die in het westen gelden. Thomas Rüdesheim is CIO van Allianz verzekeringen in Polen. Hij weet te vertellen dat net als alle andere lidstaten Polen de EU Data Protection Directive onderschrijft. De Allianze CIO beschouwt landen als Polen, Tsjechië en Slowakije helemaal niet als onveilig voor dataverkeer. Natuurlijk heeft Rüdesheim kennisgeno42
men van de alarmerende rapporten, opgesteld nadat de ZeuS Trojan begin 2011 infiltreerde in de mobiele TAN code-beveiliging van de ING Bank. ZeuS mobiel, oftewel Zitmo, is voor de Allianz CIO onderdeel van de gebruikelijke uitdagingen in zijn dynamische werkomgeving . En of je nu CIO bent in Polen, dan wel in Spanje, Hongarije of Denemarken, de dreigingen van cybercriminaliteit zijn overal hetzelfde. De Poolse regering neemt ze in ieder geval heel serieus. Zo heeft het land een permanente Inspecteur Generaal voor databeveiliging. Die ziet toe op de bedrijven die vanuit Polen elektronisch gegevens uitwisselen. Persoonlijke informatie mag niet zomaar naar landen buiten de EU worden gezonden. Men moet een waarborg afgeven dat die landen databeveiliging net zo serieus nemen als Polen. Het contractueel vastleggen van die waarborgen is in Oost-Europa een behoorlijke uitdaging. Veel landen accepteren het Engels als juridische voertaal, maar Rusland niet. Daar moet het conceptcontract eerst naar het Russisch worden vertaald en omgezet naar een contract geheel conform de Russische wetgeving. Oost-Europa is niet gemakkelijk over één kam te scheren. Het gebied is oneindig groot en ook de sociaaleconomische verschillen zijn groot. Maar over databeveiliging denken ze in alle staten heel goed na. T-Systems
manager Alexander Schweinberger heeft dat ervaren bij het behartigen van de belangen van zijn klant Allianz. Op het hoofdkantoor in Warschau beheerde TSystems informatiesystemen voor zowel de verzekeringstak als de bancaire tak van het concern. Voor het uitbesteden van laatstgenoemde gaven de Poolse autoriteiten geen toestemming. De bancaire applicatieverwerking moest uit het contract worden gehaald. Gelouterd door deze tegenvaller als gevolg van complexe wetgeving implementeerde Rüdesheim en zijn team van beveiligingsexperts een IP-gebaseerd spraak- en datanetwerk waarmee negen Allianz vestigingen in Centraalen Oost-Europa zijn verbonden. Alle onderdelen van het financiële concern opereren zelfstandig op basis van een ingewikkelde, maar zorgvuldig uitgewerkt juridische structuur. Die stelde dat, samen met moderne, gestandaardiseerde IT-voorzieningen, Allianz in staat is uit te groeien tot de grootste buitenlandse verzekeraar in de regio met 25.000 werknemers, actief vanuit 25 dochterondernemingen in 11 marktgebieden. Serge Vandenhoudt is VP Production bij T-Systems in Nederland en België
www.dearbytes.nl Infosecurity.nl magazine - februari/maart 2013
43
kahuna managing security
managing security
Next Generation Firewalls
Security Information & Event Management
Policy Compliance & Vulnerability Management
Virtual & Cloud Security Managed Security Services Kahuna Modemweg 20 3821 BS Amersfoort
T : +31 (0) 33 4500370 F : +31 (0) 33 4500371 E :
[email protected]
www.kahuna.nl
aangesloten bij
THE SIEM ALLIANCE FOUNDER MEMBER