SECURITY CONGRES 2013
RESILIENCE Hoe geeft mijn organisatie concreet invulling aan weerbaarheid? ir. Gerard Klop Security Consultant bij Motiv ICT Security 9 oktober 2013
IT Security Uitdagingen
Messaging Network Beveiliging: AS / AV /CC Reverse Proxy Access Control Social Engineering Vulnerability Web Application Local Load Balancing Management Messaging Scanning Secure Site-to-Site Mobile Access Beveiliging Endpoint Security Data Loss/Leakage VPN Access Global Load Security Incident & Prevention Database Scan Balancing Event Management IAM Cloud Config / Change Broker Security Analytics Management Patch Policy Compliance / Forensics Content Delivery Management Network Advanced Anti-MalEthical Hacking Ware & Anti-Bot Web Security: Firewall Web Application DDoS Protector URLF / App Cntrl / AV Firewall Cloud DDoS Database Activity Element en Identity & Access Mitigation Service Monitoring Ketenmonitoring Management Network Traffic Scan Cloud Web App WAF Scan Mobile Device App Cntrl / URLF Firewall Service Mobile App IPS / AV / Anti-bot / DLP Management Intrusion Detection / Bandbreedte Security Log Management Protection System Management Database Firewall
U moet alle ICT-middelen beschermen Hackers hoeven maar EÉN ingang te vinden
Agenda
• De complexiteit van aanval en verdediging • Hoe kom ik precies ‘In Control’? • Hoe bepaal ik concreet hoe ik er op dit moment voor sta qua weerbaarheid?
DDoS: Aanvallen op de beschikbaarheid van uw bedrijf
– SYN Floods – Socket stress (low and slow)
• Applicatieaanval – Open DNS – HTTP/HTTPS – Brute force attack
• Low-and-slow aanvallen
SSL
• “Ping of death” (1996) • Hoog volume netwerkverkeer • Server aanval
BIV classificatie voor de beveiliging van informatie
Waar moeten Integriteit en Vertrouwelijkheid worden beschermd? Gebruiker
Device
Service / Resource
Type Bedreigingen
Beleid
Niet vertrouwd
Gelaagde Perimeter
Vertrouwd
Endpoint
Server
Applicatie
Data
• •• • • •
Identiteitsdiefstal Rogue Applicatie Devices of Data Aanval Afdoende beveiliging (op technische zwakte) & Ongewenste Social Engineering Changes Acceptabele Business Logica Aanval (op Config Malware Fouten (viruses, beschikbaarheid & trojans, functionele zwakte) worms, spyware, spam, Netwerk Aanval performance
• Optimaal gebruiksgemak adware, etcetera)
• Data Loss & Leakage
100% beveiliging bestaat niet Het is slechts een kwestie van tijd en geld voordat een vastberaden hacker binnendringt.
Met gelaagde beveiliging koop je tijd…
Acquire target, sneak in, hop around (Perimeter doesn’t help)
Get privileged access to critical assets (Impact takes time)
Conduct the crime for an extended time (Early detection matters)
…om een hacker te detecteren en te stoppen
Hacker
Gebruiker
Security Monitoring (Detectie) Endpoint
Incident Response Secure Operating Center
Server Applicatie
Informatie Data
Gelaagde Perimeter (Beschermende Maatregelen)
Log Management en SIEM
Informatiebeveiliging als Proces Het Operationele Beveiligingswiel
• Mitigeren risico’s • Automatisch opvolging • Validatie check (stabiel)
• Dashboards: • Beschikbaarheid • Malware • Cyber incidenten
• Bronnen voor • Dreigingen • Operationele beveiligingsadviezen
Incident Response
Threat Intelligence
Security Monitoring
Beschermende Maatregelen • Bescherming • Malware • Cyber • Digitale identiteit
Het Operationele Beveiligingswiel in breder perspectief
Het Secure Operating Center de motor van het Beveiligingswiel Risico & Compliance Management Advies
Borging
Incident Reponse
Security Monitoring
Advies
24x7 Beheer
Identity & Access Management Perimeter Security Controls Application Level Security Controls
Agenda
• De complexiteit van aanval en verdediging • Hoe kom ik precies ‘In Control’? • Hoe bepaal ik concreet hoe ik er op dit moment voor sta qua weerbaarheid?
Mix van ICT Beveiligingsmaatregelen Categorie Beschikbaarheid & Performance Cloud
Internet Koppeling
On-Premise
DDoS Cloud DDoS Mitigation Service
DDoS
Content Delivery Network
CDN
Global Load Balancing
GLB
Aanwezig, In gebruik, Niet getuned Aanwezig, Niet/deels in gebruik
Local Load Balancing
LB MON LOG
Aanwezig, In gebruik, Getuned
Bandbreedte Management
BM IAS
Niet/deels aanwezig, Aanbevolen
DDoS Protector
Element en Ketenmonitoring Log Management
Niet aanwezig, Nice-to-have Niet van toepassing
Mix van ICT Beveiligingsmaatregelen Categorie Netwerkbeveiliging Preventieve Maatregelen Secure Site-to-Site Access Firewall Intrusion Detection / Protection System Patch Management Config / Change Management
Aanwezig, In gebruik, Getuned
VPN FW
IPS
Detectieve Maatregelen Vulnerability Management Policy Compliance
Log Management
VM PC
LOG
PATCH
Security Incident & Event Management
SIEM
CNFG
Security Analytics / Forensics
FOR
Aanwezig, In gebruik, Niet getuned Aanwezig, Niet/deels in gebruik
Niet/deels aanwezig, Aanbevolen
Niet aanwezig, Nice-to-have Niet van toepassing
Mix van ICT Beveiligingsmaatregelen Categorie Applicatiebeveiliging Cloud
IAM Cloud Broker Messaging Beveiliging Web Application Scanning Cloud Web App Firewall Service
Internet Koppeling
CIAM
On-Premise
RPROXY
MSG WAS CWAF
IAM
Identity & Access Management
WAF
Web Application Firewall
DAM
Database Activity Monitoring
DBF
Aanwezig, In gebruik, Getuned
Aanwezig, In gebruik, Niet getuned Aanwezig, Niet/deels in gebruik
Niet/deels aanwezig, Aanbevolen
Reverse Proxy
Database Firewall
Niet aanwezig, Nice-to-have Niet van toepassing
Mix van ICT Beveiligingsmaatregelen Categorie Gebruikersbeveiliging Gebruiker & Device Identity & Access Management SSO / Sterke Auth
Network Access Control Mobile Device Management
Communicatie Pad
Applicaties & Informatie
IAM Advanced Anti-MalWare & Anti-Bot
AAM
NAC
Web Security:
MDM
WEB
URLF / App Cntrl / AV
MAIL
Messaging Beveiliging: AS / AV /CC
SSL Endpoint Security Mobile App Security
Aanwezig, In gebruik, Getuned
EPS Mobile Access VPN
APP
Aanwezig, In gebruik, Niet getuned Aanwezig, Niet/deels in gebruik
DLP
Niet/deels aanwezig, Aanbevolen
Data Loss/Leakage Prevention
Niet aanwezig, Nice-to-have Niet van toepassing
Mix van ICT Beveiligingsmaatregelen Categorie Beveiligingsarchitectuur
• Welke gelaagdheid kent de beveiliging? (verticale zonering)
• Zijn informatiestromen zodanig gescheiden dat een aanval slechts beperkte impact heeft? (horizontale partitionering)
• Wordt er gebruik gemaakt van architectuurprincipes zoals NORA, SABSA en Jericho? • Maakt bepaling van de security impact integraal onderdeel uit van elke ICT wijziging die wordt beoordeeld?
Voordelen van een Network Traffic Scan: … Threats and Intrusions
Sensitive Information Loss
High Risk Applications
Bots & Viruses
Ken uw huidige beveiligingsstatus Threats and Intrusions
Sensitive Information Loss
High Risk Applications
Bots & Viruses 12 Bots & Viruses Found 23 Infected Hosts
Mix van ICT Beveiligingsmaatregelen Categorie Security Scans Netwerk Scans
Applicatie Scans
Network Traffic Scan App Cntrl / URLF IPS / AV / Anti-bot / DLP
NTS
Vulnerability Management
VM
Policy Compliance
Ethical Hacking
Social Engineering
In gebruik, Periodiek
PC ETH
Web Application Scanning WAF Scan
Database Scan
Ethical Hacking
WAS WAFS
DBS ETH
SOC
In gebruik, Eenmalig
Niet in gebruik, Aanbevolen
Niet van toepassing
Alles ingevuld, alle scans gedaan, hoe nu verder…?
Gebruik de verzamelde informatie om JA te kunnen zeggen op de onderstaande vier vragen. Dan is uw organisatie echt RESILIENT 1. Zijn de beschermende maatregelen in overeenstemming met uw risico-gebaseerde beveiligingsbeleid? 2. Heeft u invulling gegeven aan een SOC? 3. Kunt u compliance aantonen met de voor u relevante wet- en regelgeving? 4. Zijn uw organisatie en bedrijfsprocessen er klaar voor?
Bedankt voor uw aandacht! Vragen…?
