Sebyde Diensten overzicht 12-11-2012
EVEN VOORSTELLEN Sebyde BV is een bedrijf dat diensten en producten levert om uw web applicaties of websites veilig te maken. We helpen bedrijven met het beschermen van hun bedrijfsgegevens en reputatie. We leveren hiervoor de volgende diensten: 1. Web Applicatie Security Scan 2. IBM Authorised reseller 3. Security Awareness training 4. Security Quick Assessment Ad 1. We controleren websites en andere web applicaties op de zwakke punten in de beveiliging. De scan van de websites wordt uitgevoerd met behulp van IBM Security AppScan®, het beste product wat hiervoor ingezet kan worden. In een gedetailleerd rapport kan de klant vervolgens lezen waar de zwakke punten in de beveiliging van de website zitten. We geven advies over hoe die kwetsbaarheden verholpen kunnen worden door middel van aanpassingen in de programmacode van de website. Ad 2. Bedrijven die het security-testen van hun web applicaties in eigen beheer willen houden kunnen bij Sebyde BV terecht voor een advies over de aan te schaffen versie van de IBM Security AppScan® scanning tool, de implementatie en de training. Sebyde BV is een IBM Reseller. Ad 3. Security Awareness training geeft de deelnemers een goed overzicht over de verschillende aspecten van IT-Security. Tijdens deze sessie van een halve dag maken we de deelnemers bewust van de risico’s van het werken met informatiesystemen en vertrouwelijke (bedrijfs)informatie. Na deze training begrijpen de deelnemers de security aspecten en zullen die meenemen tijdens hun dagelijkse activiteiten. Ad 4. Bij de Sebyde Security Quick Assessment houden we samen met de klant verschillende aspecten van security binnen het bedrijf tegen het licht. Na het invullen van een Sebyde Quick Assessment questionnaire volgt een gesprek met een security expert over de gebruikte security procedures in de organisatie. Daarna produceren we een rapport over de status. Een goede manier om eens te controleren of de gebruikte security procedures nog afdoende zijn of dat ze moeten worden aangepast.
© Sebyde BV, 2012
[email protected]
Tel: 06-53233269
Sebyde BV is opgericht door Rob Koch en Derk Yntema. Rob Koch heeft 25+ jaar ervaring op het gebied van (Internationaal) Account- en Partner-management bij software bedrijven in de ICT en Telecom industrie. Gedurende zijn gehele carrière is hij verantwoordelijk geweest voor commerciële trajecten met eindgebruikers en partner-bedrijven. Vanaf 2001 werkte hij in de Telecom industrie, en heeft hij een aantal SMS- en MMS-systemen verkocht aan diverse mobiele operators in Europa. Van 2003 tot 2008 werkte hij vanuit Athene, Griekenland, verantwoordelijk voor het partnership tussen LogicaCMG en een grote Griekse System Integrator voor de business in Zuidoost Europa. Hier was hij betrokken bij zeer grote projecten, onder andere de complete vervanging van systemen bij een Griekse mobiele operator ten behoeve van de Olympische Spelen in 2004.
Derk Yntema trad 30 jaar geleden in dienst bij Ahold. Binnen dit concern heeft hij verschillende functies bekleed binnen de ICT. Gedurende de laatste 10 jaar was hij verantwoordelijk voor het in gebruik nemen van een Europese Identity & Access Management infrastructuur wat opgebouwd was uit de software en services uit de IBM Tivoli en SecurIT product portfolio. Als portfolio manager security was Derk uiteindelijk wereldwijd verantwoordelijk voor deze security infrastructuur. Derk is voorzitter van de BeNeLux Tivoli User Group en deelt zijn brede ervaring met anderen tijdens Internationale evenementen.
© Sebyde BV, 2012
[email protected]
Tel: 06-53233269
ACHTERGROND Er is de afgelopen jaren een duidelijke trend geweest in de richting van het gebruik van web applicaties. Gedreven door de veranderende manier van werken en globalisering worden web applicaties steeds vaker toegepast. Web applicaties zijn aantrekkelijk voor de business omdat ze het mogelijk maken om altijd en overal toegang te krijgen tot services voor zowel interne- als externe gebruikers. Dit heeft echter ook een schaduwkant: 75% van de hackers-aanvallen van buitenaf zijn tegenwoordig gericht op die web applicaties/websites. Is uw website / web applicatie veilig? Om uw IT-infrastructuur te beschermen tegen ongeautoriseerd of crimineel gebruik heeft u waarschijnlijk al maatregelen getroffen. U hebt een firewall, het netwerk gesegmenteerd, een intrusion prevention systeem ingericht, antivirus software geïnstalleerd, …etc. Daarnaast houdt u de software op alle componenten up-to-date om de nieuwste lekken te voorkomen. Maar uiteindelijk zal toch vanaf het Internet, of belangrijker vanuit intern, de web applicatie kunnen worden benaderd. En of de verbinding nou versleuteld is of niet, men zal applicatiefuncties uitvoeren die geautoriseerd zijn om de onderliggende database(s) te benaderen voor lees- en / of schrijfacties. Waar liggen de gevaren? Meer en meer richten hackers zich van buitenaf, of ontevreden personeel van binnenuit, op die web applicaties om er hun voordeel mee te doen. Denk aan leeglezen van database tabellen, het moedwillig wijzigen van gegevens, het uitvoeren van database commando’s, tot het kunnen uitvoeren van commando’s op operating systeem niveau! SQL-injectie is de meest voorkomende hack techniek en kan door iemand, met een beetje kennis en wat opzoekwerk op het Internet, worden uitgevoerd op allerlei invoervelden in uw web applicatie. Vooral hackers zetten technieken in als SQL Injection, Cross-site Scripting (XSS), Cross-Site Request Forgery (CSRF), om de communicatie tussen gebruiker en de web applicatie te kapen. Op het Internet zijn vele tools te vinden om, verbazingwekkend simpel, deze technieken uit te voeren. Methodieken gebruikt door hackers. Er worden steeds meer methoden bedacht door hackers om toegang te krijgen tot bedrijfsgegevens. Er bestaan een aantal wereldwijde organisaties die zich bezighouden met onderzoek naar de door hackers gebruikte methodieken om in te breken in uw web applicatie. Sommige van die organisaties publiceren in samenwerking met security experts vanuit de hele wereld regelmatig overzichten met de meest gebruikte bedreigingen. Het is aan te raden om deze informatie in acht te nemen bij het ontwerpen of ontwikkelen van web applicaties. Security By Design!
© Sebyde BV, 2012
[email protected]
Tel: 06-53233269
Wet/regelgeving Er komen steeds meer regels waaraan aanbieders van e-services en of web applicaties moeten voldoen om zichzelf (én de gebruikers / consumenten) te beschermen. In de Amerikaanse markt bestaat er al lange tijd regulering voor verschillende branches, zoals PCI DSS (Payment Card Industry Data Security Standard) voor websites die creditcard gegevens verwerken. Dergelijke regelgeving wordt steeds vaker toegepast. In sommige staten is het verplicht dat leveranciers moeten kunnen aantonen dat security een standaard onderdeel is van hun software ontwikkelingsprocessen en welke tools ze hebben gebruikt om aangeboden software te testen op security. Ook in Europa is de discussie gestart of dergelijke regelgeving verplicht gesteld zou moeten worden. Regulering als Basel III en de e-privacy richtlijn zijn al in gebruik in Europa. Wat is er tegen te doen? Attack the cause, not the symptom ! Bij het ontwerpen van web applicaties kan veel worden gedaan om security problemen in de toekomst te voorkomen. Belangrijk is dat iedereen die betrokken is bij de ontwikkeling van web applicaties bewust is van security en het belang er van inziet. Dat betekent een verandering van gedrag en houding. Dit is niet eenvoudig te implementeren en moeilijk te controleren. Het allerbeste is om de softwareontwikkeling processen in de organisatie zodanig in te richten dat tijdens het ontwerpen en bouwen van een web applicatie al rekening wordt gehouden met de veiligheid van de applicatie. Het inrichten van een Software Development Life Cycle (SDLC) proces is van groot belang, maar is niet voor alle organisaties weggelegd. In de praktijk kijkt men vaak pas naar de veiligheid van de web applicaties nadat deze zijn gebouwd. Door te testen denkt men dan de fouten uit de applicatie te halen. Functionaliteit gaat vaak boven veiligheid omdat onder druk van “de business” de applicatie snel in gebruik moet worden genomen. Het testen op security schiet er dan vaak bij in. Er wordt dan alleen op functionaliteit getest en niet of er veiligheidslekken in de applicatie zitten. Handmatig web applicaties testen op mogelijke lekken is een duur, langzaam en moeilijk proces. En het is niet gezegd dat alle mogelijke lekken gevonden worden. Om het testen geautomatiseerd, consistent en volledig te doen zijn tools beschikbaar.
© Sebyde BV, 2012
[email protected]
Tel: 06-53233269
ONZE AANPAK : SEBYDE SECURITY CYCLE Zoals hierboven beschreven speelt de interne beveiliging van web applicaties een belangrijke rol tegen ongewenste aanvallen van buitenaf en de bescherming van bedrijfsgegevens. Om uw bedrijfsgegevens goed te beschermen dienen uw web applicaties daarom van binnen uit, in de broncode, beschermd te zijn tegen inbraakpogingen. Via een Scan kunt u een web applicatie laten scannen of er voldoende bescherming tegen bedreigingen van buitenaf wordt geboden. Sebyde BV levert een Web Applicatie Security Scan waarbij de veiligheid van uw web applicatie wordt getest. Deze scan bestaat uit het Controleren, Evalueren en Analyseren van gegevens die we met behulp van geavanceerde scansoftware over uw website genereren. We rapporteren de bevindingen met een rapport van kwetsbaarheden, en evalueren samen met u de te nemen stappen om de gevonden kwetsbaarheden te repareren.
Sebyde Security Cycle
© Sebyde BV, 2012
[email protected]
Tel: 06-53233269
1. Controleren; het scannen van de web applicatie. Met behulp van IBM Security AppScan®, de meest geavanceerde tool die hiervoor beschikbaar is, wordt uw software getest op kwetsbaarheden tijdens een serieuze simulatie van een externe aanval. Deze gecontroleerde “aanval” gebeurt na overleg met de klant op een vooraf overeengekomen tijd. Tijdens deze aanval wordt de web applicatie onderworpen aan een groot aantal hack technieken. Kwetsbaarheden in de web applicatie komen in deze fase onmiddellijk boven water. 2. Evalueren van de uitkomsten van de scan. Na de scan wordt er een rapport geproduceerd waarin de kwetsbaarheden van uw web applicatie duidelijk worden uitgelegd. Naast een “executive summary” bevat dit rapport ook gedetailleerde informatie over de gevonden kwetsbaarheden en hoe ze worden veroorzaakt. U weet dan dus precies hoe er in uw web applicatie ingebroken kan worden. 3. Analyseren hoe de gevonden lekken moeten worden gedicht. In deze fase bespreken we met de klant welke maatregelen er genomen moeten worden om de kwetsbaarheden op te lossen en wat de prioriteiten zijn. Zijn er wellicht andere factoren die een positieve rol kunnen spelen bij de veiligheid van uw applicaties en gegevens? 4. Realiseren; aanpassen van de programmatuur. Om de kwetsbaarheden te laten verdwijnen zijn er aanpassingen nodig in de broncode zodat uw web applicaties van binnenuit beveiligd zijn tegen inbraken van buitenaf. Sebyde assisteert bij de aanpassing van de programmacode. Indien noodzakelijk kan er via Sebyde BV ook een externe programmeur ingeschakeld worden om de gevonden kwetsbaarheden op te lossen.
© Sebyde BV, 2012
[email protected]
Tel: 06-53233269
SEBYDE WEB APPLICATIE SECURITY SCAN De Sebyde Web Applicatie Security Scan bestaat uit de stappen 1-2-3 van de totale cycle. De kosten bedragen € 3.495 (ex BTW) voor 1 domeinnaam van maximaal 1.500 URL’s. De Webapplicatie Security Scan zal ongeveer 3 dagen in beslag nemen. De gegevens van de scan worden geëvalueerd, geanalyseerd en met u besproken. U ontvangt een rapport met gedetailleerde gegevens over de kwetsbaarheden van uw web applicatie.
SEBYDE KEURMERK
Na het uitvoeren van een Webapplicatie security scan leveren we een rapport af bij de klant met aanbevelingen hoe de gevonden kwetsbaarheden gerepareerd kunnen worden. De klant kan deze aanbevelingen opvolgen en daarna een controlescan door ons laten uitvoeren tegen een sterk gereduceerd tarief van € 995 (ex BTW). Indien de applicatie dan geen High en/of Medium severity kwetsbaarheden meer bevat dan krijgt de applicatie een certificaat en een keurmerk. Dit keurmerk wordt bij ons geregistreerd. Het keurmerk is een jaar geldig. De klant mag dit keurmerk op de website zetten om aan hun relaties te laten zien dat hun website gecontroleerd is en veilig bevonden.
EENMALIGE SCAN OF EEN ABONNEMENT? Omdat hack-methodieken veranderen en omdat bedrijven hun website regelmatig voorzien van nieuwe pagina’s, etc. hebben we ook abonnementsvormen waarbij de Security scan op periodieke basis (2 x per jaar, 4 x per jaar, 12 x per jaar) wordt uitgevoerd. Hiervoor gelden uiteraard zeer aantrekkelijke kortingen. Voordelen van de Sebyde Web applicatie Security Scan: Snel in te regelen / uit te voeren; Goedkoper dan manueel testen; Weinig kennis nodig van de te scannen applicatie; Herhaalbaar.
© Sebyde BV, 2012
[email protected]
Tel: 06-53233269
IBM SECURITY APPSCAN® AUTHORIZED RESELLER In het geval dat bedrijven besluiten om de scanning van hun applicaties in eigen beheer uit te gaan voeren kan Sebyde BV u ondersteunen door middel van de implementatie van, en de training op de benodigde software licenties van IBM Security AppScan®. Er zijn bijvoorbeeld de volgende mogelijkheden.
Outsourced Audits
In-House Audits
Development Integratie
Enterprise
Sebyde Security Scan
IBM Security AppScan® Standard
IBM Security AppScan® Source
IBM Security AppScan® Enterprise
Dynamische analyse security testen (DAST) of black-box testen van uw web applicatie vanaf een desktop. Bedoeld voor bedrijven die zelf hun web applicaties willen testen.
Statische analyse security testen (SAST) of white-box testen om kwetsbaarheden in de source code van uw applicatie te ontdekken. Bijvoorbeeld om uw testprocedures uit te breiden.
Een multi user omgeving waarin simultaan meerdere applicaties kunnen worden gescanned. Met een centrale rapportage omgeving.
IBM Security AppScan OnDemand Een Software as a Service (SAAS) versie van AppScan®. De service wordt gerunned in de cloud door een team van Sebyde of IBM experts die op gezette tijden uw applicatie scannen. Bedoeld voor bedrijven die geen eigen expertise kunnen en willen opbouwen.
Bedrijven die geen expertise kunnen en/of willen opbouwen kunnen bijvoorbeeld overstappen op IBM Security AppScan® OnDemand. Bedrijven die zelf hun websites (dynamisch) willen testen kunnen gebruik maken van IBM Security AppScan® Standard Edition of de IBM Security AppScan® Tester Edition. Statische Analyse van de sourcecode als integraal onderdeel van de development lifecycle van web applicaties kan gebeuren met IBM Security AppScan® Build Edition of de IBM Security AppScan® Source Edition. Tot slot is er de IBM Security AppScan® Enterprise Edition voor organisaties die in een multi-user omgeving meerdere applicaties tegelijk willen scannen en gebruik willen maken van een centrale rapportage omgeving in een executive dashboard.
© Sebyde BV, 2012
[email protected]
Tel: 06-53233269
SEBYDE SECURITY TRAINING Sebyde BV verzorgt training om de algemene kennis op het gebied van Security te vergroten. Door het vergroten van de kennis op dit gebied zullen de betrokkenen de security aspecten aan het werken binnen de ICT beter begrijpen en een natuurlijk onderdeel laten worden van hun handelen Security Awareness training Elke organisatie heeft er belang bij dat de medewerkers bewust zijn van het feit dat er risico’s zitten aan het werken met bedrijfsinformatie en -systemen. Het maakt niet uit wat de verantwoordelijkheden van die medewerkers zijn. Het kunnen medewerkers zijn van de boekhoudafdeling of computerprogrammeurs. Iedereen heeft er tegenwoordig mee te maken en speelt een belangrijke rol in het proces van het beschermen van de eigendommen van het bedrijf. Het belangrijkste doel van de Security Awareness training is om medewerkers bewust te maken van de risico’s en ze de juiste “security-gewoontes” aan te leren die de risico’s verlagen. Dit doen we door de risico’s die te maken hebben met informatiebeveiliging uit te leggen en adviezen te geven hoe ze die risico’s kunnen verkleinen of (beter nog!) vermijden. De onderwerpen die tijdens de training behandeld zullen worden zijn onder andere: Wat is Information Security? Wie spelen een rol? Wie zijn verantwoordelijk ? Wat is de waarde van informatie? Hoe kan het beschermd worden? Internet gebruik op de werkplek Security op het werk en thuis Security policies op het werk Desktop / Laptop security Ontevreden werknemers Security aspecten bij gebruik van Fax en Printer Documentenbeheer Thuiscomputers Hoe om te gaan met incidenten Wet- en regelgeving? Virussen, Trojan Horses, Worms, Bots, etc. Het gebruik en onderhoud van passwords PDA’s, laptop security (physical) Shoulder Surfing Social engineering Bezoekers (onbekende, niet geautoriseerde personen) Werkplek security
© Sebyde BV, 2012
[email protected]
Tel: 06-53233269
De trainingen worden bij de klant gegeven tenzij door het bedrijf anders gewenst. De training duurt een halve dag. (Van 9.00 uur tot 12.00 uur of van 14.00 uur tot 17.00 uur). In overleg is het ook mogelijk om deze training buiten kantooruren te verzorgen in de avonduren. De training wordt gegeven aan een groep van minimaal 3 en maximaal 10 deelnemers. De prijs voor de Security Awareness training is € 495 (ex BTW) per persoon voor de eerste 3 personen. € 395 (ex BTW) per persoon voor de 4de en 5de persoon € 345 (ex BTW) voor persoon 6 en meer. Uiteraard ontvangen de deelnemers een kopie van de gepresenteerde informatie en een certificaat dat ze de training hebben gevolgd.
© Sebyde BV, 2012
[email protected]
Tel: 06-53233269
SEBYDE SECURITY QUICK ASSESSMENT De Sebyde Security Quick Assessment bestaat uit een gericht onderzoek waarbij samen met de klant meerdere aspecten van IT security tegen het licht worden gehouden. Denk hierbij aan het netwerk, het operating systeem, monitoring, scannen tot identiteit- en toegangsbeheer. Een goede manier om eens te controleren of de gebruikte beveiligingsmaatregelen nog wel actueel en afdoende zijn. Op basis van die informatie kan er een betere inschatting worden gemaakt van de risico’s die worden gelopen. De Security Scan kost € 2.495, neemt 2 dagen in beslag en bestaat uit drie fases : Invullen Sebyde Security Quick Assessment questionnaire. Informatie inwinnen; Security Quick Assessment meeting met Sebyde BV. Uitlevering Sebyde Quick Assessment rapport + nabespreking.
© Sebyde BV, 2012
[email protected]
Tel: 06-53233269
