Wie ben ik?
Ronald Kingma, CISSP
[email protected] Sr. Security Specialist bij SecureLabs
Introductie SecureLabs
Voorheen ISSX Code of Conduct Real Penetration Testing Vulnerability Management
Veiligheidsincidenten afgelopen maanden?
Beveiliging webapplicaties Op 2 februari 2012 heeft minister Spies in een brief aan de Tweede Kamer aangegeven dat alle organisaties die DigiD gebruiken, moeten voldoen aan een beveiligingsnorm. Via een ICT-beveiligingsassessment moeten zij dit vervolgens laten toetsen. Het in de brief geformuleerde beleid is erop gericht om de kwaliteit van ICT-beveiliging een impuls te geven.
DigiD risico’s One-factor authenticatie (gebruikersnaam / wachtwoord) Eventueel aan te vullen met SMS authenticatie (inmiddels gekraakt!) Wachtwoordbeleid is aangepast, maar wordt niet afgedwongen bij bestaande gebruikers Te vrijblijvend!
DigiD is een Single Point of Failure DDoS Blacklisting Storingen Etc.
Impact analyse KING ICTbeveiligingsassessment DigiD Software Processen Infrastructuur
Stappenplan
Zelf toetsen aan de hand van richtlijnen Maatregelen treffen Penetratietest uitvoeren Eventuele bevindingen oplossen Audit uitvoeren Bevindingen naar Logius sturen
Issue: Scope De scope van de toetsing is "de internet-facing webpagina's, systeemkoppelingen en infrastructuur die met DigiD gekoppeld zijn en betrekking hebben op het proces". Met systeemkoppelingen wordt met name de system-to-systemkoppeling (authenticatieverzoek en uitwisselen RID en verificatieverzoek van webdienst) bedoeld.
Focus: DigiD koppeling
Pentest: steekproef van variabelen op website => 100 variabelen, we testen er 30 Audit heeft focus op controle, zijn de steekproeven goed, dan “passed”. Niet geteste variabelen kunnen nog steeds kwetsbaar zijn
Moeten we tijdens de penetratietest en audit niet verder gaan dan alleen de DigiD koppeling? Hackers worden hierdoor ook niet beperkt.
Positief is natuurlijk wel dat er bewustwording is en dat er in ieder geval getest wordt, ook al is dit beperkt
Scenario’s / Attack Vectoren Toegang tot webserver met DigiD koppelingen via management systemen Toegang tot netwerkcomponenten / firewalls om zo data te onderscheppen Toegang tot interne systemen Etc. etc. etc. etc.
Waar zitten de kwetsbaarheden?
20% websystemen van Nederlandse gemeenten is door gebruik van verouderde software onvoldoende beveiligd (jan. 2013)
Gemeenten mikpunt Russische spionage (juli 2013)
Hoe werkt een hacker?
Eerste doel is toegang tot het netwerk door bijvoorbeeld: Social Engineering Verouderde software / slechte applicaties
Eenmaal binnen, installeer een backdoor om toegang te houden en wis de sporen
Hoe werkt een hacker?
Toegang vaak door misleiding, bijv. DDoS welke echte aanval maskeert
Hoe werkt een hacker?
Op het netwerk: Sniffer userid’s / passwords Zoek naar gevoelige informatie Etc.
Trends Denial of Service aanvallen APTs
Web applicatie aanvallen De mens BYOD / Mobile devices Cloud
Social Engineering Niet op zoek naar burgemeester, wethouder of topambtenaar, maar lagere functie in gemeentehuis. Secretaresse Systeembeheerder Ambtenaren
Worden vaak over het hoofd gezien, maar hebben toegang tot gevoelige informatie
Wat moeten we doen?
Omarm het “zero trust” model Ga er van uit dat je system gecompromitteerd raakt – als deze het al niet is – en neem de stappen om risico’s zo snel mogelijk te identificeren en te elimineren. Er is geen buitenkant (perimeter), [en] geen vertrouwde gebruikers. Vergeet vertrouwen en controleer.
Penetratietest
Voorbereiding: Stappenplan Uitvoer: Informatie inwinnen Uitvoer: service discovery / vulnerability assessment Uitvoer: ‘hacking’
Rapportage
Penetratietest
Eventueel aan te vullen met: Uitvoer: behouden van toegang Uitvoer: sporen wissen
Vulnerability Management
Beveiliging handhaven is niet eenvoudig Waarborgen van permanente beveiliging door het systematisch opsporen en elimineren van kwetsbaarheden in het netwerk
Vulnerability Management
Patchen is geen vervanging voor Vulnerability Management Scannen naar kwetsbaarheden zonder opvolging is niet voldoende
Vulnerability Management
Detecteren en managen
Security Awareness
Alerte medewerkers, een alert management en alerte veiligheidsprofessionals zijn essentieel om illegale activiteiten tijdig te herkennen.
Samenvattend
Zorg voor identificatie, monitoring, mitigatie en controle Maak risico’s inzichtelijk en classificeer deze Bewustwording op alle niveau’s
Media
Zorg dat PR en Marketing een draaiboek hebben liggen voor als het misgaat Journalisten bellen niet meer voor een afspraak, ze komen gewoon
Contact us
