Template Powerpoint Datum
Security Defense Van reactief naar proactief
Introductie Ronald Kingma, CISSP @ronaldkingma Over SecureLabs @SecureLabsNL Security Defense
“Het zal ons nooit overkomen!”
2014 Cyber Attacks
GitHub Down Due to DDOS Attack – 1/27/2014 GitHub is currently experiencing a distributed denial-of-service (DDOS) attack that prevents users from accessing some services. “We are currently working to mitigate a DDoS attack. Some services will be unresponsive,” reads a post from GitHub Status. GitHub is often disrupted by DDOS ... [ read more >> ]
Evaluatie van de dreiging Dreigingen in de media zijn slechts het topje van de ijsberg Aanvallen genoemd in de pers Aanvallen gedetecteerd maar niet genoemd
Aanvallen niet gedetecteerd
Security fouten kunnen kostbaar zijn… Verlies van intellectueel eigendom
System downtime / Financieel verlies!!
Gevolgen
Minder vertrouwen in de business!
Verloren productiviteit / Schade aan business reputatie
Schaal en verandering
2bn 75% Mobile today
3bn 7bn people 2bn online
1/3 by 2015
15bn
Groei geraffineerdheid aanvallen vs. kennis aanvaller
High
packet spoofing sniffers sweepers
Intruder Knowledge
back doors disabling audits
network mgmt. diagnostics
hijacking burglaries sessions exploiting known vulnerabilities password cracking self-replicating code password guessing
Attack Sophistication
Low 1980s Source: CERT
Auto Coordinated Cross site scripting Tools “stealth” / advanced Malware scanning techniques Staged denial of service distributed attack tools www attacks automated probes/scans GUI
1985
1990s
Intruders 1995
2010 and further
Nieuwe threat vectoren versnellen… Gisteren…
• •
Bad “Actors” Isolated criminals “Script Kiddies”
“Target of Opportunity”
• • •
Targets Identiteitsdiefstal Diefstal van services Eigen belang / promotie
Vandaag… Bad “Actors” • • •
Georganiseerde misdaad Buitenlandse overheden Hacktivists
“Target of Choice”
• • •
Targets Intellectueel eigendom Financiële informatie Strategische toegang
Client Defense
Server Defense
Data
Data
Applicatie
Applicatie
Host
Host
Netwerk Defense Interne Defense Perimeter
Fysieke Beveiliging
Policies, Procedure en Bewustwording SecureLabs
Waarom Security Defense strategie? Business processen op het internet
Ketens / interconnectie
(Military) Intelligence Services
Complexiteit van IT systemen
Security Defence Korte Innovatie Cycles
Criminaliteit Underground Economy
Hacker, Cracker Convergentie van netwerken IP
Competitie Spionage
Twee hoofddreigingen… Op hoofdlijnen zijn er “slechts” twee dreigingen: Mens Natuur
De menselijke dreiging bestaat uit 2 categorieën: Malicious (hackers, fraude, ontevreden medewerkers etc) Non Malicious (fouten door dagelijks aanwezige mensen)
Proactief vs. Reactief Basis aanpak security: Reactief Proactief
Security Defense is Proactief!
Security Defense Security Defense bestaat uit: Incident Management (reactief) Vulnerability Management (detectief)
Threat Management (proactief)
Aanvals moment
Geen detectie en reactief (te laat) Detectie en response (nog steeds te laat)
Proactief (mogelijk op tijd) T0 - X weken
TO
Linkerzijde van de aanval
Verkenning en voorbereiding aanvaller
T0 + X weken
Organisatie merkt de aanvaller op en leert zijn tactieken, technieken en handelswijze
Rechterzijde van de aanval
Organisatie detecteert aanval, of wordt geïnformeerd door anderen
Aanval
Organisatie stemt maatregelen, incl. monitoring af op nieuwe informatie
Aanvaller krijgt persistente toegang en vervolgt aanval
Incident Management
Threat Management Vulnerability Management
Incident Management (reactief) Service Level Management Change Management Problem Management Maar ook: Configuration / Asset Management Welke componenten en wie is technisch, functioneel en organisatorisch verantwoordelijk!
Vulnerability Management (detectief) Patchen is geen vervanging voor Vulnerability Management Scannen naar kwetsbaarheden is onvoldoende als er geen opvolging is (incident management) Detectie en management
Security is een proces, geen product!
Policy Monitoring, Processes,
Firewall, IDS, AV Scanner...
Implementation
Vulnerability Management
Threat Management (proactief) Next Generation Firewall is geen Threat Management “Intelligente” correlatie van logging Bepalen waar aanvallen plaats gaan vinden In staat om proactief actie te ondernemen
Virtual Security Officer
Vulnerability Management is de lijm tussen incident management en threat management Zonder Vulnerability Management geen volledige controle SecureLabs kan u helpen met de juiste (in)richting!
Wat is het risicoprofiel van mijn organisatie?
Risicoperceptie Risicoacceptatie
toenemend risico groot
R4
R2
onacceptabel
gevolg R1
R3
verwaarloosbaar
klein klein
kans
groot
Wat is een risico? Risico is de kans dat een gebeurtenis plaatsvindt, "vermenigvuldigd" met het "gevolg" van die gebeurtenis. Als het gevolg kwantificeerbaar is kan dit daadwerkelijk een vermenigvuldiging zijn. Het gevolg kan positief dan wel negatief zijn.
Fabels over risicomanagement Met risicomanagement zijn er geen risico’s meer Risicomanagement is het af en toe uitvoeren van een risicoanalyse Risicomanagement kun je uitbesteden / overlaten aan de risicomanager Risicomanagement heeft geen zin in een vroege fase van een project of programma Risicomanagement werkt pas als er een goed systeem is
Risicomanagement proces Wat kan er mis gaan? Hoe kunnen we de impact beperken? Kunnen we iets doen voor er iets gebeurt? Wat doen we als er iets gebeurd is?
Enkele voordelen risicomanagement Proactieve in plaats van reactieve aanpak Zorgt voor minder verassingen en negatieve gevolgen Zorgt voor betere controle in de toekomst
Wat betekent dit voor ons? Inrichting en volwassenheid Hoe volwassen is mijn organisatie? Heb ik te maken met wet/regelgeving of compliancy? Dataclassificatie Processen, procedures (strategisch, tactisch en operationeel) Risicomanagement bij projecten betrekken
Governance, processen, mensen en …technologie
Informatie | Samenwerking! Zorg voor aansluiting bij brancheverenigingen Leer van de fouten van (con-)collega’s Open en eerlijk
Mensen en middelen Heb ik voldoende mensen en middelen om threat intelligence optimaal te benutten? Denk ook aan de VSO dienst van SecureLabs
To do (1) Baseline Policy Asset inventory Service Dependency Mapping Configuration Standards by Device Role
Threat en vulnerability analyse Vulnerability Assessment Risk Assessment Vulnerability Enumeration
To do (2) Remediation Planning Prioritization Remediation
Vulnerability Lifecycle Management Monitor baseline Root Cause Analysis
Samenvattend Zorg voor identificatie, monitoring, mitigatie en controle Maak risico’s vroegtijdig inzichtelijk en classificeer deze Bewustwording op alle niveaus
MSSP
SecureLabs levert de volgende managed services om u te ontzorgen: Vulnerability Management (Greenbone) Threat intelligence (Alienvault)
Deze zijn in combinatie met de VSO af te nemen zodat u zich geen zorgen hoeft te maken!
Vragen? Stel ze via @SecureLinkNL of @ronaldkingma #securitybc Antwoord binnen 600 seconden En de medewerkers van SecureLabs zijn herkenbaar aanwezig!
Wilt u meer weten over SecureLabs en haar diensten? Neem contact op via +31 33 477 9529 of stuur een email naar
[email protected].
