UpDate jaargang 19 - editie 1
Stay Up-to-date!
en verder:
De kwetsbaarheid van websites
Security: meten is weten TUNIX/Quickscan IPv6 Met ISO 27000 naar een Risicomanagement strategie voor Information Security TUNIX najaarsevent: IT Security Future – cloudy or bright skies?
Stay up-to-date!
De kwetsbaarheid van websites Met als enige voorbehoud dat ik er vanuit ga dat uw website aan het Internet hangt, claim ik dat die permanent onder vuur ligt. Oktober 2011 ging de geschiedenis in als Lektober omdat hackers in staat bleken om elke dag een nieuwe hack te publiceren. Inmiddels ligt dit alweer bijna 1 jaar achter ons en de rust is weer gekeerd. Maar dat geldt alleen voor de media, want hackers rusten nooit. In economisch moeilijke tijden zorgt uw entrepreneurschap ervoor dat er nieuwe business kansen worden gecreëerd. Het Internet speelt daarbij een belangrijke rol dus de belangen worden met de dag groter. Naar aanleiding van onder andere Lektober is zelfs de overheid zich in Internet security gaan mengen door het instellen van de DigiD-beveiligingsnorm, bedoeld voor organisaties die DigiD gebruiken.
OWASP Top 10 Uw website ligt niet alleen onder aanval, ik durf zelfs te zeggen dat ik weet met welke methoden hackers hun succes beproeven en waarmee ze vaak ook slagen. Misschien nog verrassender: de meeste aanvalsmethoden die in 2012 succesvol blijken, waren dat 10 jaar geleden ook al. Hoe weten we dat? De non-profit organisatie Open Web Application Security Project (OWASP) houdt daar al jaren gegevens, zoals een top 10 van bij. De OWASP maakt deze informatie niet beschikbaar om hackers op te leiden maar ter ondersteuning van haar doelstelling om kennis uit te wisselen over de beveiliging van websites en de ontwikkeling daarvan. Een nobele doelstelling die gezien Lektober nog onvoldoende haar vruchten heeft afgeworpen. Er zijn wel eens wat verschuivingen in de top 10 maar alle aanvallen die erin staan, zijn al jarenlang bekend. Het is frustrerend om te zien dat we met z’n allen blijkbaar niet in staat zijn om op dat gebied een grote ombuiging teweeg te brengen. Waar laten we steken vallen? Kwaliteit van de websoftware Programmeurs horen van nature lui te zijn, is een veel gehoord geluid. In de praktijk zien we terug dat er bij het programmeren
2
van webtoepassingen vaak wordt gekozen voor een makkelijke oplossing. Screening van input, testen van grenswaarden en andere best practices worden regelmatig achterwege gelaten waardoor deze webtoepassing kwetsbaar wordt voor aanvallen. Brian Chess, oprichter en chief scientist van Fortify Software en auteur van het bekende boek Secure Programming with Static Analysis, beweert dat het creëren van veilige codes meer vereist dan alleen maar goede bedoelingen. Ontwikkelaars moet zich ervan bewust zijn hoe ze hun codering veilig kunnen maken voor een praktisch eindeloze reeks nieuwe scenario’s en configuraties. De opmerkingen van Chess maken duidelijk dat het niet eenvoudig is maar ze mogen geen excuus zijn voor slordigheden die eenvoudig kunnen worden vermeden. Niet alleen gestructureerd en netjes programmeren kun je leren, veilig programmeren ook. Zoekmachines Zoekmachines zoals google scannen websites om informatie voor iedereen toegankelijk te maken. Ook hackers maken van die zoekmachines gebruik om te zoeken naar exploiteerbare kwetsbaarheden die met slim gekozen zoekargumenten te vinden
UpDate
zijn. Dit maakt een site niet meer of minder kwetsbaar maar het maakt kwetsbare websites wel een stuk makkelijker te vinden. Op de zoekgiganten hebben we niet veel invloed maar terughoudend zijn met de informatie in foutboodschappen, helpt al veel. Het is beter om de op de achtergrond informatie aan beheer toe te spelen dan om de hele wereld mee te laten genieten van foutcodes, padnamen, SQL-meldingen en meer van dat soort voor hackers handige informatie. Overheid Lektober trof verschillende overheidssites. Vooral de nummer 3 uit de OWASP top 10 bleek de Achilleshiel van veel sites waarbij de toegang door DigiD wordt beveiligd. Voor dit soort zaken kunnen overheidsinstanties terecht bij Govcert. Dit is het Computer Emergency Response Team van en voor de Nederlandse overheid. Zij ondersteunt overheidsorganisaties in het Voorkomen en afhandelen van ICT-gerelateerde veiligheidsincidenten, 24 uur per dag, 7 dagen per week. Advies en preventie, waarschuwing, incidentafhandeling en kennisdeling zijn hierbij sleutelwoorden. Govcert schreef ook een prima white paper Raamwerk Beveiliging Webapplicaties. Daarin staat: Het beveiligen van webapplicaties is meer dan het versleutelen van verkeer of het gebruik van firewalls. Een webapplicatie is pas optimaal beveiligd wanneer organisaties op meerdere niveaus maatregelen treffen tegen misbruik ervan. Dit Raamwerk Beveiliging Webapplicaties, kortweg RBW, beschrijft alle lagen waaraan ontwikkelaars, beheerders en architecten bij het beveiligen van een webapplicatie aandacht moeten schenken. Deze lagen, die in deze whitepaper achtereenvolgens worden behandeld, zijn: netwerkbeveiliging, platformbeveiliging, applicatiebeveiliging, identiteit- en toegangsbeheer, vertrouwelijkheid en onweerlegbaarheid, beveiligingsintegratie en monitoring. Dit white paper is een document van 190 heel toegankelijke pagina’s maar de omvang, de complexiteit van de problematiek en de beperkte tijd de de gemiddelde ICT-beheerder voor beveiliging beschikbaar heeft, belemmeren de weg naar verbetering. Er is meer nodig dan normen en richtlijnen. Uit een notitie die staatssecretaris Teeven (Veiligheid en Justitie) op 30 januari 2012 schreef, blijkt dat de overheid overigens ook gebruik maakt van de informatie van de OWASP: De Nederlandse overheid maakt gebruik van een veelheid aan kennis en informatie over informatiebeveiliging, waaronder die van OWASP. Zo is de kennis van OWASP tijdens het govcert.nl-symposium actief uitgedragen aan de aanwezige vertegenwoordigers uit de Nederlandse overheid. Daarnaast is door OWASP beschikbaar gestelde informatie, verwerkt in het Raamwerk Beveiliging Webapplicaties dat al sinds 2006 door Govcert wordt gepubliceerd en verspreid binnen de Nederlandse overheid. Wat kunt u doen? Wat kan een organisatie doen om deze aanvallen te pareren? Er is veel apparatuur zoals firewalls en IPS-sen verkrijgbaar waarmee aanvallen kunnen worden tegengegaan. TUNIX levert ze graag in de vorm van Managed Services, maar ze staan voor ons niet op de 1e plaats:
Security awareness Een goede security awareness van hoog tot laag door de hele organisatie, is absoluut noodzakelijk. Het zorgt ervoor dat niet alleen de IT-afdeling of een Security Officer zich druk maken over security. Online business is mooi maar iedereen moet zich aan de spelregels willen houden. Training, herhaling, herhaling en (interne) certificering zorgt voor voldoende draagvlak over de hele linie en dat is essentieel voor het effectief uitrollen van maatregelen. TUNIX traint al jarenlang kleine en grote organisaties op het gebied van Security Awareness en kan u helpen om gedragsverandering op een geaccepteerde manier te initiëren.
1
Goed programmeren Er is een top 10 van de meest voorkomende aanvallen. De aanval op nummer 1 (SQL- en andere injecties) floreert alleen vanwege onzorgvuldig programmeerwerk. Een combinatie van goede standaarden, verantwoord design, peer reviewing en periodieke toetsing, biedt een oplossing. Wilt u meer weten over hoe u dit aanpakt, dan bel ons even.
2
Een Information Security Management System (ISMS) Een pragmatisch opgezet ISMS is een compact, op de situatie toegesneden papier arme set aan normen, afspraken, practices en registraties. Zo’n systeem wordt in een open cultuur in een PDCAcyclus permanent ontwikkeld en bijgesteld. Periodiek wordt het systeem door een onafhankelijke partij geauditeerd om te borgen dat procedures nog bij iedereen bekend zijn en worden nageleefd.
3
Permanente dijkbewaking Hoe goed een systeem ook in elkaar zit, de tijd kan de beveiligingsmaatregelen altijd inhalen. Daarom is het belangrijk dat diensten die aan het Internet hangen, worden bewaakt. Zo kunnen trends, correlaties en afwijkingen die een indicatie kunnen zijn dat er iets fout dreigt te gaan, vroegtijdig worden herkend en. De meeste organisaties hebben niet de capaciteit om zelfstandig 7x24 uur security bewaking inrichten. De ISO27K norm stelt ondermeer eisen aan de bewaking maar ook aan de onafhankelijkheid van de partij die deze bewaking uitvoert. Als u twijfelt over de haalbaarheid van zo’n oplossing voor uw organisatie, dan komen we daar graag eens over van gedachten wisselen.
4
Security Controls zoals Firewall en IPS Vaak staan deze technische hulpmiddelen op de 1e plaats. Ik onderschrijf de noodzaak van dit soort hulpmiddelen maar ze mogen nooit reden zijn om de andere maatregelen achterwege te laten. Het beheer en de bewaking moeten continue en professioneel worden uitgevoerd en functiescheiding is essentieel om in geval van belangenverstrengeling op een zakelijke manier knopen te kunnen doorhakken.
5
Bewust handelen, gebruik maken van goede software, procedures in een ISMS, actieve bewaking en effectieve security controls maken samen het verschil. Klinkt dit te paranoide? Henry Kissinger zei in 1973 al “Even a paranoid can have enemies.” dus “Sure you’re paranoid but are you paranoid enough?”
3
Stay up-to-date!
Security meten is weten 1
0
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
U heeft in de loop der jaren wellicht binnen uw infrastructuur veel security maatregelen getroffen. Door middel van ‘Best Practices’, ‘Compliance’, ‘Policies’ en de laatste ontwikkelingen probeert u bedreigingen buiten de deur te houden. Tegelijkertijd probeert u te voorkomen dat uw klanten voor dezelfde gesloten deur komen te staan. Het streven is naar een perfecte balans tussen veiligheid en vertrouwen. Heeft u deze security maatregelen wel eens getest? Werken deze maatregelen zoals ze bedoeld zijn? Wat is uw Return On Investment (ROI)? TUNIX biedt hier de uitkomst; wij kunnen uw security niveau meten.
Waarom meten? Het resultaat van de meting laat zien wat er als eerste beveiligd moet worden en wat meer controle vereist. Het geeft inzicht waar meer beveiliging nodig is en hoe dit geïmplementeerd dient te worden voor een optimaal effect. Het toont aan waar de dreiging van een digitale aanval wordt gereduceerd, is afgedekt en waar gebreken bestaan. Een meting van het security niveau van uw organisatie. Structured Security Audit De Security Audits die TUNIX biedt zijn gebaseerd op de OpenSource Security Testing Methodology (OSSTM) standaard. TUNIX past deze krachtige methode zo toe omdat deze zich perfect uitleent voor zowel fysieke-, gevirtualiseerde- als cloud- omgevingen. Deze audit biedt uw organisatie de mogelijkheid security meetbaar te maken. Wat wordt er gemeten? Wij meten het niveau van Operational Security (OpSec). OpSec is een alomvattend woord voor systemen die ervoor zorgen dat uw organisatie zijn werk kan uitvoeren op een veilige en beschermde manier. OpSec bestaat uit alle preventieve middelen die interactie tussen activa(servers) en bedreiging voorkomt. De rapportage die TUNIX aanlevert helpt u bij het opzetten van concrete stappen tot verbetering van uw security niveau. Bedreiging meten? Bij onze meting van OpSec wordt er niet, zoals bij reguliere audits, gekeken naar specifieke vormen van bedreiging. In plaats hiervan analyseren wij de weerbaarheid, beheersbaarheid en reactie mogelijkheden van uw organisatie. Binnen OpSec ligt de focus niet op specifieke vormen van bedreiging, maar op de weerbaarheid tegen iedere vorm van bedreiging.
4
Bruggen bouwen De rapportage die u in handen krijgt wanneer TUNIX deze Security Audit bij u uitvoert bestaat uit twee onderdelen. Een technisch rapport en een eindcijfer. Het eindcijfer is de score die uit onze meting voortkomt van het totaal aan aanwezige OpSec, genaamd ‘True Security’. Het technisch rapport is de verantwoording en onderbouwing voor dit cijfer. Het is een noodzakelijk en onmisbaar handvat om aan te tonen waar u het meeste rendement uit uw security budget kunt halen. En biedt zo ook onderbouwing voor security maatregelen bij toekomstige IT-projecten. Statistieken Wanneer u ervoor kiest om deze Security Audit periodiek uit te laten voeren kan TUNIX de voortgang van OpSec van uw organisatie voor u bijhouden. Zo kan dit bijvoorbeeld aantonen wat de impact is geweest van een aangebrachte wijziging. Maar kan er bijvoorbeeld ook gekeken worden of uw IT afdeling ‘True Security’ weet te handhaven. En zo levert het een grote bijdrage aan uw ROI berekening. Kortom, een security rapportage van meetbare waarde. Wilt u meer weten over de Structured Security Audit? Neem dan contact met ons op: 024-3455000 of per email
[email protected]
18
UpDate
tunix/Quickscan IPv6 In 1981 is het Internetprotocol versie 4 (IPv4) ontwikkeld om ervoor te zorgen dat iedereen dezelfde afspraken gebruikt op Internet. Omdat er steeds meer apparaten, zoals mobiele telefoons, pda’s, gameconsoles met Internet communiceren, neemt de vraag naar IP-adressen nog iedere dag toe. Als deze adressen op zijn, betekent dit dat er geen apparaten meer op Internet aangesloten kunnen worden en stopt de groei van Internet. Omdat reeds lange tijd bekend was dat de IPv4-adressen in de toekomst op zouden raken, is er in een vroeg stadium gewerkt aan een vervanger in de vorm van IPv6. IPv6, ontworpen door de Internet Engineering Task Force (IETF), is sinds de introductie in 1999 in gebruik en door het vele en lange testen een stabiel protocol. Door over te stappen op IPv6 kan de groei van Internet doorgaan. Belangrijke verbeteringen van IPv6: • Groot adresbereik: IPv6 adressen bestaan uit 128 bits tegenover de 32 bits van IPv4. • Ter illustratie: voor elke persoon op aarde zijn er ongeveer 50.000 quadriljoen adressen beschikbaar. • Betere routing en netwerk autoconfiguratie. • IPV6 maakt het gebruik van NAT overbodig. • Gegevensbeveiliging op IP-niveau. • Ondersteuning van mobiele nodes. De IPv4- en IPv6-protocollen kunnen niet direct met elkaar communiceren. Voordat de IPv6 adressen ingezet kunnen worden, zullen netwerken, services en producten IPv6compatible gemaakt moeten worden. IPv6-apparaten hebben namelijk ook een IPv4-adres nodig om met het ‘oude internet’ te kunnen communiceren. Bedrijven die niet op tijd de migratie naar IPv6 maken, kunnen in de problemen komen als de adressen in 2012 daadwerkelijk op zijn. De invoering van IPv6 door bedrijven gaat moeizaam, mede omdat de noodzaak hiervan niet wordt ingezien en er hoge kosten in de vorm van investeringen in hardware, software en kennis mee gemoeid zijn.
Om van IPv6 gebruik te kunnen maken, moeten uw computers, servers, routers, applicaties etc. hier wel klaar voor zijn. Vraagt u zich na het lezen van bovenstaande af in hoeverre u of uw organisatie al klaar is voor IPv6. TUNIX kan met een IPv6 Quickscan een blauwdruk leveren om u te ontzorgen. De TUNIX/Quickscan IPv6 levert als eindresultaat een rapport met een inventarisatie van voor IPv6 relevante netwerkdiensten op uw Internet-aansluiting en de netwerk componenten die beïnvloed worden door de ondersteuning van IPv6. Ook komen eventuele knelpunten aan het licht met mogelijke oplossingen en alternatieven die u zou kunnen kiezen. De Quickscan wordt volledig uitgevoerd voor één verbinding van de organisatie en richt zich in haar advies op alle standaard publieke Internet-diensten (e-mail, webserver, DNS). Wij houden rekening met de diensten van uw Internet Service Provider (ISP), uw hardware en uw server-software.
Voor meer informatie of het aanvragen van een offerte kunt u contact opnemen met ons via het telefoonnummer: 024-3455000 of per e-mail:
[email protected].
5
Stay up-to-date!
Met ISO 27000 naar een Risicomanagement strategie voor Information Security
Met een recordomzet van 12,3 miljard dollar in 2011 zijn de cybercriminelen weer voortvarend te werk gegaan. Het aantal doeltreffende cyberaanvallen bij grote ondernemingen is in 2011 verdubbeld. Momenteel wordt 73% van alle aanvallen uitgevoerd door hackers die weinig diepgaande computerkennis hebben en van geautomatiseerde tools gebruik maken om hun buit te scoren. Cybercrime is zich aan het groeperen en professionaliseren. De bijdrage van cybercrime to cybercrime (C2C) diensten, dat wil zeggen de dienstverlening tussen (cyber) criminelen, is in het afgelopen jaar weer toegenomen (10%). C2C stelt meerdere criminele groepen in staat om deel te nemen aan cybercrime activiteiten. Toch is de gemiddelde ondernemer hier nog niet zo van onder de indruk. Hij voelt zich beschermd door de wet van de grote getallen, en schaart het onder de categorie “pech” met als verklaring, “de kans dat mij dat gebeurt....” en “dat risico wil ik wel nemen, we hebben namelijk een firewall geïnstalleerd....”. Maar, wat is eigenlijk het risico? En hoe hangt dat risico samen met de beveiligingsmaatregelen die getroffen zijn? Deze problematiek behoort tot het vakgebied risicomanagement (Risk Management) en vormt de basis van de ISO 27000 serie van standaarden voor Information Security. Het risico is de
6
vermenigvuldiging van de kans op een informatie beveiligingsincident en de grootte van het verlies voor de onderneming. Anders gezegd, hoe vaak komt het voor en wat gaat het me kosten. Risicomanagement is het stellen van prioriteiten bij het implementeren van maatregelen zodat, afhankelijk van het budget, de bedreigingen met de hoogste risico’s het eerst beveiligd worden om zo het totale risico te minimaliseren. Het resultaat is een maximale beveiliging bij een gekozen budget. Dit probleem is niet simpel op te lossen, er is een enorm scala aan technieken die de cybercriminelen gebruiken.
UpDate
De doeltreffendheid van deze technieken is weer afhankelijk van de inrichting van de eigen organisatie en infrastructuur en de toepassing van beveiligingsmaatregelen. Bovendien zijn de bedreigingen zowel als de eigen organisatie en infrastructuur dynamisch en kunnen de risico’s per dag verschillen. Gelukkig komt er de laatste jaren steeds meer statistiek beschikbaar op het gebied van Information Security en is er een betere kennis over bedreigingen en de effectiviteit van beveiligingsmaatregelen. De CVE (Common Vulnerability and Exposures) database van het Amerikaanse National Institute of Standards and Technology (NIST) bevat 50.000 registraties van bedreigingen (vulnerabilities en exploits) en maakt gebruik van het Common Vulnerability Scoring System (CVSS) waarmee de risico’s voor de eigen omgeving meetbaar worden. De CVE database wordt continu bijgehouden. Het SANS Storm Center (isc.sans.edu) geeft een dashboard met actuele wereldwijde statistische informatie over actuele bedreigingen. Bovendien zijn er steeds meer mogelijkheden om zelf risico’s te kunnen meten door bijvoorbeeld monitoring & logging en (geautomatiseerde) vulnerability assessments. Met deze informatie is het steeds beter mogelijk om de eigen risico’s in te schatten en gefundeerde beslissingen te nemen over investeringen in beveiligingsmaatregelen. De ISO 27000 reeks zijn “best practices” standaarden waarvan de belangrijkste al tientallen jaren door vele bedrijven gebruikt worden om op basis van risicomanagement hun beveiligingsmaatregelen vorm te geven en te structureren. De ISO 27000 reeks is breed opgezet en beschijft naast risicomanagement ook andere belangrijke aspecten van informatiebeveiliging. ISO 27001 (voorheen BS 17799) is een standaard voor een Information Security Management System (ISMS) en vormt de basis van de ISO 27000 reeks. Het beschrijft een structuur waarin de informatiebeveiliging taken en verantwoordelijkheden belegd zijn. Deelgebieden zijn uitgewerkt in aparte 27000 standaarden zoals ISO 27002 voor “Security Controls” en ISO 27005 voor “Risk Management”. Wilt u meer weten? Neem dan contact met ons op: 024-3455000 of per email
[email protected]
Concreet voor het implementeren van risicomanagement komt het er op neer dat ISO 27001 een traject beschrijft om op basis van een (waarde) analyse van het eigen informatie domein (asset valuation), een analyse van bedreigingen (threats & agents) en een veiligheidsanalyse van de eigen processen, organisatie, applicatieomgeving en infrastructuur (vulnerabilities & exploits) te komen tot een planning van beveiligingsmaatregelen (risk mitigation plan). Vervolgens wordt dit plan onderhouden om de veranderingen binnen en buiten de eigen omgeving bij te houden. De ISO 27000 reeks wordt hiermee gebruikt als waardevolle bron van “best practices” en leidraad voor toepassing van, onder andere, risicomanagement voor informatiebeveiliging en draagt hiermee bij aan de weloverwogen en effectieve vorm van beveiliging.
TUNIX najaarsevent: IT Security Future cloudy or bright skies? Zoals u van ons gewend bent organiseren wij ook aan het eind van dit jaar infotainment in de vorm van een event. Onder de titel: IT Security Future cloudy or bright skies? behandelen we onderwerpen die actueel zijn, waar ú mee te maken heeft en waar wij verstand van hebben. Een greep uit het arsenaal van onderwerpen die wij gaan presenteren; Vraagt u zich bijvoorbeeld af hoe u kosteneffectief uw IT kunt beveiligen? en Bent u IPv6 moe en kunt u wel wat positief nieuws gebruiken? en Waarom kunnen we BYOD niet vertrouwen? Wij schijnen ons licht op bovenstaande vraagstukken en pauzeren tussentijds met een heerlijke lunch. Tijdens de lunch ontvangt u een lot, waarmee u aan het eind van het event wellicht met een nieuwe iPhone 5 naar huis gaat! Deze dag sluiten we rond 15:00 uur af met een voorpremière voor wat (ont)spanning! Wij verwelkomen u graag op donderdag 8 november 2012 om 10:00 uur bij CineMec in Ede.
Wanneer? Waar?
Donderdag 8 november 2012 vanaf 10:00 uur tot ca. 17:00 uur CineMec, Laan der Verenigde Naties 150 in Ede (Gelderland)
Deelname is geheel kosteloos. U kunt zich inschrijven op onze website: www.tunix.nl/event.
Kijk voor meer informatie en om u in te schrijven op www.tunix.nl/event
7
Blijf Up-to-date en volg TUNIX op: TUNIXds TUNIXds TUNIX
Wijchenseweg 111 6538 SW Nijmegen T : (024) 345 5000 F : (024) 345 5001 E :
[email protected] www.tunix.nl