bekijk hier de publicatie
Download
Report
Transcript bekijk hier de publicatie
Security.
Awareness.
Security Awareness
Van verrassing naar bevestiging
Rory Breuk
Marinus Kuivenhoven
Martin Visser
#PaSS
UWV SSD | Security Awareness |
2
Marinus Kuivenhoven
Verkenner van technologie met een Hacker Mindset
IT specialist sinds 2003
Security specialist sinds 2006
Auteur van: Staying ahead in the Cybersecurity game.
(mede)oprichter PaSS binnen Sogeti
Professioneel Ethical Hacker
Ontwikkelaar DDOS test
Ontwikkelaar SSEC2012/2013/2014
Techlead binnen Sogeti Security
Inspirator, trainer en presentator over alles wat Security is.
Spreker op Engineeringworld, Infosecurity beurs, ALT-S, Landelijk
Architectuurcongres, OWASP meetings, Landelijk Bestuurskunde congres
Gastspreker op HBO en Universiteiten (+10x per jaar), HitB lightningtalks
SDLc-, SSD-, SDL-Guru
Oracle DBA, Webdeveloper, Developer Java, Coldfusion, PhP, SQL
UWV SSD | Security Awareness |
3
Rory Breuk
“New School” Ethical Hacker
Afgestudeerd op Honeypots en
DMA hack via firewire, op HitB
showcase.
Teamleider Red Ace CTF team.
Winnaar Hackathon Antifraude BZK.
Ontwikkelaar DDOS test (alle
scripting gericht op uitvoeren 30
verschillende aanvalsscenario's).
Security Tester in Sogeti SOC.
Networking, Architectuur, TCL-expert
(exotische scriptingtaal), web
development talen: python,
JavaScript, PHP.
+20 trainingen gegeven in security
UWV SSD | Security Awareness |
4
Martin Visser
Security Architect
Bijna 10 jaar Sogetist.
Offensive Security Professional in
2010
SSD-, SDL-, SDLc-Guru
(mede)oprichter PaSS
PKI, Identitymanagement, DDOS,
Pentesting, Consultancy
Inspirator, Trainer en Presentator in
security: +100 trainingen gegeven
.NET Software Engineer
Microsoft Systems specialist o.a.
Sharepoint, AD, SQL e.d.
UWV SSD | Security Awareness |
5
Wat gaan we doen?
Interactieve sessie: U vraagt wij draaien.
Wij zenden:
Informatiebeveiliging
Hacker Mindset
Waarom zijn veilige applicaties NU zo belangrijk?
Waar komen bedreigingen vandaan?
OWASP & demo’s
Social Engineering
Secure Software Development (SDLc, SDL)
Proactive Security Strategy (PaSS)
SSD bij het UWV
UWV SSD | Security Awareness |
6
Wat is informatiebeveiliging?
Applicaties hebben betrekking op informatie!
3 pijlers van informatiebeveiliging
Beschikbaarheid
Integriteit
Vertrouwelijkheid
UWV SSD | Security Awareness |
7
- Wat is een veilige applicatie?
Wanneer is een informatiesysteem veilig?
Een informatiesysteem is veilig als het te allen
tijde doet wat er van verwacht wordt
Realisatie
Wens
veilig
onveilig
onveilig
UWV SSD | Security Awareness |
8
Out of the box denken - Interactief
|
9
Wat is een veilig informatiesysteem?
“Bugs are simple mistakes in code leading to problems like buffer
overflows; flaws are mistakes in design. It turns out that a lot of software is
flawed.
In fact, if you step back and look at a multitude of security problems
over time, you'll find that about 50% of them are due to bugs and 50%
due to flaws.”
Functionele
Technische
specificatie
implementatie
veilig
veilig
flaw
bug
UWV SSD | Security Awareness | 10
Informatiebeveiliging – waarom nu?
De omgeving waarin een applicatie draaide, was gesloten
Hierdoor werd de applicatie ‘open’ ontworpen en geïmplementeerd
UWV SSD | Security Awareness | 11
Informatiebeveiliging – waarom nu?
De omgeving waarin een applicatie draaide, breidt uit
Er ontstaat connectiviteit door middel van netwerken
UWV SSD | Security Awareness | 12
Informatiebeveiliging – waarom nu?
De omgeving waarin een applicatie nu draait, is globaal:
Internet
UWV SSD | Security Awareness | 13
HTTP, enig idee wat het is?
1. Client request naar de Server
2. Server creert de paging
• Statische content
• Dynamische content (DB)
3. Server response naar de client
4. De pagina wordt door de browser
geinterpreteerd en getoond
UWV SSD | Security Awareness | 14
Cookiewetgeving en Privacy
Weet je wat je deelt?
Functionele cookies
Analytische cookies
Wat deel je wat je niet weet?
Fingerprinting
UWV SSD | Security Awareness | 15
Informatiebeveiliging – waarom nu?
Gevoel van veiligheid ontstaat door ‘lapmiddelen’
Maar:
Zeer lage leercurve
Aanvallen van een webgebaseerde applicatie is
niet moeilijk
UWV SSD | Security Awareness | 16
Waar komen bedreigingen vandaan?
Bewust
Cracker
Hacker
Scriptkiddie
Risico=(
Onbewust
Gebruiker
Systeem
Omgeving
Bedreiging * Kwetsbaarheid
Tegenmaatregelen
)*Waarde
UWV SSD | Security Awareness | 17
Take 5
UWV SSD | Security Awareness | 18
Waar komen bedreigingen vandaan?
Bewust
Cracker
Hacker
Scriptkiddie
Risico=(
Onbewust
Gebruiker
Systeem
Omgeving
Bedreiging * Kwetsbaarheid
Tegenmaatregelen
)*Waarde
UWV SSD | Security Awareness | 19
OWASP - OWASP TOP TEN
1. Injection
2. Cross Site Scripting (XSS)
3. Broken Authentication and Session Management
4. Insecure Direct Object References
5. Cross Site Request Forgery
6. Security Misconfiguration
7. Insecure Cryptographic Storage
8. Failure to Restrict URL access
9. Insufficient Transport Layer Protection
10. Unvalidated Redirects and Forwards
UWV SSD | Security Awareness | 20
OWASP TOP TEN
1 Injection Flaws – SQL injection
Scherm:
USERNAME:[PERSOONA]
PASSWORD:[GEHEIM12]
Achtergrond:
Mag er toegang worden gegeven aan de gebruiker wanneer:
de username is 'PERSOONA'
en
het wachtwoord is 'GEHEIM12';
UWV SSD | Security Awareness | 21
OWASP TOP TEN
1 Injection Flaws – SQL injection
Scherm:
USERNAME:[PERSOONA]
PASSWORD:[Onbekend of 1=1]
Achtergrond:
Mag er toegang worden gegeven aan de gebruiker wanneer:
de username is 'PERSOONA'
en
het wachtwoord is ‘Onbekend' of 1=1;
UWV SSD | Security Awareness | 22
XSS op organisatie.cursisten.nl
UWV SSD | Security Awareness | 23
Of database injecten om XSS te krijgen
(Voorbeelden van vulnerabilities op de website(s) van het
bedrijf waar de cursisten werken.)
UWV SSD | Security Awareness | 24
Information Disclosure
(Voorbeelden van vulnerabilities op de website(s) van het
bedrijf waar de cursisten werken.)
UWV SSD | Security Awareness | 25
Take 5
UWV SSD | Security Awareness | 26
J.C. van Marken - 1894
“Sociale Engineers”
UWV SSD | Security Awareness | 27
Wat is Social Engineering?
Gevoel
Realiteit
veilig
Onveilig
Onveilig
UWV SSD | Security Awareness | 28
Victor Lustig - 1925
Gebruikt informatie
Voordoen als iemand
Too good to be true
Meerdere malen
Gebruikt informatie
Voordoen als iemand
Too good to be true
Meerdere malen
UWV SSD | Security Awareness | 29
Anton Lee - 2012
UWV SSD | Security Awareness | 30
Frank Abignale - 1965
Gebruikt informatie
Voordoen als iemand
Too good to be true
Meerdere malen
UWV SSD | Security Awareness | 31
Recentelijk
UWV SSD | Security Awareness | 32
Spanish Prisoner
UWV SSD | Security Awareness | 33
Linken van ‘nutteloze’ informatie
UWV SSD | Security Awareness | 34
Waarom nu?
UWV SSD | Security Awareness | 35
Resultaten Social Engineering Challenge
UWV SSD | Security Awareness | 36
Social Engineering - hoe te voorkomen?
Wanneer vertrouw je iemand?
Email
Pakketje
Telefoon
In persoon
Met welke informatie?
UWV SSD | Security Awareness | 37
Take 5
UWV SSD | Security Awareness | 38
Software Development lifecycle
“Penetratietest”
Requiremnts
Usecases
Architectuur
Ontwerpen
Testplannen
Code
Test
resultaten
Applicatie
Terug
koppeling
Doorlooptijd
UWV SSD | Security Awareness | 39
Markt
Acteren op gevoel
Verkoop op basis van angst
Security kost resources
Security beperkt
Reactief
Adhoc
Alleen specialisten
UWV SSD | Security Awareness | 40
Secure Development lifecycle
Ondersteuning
Requiremnts
Usecases
Architectuur
Ontwerpen
Security
Requirem
ents
Threat
model
Abuse
cases
Flaw
Analyse
Testplannen
Code
Test
resultaten
Applicatie
Terug
koppeling
Security
test
plannen
Static
Code
Review
Vrijgave
advies
Security
Assess
ment
Continuity
Plan
Ervaring
UWV SSD | Security Awareness | 41
Secure Development lifecycle
Ondersteuning
Requiremnts
Usecases
Architectuur
Ontwerpen
Security
Requirem
ents
Threat
model
Abuse
cases
Flaw
Analyse
Testplannen
Code
Test
resultaten
Applicatie
Terug
koppeling
Security
test
plannen
Static
Code
Review
Vrijgave
advies
Security
Assess
ment
Continuity
Plan
Ervaring
UWV SSD | Security Awareness | 42
Secure Development lifecycle
“We took a look at the set of the population using prescriptive application security methodologies. It turns out that those
practicing SDL specifically reported visibly better ROI results than the overall population. Unlike point technologies, SDL
advocates a coordinated approach to application security throughout the life cycle, and its emphasis is on a set of
processes that supports such coordination. We can potentially extrapolate that a coordinated approach to application
security is what drives positive ROI.”
Forrester
Secure
Requiremnts
Secure
Usecases
Secure
Architectuur
Secure
Ontwerpen
Secure
Testplannen
Secure
Code
Secure test
resultaten
Secure
Applicatie
Secure
Beheer en
onderhoud
UWV SSD | Security Awareness | 43
Secure Software Development lifecycle
Applicaties & Services
Secure
Requiremnts
Secure
Usecases
Secure
Architectuur
Secure
Ontwerpen
WebApp
Secure
Testplannen
Secure
Code
App
Secure test
resultaten
Secure
Applicatie
Secure
Beheer en
onderhoud
Backend
UWV SSD | Security Awareness | 44
Secure Infrastructure Development
lifecycle
Hardware & Netwerken
Secure
Requiremnts
Secure
Usecases
Secure
Architectuur
Secure
Ontwerpen
Upgrade
Secure
Testplannen
Secure
Code
IPv6
Secure test
resultaten
Secure
Applicatie
Secure
Beheer en
onderhoud
VoIP
UWV SSD | Security Awareness | 45
Secure Organization Development
lifecycle
Hardware & Netwerken
Secure
Requiremnts
Secure
Usecases
Secure
Architectuur
Secure
Ontwerpen
Vestiging
Secure
Testplannen
Secure
Code
Vacature
Secure test
resultaten
Secure
Applicatie
Secure
Beheer en
onderhoud
Outsourcing
UWV SSD | Security Awareness | 46
Secure Development lifecycle – Spinoff’s
Organisatie
Software
Infrastructuur
Secure
Architectuur
Secure
Ontwerpen
Secure
Testplannen
Secure
Implementatie
Secure
Testresultaten
Secure
Infrastructuur
Secure Beheer en
onderhoud
Secure
Secure
Architectuur
Secure
Ontwerpen
Secure
Testplannen
Secure
Implementatie
Secure
Testresultaten
Secure
Infrastructuur
Secure Beheer en
onderhoud
Requirements
Secure Usecases
Secure
Architectuur
Secure
Ontwerpen
Secure
Testplannen
Secure
Implementatie
Secure
Testresultaten
Secure
Infrastructuur
Secure Beheer en
onderhoud
Requirements
Secure Usecases
Requirements
Usecases
Cloud
BYOD
Fusie
UWV SSD | Security Awareness | 47
Secure Enterprise Lifecycle
Strategisch
Moeten
Behoren
Willen
Tactisch
Beschrijven
Faciliteren
Reageren
Controleren
Operationeel
Organisatie
Software
Infrastructuur
UWV SSD | Security Awareness | 48
Proactive Security Strategy
Acteren op gevoel feiten
Verkoop op basis van angst voordelen
Security kost resources levert op
Security beperkt enabled
Reactief Proactief
Adhoc Proces
Alleen specialisten Iedereen zijn taak
UWV SSD | Security Awareness | 49
Secure Software Development (Bedrijf)
Contactpersonen (binnen bedrijf cursisten)
Kees Klaassen
Projectmanager SSD
Jaap Jongbloed
Test coördinator SSD
Siemen Siemens
SSD coördinator leverancier management
Aart Staartjes
Enterprise architect
Piet Paulusma
Hoofd Secure Operating Centre
UWV SSD | Security Awareness | 50
Secure Software Development (bedrijf)
Status implementatie (binnen bedrijf cursisten))
SSD beveiligingseisen contractueel geborgd vanaf 1-1-2014
Divisie A heeft testlines ingericht
Awareness Business Units en IM’s
Divisie B eerste aanvraag voor impact voor SSD compliancy op
hun applicatieportefeuille
Voorbereiding voor invoering risico-analyse is gestart
SSD normen met SIVA schrijfwijze als bijlage aan leveranciers
verstrekt
SSD methode vastgesteld in commissie IB
Dashboard wordt gevuld en onderhouden door Divisie A
UWV SSD | Security Awareness | 51
Security.
van Veilig Voelen
naar Veilig Zijn
Aware.