Bring

Your

Own

Device

|

Het voordeel van risico nemen.

Marinus Kuivenhoven

Sr. Security Specialist, Sogeti Security

's-Hertogenbosch, 2 oktober 2014

2 Kijk op Onderwijs | De Mobiele Revolutie

|

Informatiesystemen beheren informatie.

3 pijlers van informatie beveiliging

Beschikbaarheid

Integriteit

Vertrouwelijkheid

Wat is security?

Kijk op Onderwijs | De Mobiele Revolutie 3

|

Realiteit

Wat is security?

4 Kijk op Onderwijs | De Mobiele Revolutie

Gevoel Zekerheid

|

Bugs vs Flaws

“Bugs are simple mistakes in code; flaws are mistakes in design. It turns out that a lot of information systems are flawed. In fact, if you step back and look at a multitude of security problems over time, you'll find that about 50% of them are due to bugs and 50% due to flaws.”

Gary McGraw, Building Security In.

5 Kijk op Onderwijs | De Mobiele Revolutie

|

Client Server

Waar vindt de logica plaats

6 Kijk op Onderwijs | De Mobiele Revolutie

Mainframe Terminal

Backend PC

Cloud Mobile

|

OSI - View Architectuur - View

| | Applicatie Interactie

| | Presentatie Applicatie

| | Sessie Framework

| | Transport Middleware

| | Netwerk Libraries

| | Datalink Operating System

| Fysiek Hardware

Gebruikersinteractie

Toename in diversiteit

7 Kijk op Onderwijs | De Mobiele Revolutie

| 8 Kijk op Onderwijs | De Mobiele Revolutie

Mat Honan, journalist Wired Magazine http://www.macstories.net/news/mat-honan-how-apple-and-amazon-security-flaws-led-to-my-epic-hacking/

|

Waar ging het mis?

9 Kijk op Onderwijs | De Mobiele Revolutie

Amazon Apple Google Twitter

Koppelen nieuwe credit card Aankoopgeschiedenis raadplegen voor xxxx xxxx xxxx 1234

Apple ID password resetten met 1234 iCloud remote backup maken

@mat stelen

Gmail cookies uit backup Twitter password resetten

1

2

3

4

|

Requiremnts

Usecases

Architectuur

Ontwerpen Testplannen Code

Test resultaten

Applicatie Terug

koppeling

Software Development lifecycle

Doorlooptijd

“Mitigaties”

Kijk op Onderwijs | De Mobiele Revolutie 10

|

Security Markt

Acteren op gevoel

Verkoop op basis van angst

Security kost resources

Security beperkt

Reactief

Adhoc

Alleen specialisten

11 Kijk op Onderwijs | De Mobiele Revolutie

| 12 Kijk op Onderwijs | De Mobiele Revolutie

Long exposure Los Angeles International Airport (LAX) Mike Kelly

|

Secure Development lifecycle

Requiremnts

Usecases

Security Requirem

ents

Abuse cases

Architectuur

Ontwerpen

Threat model

Flaw Analyse

Testplannen

Security test

plannen

Code

Static Code

Review

Test resultaten

Vrijgave advies

Applicatie

Security Assess ment

Terug koppeling

Continuity Plan

Ervaring

Ondersteuning

Kijk op Onderwijs | De Mobiele Revolutie 13

|

Secure Development lifecycle

Requiremnts

Usecases

Security Requirem

ents

Abuse cases

Architectuur

Ontwerpen

Threat model

Flaw Analyse

Testplannen

Security test

plannen

Code

Static Code

Review

Test resultaten

Vrijgave advies

Applicatie

Security Assess ment

Terug koppeling

Continuity Plan

Ervaring

Ondersteuning

Kijk op Onderwijs | De Mobiele Revolutie 14

|

Secure Development lifecycle

Secure Requiremnts

Secure Usecases

Secure Architectuur

Secure Ontwerpen

Secure Testplannen

Secure Code

Secure test resultaten

Secure Applicatie

Secure Beheer en onderhoud

“We took a look at the set of the population using prescriptive application security methodologies. It turns out

that those practicing SDL specifically reported visibly better ROI results than the overall population. Unlike point

technologies, SDL advocates a coordinated approach to application security throughout the life cycle, and

its emphasis is on a set of processes that supports such coordination. We can potentially extrapolate that a

coordinated approach to application security is what drives positive ROI.”

Gartner

Kijk op Onderwijs | De Mobiele Revolutie 15

|

Secure Software Development lifecycle

WebApp App Backend

Applicaties & Services

Secure Requiremnts

Secure Usecases

Secure Architectuur

Secure Ontwerpen

Secure Testplannen

Secure Code

Secure test resultaten

Secure Applicatie

Secure Beheer en onderhoud

Kijk op Onderwijs | De Mobiele Revolutie 16

|

Secure Infrastructure Development lifecycle

Upgrade IPv6 VoIP

Hardware & Netwerken

Secure Requiremnts

Secure Usecases

Secure Architectuur

Secure Ontwerpen

Secure Testplannen

Secure Config

Secure test resultaten

Secure Applicatie

Secure Beheer en onderhoud

Kijk op Onderwijs | De Mobiele Revolutie 17

|

Secure Organization Development lifecycle

Vestiging Vacature

Mensen & Processen

Outsourcing

Secure Requiremnts

Secure Usecases

Secure Architectuur

Secure Ontwerpen

Secure Testplannen

Secure Proces

Secure test resultaten

Secure Applicatie

Secure Beheer en onderhoud

Kijk op Onderwijs | De Mobiele Revolutie 18

|

Secure Development lifecycle – Spinoff’s

Requirements

Secure Usecases

Secure Architectuur

Secure Ontwerpen

Secure Testplannen

Secure Implementatie

Secure Testresultaten

Secure Infrastructuur

Secure Beheer en onderhoud

Cloud BYOD

Infrastructuur

Requirements

Secure Usecases

Secure Architectuur

Secure Ontwerpen

Secure Testplannen

Secure Implementatie

Secure Testresultaten

Secure Infrastructuur

Secure Beheer en onderhoud

Requirements

Secure Usecases

Secure Architectuur

Secure Ontwerpen

Secure Testplannen

Secure Implementatie

Secure Testresultaten

Secure Infrastructuur

Secure Beheer en onderhoud

Fusie

Organisatie

Software

Kijk op Onderwijs | De Mobiele Revolutie 19

|

Secure Enterprise Lifecycle

20 Kijk op Onderwijs | De Mobiele Revolutie

Operationeel

Organisatie Software Infrastructuur

Tactisch

Beschrijven Faciliteren Reageren Controleren

Strategisch

Moeten Behoren Willen

|

Acteren op gevoel feiten

Verkoop op basis van angst voordelen

Security kost resources levert op

Security beperkt enabled

Reactief Proactief

Adhoc Proces

Alleen specialisten Iedereen zijn taak

Proactive Security Strategy

Kijk op Onderwijs | De Mobiele Revolutie 21

“If you think technology can

solve your security problems,

then you don't understand the

problems and you don't

understand the technology.”

Bruce Schneier, secrets and lies, 2007