LRQA Congres 2014: Praktijkcase 19 juni 15:45 -16:10 Informatiebeveiliging in de keten

Titeldia

maandag 30 juni 2014 1

Informatiebeveiliging in de keten:Een spinnenweb of een ketting?

© Copyright Intermax - 2014

Tekst en beeld (half)

Waar gaat het over?

Introductie

Ontwikkelingen in hostingland

Een spin in het web of schakel in de ketting?

Bedreigingen

Oplossingen

Vragen

maandag 30 juni 2014 © Copyright Intermax - 2014 2

Titeldia


Introductie


Ludo Baauw

Functie:

Directeur Strategie & Innovatie, CISO

Over mij:

Grondlegger Intermax, sinds 1994

Eindverantwoordelijk voor certificering, security & compliance

Bestuurslid Nationale Beheersorganisatie Internet Providers (NBIP)


Titeldia


Titeldia


“Keten? Schakels? Het draait toch in de Cloud?”

Alleen tekst


Business proces

Applicatie

Applicatie infrastructuur

Operating systems

Virtualisatie

Apparatuur

Connectiviteit en VPN

Netwerk

Datacentrum

intermax

Informatiebeveiliging

Cloud

Alleen tekst


Business proces

Applicatie


Operating systems

Virtualisatie

Apparatuur


Netwerk

Datacentrum

Cloud

Datacentrum Het datacentrum: de basis voor iedere cloudoplossing. Intermax heeft er 4.


Alleen tekst


Business proces

Applicatie


Operating systems

Virtualisatie

Apparatuur


Netwerk

Cloud

Datacentrum

Alle fysieke verbindingen (tussen onze datacentra en richting onze klanten) maken het netwerk


Alleen tekst


Business proces

Applicatie


Operating systems

Virtualisatie

Apparatuur


Cloud

Netwerk

Datacentrum

Alle apparatuur moet onderling (goed versleuteld) verbonden zijn


Alleen tekst


24h

Business proces

Applicatie


Operating systems

Virtualisatie

Apparatuur

Cloud


Netwerk

Datacentrum

De basis waar alles op draait bestaat uit hardware/apparatuur


Alleen tekst


Business proces

Applicatie


Operating systems

Virtualisatie

Cloud

Apparatuur


Netwerk

Datacentrum

Voor een optimale beschikbaarheid en flexibiliteit gebruiken we virtualisering


Alleen tekst


Business proces

Applicatie


Operating systems

Cloud

Virtualisatie

Apparatuur


Netwerk

Datacentrum

De infrastructuur draait niet zonder operating systems


Alleen tekst


EE

Business proces

Applicatie


Cloud

Operating systems

Virtualisatie

Apparatuur


Netwerk

Datacentrum

Die applicaties kunnen niet werken zonder infrastructuur


Alleen tekst


EE

Business proces

Applicatie


Cloud

Operating systems

Virtualisatie

Apparatuur


Netwerk

Datacentrum

Managed hosting


Alleen tekst


Business proces

Applicatie

Cloud


Operating systems

Virtualisatie

Apparatuur


Netwerk

Datacentrum

Om u zorgeloos uw werk te laten doen, zijn applicaties nodig


Alleen tekst


Business proces

Applicatie

Cloud


Operating systems

Virtualisatie

Apparatuur


Netwerk

Datacentrum

IT hosting en applicatiebeheer


Alleen tekst


Business proces

Cloud

Applicatie


Operating systems

Virtualisatie

Apparatuur


Netwerk

Datacentrum

U houdt zich bezig met wat u het beste doet: uw eigen business laten floreren


Alleen tekst


Business proces

Cloud

Applicatie


Operating systems

Virtualisatie

Apparatuur


Netwerk

Datacentrum

Volledige outsourcing


Alleen tekst

IB in de keten (of wat is het voor vorm?)

Zorg

OverheidE-commerce

Software as a Service

(SaaS)

Alleen tekst

Voorbeelden uit de praktijk


Titeldia


Ontwikkelingen in “Cloud-land”

Alleen tekst

Informatiebeveiliging en Cybercrime raakt elke sector


Onze afhankelijkheid van technologie groeit

Toenemende connectiviteit maakt onskwetsbaarder

Outsourcing – Cloud – de keten wordtondoorzichtiger

Energie

Transport

Infra-

structuur

Banken

Zorg

Defensie

Media

Onderwijs

Alleen tekst

Over cybercrime


Alleen tekst


Alleen tekst

Hoe groot is het probleem?

Bron: Ponemon Instituut


nieuwe malware threats gereleased

(per dag)

van alle Amerikaansebedrijven zijn slachtoffer van een cyberaanval geweest in de afgelopen 12 maanden

heeft weinig vertrouwen in de eigencapaciteiten verdere aanvallen af te slaan

in de komende 12 maanden

Alleen tekst


Coördinatie tussen centra wereldwijd om responsetijden, oefeningen en

onderzoek te stroomlijnen.

Workshops wereldwijd over cyber beleid, economie en technologie.

Nationale awareness campagnes om burgers zo snel en goed mogelijk te

informeren.

Juridische beoordeling van nationale wet- en regelgeving om common

principles te bepalen.

Bestaande wereldwijde instanties overtuigen een cyber agenda op te

stellen.

Bepalen van kritische infrastructuur, een cyber security coördinator en

nationale beveiligingsplannen.

Wereldwijde wetshandhaving en samenwerking op het gebied van informatieverzameling om safe havens voor cybercriminelen te

ontmantelen.

Certificeren van systemen die belangrijk zijn voor de belangrijkste

infrastructuren wereldwijd.

Internationaal protocol voor response-acties van alle partijen tijdens cyber security incidenten.

Implementatie van een nationale cyber security strategie in lidstaten.

2012 20152013

Global Cyber Maturity: de keten wordt volwassenCollectieve acties en mijlpalen

Alleen tekst


Uitgebreidere standaarden en richtlijnen voor built-in security beschikbaar, ook voor producten voor

consumenten.

Gespecialiseerde cyberkantoren en samenwerkingsverbanden tussen belangrijke internationale

instituten.

Standaardiseren van meldingsprocessen voor cyberaanvallen en de consequenties ervan voor publieke en

private sectoren.

Cyber centra wereldwijd delen data voor commerciële en juridische handhaving van processen om zo (voorspellende)

analyses uit te kunnen voeren.

Gespecialiseerd wettelijk orgaan opgericht dat als coördinerende autoriteit optreedt op het gebied van internationale cybersecurity.

Supranationale juridische structuur in werking om cyber security wetten toe te passen en na te leven.

Internationaal cybertribunaal opgericht.

Zelf-financierend eco-systeem gecreëerd om het delen en gebruiken van publiek-private informatie te stimuleren.

Strijdmachten opereren conform de vastgelegde cyberwetten.

Standaard educatie en gespecialiseerde certificeringen beschikbaar voor specialisten en medewerkers op het gebied van cybersecurity.

Internationaal geaccepteerd raamwerk voor normatieve acties in cyberspace en een geharmoniseerd protocol voor security en privacy.

2017

Global Cyber MaturityCollectieve acties en mijlpalen

2019 - 2020


Belangrijke aandachtsgebieden voorIB in de cloud

Monitoring van het merk

E-discovery en opsporing

Samenwerking

Externe en interne dreigingsanalyses

Gedragsanalyses - verkeersanalyses

Training en awareness

Voorbereidingen op mogelijke cyberaanvallen

Bescherming van IT assets, niet alleen fysiek

Security event monitoring


Alleen tekst

Cyber security maturity model: waar sta je?


Situationele awareness van cyberdreigingen

Beleid voor social media en online aanwezigheid merk

Automatische electronische opsporing en recherche

Globaal delen van dreigingsinformatietussen verschillende sectoren

Informatie over het afwenden van dreigingen aanwezig

Real-time business risicoanalyses en beslissingsondersteuning

Sectorbrede oefeningen op mogelijkecyberaanvallen binnen de keten

Automatische en passende security controle updates

Cross-Channel detectie van kwaadwillige activiteiten

Passende en geintegreerde monitoring van business processen

Pro

acti

efd

reig

ings

man

age

men

t

AcceptableUse Beleid aanwezig

IT Business Continuity& Disaster Recovery oefeningen

Ad-hoc bescherming van infrastructuur en applicatie

Security log collection & ad-hoc rapportagesaanwezig

Periodieke IT assessments op kwetsbaarhedenuitgevoerd

Ad-hoc opsporing van malware

Ad-hoc onderling delen van mogelijke dreigingen/analyses

Activiteit op netwerk + systeem in kaart gebracht

Algemene training en awareness voor informatiebeveiligingaanwezig

Gebruik van simulaties IT cyberaanvallen

Bedrijfsbrede bescherming van infrastructuur en applicatie

24x7 rapportage over security incidents in aanwezigetechnologie

Automatische monitoring van IT assets op kwetsbaarheden

Basis netwerking bescherming

IT Service Desk & aanwezigheid ‘klokkenluiders’

Traditionele ‘signature-based’ security controles

Basis online monitoring van het merk

Geautomatiseerde opsporing van malware en handmatige electronic discovery

Toezicht op criminele activiteiten/hackers

In kaart brengen van gedrag personeel en klanten

Gerichte cyber security awareness, gebaseerd op eigen onderzoek

Bedrijfsbrede oefeningen met cyberaanvallen

Bescherming van identiteitsgevoelige info

Bestuderen van de interactie tusseninterne en externe bedreigingen

Gerichte monitoring van activiteit van gebruikers op meerdere platforms

Cyber security maturity levels1 32 4 5

Alleen tekst

Wie verstoort de security-keten?


Motivatie

Ve

rfij

nd

he

id/o

ntw

ikke

ling

Ontevreden IT-administrator

Concurrent

Ontevredenklant

Ontevreden ex-werknemer

Hacker/Hobbyist

Businesspartner

‘Script kiddy’

Malware

InsiderToevalligeontdekking

Door landengefinancierdecyberoorlogen

Georganiseerdemisdaad

Hacker collectieven

Cyberterrorisme

‘Hacktivism’

Type Toestemming? Crimineleintenties?

Black hat Nee Ja

Grey hat Nee Nee

White hat Ja Nee

Alleen tekst

Visie Intermax op informatiebeveiliging in de keten

Wij scannen AL het mail verkeer (op verzoek ook HTTP)

Wij detecteren op verzoek Zero-Day threats

Wij scannen ELKE nacht ons hele netwerk

Wij voeren proactieve pentests uit op applicaties

Wij trainen ons personeel op allerlei vlakken

Wij informeren ons continu, dag en nacht

Wij hebben een security incident response team

Wij werken aan SIEM, logfile correlatie, incident management

Wij zijn de uitvinders van de Nationale anti-DDoS Wasstraat

En nee. Wij zijn niet 100% veilig.


Titeldia


Wat is de grootstebedreiging in de keten op ditmoment?


(Distributed) denial-of-service aanvallen

Pogingen om een computer, computernetwerk of dienst onbruikbaar te maken voor de bedoelde gebruiker.

Distributed = de aanval komt van meer dan één bron tegelijk. Een DDoS aanval komt vaak tot stand door het gebruik van (honderd)duizenden machines die zijn geïnfecteerd met een hardnekkige software. Hierdoor kan de aanvaller de machines op afstand controleren.

De geïnfecteerde machines worden botnetsgenoemd. Wereldwijd zijn tientallen miljoenen computers geïnfecteerd met botnetprogramma's.



Wat kan je er tegen doen?

Abonnement nemen bij Cloudflare (betalen per website)

Abonnement nemen bij Verisign, Akamai, Blacklotus, NTT

Heel je netwerk, maar ook heel duur!

Zelf apparaten kopen (Radware, Arbor, Huawei, Fortinet)

Duurder dan duur!

Provider zoeken die achter de NaWas zit!


Alleen tekst


Alleen tekst

Reflection attacks


Alleen tekst

Amplification factor


Verzoek 64 kb

Amplification factor: 80

80 x 64 kb

Alleen tekst

Slowloris


Alleen tekst



Gevaren en neveneffecten

“Ik ben niet interessant”

Als uw buurman er last van heeft…dan u ook

Gebrek aan awareness: niemand praat erover

Onbekende zwakke schakels in de keten


Titeldia


Nationale Anti-DDoS Wasstraat

Alleen tekst


Titeldia


Kent u alle schakels in uw keten?

Titeldia


Vragen?

LRQA Congres 2014: Praktijkcase 19 juni 15:45 -16:10 Informatiebeveiliging in de keten

Technology

Transcript of LRQA Congres 2014: Praktijkcase 19 juni 15:45 -16:10 Informatiebeveiliging in de keten