Presentatie BA - Hoe bescherm ik mijn webshop tegen cybercrime - Jan Guldentops

24
Safeshops? Hoe bescherm ik mijn webshop tegen cybercrime? 26 januari 2017 Greet Dekocker ( [email protected]) Jan Guldentops ( [email protected] )

Transcript of Presentatie BA - Hoe bescherm ik mijn webshop tegen cybercrime - Jan Guldentops

Safeshops?Hoe bescherm ik mijn webshop tegen cybercrime?

26 januari 2017Greet Dekocker ( [email protected])

Jan Guldentops ( [email protected] )

Wie ben ik ?

Ø Jan Guldentops (°1973)Ø Dit jaar bouw ik 19 jaar server en netwerk

infrastructuren Ø Oprichter Better Access (°1996) en BA (°2003)Ø Open Source Fundamentalist (na mijn uren)Ø Sterke praktische achtergrond op het vlak van ICT

beveiliging Ø Ben toevalling terechtgekomen in de securitywereld

Ø Documenteerde in 1996 de securityproblemen in de eerste Belgische internetbank ( Beroepskrediet / Belgium Offline)

Ø Plotseling ben je security expertØ R&D (vooral security)

Samengevat:

COMMON SENSE AS A SERVICE

(CAAS)

Wat is security ?

l CIA ! l

Moeilijk evenwicht

l

l

l

Ø

Ø Moeilijke (soms onmogelijke) balans tussen : Ø veiligheid Ø functionaliteit Ø GebruikersgemakØ BudgetØ

Waarom aandacht besteden aan informatieveiligheid ?

l

l Eigenbelangl E-commerce draait

om vertrouwenl Reputatieverlies l Inkomensverlies

- Onbeschikbaarheid

Waarom aandacht besteden aan informatieveiligheid?

l

l Omdat het moet !l Nieuwe EU privacy

webgeving : l Van kracht sinds mei

2016 l Afdwingbaar in mei

2018 ! (-> 1,5 jaar)l Wet met tanden !

- Boeteclausules( 4% turnover tot € 20.000.000)

- Meldingsplicht binnen 72 uur!

Zijn de webshops er klaar voor?

l We hebben een klein demografisch onderzoek gedaan. l 406 belangrijkste Belgische webshopsl Passief getest op het niveau van hun security

- Geen actieve aanvallenl Kan niet zonder toestemming !

l We noemen geen namen, enkel statistieken - Dit is geen schandpaal maar een wakeupcall

l Sneak preview van de resultaten op basis van de ons inziens meest voorkomende problemen

1. HTTPS / Encryptie

l

l Wat is https en SSL ?l Manier om communicatie tussen de gebruiker en de

webserver volledig met versleuteling te beveiligen zodoende dat er niemand kan meeluisteren.

l Uitermate belangrijk !l

l

Caveats HTTPS

l Gebruik zoveel mogelijk https ! l Eigenlijk liefst altijd ! l Enige http op je website = redirectie naar httpsl Je google score gaat omhoog gaan

l Gebruik altijd officiële certificaten van een betrouwbare Certificate Authority !

l Bewaar deze certificaten veilig !

Hoe scoren de webshops ?

Gebruik van HTTPS

HTTPS (44.58%)

Geen HTTPS (20.20%)

Fout Certificaat (35.22%)

Hoe scoren de webshops ?

Kwaliteit HTTPS-setup

A+ (7.19%)

A (48.62%)

A- (7.73%)

B (17.13%)

C (7.18%)

F (12.15%)

Zelf testen ?

2. Phising

l Makkelijkste manier om beveiliging te omzeilen l Twee types :

l Trawler net phising - e.g. de mail die u als man krijgt van schares aan

exotische schones(m/v)die gewoon weten dat u de m/v van hun leven bent

l Spear phising - Beperkt, op uw maat gemaakt

l Moeilijk om tegen te gaan maar : l Implementeer Sender Policy Frameworkl Zorg voor consequente communicatie (

emailadressen, stijl, etc.)l Sensibiliseer / informeer uw klantenl

Hoe scoren de webshops ?

Antiphising: SPF

SPF (70.44%)

Geen SPF-record (29.46%)

3. Goed systeembeheer

l Alle software heeft bugs!

l Dus: er moeten structureel en snel updates gedaan worden!

l Zwakste schakell Bv. Dirty Cow

Hoe scoren de webshops ?

Software-updates: PHP

PHP 7 (3.23%)

PHP < 5.6 (69.75%)

PHP 5.6 (27.02%)

4. Gebrek aan continuiteit

l Uw shop is belangrijk voor uw bedrijf ! l Zorg ervoor dat u hierrond degelijke afspraken

hebt ! l Spreek SLA’s af, ook rond veiligheid

l Zorg ook dat je altijd zelf je data in handen hebt !

l Opgepast voor Denial-of-Service aanvallen

Giet alles in afspraken !

l Maak duidelijke afspraken met de leverancier rond : l Beschikbaarheidl RTO/RPO l Monitoring / Rapporteringl Veiligheidsniveau l Updates & ander goed systeembeheer

l Security by design l Ontwikkelaar moet secure ontwikkelen !

l Maak een plan : l Security is belangrijk vanaf dag één ! l Volg alles op volgens de structuren van PDCA !l Plan for the worst

PDCA

Thank YouContact us

016/29.80.45

016/29.80.46

www.ba.be / Twitter: batweets

Remy TorenVaartdijk 3/501B-3018 Wijgmaal

[email protected]

Twitter: JanGuldentops

http://be.linkedin.com/in/janguldentops/