Safeshops ? Nadenken over veiligheidsaspecten van E-shops/Commerce

36
Safeshops? Nadenken over veiligheidsaspecten van E-shops/Commerce Safeshops – 5 december 2014 Jan Guldentops ( [email protected] ) BA N.V. ( http://www.ba.be )

Transcript of Safeshops ? Nadenken over veiligheidsaspecten van E-shops/Commerce

Safeshops?Nadenken over veiligheidsaspecten van E-shops/Commerce

Safeshops – 5 december 2014Jan Guldentops ( [email protected] )BA N.V. ( http://www.ba.be )

Wie ben ik ?

Jan Guldentops (°1973) Dit jaar bouw ik 19 jaar server en netwerk

infrastructuren Oprichter Better Access (°1996) en BA (°2003) Open Source Fundamentalist (na mijn uren) Sterke praktische achtergrond op het vlak van ICT

beveiliging ➢ Ben toevalling terechtgekomen in de securitywereld

➢ Documenteerde in 1996 de securityproblemen in de eerste Belgische internetbank ( Beroepskrediet / Belgium Offline)

➢ Plotseling ben je security expert R&D (vooral security)

Samengevat:

COMMON SENSE AS A SERVICE

(CAAS)

Wat is security ?

Het garanderen van CIA :

Moeilijk evenwicht

➢ Moeilijke (soms onmogelijke) balans tussen : ➢ veiligheid ➢ functionaliteit ➢ Gebruikersgemak➢ Budget

Veel blabla, weinig boemboem

➢ Als het gaat over (ICT) beveiliging is er vaak een groot verschil tussen de theorie, de praktijk, de marketing en de sales. ➢ Security is vaak passe partout om je een “doosje” te

verkopen dat al je problemen oplost. #not➢ Fear, uncertainty, doubt als een business model

Politici...

● Het wordt pas helemaal erg als je het aan politici overlaat... ● Elio Dirupo● Rik Daems● En het meest recente uitwas :

– Jacky Zwam ( FOD economie)– https://www.youtube.com/watch?v=1X4HDOjY41Q

Abstract begrip

➢ Veiligheid is een heel abstract begrip ➢ There is no such thing as absolute security ➢ Hoe kan je weten of iets veilig is ?

➢ Kan enkel negatief testen➢ Het is niet omdat ik er niet voorbij geraak, dat

iemand anders dat niet kan.

➢ heeft iets magisch / mythologisch

Eigen Taalgebruik

➢ Eigen Lingua Franca ➢ Veel terminologie➢ Veel afkortingen ➢ Vaak inhoudsloze hypetermen

Complex

➢ Heel veel hoeken en kanten ➢ Heel veel technologie➢ Probleem van de zwakste schakel

➢ Het kleinste security probleem kan in sommige gevallen alles, als een kaartenhuisje in elkaar laten vallen.

Overlaten aan ICTdienst of je technologie provider?

➢ Gevaarlijk ➢ Big picture ➢ ICT weet vaak te weinig over business, wat belangrijk is➢ Engineersziekte van tegen elk probleem technologie aan te

gooien

➢ Daarom : ➢ Belangrijk dat de directie zelf de krijtlijnen uittekent ➢ Bepaald wat er beveiligd moet worden ➢ Bepaald hoe belangrijk dit is en dus wat het mag kosten ➢ Alle concepten snapt ➢ Deze concepten ook ten allen tijde kan controleren.

Death, taxes, security ?

➢ Security verdwijnt niet meer... ➢ Het is geen modehype !

➢ Permanent proces ! ➢ U zal er altijd mee geconfronteerd worden. ➢ Wat nu veilig is, is het morgen niet meer. ➢ Moet permanent aan gewerkt worden

➢ Nog altijd in volle ontwikkeling ➢ Bv. belang dat nu meer en meer aan privacy

gekoppeld wordt

Klanten

● Bij E-commerce draait alles om vertrouwen● Vertrouwen van de klant wordt ondermijnd door

● Phising – Vaak worden er hiervoor brands gebruikt– Soms heel moeilijk om te onderscheiden van de

werkelijkheid– Heel vaak zijn legitieme mails ook moeilijk te

onderscheiden van phisingmails

● Privacy● https://www.youtube.com/watch?v=F7pYHN9iC9I

Privacy

● Komt een nieuwe Europese privacy richtlijn uit. ● Bouwt verder op wat er nu is... ● Wat moet je onthouden :

– Als je meer dan 2000 klantengegevens verwerkt zal je een Digital Privacy Officer moeten hebben ( DPO )

– Neem de essentiële stappen om je data te beschermen : ● Bedrijfsdata in kaart brengen en classificieren ● Toegangen en afschermingen in kaart brengen● Procedures voorzien bij datalek ( o.a. Meldingsplicht)● Juiste security-infrastructuur voorzien● Awareness creëren bij je mensen

Wat kan er misgaan? (1)

● Diefstal van klantengegevens ●

– Gegevens van 700.000 klanten ( geboortedatum, ●

– Konden zelfs niet vertellen wat er aan de hand was!– Gegevens van 70.000.000 klanten– Exit security officer, CIO & CEO

Wat kan er misgaan? (2)

● Diefstal van confidentiële, interne documenten● Gebruik van uw infrastructuur voor illegale of

andere doeleinden● Onbeschikbaarheid● Dataverlies● Reputatieverlies● Fraude ● Verspreiden van malware via uw shop● Langdurig verstopte hackers die jaren meeluisteren

Gezond verstand

➢ Belangrijkste securityproduct is niet firewalls, encryptie, vpn, mobile device management of een ander product maar gezond verstand.

➢ Denk na ! ➢ Zorg dat je alle concepten snapt ! ➢ Als een ICT'er het niet aan een CEO uitgelegd

krijgt, is de kans groot dat hij het zelf niet snapt !

Hoe wordt u gehacked ?

● Domheid, luiheid en onkunde

Hoe wordt u gehackt?

Triviale wachtwoorden voor toegang of lijstjes die overal te vinden zijn● Bv Sony pictures ● Top 10 wachtwoorden :

– 123456– 12345678– 1234– qwerty– 12345– dragon– pussy– baseball– football– Letmein

Hoe wordt u gehackt?

● Slechte opgezette infrastructuur ● Fouten in de webshop software ● Slecht geschreven eigen software● Laten rondslingeren van data ( usbdisks, backups,

leveranciers, etc. )● Verouderde software die niet geupdate wordt ● e.g. Heartbleed● Poodle● (Ex)-werknemers● Fysieke toegang tot systemen

Cirkel van Deming

Plan (1)

➢ Vat alles samen in een policy➢ Wat je wil / moet bereiken o.a.

➢ Risico analyse➢ Inventaris ➢ Business Continuity Plan

➢ Recovery Time Objective ( RTO )➢ Recovery Point Objective ( RPO)

➢ Hou ook rekening met de wettelijke / legal vereisten !➢ Wettelijke vereisten ( privacy, persoonsgegevens, etc.)➢ Privacy➢ PCI DSS

➢ Classificieer je data en applicaties➢ Hoe je dit gaat doen en volgens welke procedures

Plan(2)

➢ Creëer een bewustzijn/kennis dat security belangrijk is bij :➢ Op directieniveau ➢ Op ICT-niveau ➢ Bij het gehele personeel

➢ Maak goeie afspraken met iedereen : ➢ Leveranciers

➢ Duidelijk leesbare contracten met NDA, SLA, etc.➢ Personeel

➢ Acceptable Use Policy ( maar zorg dat iedereen die begrijpt !)

Plan(3)

➢ Het is niet de vraag of je een securityprobleem gaat hebben maar wanneer...

➢ Plan for the worst ➢ Zorg dat je al weet wat je gaat doen als er iets

misgaat

➢ Zorg voor een overleg / communicatiestructuur ➢ Security comité met overleg op vaste tijdstippen➢ Hou cijfers, gegevens bij voor latere analyse

DO

➢ De eigenlijke implementatie van de security-infrastructuur ➢ Verschillende elementen en componenten ➢ Neem security altijd mee in elk stuk van je plan

➢ Geen bolt-on nadien

➢ Zorg altijd voor documentatie en kennisoverdracht➢ Geen lockin van een leverancier !

➢ To outsource or not to outsource ?➢ Selecteer een goede partij en maak degelijke afspraken!

Voorzie de juiste security-infrastructuur

➢ Scherm data af ➢ Eigen segmenten los van het internet voor bepaalde confidentiele data

➢ Bouw de juiste infrastructuur ➢ Firewalling➢ Web Application Firewalls ➢ Degelijk systeembeheer

➢ Hostbased IDS ➢ Systeembeheer➢ Etc.

➢ Gestructureerde updates !

Cloud➢ Hype du jour ➢ IAAS cloud is de motor van de e-commerce en app revolutie

➢ Elasticiteit ➢ Capex / Opex ➢ Gemak waarmee een global infrastructuur uitgerold kan worden.

➢ Maar is uw cloudprovider wel zo goed als hij beweert dat hij is ? ➢ Licht hem financieel door➢ Heeft je provider / datacenter de juiste isonormen ?➢ Referenties➢ If you pay peanuts you get monkeys !➢ Technologie die de gebruiker meer controle geeft.

➢ Hou altijd je opties open ! ➢ Geen lockins

Authenticatie / rechten

➢ Password of token ➢ Als je passwoorden gebruikt, zet een stevige wachtwoordpolicy!➢ Geen triviale wachtwoorden ➢ Alle 3 maanden veranderen ➢ Leer desnoods de mensen werken met een kluisje als

Keeppass

➢ Tokens : EID, digipass/onetime, Biometrie➢ Maar grotere complexiteit / kost

➢ Inventariseer alle userids / wachtwoorden

Encryptie

➢ Gebruik zoveel mogelijk encryptie !➢ Versleutelen van gevoelige bestanden ➢ Alle verbindingen moeten versleuteld zijn (https ipv

http b.v.)➢ Liefst ook de opslag van mobiele devices

( smartphone, laptops, tablets, usb)

➢ Gebruik encryptie ook op de juiste manier ➢ Geen Self-signed certificates!

Backups

➢ Gebruik je gezond verstand! ➢ Offline / online / cloud ?➢ Hoe lang hou je backups bij ? ( retentie )➢ Hoe en hoe lang duurt het om te restoren ?➢ Is mijn backup-medium wel betrouwbaar ? ➢ Past dit alles in mijn RTO / RPO ?

Open Source

➢ Kijk misschien eens naar Open Source als je een oplossing zoekt ➢ Flexibel, best-of-breed, goedkoop of zelfs gratis ➢ Veel eenvoudiger geworden door de komst van

virtuele appliances ➢ Ongeloofelijke schatkist aan tools: firewalls,

antivirus, etc.

CHECK (1)

➢ Controleer / Audit op vaste tijdstippen je security ➢ Met een extern consultant➢ Automatische vulnerability Assessment tools ➢ Zelf ( er zijn tientallen tools beschikbaar )

➢ Bv Kali Linux

➢ Controleer je Business Continuity Plan ➢ Op vaste tijdstippen een volledige test ( restore of failover)➢ Check ook de logs van je backups

CHECK (2)

➢ Monitor ➢ Zorg ervoor dat je een proactief monitoringsysteem

hebt met historische cijfers➢ Noodzakelijk om je SLA te monitoren ➢ Helpt om snel problemen op te lossen

➢ Log alle interventies in een ticketing systeem➢ Voorzie de nodige procedures om alles op te

volgen

ACT

➢ Los de problemen die je hebt op ➢ Structureel

➢ Geen brandjes blussen met tijdelijke oplossingen➢ Change Management

➢ Doe het gestructureerd ➢ Stuur bij

➢ Documenteer ➢ Zorg dat alles gedocumenteerd wordt !

➢ Communiceer!

Thank YouContact us

016/29.80.45

016/29.80.46

www.ba.be / Twitter: batweets

Remy TorenVaartdijk 3/501B-3018 Wijgmaal

[email protected]

Twitter: JanGuldentops

http://be.linkedin.com/in/janguldentops/