Download - Informatiebeveiliging & Web 2.0

Transcript
Page 1: Informatiebeveiliging & Web 2.0

8 oktober 2008

Informatiebeveiligingen Web 2.0

Aanhaken of afremmen?

Informatiebewust Beveiligen

Page 2: Informatiebeveiliging & Web 2.0

8 oktober 2008 Security-Congres Slide 2

Eerst voorstellen

N.R.M.J. (Nils) van der Laan RE is Information Security Specialist bij ASML, wereldmarktleider op het gebied van lithografiesystemen voor de halfgeleiderindustrie. Hij heeft tien jaar ervaring als IT-auditor (onder andere bij Ernst & Young EDP Audit en Audit Rabobank Groep) en is specialist op hetgebied van informatiebeveiliging, zowel waar het de organisatorische als technische kant betreft.

Ing. M.R. (Mauriche) Kroos RE CISSP is Information Security Manager bij Ordina BPO en is vanuit die rol mede verantwoordelijk voor informatiebeveiliging vanuit de afdeling Security & Compliance. Hij heeft negen jaar ervaring als IT-auditor (onder andere bij Ernst & Young EDP Audit en Fortis Audit Services).

Page 3: Informatiebeveiliging & Web 2.0

8 oktober 2008 Security-Congres Slide 3

Agenda

• Web 2.0 … what’s in name?

• In een notendop

• Risico’s en bedreigingen

• Maatregelen

• Afsluiting

Page 4: Informatiebeveiliging & Web 2.0

8 oktober 2008 Security-Congres Slide 4

Web 2.0 … what’s in a name?

Page 5: Informatiebeveiliging & Web 2.0

8 oktober 2008 Security-Congres Slide 5

Web 2.0 in een notendop

AJAX

Tags

Virals

Cloud computing

Wiki’s

Blogosphere

Social Networks

Beta

Mashups

“The Long Tail”

Open API’s

Look and feel

Page 6: Informatiebeveiliging & Web 2.0

8 oktober 2008 Security-Congres Slide 18

Is het allemaal écht nieuw?

Volgens Tim Berners-Lee:

“ … Web 1.0 was all about connecting people. It was an interactive space, and I think Web 2.0 is of course a piece of jargon, nobody even knows what it means. If Web 2.0 for you is blogs and wikis, then that is people to people. But that was what the Web was supposed to be all along."

Page 7: Informatiebeveiliging & Web 2.0

8 oktober 2008 Security-Congres Slide 19

Risico’s en oorzaken

• Afhankelijkheid– Pervasive content– Pervasive logic

• Techniek– Kwetsbaarheden in web 2.0

toepassingen*

– Beveiliging deels afhankelijk van de client

• Gebruik– ‘Verwende’ gebruikers*

– Information leakage*

B I V

B I V

B I V

Page 8: Informatiebeveiliging & Web 2.0

8 oktober 2008 Security-Congres Slide 20

Kwetsbaarheden in web 2.0 toepassingen• Cross site scripting AJAX (Bv. Yamanner virus gebruikt xss

aanvallen op yahoo ajax calls)• XML poisoning (web 2.0 applicaties wisselen informatie uit obv XML

bestanden; de (tussen)bestanden kunnen “besmet” worden• Malicious AJAX code execution• RSS / Atom injection (Client side aanvallen)• WDSL scanning en enumeratie (kennisnemen van WDSL

bestanden)• Clientside validation in AJAX (serverside• Webservice routeringsproblemen• Parameter manipulatie met SOAP• XPATH injectie in SOAP berichten• Rich Internet Application binary manipulatie

Oorzaken: Techniek

Top 10 web 2.0 attack vectors van http://www.net-security.org/

Page 9: Informatiebeveiliging & Web 2.0

8 oktober 2008 Security-Congres Slide 21

Oorzaken: Gebruik

‘Verwende’ gebruikers• Samenwerken, informatie delen• Overal en altijd toegang• Sync, sync, sync …• Voor alles is een oplossing (of een website)Gevolg• Ondermijning van beveiligingsmechanismen• Ongewilde en ongemerkte verspreiding van informatie

en ‘user credentials’• Onduidelijkheid m.b.t. kwaliteit van informatie (o.a. in

Wiki’s)

Page 10: Informatiebeveiliging & Web 2.0

8 oktober 2008 Security-Congres Slide 22

Oorzaken: Gebruik

Information Leakage• Ebay/Markplaats hebben een database vol met

verkopers en artikelen, die worden gekoppeld aan potentiële kopers

• Google heeft een database van websites, die door middel van zoekopdrachten worden gekoppeld (inclusief een cache)

• Schoolbank.nl heeft een database vol met oud-scholieren die elkaar willen vinden

Ze hebben allemaal een stukje van de puzzel…

Page 11: Informatiebeveiliging & Web 2.0

8 oktober 2008 Security-Congres Slide 23

Maatregelen

Afhankelijkheid• Prefered Suppliers• Selectiecriteria• TPM, SAS 70, Security Audits• Centrale opslag van user credentials

(bijvoorbeeld door inzet van SAML)

• Inventarisatie en ‘reversed’ A&K analyse– In kaart brengen behoefte– Bij wildgroei: Keuze voor structurele oplssossingen

Page 12: Informatiebeveiliging & Web 2.0

8 oktober 2008 Security-Congres Slide 24

Maatregelen

Techniek• Server hardening (security baselines)• Bij In-house ontwikkeling

– Secure Software Development– Code reviews

• Web 2.0 gateway/firewall• Web 2.0 security tools (i.e. ratproxy)• Black-listing

Page 13: Informatiebeveiliging & Web 2.0

8 oktober 2008 Security-Congres Slide 25

Maatregelen

Gebruik• Bewustzijn• Specifiek beleid (inclusief het uitdragen daarvan)

– Gaat over: blogging, sharing, collaboration, …– Mate van gedogen sterk afhankelijk van risico’s en de

bedijfscultuur!– ‘Policy on use of user credentials’

• Concrete richtlijnen– Bijvoorbeeld voor Wiki’s (formele / informele

informatie, moderatie)– Basis: soort informatie

Page 14: Informatiebeveiliging & Web 2.0

8 oktober 2008 Security-Congres Slide 26

Ongestructureerd

Soorten informatie: ‘Hokjesdenken’

Informeel Formeel

Gestructureerd

Wiki’s

BOM

DocumentManagement

Page 15: Informatiebeveiliging & Web 2.0

8 oktober 2008 Security-Congres Slide 27

Dus …

Aanhaken of afremmen?

Page 16: Informatiebeveiliging & Web 2.0

8 oktober 2008 Security-Congres Slide 28

Page 17: Informatiebeveiliging & Web 2.0

8 oktober 2008 Security-Congres Slide 29

Ter afsluiting: food for thought

‘When did we start trusting strangers?’

Rapport van ‘Universal McCann’ over de invloed van sociale media, vooral met betrekking tot beïnvloeding van koopgedrag.

(http://www.universalmccann.com)

http://www.slideshare.net/mickstravellin/universal-mccanns-when-did-we-start-trusting-strangers-presentation