Embed Size (px)
Citation preview
Cloud & Cybersecurity
Leo van Koppen MSIT
Cyber security ambassador
Practor Cybersecurity
ROCMondriaan
17-3-2019 (CC) ES4CS.NL 1
2e sessieCloud computing
Agenda 2e sessie
• Korte herhaling cloud
• Informatie → kroonjuwelen
• Privacy: • wetgeving, compliance (wat moet!)
• Security basisbegrippen• CIA
• Cybersecurity is risico-gebaseerd• Risico’s | security incidenten | calamiteiten (impact)• Kwetsbaarheden & bedreigingen
• Vertaling naar het onderwijs• Uitwisseling van ideeën
17-3-2019 (CC) ES4CS.NL 2
Programma Sessie 3+4: Cloud configuraties +security controls
• Introductie
• Security management bij een cloud provider: gastspreker • wat wordt er geleverd en hoe gebeurt dat? (technisch en organisatorisch)
• Casuïstiek van cloudomgevingen
• Case
• Workshop vorm • Clouddiensten inrichten • Clouddiensten veilig inrichten
• Samen optrekken? Samenwerken in de cloud?
• Evaluatie
17-3-2019 (CC) ES4CS.NL 3
Onthoud
• Er bestaat maar een domme vraag …..
• Dat is de vraag die je NIET stelt
• Waarom?
• Omdat…..
• Vergeet niet om vragen te stellen
• Domme vragen bestaan niet!
Je nooit een antwoord krijgt op een vraag die niet gesteld is.
Clouds
Heldere definitie:
• cloud computing is just using someone else’s computer over the internet
• Internet is een netwerk van allerlei type computernetwerken• Heel veel leveranciers van diensten• Ken geen eigenaar• Werd gezien als dé ultieme vorm van democratie• Is in beginsel niet veilig ontworpen• Maakt gebruik van communicatieprotocollen• Belangrijkste protocollen TCP/IP en HTTP
17-3-2019 (CC) ES4CS.NL 5
17-3-2019 (CC) ES4CS.NL 6
Waar leg je de knip? Dit zijn de mogelijkhedenIn eigen beheer
Geleverd door provider
Impact van cloud-1
Voordelen:
• Geen investeringen → kostenbesparing(?)
• Efficiënt gebruik van resources; storage, memory, processorcapaciteit (toepassing van virtualisatie)
• Schaalbaarheid (elastisch): aanpassen aan wisselende behoeften
• Werken in de cloud (anywhere, anytime, any device)
• Laagdrempelig: idee + creditcard is voldoende
• Security en continuïteit (hoge beschikbaarheid, back-up, security opties
• Outsourcing: geen IT-kennis en IT-middelen, onafhankelijkheid
17-3-2019 (CC) ES4CS.NL 7
Impact van cloud-2
Aandachtspunten
• Afspraken over dienstverlening in een Service Level Agreement (SLA)
• Vendor lock-in: overstappen naar een andere leverancier is lastig
• Afhankelijkheid van internet: beschikbaarheid ISP en connectie• Bandbreedte en latency van de verbinding
• Afhankelijkheid: ISP, connectie, cloud provider, overheid
• Security: controle uit handen gegeven, IT en data is buiten beeld
• Waar zijn mijn data? (gaat over landsgrenzen) • Wie heeft daar toegang toe? Kan daar toegang toe krijgen/opeisen (andere
wetgeving)
17-3-2019 (CC) ES4CS.NL 8
Data zijn de waardevolle assets
Voorbeelden
• Vertrouwelijke (geclassificeerde) bedrijfsinformatie • Intellectueel eigendom
• Financiële informatie
• Productie informatie
• Logistieke informatie
• Klant/patiënt gegevens (privacy)
• Wie heeft daar toegang toe?• Fysieke toegang, logische toegang (access control), encryptie sleutels, etc.
• In alle stadia van information lifecycle
17-3-2019 (CC) ES4CS.NL 9
Kroonjuwelen
Informatie heeft:
• Een lifecycle
• Een eigenaar
• Waarde• Dient daarom goed beheerd te worden, dus…..
• Maatregelen nemen → controls toepassen
• ISO27002 biedt een leidraad
• Informatie classificeren
Information lifecycle
Informatie eigenaar• Bepaalt de eisen die gesteld kunnen worden aan de informatie
• Dus ook de beveiligingseisen
• Worden bepaald als non-functional requirements • informatie-eigenaar is een belangrijke bron bij het opstellen van security
requirements
• Voorbeelden:• Kwaliteit van de requirements• Toegangsbeveiliging (access control)• Beveiliging van de data (encryptie)• Kwaliteit van de code (code reviews)• Kwaliteit van de testen (penetration testing)• Onderhoud (vulnerability management)
Classificeren van informatie
Als het gaat om vertrouwelijkheid van informatie• Taak voor de eigenaar van de informatie
• Niet te complex maken
• Normaal gesproken volstaan 3 niveaus• Openbare informatie• Vertrouwelijke informatie• Geheime informatie • (evt.) zeer geheime informatie
• Elke niveau vraagt een bijbehorende procedure van afhandeling
• In alle fasen van de informatie life cycle
17-3-2019 (CC) ES4CS.NL 12
Privacy
17-3-2019 (CC) ES4CS.NL 13
Privacy kwesties
• Toegang (fysiek+logisch)
• Wetgeving
• Veilige opslag
• Archivering
• Vernietiging
• Controle
• Inbreuk op privacy
17-3-2019 (CC) ES4CS.NL 14
Privacy
• Privacy is een belangrijke compliancy factor• “Iedereen heeft recht op bescherming van zijn of haar persoonsgegevens”
• Dit heeft grote impact op gebruik van opslag in de cloud
• Privacy betekent vertrouwelijkheid waarborgen!
• Dat komt ondermeer neer op:• je toegangsbeheer heel goed inregelen (organisatorisch en technisch)• toepassen van versleuteling in opslag en communicatie • voorkomen van kwetsbaarheden in software (SaaS)• aandacht voor adequaat beheer en onderhoud • eisen opnemen in het SLA• mogelijke Incidenten melden bij toezichthouder (autoriteit persoonsgegevens)
17-3-2019 (CC) ES4CS.NL 15
Privacy wetgeving
• Nieuwe wetgeving per 25 mei 2018
• Algemene Verordening Gegevensbescherming (AVG) (Europees: GDPR)• Voor de betrokkene
• het recht op inzage en het recht op correctie en verwijdering
• het recht op dataportabiliteit (je gegevens kunnen meenemen)
• Toestemming verlenen tot het verwerken van gegevens
• Voorafgaande aan de verwerking of besluit tot het gebruik van cloud:• een data protection impact assessment (DPIA) uitvoeren
• Toepassen van privacy by design en privacy by default (security maatregelen)
• De meldplicht datalekken (blijft)
• strengere eisen aan eigen registratie van de datalekken die zich in uw organisatie hebben voorgedaan: alle datalekken moeten worden gedocumenteerd.
17-3-2019 (CC) ES4CS.NL 16
Algemene verordening AVG
• De AVG vervangt de databeschermingsrichtlijn uit 1995
• Op basis van een gemeenschappelijke Europese richtlijn
• Versterking en uitbreiding van privacyrechten;
• Meer verantwoordelijkheden voor organisaties;
• Dezelfde, stevige bevoegdheden voor alle Europese privacy toezichthouders.
17-3-2019 (CC) ES4CS.NL 17
Basisprincipes van de AVG
• Wettelijke grondslag• verwerkingen van persoonsgegevens mogen alleen plaatsvinden wanneer daarvoor
a) ondubbelzinnige toestemming door betrokkene is verleend, b) dit noodzakelijk is voor een aantal limitatief opgesomde belangen
• Doelbinding • Persoonsgegevens mogen alleen verwerkt worden voor uitdrukkelijk omschreven en
gerechtvaardigde doeleinden en niet zomaar voor andere doeleinden.
• Dataminimalisatie • Er mogen niet meer persoonsgegevens verwerkt worden dan noodzakelijk.
• Passende beveiliging • Verwerkers van persoonsgegevens dienen passende technische en organisatorische
maatregelen te nemen om de verwerking te beveiligen
17-3-2019 (CC) ES4CS.NL 19
Privacy by design
• Dit houdt in dat al bij het ontwerpen van producten en diensten (ook in de vorm van het gebruik van een Cloud service) ervoor wordt gezorgd dat persoonsgegevens goed worden beschermd
• Lastig, want: wat is een goede bescherming?
• Dat komt neer op: • analyseren wat de risico’s zijn ➔ impact analyse → risicoanalyse
• op basis daarvan (security) maatregelen vooraf inbouwen
• in termen van het gebruik van clouddiensten is dat: • Security requirements opstellen bij keuze van een cloudprovider
• Security maatregelen opstellen bij het inrichten van een SLA
17-3-2019 (CC) ES4CS.NL 20
Security
17-3-2019 (CC) ES4CS.NL 21
Ontwikkelingen in security
• Jaren 70: IT-beveiliging, met een focus op technische maatregelen (backup/restore, access control)
• Jaren 80: Informatiebeveiliging met (ook) aandacht voor de organisatorische aspecten van informatiebeveiliging
• Jaren 90: Riskmanagement, waarbij het toepassen van informatiebeveiligingsmaatregelen gebaseerd wordt op een risico-inventarisatie. Informatiebeveiliging focust daarmee sterk op information riskmanagement
• Jaren 00: Governance, Risk and Compliance (GRC): Vanuit financiële schandalen ontstaat wet- en regelgeving (compliance) die governance vereist en grote invloed heeft op information riskmanagement
• Jaren 10: Cybersecurity
17-3-2019 (CC) ES4CS.NL 22
Cyber security • Security in Cyberspace !
Cyberspace
• virtuele wereld (internet) waarin computers met elkaar communiceren
• kenmerken• Miljoenen computersystemen onderling verbonden• Intelligente en autonome systemen, • Hoge verbindingssnelheden • Gigantische opslagcapaciteiten• Enorme processing power • Heel veel verschillende partijen die het creëren en in stand houden
• Leveren vele nieuwe mogelijkheden → kansen
• ….. en ook bedreigingen, nadelen → risico’s
Kansen en bedreigingen in de nieuwe wereld
• Communicatie: chat, email, skype, whatsapp, flickr,
• Ontmoetingen: sociale netwerken: facebook, twitter, instagram,
• Ontspanning: youtube, spotify, netflix, gaming
• Vinden: google, wikipedia, routeplanning, google translate
• Business: e-banking, webshops, B2B, mijnABP,
• Nieuws: kranten, tv-kanalen, magazines, artikelen (blendle)
• Weerbericht: buienradar, weeronline, locale weersverwachting
• ……..
• Cyber crime: fraude, grooming, e-spionage, dark markets
• Cyber hacktivism: ddos-attacks, wikileaks, publeaks
• Cyber warfare: intelligence, offensive-defense, attacks
Cybersecurity → cyber resilience
• Toepassen van internet(cyber) gebaseerde dienstverlening (cloudservices) levert risico’s op
• Risico’s omdat er tal van bedreigingen (w.o. criminelen) zijn
• Waarbij gebruik (lees misbruik) gemaakt wordt van kwetsbaarheden
• Hieruit ontstaan security incidenten die kunnen leiden tot calamiteiten• Het beoordelen van mogelijke risico’s leidt tot het afwegen en al dan niet
nemen van preventieve maatregelen
• Het monitoren van nieuwe bedreigingen en kwetsbaarheden is een belangrijke detectieve maatregel
• Het herstellen na en calamiteit is een belangrijke correctieve maatregel
17-3-2019 (CC) ES4CS.NL 26
Waar draait het om? – BIVBetrouwbaarheid van informatie:
• Betrouwbaarheid in termen van:1. Beschikbaarheid (tijdigheid) Availability
2. Integriteit (correctheid) Integrity
3. Vertrouwelijkheid (exclusiviteit) ConfidentialityEn (als afgeleide) ook over:
• Controleerbaarheid,
• Onweerlegbaarheid
• Authenticiteit
• Informatiebeveiliging/ information security gaat over:• Het waarborgen van betrouwbaarheid door het nemen van maatregelen
Intermezzo (5 min)
Vraag:
Benoem een tweetal branches waarbij resp. beschikbaarheid, vertrouwelijkheid en integriteit een zeer belangrijke rol speelt ?
Bedenk voor elk aspect (B-I-V) twee voorbeelden
Beschikbaarheid: ……………….., …………………………….
Integriteit: ……………….., …………………………….
Vertrouwelijkheid: ……………….., ………………………….
28
Antwoord
Intermezzo (5 min)
Vraag:
Benoem een tweetal branches waarbij resp. beschikbaarheid, vertrouwelijkheid en integriteit een zeer belangrijke rol speelt ?
Bedenk voor elk aspect (B-I-V) twee voorbeelden
Beschikbaarheid: E-commerce, infrastructuur (energie)
Integriteit: E-banking, gezondheidszorg
Vertrouwelijkheid: E-banking, overheid, gezondheidszorg
29
Antwoorden
BIV in de cloud
Beschikbaarheid:
• van clouddienst (up-time in de cloud), is afhankelijk van: • internetverbinding (telecom), apparatuur (computers, netwerken)• fysieke locatie, energievoorziening, airco/koeling, beheerders, ….
Integriteit:
• van data die verwerkt en opgeslagen wordt, is afhankelijk van:• Kwaliteit van de software, controle op wijze van opslag, toegang tot data
Vertrouwelijkheid:
• Toegang tot de data is afhankelijk van:• Toegangsbeheer (autorisaties), gebruik van versleuteling (encryptie)
17-3-2019 (CC) ES4CS.NL 30
Eisen aan betrouwbaarheid
• Classificatie van middelen (assets) op BIV-aspecten
• Welke eisen stel je als organisatie aan je assets?
• Hierbij valt te denken aan: servers, documenten, software, mensen?
• Kwalitatief benoemen• LAAG niet belangrijk speelt nauwelijks een rol• MIDDEN belangrijk van belang• HOOG kritisch cruciaal
• Notatie : B-I-V ➔ H- M- H
• Voorbeelden classificatie• Kritische systemen, HOOG• Geheime documenten HOOG• Authenticatie (sterk) HOOG
• Eisen aan de cloudprovider (eisen in de SLA)
Beschouwingsmodel
MENSEN
BEDRIJFSPROCESSEN
APPLICATIE/DATA/INFO
INFRASTRUCTUUR
RISICO’SORGANISATIE
Missie – visie -strategie
DOELSTELLINGEN
Wet en regelgeving
Bedreigingen
externe partijen
32
Risico-management
Waar draait het om bij security?
Vertrouwen! → Betrouwbaarheid van:• Bedrijfsprocessen + organisatie
• Organisatie • Werkprocessen • Mensen (Mens is vaak de zwakke schakel)
• Informatiesystemen • Software + data
• Apparatuur • Servers, netwerk
Informatiebeveiliging = information security
Het treffen en onderhouden van een samenhangend pakket maatregelen om de betrouwbaarheid van de informatievoorziening te waarborgen
IT
BEDRIJFSPROCESSEN
APPLICATIE/DATA/INFO
INFRASTRUCTUUR
Cyber threats• Wat gebeurt er?
• Cyber attacks …..
• Cyber incidenten
• Hoe het gebeurt!• Companies like yours
Wat is er gebeurd?
17-3-2019 (CC) ES4CS.NL 35
• Leren van incidenten Famous cases
• Wikileaks
• NSA-leaks | Snowden
• Stuxnet
• Carbanak bankroof
• DigiNotar
• Officier van justitie: Mr. Tonino
Opdracht na het bekijken van de video
Intermezzo (10 min)
Opdracht: Bediscussieer in tweetallen de volgende onderwerpen
• Welke kwetsbaarheden zijn aan de orde gekomen?
• Welke (vormen van) bedreigingen heb je gezien?
• Welke “kroonjuwelen” heb je kunnen onderscheiden?
17-3-2019 (CC) ES4CS.NL 36
Threats
17-3-2019 (CC) ES4CS.NL 37
Type dreiging
Classificatie van dreigingen
• cyber oorlog: oorlogsvoering door landen/staten gericht op en gebruikmakend van cyberspace
• cyber terrorisme: terroristische activiteiten (sabotage, ondermijning, digitale verstoring, publicatie van vertrouwelijke gegevens) gebruikmakend van cyberspace
• cyber spionage: digitale spionage, diefstal van gegevens en toegang
• cyber criminaliteit: criminele activiteiten gebruikmakend van cyberspace
• cyber aanval: een aanval afkomstig van gebruikmakend van cyberspace, meer generiek gesproken
17-3-2019 (CC) ES4CS.NL 38
Indeling dreigingsactoren• Landen (nation states)
• Staten (geheime dienstenen defensie) proberen t.b.v. hun eigen veiligheid (oorlogs) informatie te verzamelen• Staten zullen daarin een meer of minder “actieve defensie” te voeren.• Staten zullen de opinie (stemming) van de bevolking proberen te beïnvloeden
• Georganiseerde misdaad en criminelen: • Criminelen op zoek naar waardevolle informatie zoals bank accounts, credit cards of intellectueel eigendom,
de buit wordt omgezet in geld • Criminelen maken daarbij vaak gebruik van insiders
• Bedrijven : • Bedrijven willen concurreren, zijn competitief en zijn altijd geïnteresseerd in informatie van de concurrent
• Medewerkers: • Onderscheid naar : vaste medewerkers (staf), tijdelijke medewerkers, onderhoudspersoneel,
bewakingspersoneel, partners
• Mensen (Human factor) • Onbedoeld: ongevallen, onvoorzichtigheid, naïviteit • Opzettelijk: insider, buitenstaander• Intern: medewerkers, uitzendkrachten, partners • Extern: Cyber-criminelen (professional hackers), Spionnen, amateur hackers, activisten, Nation-state
intelligence services malware makers
17-3-2019 (CC) ES4CS.NL 39
Overige dreigingingen
• Generieke dreigingen (non-target specific):• Storingen in apparatuur: zoals slijtage van onderdelen, verkeerde
configuraties, wijzigingen aanbrengen, • Storingen in software t.g.v. malware: zoals computer virussen, wormen,
trojans, logic bombs, back doors, ddos-aanvallen• Storingen in vitale infrastructuur: black-outs, openbaar vervoer,
watervoorzieningen, betalingsverkeer, gezondheidszorg, etc.
• Natuurrampen: zoals • overstroming, blikseminslag, meteoorinslag, aardbeving, aardverschuiving
• Calamiteiten /ongelukken • Brand, ongelukken zoals auto-, trein- of vliegverkeer, epidemie of een
pandemie, stakingen,
17-3-2019 (CC) ES4CS.NL 40
Dreigingen op verschillende systeemlagen
• Mensen: • Social engineering, (phising, Advanced Persistent Threat (APT)
• Bedrijfsprocessen:• Toegang (logisch of fysiek), diefstal, vernietigen van vertrouwelijke informatie
door kwaadwilligen (hacker, insider) of door calamiteiten
• Applicatie/data:• Malware, denial of service, ongeautoriseerde toegang
• Misbruik van kwetsbaarheden (exploits)
• Infrastructuur: • Storing, uitval van diensten (energie), natuurrampen e.a.
17-3-2019 (CC) ES4CS.NL 41
MENSEN
BEDRIJFSPROCESSEN
APPLICATIE/DATA/INFO
INFRASTRUCTUUR
ORGANISATIE
Type cyber aanvallers• Script kiddie:
• teenager met weinig skills die gebruikmaakt van bestaande tooling
• Hacktivist: • actievoerder die vanuit ideologie diensten beklad of ondermijnd (Ddos)
• White hat hacker: • Ethical hacker, iemand die zwakheden zoekt in een systeem/programma/website, zoekt een oplossing en informeert de sys
admin. Maakt gebruikt van responsible disclosure policies
• Grey hat hacker:• Iemand tussen white hat en black hat in. Op zoek naar bijzondere informatie en ook een attack kan uitvoeren. Maakt gebruik
van diensten van anderen, soms georganiseerd of zelfstandig opererend
• Black hat hacker: • Specialisten met skills die malware en exploits kunnen schrijven. Verdienen hier hun geld met deze activiteit, laten zich
desgewenst inhuren; cyber huurlingen (mercenaries). Doel is om in te breken in systemen
• Insider threat: • Medewerker van de organisatie die kan beschikken over vertrouwelijk informatie en dat misbruikt voor eigen gewin. Vaak
ingegeven vanuit rancune t.g.v. een ontslag, slechte beoordeling, etc.
• Nation state actors:• Werken in opdracht van een staat, direct in dienst of als groep zelfstandig opererend in opdracht van defensie of
inlichtingendienst
17-3-2019 (CC) ES4CS.NL 42
Doelen van aanvallers
• Toegang verkrijgen: ongeautoriseerde toegang (unauthorized access )
• Misbruik (abuse): ongeautoriseerd gebruik van IT-middelen • (bijv. door identiteitsdiefstal, een pornodistributiedienst opzetten van op een
gecompromitteerde server)
• Diefstal: informatie stelen en doorverkopen (information theft)
• Openbaarmaking van vertrouwelijke informatie (disclose)
• Modificeren: ongeautoriseerd wijzigen van informatie
• Vernietigen: Informatie wissen of niet toegankelijk maken (deny access)
• Bekladen: (defacing) van websites
• Diensten blokkeren: Denial of service (Ddos), gebruikmakend van botnets
17-3-2019 (CC) ES4CS.NL 43
Vulnerabilities
17-3-2019 (CC) ES4CS.NL 44
Opdracht
• Benoem voor elke laag 3 kwetsbaarheden• Mensen:
• Gebrek aan awareness, naïef, niet alert, slordigheid• Onverantwoordelijk gedrag, of gebrek aan kennis en kunde
• Bedrijfsprocessen:• Geen inzicht in risico’s, ontbreken van regels, policies, procedures, ontbreken van
regels m.b.t. wetgeving, ,
• Applicatie/data: • Kwetsbaarheden in software, geen back-ups, verkeerde configuraties en
autorisaties, zwakheden in encryptie en sleutelbeheer
• Infrastructuur:• Verkeerde configuraties, geen scheiding in netwerken, ontbreken van filtering van
connecties (firewall),
17-3-2019 (CC) ES4CS.NL 45
MENSEN
BEDRIJFSPROCESSEN
APPLICATIE/DATA/INFO
INFRASTRUCTUUR
ORGANISATIE
Veel voorkomende kwetsbaarheden
• Op alle lagen zijn kwetsbaarheden te onderkennen
• Toch worden in het vakgebied vaak gesproken over:• Grote kwetsbaarheid op de laag van menselijke actoren• Veel voorkomende kwetsbaarheden op de applicatie laag
• Waarom zijn organisaties juist op deze twee lagen kwetsbaar denk je?
• Mensen: • Het gedrag van mensen is erg lastig te veranderen en opleiden en de houding
van mensen veranderen kost heel veel tijd
• Applicatielaag: • Software is complex en we zijn onvoldoende in staat om met deze
complexiteit de kwaliteit in voldoende mate te waarborgen
17-3-2019 (CC) ES4CS.NL 46
MENSEN
BEDRIJFSPROCESSEN
APPLICATIE/DATA/INFO
INFRASTRUCTUUR
ORGANISATIE
Soorten kwetsbaarheden
• Fysiek niveau: • Toegang tot het gebouw, terrein, serverruimte, kasten (met gevoelige informatie) is niet aanwezig
• Technische niveau: fouten in configuratie van netwerkapparatuur of servers; voorbeelden:• Default settings (passwords) niet gewijzigd• TCP-poorten staan ten onrechte open• Services op web- database server staan ten onrechten aan• Laatste patches niet geïnstalleerd• Geen back-ups, back-ups net gecontroleerd
• Organisatorische niveau: er zijn geen regels, policies, procedures, etc. waardoor zwakheden ontstaan: Voorbeelden: • screening van personen (bij zeer vertrouwde functies)• Geen controle (bij tourniquets of) bij de receptie/ entree van het gebouw• Onbekend/ onmogelijk waar/om een security incident gemeld kan worden
• Mensen, die werkzaam zijn in de organisatie of (next slide)
17-3-2019 (CC) ES4CS.NL 47
Mens als grootste kwetsbaarheid?
• Mensen in de organisatie worden vaak als “zwakke schakel” aangeduid.
• Kun je bedenken waarom dit beeld zo is ontstaan? (beargumenteer!)
• Mensen laten zich niet zomaar een ander werkwijze voorschrijven
• Mensen blijven vaak werk uitvoeren in bestaande patronen
• Menselijk gedrag is zeer lastig te veranderen, vraagt veel tijd
• Mensen werken vaak in een groep, dus je moet wel in de gehele organisatie het gedrag veranderen
• Mensen zijn soms/vaak: humeurig, niet alert, naïef, vergeetachtig, slordig, onhandig, niet capabel, te gretig, te dienstverlenend, …..
17-3-2019 (CC) ES4CS.NL 48
Antwoorden
Kwetsbaarheden bij mensen
• Sociaal engineering • Beïnvloeding van mensen (technieken)• Mensen zijn vatbaar (kwetsbaar) voor:
• Complimenten, wederkerigheid etc.
• Mensen zijn beleefd, behulpzaam• Mensen willen aardig gevonden worden• Mensen willen geen ruzie of gedoe• Mensen willen graag en buitenkans benutten
• Sociaal engineer/hacker maakt hier graag gebruik van • Wordt vaak gebruikt als startpunt bij een doelgerichte aanval op een organisatie
• Voorbeelden (next slide)
17-3-2019 (CC) ES4CS.NL 49
Uitvoeringsvormen van social engineering • E-mail (Phising) https://www.fraudehelpdesk.nl/sub-vragen/phishingmails/
• Een hacker verstuurt een e-mailtje met een belangwekkende tekst, die je uitnodigt te clicken op een link, waarmee onzichtbaar malware (kwaadaardige software) wordt geïnstalleerd
• Persoonlijk contact (pretexting)• De hacker probeert persoonlijk contact te leggen met het slachtoffer. En vervolgens het
slachtoffer te overtuigen (door vertrouwen te winnen) onbedoeld vertrouwelijke informatie te verschaffen
• Telefonisch contact (pretexting) • De hacker probeert persoonlijk contact te leggen met het slachtoffer. En vervolgens het
slachtoffer te overtuigen mee te werken waardoor onbedoeld toegang wordt gegeven
• Rondsnuffelen in afval (dumpster diving)• De hacker probeert vertrouwelijke informatie te krijgen door het snuffelen in vuilnisbakken,
containers en prullenbakken, op zoek naar vertrouwelijke papieren of digitale informatie
• Toegang verschaffen (office tail gating) https://www.youtube.com/watch?v=jksOir0WGM8
• En rondneuzen naar informatie op bureaus of in open kasten
17-3-2019 (CC) ES4CS.NL 50
Hoe krijg je mensen zover?• Door het toepassen van een of meerdere van deze 6 principes
• Afkomstig vanuit de marketing (Cialdini)
• Consensus (Sociale bewijskracht) gebruiken• Als een schaap over de dam is volgen er meer
• Consistentie (en commitment) wordt toegepast• Bij je standpunt blijven en doorzetten
• Wederkerigheid gebruiken• Als je eerst iets weggeeft krijg je sneller iets terug
• Sympathiek optreden• Zorgen ervoor dat je aardig gevonden wordt
• Autoriteit gebruiken (kleding)• Een doktersjas maakt altijd meer indruk
• Schaarste• Als er weinig van iets is, dan willen mensen het sneller hebben
17-3-2019 (CC) ES4CS.NL 51
Risico’s
17-3-2019 (CC) ES4CS.NL 52
Risico’s
• Een webwinkel loopt een (bedrijfs)risico op het moment dat de internetverbinding door bijv. een storing niet beschikbaar is • Klanten kunnen geen bestellingen plaatsen de winkel is a.h.w. gesloten
• Wat in deze zin is nu dreiging?
• Wat is daarin de kwetsbaarheid
• Welke security aspect is in het geding?
• Storing is de dreiging, daarmee is de beschikbaarheid van de dienstverlening in het geding en daarmee loopt het bedrijf een bedrijfsrisico, want de kans is aanwezig dat er minder omzet gemaakt en dus minder geld verdient
17-3-2019 (CC) ES4CS.NL 53
Antwoorden
Illustratie / metafoor voor NL
Mensen en huizen (assets) moeten worden beschermd
Wat stellen A,B en C voor in termen van security?
17-3-2019 (CC) ES4CS.NL 54
A= dreiging
B= maatregel
C= kwetsbaarheid
Afhankelijkheid
• Er zijn tal van soorten bedrijfsrisico’s maar de focus is nu op risico’s • voortkomend uit het gebruik van IT ; IT-security risico’s
• Omdat een webwinkel afhankelijk is van IT is het IT-security risico ook direct een bedrijfsrisico• Van een bedrijfsrisico is sprake als het bedrijf schade lijdt in de bedrijfsvoering
(het primaire bedrijfsdoel wordt aangetast)
• Zodra er een sterke sprake is van een sterke afhankelijkheid van IT,ontstaan er grotere bedrijfsrisico’s
• Risico is de kans dat een potentieel gevaar resulteert in een daadwerkelijk incident en de ernst van het letsel of de schade die dit tot gevolg heeft. https://nl.wikipedia.org/wiki/Risico
17-3-2019 (CC) ES4CS.NL 55
Risico’s beoordelen • Het analyseren van risico’s bestaat uit een aantal fasen:
• Inventarisatie van ondermeer de assets, de kroonjuwelen van de organisatie
• Wat is van waarde en moeten we dat en/of willen we dat beschermen?
• Beoordeling opstellen (assessment) wat het risico is voor de organisatie als het fout gaat • Fout betekent; er ontstaat een security incident dat ernstige gevolgen heeft
voor de bedrijfsvoering, een bedrijfsrisico (business risk)
• Ernstige gevolgen kunnen zijn:• Aanzienlijke financiële schade
• Ernstig lichamelijk letsel
• Serieuze imago schade
• Kun je enkele voorbeelden geven?
17-3-2019 (CC) ES4CS.NL 56
Risico’s inschatten
• Risico is niet dus niet de schade zelf, maar de kans dat er schade optreedt
• Er kan pas over een risico worden gesproken indien geanalyseerd is wat:• De impact of schade van een bedreiging is• De kans van optreden van een bedreiging is
• Risico = Kans x Impact• Kans dat een bedreiging werkelijkheid wordt
• Naarmate de kwetsbaarheid groter is zal de kans toenemen
• Impact van de schade
• Een risico is een schadeverwachting in een bepaalde periode
17-3-2019 (CC) ES4CS.NL 57
Risico’s inschatten of berekenen
• Risico’s kan je proberen te berekenen of je kan ze proberen in te schatten• Berekenen ; dat noemen we een kwantitatieve analyse
• Inschatten ; dat noemen we een kwalitatieve analyse
• Kwantitatief is erg lastig; heel veel rekenwerk • Berekenen wat de mogelijke schade is
• Berekenen wat de kans van optreden is van verschillende bedreigingen
• Te complex : Wordt om die reden niet gedaan in de praktijk → NIET DOEN!• (het boek dit wel en geeft ook voorbeelden)
• Kwalitatief is ook lastig, maar in de praktijk de gebruikelijk manier
17-3-2019 (CC) ES4CS.NL 58
Kwalitatieve risicoanalyse• Op basis van de formule Risico = Kans x Impact
• Inschatten van de factor IMPACT• Beoordelen op een schaal van 1-3 wat de impact is
• 1 = laag of geen impact (schade is bijv. kleiner dan 2% van de omzet)• 2 = medium of gemiddelde impact (schade ligt tussen 2% en 5 % van de omzet)• 3 = hoog en er is sprake van een ramp (schade ligt boven de 5% van de omzet)
• Indicatie is niet absoluut (winst van organisaties ligt op ongeveer 5-10% van de omzet)
• Inschatten van de KANS• Beoordelen op een schaal van 1-3 wat de kans is
• 1 = laag of geringe kans dat een incident optreedt (bijv. kleiner dan 5%)• 2 = medium of gemiddelde kans (bijv. 5% en 20% van de omzet)• 3 = hoog en er is sprake van een ramp (bijv. boven de 20%)
• Percentages zijn slechts een indicatie , wordt door de organisatie bepaald
17-3-2019 (CC) ES4CS.NL 59
Eindresultaat is een “heat map”
• Critical• Kans en impact zijn HOOG
• HIGH• Kans of impact is MEDIUM• Ander is HOOG
• Medium• Kans en impact zijn MEDIUM• Kans is LAAG, impact is HOOG• Kans is HOOG, impact is LAAG
• Low • Kans is HOOG, impact is LAAG
17-3-2019 (CC) ES4CS.NL 60
Voorbeeld eindresultaat van risicoanalyse
• Dreigingen zijn afgebeeld in de heatmap
• Op basis van de inschattingen die zijn gedaan • Inschattingen tezamen met
betrokken
• De heatmap maakt direct inzichtelijk dat maatregelen wenselijk zijn tegen bijv.: • identiteitsdiefstal • SQL injectie • Denial of services• Nog meer?
17-3-2019 (CC) ES4CS.NL 61
Risico’s managen
• Om risico’s te voorkomen zijn maatregelen nodig, meer in detail: • Om kwetsbaarheden te vermijden zijn maatregelen nodig• Om dreigingen weg te nemen zijn eveneens maatregelen nodig
• De cruciale vraag is nu:• Welke security maatregelen zijn nodig om voldoende veilig te zijn?• Wat is voldoende veilig? • Welke afwegingen kunnen er worden gemaakt m.b.t. de security maatregelen?• Hoe kan je dat op een gestructureerde wijze inzichtelijk maken?• Zodat je niet te veel geld besteed wordt aan niet effectieve of relevante security
maatregelen
• Het antwoord op deze vragen is “risico’s managen”
17-3-2019 (CC) ES4CS.NL 62
Afweging: risico nemen of risico afdekken?
17-3-2019 (CC) ES4CS.NL 63
Besparing Kans op schade
Kosten maatregelenGeringe kans op schade
Geen hinder/ geringe impact/ is niet erg
Tenzij….
Geen maatregelen
Beveiligings-maatregelen
Schadeverwachting Risicomijdend GebruiksONvriendelijkheid “Last van”
17-3-2019 (CC) ES4CS.NL 64
Brand
Gebruikersfouten
Virus
Sabotage
InbraakFraude
Hacking
Vergissing
Storing
Stroomuitval
CalamiteitenBugs en backdoors
Bedreigingen
IT
Mensen
Bedrijfs-
processen
Maatregelen
Mogelijkheden voor maatregelen
17-3-2019 (CC) ES4CS.NL 65
4 principiële mogelijkheden
• Preventief• Voorkomen van incidenten
• Detectief• Signaleren van incidenten
• Repressief• Onderdrukken van de impact
van het incident
• Correctief• Herstellen van de schade
tengevolge van het incident
Incident-cyclus
Vlinder (bowtie) model
• Andere weergave
• Ander model
• Prevention• Bedreigingen beperken
door preventieve maatregelen
• Repression• Impact beperken door
repressieve maatregelen
17-3-2019 (CC) ES4CS.NL 66
Maatregelen afstemmen op het doel
Maatregelen afstemmen op wat beschermd moet worden
• Beschikbaarheid of Integriteit of vertrouwelijkheid
en/of
• Technisch of organisatorisch of gedrag van mensen
• Type maatregelen – Afschrikkend (deterrent)– Preventief (preventive)– Signaleren (detective)– Compenserend (compensating)– Correctief (corrective)– Herstel (recovery)
Balans nastreven in alle dimensies
17-3-2019 (CC) ES4CS.NL 67
Lees- en denkwerk
• Lezen• Boekje: Cybersecurity (in 60 minuten)
• White papers (snuffelen)
• Denken • Ideeën voor opdrachten in het VMBO
• Vragen, wensen en ideeën voor de volgende sessies• Liefst vooraf mailen naar [email protected]
17-3-2019 (CC) ES4CS.NL 68
Vragen
17-3-2019 (CC) ES4CS.NL 69
