IT-sikkerhed som et byggeprojekt?

IT-sikkerhed som et byggeprojekt? IT-sikkerhed hvem har ansvaret hvornår? Morten von Seelen, 2016-09-20

Baggrund Hvorfor er det overhovedet vigtigt for os? 2

Morten von Seelen mvonseelen@deloitte.dk Direkte: 3093 5033 Senior Konsulent, Deloitte, Cyber Operations IT-Ingeniør, Etisk Hacker Kernekompetencer: IT sikkerhed Penetration Testing og Red Teaming Web application Testing Forensics og Incedent Response Security Code Review Fysisk sikkerhed og personsikkerhed ISO 27001 Lead Auditor Rådgivning i risikohåndtering (og gammel.net udvikler) 20-09-2016 33

Lad os bygge et hus i udlandet 4

Hvad tænker man på når man skal bygge et hus? Designfasen Størrelse Stue Køkken Badeværelser 1 eller 2 plan Men hvem tænker på: Isolering? Brandsikring? Flugtveje? Jordskælvssikring? Lokal lovgivning? Alarmer? 55

Hvad gør vi med Sikkerheden? Hvad gør vi med alt det der sikkerhed? Kunden 20-09-2016 66

20-09-2016 77

Byggefasen er nu begyndt Hvem tager beslutninger om: Pris vs Sikkerhed? Sikkerhed vs Udseende? Kvalitet vs Hastighed? Dokumentation vs Hastighed? Hvor meget bestemmer kunden? eller projektlederen? 8

9

Kunden flytter nu ind i huset 10

11

Men så sker det uventede 12

Tilbage til IT 13

Umbraco og Sikkerhed 14

Sikkerhed og Umbraco Hvor ser vi så fejlene? Udsnit af findings fra udvalgte tests. 100,0 90,5 90,0 Meget få sårbarheder i selve Umbraco Manglende opmærksomhed og inputvalidering årsag til mange sårbarheder 80,0 70,0 60,0 50,0 57,1 61,9 Manglende server management (Patch, SSL osv.) De fleste sårbarheder kan rettes på under 1 time Forventing om at IIS en beskytter dem Manglende Risikoforståelse Manglende træning af medarbejdere 40,0 30,0 20,0 10,0 0,0 38,1 14,3 19,0 38,1 2015-16 19,0 38,1 XSS SQLi RCE* Brute Force Protection User Validation Bad Passwords Fileupload CSRF SSL 15

Eksempel Hvor ser vi så fejlene? Meget få sårbarheder i selve Umbraco Manglende opmærksomhed og inputvalidering årsag til mange sårbarheder Manglende server management (Patch, SSL osv.) De fleste sårbarheder kan rettes på under 1 time Forventing om at IIS en beskytter dem Manglende Risikoforståelse Manglende træning af medarbejdere 16

Men hvor skal man starte? 17

1) Snak åbent om det Hvor meget ved folk faktisk om sikkerhed? Hvilke krav har kunden stillet til sikkerheden? Hvem har ansvaret for sikkerheden i projektet? Har du virkelig styr på alt det der med XSS, SQLi, XMLi, CSRF, SSRF, Fileuploads, inputvalidering, datafiltrering, patching, certifikater og alt det andet ham sølvpapirshatten fra Deloitte snakkede om? Er sikkerheden I vores applikatioen egentlig I top? Og har vi nogensinde testet det? Hvad har vores leverandør gjort for sikkerheden? Overholder vores løsninger egentlig persondataloven? Og er vi påvirket af den der EU forordning alle snakker om? Er der nogen vi kan spørge om hjælp til det her? Har vi Unittests som dækker sikkerheds relevante områder? 18

19

2) Identificer ansvar Det kan nemt ligge hos flere men altid en på toppen Kunde Scrum Master Projektleder SIKKERHED? Chef Backend udvikler Tester Front-End Chef U1 U2 U3 T1 T2 R3 UX FE FE 20

21

3) Test, Test, Test Man kan komme rigtig rigtig langt med gratis værktøj F.eks.: OWASP ZAP BURP* w3af Paros SkipFish Sqlmap 22

4) Hav klare krav til sikkerhed Og hjælp udviklerne til at gøre det rigtig første gang Eksempler på krav: Det forventes at alt input og output er valideret Såfremt rå SQL benyttes, skal dette benyttes i Param. Stored Proc. Alle forsøg på hacking skal afgive en alarm. (Særligt Brute Force) Nye patches lægges på indenfor 24 timer Alle databasekald skal være unikt autentificeret og skal logges. Alle brugere skal logge ind via AD Logfiler skal beskyttes Ingen delte brugere Det skal laves et Privacy Impact Assessment før nye kundedata må tilføjes databasen. Leverandøren betaler for alle sikkerhedsrettelser i kontraktaftalens løbetid. Gældende lovgivning overholdes altid. 23

4) Hav klare krav til sikkerhed og nu jeg lige har jer fanget 24

Morten von Seelen mvonseelen@deloitte.dk m: 3093 5033 30.09.2016 Umbraco Festival Tak for nu!

Alt kan hackes og det bliver det! Den betydelige stigning i sikkerhedshændelser, hvor cyberangreb er blevet mere reglen end undtagelsen, er det vigtigere end nogensinde før, at foretage regelmæssig sikkerhedstest af sine systemer og netværk for at sikre, at alle sikkerhedskontroller er effektive og yder den fornødne beskyttelse. Her kommer et kort resumé af vores ydelser fra Cyber operations Tekniske sikkerhedsanalyser Sårbarhedsanalyser ekstern/intern, webapplikationsstest, sikkerhedstest af mobile APP s, etc. Cyber Awareness Training E-learning program til træning af din virksomheds medarbejdere i informationssikkerhed. Se filmen her! Code Audit Med Deloittes Code Audit får du skabt overblik over sikkerheden af koden i udvalgte kritiske dele af dine løsninger. Følsomme områder udvælges, og gennemgås af Deloittes specialister. Penetrationstest Dybdegående sikkerhedstest af systemer, applikationer, web, infrastruktur etc. Phishing Awarenes Test Deloittes Phishing Awareness Test, får du større bevidsthed om medarbejdernes parathed over for phishing og ransomware angreb Én dags sundhedstjek Risikoanalyse Sikkerhedsanalyse Rapport med anbefalinger Red Team Operations Deloitte har udviklet ydelsen Red Team Operations, som gør det muligt for virksomheder at vurdere hvor cyberparat og -bevidst den er, ved at gennemføre scenariebaserede, kontrollerede hændelser og angreb. Kursus & Uddannelse CISSP CEH Data Protection Data Protection Officer Kontakt Ønsker du mere information, er du velkommen til at kontakte Morten direkte på mobil.nr. 3093 5033 eller på mvonseelen@deloitte.dk.