Embed Size (px)
Citation preview
IT-sikkerhed – som et byggeprojekt?
IT-sikkerhed – hvem har ansvaret hvornår?
Morten von Seelen, 2016-09-20
2© Deloitte 2016
Baggrund
Hvorfor er det overhovedet vigtigt for os?
3© Deloitte 2016 3© Deloitte 2016
Morten von [email protected]: 3093 5033Senior Konsulent, Deloitte, Cyber Operations
20-09-2016
IT-Ingeniør, Etisk Hacker
Kernekompetencer: • IT sikkerhed
• Penetration Testing og Red Teaming
• Web application Testing
• Forensics og Incedent Response
• Security Code Review
• Fysisk sikkerhed og personsikkerhed
• ISO 27001 Lead Auditor
• Rådgivning i risikohåndtering
(og gammel .Net udvikler)
4© Deloitte 2016
Lad os bygge et hus i udlandet
5© Deloitte 2016 5© Deloitte 2016
Hvad tænker man på når man skal bygge et hus?
Designfasen
Størrelse
Badeværelser
Køkken
Stue
1 eller 2 plan Men hvem tænker på:
Brandsikring?Isolering?
Flugtveje?
Alarmer?
Jordskælvssikring?
Lokal lovgivning?
6© Deloitte 2016 6© Deloitte 2016
Hvad gør vi med Sikkerheden?
20-09-2016
Hvad gør vi med alt detder sikkerhed?
− Kunden
7© Deloitte 2016 7© Deloitte 201620-09-2016
8© Deloitte 2016
Byggefasen er nu begyndt
Pris vs Sikkerhed?Sikkerhed vs Udseende?
Hvem tager beslutninger om:
Kvalitet vs Hastighed?
Dokumentation vs Hastighed?
Hvor meget bestemmer kunden?
eller projektlederen?
9© Deloitte 2016
10© Deloitte 2016
Kunden flytter nu ind i huset
11© Deloitte 2016
12© Deloitte 2016
Men så sker det uventede…
13© Deloitte 2016
Tilbage til IT
14© Deloitte 2016
Umbraco og Sikkerhed
15© Deloitte 2016
• Meget få sårbarheder i selve Umbraco
• Manglende opmærksomhed oginputvalidering årsag til mange sårbarheder
• Manglende server management (Patch, SSL osv.)
• De fleste sårbarheder kan rettes på under 1 time
• Forventing om at IIS’en beskytter dem
• Manglende Risikoforståelse
• Manglende træning af medarbejdere
38,1
14,3
19,0
90,5
38,1
57,1
19,0
38,1
61,9
0,0
10,0
20,0
30,0
40,0
50,0
60,0
70,0
80,0
90,0
100,0
2015-16
XSSSQLiRCE*Brute Force ProtectionUser ValidationBad PasswordsFileuploadCSRFSSL
Udsnit af findings fra udvalgte tests.
Sikkerhed og Umbraco
Hvor ser vi så fejlene?
16© Deloitte 2016
Eksempel
Hvor ser vi så fejlene?
• Meget få sårbarheder i selve Umbraco
• Manglende opmærksomhed oginputvalidering årsag til mange sårbarheder
• Manglende server management (Patch, SSL osv.)
• De fleste sårbarheder kan rettes på under 1 time
• Forventing om at IIS’en beskytter dem
• Manglende Risikoforståelse
• Manglende træning af medarbejdere
17© Deloitte 2016
Men hvor skal man starte?
18© Deloitte 2016
1) Snak åbent om det
Hvor meget ved folk faktisk om sikkerhed?
“Overholder vores løsningeregentlig persondataloven? Og ervi påvirket af den der EU forordning alle snakker om?”
“Er sikkerheden I voresapplikatioen egentlig I top? Og har vi nogensinde testetdet?”
“Har du virkelig styr på alt detder med XSS, SQLi, XMLi, CSRF, SSRF, Fileuploads, inputvalidering, datafiltrering, patching, certifikater og alt detandet ham sølvpapirshatten fraDeloitte snakkede om?”
“Hvilke krav har kunden stillet tilsikkerheden?”
“Hvem har ansvaretfor sikkerheden iprojektet?”
“Er der nogen vi kan spørge om hjælp til det her?”
“Har vi Unittests som dækkersikkerheds relevante områder?”
“Hvad har voresleverandør gjort for sikkerheden?”
19© Deloitte 2016
20© Deloitte 2016
2) Identificer ansvar
Det kan nemt ligge hos flere – men altid en på toppen
Projektleder
U1 U2 U3 T1 T2 R3 UX FE
Chef Backend udvikler
Tester Front-End Chef
FE
Kunde
Scrum Master
SIKKERHED?
21© Deloitte 2016
22© Deloitte 2016
3) Test, Test, Test
Man kan komme rigtig rigtig langt med gratis værktøj
F.eks.:
OWASP ZAP
BURP*
w3af
Paros
SkipFish
Sqlmap
23© Deloitte 2016
4) Hav klare krav til sikkerhed
Og hjælp udviklerne til at gøre det rigtig første gang
Eksempler på krav:
• Det forventes at alt input og output er valideret
• Såfremt rå SQL benyttes, skal dette benyttes i Param. Stored Proc.
• Alle forsøg på hacking skal afgive en alarm. (Særligt Brute Force)
• Nye patches lægges på indenfor 24 timer
• Alle databasekald skal være unikt autentificeret og skal logges.
• Alle brugere skal logge ind via AD
• Logfiler skal beskyttes
• Ingen delte brugere
• Det skal laves et Privacy Impact Assessment før nye kundedata må tilføjes databasen.
• Leverandøren betaler for alle sikkerhedsrettelser i kontraktaftalens løbetid.
• Gældende lovgivning overholdes altid.
24© Deloitte 2016
4) Hav klare krav til sikkerhed
og nu jeg lige har jer fanget…
Cyber Awareness Training
Phishing Awarenes Test
Kursus & Uddannelse
Tekniske sikkerhedsanalyser
Red Team Operations
• CISSP• CEH• Data Protection• Data Protection Officer
E-learning program til træning af din virksomheds medarbejdere i informationssikkerhed.
Se filmen her!
Sårbarhedsanalyser ekstern/intern, webapplikationsstest, sikkerhedstest af mobile APP’s, etc.
Alt kan hackes og det bliver det!Den betydelige stigning i sikkerhedshændelser, hvor cyberangreb er blevet mere reglen end undtagelsen, er det vigtigere end nogensinde før, at foretage regelmæssig sikkerhedstest af sine systemer og netværk for at sikre, at alle sikkerhedskontroller er effektive og yder den fornødne beskyttelse. Her kommer et kort resumé af vores ydelser fra Cyber operations
Penetrationstest
Dybdegående sikkerhedstest af systemer, applikationer, web, infrastruktur etc.
Deloittes Phishing Awareness Test, får du større bevidsthed om medarbejdernes parathed over for phishing og ransomware angreb
Med Deloittes Code Audit får du skabt overblik over sikkerheden af koden i udvalgte kritiske dele af dine løsninger. Følsomme områder udvælges, og gennemgås af Deloittes specialister.
Code Audit
Ønsker du mere information, er du velkommen til at kontakte Morten direkte på mobil.nr. 3093 5033 eller på [email protected].
Deloitte har udviklet ydelsen Red Team Operations, som gør det muligt for virksomheder at vurdere hvor cyberparat og -bevidst den er, ved at gennemføre scenariebaserede, kontrollerede hændelser og angreb.
• Risikoanalyse• Sikkerhedsanalyse• Rapport med anbefalinger
Én dags sundhedstjek…
Kontakt
