1. Verhalen uit de loopgraven
Workshop cyberincidenten – 23 oktober 2018
Jan Guldentops ( j@ba.be )
BA N.V. ( http://www.ba.be )
2. Wie ben ik ?
Jan Guldentops (°1973)
Dit jaar bouw ik 25 jaar server en netwerk
infrastructuren
Oprichter Better Access (°1996) en BA (°2003)
Open Source Fundamentalist (na mijn uren)
Sterke praktische achtergrond op het vlak van ICT
beveiliging
➢
Ben toevalling terechtgekomen in de securitywereld
➢
Documenteerde in 1996 de securityproblemen in de eerste
Belgische internetbank ( Beroepskrediet / Belgium Offline)
➢
Plotseling ben je security expert
“Gecertificieerd” DPO en informatieveiligheidsconsulent
R&D (vooral security)
5. Wat is informatieveiligheid ?
Beschermen van informatie en informatiesystemen tegen :
Ongeautoriseerde toegang / gebruik / bekendmaking
Integriteit van die gegevens
Beschikbaarheid / verlies van gegevens of systemen
Kortom : Garanderen van CIA
Confidentiality
Integrity
Availibility
7. Waarom aandacht besteden
aan informatieveiligheid?
Maar ook andere redenen :
– PCI DSS ( credit cards )
– ISO 27000
– Nen
– Contractuele afspraken met klanten
– VTC, KSZ, etc.
GDPR
Mei 2018
Wet met tanden !
− Boeteclausules( 4% turnover tot € 20.000.000)
− Meldingsplicht binnen 72 uur!
− DPO
− Etc.
9. Waarom GDPR? (2)
“Verloren” persoonsgegevens
15.000 Klanten hun gegevens door gebruik productiedata in
testsysteem
− Gegevens van 700.000 klanten ( geboortedatum, gsm,
telefoonnummer, etc.)
− Konden zelfs niet vertellen wat er aan de hand was!
− Gegevens van 70.000.000 klanten
− Exit security officer, CIO & CEO
− 19GB aan klantendata
− Josh Duggar
10.
11. De goedheid van de
medewerker
● Medewerkers willen helpen en
meestal heeft niemand hen duidelijk
verteld wat ze wel of niet mogen doen.
● Dus als je vriendelijk vraagt :
● Vertellen ze je alles wat je wil weten ;
● Laten ze je overal binnen ;
● En loggen ze nog voor je in ook
● Social Engineering
● Belangrijk: mensen bewust maken !
● Maar ook : domheid, luiheid en je
m’en fous
12. Weinig logische en fysieke
beveiliging
●
Ongeloofelijk waar je allemaal binnen kan
wandelen en wat je kan meenemen.
● Toegangscontrole is vaak een grapje of
makkelijk te omzeilen.
● Dossierkasten met bv personeelsgegevens
worden niet afgesloten
● Enz.
●
PC’s zonder screenlocker
●
Slecht beveiligde netwerkpoorten
● In vergaderzalen, wachtruimtes, etc.
● Onbewaakt, gepatched en je zit als bezoeker
recht op het interne netwerk
13. Basis netwerk security
● Opdelen van het interne netwerk in
verschillende logisch gescheiden
onderdelen ( VLAN’s)
● Belangrijk : management VLAN
● Ook controles tussen die vlan’s !
● Slecht opgezette publiekswifi’s
● Interne WIFI’s met één WPA2-key!
● Tunnels
● Openvpn / ssh
● Teamviewers
14. Phising
● Iedereen denkt aan de standaard, in slecht Nederlands
geschreven mail van een Oekraïnse schone die zegt dat je de
man (m/v) van haar leven bent...
● Makkelijk te ontdekken
● Maar:
● Wat als ik nu eens een phish op maat van uw organisatie maak ?
– “Kortingsbon van Torfs” onderhandelt voor uw organisatie
– “Sinterklaas heeft een verrassing voor jou”
– “Wij werken aan de beveiliging en zouden graag willen dat u
15.
16. Wachtwoorden / rollen /
rechten
● Waarom, oh waarom gebruiken we nog altijd
userid/wachtwoorden voor toegang tot onze systemen ?
● Mensen gaan er slordig mee om ;
● Kiezen altijd en overal hetzelfde wachtwoord ;
● Geven het door ;
● Laten het staan op het oorspronkelijke, voorspelbare wachtwoord
● Etc.
● We hebben nog altijd verschillende wachtwoordsystemen !
● Uitdienstprocedures – toegangen wissen als iemand vertrekt.
● -> We moeten naar 2 factor authenticatie
17. Leveranciers
● Vertrouwt u uw leverancier en heeft u er goeie afspraken mee ?
● Bv. bij elke klant root-wachtwoord gebruiken dat hetzelfde gebleven en verwijst
naar een calculator uit 1977.
● Geen change management
● Carte blanche altijd en overal
● Geen geintegreerde software in de AD
● Onvolwassen reacties op securitybugs
– “Alles is volgens onze interne security standaarden”
● Geen updates, etc.
● Gegevensverwerkingsovereenkomst ? Veiligheidsnorm ?
● Dit geldt ook voor :
– Cloud
– Grote jongens ( Microsoft, etc.)
18. Traditionele antivirus werkt
niet meer
●
Traditionele, signature-based
antivirus werkt niet meer...
● Zie Cryptolocker epidemie
● Komen vaak door 2
verschillende anti-virus engines
●
Groot probleem
●
Verschillende hoopvolle
technologieën
● e.g. Cylance
19. Degelijk systeembeheer
● Zelfs luidruchtige interne aanvallen worden nooit opgemerkt.
● IT’ers blussen branden maar doen nooit aan brandpreventie
● Nood aan gestructureerde IT:
– Documentatie
– Opvolging
– Monitoring
– Logging
● Meldingen
● Updates
● Correct gebruik maken van informatieveiligheidsconsulent en ISMS.
20. We hangen vanalles aan ons
netwerk
● Internet-of-things
● De vraag is dit alles veilig en
blijft het veilig ?
● Kan het misbruikt worden ? Is
het voldoende geïsoleerd ?
● Vaak worden er ook onzinnige
deuren opengezet om het
toegankelijk te maken
● Port forwardings
21. Wachttorens en
paniekvoetbal
● Dirty Cow
● Voorbeeld van getuigen-van-
jehova-journalistiek
– “Het einde is nabij !”
● Paniek
● Paniekvoetbal
● Geen structurele oplossingen
● Grote FUD en propaganda
● Android is onveilig ! Koop een
Iphone !
23. Business continuity
● Backups
● Zorg dat je altijd een regelmatige backup van al je data hebt
– Ook cloud !
● Test af en toe je backups
– Wet van schrodinger voor backups :
● Een backups is maar zo goed als zijn laatste suksesvolle restore !
● Denk aan business continuity
● Redundancy
● Procedures
● Denk na !
25. ( Gebrek aan) Realisme
● There is no such
thing as absolute
security
● Plan for the worst !
● Vroeg of laat heb je
prijs !
● Niemand is onfeilbaar
( behalve de paus)
27. Tijd om wakker te worden
● 2 voornaamste security producten zijn :
● Gezond verstand
● Structuur
● Iedereen heeft security problemen, niemand is
onfeilbaar
● Face it, get over it en ga aan de slag
● Een securityprobleem hebben is geen schande, maar
doe er iets mee !
● Hard werk
Belangrijk om te onthouden :
2 manieren waarop wij werken met lokale besturen :
Leveren van volledige oplossingen
Leveren van huurlingen : consultants die tijdelijk de kennis van de ict-manager aanvullen
Leveren van technische ondersteuning en troubleshooting
Leveren oplossingen aan lokale besturen sinds 1996