Bring
Your
Own
Device
|
Het voordeel van risico nemen.
Marinus Kuivenhoven
Sr. Security Specialist, Sogeti Security
's-Hertogenbosch, 2 oktober 2014
2 Kijk op Onderwijs | De Mobiele Revolutie
|
Informatiesystemen beheren informatie.
3 pijlers van informatie beveiliging
Beschikbaarheid
Integriteit
Vertrouwelijkheid
Wat is security?
Kijk op Onderwijs | De Mobiele Revolutie 3
|
Realiteit
Wat is security?
4 Kijk op Onderwijs | De Mobiele Revolutie
Gevoel Zekerheid
|
Bugs vs Flaws
“Bugs are simple mistakes in code; flaws are mistakes in design. It turns out that a lot of information systems are flawed. In fact, if you step back and look at a multitude of security problems over time, you'll find that about 50% of them are due to bugs and 50% due to flaws.”
Gary McGraw, Building Security In.
5 Kijk op Onderwijs | De Mobiele Revolutie
|
Client Server
Waar vindt de logica plaats
6 Kijk op Onderwijs | De Mobiele Revolutie
Mainframe Terminal
Backend PC
Cloud Mobile
|
OSI - View Architectuur - View
| | Applicatie Interactie
| | Presentatie Applicatie
| | Sessie Framework
| | Transport Middleware
| | Netwerk Libraries
| | Datalink Operating System
| Fysiek Hardware
Gebruikersinteractie
Toename in diversiteit
7 Kijk op Onderwijs | De Mobiele Revolutie
| 8 Kijk op Onderwijs | De Mobiele Revolutie
Mat Honan, journalist Wired Magazine http://www.macstories.net/news/mat-honan-how-apple-and-amazon-security-flaws-led-to-my-epic-hacking/
|
Waar ging het mis?
9 Kijk op Onderwijs | De Mobiele Revolutie
Amazon Apple Google Twitter
Koppelen nieuwe credit card Aankoopgeschiedenis raadplegen voor xxxx xxxx xxxx 1234
Apple ID password resetten met 1234 iCloud remote backup maken
@mat stelen
Gmail cookies uit backup Twitter password resetten
1
2
3
4
|
Requiremnts
Usecases
Architectuur
Ontwerpen Testplannen Code
Test resultaten
Applicatie Terug
koppeling
Software Development lifecycle
Doorlooptijd
“Mitigaties”
Kijk op Onderwijs | De Mobiele Revolutie 10
|
Security Markt
Acteren op gevoel
Verkoop op basis van angst
Security kost resources
Security beperkt
Reactief
Adhoc
Alleen specialisten
11 Kijk op Onderwijs | De Mobiele Revolutie
| 12 Kijk op Onderwijs | De Mobiele Revolutie
Long exposure Los Angeles International Airport (LAX) Mike Kelly
|
Secure Development lifecycle
Requiremnts
Usecases
Security Requirem
ents
Abuse cases
Architectuur
Ontwerpen
Threat model
Flaw Analyse
Testplannen
Security test
plannen
Code
Static Code
Review
Test resultaten
Vrijgave advies
Applicatie
Security Assess ment
Terug koppeling
Continuity Plan
Ervaring
Ondersteuning
Kijk op Onderwijs | De Mobiele Revolutie 13
|
Secure Development lifecycle
Requiremnts
Usecases
Security Requirem
ents
Abuse cases
Architectuur
Ontwerpen
Threat model
Flaw Analyse
Testplannen
Security test
plannen
Code
Static Code
Review
Test resultaten
Vrijgave advies
Applicatie
Security Assess ment
Terug koppeling
Continuity Plan
Ervaring
Ondersteuning
Kijk op Onderwijs | De Mobiele Revolutie 14
|
Secure Development lifecycle
Secure Requiremnts
Secure Usecases
Secure Architectuur
Secure Ontwerpen
Secure Testplannen
Secure Code
Secure test resultaten
Secure Applicatie
Secure Beheer en onderhoud
“We took a look at the set of the population using prescriptive application security methodologies. It turns out
that those practicing SDL specifically reported visibly better ROI results than the overall population. Unlike point
technologies, SDL advocates a coordinated approach to application security throughout the life cycle, and
its emphasis is on a set of processes that supports such coordination. We can potentially extrapolate that a
coordinated approach to application security is what drives positive ROI.”
Gartner
Kijk op Onderwijs | De Mobiele Revolutie 15
|
Secure Software Development lifecycle
WebApp App Backend
Applicaties & Services
Secure Requiremnts
Secure Usecases
Secure Architectuur
Secure Ontwerpen
Secure Testplannen
Secure Code
Secure test resultaten
Secure Applicatie
Secure Beheer en onderhoud
Kijk op Onderwijs | De Mobiele Revolutie 16
|
Secure Infrastructure Development lifecycle
Upgrade IPv6 VoIP
Hardware & Netwerken
Secure Requiremnts
Secure Usecases
Secure Architectuur
Secure Ontwerpen
Secure Testplannen
Secure Config
Secure test resultaten
Secure Applicatie
Secure Beheer en onderhoud
Kijk op Onderwijs | De Mobiele Revolutie 17
|
Secure Organization Development lifecycle
Vestiging Vacature
Mensen & Processen
Outsourcing
Secure Requiremnts
Secure Usecases
Secure Architectuur
Secure Ontwerpen
Secure Testplannen
Secure Proces
Secure test resultaten
Secure Applicatie
Secure Beheer en onderhoud
Kijk op Onderwijs | De Mobiele Revolutie 18
|
Secure Development lifecycle – Spinoff’s
Requirements
Secure Usecases
Secure Architectuur
Secure Ontwerpen
Secure Testplannen
Secure Implementatie
Secure Testresultaten
Secure Infrastructuur
Secure Beheer en onderhoud
Cloud BYOD
Infrastructuur
Requirements
Secure Usecases
Secure Architectuur
Secure Ontwerpen
Secure Testplannen
Secure Implementatie
Secure Testresultaten
Secure Infrastructuur
Secure Beheer en onderhoud
Requirements
Secure Usecases
Secure Architectuur
Secure Ontwerpen
Secure Testplannen
Secure Implementatie
Secure Testresultaten
Secure Infrastructuur
Secure Beheer en onderhoud
Fusie
Organisatie
Software
Kijk op Onderwijs | De Mobiele Revolutie 19
|
Secure Enterprise Lifecycle
20 Kijk op Onderwijs | De Mobiele Revolutie
Operationeel
Organisatie Software Infrastructuur
Tactisch
Beschrijven Faciliteren Reageren Controleren
Strategisch
Moeten Behoren Willen
|
Acteren op gevoel feiten
Verkoop op basis van angst voordelen
Security kost resources levert op
Security beperkt enabled
Reactief Proactief
Adhoc Proces
Alleen specialisten Iedereen zijn taak
Proactive Security Strategy
Kijk op Onderwijs | De Mobiele Revolutie 21
“If you think technology can
solve your security problems,
then you don't understand the
problems and you don't
understand the technology.”
Bruce Schneier, secrets and lies, 2007