Bescherm uw gebruikers tegen zich zelf en staak uw pogingen om hen te laten stoppen met het gebruik van Marktplaats, Gmail, Twitter, Facebook, Hyves of een van de vele andere diensten die samen te vatten zijn onder de namen 'Social Media' en 'E-commerce'.
Ja, het gebeurt in de tijd van de baas! Net zoals het bespreken van de laatste uitzending van DWDD of de gemiste penalty van het Nederlands elftal bij de koffiemachine. Het échte probleem is dat het bezoek aan dit soort websites, met alle risico's van dien, gebeurt vanaf computers van of binnen uw netwerk; juist die systemen waar criminelen naar op zoek zijn. In plaats van verbieden en daarmee te doen alsof het probleem niet (meer) bestaat, is het verstandiger om uw gebruikers, bij uw streven om uw informatiebeveiliging op orde te houden, te betrekken. Licht hen voor over de meest voorkomende valstrikken die cybercriminelen op het web voor hen hebben uitgezet en hoe ze te herkennen. Leer zelf én hen, hoe overtuigend misleiding kan zijn en vooral: hoe nieuwsgierigheid een moeilijk te bedwingen fenomeen is. Klik hier is een automatisme, dat maar moeilijk te doorbreken is.
Veilige feestdagen!
dinsdag 15 december 2009
dinsdag 20 oktober 2009
Tips voor Informatiebeveiliging en Social Media
In aanvulling op ons voorgaande artikel over social media, geef ik u graag een paar tips. Zo kan uw organisatie deze ontwikkeling benutten in plaats van er het slachtoffer van te worden.
Zorg voor duidelijke regels voor het gebruik van de diverse technologiën en houd deze up-to-date, want de ontwikkelingen komen in een hoog tempo op ons af. Maak ook duidelijk wat wel en wat niet mag. Zo vermindert u de blootstelling aan risico's.
Maak de regels specifiek. Bij voorbeeld: praat niet over klanten, relaties, collega's of leveranciers zonder uitdrukkelijke toestemming verkregen te hebben. Wanneer medewerkers gebruik willen maken van een blog of twitteren namens uw bedrijf, is het zaak dat ze ook als zodanig identificeerbaar zijn.
Communiceer en train uw medewerkers; met regels alleen bent u er niet. Gebruik van social media in samenhang met persoonlijke communicatiemiddelen als een iPhone of Blackberry horen bij de awareness trainingen over informatiebeveiliging in uw bedrijf.
Heb oog voor het volkomen decentrale aspect van social media en verlaat u niet alleen op de centrale IT (security) afdeling. Idealiter is er in elke business iemand die de relatie met de IT security begrijpt en onderhoudt.
En tot slot; leer door te doen. Oefening baart kunst!
Zorg voor duidelijke regels voor het gebruik van de diverse technologiën en houd deze up-to-date, want de ontwikkelingen komen in een hoog tempo op ons af. Maak ook duidelijk wat wel en wat niet mag. Zo vermindert u de blootstelling aan risico's.
Maak de regels specifiek. Bij voorbeeld: praat niet over klanten, relaties, collega's of leveranciers zonder uitdrukkelijke toestemming verkregen te hebben. Wanneer medewerkers gebruik willen maken van een blog of twitteren namens uw bedrijf, is het zaak dat ze ook als zodanig identificeerbaar zijn.
Communiceer en train uw medewerkers; met regels alleen bent u er niet. Gebruik van social media in samenhang met persoonlijke communicatiemiddelen als een iPhone of Blackberry horen bij de awareness trainingen over informatiebeveiliging in uw bedrijf.
Heb oog voor het volkomen decentrale aspect van social media en verlaat u niet alleen op de centrale IT (security) afdeling. Idealiter is er in elke business iemand die de relatie met de IT security begrijpt en onderhoudt.
En tot slot; leer door te doen. Oefening baart kunst!
woensdag 23 september 2009
Informatiebeveiliging en Social Media.
Social Media als Twitter, Facebook, Hyves, of Linked In vinden in rap tempo hun weg in ons dagelijks werk. Of het nu is om van klanten te leren kennen, een merk te promoten of welke vorm van communicatie dan ook te bedrijven, er wordt steeds meer geld aan uitgegeven. En zoals vrijwel altijd wordt de vraag "hoe hier mee om te gaan", pas gesteld nadat we ermee zijn begonnen. Zonder enige vorm van proces duikt men erop, waarbij tal van zaken opnieuw bedacht (moeten) worden en veel geld vermorst wordt.
Het gaat dan vaak om een set veelbelovende tools, die elk efficiënt beheerd en beheerst gebruikt moeten (kunnen) worden. De vraag die hierbij gesteld moet worden is: "Waar bevind ik me nu, ben ik nog in het ontdekkingsstadium of hoort het inmiddels bij het gebruik van alle dag?" Hier zijn drie fases te onderscheiden.
Ontdekking: in dit stadium vindt men uit wat de mogelijke toepassingen zijn en de daarbij behorende risico's. Omdat het doel begripsvorming is, kan er volstaan worden met beperkte middelen. De risico's ten aanzien van de drie belangrijke informatie beveiligingscriteria Integriteit, Vertrouwelijkheid en Beschikbaarheid dienen hierbij in acht genomen te worden, maar hoeven een test niet in de weg te staan.
Pas wanneer men in het stadium van serieuze testcase komt en meer gaat experimenteren, ook op verschillende terreinen, is er behoefte aan strakker beheer en toezicht; management zo u wilt. Er zijn verschillende manieren, om de gewenste transparantie en het delen van de opgedane ervaring mogelijk te maken. Alleen dan kan namelijk de kennis daadwerkelijk opgebouwd en bewaard worden. Om later niet door beveiligingsproblemen op bijvoorbeeld privacy gebied ingehaald te worden, tekent zich de noodzaak af om maatstaven vast te stellen voor elk doel op dit gebied en dan in het bijzonder ook voor de informatiebeveiliging.
In de volgende fase, die van adoptie, kan het gebruik van social media veilig overgelaten worden aan de verantwoordelijke afdelingen en kan het management zich toeleggen op ondersteuning en coaching. Tegelijkertijd dient men een goede controle te behouden op de risico's die elk gebruik van informatie technologie met zich mee brengt.
Dat zou nou mooi zijn; kwaliteitscriteria vooraf vast leggen, zodat we niet de put hoeven te dempen als er weer eens een kalf verdronken is. Denk maar aan de incidenten die er al met het gebruik van diverse media geweest zijn. Als information security officer weet u wat u te doen staat!
ps ik kreeg nog een mooie opsomming van waarom men twitteren wil op managers on line. Dan weet u vast welke vraag de business mee kan komen!
Het gaat dan vaak om een set veelbelovende tools, die elk efficiënt beheerd en beheerst gebruikt moeten (kunnen) worden. De vraag die hierbij gesteld moet worden is: "Waar bevind ik me nu, ben ik nog in het ontdekkingsstadium of hoort het inmiddels bij het gebruik van alle dag?" Hier zijn drie fases te onderscheiden.
Ontdekking: in dit stadium vindt men uit wat de mogelijke toepassingen zijn en de daarbij behorende risico's. Omdat het doel begripsvorming is, kan er volstaan worden met beperkte middelen. De risico's ten aanzien van de drie belangrijke informatie beveiligingscriteria Integriteit, Vertrouwelijkheid en Beschikbaarheid dienen hierbij in acht genomen te worden, maar hoeven een test niet in de weg te staan.
Pas wanneer men in het stadium van serieuze testcase komt en meer gaat experimenteren, ook op verschillende terreinen, is er behoefte aan strakker beheer en toezicht; management zo u wilt. Er zijn verschillende manieren, om de gewenste transparantie en het delen van de opgedane ervaring mogelijk te maken. Alleen dan kan namelijk de kennis daadwerkelijk opgebouwd en bewaard worden. Om later niet door beveiligingsproblemen op bijvoorbeeld privacy gebied ingehaald te worden, tekent zich de noodzaak af om maatstaven vast te stellen voor elk doel op dit gebied en dan in het bijzonder ook voor de informatiebeveiliging.
In de volgende fase, die van adoptie, kan het gebruik van social media veilig overgelaten worden aan de verantwoordelijke afdelingen en kan het management zich toeleggen op ondersteuning en coaching. Tegelijkertijd dient men een goede controle te behouden op de risico's die elk gebruik van informatie technologie met zich mee brengt.
Dat zou nou mooi zijn; kwaliteitscriteria vooraf vast leggen, zodat we niet de put hoeven te dempen als er weer eens een kalf verdronken is. Denk maar aan de incidenten die er al met het gebruik van diverse media geweest zijn. Als information security officer weet u wat u te doen staat!
ps ik kreeg nog een mooie opsomming van waarom men twitteren wil op managers on line. Dan weet u vast welke vraag de business mee kan komen!
donderdag 17 september 2009
Prioriteiten bij het patchen, nog altijd een zorgenkind?
Het SANS rapport "The Top Cyber Security Risks" en het Internet Storm Center (ISC), stelt dat bedrijven ogenschijnlijk de verkeerde prioriteiten stellen waar het gaat om het verhelpen van kwetsbaarheden in PC's. Hoewel recente aanvallen op Windows PC's zich vrijwel alleen maar richten op kwetsbaarheden in Adobe Reader, QuickTime, Adobe Flash en Microsoft Office, duurt het gemiddeld twéé keer zo lang voordat security updates voor deze applicaties geïnstalleerd zijn vergeleken met kwetsbaarheden die in het besturingssysteem aangetroffen worden. Het rapport baseert zich op informatie uit 6000 intrusion prevention systemen van TippingPoint en de meer dan 100 millioen vulnerability scans die Qualys uitvoert.
Zo valt te lezen, dat 80 procent van de Windows kwetsbaarheden binnen 60 dagen na het beschikbaar komen van een update gepatched zijn. Dit staat in schril contrast met applicaties als Office, Adobe Acrobat en Java, waar in dezelfde tijdspanne slechts 20 tot 40 procent van de kwetsbaarheden gepatched zijn, om nog maar niet te spreken van Flash, waar we over percentages van 10 tot 20 procent praten!
Website beheerders helpen, vaak ongewild, bij de distributie van malware door criminelen. Matig server onderhoud zorgt ervoor dat vertrouwde websites gemanipuleerd worden waarbij kwaadaardige code ingebouwd en gedistribueerd wordt. Meer dan de helft van alle online aanvallen zijn gericht op webservers, met als doel het exploiteren van SQL injection en andere kwetsbaarheden. SQL injection en cross-site scripting (XSS) kwetsbaarheden zijn samen goed voor 80 procent van alle kwetsbaarheden op servers.
Een alarmerende conclusie: vertrouw geen enkele website! Nog dit weekend slaagden boeven er in om "scareware" los te laten (een van die waarschuwingen: "u bent geinfecteerd", ooit gezien?) op bezoekers van de website van de New York Times. Niets nieuws. Maar wel iets dat we steeds vaker zullen zien, omdat op deze manier criminelen makkelijk een grote populatie kunnen bereiken.
Kennelijk is het niet mogelijk voor de vele beheerders en thuisgebruikers om hun systemen volledig up-to-date te houden en zo dit type aanvallen tegen te gaan. Eén van de redenen daarvan is waarschijnlijk de slecht functionerende update procedures van de verschillende producten. 'Stil patchen' verbetert de situatie aanzienlijk. Ik kan me de bezwaren tegen het ongezien aanbrengen van veranderingen op je computer voorstellen, Toch geloof ik dat de gemiddelde gebruiker hiermee beter af zou zijn dan wanneer hij dit zélf moet doet!
Natuurlijk is er programmatuur, zoals Secunia's PS. Dit soort software scant o.a. belangrijke componenten als de Flash plug-in, Java en browser libraries. De programmatuur geeft die gebruikers tevens een idee over de gevaren van het surfen met een onbeschermd systeem. Feit blijft, dat de gebruiker dit soort bescherming ook daadwerkelijk moet installeren, begrijpen en correct moet gebruiken.
Misschien is het een goed idee dat Microsoft een faciliteit in Windows inbouwt, die gebruikers, naast de informatie over Windows zelf en Internet Explorer, ook informeert over updates voor Adobe Reader, Java, Flash enz?
Zo valt te lezen, dat 80 procent van de Windows kwetsbaarheden binnen 60 dagen na het beschikbaar komen van een update gepatched zijn. Dit staat in schril contrast met applicaties als Office, Adobe Acrobat en Java, waar in dezelfde tijdspanne slechts 20 tot 40 procent van de kwetsbaarheden gepatched zijn, om nog maar niet te spreken van Flash, waar we over percentages van 10 tot 20 procent praten!
Website beheerders helpen, vaak ongewild, bij de distributie van malware door criminelen. Matig server onderhoud zorgt ervoor dat vertrouwde websites gemanipuleerd worden waarbij kwaadaardige code ingebouwd en gedistribueerd wordt. Meer dan de helft van alle online aanvallen zijn gericht op webservers, met als doel het exploiteren van SQL injection en andere kwetsbaarheden. SQL injection en cross-site scripting (XSS) kwetsbaarheden zijn samen goed voor 80 procent van alle kwetsbaarheden op servers.
Een alarmerende conclusie: vertrouw geen enkele website! Nog dit weekend slaagden boeven er in om "scareware" los te laten (een van die waarschuwingen: "u bent geinfecteerd", ooit gezien?) op bezoekers van de website van de New York Times. Niets nieuws. Maar wel iets dat we steeds vaker zullen zien, omdat op deze manier criminelen makkelijk een grote populatie kunnen bereiken.
Kennelijk is het niet mogelijk voor de vele beheerders en thuisgebruikers om hun systemen volledig up-to-date te houden en zo dit type aanvallen tegen te gaan. Eén van de redenen daarvan is waarschijnlijk de slecht functionerende update procedures van de verschillende producten. 'Stil patchen' verbetert de situatie aanzienlijk. Ik kan me de bezwaren tegen het ongezien aanbrengen van veranderingen op je computer voorstellen, Toch geloof ik dat de gemiddelde gebruiker hiermee beter af zou zijn dan wanneer hij dit zélf moet doet!
Natuurlijk is er programmatuur, zoals Secunia's PS. Dit soort software scant o.a. belangrijke componenten als de Flash plug-in, Java en browser libraries. De programmatuur geeft die gebruikers tevens een idee over de gevaren van het surfen met een onbeschermd systeem. Feit blijft, dat de gebruiker dit soort bescherming ook daadwerkelijk moet installeren, begrijpen en correct moet gebruiken.
Misschien is het een goed idee dat Microsoft een faciliteit in Windows inbouwt, die gebruikers, naast de informatie over Windows zelf en Internet Explorer, ook informeert over updates voor Adobe Reader, Java, Flash enz?
vrijdag 24 juli 2009
Sandbox in Microsoft Office 2010
Microsoft heeft plannen geannonceerd om sandboxing technologie in de volgende Office Suite te introduceren. Sandboxing is een mechanisme dat gebruikt wordt om veilig, niet vertrouwde, programma's uit te voeren en is al langer bekend bij het gebruik van Java applets en onlangs ook in Google's nieuwe browser Chrome. Microsoft zegt dat Office 2010 gebruik gaat maken van deze techniek zodat gebruikers documenten kunnen lezen zonder dat ze zich zorgen hoeven te maken of deze bestanden zich ongewild toegang verschaffen tot andere informatie. Kwaadaardige bestanden horen volgens deze techniek niet buiten de sandbox te kunnen komen en kunnen, op deze manier althans, geen kwaad doen.
Het is de bedoeling dat deze blokkade, die geïntroduceerd werd in Office 2007, in Office 2010 gebruikers een verbeterde granulaire controle biedt op de file afhandeling van Word, Excel en Powerpoint.
Office bestanden zijn een gewild medium om malware te verspreiden. Er is door cybercriminelen veel geïnvesteerd om uit te vinden hoe de Office bestanden met andere bestanden en applicaties samenwerken. Het bekendste voorbeeld is natuurlijk de “.exe”. Deze wordt gelukkig al door de meeste anti-virus software geblokt, maar ook macro's in documenten zijn een gewild middel om rommelsoftware te verspreiden.
Het is te hopen dat Microsoft er in slaagt om deze techniek, zonder gevolgen voor de performance, in te bouwen en ook zonder al te veel te vragen van de eindgebruiker, want dat is een van de beste manieren om de gebruiker af te laten zien van beveiligingssoftware.
Nodig is dit soort software wél! Het klikken op links die niet te vertrouwen zijn en het openen van besmette documenten is nu eenmaal dagelijkse praktijk, alle voorlichting en waarschuwingen ten spijt.
Is dit nu dé stap waarmee Microsoft hackers de pas afsnijdt? Nee, dat denk ik niet. Het is een stap in de wedren tussen Microsoft en de "bad guys", wat ongetwijfeld weer een vervolg reactie uitlokt.
dinsdag 21 juli 2009
Best practices
Veel werk dat in de informatiebeveiliging plaatsvindt, is gebaseerd op zogenaamde " best practices." Over het nut is veel geschreven en er zijn ook de nodige kanttekeningen bij geplaatst, gelukkig kun je er ook om lachen. Althans, ik kon een glimlach niet onderdrukken toen ik deze Dilbert las.
vrijdag 17 juli 2009
Hoe kies ik een goed password.
Ik denk, dat in de ruim 13 jaar dat ik actief ben in de informatiebeveiliging, dit een van de meest gestelde vragen is. Daarom heb ik in het kort nog eens een aantal aanbevelingen op een rij gezet:
* Wees creatief. Gebruik geen woorden die in een woordenboek terug te vinden zijn.
* Gebruik tenminste 8 verschillende lettertekens.
* Gebruik geen password dat je ook elders gebruikt( varieer desnoods op een thema).
* Gebruik geen toetsenbordpatroon (qwerty) of opvolgende getallen (1234).
* Creëer een acroniem. Gebruik geen bekende, zoals ANWB of NOS. Combineer met cijfers en leestekens.
* Gebruik leestekens en cijfers. Gebruik hoofd- en kleine letters.
* Vervang letters door gelijkende cijfers zoals de nul voor de letter O of het dollar teken $ voor de letter S.
* Gebruik fonetische vervangingen, zoals het cijfer 8 in Hijl8gem1.
* Gebruik geen password dat alleen uit cijfers, kleine of grote letters bestaat.
* Wees je eigen toevalsgenerator en kies de eerste letter van 8 regels in een boek.
* Gebruik geen herhalingen (bbrr).
* Gebruik geen password dat je van iemand anders kreeg, ook niet van een website.
Tot slot: vervang je password regelmatig en schrijf ze niet op een post it of een ander papiertje dat bij de computer bewaard wordt in een la of onder het toetsenbord. Safe computing starts with you!
* Wees creatief. Gebruik geen woorden die in een woordenboek terug te vinden zijn.
* Gebruik tenminste 8 verschillende lettertekens.
* Gebruik geen password dat je ook elders gebruikt( varieer desnoods op een thema).
* Gebruik geen toetsenbordpatroon (qwerty) of opvolgende getallen (1234).
* Creëer een acroniem. Gebruik geen bekende, zoals ANWB of NOS. Combineer met cijfers en leestekens.
* Gebruik leestekens en cijfers. Gebruik hoofd- en kleine letters.
* Vervang letters door gelijkende cijfers zoals de nul voor de letter O of het dollar teken $ voor de letter S.
* Gebruik fonetische vervangingen, zoals het cijfer 8 in Hijl8gem1.
* Gebruik geen password dat alleen uit cijfers, kleine of grote letters bestaat.
* Wees je eigen toevalsgenerator en kies de eerste letter van 8 regels in een boek.
* Gebruik geen herhalingen (bbrr).
* Gebruik geen password dat je van iemand anders kreeg, ook niet van een website.
Tot slot: vervang je password regelmatig en schrijf ze niet op een post it of een ander papiertje dat bij de computer bewaard wordt in een la of onder het toetsenbord. Safe computing starts with you!
dinsdag 30 juni 2009
Goed endpoint-management leidt tot meer IT-veiligheid en lagere kosten.
In onze dagelijkse praktijk wordt steeds duidelijker, dat het belangrijk is dat gebruikers zich er meer van bewust worden dat werken tegenwoordig niet meer zonder computers kan. Een open deur? Want wanneer die afhankelijkheid meer doordringt, komt het met de IT-veiligheid vanzelf goed, is de stelling. Goed endpoint-management kan het aantal veiligheidsincidenten terugdringen. Door slecht endpoint-management zien we het aantal incidenten daarentegen stijgen.
Lagere kosten
Volgens een van onze opdrachtgevers heeft de invoering van endpoint-management geleid tot een concrete besparing in kosten voor ondersteuning van de helpdesk met meer dan 10%, waarbij hij aangaf: "Laten we het dan nog niet hebben over het verlies aan productiviteit, dat we voorheen opliepen door allerlei ongemakken op de werkplek."
Problemen aanpakken
Slechte installaties, een opeenstapeling van anti-virusprogramma's en andere beschermingsprodukten gekoppeld met een laconieke omgang met de beveiliging van het netwerk, vormen het grootste probleem. Om deze problemen het hoofd te bieden, helpen wij u bij het inrichten van uw endpoint-management met concrete oplossingen. Denk daarnaast ook aan het belang van voorlichting aan uw medewerkers, opdat ze begrijpen hoe veiligheidsrisico's vertaald worden naar bedreigingen voor hun werk. Voor deze een andere pragmatische oplossingen op het gebied van informatiebeveiliging kunt u bij ons terecht.
woensdag 17 juni 2009
Cloud computing, SAAS en informatiebeveiliging.
Security professionals worden geconfronteerd met cloud computing en software-as-a-service applicaties. Hoe past dit in het bestaande beveiligingsbeleid?
Het is niet eenvoudig de nieuwe grenzen tussen de onderneming, de "cloud" en de eindgebruiker te beveiligen, natuurlijk zonder afbreuk te mogen doen aan de geboden flexibiliteit.
Onderzoeksbureau IDC voorspelt dat 76% van de organisaties in de Verenigde Staten gebruik zal maken van minstens een SaaS-applicatie voor zakelijk gebruik. Goedkeuring van "cloud"-gebaseerde diensten wordt gedreven door de business die mogelijkheden ziet voor betere prestaties en kostenbesparingen. Nieuws? Niet als je bedenkt dat veel kritische informatie reeds verwerkt wordt in de cloud bij bedrijven die gebruik maken van e-mail diensten of het onderhouden van klantgegevens in CRM-systemen zoals Salesforce.com. De uitdaging voor de informatiebeveiliger is het veilig integreren van de mogelijkheden van cloud computing in beleid en procedures.
We gaan er van uit dat een onderneming de gebruikelijke checklist voor intern gehoste applicaties als startpunt neemt. Het verifiëren van gebruikers en de toegang tot applicaties, logging en controle van "priviliged" operaties, de bescherming van gevoelige gegevens om verlies te voorkomen en zorg te dragen voor compliance en het verminderen van risico met een strak vulnerability management.
Het is daarom logisch dat er menige vraag beantwoord moet worden bij het kiezen van een cloud partner. Denk hierbij aan:
* Integratie van de grenzen tussen bedrijfssystemen, "cloud" en de eindgebruiker. In een SaaS operatie is het essentieel dat bedrijfsgegevens, identiteiten en autorisaties eenvoudig uitgewisseld kunnen worden. Laat security architecten de API's beoordelen evenals het data uitwisseling proces om de authenticatie sterkte en de integriteit van de gegevens te behouden.
* Zorg voor regelmatige beoordelingen van de cloud dienst technologie en plan regelmatige vergaderingen met de staf van uw partner. Coördinatie tussen organisaties vergt inspanning en discipline om te reageren op nieuwe applicatie en interface plannen, het coördineren van applicatie release cycli, en het beoordelen audit logs, dit alles om onplezierige verrassingen te voorkomen.
* Focus op de beveiliging van de gegevens. Gevoelige gegevens kunnen opeens worden opgeslagen in third party archieven, eindgebruiker laptops en cloud data centers. Vraag op gezette tijden om inzage van data-archieven om het risico van verstoring bij een mogelijke overstap of beëindiging te minimaliseren en eis gezamenlijke audit beoordelingen om de security inspanning goed gecoördineerd te houden.
Bedrijven en instelling kunnen m.i. dan gebruik maken van SaaS of cloud computing zonder de controle te verliezen over hun informatiebeveiliging. Beheersing van de veiligheidsrisico's vindt plaats door bijzondere aandacht te besteden aan de nieuwe randvoorwaarden waar controle op data, toegang en het beleid worden gedeeld tussen de onderneming, SaaS-leverancier en eindgebruiker.
Het is niet eenvoudig de nieuwe grenzen tussen de onderneming, de "cloud" en de eindgebruiker te beveiligen, natuurlijk zonder afbreuk te mogen doen aan de geboden flexibiliteit.
Onderzoeksbureau IDC voorspelt dat 76% van de organisaties in de Verenigde Staten gebruik zal maken van minstens een SaaS-applicatie voor zakelijk gebruik. Goedkeuring van "cloud"-gebaseerde diensten wordt gedreven door de business die mogelijkheden ziet voor betere prestaties en kostenbesparingen. Nieuws? Niet als je bedenkt dat veel kritische informatie reeds verwerkt wordt in de cloud bij bedrijven die gebruik maken van e-mail diensten of het onderhouden van klantgegevens in CRM-systemen zoals Salesforce.com. De uitdaging voor de informatiebeveiliger is het veilig integreren van de mogelijkheden van cloud computing in beleid en procedures.
We gaan er van uit dat een onderneming de gebruikelijke checklist voor intern gehoste applicaties als startpunt neemt. Het verifiëren van gebruikers en de toegang tot applicaties, logging en controle van "priviliged" operaties, de bescherming van gevoelige gegevens om verlies te voorkomen en zorg te dragen voor compliance en het verminderen van risico met een strak vulnerability management.
Het is daarom logisch dat er menige vraag beantwoord moet worden bij het kiezen van een cloud partner. Denk hierbij aan:
* Integratie van de grenzen tussen bedrijfssystemen, "cloud" en de eindgebruiker. In een SaaS operatie is het essentieel dat bedrijfsgegevens, identiteiten en autorisaties eenvoudig uitgewisseld kunnen worden. Laat security architecten de API's beoordelen evenals het data uitwisseling proces om de authenticatie sterkte en de integriteit van de gegevens te behouden.
* Zorg voor regelmatige beoordelingen van de cloud dienst technologie en plan regelmatige vergaderingen met de staf van uw partner. Coördinatie tussen organisaties vergt inspanning en discipline om te reageren op nieuwe applicatie en interface plannen, het coördineren van applicatie release cycli, en het beoordelen audit logs, dit alles om onplezierige verrassingen te voorkomen.
* Focus op de beveiliging van de gegevens. Gevoelige gegevens kunnen opeens worden opgeslagen in third party archieven, eindgebruiker laptops en cloud data centers. Vraag op gezette tijden om inzage van data-archieven om het risico van verstoring bij een mogelijke overstap of beëindiging te minimaliseren en eis gezamenlijke audit beoordelingen om de security inspanning goed gecoördineerd te houden.
Bedrijven en instelling kunnen m.i. dan gebruik maken van SaaS of cloud computing zonder de controle te verliezen over hun informatiebeveiliging. Beheersing van de veiligheidsrisico's vindt plaats door bijzondere aandacht te besteden aan de nieuwe randvoorwaarden waar controle op data, toegang en het beleid worden gedeeld tussen de onderneming, SaaS-leverancier en eindgebruiker.
dinsdag 9 juni 2009
Social media web en IT Security.
In onze praktijk merken wij dat IT-professionals onder druk staan van het management om de sluizen naar de nieuwste web-based platforms als Twitter, webmail, wikis of cloud based diensten als Google Apps open te zetten om zo telkens het bestaande Web veiligheidsbeleid op losse schroeven te zetten.
De druk is afkomstig uit meerdere bronnen, waaronder de directie, marketingafdelingen en verkoop.
Ondanks deze druk vertrouwen de meeste IT professionals op de bestaande Web Security praktijken. Helaas ontbreken hier vaak de juiste maatregelen om de gevaren die hiermee gemoeid gaan het hoofd te bieden.
Zelden is er een real-time analyse van webinhoud om te voorkomen dat gegevens uitlekken en even vaak ontbreekt het vermogen om te voorkomen dat URL omleidingen plaatsvinden en talloos zijn de vragen die we krijgen over het opsporen van ingebedde kwaadaardige code op vertrouwde websites.
Web-based aanvallen zijn nog altijd in opkomst, aangewakkerd door eenvoudig te gebruiken geautomatiseerde hacking tools die kunnen worden gekocht op de zwarte markt. De meest recente malware exploits maken telkens misbruik van website gebreken, zoals het injecteren van kwaadaardige code om bezoekers met kwetsbare Web browsers en toepassingen te misbruiken. Deze zogenaamde "drive-by downloads" gebeuren op legitieme websites en nietsvermoedende bezoekers worden beroofd van gevoelige informatie, verspreiden ongewild malware of worden op andere manieren misbruikt.
Ook het gebruik van cloud-gebaseerde diensten compliceert de beveiliging van gegevens en privacy. De organisatie verliest de zichtbaarheid en controle wanneer de gegevens zich op een ander netwerk bevinden. Bedrijven hebben vaak niet in de gaten hoe de toegang tot cloud diensten of andere legitieme websites die op zich een nuttige functie voor bijvoorbeeld verkoop of marketing doeleinden vervullen, deze en andere risico's met zich mee brengen.
Information Risk Control helpt u bij het in kaart brengen van de risico's die gebruik van dergelijke toepassingen met zich meebrengen en definieert samen met u de juiste beschermingsmaatregelen.
De druk is afkomstig uit meerdere bronnen, waaronder de directie, marketingafdelingen en verkoop.
Ondanks deze druk vertrouwen de meeste IT professionals op de bestaande Web Security praktijken. Helaas ontbreken hier vaak de juiste maatregelen om de gevaren die hiermee gemoeid gaan het hoofd te bieden.
Zelden is er een real-time analyse van webinhoud om te voorkomen dat gegevens uitlekken en even vaak ontbreekt het vermogen om te voorkomen dat URL omleidingen plaatsvinden en talloos zijn de vragen die we krijgen over het opsporen van ingebedde kwaadaardige code op vertrouwde websites.
Web-based aanvallen zijn nog altijd in opkomst, aangewakkerd door eenvoudig te gebruiken geautomatiseerde hacking tools die kunnen worden gekocht op de zwarte markt. De meest recente malware exploits maken telkens misbruik van website gebreken, zoals het injecteren van kwaadaardige code om bezoekers met kwetsbare Web browsers en toepassingen te misbruiken. Deze zogenaamde "drive-by downloads" gebeuren op legitieme websites en nietsvermoedende bezoekers worden beroofd van gevoelige informatie, verspreiden ongewild malware of worden op andere manieren misbruikt.
Ook het gebruik van cloud-gebaseerde diensten compliceert de beveiliging van gegevens en privacy. De organisatie verliest de zichtbaarheid en controle wanneer de gegevens zich op een ander netwerk bevinden. Bedrijven hebben vaak niet in de gaten hoe de toegang tot cloud diensten of andere legitieme websites die op zich een nuttige functie voor bijvoorbeeld verkoop of marketing doeleinden vervullen, deze en andere risico's met zich mee brengen.
Information Risk Control helpt u bij het in kaart brengen van de risico's die gebruik van dergelijke toepassingen met zich meebrengen en definieert samen met u de juiste beschermingsmaatregelen.
donderdag 7 mei 2009
Vette koppen!
Vandaag gelezen: "Missile data found on hard drives", een artikel van de BBC over tweede hands harddisks, die nog allerlei informatie bleken te bevatten. Wat zal de gemiddelde lezer denken, vraag ik me dan af. Sufferds? Lekker belangrijk? Daar moest toch iets aan gebeuren?, of zijn er toch ook mensen, die zich afvragen, hoe ze met hun informatie omgaan en in dit geval, met de drager van die informatie. Uit onze praktijk blijkt, dat de voorbeelden van de BBC niet op zich zelf staan. Ook hier worden gebruikte computersystemen, schijven, dvd's vaak zonder er bij na te denken opgeruimd. Een aardige collega neemt ze mee naar school, waar kinderen ze uit elkaar halen, of misschien leveren ze nog wat op via marktplaats, noem maar op.
Is bij u de kans, dat uw informatie voor vette koppen gaat zorgen aanwezig? Dat weet ik natuurlijk niet, omdat ik niet weet wat u zoal op uw schijven bewaart en of u een afdoende vernietigingssysteem heeft. Als u hier zelf ook een onbestemd gevoel bij krijgt, dan is het een goed moment om hier wat aan te doen. Onze knappe koppen zorgen er met u voor, dat uw informatie niet voor vette koppen zorgt, ook wanneer het bij u om iets anders dan kernkoppen gaat...
Is bij u de kans, dat uw informatie voor vette koppen gaat zorgen aanwezig? Dat weet ik natuurlijk niet, omdat ik niet weet wat u zoal op uw schijven bewaart en of u een afdoende vernietigingssysteem heeft. Als u hier zelf ook een onbestemd gevoel bij krijgt, dan is het een goed moment om hier wat aan te doen. Onze knappe koppen zorgen er met u voor, dat uw informatie niet voor vette koppen zorgt, ook wanneer het bij u om iets anders dan kernkoppen gaat...
vrijdag 24 april 2009
Nieuwer is veiliger...
Op het Microsoft Malware Protection Centre is het laatste Security Intelligence Report (versie 6) te downloaden.
Er kan uit geconcludeerd worden, dat hoe recenter de software, hoe minder kwetsbaarheden die bevat. Ook, dat goed gepatchte systemen waarschijnlijk gebruikt worden, door op veiligheid bedachte gebruikers of organisaties en dat server software over het algemeen beter gepatcht is, dan clients. En natuurlijk is Vista het veiligste van allemaal ;). Hier dringt zich wel de vergelijking met het Macintosh platform op, waar het mindere marktaandeel altijd als een van de redenen wordt aangevoerd waarom het minder interessant zou zijn voor digitale criminelen. Maar het belangrijkste in mijn ogen is toch, dat opnieuw vastgesteld moet worden, dat er nog vele, vele PC's een onacceptabel groot veiligheidsrisico vormen. Daarom is het zo belangrijk, dat bedrijven en organisaties weten wat er zich binnen hun netwerken afspeelt. Ook de laatste ontdekking door Finjan van een botnet met 1.900.000 bots onderstreept dit.
Waarom gebeurt hier niets of weinig aan? Voor mij zijn hier twee redenen aan te duiden. Ten eerste zijn de investeringen om complete netwerken op vulnerablilities te testen en te blijven onderzoeken in de traditionele vorm, d.w.z. met netwerk of client gebaseerde software hoog en ten tweede is het voor technici een hele klus, om de gevonden kwetsbaarheden te vertalen naar risico's waar de business mee overtuigd kan worden om (senior)management te overtuigen dat hier geld voor vrijgemaakt kan worden.
Wij hebben daarvoor een eenvoudige, schaalbare oplossing bedacht in de vorm van een proof of concept, waarmee u in korte tijd inzicht verwerft en de argumenten opstelt om de noodzakelijke maatregelen te treffen. Neem daarom nu contact met mij op om de voordelen en mogelijkheden voor uw organisatie te bespreken.
Er kan uit geconcludeerd worden, dat hoe recenter de software, hoe minder kwetsbaarheden die bevat. Ook, dat goed gepatchte systemen waarschijnlijk gebruikt worden, door op veiligheid bedachte gebruikers of organisaties en dat server software over het algemeen beter gepatcht is, dan clients. En natuurlijk is Vista het veiligste van allemaal ;). Hier dringt zich wel de vergelijking met het Macintosh platform op, waar het mindere marktaandeel altijd als een van de redenen wordt aangevoerd waarom het minder interessant zou zijn voor digitale criminelen. Maar het belangrijkste in mijn ogen is toch, dat opnieuw vastgesteld moet worden, dat er nog vele, vele PC's een onacceptabel groot veiligheidsrisico vormen. Daarom is het zo belangrijk, dat bedrijven en organisaties weten wat er zich binnen hun netwerken afspeelt. Ook de laatste ontdekking door Finjan van een botnet met 1.900.000 bots onderstreept dit.
Waarom gebeurt hier niets of weinig aan? Voor mij zijn hier twee redenen aan te duiden. Ten eerste zijn de investeringen om complete netwerken op vulnerablilities te testen en te blijven onderzoeken in de traditionele vorm, d.w.z. met netwerk of client gebaseerde software hoog en ten tweede is het voor technici een hele klus, om de gevonden kwetsbaarheden te vertalen naar risico's waar de business mee overtuigd kan worden om (senior)management te overtuigen dat hier geld voor vrijgemaakt kan worden.
Wij hebben daarvoor een eenvoudige, schaalbare oplossing bedacht in de vorm van een proof of concept, waarmee u in korte tijd inzicht verwerft en de argumenten opstelt om de noodzakelijke maatregelen te treffen. Neem daarom nu contact met mij op om de voordelen en mogelijkheden voor uw organisatie te bespreken.
dinsdag 21 april 2009
Financiële sector slachtoffer van cybercriminaliteit.
Uit het onderzoek 2009 Verizon Business Data Breach Investigations Report (DBIR) naar negentig gevallen van gegevensdiefstal werden er in 2008 meer gegevens gestolen dan in de vier jaar daarvoor. In 93% van de gevallen ging het om gevallen binnen de financiële sector. De detailhandel en de voedingsmiddelen- en drankenindustrie volgen als tweede en derde. In 90% van de onderzochte gevallen bleken de aanvallen te herleiden tot georganiseerde digitale criminaliteit.
Beveiligingsfouten.
Uit dit onderzoek blijkt dat de meeste aanvallen, 74%, van buiten de organisaties afkomstig waren. In 32% van de gevallen was er een relatie te leggen met zakelijke partners. Waar eerdere onderzoeken interne medewerkers vaak als een van de grootste problemen identificeerden, spreekt dit onderzoek over nog maar (!) 20% van het totaal aantal cyberaanvallen. Wat niet veranderd, is dat een succesvolle aanval gebaseerd is op een combinatie van verschillende inbraakmethodes. Bij de meeste succesvolle inbraken werd gebruikgemaakt van fouten in de beveiliging van de getroffen organisaties. Criminelen kregen hierdoor toegang tot het bedrijfsnetwerk en installeren diverse soorten malware, om gegevens te verzamelen. Denk ook niet, dat u in alle gevallen zelf zult ontdekken dat er iets mis is, in 69% van de gevallen is de inbraak ontdekt door een buitenstaander.
Voorzichtige conclusie mag zijn, dat beveiliging voor veel bedrijven nog altijd een lastig karwei is. Een evenwichtig samenstel van middelen en maatregelen vraagt constante aandacht en dat is, zeker in de huidige tijd, een probleem voor overbezette IT afdelingen. De complexiteit van netwerken, servers en applicaties (20 % van de aanvallen zijn puur op de applicatie gericht) vraagt nu eenmaal om een hoge mate van specialisatie, die eenvoudig niet in elke organisatie terug te vinden is.
Quick Scan
Om snel vast te stellen, hoe uw organisatie ervoor staat, is het aan te raden om een quick scan uit te laten voeren. Op basis van de ISO 17799 hebben wij een methodiek ontwikkeld, die een helder inzicht verschaft en aangeeft, waar uw kwetsbaarheden te vinden zijn en hoe u deze aan kunt pakken. Wacht niet, tot een buitenstaander u vertelt dat u het slachtoffer bent, maar neem maatregelen en doe het nu, daarom nodig ik u uit om mij te bellen op 06 11 12 85 38 voor afspraak.
Beveiligingsfouten.
Uit dit onderzoek blijkt dat de meeste aanvallen, 74%, van buiten de organisaties afkomstig waren. In 32% van de gevallen was er een relatie te leggen met zakelijke partners. Waar eerdere onderzoeken interne medewerkers vaak als een van de grootste problemen identificeerden, spreekt dit onderzoek over nog maar (!) 20% van het totaal aantal cyberaanvallen. Wat niet veranderd, is dat een succesvolle aanval gebaseerd is op een combinatie van verschillende inbraakmethodes. Bij de meeste succesvolle inbraken werd gebruikgemaakt van fouten in de beveiliging van de getroffen organisaties. Criminelen kregen hierdoor toegang tot het bedrijfsnetwerk en installeren diverse soorten malware, om gegevens te verzamelen. Denk ook niet, dat u in alle gevallen zelf zult ontdekken dat er iets mis is, in 69% van de gevallen is de inbraak ontdekt door een buitenstaander.
Voorzichtige conclusie mag zijn, dat beveiliging voor veel bedrijven nog altijd een lastig karwei is. Een evenwichtig samenstel van middelen en maatregelen vraagt constante aandacht en dat is, zeker in de huidige tijd, een probleem voor overbezette IT afdelingen. De complexiteit van netwerken, servers en applicaties (20 % van de aanvallen zijn puur op de applicatie gericht) vraagt nu eenmaal om een hoge mate van specialisatie, die eenvoudig niet in elke organisatie terug te vinden is.
Quick Scan
Om snel vast te stellen, hoe uw organisatie ervoor staat, is het aan te raden om een quick scan uit te laten voeren. Op basis van de ISO 17799 hebben wij een methodiek ontwikkeld, die een helder inzicht verschaft en aangeeft, waar uw kwetsbaarheden te vinden zijn en hoe u deze aan kunt pakken. Wacht niet, tot een buitenstaander u vertelt dat u het slachtoffer bent, maar neem maatregelen en doe het nu, daarom nodig ik u uit om mij te bellen op 06 11 12 85 38 voor afspraak.
maandag 6 april 2009
Eenvoudige Conficker-test
Een groep die zichzelf omschrijft als "the Conficker Working Group" heeft een eenvoudige test online gezet waarmee gecontroleerd kan worden of een systeem besmet is of niet.
Deze Conficker Eye Chart maakt gebruik van het gegeven dat Conficker.A/B en Conficker.C (de meest voorkomende Confickervarianten) bepaalde domeinen van onder andere antivirusaanbieders blokkeert. Zo voorkomt de worm dat het systeem updates binnenhaalt waarmee hij bestreden kan worden.
De test lijkt bijna niet eenvoudiger. De makers van de Eye Chart hebben 3 plaatjes van beveiligingsleveranciers naast elkaar gezet, die rechtstreeks afkomstig zijn van het domein van deze bedrijven. Kunt u de plaatjes van F Secure, SecureWorks of TrendMicro niet goed zien, dan is er een kans dat uw Windows PC besmet is.
Wilt u echter meer zekerheid en een adequate aanpak, neem dan nu contact met ons op voor een onderzoek en een bestrijdingsplan, omdat voorkomen nog altijd beter dan genezen is!
Deze Conficker Eye Chart maakt gebruik van het gegeven dat Conficker.A/B en Conficker.C (de meest voorkomende Confickervarianten) bepaalde domeinen van onder andere antivirusaanbieders blokkeert. Zo voorkomt de worm dat het systeem updates binnenhaalt waarmee hij bestreden kan worden.
De test lijkt bijna niet eenvoudiger. De makers van de Eye Chart hebben 3 plaatjes van beveiligingsleveranciers naast elkaar gezet, die rechtstreeks afkomstig zijn van het domein van deze bedrijven. Kunt u de plaatjes van F Secure, SecureWorks of TrendMicro niet goed zien, dan is er een kans dat uw Windows PC besmet is.
Wilt u echter meer zekerheid en een adequate aanpak, neem dan nu contact met ons op voor een onderzoek en een bestrijdingsplan, omdat voorkomen nog altijd beter dan genezen is!
Abonneren op:
Posts (Atom)
