30 SECURITY 10 april 2014 Beveiliging in het post-Snowden tijdperk Hebben we uw aandacht, of bent u al een beetje Snowden-moe? Het feit dat er op grote schaal gespioneerd wordt, houdt de gemoederen nog steeds bezig. Het is ook een enge gedachte dat als je allerlei hard- en software in huis haalt, je eigenlijk niet meer goed kunt zien of het wel te vertrouwen is. De NSA onderschepte bijvoorbeeld de routers die per post verstuurd werden en bouwde er een achter deurtje in. Wie had dat verwacht? Als we er eens goed voor gaat zitten, komen we tot de conclusie dat zwakke plekken overal kunnen zitten. Ze kunnen zitten in de corporate webserver, in die vriendelijke receptioniste die gasten ontvangt, in de medewerker die op een link in een mailtje klikt, of in de routers die in het buitenland worden besteld en per post worden afgeleverd. Beveiliging is zo sterk als de zwakste schakel en eigenlijk zou je dus holistisch naar de beveiliging van je kroonjuwelen moeten kijken. Goed totaalbeeld Veel van onze klanten hebben zo’n holistische blik. Wij bekijken voor ze hoe het met de beveiliging van bepaalde websites is gesteld, of we via het WiFi-netwerk toegang kunnen krijgen of via ‘social engineering’ – het aanvallen van de mens in plaats van de machine – en we kijken wat we zoal aantreffen als we eenmaal op hun interne netwerk zitten. Dat doen we vaak in de vorm van losse opdrachten, waarbij je uiteindelijk een goed totaalbeeld krijgt. Criminelen, industriële spionnen of buitenlandse mogendheden gaan echter doorgaans anders te werk. Ze hebben geen specifiek doel dat ze met hun cyberacties willen bereiken, ze houden zich niet aan een vast testplan en een vastgelegde scope. Ook kondigen ze hun acties niet van tevoren aan. Nu is de vraag: hoe kwetsbaar of weerbaar is uw organisatie voor dit soort gerichte aanvallen? Uitdagend vakgebied Madison Gurkha hanteert in zekere zin eenzelfde aanpak als criminelen dat doen, onder de naam Red Teaming. In overleg met de opdrachtgever stellen we één of meer doelen vast die bereikt moeten worden. Afhankelijk van het doel gebruikt Madison Gurkha een mix van diverse aanvals- en testtechnieken, zoals social engineering, Advanced Persistent Threats (APTs), penetratietesten van interne netwerken, aanvallen vanaf het internet enzovoort. Hiermee krijgt u een goed beeld van de belang rijkste zwakheden in de IT-beveiliging en kunt u op basis hiervan aanvullende verdedigingsmaatregelen nemen en het informatiebeveiligingsbewustzijn verhogen. Het blijft echter zaak om alle systemen te blijven controleren op beveiliging. Informatie beveiliging is een uitdagend vakgebied, maar u staat er niet alleen voor. Professionele hulp is dichtbij. B L A C K H AT S E S S I O N S Your Security is Our Business Inbreken in uw eigen huis PA R T X I I Op 17 juni 2014 organiseert Madison Gurkha in De Reehorst in Ede alweer de twaalfde editie van de inmiddels befaamde Black Hat Sessions. Het thema van dit jaar luidt: Inlichtingen diensten, Spionage en Privacy. Achter die begrippen gaat een complexe wereld schuil. In een gevarieerd dagprogramma zal op een aantal deelonderwerpen zowel verbreding als verdieping worden gezocht, waaronder de technische aanpak van de detectie van aanvallen, socio-technologische analyse van aanvalspaden, beweegredenen achter Chinese spionage Over Madison Gurkha en ITSX Tijdens de aankomende editie van het jaarlijkse congres over IT security van Madison Gurkha, genaamd de Black Hat Sessions (zie hiernaast voor het uit gebreide en spannende programma), geven we deel nemers de gelegenheid om zelf een geavanceerde aanval uit te voeren, zoals een inlichtingendienst die zou kunnen uitvoeren. Medewerkers van Madison Gurkha zullen de deelnemers begeleiden in het programmeren van een ‘Teensy’. Dat is een USBapparaat dat zich kan voordoen als een toetsenbord en geheel autonoom, door toetsaanslagen naar de computer door te sturen, een aanval kan uitvoeren. Na het volgen van de workshop heeft u dus een potentieel cyberwapen in handen. Grote kans dat u zich na afloop afvraagt wat het verspreiden van zo’n apparaatje binnen uw organisatie voor gevolgen zou hebben. Dat is ook precies wat we willen pro pageren. Het is zoiets als wanneer u de voordeur in het slot gooit zonder een sleutel op zak te hebben. U gaat dan als inbreker naar uw eigen huis kijken. Het blijkt dan vaak redelijk eenvoudig om ‘in te breken’. Als u met eenzelfde kritische blik naar uw eigen ITlandschap kijkt, vindt u wellicht veel zaken waar eenvoudig veel (beveiligings)winst is te halen. Madison Gurkha heeft nadrukkelijk gekozen voor een vergaande specialisatie in technische IT-beveiliging. Met de kennis, kunde en er varing van onze consultants bieden wij de kwaliteit die onontbeerlijk is in ons complexe vakgebied: waar tools stoppen, gaan wij verder. Het zijn ook deze mensen die zich flexibel en pragmatisch opstellen, met wie het prettig samenwerken is en waarbij geldt: afspraak is afspraak! www.madison-gurkha.com ITSX vult het dienstenpakket van Madison Gurkha uitstekend aan. Daar waar Madison Gurkha zich met veel succes heeft gespe cialiseerd in technische IT-beveiligings onderzoeken, richt ITSX zich meer op de zachte kant van informatiebeveiliging: beleid, procedures, compliancy en interim manage ment. Madison Gurkha en ITSX werken veelvuldig samen in grote multidisciplinaire onderzoeken. www.itsx.com 17 juni 2014 | De Reehorst in Ede en het spanningsveld tussen overheid en individu op het gebied van versleuteling en aftap baarheid in het internet na Snowden. Zowel voor techneuten als niet-techneuten belooft het een interessante dag te worden! Uiteraard is het tevens een uitgelezen kans om met anderen van gedachten te wisselen over al deze onderwerpen. Meer informatie over het congres en het inschrijfformulier vindt u op www.blackhatsessions.com. Schrijf u nu in met de speciale code BHS14-ICTmag en ontvang 10% korting op de toegangsprijs! KEYNOTES • Marietje Schaake Europarlementariër voor D66, in de ‘Alliance of Liberals and Democrats for Europe’ (ALDE) • Directeur Cyber Security Nationaal Coördinator Terrorismebestrijding en Veiligheid WORKSHOP HACKEN MET EEN TEENSY Meld u snel aan voor de workshop hacken met een Teensy en leer hoe u zelf een geavanceerde aanval kunt uitvoeren. U kunt deelnemen aan de workshop tijdens het ochtend- of middag programma van de Black Hat Sessions. Let op! Er is per workshop ruimte voor maximaal 20 deelnemers en inschrijving gebeurt op volgorde van aanmelding. Vol = vol! PARALLELLE TRACKS NIET-TECHNISCH • Wolter Pieters Wetenschappelijk coördinator van het Europese project TREsPASS TREsPASS: een navigatiesysteem voor cyber attacks • Ot van Daalen Oprichter Digital Defence en oud-directeur Bits of Freedom De volgende crypto-oorlog – hoe geheime diensten onze veiligheid ondermijnen • Arthur Donkers Directeur en principal security consultant bij ITSX Maar ik heb toch niets te verbergen? • Frans-Paul van der Putten Senior onderzoeker bij Instituut Clingendael China en cyberveiligheid PARALLELLE TRACKS TECHNISCH • Sandro Etalle Professor aan de TU Eindhoven en Universiteit Twente The new cyberweapons (presentatie in ENG) • Wouter Lueks Promovendus aan de Radboud Universiteit Nijmegen IRMA: Attribute-based Credentials (ABC) in de praktijk •S ander Degen Security consultant bij TNO ICT IPv6: de nieuwe aanvalsvector voor inlichtingendiensten en cybercriminelen? •J ob de Haas Principal Security Analyst bij Riscure Spies and secure boot www.ictmagazine.nl
© Copyright 2024 ExpyDoc
