Veiliger door gezond verstand
Naar een geïntegreerde aanpak van IT-beveiliging
ICT veiligheid is meer dan enkel een aantal producten of softwarepakketten installeren. Om echt tot een volledig plaatje te komen is het essentieel om een hele security aanpak te hebben, in verschillende stappen, van het plannen met een goede security policy en duidelijke afspraken over het implementeren van de juiste oplossingen om die afspraken te kunnen waarmaken (firewalls, antivirus, etc. ) tot het controleren en bijsturen via een audit. Dure consultants hebben voor deze logische stappen zelfs een naam verzonnen : de cirkel van Demming of PDCA ( Plan-Do-Check-Act )
Veiliger door gezond verstand - Presentatie Safe@schools 27 mei 2014
1. Veiliger door gezond
verstand
Naar een geïntegreerde aanpak van IT-beveiliging
Safe@school 27 mei 2014
Jan Guldentops ( j@ba.be )
BA N.V. ( http://www.ba.be )
2. Wie ben ik ?
Jan Guldentops (°1973)
Dit jaar bouw ik 19 jaar server en netwerk
infrastructuren
Oprichter Better Access (°1996) en BA (°2003)
Open Source Fundamentalist (na mijn uren)
Sterke praktische achtergrond op het vlak van ICT
beveiliging
Breng veel tijd in het testlab door
R&D (vooral security) → journalistiek
Online te volgen via twitter (JanGuldentops), Linkedin,
Slideshare
3.
4. Bekentenis
● Ik was zo'n student die zijn overtollige vrije tijd
gebruikte om security-problemen te zoeken in
het KULnet(werk).
● Maar sindsdien veel verandert :
● Digital natives
● Google
● Moore's Law
● Doorgedreven digitalisering
7. Veel blabla, weinig
boemboem
● Als het gaat over (ICT) beveiliging is er vaak
een groot verschil tussen de theorie, de
praktijk, de marketing en de sales.
● Security is vaak passe partout om je een “doosje” te
verkopen dat al je problemen oplost. #not
● En pas helemaal op als het in de genadeloze
handen van politici valt...
9. Plan (1)
● Vat alles samen in een policy
● Wat je wil / moet bereiken o.a.
– Risico analyse
– Inventaris
– Business Continuity Plan
● Recovery Time Objective ( RTO )
● Recovery Point Objective ( RPO)
– Hou ook rekening met de wettelijke vereisten !
● Hoe je dit gaat doen en volgens welke procedures
10. Plan(2)
● Creëer een bewustzijn/kennis dat security belangrijk
is bij :
● Je directie
● Het personeel, zelfs bij de leerlingen / studenten
● Maak goeie afspraken met iedereen :
● Leveranciers
– Duidelijke leesbare contracten met NDA, SLA, etc.
● Studenten / personeel
– Acceptable Use Policy ( maar zorg dat iedereen die begrijpt !)
●
11. Plan(3)
● Het is niet de vraag of je een securityprobleem
gaat hebben maar wanneer...
● Plan for the worst
● zorg dat je al weet wat je gaat doen als er iets
misgaat
● Zorg voor een overleg / communicatiestructuur
● Security comité met overleg op vaste tijdstippen
● Hou cijfers, gegevens bij voor latere analyse
12. DO
● De eigenlijke implementatie van de security-
infrastructuur
● Verschillende elementen en componenten
● Zorg altijd voor documentatie en
kennisoverdracht
● Geen lockin van een leverancier !
● Outsource de dingen die te complex zijn,
insource de rest om het betaalbaar te houden...
13. Degelijke
netwerkbeveiliging
● Veilig opgezet lokaal netwerk
● Vlans ( layer 2 )
– Voldoende vlans maar niet teveel
● Access Control Lists tussen vlans en buitenwereld ( layer 3)
● Beveilig je netwerkinfrastructuur :
– Wachtwoorden
– Correcte SNMP
– Veilig beheer via een encrypted verbinding
● Overweeg Port security met dynamische VLANS ( 802.1x)
–
14. Draadloze netwerken
● Let op :
● Stel “client isolation” in
● Duidelijk opgedeelde SSID's met achterliggende
vlans of 802.1x dynamische vlans
● Zet wireless netwerken af buiten lesuren...
● Geen single toegangskey voor iedereen
● Integreer met bestaande authenticatiesystemen
● Opgepast voor Rogue Access Points
15. Cloud
● Hype du jour
● Technologie die de gebruiker meer controle
geeft.
● Eigen set van problemen :
● Connectiviteit
● Veiligheid van die applicaties ?
● Beschikbaarheid van de applicaties
16. BYOD
● Gebruikers willen hun eigen toestel gebruiken
in plaats van de standaard die de ICT-
beheerder voorstelt.
● Veel verschillende aanpakken, op dit moment
de meeste efficiënte die ik ken is :
● Degelijke antivirus licenties en controle op de
devices
● Een thin client omgeving a la Awingu (
http://www.awingu.com )
17. Authenticatie / rechten
● Password of token
● Als je passwoorden gebruikt, zet een stevige wachtwoordpolicy !
● Geen triviale wachtwoorden
● Alle 3 maanden veranderen
● Leer desnoods de mensen werken met een kluisje als Keeppass
● Tokens : EID, digipass/onetime, Biometrie
● Maar grotere complexiteit / kost
● Zorg ervoor dat je één centraal gebruikerssysteem hebt dat
je voor alle toegangsrechten gebruikt.
● Werk met rollen en groepen, geen rechten à la tête du client
18. Encryptie
● Gebruik zoveel mogelijk encryptie !
● Versleutelen van gevoelige bestanden
● Alle verbindingen moeten versleuteld zijn (https ipv
http b.v.)
● Liefst ook de opslag van mobiele devices
( smartphone, laptops, tablets, usb)
● Gebruik encryptie ook op de juiste manier
● Geen Self-signed certificates
19. Backups
● Gebruik je gezond verstand
● Offline / online / cloud ?
● Hoe lang hou je backups bij ? ( retentie )
● Hoe en hoe lang duurt het om ze te restoren ?
● Is mijn backup-medium wel betrouwbaar ?
● Past dit alles in mijn RTO / RPO ?
● Volumes worden een probleem
20. Open Source
● Kijk altijd eerst naar open source als je een
oplossing zoekt
● Flexibel, best-of-breed, goedkoop of zelfs gratis
● Veel eenvoudiger geworden door de komst van
virtuele appliances
● Ongeloofelijke schatkist aan tools: firewalls,
antivirus, etc.
21. CHECK (1)
● Controlleer / Audit op vaste tijdstippen je security
● Met een extern consultant
● Automatische vulnerability Assessment tools
● Zelf ( gebruik bv Kali Linux )
● Vergeet zeker je wireless niet !
● Controlleer je Business Continuity Plan
● Op vaste tijdstippen een volledige test ( restore of failover)
● Check ook de logs van je backups
22. CHECK (2)
● Monitor
● Zorg ervoor dat je een proactief monitoringsysteem hebt met
historische cijfers
– Noodzakelijk om je SLA te monitoren en te weten hoe het gaat.
● Hiervoor kan je bij bij BA een gestandardiseerd
monitoringsysteem aanschaffen.
● Log alle interventies in een ticketing systeem
● Voorzie de nodige procedures om alles op te volgen
23. ACT
● Los de problemen die je hebt op
● Structureel
– geen brandjes blussen met tijdelijke oplossingen
● Change Management
– Doe het gestructureerd
– Stuur bij
● Documenteer
– Zorg dat je alles documenteert
Belangrijk om te onthouden :
2 manieren waarop wij werken met lokale besturen :
Leveren van volledige oplossingen
Leveren van huurlingen : consultants die tijdelijk de kennis van de ict-manager aanvullen
Leveren van technische ondersteuning en troubleshooting
Leveren oplossingen aan lokale besturen sinds 1996