Kansen bedreigingen in beveiliging
•Download as PPT, PDF•
0 likes•469 views
Alf Moens op de SURFnet Relatiedagen 2012
Recommended
Recommended
More Related Content
Viewers also liked
Viewers also liked (11)
Similar to Kansen bedreigingen in beveiliging
Similar to Kansen bedreigingen in beveiliging (20)
More from SURFnet
More from SURFnet (20)
Kansen bedreigingen in beveiliging
- 1. Security & Privacy in 2015 Kansen en Bedreigingen in het begin van de 21e eeuw Alf Moens SURFnet relatiedagen 2012 - 4 oktober
- 2. IB&P@SURF: SAFE 2
- 3. 3
- 4. FEAR
- 5. 5
- 6. UNCERTAINTY
- 7. 0-day... 7
- 8. DOUBT
- 9. 9
- 10. FUD
- 11. Vanochtend in de Krant n Gist ere 11
- 12. Gisteren in de Krant 12
- 13. 13
- 14. Kansen 14
- 15. Kansen Compliance & Control 15
- 16. Kansen Zwakheden - BYOD - BYOD - First Class Services - Niet of beperkt “in Control” - Kennis - Passwords - Schaalgrootte - “Reach” van beveiliginsgbeleid - Samenwerkende Communities - Afhankelijkheid van derden Opportunities Threats - Sandboxing - every-day 0-day - IRMA - verscherpte regelgeving en toezicht - Krachtenbundeling, samenwerking - ongelijkheid in technische adoptie - Compliance Frameworks - onwetendheid - Gebruiker wil wel maar weet niet hoe - onverschilligheid 16
- 17. Recente akkefietjes • Drive-by besmettingen – malware op nu.nl • 0-day exploits – gebruik Internet Explorer • Dorifel-virus • Een-tweetje’s – een hack en direct publicatie buitgemaakte gegevens – en het wordt opgepakt door de media 17
- 18. Compliance & Control • CBP heeft onderzoek gedaan bij 2 Hogescholen • Eisen van leveranciers worden scherper – Referentie naar Normenkader HO in voorwaarden SURFconext • Toenemend aantal CvB’s bewust bezig met Compliance – Hogescholen bezig met een inhaalslag – Ook kleine hogescholen en MBO’s 18
- 19. BYOD • Ipad is veiliger dan meeste PC werkstations en laptops! – Sandboxing, remote beheer • PC-werkstations zijn inherent onveilig – als ze het internet hangen, ook al hebben ze virusscanners, firewalls etc etc etc. Windows, Mac, Linux • Controle over de communicatie is essentieel – Bluetooth, NFC, WiFi vormen risico 19
- 20. In het Hoger Onderwijs 20
- 21. Hoe doen anderen het? 21
- 22. Vergelijking Wetgeving EU gebaseerd EU gebaseerd federal en state Privacy EU niveau zwaarder dan EU soms lokaal Afgeleid van privacy Studentgegevens uhhhhh.. Hipaa, FERPA & PCI wetten general auditor & Controle via de krant? Killing! Datainspectorate grote instellingen zelf, Wie de instelling de instelling kleine door Uninett opgelegd, state universities Waarom mix “universiteiten zijn van opgelegd door state, het ministerie” private zijn vrijer. 22
- 23. Wachtwoorden • Passwords are broken • Gebruikers vinden het te moeilijk om voor verschillende toepassingen verschillende wachtwoorden te gebruiken • 2012: advies aan BiZa: gebruik van Facebook ipv Digid 23
- 24. Wachtwoorden... • When every Web site requires a password, people resort to simple solutions for managing the many login details they need to track. These easy answers are hardly the secure, unique, and complex passwords security and IT teams hope for. As the top 3 passwords in recent account breaches illustrates: • The top 3 passwords from 32M leaked RockYou.com accounts were: 123456, 12345, and 123456789. (source) • The top 3 passwords from 58k leaked Twitter accounts were: 123456, 123456789, and 102030. ( source) • The top 3 passwords from 188k leaked Gawker Media accounts were: 123456, password, and 12345678. (source) • The top 3 passwords from 40k leaked MySpace accounts were: password1, abc123, and myspace1. (source) • The top 3 passwords from 450k leaked Yahoo! accounts were: 123456, password, and welcome. (source) • The top 3 passwords from 4.6M leaked LinkedIn accounts were: link, 1234, and work. (source) • The top 3 passwords from 20k leaked Billabong accounts were: billabong, 123456, and 12345. ( source) • 2/3 of people with leaked accounts at both Sony and Gawker reused their passwords on both sites. (source) • bron: http://www.lukew.com/ff/entry.asp?1590 24
- 25. Wachtwoorden • Federatief Identity Management • 3 IDs waar je zuinig op bent – Prive - overheid: DIGID, eID – Persoonlijk - zakelijk: tokens, certificaten – Persoonlijk - Prive: • Pass-word-less logon • Sterke authenticatie, telefoon • Autorisatie! – fine-grain autorisation – step-up authentication 25
- 26. IRMA, I Reveal My Attributes Wat wil je van me weten? Wat is je geboortedatum? Zeg ik niet! Hoe oud ben je? Zeg ik niet! Ben je ouder dan 16? JA! Kun je dat bewijzen? Ja, met mijn IRMA-card 26
- 27. Bottom Line • Organisatorisch – Get in Control! Het HO framework en normenkader is gebaseerd op Best Practices en gaat uit van wat tenminste nodig is. • Technisch – Segmenteren! Stel vast wat de belangrijkste assets zijn en bewaak en bescherm deze. – Klaar staan voor grote en kleine incidenten – Controleren, scannen, testen • Naar bewust en bekwaam • Samenwerking – Expertise delen, incident-respons 27
- 28. SURF Crowd-based Incident Respons Team 28
- 30. Framework Information Security Ric htlijn Veilig Toe tsen 30
- 32. 32
Editor's Notes
- Plaatje vervangen door nieuwste versie (1.3)
- Afhankelijkheid van derden: voorbeeld: veel Internet aanvallen (DOS, spam) maken gebruik van vervalste IP-afzender adressen. De meeste IP’s filteren hier niet op.
- logo’s TNO, PIlab, Radboud, SURFnet toevoegen
- SURF gaat zelf dit framework ook gebruiken Surf Crowd Incident Respons Team
- Framework van site
- Framework van site