INFO
JAARGANG 1 - MAART 2015 - WWW.INFOSECURITYMAGAZINE.BE
SECURITY
MAGAZINE
ICSS CYBERSECURITY CONFERENCE LEUVEN
VERRASSENDE EN MINDER VERRASSENDE
VASTSTELLINGEN EN INZICHTEN
‘WE LEREN NIET VAN ONZE FOUTEN,
DE CYBERCRIMINELEN HELAAS WEL’
BEURSSPECIAL
INFOSECURITY - STORAGE EXPO - TOOLING EVENT
NIET ALLE EUROPESE LIDSTATEN EVEN GOED VOORBEREID INZAKE CYBER SECURITY-WETGEVING - BEST
PRACTICES HELPEN GEBOUWBEHEERSYSTEMEN GOED TE BEVEILIGEN - DIRK COOLS WIL G DATA OP DE
KAART ZETTEN BIJ HET BELGISCHE BEDRIJFSLEVEN - IN DRIE STAPPEN NAAR EEN VEILIG NETWERK - HOE
VEILIG IS EEN PROGRAMMEERBARE INFRASTRUCTUUR? - SCRIPT MET HASH CODES MAAKT GEROMMEL
IN SOFTWARE HERKENBAAR - ENCRYPTIE IS BEZIG AAN EEN STEVIGE OPMARS - ‘VEEL CYBERCRIMINELEN
BEGINNEN MET DIGITALE DIEFSTALLEN IN GAMES’ - COLUMN GUY KINDERMANS
Not PURE
g
Colofon - Editorial
Infosecurity Magazine is het enige onafhankelijke vakblad in de Benelux dat zich
expliciet bezighoudt met informatiebeveiliging. Het blad beweegt zich op het snijvlak van technologie en beleid. Vanaf het
hekwerk tot in de boardroom. Toezending
van Infosecurity Magazine vindt plaats op
basis van abonnementen en controlled
circulation. Vraag uw abonnement aan via
www.infosecuritymagazine.be/
abonnement.
Uitgever
Jos Raaphorst
+31 (0)6 - 34 73 54 24
jos@fenceworks.nl
twitter.com/raaphorstjos
nl.linkedin.com/pub/dir/jos/raaphorst
Hoofdredacteur
Stef Gyssels
0473 940 430
redactie@infosecuritymagazine.be
Advertentie-exploitatie
Jan De Bondt
Tel 0475 904 781
E-mail: jan@djinn.eu
PURE
All-flash storage is what we do.
Which is why we’ve become the
natural choice for accelerating the
next-generation data center.
Pure Storage FlashArrays are
purpose-built to deliver the full
advantages of flash, pushing the
speed limit for business with disruptive
innovation that’s hard to imitate.
Pure Storage is a leader in the
2014 Gartner Magic Quadrant for
Solid-State Arrays. Find out why,
visit: purestorage.com/gartner
Peter Witsenburg
Tel: 0486 754 756
E-mail:
peter@witsenburg-consultancy.com
Eindredactie/traffic
Ab Muilwijk
Vormgeving
Media Service Uitgeest
Druk
Profeeling
Infosecurity magazine
is een uitgave van
FenceWorks BV
Beatrixstraat 2
2712 CK Zoetermeer
+31 (0)79 - 500 05 59
info@fenceworks.nl
© 2015
Niets uit deze uitgave mag op
enigerlei wijze worden overgenomen
zonder uitdrukkelijke toestemming
van de uitgever.
Meer informatie:
www.infosecuritymagazine.be
© 2015 Pure Storage, Inc. Pure Storage and the Pure Storage Logo are trademarks or registered trademarks of Pure Storage, Inc. or its affiliates in the U.S. and other countries.
Gartner, Magic Quadrant for Solid-State Arrays, Valdis Filks et al, 28 August 2014. Gartner does not endorse any vendor, product or service depicted in its research publications,
and does not advise technology users to select only those vendors with the highest ratings or other designation. Gartner research publications consist of the opinions of Gartner’s
research organization and should not be construed as statements of fact. Gartner disclaims all warranties, expressed or implied, with respect to this research, including any warranties
of merchantability or fitness for a particular purpose.
2
‘Klanten’
Gefeliciteerd, u houdt het eerste nummer van Infosecurity Magazine Belgium
vast, een magazine dat we met enige trots het allereerste volwaardige security
magazine van dit land mogen noemen. In samenwerking met onze Nederlandse
collega's willen we u van de meest recente en relevante informatie over security
en de security-sector voorzien. Via dit magazine en via ons online platform
www.infosecuritymagazine.be.
Bent u tevreden met dit nieuwe initiatief? Mist u nog iets? Laat het ons zeker
weten: mail ons op redactie@infosecuritymagazine.be, en wij gaan graag met u
in dialoog om ons magazine nog beter te maken.
In een onlangs in Nederland gehouden
onderzoek concludeert Peter Vermeulen
van onderzoeksbureau Pb7 Research dat
IT-security meer is dan een indrukwekkend aantal digitale sloten op de deur
spijkeren. Het gaat ook en misschien wel
vooral om de mens. Die maakt veel fouten. Meestal onbewust, maar er zijn natuurlijk ook individuen die - bijvoorbeeld
- wraak willen nemen na een in hun ogen
onterecht ontslag. Het laatste lossen we
weer technisch op (intrekken van toegangsrechten en dergelijke), maar het
eerste is vooral bewustwording. En goede procedures. Stel nu dat we alle hiervoor genoemde maatregelen hebben
genomen, zowel technisch als op menselijk vlak. Zijn we dan veilig?
Toch niet, vrees ik. Er is namelijk nog
een derde probleem: klanten. Of beter
gezegd: mensen die zich als klant voordoen. Dit zijn fraudeurs, oplichters of hoe
u hen ook wilt noemen. Zij praten zich
bij een bedrijf binnen. Vaak op basis van
een mooi verhaal over een apparaat of
dienst waar een probleem mee zou zijn.
Men wil dan uiteraard geld terug of iets
dergelijks. Die groep blijft in de wereld
van infosecurity nog vaak onbelicht. Het
is meer iets voor een fraude-afdeling. De
vraag is of dat terecht is. Want cybercriminelen lijken steeds vaker ook van dit
kanaal gebruik te maken.
Grote ondernemingen spenderen wereldwijd vele miljarden om dit soort misbruik tegen te gaan. Dat geld besteden
zij bij bekende aanbieders van big dataen business analytics-technologie als SAP
en SAS Institute. Met de tools van dit soort
aanbieders zoeken zij in de enorme hoeveelheden data die zij verzamelen over
klanten, partners, transacties enzovoort
naar abnormale patronen. Patronen die
kunnen duiden op oneigenlijk gebruik
van procedures.
Maar lang niet alle communicatie tussen
bedrijf en klant (of ‘klant’) verloopt via
online-formulieren of e-mails. Vaak wordt
ook simpelweg gebeld naar een call center. Daar ‘babbelen’ dit soort criminelen
zich redelijk soepel naar binnen. Van een
koppeling met systemen en processen
voor IT-security is geen sprake. Die integratie moet nu snel komen. Grote bedrijven zijn dan ook op zoek naar tools
om alle big data-technieken te koppelen
aan - bijvoorbeeld - audio-analyses. Dat
verklaart de grote belangstelling van
venture capital-firma’s voor bedrijven als
Pindrop Security. Deze startup ontwikkelt
technologie waarmee telefoontjes kunnen worden onderzocht: welke is afkomstig van een legitieme klant en welke van
een potentiële frauderende ’klant’ of cybercrimineel? Zulke tools laten zich prima koppelen aan bijvoorbeeld SIEM-oplossingen. Daarmee zetten we opnieuw
een belangrijke stap in de strijd met de
cybercriminelen.
Stef Gyssels
Hoofdredacteur Infosecurity Magazine
INFOSECURITY MAGAZINE - NR. 1 - MAART 2015
3
INHOUD
10 Niet alle Europese lidstaten even
goed voorbereid inzake cyber securitywetgeving
11 Best practices helpen
gebouwbeheersystemen goed te
beveiligen
Thru side panel for Microsoft Outlook
Non-Repudiation
B2B MFT
Ad Hoc MFT
OpenPGP
Mobile File Transfer
Secure Managed
File Transfer
Integrated Global File exchange with Salesforce
Seamless Enterprise Integration
OWASP
File-based Automation
MFT: more than File Sharing
Experts in
Managed PCI Compliant
File Transfer
Software and Solutions
for the Enterprise!
Transport Encryption
(“Data-in-Transit”)
Integration and Programmatic File Transfer
Comprehensive File Transfer for the Enterprise
Automate, Integrate and Control Secure File Transfer
‘We leren niet van onze fouten, de
cybercriminelen helaas wel’
14 Eén van de belangrijkste problemen
waarmee we op het gebied van IT-security
worstelen, is dat we niet of nauwelijks
leren van onze fouten. “Hoe kunnen we
anders verklaren dat cybercriminelen
nog altijd zeer succesvol zijn met
aanvalsmethodes die al jaren oud zijn
en problemen in software en netwerken
misbruiken die al lang geleden opgelost
hadden kunnen zijn?”, vraagt Simon
Leech van Hewlett Packard Belgium zich
af.
Script met hash codes maakt gerommel in
software herkenbaar
38 Nadat vele jaren cybersecurity
voornamelijk was gericht op het
beveiligen van de poorten van
computersystemen is nu een terugkeer
naar de basis waarneembaar. Het gaat
weer om het afschermen van de software
tegen ongeoorloofd gebruik. Door
het opnemen van een script met hash
codes tussen de instructieregels is met
zekerheid vast te stellen of bepaalde
programma’s nog dezelfde kenmerken
hebben als toen ze voor het eerst werden
geactiveerd.
45 Column Guy Kindermans : Aandacht
voor de 'tweede linie'-gevaren
Experts in Managed File Transfer Software and Solutions!
18-34 PROGRAMMA,
BEURSPLATTEGROND,
STANDHOUDERSOVERZICHT
EN ALLE INFORMATIE OVER
INFOSECURITY.BE, STORAGE
EXPO EN THE TOOLING EVENT
VIACLOUD BV • BEECH AVENUE 54 • 1119 PW SCHIPHOL-RIJK • THE NETHERLANDS
+31 (0)20-6586421 • WWW.VIACLOUD.NL • INFO@VIACLOUD.NL
VASTSTELLINGEN EN INZICHTEN
6
Vorige maand vond in Leuven het
International Cyber Security Strategy Congress (ICSS) plaats rond het thema ‘Cyber Security and Forensic Readiness’. Dit congres, georganiseerd door
onder meer het Belgian Cybercrime
Centre of Excellence for Training, Research and Education (B-CCENTRE) en
gastheer KU Leuven, bood heel wat verrassende en minder verrassende vaststellingen en inzichten. Wij sommen de opmerkelijkste voor u op.
DIRK COOLS WIL G DATA OP DE KAART ZETTEN BIJ HET BELGISCHE BEDRIJFSLEVEN
12
Sinds 1 januari heeft hij het stokje
overgenomen van Jan Van Haver als
Country Manager G DATA Benelux. Dirk Cools
heeft grote ambities voor G DATA in de Benelux-markt. “G DATA biedt de meest betrouwbare IT-beveiligingsproducten, en dat moeten alle
ondernemers in Nederland, Luxemburg, maar
vooral ook in België, mijn eigen land, weten”,
aldus de strijdvaardige Dirk.
35 In drie stappen naar een veilig netwerk
43 ‘Veel cybercriminelen beginnen met
digitale diefstallen in games’
4
VERRASSENDE EN MINDER VERRASSENDE
HOE VEILIG
IS EEN PROGRAMMEERBARE INFRASTRUCTUUR?
36
Veel mensen zien software-defined
networking als een van de grootste
veranderingen in IT sinds de verschuiving van
mainframes naar desktops. Overigens zijn het
niet alleen LANs’, WAN’s en datacenternetwerken die de gevolgen ondervinden van deze
verschuiving. Software krijgt steeds meer
dominantie in alle onderdelen van de IT-infrastructuur en daar is een goede reden voor. Op
software gebaseerde systemen beloven meer flexibiliteit, schaalbaarheid en
automatisering. Het ideaalbeeld voor dergelijke systemen zou zijn dat de volledige IT-omgeving direct op afstand te programmeren is. Daarmee is beter in te
spelen op de dynamiek, waarmee organisaties tegenwoordig te maken hebben.
Maar hoe veilig is zo’n programmeerbare infrastructuur eigenlijk?
ENCRYPTIE
IS BEZIG AAN EEN STEVIGE OPMARS
40
Encryptie, het versleutelen van
informatie om deze onleesbaar te
maken voor onbevoegden, wordt steeds
belangrijker nu er veel meer aandacht
is voor dataveiligheid en privacy dankzij
onthullingen over de afluisterpraktijken
van veiligheidsdiensten en de grote data
hacks die in het nieuws komen. Denk aan
de recent uitgekomen hack bij Gemalto.
Encryptie is hot. Forrester heeft onlangs
op basis van 52 criteria de belangrijkste
leveranciers van endpoint encryptie in
kaart gebracht. Sophos is koploper.
INFOSECURITY MAGAZINE - NR. 1 - MAART 2015
5
ICSS CYBERSECURITY CONFERENCE LEUVEN
VERRASSENDE
EN MINDER VERRASSENDE
VASTSTELLINGEN
EN INZICHTEN
Vorige maand vond in Leuven het International Cyber Security Strategy Congress (ICSS) plaats rond het thema ‘Cyber
Security and Forensic Readiness’. Dit congres, georganiseerd door onder meer het Belgian Cybercrime Centre of
Excellence for Training, Research and Education (B-CCENTRE) en gastheer KU Leuven, bood heel wat verrassende
en minder verrassende vaststellingen en inzichten. Wij sommen de opmerkelijkste voor u op.
1. SAMENWERKEN IS
NOODZAKELIJK...
De openingsspeech van de Belgische
Minister van Justitie Koen Geens zette
al meteen de toon. Na de opsomming
van enkele lokale initiatieven - zoals een
beter wettelijk kader om cybercrime
doeltreffender te bestrijden en een betere opleiding van het politiekorps om
cybercrime sneller te herkennen en bestrijden - benadrukte Koen Geens het
belang van internationale samenwerking.
“Cybercriminelen worden niet gehinderd door fysieke of virtuele grenzen: ze
kunnen alle wereldwijde mogelijkheden
van het internet benutten, meestal zelf in
volledige anonimiteit. Dus moeten ook de
misdaadbestrijders grensoverschrijdend
kunnen werken als ze een redelijke kans
op slagen willen.”
Frederic Van Leeuw, federaal magistraat
bij FOD Justitie, benadrukte een andere
reden voor internationale samenwerking:
elk op zich zijn de cybermisdaadbestrijders vaak niet opgewassen tegen de
grote benden en tegen grote ondernemingen die van de virtuele en globaliserende wereld gebruik maken om lokale
verplichtingen te ontvluchten. Hij verge-
leek het op het congres met het Wilde
Westen: “Hoe kan een lokale sheriff van
een klein dorpje standhouden tegen grote bendes en organisaties in het grotendeels wetteloze landschap waar we ons
nu in bevinden?” De samenwerking geldt
dus zowel voor de wetgeving als voor de
handhaving ervan, als we een stap verder
in de bestrijding van de cybercriminelen willen geraken, besluit Frédéric Van
Leeuw.
2. MAAR SAMENWERKEN IS OOK
MOEILIJK
Als één ding duidelijk wordt op een congres zoals ICSS2015 is dat samenwerking, zowel nationaal als internationaal,
een bijzonder complexe zaak is. Elke
vorm van geslaagde samenwerking mag
dus zeker als een succes bestempeld
worden. Overloop even met ons mee.
In elk land vinden we uiteraard de traditionele politiediensten, met daarnaast
op nationaal en soms ook federaal en/of
lokaal niveau een in cybermisdaad gespecialiseerde cel. Daarnaast hebben
we Europol, de overkoepelende Europese politiedienst, die ook weer een eigen cybercrime-afdeling heeft opgericht
(European CyberCrime Center, kortweg EC3). En dan hebben we het nog
niet gehad over politiediensten in de VS
of in het Oosten, over Interpol of andere diensten. Elk van deze diensten heeft
eigen bevoegdheden en verplichtingen,
en samenwerking wordt vaak daardoor al
gehinderd.
Ook op het vlak van wetgeving en rechtspraak wordt samenwerking vaak belemmerd door nationale, regionale of
andere restricties en bekommernissen.
Toch wordt er veel aan gedaan om die
obstakels te overwinnen. Zo heeft Euro-
just - het samenwerkingsverband van de
Europese Unie op het vlak van Justitie van cybermisdaadbestrijding één van
zijn negen prioriteiten gemaakt. Zo zetten ze zich in voor een betere samenwerking tussen de lidstaten, treden ze op als
juridisch adviseur en willen ze een betere uitwisseling van informatie mogelijk
maken. Niet altijd even evident, geeft Eurojust-voorzitster Michèle Coninsx graag
toe, maar ook niet onmogelijk. Zo werd
dankzij de interne samenwerking en
overleg met FBI en Europol het Blackshades-netwerk blootgelegd, dat opereerde
op internationale schaal.
Maar we waren nog niet uitgeteld: na politie en justitie kwamen immers ook nog
EDA (het Defensie-agentschap van de
Europese Unie), de cybercrime-afdeling
van de NAVO, enkele nationale CERT’s
(Cyber Emergency Response Teams) en
ENISA (European Union Agency for Network and Information Security) aan de
beurt.
Elk van deze instanties levert nuttig werk
op zijn gebied en beschikt ongetwijfeld
ook over zeer nuttige informatie. Maar
het lijkt haast onmogelijk om alle nuttige
informatie ook efficiënt te delen met iedereen, al was het maar omdat men vaak
niets eens van elkaars bestaan afweet. De
roep om een soort superdatabank die
alle nationale, regionale en grensoverschrijdende informatie over malware, cybermisdaad en gekende cybermisdadigers bundelt, klinkt luider dan ooit. Maar
in afwachting van een overkoepelend
orgaan dat zoiets zou mogelijk maken
- een droombeeld dat wellicht nog vele
jaren verwijderd is - mag men al blij zijn
met de goede wil die alle aanwezigen uitstraalden om informatie en best practices
op een ad hoc of structurele manier met
elkaar uit te wisselen.
3. DE EXTRA DIMENSIES VAN
CYBERMISDAAD
Wie aan de Aula Pieter De Somer in de
Leuvense Beriotstraat aankwam tijdens
de conferentie kreeg een niet alledaags
tafereel voorgeschoteld. Gewapende beveiligingsagenten voor de ingang, en nog
extra beveiliging net binnen het gebouw.
Of het geïnspireerd was door de recente
terroristische aanslagen, weten we niet,
maar het illustreert wat ons betreft wel
perfect een algemene waarheid: cyber-
Rik Ferguson
misdaad is allang niet meer beperkt tot
de digitale en virtuele wereld.
Die verhoogde aandacht voor misdaad
op de grens tussen de digitale en virtuele
wereld merkten we ook bijvoorbeeld bij
de uiteenzetting van Rik Ferguson, vice
president security research bij Trend Micro. Hij vestigde onze aandacht op een
misschien wel onderbelicht malwarefenomeen dat zeker het voorbije jaar aan
belang heeft gewonnen: PoS (Point of Sales)-malware. In het verleden bleef kredietkaartfraude in winkels en betaalautomaten beperkt tot ‘key capture’ en ‘screen
scraping’, twee gekende manieren om
de gegevens op een kaart te recupereren. Nu is de aandacht verschoven naar
zogeheten ‘RAM scrapers’, malware die
de informatie uit het RAM-geheugen van
de kassa’s en betaalterminals ‘schraapt’.
“In 2014 zagen we net zo veel nieuwe
RAM-scrapers opduiken als in alle voorgaande jaren samen”, waarschuwde Rik
Ferguson voor dit nieuwe gevaar.
Er zijn ook nog andere manieren waarop de digitale en analoge wereld moeilijker uiteen te houden zijn. Denk maar
aan de zogeheten ‘slimme lampen’, die
je kan besturen met je smartphone. “Die
lampen bevatten ook informatie over je
'Samenwerking is zowel nationaal als
internationaal - een
bijzonder complexe zaak'
Koen Geens
6
INFOSECURITY MAGAZINE - NR. 1 - MAART 2015
7
ABONNEER U NU OP
ICSS CYBERSECURITY CONFERENCE LEUVEN
onbekend met de beste hackingtechnieken.
wifi-wachtwoord, en meestal ligt die informatie zo voor het grijpen voor hackers”, waarschuwt Gorazd Bosic, hoofd
van het Sloveense CERT-team.
4. HET WORDT PERSOONLIJK
De aanvallen op bedrijven in het voorbije
jaar hebben meestal hetzelfde ‘kill chain’
patroon gevolgd, aldus Ronald Prins,
CTO van Fox-IT: verkenning op zoek naar
een exploit, het bouwen van wapens om
die exploit te misbruiken, het afleveren
van de wapens via e-mail, USB of andere achterpoortjes, het misbruiken van de
zwakte om malware te installeren, van op
afstand deze malware besturen voor criminele doeleinden. “Maar dat betekent
niet dat we ervan uitgaan dat het voortaan altijd zo zal gaan”, waarschuwt Prins.
Prins waarschuwt wel dat we nog veel
complexer en krachtiger aanvallen mogen verwachten: “Wat nu state of the art
is en enkel weggelegd voor de allerbelangrijkste objectieven, wordt binnen enkele jaren mainstream. En de malware zal
Roberto Tavano
8
steeds moeilijker te traceren en detecteren zijn. En - last but not least - de malware wordt steeds persoonlijker: niet enkel
gericht, maar eenvoudigweg op maat gebouwd voor uw bedrijf. Dit staat ons allemaal te wachten, binnen een drietal jaar.”
Wat we dan kunnen doen om dit te bestrijden? “Eerst en vooral moet je ervan
uitgaan dat je sowieso zal worden aangevallen. Met dit basis uitgangspunt kom je
al een heel eind. Zo kan je je verdediging
hieraan aanpassen. Met ‘honeypots’, bijvoorbeeld, waarmee je de aanvaller lokt
om meer over hem te weten te komen.
Zo kan je een geraffineerd spel beginnen spelen waarbij je de aanvaller steeds
probeert te doorgronden en een stap
voor te blijven.”
Maar ook andere ‘best practices’ blijven
gelden, vervolgt Ronald Prins: “Voorzie voldoende segmentatie tussen verschillende delen van uw netwerk, zodat
een geslaagde aanval slechts beperkte
schade kan aanrichten. Beperk de interne communicatiemogelijkheden tot het
noodzakelijke zodat het speelveld voor
een hacker verkleint. Dit doet u ook door
de administrator rights zo goed mogelijk
af te schermen van onbevoegden. Gebruik ‘antivirus file reputation services’
om zo goed mogelijk op de hoogte te
blijven van alle recente malware, beter
dan welke antivirusleverancier afzonderlijk ooit zal kunnen. Implementeer en
optimaliseer Host Intrusion Prevention
Systems (HIPS) om het gedrag van aanvallen sneller te detecteren en om deze
aanvallen te kunnen voorkomen.” Deze
best practices werden overigens geplukt
uit een terzake bevoegde bron: NSA, niet
5. BIG DATA, EEN VLOEK EN EEN
ZEGEN
Zoals we hierboven al vermeldden: als
alles digitaal wordt, is er ook veel meer
informatie over ons beschikbaar voor de
cybercriminelen. Denk maar aan de sociale netwerken waar slechts een beetje
social engineering volstaat om een schat
aan informatie los te weken. In dat opzicht
is big data dus een vloek: er komen dagelijks talloze stromen van data bij waaruit de criminelen waardevolle informatie
kunnen putten.
“Maar big data kunnen ook een zegen zijn”, nuanceert Tomas Clemente
Sanchez van PwC: “de cybermisdaadbestrijders kunnen big data bijvoorbeeld
gebruiken om verdachte patronen te ontdekken en op basis hiervan de verdediging te verbeteren.” Sanchez waarschuwt
wel voor een ongebreideld gebruik van
big data: “Er vallen ook privacy-regels
te respecteren, dus daarmee moet rekening worden gehouden bij het verzamelen van gegevens. Het zal dus steeds een
kwestie van afwegen zijn, waarbij de belangen van elke partij - burger, overheid,
politie, bedrijven - tegen elkaar worden
afgewogen om het gemeenschappelijke
belang zo goed mogelijk te dienen.”
INFOSECURITY MAGAZINE BELGIUM
ALTIJD OP DE HOOGTE VAN DE LAATSTE ONTWIKKELINGEN OP HET GEBIED VAN IT-SECURITY!
GRATIS ABONNEMENT VIA:
WWW.INFOSECURITYMAGAZINE.BE/ABONNEMENT
Y
SECGUARZ IIT
NE
O
F
N
I
JA
INE.BE
RITYMAGAZ
W.INFOSECU
2015 - WW
- MAART
ARGANG 1
MA
E LEUVEN
ENDE
S
S
A
R
R
E
V
EN MINDZEIR
E
D
EN
N
E
S
S
A
VERR ELLINGEN EN IN CHT
VASTST
ONFERENC
ECURIT Y C
S
ICSS CYBER
BELGIË
IS VANAF
VANDAAG
EEN STUKJE
VEILIGER
Stef Gyssels is hoofdredacteur van
Infosecurity Magazine
2014 IN CIJFERS
19% van de Android-gebruikers heeft
een mobiele aanval meegemaakt.
38% van de computers van eindgebruikers waren het slachtoffer van minstens één webaanval.
Cybercrime kost wereldwijd 445
miljard dollar, hetzij 1% van het
bruto wereldwijd product.
Er zijn wereldwijd 15,577,912
kwaadaardige mobiele apps aangetroffen, waaronder 12.100 mobiele banking Trojans.
Elke seconde van het voorbije jaar werden er meer dan 5 nieuwe cyberbedreigingen aangetroffen.
Moet het nog gezegd dat voor 2015
nog een serieuze groei wordt verwacht, zowel in aantal als in het bereik
van de digitale aanvallen?
Bron: Europol
UTEN,
O
F
E
Z
N
O
NIET VANEN HEL A AS WEL’
N
E
R
E
L
E
‘W
RIMINEL
C
R
E
B
Y
C
E
D
ALOLING EVENT
I
C
E
P
S
S
R
U
BE RAGE EXPO - TO
Y - STO
G - BEST
TY-WETGEVIN
CYBER SECURIOLS WIL G DATA OP DE
KE
ZA
IN
D
EI
VOORBER
- DIRK CO ILIG NETWERK - HOE
VE
EN EVEN GOED
TE BEVEILIGEN
PESE LIDSTATBEHEERSYSTEMEN GOED DRIE STAPPEN NA AR EEN ES MA AK T GEROMMEL
RO
EU
LE
AL
D
W
IN
U
CO
NIET
H
BO
EN
AS
GE
EV
H
MET
RCRIMINELEN
RIJFSL
ELPEN
PR ACTICES H BIJ HET BELGISCHE BEDFR ASTRUCTUUR? - SCRIPT IGE OPMARS - ‘VEEL CYBE
EN
EV
IN
TT
ST
E
ZE
N
EE
RBAR
S
KA ART
PROGR AMMEE
E IS BEZIG A AN
Y KINDERMAN
VEILIG IS EEN HERKENBA AR - ENCRYPTI IN GAMES’ - COLUMN GU
E
EN
AR
LL
IN SOFTW ET DIGITALE DIEFSTA
BEGINNEN M
IT
INFOSECUR
NIEUW MEDIAPLATFORM OVER IT-SECURITY: WEBSITE - NIEUWSBRIEF - SOCIAL MEDIA - MAGAZINE
ALLES WAT U WILT WETEN OVER:
IT-SECURITY - PRODUCTEN, BEST PRACTICES, PRAKTIJKCASES
CYBERCRIME - HOE HOUDT U UW DATA VEILIG?
GOVERNANCE - VEILIG WERKEN IS EEN PROCES, NIET EEN PRODUCT
RISK MANAGEMENT - WELKE RISICO’S WILT U MET UW BEDRIJFSINFORMATIE LOPEN?
INFOSECURITY
MAGAZINE
- NR. 1 - MAART 2015
9
COMPLIANCE - VOLDOEN ALLE RELEVANTE
WET- EN
REGELGEVING?
BSA-ONDERZOEK TOONT AAN
WHITEPAPER
NIET ALLE EUROPESE LIDSTATEN
EVEN GOED VOORBEREID INZAKE
CYBER SECURITY-WETGEVING
Niet elke EU-lidstaat is even goed voorbereid als het gaat om cyber security. Dat blijkt uit een
onderzoek van BSA | The Software Alliance, dat voor het eerst Europese wet- en regelgeving
op het gebied van cyber security analyseerde. BSA toetste de nationale wet- en regelgeving
in alle 28 EU-lidstaten aan de hand van 25 criteria die als essentieel worden beschouwd voor
effectieve bescherming van cyber security.
“Als het gaat om cyberbescherming, is
er in Europa sprake van grote verdeeldheid. De meeste lidstaten erkennen dat
cyber security een prioriteit is. Toch blijft
de volledige interne markt kwetsbaar
voor bedreigingen vanwege de inconsistenties in hun aanpak”, zegt Thomas
Boué, Director of Policy EMEA bij BSA.
Een aantal van de belangrijkste onderzoeksresultaten op een rij.
• De meeste EU-lidstaten zien cyber
security als een nationale prioriteit
– vooral als het gaat om cruciale infrastructuren.
• Er zijn aanzienlijke hiaten tussen de
cyber security-policy’s, juridische
kaders en operationele mogelijkheden van alle lidstaten, met als gevolg
een grote achterstand in algehele
cyber security-bescherming in Europa.
• Bijna alle EU-lidstaten hebben incident response-teams samengesteld
om cyberincidenten aan te pakken,
maar het doel en de ervaring van
deze eenheden verschillen.
• Er is op het gebied van cyber security een zorgwekkend gebrek aan
systematische samenwerking tussen
overheid en bedrijfsleven, en tussen
Europese regeringen en niet-gouvernementele organisaties (ngo’s)
en internationale partners.
Op basis van het onderzoek raadt de
BSA EU-lidstaten aan te focussen op vier
belangrijke onderdelen van een krachtig
juridisch kader voor cyber security.
• Creëer en onderhoud een uitgebreid juridisch kader met policy’s,
gebaseerd op een nationale cyber
security-strategie die is aangevuld
met sectorspecifieke cyber security-plannen.
10
•
•
•
Thomas Boué is Director of Policy EMEA bij BSA.
•
Geef operationele eenheden duidelijke verantwoordelijkheden voor
operationele computerbeveiliging
en emergency response en incident
response.
• Kweek vertrouwen bij en werk samen met het bedrijfsleven, ngo’s en
internationale partners en allianties.
• Stimuleer het onderwijs en het bewustzijn rondom risico’s en prioriteiten op het gebied van cyber security.
Verder waarschuwt de BSA Europese
regeringen ervoor om nutteloze beschermingsregelingen te voorkomen,
die afbreuk kunnen doen aan cyberbeschermingsinitiatieven in plaats van ze
te verbeteren. Lidstaten moeten in het
bijzonder:
• onnodige of onredelijke eisen vermijden, die de keuze kunnen beperken en kosten verhogen, zoals unieke, landspecifieke certificerings- of
testeisen, mandaten voor lokale
content, voorschriften voor gevoelige informatie als broncode en encryptiesleutels, en beperkingen aan
buitenlands eigendom en intellectueel eigendom;
standaarden niet manipuleren, maar
juist toonaangevende, internationaal
erkende, technische standaarden
ondersteunen;
datalokalisatieregels vermijden en
ervoor zorgen dat data vrij tussen
de verschillende markten kunnen
bewegen;
buitenlandse concurrentie dulden
en zo vermijden dat wereldwijde innovatie wordt geschaad door nationalistische bekommernissen.
BELGIË
België scoort over het algemeen gemiddeld, vergeleken met andere Europese
landen, al is er geen ranking opgemaakt
op basis van een totaalresultaat. Het onderzoeksrapport vermeldt dat de Belgische overheid in 2012 de Cyber Security Strategy bekrachtigde. Maar het
juridische kader voor cybersecurity in
België blijft onduidelijk en er is beperkte
informatie over de implementatie van de
strategie. België heeft wel een gevestigd
computer emergency response-team,
CERT.be, en een goed ontwikkelde structuur voor het rapporteren van cybersecurity-incidenten. Daarnaast introduceerde
België onlangs een nieuw Cybersecurity
Centre. Overal in het land is er actieve
ondersteuning voor partnerships tussen
overheid en bedrijfsleven. Dit is mogelijk
door BeINIS, een overheidsorgaan dat
nauwe contacten onderhoudt met private
en semi-private organisaties.
BEST PRACTICES
HELPEN GEBOUWBEHEERSYSTEMEN GOED TE BEVEILIGEN
Volgens Schneider Electric hebben organisaties de beveiliging van gebouwbeheersystemen
(GBS) niet altijd op orde. Doordat de systemen nauw zijn geïntegreerd met de gehele IT enterprise, communiceren ze via allerlei open protocollen onder meer met internet en mobiele apparaten. Hierdoor zijn gebouwbeheersystemen zeer kwetsbaar voor cybersecurity. Schneider
Electric geeft daarom ‘best practices’ om grote financiële schade te voorkomen.
De totale schade van cybercriminaliteit
aan IT-systemen bedraagt volgens een
onderzoek van McAfee zo’n 263 miljard
dollar per jaar. Het GBS is daar inmiddels een volwaardig onderdeel van. Het
resultaat is verloren productiviteit, technische support en gemiste omzet. Maar
ook minder kwantificeerbaar verlies zoals imagoschade. Het is volgens Marcel
Spijkers, Algemeen Directeur bij Schneider Electric in Nederland, dan ook merkwaardig dat veel van deze systemen nog
geen adequate beveiligingsstrategie
hebben.
terfaces tegen SQL-injecties. Investeer in
goede firewalls en vergeet ook de fysieke beveiliging niet.
nieuwste updates. Hiermee blijven ondernemingen maximaal beschermd tegen lekken en bugs in de code.
3.Gebruikersmanagement
Verleen gebruikers slechts die toegangsrechten die zij nodig hebben om hun
werk te doen. Op die manier voorkomen
organisaties schade door bijvoorbeeld
ongeautoriseerde medewerkers.
5. Beheers kwetsbaarheden
Ontwikkel een risk management-plan dat
alle types risico’s afdekt. Zorg voor een
formeel document voor iedere installatie.
4. Softwaremanagement
Laat alleen geautoriseerde gebruikers
software uitrollen. Installeer altijd de
Lees voor meer informatie de whitepaper
‘Five Best Practices to Improve Building
Management Systems (BMS) Security’
via de website van Schneider Electric.
“Daar moet verandering in komen”, aldus Spijkers. “Organisaties behoren onder meer het beherende personeel goed
te trainen, zodat zij (nieuwe) bedreigingen leren herkennen en passende maatregelen kunnen toepassen.” Daarnaast
zijn de best practices voor het beveiligen
van IT in het algemeen ook zeer goed
toepasbaar voor een GBS. Deze verminderen de kans op een digitale inbraak en
de daaraan verbonden schade aanzienlijk. De best practices zijn:
1. Wachtwoordmanagement
Bij de ingebruikname van apparaten
wordt gemakshalve het standaardwachtwoord niet gewijzigd. Veel gemakkelijker
kunnen bedrijven het een hacker niet
maken. Het internet wemelt immers van
de lijsten met apparaten en bijbehorende
standaardwachtwoorden.
2. Netwerkmanagement
Een GBS is onderdeel van het IT-netwerk
en beveiliging van dit netwerk is dan ook
een goed startpunt. Beperk toegang tot
niet IP-gerelateerde communicatiekanalen zoals USB-poorten en beveilig webinINFOSECURITY MAGAZINE - NR. 1 - MAART 2015
11
INTERVIEW
DIRK COOLS
WIL G DATA OP DE KAART ZETTEN
BIJ HET BELGISCHE BEDRIJFSLEVEN
Sinds 1 januari heeft hij het stokje overgenomen van Jan Van
Haver als Country Manager G DATA Benelux. Dirk Cools
heeft grote ambities voor G DATA in de Benelux-markt. “G
DATA biedt de meest betrouwbare IT-beveiligingsproducten,
en dat moeten alle ondernemers in Nederland, Luxemburg,
maar vooral ook in België, mijn eigen land, weten”, aldus de
strijdvaardige Dirk.
nieuwe markt betreedt, doe je dat toch
iets gemakkelijker met de producten die
zichzelf in andere markt, zoals in Duitsland, al ruimschoots hebben bewezen.
Dat is de reden dat er in het verleden een
grote focus is geweest op de consumentenmarkt en de bedrijfsoplossingen een
beetje het onderschoven kindje zijn gebleken”, legt Dirk uit.
markt als geen ander. “G DATA bestaat
dit jaar 30 jaar. Alleen de laatste acht jaar
daarvan is G DATA ook echt actief op de
Benelux-markt. In diezelfde periode is G
DATA oplossingen gaan bieden voor zakelijke gebruikers. Maar wanneer je een
GEDEGEN, OVERZICHTELIJK
PORTFOLIO
Dat is ook niet vreemd, als je beseft hoe
goed de consumentenoplossingen van
G DATA door de jaren heen al zijn gebleken. De consumentenorganisaties in
Hoewel de rol van Country Manager
nieuw is voor Dirk, is G DATA dat allerminst. Al in 2011 kwam Dirk bij het bedrijf
werken als Sales Manager BeLux. Daardoor kent Dirk het bedrijf, de oplossingen en de reputatie van het merk in de
'België moet zijn
infrastructuur nu echt gaan
beveiligen met de beste
beveiligingssoftware'
Europa, waaronder ook de Belgische,
beoordelen G DATA sinds 2005 bijna
jaarlijks als de beste virusscanner na hun
jaarlijkse vergelijkende tests. “We hebben momenteel acht overwinningen op
onze naam staan”, vertelt Dirk trots. Maar,
als onderneming moet je af en toe groter
dromen. En Dirk’s dromen gaan uit naar
de zakelijke markt. “Wij hebben een zeer
gedegen, overzichtelijk portfolio voor
zakelijke klanten, die geschikt is voor
bedrijfsnetwerken van elke omvang. De
producten zijn modulair, van een basisoplossing Antivirus Business, die detectiepercentages van malware kent waar de
meeste grote, bekende merken zich niet
mee kunnen meten, maar verder weinig
extra features biedt, tot het zeer uitgebreide Endpoint Protection, dat naast dezelfde basisbescherming bijvoorbeeld
ook een Policy Manager biedt waarmee
het naleven van de IT-policy kan worden
afgedwongen”, licht Dirk toe.
MOBILE DEVICE MANAGEMENT
“Bovendien zijn onze producten klaar
voor de toekomst, die toenemend mobiel
zal zijn. Android wint aan populariteit, ook
op de zakelijke markt, terwijl ook malwareschrijvers hun pijlen op dat platform
richten. G DATA biedt met Mobile Device
Management een uitstekende oplossing
om de gevaren van Bring Your Own Device het hoofd te bieden.” De overzichtelijke opzet van het productportfolio maakt
G DATA voor ondernemers een aantrekkelijke keuze, denkt Dirk: “Het is namelijk niet nodig om een cursus te volgen,
laat staan een certificeringprocedure te
doorlopen voor een netwerkbeheerder
om het pakket te installeren en te beheren. Dit gecombineerd met het feit dat wij
de technische ondersteuning van onze
zakelijke klanten hier vanuit België bieden, gewoon netjes in het Vlaams, geeft
G DATA echt een streepje voor op veel
van onze concurrenten.”
In de afgelopen jaren is het aantal bedrijven, scholen, overheidsinstellingen
en zorginstellingen dat voor de oplossingen voor G DATA kiest al hard gegroeid.
12
Maar het kan volgens Dirk nog beter:
“Duitse bedrijven hebben een andere
aanpak dan bijvoorbeeld Amerikaanse.
Duitsers willen eerst zeker weten dat
de technologie helemaal perfect en ondoordringbaar is en gaat daarna misschien heel voorzichtig in een hoekje
van de kamer fluisteren dat hun product
goed is. Amerikaanse bedrijven doen
het vaak andersom, er wordt begonnen
met een marketingplan, de kwaliteit van
het product volgt dan hopelijk vanzelf.
Maar wij moeten stoppen met de valse
bescheidenheid, want daar is niemand
bij gebaat. Als je ziet dat het afgelopen
jaar verschillende overheidsinstellingen
en telecombedrijven in België geïnfecteerd zijn geraakt door de geavanceerde
malware als Uroburos, wordt plotseling
duidelijk dat het twee voor twaalf is. België moet zijn infrastructuur nu echt gaan
beveiligen met de beste beveiligingssoftware. En die hebben wij.” En hoe zit
het met de privacy van de klanten van G
DATA? Dirk vertelt: “In onze software zitten geen achterdeuren ingebouwd en wij
hoeven als Duits bedrijf, in tegenstelling
tot Amerikaanse bedrijven, niet samen
te werken met de geheime diensten van
Amerika. En ook niet met de geheime
diensten van Duitsland, trouwens.
De Duitse wetgeving op het gebied van
privacy is de meest strenge ter wereld.
Het is bedrijven zelfs niet eens toegestaan om databases met klantgegevens
aan te leggen, tenzij de klant daar nadrukkelijk toestemming voor heeft gegeven. Bovendien zit het privacybewustzijn
in de genen van de Duitse ontwikkelaars
en bestuurders van G DATA, die dergelijke dingen dus wel uit hun hoofd laten.
Bij ons is het dus uitgesloten dat een door
de staat gesponsorde malware of spyware bewust door de vingers wordt gezien.
En wij zullen nooit en te nimmer gegevens van onze klanten delen met derden,
ook niet als er een dringend verzoek op
wordt gedaan door de overheid. En dat
is het soort veiligheid waar we in België
behoefte aan hebben.”
HOOGGESPANNEN
VERWACHTINGEN
De verwachtingen van Dirk voor 2015
zijn hooggespannen. “In het zakelijke
segment wil ik in 2015 een groei van minimaal 25% zien.” Om dit te verwezenlijken is per 1 februari het salesteam uitgebreid met een Channel Sales Manager,
Jerrel Abdoel. Dirk zegt hierover: “Jerrel
zal zich gaan richten op het aantrekken
van channel partners, zowel distributeurs
als resellers die de corporate klanten
bedienen.” Daarnaast is de ambitie uitgesproken om de zorgsector in brede
zin kennis te laten maken met G DATA.
“Apothekers, huisartsen, ziekenhuizen
en alle andere zorgverleners hebben een
grote taak in de komende jaren. Patiëntgegevens worden in toenemende mate
digitaal, maar blijven even privacygevoelig als altijd. Het is dus van essentieel
belang dat de zorgsector gebruik maakt
van de beste IT-beveiliging die er te krijgen is. Bovendien zijn incidenten van
ziekenhuizen die enkele weken, of zelfs
enkele minuten, niet goed kunnen functioneren omdat er een malware-uitbraak
is geweest, zoals we hebben gezien bij
het Imelda-ziekenhuis in Bonheiden niet
langer acceptabel. De infrastructuur van
ziekenhuizen is ondertussen even zeer
van levensbelang als de artsen en medicijnen zelf. G DATA kan hierin een heel
belangrijke rol spelen”, aldus Dirk.
'De infrastructuur
van ziekenhuizen is
ondertussen even zeer van
levensbelang als de artsen
en medicijnen zelf'
INFOSECURITY MAGAZINE - NR. 1 - MAART 2015
13
SIMON LEECH VAN HP
‘WE LEREN NIET
VAN ONZE FOUTEN,
DE CYBERCRIMINELEN
HELAAS WEL’
Eén van de belangrijkste problemen waarmee we op het gebied van IT-security worstelen, is dat we niet of nauwelijks
leren van onze fouten. “Hoe kunnen we anders verklaren
dat cybercriminelen nog altijd zeer succesvol zijn met aanvalsmethodes die al jaren oud zijn en problemen in software
en netwerken misbruiken die al lang geleden opgelost hadden kunnen zijn?”, vraagt Simon Leech van Hewlett Packard
Belgium zich af.
HP publiceerde onlangs een Cyber Risk
Report dat op dit punt ronduit schokkend
te noemen is. Bekende kwetsbaarheden
die soms al decennialang bekend zijn,
vormden in 2014 nog altijd de meest belangrijke risico’s op het gebied van cy-
bercrime. Bovendien kwam maar liefst
44 procent van de inbreuken op enterprise IT-systemen vorig jaar tot stand via
kwetsbaarheden die al twee tot vier jaar
bekend zijn. En waarvoor wel degelijk
een goede technische oplossing bestaat.
SAMENWERKEN
“Dat is geen resultaat waar we trots op
mogen zijn”, zegt Simon Leech, Architects Manager, EMEA Data Center Team
HP. HP roept dan ook de security-industrie op om meer en beter te gaan sa-
menwerken. “Bovendien maken wij ons
als HP niet alleen grote zorgen als het
gaat om enterprise IT en security, maar
we zijn ook allesbehalve gerust op de
beveiliging van Internet of Things-projecten. Zeker nu de daadwerkelijke uitrol
van dit soort systemen - denk aan huisbeveiligingssystemen - een hoge vlucht begint te nemen, zullen we snel met serieuze security-maatregelen moeten komen.”
Het jaarlijkse Cyber Risk Report van HP
is enerzijds zeer interessant om te lezen,
maar anderzijds ook zeer verontrustend.
De diepgaande analyses van de aanvallen en de werkmethoden van cybercriminelen doen de vraag rijzen of we de strijd
met ‘the bad guys’ nu eigenlijk aan het
winnen of toch eerder aan het verliezen
zijn.
Wat bovendien sterk in het oog loopt, is de
professionele manier waarop de cybercriminelen zich hebben georganiseerd.
Zij kiezen meer en meer voor goed omschreven specialisaties die zij vervolgens
te huur aan anderen aanbieden. Op die
manier kunnen snel en eenvoudig zeer
geavanceerde systeemomgevingen worden samengesteld die zeer geraffineerde aanvallen mogelijk maken. We zouden
het bijna een zeer professionele manier
van samenwerken noemen. Die vorm van
samenwerking ontbreekt echter nog grotendeels bij de aanbieders en afnemers
van security-oplossingen. Leveranciers
opereren veelal alleen, terwijl ook afnemers onderling nauwelijks tot samenwerkingsafspraken komen. Ook de samenwerking tussen aanbieders en afnemers
van security-tools komt nog niet erg uit
de verf.
WAARSCHUWING
Het rapport van HP geeft echter een niet
mis te verstane waarschuwing. Als zelfs
duidelijk gecommuniceerde bugs en andere gaten door veel ICT-afdelingen na
jaren nog niet zijn gedicht, hoe kunnen
we dan verwachten dat we de razendsnel
op nieuwe ‘kansen’ inspelende cybercriminelen tegenspel kunnen bieden?
Samenwerken is dan de enige oplossing
- tussen aanbieders onderling, tussen gebruikers onderling, tussen aanbieders en
afnemers en tussen aanbieders, afnemers
en overheden. Maar zoals Art Gilliland,
senior vice president en general manager van Enterprise Security Products
14
The home security
Internet of Things paradox
Is home security really secure?
HP reveals that the Internet of Things (IoT) is far from secure. According to an ongoing
HP IoT study series, home security systems are not nearly as secure as you may think—
or as they should be.
It's a huge issue.
Gartner, Inc. forecasts
that 4.9 billion connected
things will be in use in
2015, up 30 percent from
2014, and will reach
25 billion by 2020.1
of home security systems tested were
VULNERABLE
to account harvesting
4.9B
“things”
in 2015
Deficiencies
include:
• Authentication
• Authorization
• Cloud interfaces
• Mobile interfaces
• Privacy
Unrestricted account enumeration: The ability to
determine whether a specific account is valid on a system
Weak password policy: The lack of a policy and/or the
presence of a weak policy
Lack of account lockout mechanism: The failure to
lock out an account after a certain number of failed
access attempts
Account harvesting is exacerbated when video
access is granted to additional users such
as family members or neighbors.
Top 5 vulnerability categories identified :
2
1
2
3
4
5
Privacy (100%)—raised privacy concerns regarding the collection of names,
addresses, dates of birth, phone numbers, and even credit card numbers. Video
image leaks are also an area of concern.
Authorization (100%)—an attacker can use vulnerabilities such as weak
passwords, insecure password recovery mechanisms, and poorly protected
credentials to gain access to a system.
Insecure cloud (70%)—cloud-based Web interfaces exhibit
account-enumeration concerns.
Insecure software/firmware (60%)—did not include obvious
update capabilities.
Insecure mobile (50%)—have enumeration concerns with their mobile
application interface.
Are you the only one monitoring
your home?
groei-aan-overheidsmaatregelen-be-
van HP, vorig jaar al in een interview
met Infosecurity Magazine (http://infosecuritymagazine.nl/2014/10/21/wild-
moeilijkt-security/) aangaf, moeten we
hierbij wel oppassen dat overheden die
INFOSECURITY MAGAZINE - NR. 1 - MAART 2015
If video streaming is available through a cloud-based Web or mobile application interface, then video can be
15
5
Insecure mobile (50%)—have enumeration concerns with their mobile
application interface.
SIMON LEECH VAN HP
Are you the only one monitoring your home?
samenwerking niet eerder frustreren dan
faciliteren. Nog te vaak ziet de HP-topman in tal van landen wetgeving ontstaan
die technische oplossingen soms onbedoeld in de wielen rijden. Dit gebeurt
bijvoorbeeld als in wet- en regelgeving
zeer specifieke security-maatregelen
worden opgenomen, waar het definiëren
van doelen - en niet de middelen om die
doelen te bereiken - vaak een veel grotere kans op succes oplevert.
VAKBEURZEN, SEMINARIES EN ONLINE MATCHMAKING VOOR IT-MANAGERS EN IT-PROFESSIONALS
DE BELGISCHE EDITIE IN BRUSSELS EXPO
If video streaming is available through a cloud-based Web or mobile application interface, then video can be
viewed by an Internet-based attacker from hacked accounts anywhere in the world.
Three actions to mitigate risk
1 2 3
CYBER RISK REPORT
De belangrijkste bevindingen uit het Cyber Risk Report liegen er niet om:
•
•
•
•
44 procent van de bekende inbreuken zijn kwetsbaarheden van twee
tot vier jaar oud. Aanvallers blijven
bekende technieken gebruiken en
zijn succesvol in het binnendringen
van systemen en netwerken. De top
tien kwetsbaarheden die in 2014 benut zijn, profiteren allemaal van code
die jaren of zelfs decennia geleden
geschreven zijn.
Foutief geconfigureerde servers
zijn het grootste probleem onder
alle geanalyseerde applicaties. Het
gaat dan vooral om toegang tot
onnodige bestanden en bestandsmappen, naast issues rond privacy
en cookies. Met dit soort informatie
kunnen die aanvallers hun methoden
verder verbeteren.
In 2014 werden ook geheel nieuwe
aanvalsmethoden ontdekt. Vooral via
fysieke apparaten die verbonden
zijn met internet (Internet of Things).
In 2014 nam ook het gebruik van
mobiele malware toe.
De meeste kwetsbaarheden komen
voort uit een relatief klein aantal ge-
25 - 26 MA ART 2015 BRUSSEL
Include security in feature
considerations when evaluating
potential IoT product purchases
Avoid using system defaults for
user names and passwords
whenever possible, and choose
good passwords3 when the option
is available
IT
IT SECURITY
SECURITY
STORAGE
IT MANAGEMENT
SOLUTIONS
Don’t share account access with
anyone outside your immediate
family—and stress secure
password practices with those who
have access
The Federal Trade Commission (FTC) recommends that IoT device
manufacturers incorporate security into the design of connected products.4
HP Fortify on Demand
Solutions like HP Fortify on Demand enable organizations to test the security
of software quickly, accurately, affordably, and without any software to install
or manage—eliminating the immediate risk in legacy applications and the
systemic risk in application development.
THEMA 2015: THE INTERNET OF THINGS
Read the full report: hp.com/go/fortifyresearch/iot2
Gartner, Press Release, “Gartner Says 4.9 Billion Connected "Things" Will Be in Use in 2015” November 2014,
http://www.gartner.com/newsroom/id/2905717.
Open Web Application Security Project (OWASP) Internet of Things Top Ten Project
SANS Institute Password Construction Guidelines (PDF)
4
Security Is a Must for the Internet of Things, Terrell McSweeny, Commissioner, Federal Trade Commission
1
2
3
meenschappelijke
fouten.
programmeer•
Wat doen we hieraan? HP komt met een
aantal aanbevelingen:
•
Netwerkbeheerders moeten een
snelle en flexibele patching-strate-
•
•
Cloud Computing
gie ontwikkelen om ervoor te zorgen dat systemen up-to-date zijn.
Systemen en netwerken dienen regelmatig getest en geverifieerd te
worden op kwetsbaarheden en configuratiefouten.
IT-afdelingen dienen een fundamenteel begrip van hun systemen en
netwerken te ontwikkelen. Alleen
dan kunnen zij de impact van nieuwe
technologieën maar bijvoorbeeld
ook de gevolgen van specifieke
kwetsbaarheden in software bepalen.
Samenwerking en kennisdeling tussen de security-bedrijven helpt om
inzicht krijgen in de tactiek van aanvallers, zorgt voor een meer proactieve verdediging, versterkt de bescherming die aangeboden wordt in
beveiligingssoftware en zorgt daarmee voor een veiligere werkomgeving.
Cyber Security
Data Center &
Infrastructure
Optimisation
Data Growth &
Storage Capacity
Enterprise Mobility
ITSM & Control
Privacy
Governance &
Risk Management
REGISTREER NU VOOR GRATIS TOEGANG:
WWW.INFOSECURITY.BE | WWW.STORAGE-EXPO.BE | WWW.THETOOLINGEVENT.BE
KEYNOTES | SEMINARIES | KLANTENGETUIGENISSEN | INNOVATIES
Gold sponsor
Hans Vandam is journalist
16
distributed by Westcon
INFOSECURITY MAGAZINE - NR. 1 - MAART 2015
17
INFOSECURITY.BE, STORAGE EXPO
EN THE TOOLING EVENT 2015
IN HET TEKEN VAN
THE INTERNET OF THINGS
Op 25 en 26 maart 2015 bent u weer welkom tijdens de drie gezamenlijke beurzen Infosecurity,
Storage Expo en The Tooling Event Belgium in Paleis 8 van de Heizel. Dit jaar staat het thema
The Internet of Things centraal, wat als een paraplu is voor een breed aanbod van activiteiten,
zowel op de traditionele beursvloer als tijdens het inhoudelijke programma.
Tijdens deze twee dagen kunt u terecht
bij meer dan honderd leveranciers die
hun nieuwste technieken, producten en
diensten voorstellen. Via seminaries, keynotes en klantgetuigenissen verwoorden
marktleiders, verenigingen en ICT-professionals hun visies, ideeën en antwoorden op de meest actuele ICT-thema’s.
THE INTERNET OF THINGS
Zoals elk jaar is er ook deze editie weer
voor een overkoepelend thema gekozen
dat raakvlakken heeft met alle drie de
beurzen. Dit jaar is dit thema The Internet of Things. Door de opkomst van The
Internet of Things krijgen bedrijven te
maken met een grote hoeveelheid data
die alleen maar zal toenemen. Deze verzamelde data brengt veel mogelijkheden
met zich mee. Zo versnelt The Internet of
Things de stap van data naar analytics,
naar applicaties en weer terug naar data.
Inzichten kunnen hierdoor sneller en
makkelijker worden verkregen om vervolgens betere bedrijfsbeslissingen te
kunnen nemen. Maar tegelijkertijd zullen
er ook een aantal drastische veranderingen plaats moeten vinden binnen bedrijven, om voorbereid te zijn op het ‘The
Internet of Things-tijdperk’.
INFOSECURITY.BE, STORAGE
EXPO EN THE TOOLING EVENT
The Internet of Things biedt organisaties
volop uitdagingen op het gebied van beheer, beveiliging, storagecapaciteit en
datamanagement. De beurzen Infosecurity.be, Storage Expo en The Tooling
Event bieden gezamenlijk de handvatten om IT-organisaties klaar te stomen
voor het tijdperk dat reeds is begonnen.
Op de beursvloer en in de stands is er
namelijk volop de mogelijkheid voor
kennismaking met en oriëntatie op toonaangevende IT-bedrijven, -producten en
-diensten. Daarnaast is er een uitgebreid
inhoudelijk programma met presentaties
en keynote-sessies van specialisten uit
het veld. Hierbij worden ook de technisch diepgravende onderwerpen niet
gemeden.
INHOUDELIJK PROGRAMMA
Het
overkoepelende
‘Internet
of
Things’-thema bundelt zeven actuele topics, die zowel bij de exposanten als in
de seminaries zullen terugkomen. De zeven thema’s zijn:
• Cyber Security
• Data Growth & Storage Capacity
• IT Service Management & Control
• Enterprise Mobility
• Data Center & Infrastructure
Optimisation
• Cloud Computing
• Privacy, Governance & Risk
Management
Het inhoudelijk programma is door deze
verschillende thema’s zeer divers en
zal worden geopend door een keynote seminarie van trendwatcher Herman
Konings. Volgens hem zijn we beland in
het ‘overaltijdperk’, the Age of Everyware, ‘waar de mens niet langer het apparaat lijkt aan te sturen, maar het apparaat
de mens.’ Tijdens zijn keynote zal hij uitgebreid ingaan op ‘the Age of Everyware’
en wat dit voor bedrijven inhoudt en zal
hij bovendien leuke en interessante voorbeelden aanhalen.
Verder verzorgen onder anderen Cain
Ransbottyn (The Other Agency), Danny
De Cock (KULeuven) en Heidi Rakels
(GuardSquare NV) seminaries over the-
18
BEURSSPECIAL | WWW.INFOSECURITY.BE | WWW.STORAGE-EXPO.BE | WWW.THETOOLINGEVENT.BE
matieken als privacy, cybercrime en
security. Brussels onderzoeksrechter
Michel Claise, gespecialiseerd in witteboordencriminaliteit belicht het thema
dan weer vanuit een heel ander standpunt. Wil men cybercriminelen overigens
een stapje voor zijn, dan kan het helpen
om te leren denken als een hacker. Om
die reden organiseert Infosecurity samen
met Deloitte opnieuw de succesvolle
‘Hacking Challenge’ tijdens de beurs.
Daarnaast vertelt Datacenter Strategist
Hans de Leenheer over een nieuwe generatie van storage en komt u tijdens het
seminar van senior sales engineer Leon
Van Dongen meer te weten over het impact van Flash op het datacenter netwerk.
Wat de impact van customer service
is op de klantervaring en wat het effect
van Enterprise Mobility is op IT Service
Management en Compliance komt u te
weten in de sessies van FrontRange en
Matrix42.
Dit is slechts een greep uit het complete
inhoudelijke programma. Het volledige
programma is verderop in deze beursspecial te vinden en op www.infosecurity.be,
www.storage-expo.be en
www.thetoolingevent.be.
deskundigen beantwoord. Dit alles, zodat
u na deze twee dagen weer vertrekt met
praktische handvatten om in te zetten in
het dagelijks werk als IT-er.
PRAKTISCHE INFORMATIE
• Beurscombinatie over
databeveiliging (Infosecurity.be)
data-opslag (Storage Expo)
IT-beheer (The Tooling Event)
•
Wanneer
Woensdag 25 & donderdag 26
maart 2015
Op beide dagen van 09.30 uur tot
en met 17.00 uur
•
Waar
Brussels Expo, Brussel – Paleis 8 •
Website
www.infosecurity.be
www.storage-expo.be
www.thetoolingevent.be
•
Toegang
Registreer direct voor
gratis toegang via:
TWEE BEURSDAGEN
Bezoekers krijgen tijdens de twee beursdagen volop informatie over vraagstukken en trends. Ook de vraag waar het
met de IT naartoe gaat, wordt door een
grote hoeveelheid aanwezige partijen en
INFOSECURITY MAGAZINE - NR. 1 - MAART 2015
19
DEELNEMERSLIJST / LISTE DES PARTICIPANTS
25 - 26 MAART 2015 / MARS BRUSSELS EXPO
INFOSECURITY.BE
Exposant
Standnummer
A.N.S. Benelux
D117
AirWatch by VMware
B129
Akamai Technologies
C130
AP Nederland
A061
Arcadiz Telecom
A031
Arrow Value Recovery
C018
Atlantis Computing
D124
BA
A128
Barracuda Networks
B040
Black Box Network Services
A045
Blancco
A120
Cegeka
D092
Check Point
A023
CHG MERIDIAN
D147
Cisco Systems Belgium
B052
Cofely Fabricom
A089
Contec B.V.
D137
Copaco Belgium
D113
CRYPSYS secure computing
A041
CyberArk Software
B113
Cyberoam Technologies Pvt. Ltd.
A125
Data Unit
A089
David Lynas Consulting Ltd
D130
DCB
A129
DelITad
B121
Dimension Data
B094 / C092
DrayTek
B128
ESET Belgium & Luxembourg
B060
Exclusive Networks
A076
Fox-IT
D136
G DATA Software Belgium
B120
Heynen
B125
HP Belgium
A104
Imtech
A107
Interoute Belgium
A135
Intronics
B110
(ISC)²
C128
ISACA - Information Systems Audit and Control Association
A124
ISSA Brussels-European Chapter
A124
Kahuna - Managing Security
A136
Kannegieter
D108
Kaspersky Lab
A094
20
THE TOOLING EVENT
Exposant
Kroll Ontrack
LCL Belgium
LSEC - Leaders in Security
MT-C
Netleaf
Nextel
Nutanix
Oodrive
Optima Networks
Out of use
Palo Alto Networks
Prodata Systems
Proximus
QNAP Systems
Qualys
Rittal
S3 Bvba (Server Storage Solutions)
Saasforce
SafeNet Technologies
Saikoa BVBA
Schneider Electric nv/sa
SecureLink
SecurIT
Secutec
SMS Passcode
SMT - Simple Management Technologies
Solvay Brussels School of Economics and Management
Sophos
SWITCHPOINT NV/SA
Synology
TD Azlan part of Tech Data
Telenet
Trend Micro Belgium
TrueGEN
UBM Belux
Unitt
vanroey.be
Van Randwijk Paperflow Solutions
Varonis
ViaCloud
Virtual Instruments
Westcon Security (TM)
BEURSSPECIAL | WWW.INFOSECURITY.BE | WWW.STORAGE-EXPO.BE | WWW.THETOOLINGEVENT.BE
Standnummer
D104
D120
A136
D144
B112
A077
A073
D098
D132
D140
A066
A018
A048
D122
A108
A030
B035
C066
A011
A136
A015
C078
A136
C066
A041
A112
A126
A060
A051
C128
B018
B104
A052
A037
A065
A088
C010
D138
D129
D118
D109
A040
Exposant
A.N.S. Benelux
Allied Telesis International B.V.
Axios Systems
CHG MERIDIAN
Cisco Systems Belgium
Dimension Data
FrontRange
HP Belgium
Krinos Academy
LANDESK
Matrix42 AG
MT-C
NET-measure
Nucleus
OMNINET
Proximus
Secutec
ServiceNow
TOPdesk Belgium
Unacle
Unitt
Standnummer
D117
A143
C146
D147
B052
B094 / C092
D155
A104
D142
D148
B156
D144
D145
D149
B155
A048
C066
A155
B145
D150
A088
STORAGE EXPO
Exposant
A.N.S. Benelux
Arcadiz Telecom
Arrow Value Recovery
Barracuda Networks
Cegeka
Cisco Systems Belgium
Citrix
CommVault
Computacenter
Dell
Dimension Data
Fujitsu Technology Solutions
HP Belgium
I.R.I.S. ICT
Interxion Belgium
LCL Belgium
Minkels
MT-C
NETGEAR
Nimble Storage
Proximus
Pure Storage
Saasforce
Seagate Technology International
SecureLink
Secutec
Simac ICT
Smals
Stellar Data Recovery
Tintri
Unitt
Uptime Group
Vanroey.be
Veeam Software
Standnummer
D117
A031
C018
B040
D092
B052
C018
D039
B052
D030
B094 / C092
D042
A104
D070
D064
D120
D060
D144
D096
B036
A048
D072
C066
C012
C078
C066
C060
D035
D012
B048
A088
B030
C010
D052
INFOSECURITY MAGAZINE - NR. 1 - MAART 2015
21
PLAN / CARTE
25 – 26 MAART / MARS 2015 BRUSSELS EXPO
INGANG / ENTRÉE
Theater /
Theatre 6
D150 D148 D144 D142 D140 D138 D136
D155
D149 D147 D145
D137
C146
Theater /
Theatre 5
LY
SS ON
ACCE IP BADGE
V
WITH
B156
D132
D130 D124 D122 D120
D129
D121
D108
D109
C128
B128
D104
B155
B129
A136
B120
Theater /
Theatre 1
A151
A143
A135
A129
D070
D064
D060
D042
D052
D030
C078
A104
A112
A125
C060
D012
B052
TERRAS /
TERRASSE
B048
B030
A108
A107
B036
B018
B060
A088
C010
C018
Sponsored by
REGISTRATIE
GEBIED / RÉCEPTION
D'ENREGISTREMENT
B035
INFOSECURITY.BE
A094
C012
D035
D039
B110
B113
A120
C066
B040
B121
A124
D072
B104
B112
B125
A126
A126
A155
Theater /
Theatre 3
D092
B094
B136
B145
D096
C092
MEDIATERRAS /
MEDIA TERRASSE
Theater /
Theatre 4
D098
STORAGE EXPO
D117
D113
C130
TOOLING EVENT
D118
A052
A076
A066
A048
A040
A030
A060
A018
A011
INFOSECURITY.BE
A089
A077
A073
A051
A065 A061
A045 A041
A037
A031
A023
A015
Theater /
Theatre 2
PALEIS 3
LEGENDA / LÈGENDE
PARKING C
RING
EXIT 7bis
RING
EXIT 7bis
Theater 1 : Infosecurity.be technische sessies
Theatre 1 : Infosecurity.be sessions techniques
LOOPBRUG/
PASSERELLE
ROM
ENTREE
8
EINS
9
PATIO
EST
EEN
WEG
1
3
4
5
6
7
11
12
2
GOLDEN SPONSOR:
SHUTTLE BUS
Theater 3 : Praktische sessies
Theatre 3 : Sessions pratiques
Theater 4 : Praktische sessies
Theatre 4 : Sessions pratiques
10
BRUSSELS EXPO
PARKING
Theater 2 : Infosecurity.be management sessies
Theatre 2 : Infosecurity.be sessions de management
METRO
Theater 5 : Storage Expo seminaries
Theatre 5 : Storage Expo séminaires
Theater 6 : Praktische sessies
Theatre 6 : Sessions pratiques
Nooduitgang / sortie de secours
Garderobe / vestiaire
Situatie op 15-02-2015, wijzigingen voorbehouden. Situation au 15-02-2015, altérations réserve.
22
BEURSSPECIAL | WWW.INFOSECURITY.BE | WWW.STORAGE-EXPO.BE | WWW.THETOOLINGEVENT.BE
INFOSECURITY MAGAZINE - NR. 1 - MAART 2015
23
g
Seminaroverzicht Woensdag 25 - Donderdag 26 maart
BRUSSELS EXPO
INFOSECURITY.BE: MANAGEMENT SEMINARIES
WOENSDAG 25 MAART
Keynote: “The Age Of Everyware”
Spreker: Herman Konings - Trendwatcher,
Pocket Marketing/nXt
11.00-11.45 uur – Theater 2
Over de Keynote:
In 2013 werd de Narrative-camera geïntroduceerd, een draagbare minifotocamera die
iedere dertig seconden automatisch een foto
van je omgeving maakt. Zo kun je aan het eind
van de dag de voorbije 15-16 (waakzame)
uren in ruim 1500 stills herbeleven. Handig
om je eigen geheugen te checken, of in deze
vergrijzende wereld de dag te reconstrueren
van senioren met geheugenproblemen. De
Narrative illustreert hoe technologie steeds
meer verwordt tot een alomtegenwoordig en
ononderbroken vliegwiel van het mens-zijn.
We zijn beland in het ‘overaltijdperk’, the Age
of Everyware, waar de mens niet langer het
apparaat lijkt aan te sturen, maar het apparaat
de mens.
Over de spreker:
Herman Konings [°64] is master in de theoretische psychologie
en
zaakvoerder
van het Antwerpse trend- en
toekomst-onderzoeksbureau
Pocket Marketing/nXt. Als
trendverkenner geeft hij regelmatig adviesrondes en spreekbeurten aan
bedrijven, genootschappen en hogescholen
over socio-culturele verschuivingen, trendobservaties en toekomstverwachtingen. Tot
zijn klanten behoren o.m. AG Insurances, Autogrill, BMW, BNP Paribas Fortis Bank, Confederatie Bouw, Europese Commissie, Electrolux, FeMa/Ufemat, Henkel, IBM, Industria, ING
Bank, JBC, Nespresso, Philips Lighting, Procter
& Gamble, Roularta Media, Siemens, Toerisme Vlaanderen, Unilever, Vlaamse Overheid
en VRT. Het vijfde boek van Herman – “Futures”” [uitgeverij Lannoo] – rolt in augustus
2015 van de persen.
Seminarie: Bridging the Gap between Physical & information Security
Spreker: Stefaan Bolle - Enterprise Security Officer, Deme
12.00-12.45 uur – Theater 2
Over de sessie:
The goal of this presentation is to provide a
pragmatic overview of today’s security threats
towards corporate information and demonstrate the need to have both physical and information security departments joined to answer the problem in an all-encompassing way.
We will show you how corporate information
is effectively stolen from your company.
Over de spreker:
Security professional responsible for managing all threats
and risks of malicious intent
(on the domains of information security, physical security
and personnel security). Specialties: Pragmatic and to the
point
Security management of critical infrastructures (energy sector) & Constructing an enterprise security office with global reach.
Seminarie: Cyber Threat: IT-Security at the
European Commission
Spreker: Ken Ducatel - Chief Information
Security Officer, European Commission
13.00-13.45 uur – Theater 2
Over de sessie:
The presentation will describe the cyber threat landscape as it impacts the European Commission’s operations. It will explain how the
Commission sets about combatting such cyber threats in collaboration with other EU-institutions.
Over de spreker:
Ken Ducatel has recently been appointed
as the first ever CISO in the Informatics Department of the European Commission. He
has an IT policy background stretching back
30 years. Originally a member of faculty in
the Science and
Technology Policy
Department at the
University of Manchester, his career
path has taken him
from analysing IT
policy to designing
and implementing IT
policy as member of
the Cabinet of Commissioner Reding (2004-08) and as Head of
Unit for the Digital Agenda (2009-12) and then
Cloud Computing in DG Connect (2012-14).
Seminarie: A holistic approach to handle cyber security threats
Spreker: Geert Degezelle - Head of Cloud,
Security & Datacenter, Proximus
15.00-15.45 uur – Theater 2
Over de sessie:
Recent extensive press coverage of security
incidents is scaring many companies. Most of
them have a hard time keeping up to date with
the rapid evolving threats and defences. The
main challenge for a company is obtaining
the right balance between managing security risks impacting their critical business and
investing in a 24/7 security going from prevention and detection up to incident response
processes (while taking into account business
flexibility).
Over de spreker:
Geert is an experienced
professional in ICT &
Telecom for more
than 15 years. He’s
passionated about
innovative
new
trends like advanced cyber security, cloud
computing, mobile payment and IoT. Geert
is heading the security and cloud computing
departments at Proximus.
DONDERDAG 26 MAART
Seminarie: 2014 Information Security Breaches survey
Spreker: Marc Sel - Director, PwC
11.00-11.45 uur – Theater 2
Over de sessie:
The 2014 Information Security Breaches survey aims to measure and interpret how well
organisations face highly skilled adversaries.
The presentation will address the state of information security today, as well as the impact
of management on this state. Today’s security defences are discussed, as well as what
participating organisations actually due when
an incident took place. Also dealing with the
aftermath of an incident is addressed. Finally,
the impact on participants’ business is discussed, and lessons learnt are presented.
Over de spreker:
Marc Sel is working for
PricewaterhouseCoopers
‘Advisory Services’ in Belgium as a Director, specialised in IT Performance
Improvement. I joined the
firm in january 1989 as
a Consultant. Over time,
I specialised in the field
of security, both from the technical and from
the organisational/management perspective. I
performed specialised in-depth reviews, assisted clients with the selection of solutions, and
performed implementations. Areas I worked
in include authorisations and access control,
network security, PKI, smartcards, as well as
information security organisation and policies,
standards and guidelines.
est aujourd’hui juge d’instruction, à Bruxelles, spécialisé
dans la lutte contre la criminalité en col blanc. Il s’est notamment illustré dans les dossiers
de la Belgolaise, de Georges
Dumortier ou encore du délit
d’initié dans l’affaire Fortis.
Seminarie:Where is our privacy?
Spreker: Cain Ransbottyn - Founder, The
Other Agency
13.00-13.45 uur – Theater 2
Over de sessie:
Meer info vindt u op www.infosecurity.be
Over de spreker:
A Chief Digital Officer with a broad technical
background intersecting corporate strategy,
marketing, technology and innovation. Expert in driving growth by converting traditional analog businesses into digital ones. He
oversees operations in rapidly
changing digital sectors, such
as mobile applications, social
media and related applications, virtual goods, as well as
“wild” web-based information
management and marketing.
Not just a marketeer, new media architect or
social media evangelist, or a people, sales
or project manager, but a cocktail of all the
above with a thorough technical background.
With the experience required for a digital
publisher of this era, that can liaise between
management and editors-in-chief, speaking a
language they can each understand.
Seminarie: Bedtime stories of a Storm Chaser
Spreker: Peter Strickx - Directeur-Generaal Systeemarchitectuur, Standaarden & Support / CTO, FEDICT
14.00-14.45 uur – Theater 2
Over de sessie:
Definition, architecture and obstacles on the
road of a G(overnment)-cloud project
Over de spreker:
Peter Strickx holds a MSc
in Computer Science (Artificial Intelligence) from the
Vrije Universiteit Brussel
(VUB), where he graduated
in 1987. In 91 he participated in starting Sun Microsystems Belgium.
From the start of Fedict, the Belgian Federal
Government’s eGov/ICT Service, in 2001, Peter Strickx has been their Chief Technology
Officer. He was the technical lead in projects
such as FedMAN, Universal Messaging Engine/Federal Service Bus (UME/FSB)and the Federal Authentication Service and co-authored
papers on open standards and the use of ODF.
In 2013 he was the executive lead in launching
a public tender for a G(overnment-cloud
(IAAS platform).His interests include programming languages and microprocessor &
network technology.
Keynote: Hacking et répression pénale
Spreker: Michel Claise - Onderzoeksrechter
12.00-12.45 uur – Theater 2
THEMA’S
Cloud
Computing
24
Cyber
Security
Data Center &
Infrastructure
Optimisation
Data Growth
& Storage
Capacity
Enterprise
Mobility
IT Service
Management
& Control
Privacy,
Governance
& Risk
Management
BEURSSPECIAL | WWW.INFOSECURITY.BE | WWW.STORAGE-EXPO.BE | WWW.THETOOLINGEVENT.BE
Over de Keynote:
Dans son exposé « Hacking et répression
pénale », Monsieur Michel Claise, abordera
quelques principes de la répression pénale
des faits de hacking. Il parlera également de
cas d’espèces rencontrés actuellement.
Over de spreker:
Michel Claise fut avocat durant vingt ans et il
INFOSECURITY MAGAZINE - NR. 1 - MAART 2015
25
g
Seminaroverzicht Woensdag 25 - Donderdag 26 maart
BRUSSELS EXPO
INFOSECURITY.BE: TECHNISCHE SEMINARIES
WOENSDAG 25 MAART
Seminarie: Hacking Challenge: Leer denken
als een hacker (powered by Deloitte)
Spreker: Joris Lambrechts - Manager Cyber Risk Services, Deloitte
12.00-12.45 uur – Theater 1
Over de sessie:
Always wanted to test your hacking skills, but
never found the right target, audience or excitement? Soon you can find it all at Infosecurity.
be! 10 teams of 2 people will compete for the
trophy in an exciting Deloitte Hacking Challenge. You will work in teams of two and try to
gain access to the systems and data of a fictitious organization in a Capture-The-Flag type
of game. The Deloitte experts will guide the
audience through the hacking game as your
actions and those of your opponents are monitored and shown on a large screen for the
audience. Your opponents keep a close eye
on your score in the battle for fame and an
award! Do you want to test your hacking skills
and think you can win? Then don’t hesitate and
sign up!
Over de spreker:
Joris is a member of the Enterprise Risk Services department of Deloitte in Brussels and a
member of the worldwide Security & Privacy
Services Group
of Deloitte, which
primarily delivers
expertise in technical and organizational aspects
of information security. He has experience in
information security and security architecture
with significant expertise on the financial and
public sector.
Seminarie: CERT.be and security in Belgium:
past, present and future
Spreker: Christian Van Heurck - Coordinator, CERT.be
13.00-13.45 uur – Theater 1
Over de sessie:
After some rough years CERT.be is rebuilding
its services again, aiming to face some tough
challenges in the years to come. This talk will
offer a glance into the future of infosec in Belgium, supported by some very interesting
and revealing statistics gathered since its existence.
Over de spreker:
Christian Van Heurck studied physics in Antwerp (RUCA) and Brussels (VUB), where he
graduated. After his studies he continued as
26
an electron microscopy researcher at the
EMAT lab (RUCA). He
then switched to IT as
project manager for
the Port of Antwerp’s
IT department ICH
and as manager for the
services & helpdesk
department of Telepolis Antwerpen. He then
moved to Cultuurnet Vlaanderen as system &
application manager for the Cultuurdatabank.
Christian joined Belnet’s CERT team in 2007
as a Security Analyst and he is now head of
CERT.be, the Belgian Federal Cyber Emergency Team, also known as “the firemen of the
Belgian internet”.
Seminarie: One Packer to Rule Them All: Empirical Identification, Comparison
and Circumvention of Current Antivirus Detection Techniques
Spreker: Arne Swinnen - Senior IT Security
Consultant, NVISO
14.00-14.45 uur – Theater 1
Over de sessie:
Many popular anti-virus solutions claim to
be effective against unknown and obfuscated
malware, but remain vague about how they
supposedly achieve this goal. This presentation presents empirically discovered results
on the various implementations of these methods per solution, which reveal that some anti-virus solutions have more mature methods
to detect x86 malware than others, but all of
them are lagging behind when it comes to
x64 malware. Several new evasion techniques
are presented, through which real-world malicious executables with a high detection rate
were rendered completely undetected to the
prying eyes of anti-virus products.
Over de spreker:
Arne Swinnen works as
an IT Security Consultant
at NVISO with a strong
emphasis on technical security. He has experience
with a myriad of security
services, such as blackbox penetration tests, application source code
reviews, digital forensics and secure development training. Arne also conducts research
in the field of IT security both in his own time
and as a member of the Research & Development team at NVISO. His current research
field of interest is malware in both the mobile
and desktop ecosystems. He is an occasional
speaker at technical security conferences
such as BruCON and Black Hat USA.
Seminarie: Security challenges of the Internet of Things
Spreker: Danny De Cock - Senior Researcher, KULeuven
15.00-15.45 uur – Theater 1
Over de sessie:
In this presentation we will sketch the main
security issues we encounter when deploying
the Internet of Things. We will also provide a
set of rules of thumb to deal with these effectively.
Over de spreker:
Danny received a Master’s Degree in Computer
Science and a Ph.D in Engineering Science from
the Katholieke Universiteit
Leuven. He is specialized
in computer security and
industrial cryptography applications. He is particularly
interested in applied cryptography and conducts research on the analysis of identity management systems, online and electronic voting mechanisms, computer forensics, smart
cards, telematics systems, electronic banking
and payment systems, biometric authentication systems and home automation
DONDERDAG 26 MAART
Seminarie: Hacking Challenge: Leer denken
als een hacker (powered by Deloitte)
Spreker: Joris Lambrechts - Manager Cyber Risk Services, Deloitte
11.00-11.45 uur – Theater 1
Over de sessie:
Always wanted to test your hacking skills, but
never found the right target, audience or excitement? Soon you can find it all at Infosecurity.
be! 10 teams of 2 people will compete for the
trophy in an exciting Deloitte Hacking Challenge. You will work in teams of two and try to
gain access to the systems and data of a fictitious organization in a Capture-The-Flag type
of game. The Deloitte experts will guide the
audience through the hacking game as your
actions and those of your opponents are monitored and shown on a large screen for the
audience. Your opponents keep a close eye
on your score in the battle for fame and an
award! Do you want to test your hacking skills
and think you can win? Then don’t hesitate and
sign up!
BEURSSPECIAL | WWW.INFOSECURITY.BE | WWW.STORAGE-EXPO.BE | WWW.THETOOLINGEVENT.BE
Over de spreker:
Joris is a member of the Enterprise Risk Services department of Deloitte in Brussels and
a member of the worldwide Security & Privacy Services Group of
Deloitte, which primarily delivers expertise
in technical and organizational aspects of
information security.
He has experience in information security and
security architecture with significant expertise on the financial and public sector.
Seminarie: Android application protection
Spreker: Heidi Rakels - CEO, GuardSquare
12.00-12.45 uur – Theater 1
Over de sessie:
Mobile apps are vulnerable and prone to attacks: reverse engineering, piracy, data theft,
and insertion of malware. With these apps
living on mobile devices, outside the control
of their developers, perfect protection is fundamentally impossible. However, by applying
multiple layers of obfuscation, developers can
raise the bar for attackers. We describe a
number of techniques applied in the Android
world.
Over de spreker:
Heidi Rakels is the
CEO of Saikoa BVBA,
the company that creates ProGuard and
DexGuard. ProGuard
is the open-source
optimizer and obfuscator in Google’s
Android SDK, used
by millions of developers. DexGuard is its
commercial sibling
that focuses on Android app protection.
the power of stopping fraud even before it
happens.
Over de spreker:
Filip brings 15 years of experience
in cyber-security
and intelligence,
and was at the
forefront in defending Fortune 500
companies and governments against malware
attacks. As an advisor in Information Operations and cyberwarfare, he has a strong technical background, while blending this with
governance experience gained while implementing ISMS systems for critical infrastructures and architecting mobile banking channels
for major banks. His background in cyber-security, big data, artificial intelligence and mobile make him an expert on next generation
mobile security topics.
Seminarie: PDFs, Passwords and Passion
Fruit - Public Problems and Personal Protection
Spreker: Bruce Wynn - Independent Freelance Cyber Consultant
14.00-14.45 uur – Theater 1
Over de sessie:
In a unique style, and with a selection of live
and vivid demonstrations of the realistic threats that attacks from ‘the bad guys’ pose to our
personal way of life, Bruce will then graphically emphasise what simple precautions we can
all take to mitigate the dangers, and how those
precautions can defeat a large number of the
risks we all face!
He does nothing sophisticated or difficult, but
his aim in the session is to:
• Open Your Eyes
• Focus Your Mind
• Stimulate Your Imagination
• Scare you Half to Death
• (Resuscitate You!)
Over de spreker:
After more than 34 years of
military ‘cyber’ experience,
Bruce has for the last 10 years
been an external consultant
into commercial organisations
(from blue-chip/Fortune 100
to SMEs) as well as to government departments, on both sides of the Atlantic. He speaks
and demonstrates widely on the subject of
‘Cyber’, and is a regular at hacker events like
Black Hat, DefCon, 44Con, and bSides. This
year he has already been an invited speaker
in South Africa, Prague, Bucharest, Las Vegas,
San Diego, and Istanbul, and was the closing
keynote speaker at NATO’s big Cyber/Information Assurance Conference in Mons.
Seminarie: Mobile context-aware security:
When Artificial Intelligence secures your channel
Spreker: Filip Maertens - Founder and
Chief Product Officer, Sentiance
13.00-13.45 uur – Theater 1
Over de sessie:
Learn how context-aware technology is used
to secure mobile transactions. Due to recent
advances in artificial intelligence and mobile,
banks and payment providers are capable to
further reduce fraud on the mobile channel,
while offering context-aware authentication
and transactions. Behavioral profiling unlocks
INFOSECURITY MAGAZINE - NR. 1 - MAART 2015
27
g
Seminaroverzicht Woensdag 25 - Donderdag 26 maart
BRUSSELS EXPO
INFOSECURITY.BE: CASE STUDY & SOLUTION SESSIONS
WOENSDAG 25
& DONDERDAG 26 MAART
Seminarie: Optimized Security for the Software Defined Datacenter
Spreker: Trend Micro Belgium
10.30-11.00 uur – Theater 4
gang hacked their way into highly secured
networks, using techniques coming straight
out of the APT playbook, and got away with
millions. The presentation will highlight their
modus operandi and discuss simple to advanced countermeasures that could have saved
each company millions and their reputation.
Sessie: Over de sessie:
As you build your modern data center, security is a critical consideration and yet often considered a painful necessity that slows down
data center operations. Don’t let security slow
you down. If you are using traditional security
technologies built for a physical data center,
there are better security options out there.
Options that understand and take advantage
of virtualization technology to fit your data
center needs. Join this session to learn how the
right security solution can automate security
as part of provisioning process, reduce management burden while still ensuring a highly
secure modern data center. Walk away with a
better understanding of how security can be
optimized for virtual environments to reduce
impact on resources.
Sessie: Security for the Next-generation
Data Centre
Spreker: Dimension Data
11.15-11.45 uur – Theater 3
Over de sessie:
The intelligent use of data is core to achieving
business success. Traditional data centre security approaches that worked before have
no place in the Next-generation Data Centre.
We now have to build new information security infrastructures that support virtualisation,
cloud and SDN, establishing the right security
ecosystem of controls, processes and policies.
This presentation provides insight on how to
deal with this new challenge and lays out a
structured approach for establishing a secure ecosystem of controls in the modern data
centre.
Sessie: The e-mail that will cost you millions
Spreker: Kaspersky Lab
11.15-11.45 uur – Theater 4
Over de sessie:
This presentation is a real case that will give
insight information of how a cybercriminal
28
Intelligent Cybersecurity for the
Real World
Spreker: Cisco Systems Belgium
Woensdag 12.45-13.15 uur –
Theater 3
Donderdag 14.15-14.45 uur –
Theater 3
Over de sessie:
Not only have the motives and persistence
of attackers increased, but also has their understanding of classic security technologies,
applications, and how to exploit the gaps
between them. Attackers are indiscriminate
as they relentlessly drive their attacks home,
frequently using tools that have been developed specifically to circumvent the target’s
security infrastructure. They employ a methodical approach to an attack that can be
demonstrated as an “attack chain” – the chain
of events that leads up to and through the phases of an attack. To truly protect across all attack vectors, we have to accept the nature of
modern networked environments and start
defending them by understanding how attackers think and what is required to secure our
infrastructure. Join our presentation and learn
more about Cisco’s threat-centric and operationalized approach to security and get a peak
preview of the highlights from the 2015 Cisco
Annual Security Report.
Sessie: The Threat Landscape
Spreker: Dell
12.45-13.15 uur – Theater 4
Over de sessie:
Bill Beverley will present the latest intelligence from the Dell SecureWorks on the cyber
threat landscape. He will discuss both targeted and commodity threats, and how the threat
landscape is changing. What are the motives
of threat actors, and what could make your organisation target? Bill will provide pragmatic
advice on what you can do to protect your critical information assets and reduce risk.
gulation – Encrypt now and prevent million dollar fines!
Spreker: Sophos
13.30-14.00 uur – Theater 3
Over de sessie:
The EU is currently finalizing their new Data
Protection Regulation which will apply one
consistent set of requirements for all organizations that hold data on European citizens. In
terms of personal data security, the proposed
legislation will require everyone who holds
data on European citizens to implement appropriate security measures to protect the
data. Failure to comply can incur fines of up
to €100 million or 5% annual turnover. Encryption is one of the most recommended security
measures to prevent such penalties. During
this session, Sophos’ Vincent Vanbiervliet tells
you what you need to know about this new
regulation and how you can prepare your
organization for its arrival. Make sure you’re
ready for what’s coming and don’t miss this
presentation!
Sessie: How to protect against the continued rise of DDOS attacks
Spreker: Proximus
13.30-14.00 uur – Theater 4
Over de sessie:
Meer info vindt u op www.infosecurity.be
The new EU Data Protection Re-
Over de sessie:
When people see the term “cloud”, it’s no longer a mystery. Having embarrassing celebrity
photos stolen, hacked or leaked from clouds
to the web this year made the cloud more visible. Until recently, only a few leading enterprises were leveraging the cloud as a way to gain
competitive advantage; but that will change in
2015. In this Juniper Network session we will
address, through example, how to leverage
the “cloud”.
We will explain how the Juniper Networks
portfolio of Routing/Switching and Security
can help you on this Journey. Juniper Networks
mission is to connect everything and empower everyone.
Sessie: The science of Big Data: Taking
security to a new level using the
global internet intelligence
Spreker: Akamai Technologies
15.45-16.15 uur – Theater 3
Application Firewalls and Managed Security
Service.
This will enable organizations to make the
right business risk and fraud detection decisions for their internet facing web applications.
Sessie: So you didn’t get hacked - now
what?
Spreker: Fox-IT
15.45-16.15 uur – Theater 4
Over de sessie:
A major incident is like opening Pandora’s
box: security controls didn’t work as expected, weren’t implemented well, or worse, were
non-existent. In short: you find yourself with a
long list of things that need to be improved.
Perhaps your SIEM failed to provide value,
missing patches weren’t mitigated for or you
simply realised that most tools are actually
useless without enough skilled people to run
operations with them. Learn the lessons that
others learned the hard way and prepare to
transform your organization: treat security as
a strategic value for the business, instead of as
an after-thought.
Sessie: Over de sessie:
Tim Vereecke explores how global intelligence gathered from 30% of the internet traffic
can be used to improve threat detection, attack prevention and real-time Client Reputation. Learn how this data can be used in real
world security applications, such as Web
Easy security monitoring and
automated anomaly detection at
European Union - EEAS
Spreker: SMT Simple Management Technologies
15.45-16.15 uur – Theater 6
Over de sessie:
This presentation will address European External Action Service (EEAS) security monitoring use case based on Splunk’s operations
intelligence platform in combination with automated self-learning anomaly behavior detection from Unomaly. Lex Crielaars, Solution
Architect at SMT will explain the benefits of an
operational intelligence platform for monitoring security and increase visibility of security
threat landscape, reporting of user-authentication and in-house applications. He will be
supported by Eric Daras, Security Officer at
EEAS.
Sessie: Who’s using your privileges?
Spreker: CyberArk
Woensdag, 16.00-16.30 uur –
Theater 5
Donderdag, 15.00-15.30 uur –
Theater 5
Over de sessie:
Strong perimeter security isn’t stopping
nowadays attackers from obtaining access
anymore. Recent attacks show that inside or
remote access to unmonitored privileged
accounts is a major concern for nearly all organizations. In this session, we will go through
some of these attacks and show step by step
how CyberArk can help by securing and monitoring privileged access to your sensitive
infrastructure.
Sessie: DDOS, a technical overview
Spreker: Telenet for Business
14.15-14.45 uur – Theater 4
Over de sessie:
More and more, DDOS attacks make it to the
front pages of publications : North Korea, France. Sometimes the reason for the attacks are
clear, sometimes it is less obvious. But what
are the several flavors of DDOS attacks? In this
talk, Marc will address them, explain with illustrations and show how one can prepare for
them. Because, in the context of “security by
design”, there is some good advice that can
already be helpful. And where products are
needed, implementation advice will be given.
Preparing to mitigate DDOS attacks starts with
the design and even definition of applications.
Sessie: Sessie: cloud, or be left behind
Spreker: Westcon Security
15.00-15.30 uur – Theater 4
Why ‘NOT’ Cloud? Expect 2015
to be the year to move to the
BEURSSPECIAL | WWW.INFOSECURITY.BE | WWW.STORAGE-EXPO.BE | WWW.THETOOLINGEVENT.BE
INFOSECURITY MAGAZINE - NR. 1 - MAART 2015
29
g
Seminaroverzicht Woensdag 25 - Donderdag 26 maart
STORAGE EXPO: MANAGEMENT SEMINARIES
Woensdag 25 maart
Seminarie: A New Generation of Storage
Spreker: Hans De Leenheer - Datacenter
Strategist, HaDeLe Services
14.00-14.45 uur – Theater 5
understanding language to answer customers
IT needs. As a Technology Evangelist he gets
the opportunity to share his passion & ideas
into different market segments and to make
the cloud adaptable & understandable for
everyone.
DONDERDAG 26 MAART
Over de sessie:
Today, storage has become a lot more interesting than a couple of years back. Cloud
storage, object storage, server side cache,
share-nothing distributed storage, all-flash &
hybrid, deduplication & compression, smartclones & snapshots, converged & hyper-converged, ... Instead of explaining what these
technologies are, you should go away knowing how they impact your datacenter architecture, your buying cycle and ultimately your
business.
Over de spreker:
The IT Hulk, Enterprise Clown
and Don Quichotte of Corporate Marketing are just a few of
Hans De Leenheer’s split personalities. Hans has worked for
customers, resellers and vendors, giving that
broad experience to be able to troubleshoot
storage issues or explain new technologies
to a C-level audience. As a recognized storage & virtualization blogger & independent
speaker, Hans is a well-known face at industry
events across the world. He is also a co-host of
the Enterprise Technologies podcast “In Tech
We Trust”.
Seminarie: How to build a solid infrastructure
Spreker: Pieter D’Haens - ICT Channel Development Manager, Proximus
15.00-15.45 uur – Theater 5
Over de sessie:
Get a different view on the way of designing
your existing infrastructure. By categorising
your storage & applications you can extend
your local environment with Storage & Infrastructure as a service.
What is possible and how can you build your
complete disaster recovery environment in
which RPO & RTO are based on your concerns and needs. Getting access to high secure environments where you can decide the
level of access & management. Get inspired in
how to build a solid infrastructure in the actual
world were hybrid has become a standard.
Over de spreker:
Pieter D’Haens is a Technology
Geek with the ability to translate complex technologies in an
30
Seminarie: Applying Information Management and Big Data Techniques to
Open (Government) Data
Spreker: Yves Vanderbeken - Account
Chief Technologist & Open Data
Expert, HP Enterprise Services
11.00-11.45 uur – Theater 5
Over de sessie:
Open (Government) Data is a strategic initiative in governments all over the world to offer
more transparency to citizens. Most governments have adopted an Open Data policy and
many datasets are available on a multitude of
websites (e.g. opendataforum.be) all around
the world. By using Information Management
and Big Data techniques we can now create
added value with these government datasets.
The session will feature a short introduction to
Open Data and explore possibilities for viewing and analyzing Open Data sets, including
new trends like Open Sensor Data.
Over de spreker:
Yves Vanderbeken is the HP Enterprise Services account Chief Technologist and Lead
Enterprise Architect for the Flemish
Government and Local Governments (Flanders). Since 2010, Yves
has been a core team member of
the Flemish Government’s Open Data team.
He has defined the technical strategy for setting up the Open Data platform and extracting,
transforming and publishing information in a
consistent manner. He is the co-author of the
Open Data Handbook that was published by
the Flemish Government in February 2014. He
coaches and advises the various departments
on their Open Data Master Plan and how to
disclose data from their source systems to the
Open Data platform, thereby ensuring data
quality and consistency across datasets.
Seminarie: VMWare Cloud Management
Platform – Management & Automation for Hybrid heterogeneous
Cloud
Spreker: Colin Fernandes - Global Cloud
Solution Evangelist, VMWARE
13.00-13.45 uur – Theater 5
BRUSSELS EXPO
STORAGE EXPO: TECHNISCHE SEMINARIES
Over de sessie:
The session will provide an concise update
on our unique value proposition and demonstrate our continued leadership and innovation we bring to the market with our integrated
solution offerings and share real customer use
cases.
Over de spreker:
Colin has had over 32 years in IT
experience including start up Tivoli (startup) IBM Mercury, HP and
ATG . My current role at VMware focused on
driving and enabling customer and partners
to acknowledge and demonstrate business/IT
value in context of Cloud Management transformation and , and provide an overview of
our SDDC Cloud Management Platform solutions to support critical customer initiates
Seminarie: Preventing a digital dark age:
Case study In Flanders Fields
Museum
Spreker: Dries Chaerle - Medewerker
Kenniscentrum IFFM & Jan Guldentops - Consultant, BA
14.00-14.45 uur – Theater 5
Over de sessie:
More and more we live our lives in a digital, online world. In tremendous volumes we
produce all kinds of multimedia material and
documents but how will this digital society be
able to keep its memory. How do we prevent
that in centuries to come, historians looking
back at the beginning of the 21th century will
confront a digital desert comparable to the
dark ages, the period after the fall of the roman
empire of which we have almost no written records. In this presentation we discuss how the
In Flanders Fields Museum uses new techniques like crowd sourcing, big data and digital
preservation to create new insights in the past.
We will present our problems with long-term
preservation and the solutions we see.
Over de spreker:
Dries studied philosophy and political science. As from the first of january 2015 he is in
charge of the digital program at the In Flanders Fields Museum
Jan (° 1973) is an historian by education who
found his vocation as a security-consultant
and researcher in 1996 after exposing serious, fundamental security problems in the
first Belgian internet banking system. Since
then he has been working on both sides of
the frontline exposing security problems and
trying to build fundamentally secure solutions
with his team @ BA.
BEURSSPECIAL | WWW.INFOSECURITY.BE | WWW.STORAGE-EXPO.BE | WWW.THETOOLINGEVENT.BE
WOENSDAG 25 MAART
Seminarie: 2015: Will the Internet-of-Things
break loose?
Spreker: Piet Vandaele - Managing Director, WAYLAY
12.00-12.45 uur – Theater 5
Over de sessie:
The Internet-of-Things (IoT) embeds sensors
in everyday objects and connects them to the
cloud to enable a whole range of new services
in various markets. The 2014 Gartner hype
cycle for emerging technologies ranked the
Internet-of-Things at the top of the hype cycle. Every day, the news is full of new product
announcements about IoT. This presentation
will go beyond the hype. We will discuss the
business and technology drivers behind IoT,
the main components of an IoT solution and
we will explain how IoT leverages other technology trends.
Over de spreker:
Piet Vandaele is
entrepreneur,
co-founder and
MD of waylay.
Piet has 10+
years of experience in bringing to market
new B2B software
technologies
and
has previously
been working
in M2M, predictive maintenance, device management, desktop virtualization, customer
care and telecommunications. He previously
had positions in marketing, product management, business development and presales.
Piet holds a MSc. in Engineering, a PhD in applied sciences and an MBA degree from Vlerick Business School.
management area. He has a
wealth of systems management expertise, and uses
this expertise to help his
customers to achieve an
easier to manage ICT environment. Alexandre
is an ITIL- certified engineer and strives to
deliver quality on every single assignment
he has. Additionally he believes strongly in
sharing knowledge amongst his peers, for
this particular belief he founded the System
Center User Group Belgium. As an industry
expert Alexandre is a frequent speaker and
ask-the-expert guest at both national and international events. In line with the continued
education principle Alexandre can also be
found at both national and international industry events to stay on top of what is moving in
the industry, watch industry trends, and analyze how this might benefit its customers.
DONDERDAG 26 MAART
Seminarie: The Flash impact on a Datacenter
Network
Spreker: Leon Van Dongen - Sr. Sales Engineer, Brocade
12.00-12.45 uur – Theater 5
the background of flash. New technology will
address specific needs and as always push
a problem into a different direction. Brocade,
the datacenter network market leader, anticipates on these levels to gain maximal advantage from technology inventions and improvements.
Over de spreker:
Leon is een storage veteraan met zijn oorsprong bij Fluke Europe. Juist in deze positie is de ervaring als
eindgebruiker opgedaan. Een succesvolle
samenwerking
met
EMC trok zijn aandacht
om aan de leverancierstafel te geraken.
Als systems engineer bij EMC om de transitie
naar open systemen verder mee op te bouwen en tot een succes uit te breiden. Bouwen
zit hem in het bloed vandaar dat hij in NL als
eerste Systems Engineer voor Brocade is begonnen. Hier is hij na een uitstapje van 2 jaar
weer terug als senior systems engineer. Het
uitstapje naar Flash pionier Violin Memory is
een ontzettend leuke en leerzame periode
geweest wat hem ontzettend verreikt heeft.
Over de sessie:
This presentation will dive a bit deeper into
Seminarie: The cloud in your own datacenter
Spreker: Alexandre Verkinderen - Managing Consultant, Inovativ
13.00-13.45 uur – Theater 5
Over de sessie:
Hybrid cloud, what does it mean and what can
you do with it? Come and see this session to
learn how you can implement an hybrid cloud
infrastructure. One platform for public, private
and hosted cloud.
Over de spreker:
Alexandre is an industry expert in the systems
INFOSECURITY MAGAZINE - NR. 1 - MAART 2015
31
g
Seminaroverzicht Woensdag 25 - Donderdag 26 maart
BRUSSELS EXPO
STORAGE EXPO:CASE STUDY & SOLUTION SESSIONS
THE TOOLING EVENT: CASE STUDY & SOLUTION SESSIONS
WOENSDAG 25
& DONDERDAG 26 MAART
WOENSDAG 25
& DONDERDAG 26 MAART
Sessie: A game-changer in the data centre: hyper-converged Dell solution
Spreker: Dell
10.30-11.00 uur – Theater 3
setup? Your immediate success factors will be
in your approach and the way you would plan
and combine the ‘old and the new’ in the Next
Generation Datacenter. This is a presentation
with best practices and interesting business
case.
Sessie: Network virtualization and application delivery consolidation
Spreker: Citrix
15.00-15.30 uur – Theater 3
Sessie: Transform a Complex IT Environment using the Cloud
Spreker: ServiceNow
Woensdag, 10.30-11.00 uur –
Theater 6
siak, Director, Technology Solutions, CHAMP
Cargosystems S.A., will discuss:
• ServiceNow integrations with Splunk, Twilio
and Algosec
• IT automation, including password resets
• SnowMirror with Tableau for BI insight
• Government Risk & Compliance (GRC) in IT,
including its ISO27001 certification
Sessie: Over de sessie:
With the advent of the Software Defined Data
Center, storage is rapidly becoming hyper-converged. Data Protection is evolving to
meet the ever increasing scale of data storage
and to protect the logical storage pools introduced by Software Defined Storage (SDS).
Learn more about a revolutionary hyper-converged solution based on the latest generation of Dell’s SDS-ready servers, powered by
the leader in hyper-converged software (IDC
MarketScape, Dec 2014) and protected by the
Dell Data Protection Offerings, based on SLA,
Workload, Virtual Machine Density, Application Protection, Backup Storage, Cloud and Disaster Recovery.
Sessie: Veeam - Availability for the Modern Data Center
Spreker: Veeam
12.00-12.30 uur – Theater 3
Over de sessie:
High-Speed Recovery; Data Loss Avoidance;
Verified Protection; Risk Mitigation; Complete
Visibility
Beyond SDN… Cisco Application Centric Infrastructure for
Next-Generation Datacenters
Spreker: Cisco
Woensdag, 14.15-14.45 uur –
Theater 3
Donderdag, 12.45-13.15 uur –
Theater 3
Over de sessie:
Datacenter infrastructure is currently undergoing a massive landscape change, dictated
by evolving requirements from shifting consumption models. Cisco’s Application Centric
Infrastructure (ACI) is a holistic architecture
for datacenters with centralized automation
and policy-driven application profiles, delivering software flexibility with the scalability of
hardware performance. ACI brings the following benefits aligned to new requirements
arising in modern datacenter environments :
• Simplified automation by an application-driven policy model
• Centralized visibility with real-time, application health monitoring
• Open software flexibility for DevOps teams
and ecosystem partner integration
• Scalable performance and multi-tenancy in
hardware
mers are becoming more demanding; ideally,
everything should have been done yesterday.
How do we cope with these critical customers
and how can we ensure that the customer is
satisfied? Together we will look at where it
goes wrong and how we can, to a certain extent, solve this.
Sessie: Over de sessie:
In the last decade many IT Managers managed to successfully save costs by virtualizing
servers, storage, applications and desktops.
Citrix has been the leading vendor to virtualize these applications and desktops but
the next logical step consists of network and
application delivery virtualization and consolidation. This session will dive deeper on
technologies to help you increase application
delivery in a secure way and consolidate the
appliance sprawl.
Over de sessie:
Companies count on their IT teams to deliver
new services faster – and keep them running.
However, limited visibility into the IT resources
and dependencies that support them stand
between the IT team and their goals. In this
session, you will learn how CHAMP Cargosystems S.A. is using ServiceNow at the heart of
its cloud operations and management team to
deploy new services and manage change in
its complex IT environment.
As part of this presentation, Wojciech Solty-
Sessie: Social Service Management: is it
all about meeting expectations?
Spreker: TOPdesk Belgium
11.15-11.45 uur – Theater 6
Over de sessie:
IT is not always easy. On the one hand, we have
to maintain an infrastructure, which everybody
takes for granted. On the other hand we get
a whole lot of questions, remarks and ideas.
At the end of the day it turns out we often do
not meet all expectations. In short, our custo-
Challenges & Benefits of Integrated Business Service Management
Spreker: OMNINET Software Solutions
12.00-12.30 uur – Theater 6
Over de sessie:
Service Organizations are constantly looking
for ways to improve their operational efficiency. Processes are more or less under control,
but a fragmented software landscape often
leads to data duplication, large maintenance
effort and an overall inefficiency. The trend is to
evolve from IT Service Management to a com-
Sessie: Sessie: How do you transform your business into a business service center?
Spreker: Dimension Data
12.00-12.30 uur – Theater 4
Over de sessie:
Cloud, mobility and software defined datacenter developments are giving us opportunities with the adjoining challenges. How
to Transform your datacenter to a business
service centre that will scale to the increasing
demands from the business and their users.
With the promise of cloud computing as the
new delivery model for IT new questions arise
: How do you decide which applications you
will host out of a cloud environment and when
do you migrate these ? How would you merge
your existing environment with a cloud-like
32
Do you need to easily and professionally manage all mobile devices in your organization? What
about Dell?
Spreker: Dell
Woensdag, 14.15-14.45 uur –
Theater 6
Donderdag, 10.30-11.00 uur –
Theater 6
Over de sessie:
Companies are facing critical choices regarding mobility. End users want maximal flexibility while security still needs to be in place.
Data needs to be available on all devices the
end user wants but how do we manage all those devices? How can we make IT as agile as
possible to keep up with the rapidly changing
business without adding too much complexity?
BEURSSPECIAL | WWW.INFOSECURITY.BE | WWW.STORAGE-EXPO.BE | WWW.THETOOLINGEVENT.BE
INFOSECURITY MAGAZINE - NR. 1 - MAART 2015
33
g
Seminaroverzicht Woensdag 25 - Donderdag 26 maart
plete and integrated Business Service Management, covering the lifecycle from CRM-,
Project-, Service- and Finance Management.
This pragmatic and hands-on presentation
focusses on the benefits and challenges that
service organisations are facing during this
transition and on how an increase in efficiency
and cost reduction can go hand-in-hand.
Sessie: Manage the full asset lifecycle
and deliver business value
Spreker: Axios Systems
12.45-13.15 uur – Theater 6
Over de sessie:
IT Asset Management (ITAM) and IT Service
Management (ITSM) share the same goal: managing technology to deliver business value.
In this session IT Service Management experts of Axios will elaborate on why it makes
sense to help IT Asset Managers work in harmony with IT Service Managers and explain
why we’re continually evolving the ITAM capabilities of our assyst product - to help you deliver more business value from technology. We
believe that Solid IT Asset Management and IT
Service Management are critical to business
continuity and agility. Integrating ITAM and
ITSM helps you manage your infrastructure
and operations to deliver maximum business
value while reducing risk.
Sessie: What is the impact of customer
service on your customer experience?
Spreker: FrontRange
13.30-14.00 uur – Theater 6
Over de sessie:
Customer dissatisfaction, bad availability figures, repeat traffic and complaints are being
perceived in many organizations as a problem
of customer service. But is this correct? What
influence does customer service have on your
customer experience? Customer Experience
is the basis for all your interactions with your
customers. In this era it is important for (IT-)
organizations to introduce innovative services
so customers can be served faster, better and
more efficient. Learn during this session how
a multichannel strategy, flexibility, automation
and telephony-integration with your service
management solution can have a positive contribution on your customer experience.
Sessie: 34
Consolidate and Automate Enter-
prise Service Management
Spreker: ServiceNow
Donderdag, 14.15-14.45 uur –
Theater 6
Over de sessie:
Working asynchronously via email, spreadsheets and other 20th century tools has become ingrained in our day-to-day business
life. The problem is that they make it difficult
to keep track of what has been done, where
employees are in a process and the status of
what your team has worked on, or have any
contingency when a key team member is out.
Alain Menezes, Manager, IT Quality & Compliance, Bridgestone Europe NV/SA will share
how the IT organisation has embarked into a
transformation path with ServiceNow as the
“Single place of truth” todeliver servicesconsistently across the enterprisein a multi-vendor context, creating a modern and efficient
work environment. He will explain how his
team has consolidated and automated service
management processes, increasing visibility,
efficiency and improving user-experience,
automating a number of enterprise processes
such as employee on-boarding.
Theater 6
Over de sessie:
The workspace of the future is a Personal
Cloud that consists of many Apps, many Devices, many Data and many IT-Services that are
provided on-premise or/ and are consumed
as a cloud service. The Personal Cloud is the
next major evolution of the user experience.
As the Personal Cloud rises in importance,
IT organizations will find current approaches
to dealing with users will fail. IT leaders are
seeking for an easy button to manage the
hybrid personal cloud of end-users. Learn in
this session about the challenges that Personal
Cloud brings to IT organizations and how IT
can control and secure it through a management solution from the Cloud.
Sessie: The impact of Enterprise Mobility
on IT Service Management and
Compliance
Spreker: Matrix42
Woensdag, 15.00-15.30 uur –
Theater 6
Over de sessie:
Today’s employees have the desire to work
from anywhere, anytime and on any device.
To support mobile work-styles many IT organizations have started to use Enterprise Mobility Management (EMM) solutions to control
the Mobility Tsunami. But a Mobility project is
more than just technology and does not end
with the ability to deploy Apps and Data to
devices. The mobile workspace creates new
requirements on IT Service Desk and the
Compliance processes and teams. Learn in
this session about the impact of Mobility on IT
Service Management and License Management and how to avoid the most common pitfalls in Mobility projects.
Sessie: Workspace Management as a
Service: Managing the Personal
Cloud from the Cloud
Spreker: Matrix42
Donderdag, 15.00-15.30 uur –
BEURSSPECIAL | WWW.INFOSECURITY.BE | WWW.STORAGE-EXPO.BE | WWW.THETOOLINGEVENT.BE
WATCHGUARD EN FROST & SULLIVAN PUBLICEREN EBOOK:
IN
DRIE
STAPPEN
NAAR EEN VEILIG NETWERK
Naast menselijk falen blijft onvoldoende aandacht voor de technische aspecten een van de
grootste problemen waar we mee worstelen als het om security gaat. Daarom publiceren
WatchGuard en onderzoeksbureau Frost & Sullivan nu een eBook om in een handvol stappen
de veiligheid van het netwerk drastisch op te voeren.
Goed opgeleide medewerkers die weten aan welke procedures zij zich dienen
te houden, zijn van cruciaal belang voor
een kwalitatief hoogwaardige IT-security.
Maar er is meer nodig om een netwerk
schoon te houden. Er is ook een aantal
technische maatregelen nodig. Daarbij
hebben zowel grote als kleinere organisaties behoefte aan technische oplossingen die eigenlijk alleen bij enterprise-organisaties betaalbaar waren. Een
aantal security-aanbieders is er echter in
geslaagd om de kosten van ‘enterprise
grade security’ te verlagen waardoor ook
middelgrote en kleinere ondernemingen
en overheidsorganisaties hier nu gebruik
van kunnen maken.
EBOOK
Zeker voor kleinere bedrijven is dit echter een lastige stap. Men heeft vaak intern
slechts de beschikking over een beperk-
te hoeveelheid mensen en middelen, terwijl het vaak ook ontbreekt aan de diepgaande kennis die bij de IT-afdelingen
van grote concerns juist volop aanwezig
is.
WatchGuard is daarom een samenwerking aangegaan met onderzoeksbureau
Frost & Sullivan voor het samenstellen
van een eBook getiteld ‘Fulfilling the
Promise of Unified Threat Management
(UTM): Unlocking Full UTM-Enabled Network Protection’. In dit digitale boekje
wordt in drie stappen aangegeven hoe
ook kleinere organisaties hun IT-security
op enterprise-niveau kunnen brengen.
UTM-AANPAK
“Hoewel veel bedrijven stellen dat hun
eisen en wensen ten aanzien van IT-security bepalend zijn voor de planning
van hun netwerkcapaciteit, is de realiteit
anders”, zegt Chris Rodriquez, senior industry analist netwerk-security bij Frost
& Sullivan. Hij is tevens de auteur van
het eBook. “UTM-platformen staan onder
enorme druk om tegemoet te komen aan
de almaar toenemende eisen die organisaties aan hun beveiliging stellen.”
In de publicatie geeft Rodriquez drie
stappen aan die zullen leiden tot een
UTM-aanpak die niet alleen vandaag de
dag voldoet, maar die tevens een goede
voorbereiding inhoudt op de toekomst.
DRIE STAPPEN
Stap 1: Richt de aandacht op de prestaties van het UTM-platform en niet op die
van de firewall alleen. Veel aanbieders
leggen de nadruk op de prestaties van
hun firewall als deze stateful wordt gebruikt. Kijk vooral naar de prestaties als
ook de UTM-functionaliteit in gebruik is.
Stap 2. Analyseer zorgvuldig de gegevens die testlabs publiceren. Dan zal vaak
blijken dat in deze tests UTM-prestaties
worden vergeleken wanneer het systeem
in feite als een andersoortig security-apparaat wordt gebruikt. Bijvoorbeeld als
een IPS (intrusion preventive system).
Stap 3. Kies bij voorkeur niet voor een
traditionele firewall maar juist voor een
UTM-platform. Zulke systemen kennen
een modulaire architectuur en zijn dus
volledig voorbereid op uitbreiding van
de functionaliteit. Hierdoor zal ook de
impact van eventuele nieuwe security
features nauwelijks invloed hebben op
de netwerkprestaties.
Het eBook kan hier worden gedownload:
http://bit.ly/1zQQiTl.
INFOSECURITY
INFOSECURITYMAGAZINE
MAGAZINE- -NR.
NR.11--MAART
MAART2015
2015
35
35
SOFTWARE-DEFINED NETWORKING
HOE VEILIG
IS EEN PROGRAMMEERBARE
INFRASTRUCTUUR?
Veel mensen zien software-defined networking als een van
de grootste veranderingen in IT sinds de verschuiving van
mainframes naar desktops. Overigens zijn het niet alleen
LANs’, WAN’s en datacenternetwerken die de gevolgen
ondervinden van deze verschuiving. Software krijgt steeds
meer dominantie in alle onderdelen van de IT-infrastructuur
en daar is een goede reden voor. Op software gebaseerde systemen beloven meer flexibiliteit, schaalbaarheid en
automatisering. Het ideaalbeeld voor dergelijke systemen
zou zijn dat de volledige IT-omgeving direct op afstand te
programmeren is. Daarmee is beter in te spelen op de dynamiek, waarmee organisaties tegenwoordig te maken hebben. Maar hoe veilig is zo’n programmeerbare infrastructuur
eigenlijk?
Stephen Mills, Global Security Consulting Product Manager en Gary
Middleton, Business Development Manager for Networking bij Dimension Data
vinden dat de sector verzuimt kritische
vragen te stellen over beveiliging. Hoe
kwetsbaar is een programmeerbare infrastructuur? En als de risico’s groter zijn
dan bij een hardware-georiënteerde omgeving, hoe kan software-defined beveiliging dan bijdragen aan het verlagen van
risico’s?
OPKOMST
Middleton wijst erop dat de programmeerbare infrastructuur weliswaar nog
in de kinderschoenen staat, maar dat het
niet lang meer zal duren voordat het een
realiteit is in de ICT-sector. “We zien al
orkestratie- en automatiseringstechnologieën in het datacenter en software-defined LAN’s en WAN’s die voor betere
ondersteuning zorgen van applicaties en
technologieën. Er wordt in de branche
ook al gesproken over programmeerbare mobiliteitsoplossingen en beveiligingsinfrastructuren.”
De route richting programmeerbaarheid
wordt vooral gedreven door de open
source-beweging - zoals Open Stack en de orkestratietools die steeds meer
worden ingezet. Middleton noemt ook
de opkomst van de DevOps-benadering.
“In essentie maakt die het mogelijk om
de infrastructuur voor een bepaald zakelijk doel te programmeren terwijl de
infrastructuur draait. Hetzelfde team is
verantwoordelijk voor de ontwikkeling
én de bedrijfsvoering. Vandaar de term
‘development operations’. Facebook,
bijvoorbeeld, voert wel dertig infrastructuurupdates per dag uit met gebruik van
DevOps-technologie. Dat is een tempo
dat in een hardware-omgeving ongehoord is. Wij zijn al begonnen met de
evolutie naar een flexibeler manier van
het runnen van ICT-infrastructuren. Dat
is mogelijk door software. Er blijft altijd
behoefte aan hardware, maar we gaan
ervan uit dat de hardware-laag langzamerhand steeds dunner zal worden op
alle infrastructuuronderdelen.”
BEVEILIGING EN RISICO’S
“Het is waar dat de programmeerbare
infrastructuur nog in zijn kinderschoenen
staat”, zegt Mills. “Dat zorgt voor meer risico’s omdat de branche nog geen inzicht
heeft in de volle breedte van bedreigin-
36
'Software krijgt steeds
meer dominantie in alle
onderdelen van de ITinfrastructuur'
gen. Veel technologie die we tot nu toe
hebben gezien, is niet ontwikkeld en
geïnstalleerd met het oog op beveiliging.
Sterker nog: de software-defined infrastructuur als brede beweging heeft zich
vanaf de start niet bekommerd om beveiliging. De beveiligingsindustrie loopt
nu achter en moet opgeleid worden. We
moeten weten wat de bedreigingen en
risico’s zijn en wat ze voor iedere organisatie specifiek betekenen.”
“In de traditionele beveiligingswereld
gebruikten we hardware in de vorm van
netwerkpoorten om de luiken te sluiten”,
zegt Mills. “Wanneer je poorten dicht
zijn, is de infrastructuur beschermd tegen bedreigingen. Vergelijk het met een
slotbrug van een kasteel. Dat is nu anders. De applicatielaag domineert de infrastructuur. Die moet daarom open zijn,
omdat anders de business schade lijdt.
Dit is een probleem voor de beveiliging,
omdat de omgeving ook openstaat voor
ongeautoriseerde toegang.”
“In de afgelopen zes tot zeven jaar is de
manier waarop we applicatiebeveiliging
evalueerden veranderd”, stelt Mills. “Nog
niet zo lang geleden was dit voor ons
een compleet nieuw terrein. Nu is het
onderdeel van ons DNA. Wij moeten nu
ook kennis hebben van de applicatielaag,
omdat de programmeerbare infrastructuur zich daar bevindt.”
HET BEVEILIGEN
Middleton en Mills zijn het erover eens
dat de basisprincipes van beveiliging
ook bij de inzet van nieuwe technologie gelden, of het nu gaat om mobility,
de cloud of software defined netwerken.
Middleton: “De programmeerbare infrastructuur is weliswaar een belangrijke
technologische trend met een belangrijke impact. Niettemin moeten organisaties
continu blijven letten op de beveiligingsaspecten.” Mills voegt daar aan toe: “Dit
onderstreept nog eens het belang van
een consistente benadering voor een architectuurraamwerk voor beveiliging. Ui-
teraard zul je op detailniveau verschillen
en variaties zien, zoals de tooling die je
gebruikt. Maar in de breedte zijn de benadering en de processen gelijk.”
“Bij informatiebeveiliging gaat het om de
data”, benadrukt Middleton. “En de drie
pijlers van databeveiliging zijn: vertrouwelijkheid, integriteit en beschikbaarheid. Deze drie zijn ook relevant bij het
beveiligen van een programmeerbare
infrastructuur. Beleid is de eerste stap.
Wanneer je overweegt een programmeerbare infrastructuur in te zetten, moet
je je beveiligingsbeleid updaten. Daarna
is het zaak om de juiste beveiligingsmiddelen te kiezen voor het beschermen van
de infrastructuur. In een software-defined omgeving zijn deze middelen software georiënteerd. Dat betekent dat de
aanvalsmogelijkheden toenemen. Software-gebaseerde systemen zijn immers
op afstand te configureren. Je moet dus
meer beveiliging implementeren rond
de toegang tot software om bijvoorbeeld
het toevoegen van niet-geautoriseerde of
kwaadaardige code te voorkomen.
“De sector moet op dit moment nog bepalen hoe dat het beste kan. De focus
heeft tot nu toe vooral gelegen op het
gebruik van software-defined netwerken
om data sneller heen en weer te verplaatsen. Er is nog niet veel aandacht besteed
aan de veiligheid. Dat betekent dat het
aanvalsvlak groter is geworden”, stelt
Middleton.
HOE KAN SDN HELPEN?
Volgens Middleton biedt de programmeerbare infrastructuur interessante mogelijkheden voor beveiliging. “De beveiligingstechnologieën zelf worden ook zo
ontwikkeld dat ze programmeerbaar zijn.
We zien nu al firewall- en intrusion detection-oplossingen in de vorm van software.
Daarmee kun je tools op een optimale
manier programmeren, inrichten, installeren en automatiseren. Bedenk dat de
virtual machine binnen heel korte tijd de
belangrijkste bouwsteen van moderne
computing-omgevingen is geworden. Er
is op dit moment nog geen eenvoudige
manier om een virtual machine te beveiligen. Je kunt het hele netwerk beveiligen
of segmenten van het datacenter, maar
het is erg moeilijk om een fijnmazig beveiligingsniveau te bieden voor de virtual
machine. Wanneer beveiligingstechnologie is opgenomen in de software kun je
per virtual machine een beveiligingspolicy toepassen waardoor deze direct
beschermd wordt door een firewall en
tegen intrusie. Dan kun je de beveiligingsinstellingen ook meeverhuizen met
de virtual machine, of deze nu in of uit het
datacenter gaat of naar de cloud.”
Mills zegt dat er al verschillende beveiligingsleveranciers zijn die deze aanpak
kiezen. “Dat is bemoedigend omdat het
beveiligen van zo’n snel bewegende
dynamische omgeving in het verleden
moeilijk is gebleken. Software defined
security helpt bij het creëren van een
zeer flexibele en wendbare infrastructuur
die ook zeer veilig is. Een ander voordeel
van software-gebaseerde beveiliging is
de mogelijkheid om ‘on demand’ en op
basis van een policy zeer gevoelige datastromen dynamisch te beveiligen. Denk
aan credit card-gegevens of gevoelige
persoonsgegevens”, aldus Middleton.
“Je kunt dan verschillende encryptiemogelijkheden toepassen om een deel van
het verkeer te beschermen, terwijl je het
andere deel in ‘clear text’ laat stromen.
Je zou dat deel van data zelfs over een
aparte netwerklink kunnen laten lopen.
Op deze manier is het netwerkverkeer te
controleren en pas je policy’s effectiever
en efficiënter toe.”
Hans Vandam is journalist
'De basisprincipes
van beveiliging gelden
ook bij de inzet van
nieuwe technologie'
INFOSECURITY MAGAZINE - NR. 1 - MAART 2015
37
DIGITALE BEVEILIGING MOET TERUG NAAR DE BRON
SCRIPT MET HASH CODES
MAAKT GEROMMEL IN
SOFTWARE HERKENBAAR
Nadat vele jaren cybersecurity voornamelijk was gericht op
het beveiligen van de poorten van computersystemen is nu
een terugkeer naar de basis waarneembaar. Het gaat weer
om het afschermen van de software tegen ongeoorloofd gebruik. Door het opnemen van een script met hash codes
tussen de instructieregels is met zekerheid vast te stellen of
bepaalde programma’s nog dezelfde kenmerken hebben als
toen ze voor het eerst werden geactiveerd.
Met authenticode biedt Microsoft ontwikkelaars de mogelijkheid om informatie
over zichzelf en de door hen ontwikkelde
code aan hun programma’s te linken. Dat
is een goede stap in de richting van een
beveiliging aan de bron. Het niveau is alleen te beperkt. We moeten veel verder
gaan wanneer we willen voorkomen dat
processen van buitenaf het verloop van
software gaan verstoren. Cross-checks
lenen zich hiervoor; de eerste ’executable’ test de tweede en vice versa.
Met uitzondering van Windows bieden
de meeste moderne besturingssystemen aan ’embedded’ applicaties de mogelijkheid om op het niveau van de ’boot
loader’ de integriteit van het OS te laten
checken alvorens deze te activeren. Op
deze wijze inspecteert elke volgende
‘Self Check in Executable / Library’
38
laag (applicatie runtime, applicatie configuratie data) het verloop in de vorige
laag.
In de industriële wereld is het heel gebruikelijk om door middel van encryptie
via hash codes en handtekeningcertificaten de verschillende lagen te controleren.
Wanneer producten, voortgekomen uit
de ontwikkelingen rond Internet of Things
volop gaan communiceren met standaard
softwarepakketten, lijkt een dergelijke
integriteitcontrole de aangewezen oplossing om kwaadwillige code buiten de
deur te houden. Op een nog hoger niveau ligt een controle waarbij niet alleen
in voorwaartse richting de processen
in de diverse lagen elkaar inspecteren,
maar waarbij ook de applicatie achterwaarts, dus richting het OS, kan nagaan
Marcel Hartgerink
of de status daarvan correspondeert met
de zijne. Een reeds langer geleden uitgegeven certificaat kan bijvoorbeeld verlopen zijn. Omdat doorgaans een laag in
het systeem maar een geringe toegangsmogelijkheid naar de vorige laag heeft, is
er dus een vertrouwde referentie buiten
de lagen nodig, bijvoorbeeld in de vorm
van een in hardware uitgevoerde token
(dongle).
TRUSTED PLATFORM MODULE
Wie geen externe dongle wil, omdat bijvoorbeeld op het aangesloten apparaat
geen USB poort voorhanden is, kan ook
gebruikmaken van een Trusted Platform
Module (TPM). Meer en meer systemen
en apparaten worden standaard uitgerust
met dit stukje extra elektronica met een
eigen processor en geheugen waarin de
correcte status van de diverse registers
in diverse lagen vanaf de ’boot loader’ tot
en met de applicatie wordt bijgehouden.
Maar een TPM is niet voldoende. Zo kan
het ook voor de beveiliging wenselijk zijn
om het gebruik van de software alleen
toe te staan aan houders van licentie-
rechten. Het is dan zinvol om die rechten op een centraal punt aan te maken,
te distribueren en te beheren. Daarnaast
heb je ook nog gereedschap nodig om
de integriteitcontrole en authenticatie in
de software in te bouwen. In de ontwikkelfase doe je dat door met API’s een test
’shell’ rondom je C-Sharp, Delphi of Java
code heen te bouwen. Maar het is ook
mogelijk die tests achteraf aan bestaande ’executables’ en DLL’s te verbinden.
NEMEN VAN VINGERAFDRUK
Ook zonder extra security-hardware zijn
er volop mogelijkheden. Daartoe nemen
we eerst een vingerafdruk van het systeem, waarop de software moet draaien.
Voor praktisch elk OS en hardwareplatform zijn tools beschikbaar om sluitende ’checks’ op basis van gangbare encryptietechnieken in de softwarecode in
te bouwen. Het moeilijkste deel van het
traject zit aan het begin wanneer je als
ontwikkelaar samen met vertegenwoordigers van de gebruikers het beveiligingsniveau en het bijbehorende beleid
moet uitstippelen. Op welke manier
gaan we een vingerafdruk nemen? Soms
denken mensen dat met een simpele
controle op een MAC-adres applicaties
al voldoende beveiligd zijn. De praktijk
leert dat dat niet genoeg is. De uitdaging
is om eerst alle mogelijke variabelen in
OS’en in kaart te brengen en de verschillen in eigenschappen van de gebruikte
hardware. Zo kennen AMD processoren
geen CPU-ID, maar die van Intel wel.
Laptops werken vaak met meer dan één
MAC-adres, terwijl ook Raid-opslagsystemen zich kenmerken door een aantal
hardware id’s.
Het doel moet zijn om een maximale
beveiliging voor elk binnen het project
toegepast apparaat of systeem te krijgen. Daarvoor is het nodig om vooraf
vast te stellen of er sprake kan zijn van
een ’tight’, ‘medium’ of ’loose binding’
van de beveiliging met de hardware. In
Cross Check voor Executable / Library’
‘SmartBind voor een optimale binding’
het eerste geval is geen enkele verandering toegestaan. Komt een kenmerk in
de check niet overeen, dan vervalt direct
het gebruiksrecht. Het tweede en derde
scenario biedt meer tolerantie. Zo kan
het bijvoorbeeld toegestaan zijn om geheugen in ’devices’ bij te steken of zelfs
complete cpu’s te vervangen zonder dat
die wijziging consequenties heeft voor
de licentierechten.
Licenties zijn sterk verbonden aan een
vergoedingregeling voor het gebruik van
software. In een wereld vol open source
code en cloud-toepassingen rekenen we
met andere financiële modellen. Maar in
dezelfde wereld, waar straks alles met
alles elektronisch verbonden is, lijkt het
licentiemodel met de certificeringmethodiek de meest adequate oplossing om
individuele personen en hun persoonlij-
'Digitale Certificaten en
private 'keys' maken het
beveiligingsproces een stuk
veiliger en de inrichting
een stuk simpeler'
ke IT-hulpmiddelen te identificeren en de
integriteit van de door hen ingevoerde
of ontsloten data te controleren. Digitale
Certificaten en private ’keys’ maken het
beveiligingsproces een stuk veiliger en
de inrichting een stuk simpeler dan een
stelsel van wachtwoorden en het misplaatste vertrouwen dat de individuele
mens daar omzichtig mee omgaat.
Wibu-Systems AG is in 1989 opgericht
in het Duitse Karlsruhe als producent
van beveiligingstechnologie voor wereldwijd softwarelicentiebeheer. De
brede reeks producten van het bedrijf
bieden een oplossing voor het afschermen van alle vormen van digitale content, inclusief intellectueel kapitaal en
software-applicaties voor computersystemen, mobiele toepassingen, industriële automatiseringsoplossingen
en cloud-diensten. Deze oplossingen
laten zich eenvoudig implementeren
via speciaal daarvoor samengestelde
development kits.
Marcel Hartgerink is Zaakvoerder
Wibu-Systems NV
INFOSECURITY MAGAZINE - NR. 1 - MAART 2015
39
NIEUWE WETGEVING VEREIST VERSLEUTELING VAN DATA
ra
to
lou
pt c
ion
nc
dm
anage e
Mobile
Encryption
ry
le m
i
an
pt
es
keys
SafeGuard
Enterprise
tion
Native Device
Encryption
r
edia
te
cr yp
men t Cen
l en
age
rna
Data Exchange
mo
va b
Encr y
te
ds
ex
an
lic
40
M
re
pt
Encryption for
File Shares
Sec
c
ry
go
to
DATA EVERYWHERE
ENCRYPTIE NIET LANGER
VRIJBLIJVEND
Encryptie is geen vrijblijvende zaak
meer, maar bittere noodzaak, zo bleek
tijdens de GDPR Roadshows die Sophos
onlangs organiseerde in Nederland. De
Europese wetgever vraagt van ondernemingen en instellingen wereldwijd dat
zij de data van Europese burgers die zij
beheren en bezitten beveiligen. Het gaat
dan om de EU General Data Protection
Regulation die vanaf dit voorjaar de beveiliging van data in 28 landen zal unifor-
g
n
REMOTE OFFICES
AT HOME AND ON THE MOVE
na
tio
V
Ma
Encryption for
Cloud Storage
t ec
HEADQUARTERS
OVERHEID NAM HET VOORTOUW
Encryptie komt niet zomaar uit de lucht
vallen. De Algemene Inlichtingen- en
Veiligheidsdienst (AIVD) certificeert
sinds jaar en dag oplossingen voor harddisk-encryptie voor de niveaus Staatsgeheim Confidentieel en Departementaal
Vertrouwelijk. Voor het beschermen van
gevoelige informatie van overheidsdiensten worden beveiligingsproducten gebruikt, bijvoorbeeld een product om de
informatie op een harde schijf van een
computer mee te vercijferen, of een telefoon die spraakvercijfering gebruikt. Het
Nationaal Bureau voor Verbindingsbeveiliging (NBV) houdt een gerubriceerde lijst bij van goedgekeurde producten
waarbij encryptie telkens een reële optie
is. Het gaat hierbij om off-line beveiliging,
laptop-, netwerk- en spraakbeveiliging
en beveiliging van externe media.
ps
Device
Encryption
pro
“My goal would be that all data is encrypted everywhere all the time”, zo onthulde
een voormalige CTO van de Amerikaanse inlichtingendienst CIA onlangs. Met
deze uitspraak onderstreept hij het be-
lang van encryptie anno 2015.
Met de komst van The Internet of Things
ontstaat volgens James Lyne, global head
of security research bij Sophos, een nieuwe goudmijn voor cybercriminelen. “If
you can connect to it you can own it”, met
andere woorden: elk apparaat dat niet is
versleuteld, is dan te hacken. Niet voor
niets staat de vakbeurs Infosecurity België in Brussel dit jaar in het teken van The
Internet of Things. Netwerkbeveiliging
en encryptie zijn essentieel om te voorkomen dat cybercriminelen de communicatie tussen het apparaat en de server
kunnen onderscheppen en op die manier
data stelen.
Na de spraakmakende hacks bij Home
Depot en Sony vorig jaar was het voor
Sophos niet moeilijk om de Security
Threat Trends voor 2015 te voorspellen. ‘Encryptie als trend’ staat met stip
a p t o p s , d e s kt o
ge
Data
Encryptie, het versleutelen van informatie om deze onleesbaar te maken voor onbevoegden, wordt steeds belangrijker
nu er veel meer aandacht is voor dataveiligheid en privacy dankzij onthullingen over de afluisterpraktijken van veiligheidsdiensten en de grote data hacks die in het nieuws
komen. Denk aan de recent uitgekomen hack bij Gemalto.
Encryptie is hot. Forrester heeft onlangs op basis van 52
criteria de belangrijkste leveranciers van endpoint encryptie
in kaart gebracht. Sophos is koploper.
r ypt l
o
Set p
IS BEZIG AAN EEN
STEVIGE OPMARS
GEEN COMPROMISSEN
Bedrijven kunnen tegenwoordig encryptie toepassen zonder dat ze compromissen hoeven te sluiten. Toch zijn veel
bedrijven vaak nog terughoudend met
de adoptie van encryptietechnologie.
Verouderde encryptietechnieken zorgden vroeger voor vertraging in de IT-processen die grote irritaties opwekten bij
eindgebruikers. Met moderne encryptieproducten, zoals bijvoorbeeld SafeGuard
Enterprise, is die tijd voorbij. Encryptie
biedt protectie en performance. James
Lyne: “You don’t have to worry about
encryption impacting performance.” Encryptiesoftware volgt tegenwoordig de
data en biedt bescherming waar die data
ook wordt opgeslagen: op de devices
van gebruikers, hun gedeelde mappen,
een USB-stick of in de cloud. Bovendien
is deze moderne encryptietechnologie
tegenwoordig eenvoudig te managen.
Enc
e
ENCRYPTIE
op drie. Encryptie ontwikkelt zich tot de
standaard.
En
res
ure n
e t wo r k fi l e s h a
meren en regelen. Doel van de richtlijn
is dat elk individu baas wordt over zijn
eigen data en het recht heeft om ‘vergeten’ te worden. De GDPR kent een strikt
regime met boetes tot wel 100 miljoen of
5 procent van de wereldwijde omzet bij
een ernstige inbreuk. Het is algemeen
aanvaard dat encryptie de beste methode is om te voldoen aan deze nieuwe
regulering. Wanneer een datalek ontstaat
en de ondernemer kan aantonen dat alle
persoonlijke data was versleuteld, zal
hij minder snel worden beboet. Veel organisaties hebben geen idee wat deze
nieuwe regulering inhoudt of hoe zij zich
moeten voorbereiden op deze nieuwe
regels.
MELDPLICHT DATALEKKEN
Ook op nationaal niveau bevindt nieuwe
wetgeving zich al in een vergevorderd
stadium. Zo is in Nederland op 10 februari jongstleden het wetsvoorstel Meldplicht datalekken door de Tweede Kamer
goedgekeurd en ligt het nu bij de Eerste
Kamer. Het doel van de voorgestelde
wet is het voorkomen van datalekken en,
mocht er toch gelekt worden, de effecten
ervan te beperken. In dit wetsvoorstel
krijgt het College Bescherming Persoonsgegevens (CBP) een meer uitgebreide
bestuurlijke boetebevoegdheid oplopend tot 810.000 euro of 10 procent van
de jaaromzet van de onderneming. Verder regelt dit wetsvoorstel een meldplicht
voor gegevensverlies. In België klonk de
roep om een meldplicht voor datalekken
lange tijd minder luid. Sinds een datalek
bij vervoerder NMBS en Belgacom-gate
is iedereen wakker geschud.
KOPLOPER
Veiligheid begint bij de eindgebruikers.
Sophos wordt in het rapport ‘The Forrester Wave: Endpoint Encryption, Q1 2015’
van het Amerikaanse onderzoeksbureau
Forrester Research gekwalificeerd als
koploper in endpoint encryptie. De onderzoekers constateren dat de ondersteuning van gebruikers en de eenvoudige implementatie consequent hoge
cijfers krijgen van Sophos-klanten. De
hoge waardering van Sophos is mede te
danken aan de sterke SafeGuard encryptieoplossingen, de flexibiliteit in de encryptieregels voor externe media en de
mogelijkheden om op bestandsniveau te
versleutelen. Vooral dit laatste punt is interessant, aangezien het gebruikers in staat
stelt om op eenvoudige wijze informatie
veilig op te slaan op mobiele apparaten
of in de cloud. Gezien de ontwikkelingen
in het huidige IT-landschap is dit onmisbare technologie.
ENCRYPTIE IS NOODZAAK
In het rapport beoordeelt Forrester leveranciers op 52 criteria verdeeld in drie
categorieën: het actuele aanbod, de strategie en visie en de marktpositie, inclusief partnerprogramma’s.
• Sophos staat in de categorie ‘actueel aanbod’ in de top en heeft de
hoogste scores in de subcategorieën ‘endpoint volume encryptie’, ‘be-
INFOSECURITY MAGAZINE - NR. 1 - MAART 2015
41
NIEUWE WETGEVING VEREIST VERSLEUTELING VAN DATA
•
stand/map encryptie’ en ‘encryptie
van externe media’.
In de totale categorie ‘marktpositie’
staat de onderneming op de tweede plaats; in de subcategorieën
‘technologie partners’ en ‘financiële
stabiliteit’ heeft Sophos de hoogste
scores.
Het Forrester-rapport beoordeelt niet alleen de leveranciers, maar onderzoekt
ook de noodzaak van endpoint encryptie.
Forrester constateert dat organisaties die
geen endpoint encryptie implementeren
een verhoogd risico lopen op datalekken
of schending van complianceregels. Met
name de explosie in het gebruik van privéapparaten, mobiele toepassingen en
het feit dat de scheiding tussen werk en
privé steeds verder vervaagt, zijn volgens de onderzoekers de belangrijkste
redenen waarom organisaties serieus
werk moeten maken van endpoint encryptie. 52 procent van de kenniswerkers
op kantoor neemt kantoorwerk regelmatig mee naar buiten.
PLATFORMONAFHANKELIJK
De ontwikkelingen op het gebied van
encryptietechnologie staan niet stil.
Er is een ratrace aan de gang met cybercriminelen die leveranciers dwingt
voortdurend met nieuwe softwareversies en updates te komen. Zo lanceerde
Sophos onlangs SafeGuard Encryption 7
en Mobile Encryption 3 om eindgebruikers nog beter te beschermen tegen
malware en geavanceerde bedreigingen.
Deze encryptiesoftware stelt ondernemingen in staat om versleutelde data op
elk willekeurig apparaat te creëren, te
raadplegen en te wijzigen. Zo kan een
Windows-gebruiker via de cloud versleutelde data delen met een Mac-gebruiker.
De software voorziet in gegevensbescherming op alle mogelijke platformen
en apparaten. Het maakt daarbij niet uit
of de data zich op een laptop, smartphone of tablet bevindt of gedeeld wordt via
het netwerk of de cloud. De software kan
in de werk- en bedrijfsprocessen worden
geïntegreerd zonder dat er vertraging in
het netwerk optreedt. Daarnaast kunnen
eindgebruikers versleutelde documenten aanmaken, wijzigen, opslaan en weer
versturen vanaf hun mobiele apparaten.
De nieuwste softwareversies ondersteunen zogenoemde native encryptie van
Apple (Apple FileVault 2) en Microsoft
(BitLocker). Het beheer van encryptie op
42
‘VEEL CYBERCRIMINELEN
alle apparaten, platforms en in de cloud
vindt plaats vanaf één console.
ENCRYPTIE IN DE CLOUD
Data encryptie in de cloud tot slot is een
relatief nieuw fenomeen waar weinig onderzoek naar is gedaan. In april 2014 publiceerden Thales e-Security en The Ponemon Institute een rapport met de titel
Encryption in the Cloud. “Data-encryptie
in de cloud is nog geen mainstream”, zo
luidde de hoofdconclusie. Hoewel meer
dan de helft van de in totaal 4.275 ondervraagde business- en IT-managers gevoelige of vertrouwelijke gegevens opslaat in
de cloud, bleek encryptie zeker nog niet
volledig ingeburgerd te zijn. Slechts 39
procent van de SaaS-gebruikers en 26
procent van de IaaS- en PaaS-gebruikers
antwoordden dat hun gegevens ‘in rust’
standaard versleuteld worden. Slechts 44
procent van die SaaS-gebruikers en 40
procent van die IaaS- en PaaS-gebruikers
versleutelt gegevens vóór ze die naar de
cloud verzenden. Belangrijk bij gebruik
van encryptie is wie de controle over de
sleutels heeft (zie de hack bij Gemalto).
Voor encryptie in rust gaf 34 procent van
de ondervraagden aan dat zij de controle
over de encryptiesleutels hebben en 29
procent dat het een combinatie van hun
organisatie en de cloudprovider is. Bij 18
procent heeft een third-party dienst de
touwtjes in handen en bij 17 procent heeft
de cloudprovider de volledige controle over de sleutels. Tegenwoordig is het
prima mogelijk om op een veilige manier gebruik te maken van bijvoorbeeld
Dropbox. Door informatie die in de cloud
wordt opgeslagen direct automatisch te
versleutelen, ben je bovendien niet afhankelijk van Dropbox of welke ander
provider dan ook. Versleutelen van de
informatie doe je namelijk zelf.
CONCLUSIE
Encryptie is here to stay. Werknemers
kunnen dankzij encryptiesoftware veilig
samenwerken en bestanden met elkaar
delen, waardoor ze overal, op het werk,
onderweg en thuis een hoge en veilige
productie kunnen leveren. Toch is niet
iedereen blij met de opkomst van encryptie. Zo zijn opsporingsorganisaties
en inlichtingendiensten bang dat professionele encryptie door bedrijven een
gevaar vormt voor de (nationale) veiligheid. Maar overheden hebben vaak verschillende petten op. Naast bescherming
van burgers treden zij op als ‘statelijke
NIEUWS
BEGINNEN MET DIGITALE
DIEFSTALLEN IN GAMES’
Hoe ontstaan eigenlijk cybercriminelen? Cybercriminelen die zich bezig houden met serieuze
cybercriminaliteit blijken in de praktijk vaak te zijn begonnen met kleinschalige digitale diefstallen in met name online games. Vanaf deze relatief onschuldige misdaden groeien de aanvallers
door tot volleerde cybercriminelen, die veel schade kunnen veroorzaken.
Peter Magez
actoren’. Zo pleit het Nederlandse kabinet in een omstreden wetsvoorstel voor
’terughacken’ en wil zij de politie hackbevoegdheden geven. Bovendien zouden
bepaalde verdachten moeten worden
gedwongen hun encryptiesleutels op te
geven.
CHECKLIST
Investeer 60 seconden in de Compliance Check op de website van Sophos en
hoor direct in hoeverre uw onderneming
voldoet aan de GDPR.
1. Verwerkt u jaarlijks persoonsgegevens van meer dan 5.000 Europese
burgers?
2. Beschikt u over een beleid voor gegevensbescherming dat werknemers laat zien hoe ze het beste hun
persoonlijke gegevens kunnen beschermen?
3. Worden de harde schijven van de
laptops van de zaak versleuteld?
4. Wordt data opgeslagen in de cloud?
Denk hierbij ook aan klantgegevens
in Salesforce, Dropbox enzovoorts?
5. Worden persoonlijke data die via
e-mail worden verstuurd geëncrypt?
6. Beschikt u over persoonlijke gegevens die zijn opgeslagen op draagbare media zoals USB sticks, cd’s en
dvd’s?
De directeur van de National Crime
Agency, Jamie Saunders, zegt tegenover
de Independent dat cybercriminelen
veel schade kunnen veroorzaken. Ondanks deze grote schade beginnen veel
cybercriminelen met kleinschalige praktijken. “Veel jongeren nemen sommige
vormen van criminaliteit niet serieus”,
legt Saunders uit. “Het stelen van goud
van elkaar in online games of ‘cheaten’.
Het lijkt moeilijk voor te stellen de politie
op bezoek te krijgen voor het stelen van
een zwaard van een vriend in World of
Warcraft.”
World of Warcraft is een populair online
game dat door miljoenen mensen over
de wereld wordt gespeeld. In dit game
kunnen duizenden spelers gelijktijdig in
een server verblijven en hier interactie
met elkaar hebben. Jongeren willen objecten en geld in World of Warcraft vaak
niet stelen met een economisch motief
in het achterhoofd, maar juist als experiment of als uitdaging. Ook realiseren
sommige jongeren zich niet dat dergelijke diefstallen illegaal zijn.
Onder het motto Security made Simple zal
Sophos deelnemen aan de vakbeurs Infosecurity die op 25 en 26 maart aanstaande zal plaatsvinden in de Brusselse EXPO.
Standnummer: A060.
Auteur: Peter Magez, country manager
Belgium/Luxembourg
INFOSECURITY MAGAZINE - NR. 1 - MAART 2015
43
SMALS CLOUD SECURITY EVALUATIE MODEL
COLUMN GUY KINDERMANS
SMALS
BOUWT CLOUD
SECURITY EVALUATIEMODEL
AANDACHT
VOOR DE ‘TWEEDE LINIE’-GEVAREN
Smals, de ICT-dienstenleverancier voor overheidsdiensten, heeft een evaluatiemodel gebouwd
om de veiligheid van cloud diensten mee in te schatten. Hiermee kunnen de lidinstellingen,
indien nodig met de gedeeltelijke steun van Smals, op gestructureerde en gestaafde wijze
bepalen hoe en welke gegevens men kan verwerken in de cloud.
Het model is opgedeeld in twee evaluatieluiken. Luik A bevat de vragenlijst ‘Security-assessment-cloud-service’ waarmee het maturiteitsniveau in verband
met de beveiliging van een specifieke
cloud dienst geëvalueerd kan worden.
Luik B bevat de vragenlijst ‘Client-guide-cloud-assessment’ waarmee men de
mogelijkheid kan evalueren om een specifieke cloud dienst te gebruiken, afhankelijk van het soort gegevens dat men wil
overbrengen.
De belangrijkste beveiligingsaspecten
die geëvalueerd worden door het model worden gegroepeerd in 4 hoofdcriteria: governance, identiteitsbeheer en
toegangscontrole, IT-beveiliging en operationele beveiliging. In de context van
sociale zekerheid en gezondheidszorg
evalueert het model ook de conformiteit
van de cloud dienst met de daar gehanteerde veiligheidspolicy gepubliceerd
door de KSZ.
De resultaten worden geëvalueerd aan
de hand van kleurzones. De groene zone,
genaamd ‘confidence zone’, vertegenwoordigt het percentage dat een cloud
dienst met zekerheid aan een hoofdcriterium voldoet. De gele zone, genaamd
‘doubt zone’, vertegenwoordigt het
percentage dat een cloud dienst mogelijk aan een hoofdcriterium voldoet.
We spreken van ‘mogelijk voldoet’ om
de geëvalueerde cloud dienst niet te
bestraffen: de ‘doubt zone’ geeft dus de
vragen van de vragenlijst ‘Security-assessment-cloud-service.xlsm’ weer waar
we onmogelijk met zekerheid op kunnen
antwoorden. De rode zone, genaamd
‘death zone’, vertegenwoordigt het per44
centage dat een cloud dienst niet aan een
hoofdcriterium voldoet.
Een assessment van een aantal cloud
diensten kan er dan als volgt uitzien (zie
schema’s):
“Eén van de belangrijkste voordelen van
de cloud is dat je resources kan delen”,
aldus Tania Martin, hoofdauteur van het
model. “Het delen van zo’n infrastructuur
is spijtig genoeg ook de achilleshiel van
de cloud diensten. Cyberaanvallen hebben immers aangetoond dat het delen
van eenzelfde cloud dienst door tenants
misbruikt kan worden. De beveiligingsproblemen, in het bijzonder vertrouwe-
lijkheid en integriteit van gegevens, baren de gebruikers van de cloud dus veel
kopzorgen omdat ze het volledige beheer van hun gegevens niet meer in eigen handen hebben. In de context van de
overheid, sociale zekerheid en gezondheidszorg zijn deze problemen eens zo
groot omdat ze mogelijk gevoelige gegevens betreffen van de burgers en ondernemingen. Daarom is dit evaluatiemodel
een nuttig instrument, als eerste inschatting of u een cloud dienst om security-redenen al dan niet beter zou vermijden.”
dersteuning te krijgen, ondanks heel wat
toezeggingen. Laat staan dat de gebruikers zelf over voldoende tijd en middelen beschikken om zo’n controle in hun
drukke ontwikkelingsfase uit te voeren.
Om niet te spreken over ‘wees’-projecten/frameworks/componenten, die door
hun ontwikkelaars niet meer verder worden gezet, maar waarvan de resultaten
wel nog her en der worden aangewend!
Een serie van posts op de blog van Yeri
Tiete (https://yeri.be/) - in de kijker gezet
door het Belgisch ICT-blad Data News tekende een behoorlijk onthutsend beeld
van hoe slecht banken wel omspringen
met cruciale security onderdelen.
Met behulp de ‘SSL Server’-test van SSL
Labs (https://www.ssllabs.com/, een researchproject van securityspecialist Qualys) controleerde Yeri Tiete elementaire
security-aspecten als server certificates,
SSL/TLS-implementatie, sleuteluitwisseling en de sterkte van de aangewende
sleutels in de beveiligde toegang tot servers, en dat bij een trits grote en kleinere
banken in België. En daaruit bleek dat
een aantal grote namen zwaar ‘zakten’
(‘F’-score) voor deze test, waaronder
BNP Paribas Fortis, de Bpost bank en
ING! Het predicaat ‘beste leerling’ was er
dan weer voor onder meer de Rabobank.
De resultaten veroorzaakten nogal wat
heisa en een aantal ict’ers hebben vervolgens heel wat overuren mogen klokken. Een dikke maand later bleken alle
grote zondaars immers hun score al te
hebben verbeterd tot minstens een ‘A-’
niveau (op een laatste bank na, Optima
bank, die nog een F aan z’n broek kreeg
gelapt).
GEVAREN UIT DE TWEEDE LINIE
De resultaten van Tietes controle tonen
aan hoe gevaarlijk het is voor een ontwik-
kelaar om zonder meer te vertrouwen op
de kwaliteit van bouwstenen afkomstig
van derden (zelfs afkomstig uit het eigen bedrijf). Vorig jaar toonde de OpenSSL- en Heartbleed-affaire dat gevaar
al uiterst pijnlijk aan. Door onvoldoende
middelen en mensen om het geleverde
ontwikkelingswerk te controleren, zorgde
de kwetsbaarheid in de OpenSS-implementatie wereldwijd voor grote zorgen
bij wie een en ander zonder meer had
aangewend.
Dat geldt overigens niet alleen voor securitybouwstenen, maar ook voor frameworks in ontwikkelingsomgevingen,
bibliotheken van componenten en zelfs
complete toepassingen. Het zou niet
de eerste keer zijn dat een securityprobleem zich voordoet omdat een ontwikkelaar onterecht dacht dat in een ander
onderdeel van de toepassingsomgeving
wel aan ‘input validation’ werd gedaan
(met een mogelijk SQL-injection probleem tot gevolg).
Een ketting is slechts zo sterk als de
zwakste schakel, en dat kan dus zeer zeker een onderdeel afkomstig van derden
zijn. Helaas beschikken die laatsten niet
altijd over voldoende middelen en personen voor de nodige kwaliteitscontrole
en security testen tijdens de ontwikkeling en doorheen de hele levensloop van
het onderdeel. Zo blijkt ook vandaag het
OpenSSL project nog onvoldoende on-
EIGEN
VERANTWOORDELIJKHEID
Dat alles bezorgt ook de eindgebruiker heel wat onrust. Immers, voordien
zag die in zijn browser het ‘slotje’ van
een beveiligde verbinding verschijnen
en meende hij dat hij goed zat. Maar nu
weet hij dat het toch anders kan uitpakken. Banken, maar ook overheidsinstellingen, online winkels en dies meer moeten dan ook meer inspanningen leveren
om hun klanten en gebruikers klaar en
duidelijk - lees: transparant en begrijpbaar - te informeren over wat ze doen
om hun werking te beveiligen, maar wat
eventueel nog de mogelijke gevaren zijn.
En de eindgebruiker moet vervolgens
voldoende onderlegd zijn om te weten
wat nog zijn eigen verantwoordelijkheid
is, en welke bijkomende maatregelen
hij best nog neemt (zoals het standaard
gebruikmaken van zo sterk mogelijke
authenticatie). Dat klinkt allicht als een
moeilijk verteerbare waarheid, maar niemand in een waardeketting mag zomaar
voetstoots aannemen dat de ‘anderen’
wel het nodige (en voldoende) hebben
gedaan wat betreft security.
Guy Kindermans, jarenlang senior editor
bij Data News, is een gerenommeerd security-specialist in België. Hij zal op geregelde basis voor Infosecurity Magazine
bepaalde aspecten of problemen uit de
security-wereld uitlichten en bespreken.
INFOSECURITY MAGAZINE - NR. 1 - MAART 2015
45
The Trusted Bring-Your-Own
Identity Platform
TRUSTED BRING-YOUR-OWN-IDENTITY
MYDIGIPASS.COM is the secure and trusted BYO-ID platform of
VASCO Data Security, a world leader in strong user authentication, electronic
signature and ID-management solutions.
APPLICATION PROVIDERS can easily integrate the MYDIGIPASS.COM “secure
connect” API into both their online and mobile applications in order to
increase security, comply with legal requirements, facilitate user onboarding
and gain customer knowledge (KYC).
e-Healthcare
e-Banking
e-Gaming
e-Insurance
e-Commerce
e-Government
IDENTITY PROVIDERS are able to join the platform and offer their user
community access to a full range of new and secure online services under
their own brand.
MOBILE READY
Users can download the MYDIGIPASS.COM mobile app from the appstores,
create a free account and gain secure access to all supported applications that
have integrated the API. Additionally, users are able to stay in control of their
digital identity attributes.
eID READY!
Users can now register for a free MYDIGIPASS.COM account
simply by using their Belgian eID card. Application providers can
benefit from the validated user data to further personalize their
online service.
Visit www.vasco.com/BYOID to learn more!
Banking level
security
Easy
deployment
Costefficient
VASCO is the world leader in providing Two-factor authentication and Electronic
Signature solutions to financial institutions. More than half of the Top 100 global
banks rely on VASCO solutions to enhance security, protect mobile applications,
and meet regulatory requirements. VASCO also secures access to data and
applications in the cloud, and provides tools for application developers to easily
integrate security functions into their web-based and mobile applications. VASCO
enables more than 10,000 customers in 100 countries to secure access, manage
identities, verify transactions, and protect assets across financial, enterprise,
E-commerce, government and healthcare markets.
www.vasco.com
turnIng off encrypted traffIc
InspectIon for performance?
We have
a
better
Idea.
IntroducIng the fastest fIrebox ever.
®
Encrypted traffic is exploding worldwide. That’s why
WatchGuard has released two new security appliances
that deliver unprecedented speed – the Firebox M400
and M500. In fact, the M500 is 61% faster than the
competition with all layers of security turned on – and
149% faster for capacity-intensive HTTPS inspection.*
Now you have the power to amp up network
performance without sacrificing security strength.
Never compromise security. Step up to the new Firebox.
Contact us today at: sales-benelux@watchguard.com
or call +31 (0)70 711 20 85
Copyright © 2015 WatchGuard Technologies, Inc. All Rights Reserved.
* Report TB141118, Miercom, 2014, http://bit.ly/1yBAXGV
48