Hans-Willem Verwoerd | IT-Security consultant SECURITY TOOLS Hoe te wapenen tegen Shadow IT, Datalekkage en Intrusion 11:10uur Steeds meer organisaties stellen zichzelf de vraag of cloud applicaties die binnen de organisatie gebruikt worden veilig en betrouwbaar zijn. Vaak installeren medewerkers applicaties op eigen initiatief. Het is hierdoor mogelijk het overzicht kwijt te raken over welke applicaties binnen de organisatie gebruikt worden. Wapenen tegen Shadow IT, Datalekken en Intrusion begint met goed inzicht. Inzicht leidt tot rationalisering, beheersbaarheid en veiligheid; zodat u weet waar uw bedrijfsinformatie blijft! Hans-Willem Verwoerd | IT-Security consultant 18-9-2018 www.lantech.nl

Dit is JUINEN Hackers hebben het gemunt op vertrouwelijke informatie van de gemeente Juinen. Gemeentehuis is een miljoenen project. Via LinkedIn is te vinden dat de heer Henk van Lingen hier wethouder is. 18-9-2018 www.lantech.nl

Henk is bewust 18-9-2018 www.lantech.nl

Social Engineering Henk houdt van het begeleiden van het team van zijn zoon bij UVV Samen met andere vaders zijn ze te vinden aan de zijlijn. Dit is bijvoorbeeld Frans. 18-9-2018 www.lantech.nl

Mail www.lantech.nl 18-9-2018 henk.vanlingen@juinen.nl frans.hogerveld@gmail.com 18-9-2018 www.lantech.nl

Sturen op? Bewustwording helpt Maar… zeker niet voldoende 18-9-2018 www.lantech.nl

Lantech Lantech richt zich op de veiligehid en continuiteit van de netwerk infrastructuur. Uiteenlopend van switches, routers, (next Generation) firewalls, NAC, MDM, draadloze netwerken, Secure Network Gateways, Secure Mail gateways, Web Application Firewalls, Authenticatieprodukten, Single Sign On (SSO), etc. 18-9-2018 www.lantech.nl

Endpoint protectie Shadow IT Authenticatie Welke tools helpen Wat kunnen wij doen? Welke tools helpen Endpoint protectie Shadow IT Authenticatie 18-9-2018 www.lantech.nl

Vervang FW Herken applicaties ongeacht poort of protocol Herken gebruikers ongeacht IP-adres Real-time bescherming tegen MalWare Verkrijg inzicht Configureer DLP op NGFW Bouw info voor audit trail 18-9-2018 www.lantech.nl

AV is dead 18-9-2018 www.lantech.nl

Compromiteer werkplek Steel data of bereik ander doel Doelgerichte aanval Onderzoek Social engineering Compromiteer werkplek Verbind met conrole Steel data of bereik ander doel Het beste moment om een aanval te voorkomen is voordat de aanvaller een werkplek compromitteert. Key point of this slide: The right time/place to prevent security breaches is before an attacker compromises an endpoint to gain a foothold in your environment A targeted attack usually begins with attacker conducting reconnaissance The attacker will then try to compromise an endpoint to establish a foothold in your environment Next, the attacker attempts to establish a control channel to its C&C. Finally, the attacker works to achieve its objective (steal data, destroy/interrupt services, etc.)

= Exploits Malware Gewapende bestanden Executable Programma’s Ondermijn normale toepassingen Executable Programma’s Voert schadelijke activiteit uit

Exploits Subvert Authorized Applications ROP Vulnerabilities Vendor Patches Begin Schadelijke Activitiet Heap Spray Utilizing OS Function Toegestane Applicatie Download malware Steel data Encrypt hard drive Vernietig data More… Heap Spray = exploit techniek ROP=Return Oriented Programming DEP=Data Execution Prevention

Bij basis aanpakken Traps Patching Signature / Behavior Vereist kennis van de applicatie Totaal Aantal Bekende Software Vulnerabilities Signature / Behavior Vereist kennis vooraf over Exploits Publieke Exploits (Actual Attacks) Vereist geen Patching, Geen kennis vooraf over Vulnerabilities en geen Signatures Traps Key point of this slide: To prevent exploits, the sensible approach is to aim at the root of the exploitation attempts (the exploitation techniques) Patching - Requires prior knowledge of millions of software vulnerabilities (and increasing exponentially) + active patching Signature / behavior - Requires prior knowledge of weaponized exploits Looking for exploits, vulnerabilities or malware samples we’d be facing an exponential growth problem Traps provides comprehensive exploit technique prevention without dependence on patching, signatures or behavioral detection Exploitation Technieken Tijd

Blok Exploit Technieken Geen schadelijke Activiteit Heap Spray Toegestane Applicatie Traps EPM EPM=Exploit Prevention Module

Voorbereid op morgen Traps voorkomt onbekende en Zero-Day Exploits. Mar 2014 Apr 2015 Oct 2015 Timeline Traps Version 2.3.6 Released Vulnerability ontdekt in Adobe Flash Player (CVE-2015-0359) Hacker wil Vulnerability gebruiken. Traps blokt de aanval Traps v2.3.6 Zonder updates v.a. maart 2014 Real customer example. One of our customers in the banking industry recently witnessed an exploit prevention in their production environment. The exploit (CVE-2015-0359) was discovered in April 2015. Our customer discovered Traps preventing that exploit in their production environment in October 2015. The exploit was successfully blocked. Is that impressive? Well a little bit since AV products don’t block this type of threat, but it’s not impressive in the sense that this is a KNOWN EXPLOIT! We need to go back in time to see if we really have the ability to prevent unknown threats. What's remarkable is that the version that blocked the exploit at the site was 2.3.6. this version was release in March 2014, more than a year and a half ago. CVE-2015-0359 on the other hand was disclosed by Adobe on April 2015. So Traps version successfully blocked exploitation of a vulnerability which was not even known in the time of the release. Traps voorkomt onbekende en Zero-Day Exploits. Omdat de techniek dezelfde is.

Endpoint protectie Shadow IT Authenticatie Wat kunnen wij doen? Welke tools helpen Endpoint protectie Shadow IT Authenticatie 18-9-2018 www.lantech.nl

Wethouder Tjolk Hekking Burgemeester Mr. Hans van der Vaart JUINEN JUINEN 18-9-2018 www.lantech.nl

Shadow IT 18-9-2018 www.lantech.nl

Shadow IT Stuurgroep Voorzitter 18-9-2018 www.lantech.nl

Wat doet die man? Stuurgroep Voorzitter www.lantech.nl 18-9-2018 Documenten lokaal op tablet 18-9-2018 www.lantech.nl

enterprise apps (komen iedere dag bij). Cloud App’s Er zijn nu al meer dan 25.000 enterprise apps (komen iedere dag bij). 18-9-2018 www.lantech.nl

Waar komt vandaan? 10% 70% 20% IT-gedreven Werk gerelateerd Goedgekeurd (scantioned) Werk gerelateerd 70% Meestal niet goed- gekeurd (Unsanctioned) 20% Privé gerelateerd 18-9-2018 www.lantech.nl

Schaduwzijde Voorheen Cloud Zelf eigenaar applicaties Cloud is eigenaar App Zelf eigenaar infrastructuur Cloud is eigenaar infra Eigenaar data Mede-eigenaar data? Eigen voorwaarden Voorwaarden van Cloud 18-9-2018 www.lantech.nl

Geen idee v v v v v v PROBLEEM Geen overzicht en geen controle! Is het gevoelige data? v Wie heeft toegang? Geen overzicht en geen controle! Geen idee of App vertrouwenswaardig is Geen inzicht in risicovolle acties Potentie voor data lekkage Identiteitsfraude Nalatigheid gebruikers PROBLEEM v Welke App’s zijn in gebruik? v Is het een risicovolle App? Welk apparaat is gebruikt? v v Is de activiteit compliant? 18-9-2018 www.lantech.nl

Overzicht v v v v v v OPLOSSING Jan van afdeling ROB v Uploading bouwplan naar DropBox Vanaf zijn mobile phone OPLOSSING v 1000+ cloud Apps v Inzicht in cloud App, gebruiker en activiteit. On premises en remote, zelfs op unmanaged devices. Detectie van abnormaal cloud app gebruik & account misbruik Detectie van gevoelige data verkeer Audit “share” settings voor “data at-rest” Niet Compliant aktie v v Risicovolle activiteit gedetecteerd. 18-9-2018 www.lantech.nl

Cloud Access Security Brokers (CASB) are on-premises, or cloud-based security policy enforcement points, placed between cloud service consumers and cloud service providers to combine and interject enterprise security policies as the cloud-based resources are accessed. CASBs consolidate multiple types of security policy enforcement. Example security policies include authentication, single sign-on, authorization, credential mapping, device profiling, encryption, tokenization, logging, alerting, malware detection/prevention and so on. 18-9-2018 www.lantech.nl

Integreer CLOUD ACCESS SECURITY BROKER (CASB) www.lantech.nl Intgereer deze in een SECURITY PLATFORM. En wees beschermd tegen o.a. ZERO DAY uitbraken. 18-9-2018 www.lantech.nl

Endpoint protectie Shadow IT Authenticatie Wat kunnen wij doen? Welke tools helpen Endpoint protectie Shadow IT Authenticatie 18-9-2018 www.lantech.nl

gemeentewijzer.nl 18-9-2018 www.lantech.nl

Authenticatie met logincode & wachtwoord Alleen gebruikersnaam & wachtwoord voldoen niet meer! Veel gebruikers hebben zelfde wachtwoord voor verschillende applicaties, zakelijk en privé Slordig; opschrijven wachtwoorden, meelezen, afgeven Zwak; wachtwoord, te kort, voor de hand liggend (piet123,VW97) Wachtwoorden kunnen achterhaald worden met software (Keyloggers, Brute Force Cracking) 18-9-2018 www.lantech.nl

Sterke Authenticatie Wat maakt authenticatie sterk? Combinatie van twee van de drie factoren. Weten, hebben en zijn. 18-9-2018 www.lantech.nl

I – Lokaal netwerk Applicaties AD met RADIUS (NPS) www.lantech.nl 18-9-2018 www.lantech.nl

II – Cloud appl. vanaf huis III – Externe toegang II – Cloud appl. vanaf huis netwerk Applicaties AD met RADIUS (NPS) Cloud Applicatie AD NPS VPN 18-9-2018 www.lantech.nl

Endpoint protectie Shadow IT Authenticatie Wat kunnen wij doen? Welke tools helpen Endpoint protectie Shadow IT Authenticatie 18-9-2018 www.lantech.nl

Vragen? – Demo? Demo en overleg Misschien tot straks bij de borrel (<- Dirk) Weet iemand waar de gemeente Juinen ligt? Vandaan komt? Wie was de echte wethouder van Juinen? 18-9-2018 www.lantech.nl