Wat is de toekomst van online security? Een terugblik op Security Today and Tomorrow

Facebooktwittergoogle_plusredditpinterestlinkedinmail

Wat is de toekomst van online security? Nadat ik onlangs terugkwam van een vakantie in Ierland, probeerde ik ‘even’ 3 weken Embrace posts en notificaties door te nemen. Wat gebeurt er tegenwoordig een hoop in zo’n korte tijd!

EĂ©n van de mededelingen betrof de aankondiging voor een securitysymposium voor onze klanten: Security Today and Tomorrow. Het symposium werd georganiseerd in samenwerking met Insite Security en Umbrella.

Interessant! En, zo bleek via een oproep van mijn collega Linn, ook toegankelijk voor collega’s. Maar even aangemeld dus. Al vrij snel werd duidelijk waarom wij ook welkom waren… Linn deelt namelijk graag taken uit aan collega’s 🙂 Infostands moeten bemand worden. Klanten begeleid. Spullen vervoerd. Foto’s gemaakt… En er moet een blog komen!

Zodoende togen we op een mooie zonnige donderdag naar Amersfoort om daar rond 11:30 in congrescentrum Eenhoorn te verzamelen. Voor nadere instructies van Linn.

Of een uurtje eerder voor sommigen van wie kloklezen niet het sterkste punt is… Mooi op tijd dus. Net als een aantal van de eerste gasten! Gelukkig is de catering al actief met koffie, thee en lekkere broodjes.

security-toekomst-social-intranet-lunch
Foto: Jorik Berkepas

Nadat Erik Rutkens van Insite Security om 12:30 het programma opent is het tijd voor de Keynote spreker: Mikko Hypponen, Chief Research Officer van het Finse F-Secure. Een inspirerende en ervaren spreker die de huidige stand van het internet, en de ontwikkelingen op het gebied van IoT (Internet of Things, oftewel alle elektronische apparaten gekoppeld aan het internet) vakkundig in een historisch perspectief plaatst. Hij vertelt over wat volgens hem de volgende grote veranderingsgolf zal zijn: Artificial Intelligence.

Aan de hand van voorbeelden word je aan het denken gezet over mogelijkheden en risico’s. Verder komt vanuit zijn werkveld de recente wereldwijde cyberattack Wannacry voorbij. Waarbij we interessante inzichten krijgen in de achtergrond en aanpak van de aanval.

security-toekomst-social-intranet-mikko-hypponen
Mikko Hypponen van F-Secure vertelt over The State of the Internet tijdens het symposium Security Today and Tomorrow. Foto: Jorik Berkepas

Na een korte pauze zijn alle bezoekers in de gelegenheid om 2 break-out sessies bij te wonen uit een programma van 4 mogelijke sessies:

  1. A) Knuffel een hacker | Edwin van Andel
  2. B) Security of Things | Pieter Meulenhoff
  3. C) Stilte voor de storm | Mathieu Paapst
  4. D) Continous security testing | onze eigen Erik Drijfhout en Freddy Groen

Ik kies voor A en C (mijn collega Sjaak geeft je zijn samenvatting van sessie D).

Knuffel een hacker

Edwin van Andel heeft als hacker van het eerste uur veel mooie anekdotes over hacken in ‘the old days’. Hij heeft ook leuke actuele voorbeelden, o.a. hoe gemakkelijk het vaak nog is om de beveiliging te omzeilen.

Als CEO van Zerocopter pleit hij er voor de hackerscommunity veel meer te betrekken bij beveiligingsvraagstukken, en heeft daar landelijk ook regelmatig succes mee. Hun netwerk van ethische hackers biedt organisaties de mogelijkheid om met een fixed budget inzicht te krijgen in de kwetsbaarheden van online omgevingen.

Via quizvragen kunnen de aanwezigen bovendien flesjes Club-Mate winnen, maar of je daar blij mee moet zijn is maar de vraag 🙂

edwin-van-andel-zerocopter-security-ethische-hackers
Ethische hacker Edwin van Andel. Foto: Jorik Berkepas

Privacywetgeving

Mathieu Paapst analyseert de Uitvoeringswet Algemene Verordening Gegevensbescherming, welke op 25 mei 2018 de Wet Bescherming Persoonsgegevens gaat opvolgen. Veel organisaties krijgen hier mee te maken in de rol van verwerkingsverantwoordelijke. Sommige zijn al volop bezig met de voorbereidingen.

Embrace en Umbrella maken in de rol van verwerker van data vaak onderdeel uit van de keten. Wij krijgen dus ook met deze wetgeving te maken. Intern wordt daarom al gewerkt aan aangepaste verwerkingsovereenkomsten. Maar het verhaal van Mathieu maakt wel duidelijk dat er veel juridische details zijn waarnaar gekeken moet worden. Ook in technisch opzicht veranderen er zaken. Bijvoorbeeld als het gaat om (volledige) inzage in vastgelegde persoonlijke gegevens. Of de mogelijkheid om deze te verwijderen.

mathieu-paapst-privacywetgeving-social-intranet
Mathieu Paapst vertelt over de privacywetgeving die volgend jaar van toepassing is. Foto: Jorik Berkepas

Continuous Security Testing

Deze sessie werd gegeven door onze eigen Freddy en Erik. Tijdens deze sessie beschrijven ze hoe wij constant bezig zijn met veiligheid, niet alleen voor het product maar tijdens het hele ontwikkelproces.

Twee belangrijke tools in dit proces worden wat uitvoeriger besproken: penetratietesten en de zogeheten bug bounties. Beiden zijn waardevolle toevoegingen aan de security van het product. In het kort is een penetratietest een test waarbij een security bedrijf met een groep medewerkers de meest gangbare (en de iets minder gangbare) beveiliging lekker uittest. Dit vangt al een groot deel van de mogelijke lekken af.

Daarnaast is er de ’bug bounty’ dit houdt in dat wanneer iemand (dit kan iedereen zijn) een lek vindt en dit op de nette manier aan Embrace meldt, zij daarvoor een beloning (bounty) ontvangen.

Uiteraard worden er voor de bovengenoemde security testen, intern al een groot aantal zaken qua security getest en opgepakt. Zo wordt er bijvoorbeeld rekening gehouden met zaken in de OWASP-top 10, en testen tijdens het ontwikkeltraject.

Op deze manier zij wij dus altijd bezig met het verbeteren van de veiligheid van ons product.

Freddy-erik-embrace-security-testing-social-intranet
Freddy Groen en Erik Drijfhout vertellen over de veiligheid van Embrace en over het ontwikkelproces. Foto: Jorik Berkepas

Responsible disclosures

Na nogmaals een pauze vertelt Victor Gevers over zijn werk voor de GDI foundation. Een non-profit organisatie die is opgericht om het internet veiliger te maken. Een van de middelen hiervoor is de Cyber Security Health Check. Dit is een dashboard dat een wereldwijd inzicht geeft in gevoeligheid voor bekende kwetsbaarheden. Bijvoorbeeld in Elastic Search of MongoDB. Als Ethisch hacker is Victor daarnaast een jaar lang bijna non-stop bezig geweest om wereldwijd kwetsbaarheden op te sporen. Dit resulterend in ca. 700 meldingen. Opvallend daarbij was dat in China deze meldingen het snelst opgepakt en verholpen werden.

victor-gevers-responsible-disclosure-hacking-security
Victor Gevers over responsible disclosure. Foto: Jorik Berkepas

Social Engineering

De laatste sessie van de dag wordt verzorgd door Captain Crunch. De echte captain, John Draper, werd onder andere bekend als phone phreak. Dit kwam doordat hij had ontdekt hoe je gratis kon bellen door gebruik te maken van een specifiek fluitje dat gratis bij de ontbijt muesli werd verstrekt.

Onze captain voert een showtje op samen met een stereotype hacker. Hierin worden ook een aantal mensen uit het publiek betrokken. Langzaam wordt duidelijk dat zij gedurende de dag via social engineering ‘live’ zijn gehackt. Een originele manier om het publiek te wijzen op de gevaren van deze niet-technische methode van hacken. Echt iets om over na te denken, en daarmee ook een mooie afsluiter van deze inspirerende dag!

social-engineering-security-symposium
Social Engineering, hoe werkt dat eigenlijk? Foto: Jorik Berkepas

Een afsluiter die daarna ook nog even formeel door de dagvoorzitter wordt gedaan, uiteraard gevolgd door een informele afsluiting, de borrel.

Download Ebook In 7 stappen naar een succesvol social intranet

Download Ebook In 7 stappen naar een succesvol social intranet-mobile

Facebooktwitterpinterestlinkedinyoutubeinstagram