Computerbeveiliging
- Hoe je bad guys buiten de deur houdt
Security minder in de hand door SaaS?
01-07-2016, 11:19 door Anoniem, 8 reacties
Goedemorgen,
Weet niet zeker of dit het goede forum-categorie is maar ik heb even een vraag waar ik heel graag jullie mening over wil weten.
Als men vroeger aan "security" dacht dacht je vooral aan virusscanner op de clients en servers, en een firewall om alles af te schermen van buiten. En dan had je nog zaken als vpn etc.
Maar nu zie je steeds meer dat heel veel organisaties veel applicaties niet meer on premisis hebben draaien, maar in de cloud, denk aan SaaS. Veel applicaties worden als SaaS afgenomen.
Verschuift hierdoor de security naar de aanbieder van de SaaS oplossing, of kun je als bedrijf daar zelf wel degelijk nog invloed op uitoefenen.
Je ziet bv om je heen veen SIEM-oplossingen om zo veel mogelijk security data gemanaged te analyseren. Dat is natuurlijk perfect toepasbaar als je alles in je eigen omgeving hebt staan, maar zijn zaken als SIEM ook toepasbaar als je veeL SaaS afneemt? Of ben je dan echt "overgeleverd" aan de beveiliging van de aanbieder en verdwijnt je eigen invloed daarin steeds meer?
Bedankt vast!
Weet niet zeker of dit het goede forum-categorie is maar ik heb even een vraag waar ik heel graag jullie mening over wil weten.
Als men vroeger aan "security" dacht dacht je vooral aan virusscanner op de clients en servers, en een firewall om alles af te schermen van buiten. En dan had je nog zaken als vpn etc.
Maar nu zie je steeds meer dat heel veel organisaties veel applicaties niet meer on premisis hebben draaien, maar in de cloud, denk aan SaaS. Veel applicaties worden als SaaS afgenomen.
Verschuift hierdoor de security naar de aanbieder van de SaaS oplossing, of kun je als bedrijf daar zelf wel degelijk nog invloed op uitoefenen.
Je ziet bv om je heen veen SIEM-oplossingen om zo veel mogelijk security data gemanaged te analyseren. Dat is natuurlijk perfect toepasbaar als je alles in je eigen omgeving hebt staan, maar zijn zaken als SIEM ook toepasbaar als je veeL SaaS afneemt? Of ben je dan echt "overgeleverd" aan de beveiliging van de aanbieder en verdwijnt je eigen invloed daarin steeds meer?
Bedankt vast!
Reacties (8)
Verschuift hierdoor de security naar de aanbieder van de SaaS oplossing, of kun je als bedrijf daar zelf wel degelijk nog invloed op uitoefenen.
Argument voor SaaS:
De aanname ''zelf doen we alles beter'' is dikwijls misplaatst, leveranciers kunnen zaken beter beveiligd hebben dan je eigen werkgever.
Argument tegen SaaS:
Leveranciers gaan zelden verder in hun inzet dan wat er is afgesproken in contracten / SLA's. Hou hier rekening mee, en zorg dat er duidelijke afspraken zijn, en dat verwachtingen niet verder gaan dan wat is afgesproken.
Door Anoniem:
Argument voor SaaS:
De aanname ''zelf doen we alles beter'' is dikwijls misplaatst, leveranciers kunnen zaken beter beveiligd hebben dan je eigen werkgever.
Argument tegen SaaS:
Leveranciers gaan zelden verder in hun inzet dan wat er is afgesproken in contracten / SLA's. Hou hier rekening mee, en zorg dat er duidelijke afspraken zijn, en dat verwachtingen niet verder gaan dan wat is afgesproken.
Verschuift hierdoor de security naar de aanbieder van de SaaS oplossing, of kun je als bedrijf daar zelf wel degelijk nog invloed op uitoefenen.
Argument voor SaaS:
De aanname ''zelf doen we alles beter'' is dikwijls misplaatst, leveranciers kunnen zaken beter beveiligd hebben dan je eigen werkgever.
Argument tegen SaaS:
Leveranciers gaan zelden verder in hun inzet dan wat er is afgesproken in contracten / SLA's. Hou hier rekening mee, en zorg dat er duidelijke afspraken zijn, en dat verwachtingen niet verder gaan dan wat is afgesproken.
Einde discussie.
01-07-2016, 14:45 door
User2048
Met een SIEM kijk je naar je eigen infrastructuur, niet naar de infrastructuur van de SaaS-leverancier.
De leverancier van de SaaS is verantwoordelijk voor de beveiliging van zijn omgeving. Je kunt in het contract afspraken maken over de beveiliging (waar staan de servers, wie kan er bij, wat voor backups maken ze, ...). Ook kun je vragen naar certificaten, zoals ISO 27001. Daarnaast kun je afspreken dat je het recht hebt om een audit uit te voeren.
Ja gaat met SaaS dus van een uitvoerende rol naar een meer controlerende rol.
De leverancier van de SaaS is verantwoordelijk voor de beveiliging van zijn omgeving. Je kunt in het contract afspraken maken over de beveiliging (waar staan de servers, wie kan er bij, wat voor backups maken ze, ...). Ook kun je vragen naar certificaten, zoals ISO 27001. Daarnaast kun je afspreken dat je het recht hebt om een audit uit te voeren.
Ja gaat met SaaS dus van een uitvoerende rol naar een meer controlerende rol.
01-07-2016, 14:56 door
karma4
De beste vraag die je maar kunt stellen. Helaas is het allemaal niet zo eenvoudig.
Voor de scurity van jouw data blijf je zelf aansprakelijk en verantwoordelijk ook al besteed je alles uit (SAAS).
Dat zal de verkoper niet zo zeggen. Kijk even naar iso2713. Het is de norm in die reeks. Je kunt het analyseren van secùrity bedreigingen ook uitbesteden. (SIEM ids) of dat zelf blijven doen. Net zoals je dekstopbeheer kan uitbesteden (DAAS) . Alles is een keuze alleen de eindverantwoordelijkheid niet.
Daar zit het venijn.
Voor de scurity van jouw data blijf je zelf aansprakelijk en verantwoordelijk ook al besteed je alles uit (SAAS).
Dat zal de verkoper niet zo zeggen. Kijk even naar iso2713. Het is de norm in die reeks. Je kunt het analyseren van secùrity bedreigingen ook uitbesteden. (SIEM ids) of dat zelf blijven doen. Net zoals je dekstopbeheer kan uitbesteden (DAAS) . Alles is een keuze alleen de eindverantwoordelijkheid niet.
Daar zit het venijn.
01-07-2016, 14:56 door
karma4
[Verwijderd]
01-07-2016, 14:56 door
karma4
[Verwijderd]
Lees eerst eens wat voer van het NCSC (www.ncsc.nl), bijvoorbeeld:
- ICT-Beveiligingsrichtlijnen voor Webapplicaties
- Whitepaper Cloudcomputing
- Raamwerk beveiliging webapplicaties
- ICT-Beveiligingsrichtlijnen voor Webapplicaties
- Whitepaper Cloudcomputing
- Raamwerk beveiliging webapplicaties
03-07-2016, 09:10 door
Erik van Straten
@TS: een probleem met SaaS is dat je meestal geen idee hebt wie er bij jouw data kunnen (met toestemmin van de SaaS privider en hoe wordt voorkomen dat onbevoegden dat kunnen. Maar ook weet je vaak niet wat er met jouw data gebeurt als de SaaS provider failliet gaat, wordt overgenomen en/of besluit om zijn SaaS-product in de door jouw gewenste vorm te discontinueren (een gekocht en lokaal geïnstalleerd softwarepakket kun je meestal zolang als je wilt blijven gebruiken). Dit los van beschikbaarheidissues als gevolg van netwerkproblemen.
Een voorbeeld van een potentieel probleem is dat je geen enkele invloed hebt op HRM (Human Resources Management) processen van die SaaS provider. Ook heb je totaal geen invloed op de "supply chain", d.w.z. leveranciers aan die SaaS provider (waaronder hosting en CDN (content delivery networks), laat staan dat je iets te zeggen hebt over het personeelsbeleid van die onderaannemers. Medewerkers van een SaaS leverancier, en zeker van toeleveranciers daarvan, voelen zich niet verbonden met jouw bedrijf (of jou persoonlijk) anders dan dat jij gewoon een van de vele klanten bent. Als 1 van die clubs slechte arbeidsvoowaarden hanteert (pay peanuts get monkeys), is het niet moeilijk te bedenken wat er fout kan gaan (zie bijv. [1] - daarbij ging het om NAW gegevens, maar bij een SaaS provider zou het ook om jouw data kunnen gaan).
Hoe grootschaliger de provider, hoe goedkoper het product kan zijn bij gelijkblijvende kwaliteit waaronder beveiliging - maar hoe minder jij daarover te vertellen hebt, en hoe generieker beveiligingsmaatregelen als spamfilters en virusscanners zullen zijn. Waar je in jouw eigen bedrijf kunt instellen dat alle e-mails met .exe bijlagen of in de tekst het woord "viagra" voorkomt, meteen gewist moeten worden, geldt dat niet voor iedereen. Een ander potentiëel probleem zijn configuratiefouten of bugs waardoor derden (onbedoeld) bij jouw data kunnen (de inpact van dat soort problemen bij locale ICT voorzieningen is meestal veel kleiner).
Een voordeel (nu nog) van SaaS is dat klassieke malware daar niet veel mee kan (en jouw lokale virusscanner, firewall of zelfs SIEM oplossing werkeloos "toekijken"). Maar aangezien er al malware specifiek voor SaaS omgevingen verschijnt ([2]), zou ik me maar niet rijk rekenen. Bovendien heb ik geen hoe je je daar goed tegen kunt beschermen.
Een geldig ISO 27001 certificaat kan je enige inzage geven in de werkwijze van een SaaS provider, en zelfs iets zeggen over de werkwijze van haar toeleveranciers. Maar bij zo'n certificaat zijn er een aantal zaken waar je heel goed op moet letten:
1) Op het certificaat staat een -zeer kort- "scope statement" (NL: vaak "toepassingsgebied" of zo). Dit beschrijft welke bedrijfsonderdelen en/of locaties onder het certificaat vallen. In elk geval mag het scope statement voor jou relevante aspecten niet uitsluiten (zoals hosting en HRM). Vraag bij twijfel om een separaat "scope statement" document. Wantrouw SaaS leveranciers die zeggen dat niet te hebben of die zoiets niet aan jou willen geven.
2) Sowieso is een ISO 27001 certificaat waardeloos als je de bijbehorende SOA (statement of applicability) er niet bij krijgt. Daarin staat op welke maatregelen (ook een vorm van scope dus) het certificaat van toepassing is. Bij een SaaS provider horen alle maatregelen uit de annex van ISO 27001 (met aanvullende uitleg te vinden in ISO 27002) te zijn meegenomen. Indien er 1 of meer maatregelen zijn uitgezonderd moet je argwaan krijgen en kun je om een toelichting vragen. Een (SaaS-) leverancier die jou wel haar ISO 27001 certificaat geeft maar niet haar bijbehorende SOA, verbergt iets.
3) Helaas hoeven ISO 27001 certificaat + SOA nog helemaal niets te zeggen. In theorie kan de leverancier haar "backupbeleid" als volgt invullen: "wij backuppen niet" bijv. omdat zij geld bespaart als klanten daar zelf verantwoordelijk voor zijn. Hetzelfde geldt voor "patchbeleid": in principe kan dat zijn ingevuld als "wij patchen 1x per jaar" of zelfs "wij patchen niet". Auditors van gerenommeerde ISO 27001 certificeerders zullen hier nooit mee akkoord gaan. Immers, als klant ken je hooguit de SOA (met, per "control" -zoals backupbeleid- een ja/nee verklaring) maar zelden de invulling.Google dus naar de certificeerder; als dat de een of andere "brievenbusfirma" in Oost-Europa, Latijns-Amerika of Azië is, moet je je serieus afvragen wat de waarde is van zo'n certificaat.
4) Sowieso zijn auditors van ISO 27001 certificeerders, gewoon mensen die in korte tijd en met wat steekproefjes moeten vaststellen dat een leverancier doet wat zij zegt (en schrijft) te doen. Leveranciers die hun zaakjes niet 100% op orde hebben (maak je geen illusies, dat heeft niemand) zullen dat proberen te verhullen - en meestal lukt dat, zeker bij "minder sterke" auditors die graag volgende keer weet gevraagd willen worden.
Als je veel persoonsgegevens van jouw klanten, clubleden, kerkgangers, gemeentelijke inwoners etc. maar ook jouw personeel in "de cloud" opslaat (denk ook aan back-ups daarvan), ben je verplicht om een bewerkersovereenkomst af te sluiten met de cloud leverancier (dat was overigens ook al zo vóór 1 januari 2016, zie [3]).
Kortom, met SaaS heb je, ook indien de leverancier ISO 27001 gecertificeerd zegt te zijn, feitelijk geen idee of jouw data daat veilig zijn. Hooguit kun je kijken naar de "rampengeschiedenis" van een bedrijf en de wijze + transparantie hoe daarmee werd omgesprongen. Simpele regel: bedrijven waar nooit iets fout gaat, bestaan niet - die zou ik mijden als de pest.
Velen springen op de Cloud "trein" zonder de risico's ervan te willen wegen, net zoals met BYOD gebeurt. Bizar vind ik dat.
[1] https://www.security.nl/posting/474998/Werknemer+T-Mobile+Tsjechi%C3%AB+steelt+data+1%2C5+miljoen+klanten
[2] http://www.theregister.co.uk/2016/06/28/ransomware_scum_target_corporate_office_365_users_in_0day_campaign/
[3] https://ictrecht.nl/ictrecht/wie-is-er-verantwoordelijk-voor-bescherming-van-persoonsgegevens/
Een voorbeeld van een potentieel probleem is dat je geen enkele invloed hebt op HRM (Human Resources Management) processen van die SaaS provider. Ook heb je totaal geen invloed op de "supply chain", d.w.z. leveranciers aan die SaaS provider (waaronder hosting en CDN (content delivery networks), laat staan dat je iets te zeggen hebt over het personeelsbeleid van die onderaannemers. Medewerkers van een SaaS leverancier, en zeker van toeleveranciers daarvan, voelen zich niet verbonden met jouw bedrijf (of jou persoonlijk) anders dan dat jij gewoon een van de vele klanten bent. Als 1 van die clubs slechte arbeidsvoowaarden hanteert (pay peanuts get monkeys), is het niet moeilijk te bedenken wat er fout kan gaan (zie bijv. [1] - daarbij ging het om NAW gegevens, maar bij een SaaS provider zou het ook om jouw data kunnen gaan).
Hoe grootschaliger de provider, hoe goedkoper het product kan zijn bij gelijkblijvende kwaliteit waaronder beveiliging - maar hoe minder jij daarover te vertellen hebt, en hoe generieker beveiligingsmaatregelen als spamfilters en virusscanners zullen zijn. Waar je in jouw eigen bedrijf kunt instellen dat alle e-mails met .exe bijlagen of in de tekst het woord "viagra" voorkomt, meteen gewist moeten worden, geldt dat niet voor iedereen. Een ander potentiëel probleem zijn configuratiefouten of bugs waardoor derden (onbedoeld) bij jouw data kunnen (de inpact van dat soort problemen bij locale ICT voorzieningen is meestal veel kleiner).
Een voordeel (nu nog) van SaaS is dat klassieke malware daar niet veel mee kan (en jouw lokale virusscanner, firewall of zelfs SIEM oplossing werkeloos "toekijken"). Maar aangezien er al malware specifiek voor SaaS omgevingen verschijnt ([2]), zou ik me maar niet rijk rekenen. Bovendien heb ik geen hoe je je daar goed tegen kunt beschermen.
Een geldig ISO 27001 certificaat kan je enige inzage geven in de werkwijze van een SaaS provider, en zelfs iets zeggen over de werkwijze van haar toeleveranciers. Maar bij zo'n certificaat zijn er een aantal zaken waar je heel goed op moet letten:
1) Op het certificaat staat een -zeer kort- "scope statement" (NL: vaak "toepassingsgebied" of zo). Dit beschrijft welke bedrijfsonderdelen en/of locaties onder het certificaat vallen. In elk geval mag het scope statement voor jou relevante aspecten niet uitsluiten (zoals hosting en HRM). Vraag bij twijfel om een separaat "scope statement" document. Wantrouw SaaS leveranciers die zeggen dat niet te hebben of die zoiets niet aan jou willen geven.
2) Sowieso is een ISO 27001 certificaat waardeloos als je de bijbehorende SOA (statement of applicability) er niet bij krijgt. Daarin staat op welke maatregelen (ook een vorm van scope dus) het certificaat van toepassing is. Bij een SaaS provider horen alle maatregelen uit de annex van ISO 27001 (met aanvullende uitleg te vinden in ISO 27002) te zijn meegenomen. Indien er 1 of meer maatregelen zijn uitgezonderd moet je argwaan krijgen en kun je om een toelichting vragen. Een (SaaS-) leverancier die jou wel haar ISO 27001 certificaat geeft maar niet haar bijbehorende SOA, verbergt iets.
3) Helaas hoeven ISO 27001 certificaat + SOA nog helemaal niets te zeggen. In theorie kan de leverancier haar "backupbeleid" als volgt invullen: "wij backuppen niet" bijv. omdat zij geld bespaart als klanten daar zelf verantwoordelijk voor zijn. Hetzelfde geldt voor "patchbeleid": in principe kan dat zijn ingevuld als "wij patchen 1x per jaar" of zelfs "wij patchen niet". Auditors van gerenommeerde ISO 27001 certificeerders zullen hier nooit mee akkoord gaan. Immers, als klant ken je hooguit de SOA (met, per "control" -zoals backupbeleid- een ja/nee verklaring) maar zelden de invulling.Google dus naar de certificeerder; als dat de een of andere "brievenbusfirma" in Oost-Europa, Latijns-Amerika of Azië is, moet je je serieus afvragen wat de waarde is van zo'n certificaat.
4) Sowieso zijn auditors van ISO 27001 certificeerders, gewoon mensen die in korte tijd en met wat steekproefjes moeten vaststellen dat een leverancier doet wat zij zegt (en schrijft) te doen. Leveranciers die hun zaakjes niet 100% op orde hebben (maak je geen illusies, dat heeft niemand) zullen dat proberen te verhullen - en meestal lukt dat, zeker bij "minder sterke" auditors die graag volgende keer weet gevraagd willen worden.
Als je veel persoonsgegevens van jouw klanten, clubleden, kerkgangers, gemeentelijke inwoners etc. maar ook jouw personeel in "de cloud" opslaat (denk ook aan back-ups daarvan), ben je verplicht om een bewerkersovereenkomst af te sluiten met de cloud leverancier (dat was overigens ook al zo vóór 1 januari 2016, zie [3]).
Kortom, met SaaS heb je, ook indien de leverancier ISO 27001 gecertificeerd zegt te zijn, feitelijk geen idee of jouw data daat veilig zijn. Hooguit kun je kijken naar de "rampengeschiedenis" van een bedrijf en de wijze + transparantie hoe daarmee werd omgesprongen. Simpele regel: bedrijven waar nooit iets fout gaat, bestaan niet - die zou ik mijden als de pest.
Velen springen op de Cloud "trein" zonder de risico's ervan te willen wegen, net zoals met BYOD gebeurt. Bizar vind ik dat.
[1] https://www.security.nl/posting/474998/Werknemer+T-Mobile+Tsjechi%C3%AB+steelt+data+1%2C5+miljoen+klanten
[2] http://www.theregister.co.uk/2016/06/28/ransomware_scum_target_corporate_office_365_users_in_0day_campaign/
[3] https://ictrecht.nl/ictrecht/wie-is-er-verantwoordelijk-voor-bescherming-van-persoonsgegevens/
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
