Proactive Security Strategy

Martin Knobloch, oprichter en grondlegger van PaSS, is vandaag door de Sogeti medewerkers uitgeroepen tot Sogetist van het jaar!

Onder de noemer PaSS zijn alle activiteiten met betrekking tot Informatiebeveiliging binnen Sogeti samengebracht. Hierdoor is informatiebeveiliging aan volwassenheid binnen Sogeti gegroeid tot een zeer breed inzetbare dienstverlening. PaSS staat voor de Sogeti brede, divisie overstijgende en integrale dienstverlening op het gebied van Informatiebeveiliging.

Eén van de belangrijkste aspecten bij informatiebeveiliging (IB) is een proactieve aanpak. Als één van de weinige leveranciers is Sogeti in staat een totaalaanbod neer te zetten op het gebied van informatiebeveiliging. Zowel organisatorische als technische aspecten worden vanuit één organisatie verzorgd. Informatiebeveiliging is immers een samenspel tussen allerlei instanties, personen en hard- en software in een organisatie. Door dit proactief vanuit één organisatie aan te pakken kan men alle aspecten samenbrengen en afstemmen op elkaar. Voor meer informatie stuur een mail naar pass [at] sogeti.nl.

PaSS Informatiebeveiliging

PaSS heeft nu ook een eigen twitter account. Volg ons op PaSS_Sogeti. Via de Twitter pagina zijn de threads te volgen.

De Proactive Security Strategy Flyer is beschikbaar. De flyer ook te vinden op de publicaties pagina.

I got into the office this morning and noticed that volume six of the Microsoft Security Intelligence Report (SIRv6) was released earlier today. For those of you who are not familiar with the report, the SIR is published by Microsoft twice per year. Each volume of the SIR looks at the data and trends observed in the first and second halves of each calendar year with a focus on malware data, software vulnerability disclosure data, vulnerability exploit data, and related trends.

A trend that the SIR calls out right up front was around rogue security software. The second half of 2008 saw a clear rise in prevalence of rogue security software (software which poses as  anti-malware or anti-spyware protection but in reality does little or nothing, and may even be malware!). While I knew the issue was out there and even had to help a good friend clean his system after being duped, the rise was eye-opening for me. The take away:  be careful out there! Get your software from a trusted source and keep it up-to-date with the latest Windows Updates. Be cautious not to follow advertisements for unknown software that pretends to provide protection. Access the sites of reputable vendors directly for information or subscription to their products and services.

Another piece of data I that I wanted to pass along deals with the infection rates of Windows, as shown in the graph below:

What this graph tells me is that the infection rate for Windows Vista is significantly lower than that of its predecessor, Windows XP, in all configurations. It also tells me that the higher the service pack level of an OS, the lower the infection rate. Once again, this really points out that you need to keep your software up-to-date!

I encourage you to download the full report and hope that you find the data, insights, and guidance provided in the SIR useful in helping you understand today’s threat landscape and ultimately help you protect your networks and users.

Now Available – Microsoft Security Intelligence Report
Paul Cooke
Wed, 08 Apr 2009 19:18:00 GMT

Na de release van BSI-MM is nu ook SAMM uitgebracht. SAMM is een open framework wat een organisatie kan helpen bij het formuleren en uitzetten van een strategie voor software security. SAMM is een OWASP project wat in samenwerking met Fortify is gerealizeerd. Op het hoogste niveau definieerd SAMM vier kritische functies. Elke functie heeft een drietal voorschriften en elk voorschrift heeft drie niveaus als doelen.

Als je ditzo leest ziet het hetzelfde uit als BSI-MM. Dit is niet verbasing wekkend als je er achterkomt dat ze dezelfde basis hebben. Eerst was er e studie waar Fortify aan meehielp. Pas op het moment dat Cigital/Fortify een ander idee had over de richting waarin het model moest gaan is er een splitsing gekomen.

Beide modellen hebben wel dezelfde structuur, maar verschillen van inhoud. Op de website van SAMM zal in de toekomst meer uitleg gegeven gaan worden over de verschillen tussen de twee.

Er zijn genoeg modellen om veilige software te bouwen. Microsoft heeft de SDL, OWASP heeft CLASP en Cigital heeft Touchpoints. Toch is het hebben van zo’n model geen garantie dat het werkt. Het vergt ook iets van de organisatie om met het model goed om te gaan.

Brian Chess, Garry McGraw en Sammy Migues hebben bij negen bedrijven bestudeerd welke onderdelen gemeenschappelijk zijn in de modellen. Deze gemeenschappelijkheden zijn samen gevoegd in, wat ze noemen, het Secure Software Framework. Dit framework is de basis voor het maturity model.

Het model verdeelt beveiliging op in twaalf categorieen, inclusief training, code review en software testen nadat het geschreven is. Elke categorie bevat een aantal activiteiten die kunnen helpen met het maken van veiligere software, zoals het baseren van trainings sessies op bestaande beveiligings incidenten en niet op theoretische. Het is bedoelt  voor het hoofd van de IT afdeling en kan vrij gedownload worden.

Artikel over “The future of secure development at Microsoft” op SD Times. (Jesse bedankt voor het doorsturen).