Natuurlijk is de beveiliging van onze systemen een top prioriteit van Tekkamaki Securityi BV. Als geen ander weten we ook dat er altijd een mogelijkheid is dat er op enig moment kwetsbaarheden aanwezig zijn. Als je een dergelijke kwetsbaarheid ontdekt dan willen we dat natuurlijk weten, opdat we het kunnen oplossen. We vragen je dus om ons te helpen onze klanten en onze systemen veilig te houden.
Je kunt het volgende Contact Tekkamaki gebruiken om de bevindingen aan ons door te geven. Hierbij gelden de volgende regels:
Wat te doen:
Rapporteer de kwetsbaarheid zo snel mogelijk, om het risico dat kwaadwillenden dit probleem misbruiken te minimaliseren.
Rapporteer op een manier die de vertrouwelijkheid van de informatie waarborgt, zodat anderen geen toegang krijgen tot deze informatie.
Neem voldoende informatie op in het rapport om het probleem te kunnen reproduceren. In veel gevallen is het IP-adres of de URL van het kwetsbare systeem en een gedetailleerde beschrijving van de kwetsbaarheid voldoende, maar complexe kwetsbaarheden hebben mogelijk een aanvullende verklaring nodig.
Wat niet te doen:
Openbaar de kwetsbaarheid of het probleem niet aan anderen totdat we het hebben opgelost.
Bouw geen eigen 'backdoor' in een informatiesysteem met de intentie om de kwetsbaarheid te demonstreren. Dit kan namelijk tot additionele schade leiden en zorgt voor onnodige beveiligingsrisico's.
Misbruik de kwetsbaarheid niet meer dan noodzakelijk is om aan te tonen dat deze werkelijk misbruikt kan worden.
Laat alle gegevens op het systeem zo veel mogelijk met rust. Ga deze gegevens dus niet kopieren, modificeren of verwijderen. Een alternatieve manier om bewijs aan te leveren is het overleggen van een directory listing van het systeem.
Breng geen wijzigingen aan op het systeem.
Benader het systeem niet meer zodra je voldoende bewijs hebt verzameld. Deel de toegang tot het systeem of de gegevens niet met anderen.
Gebruik geen 'brute force' aanvallen, aanvallen op de fysieke beveiliging, 'distributed denial of service'. 'social engineering', spam, of applicaties van derden om toegang tot het systeem of de daarop aanwezige informatie te verkrijgen.
Wat we beloven:
We sturen je een antwoord op je rapport binnen vijf werkdagen. Hierin nemen we onze evaluatie, en een datum op waarop we verwachten het probleem te hebbeni opgelost.
Als je de instructies hierboven volledig hebt gevolgd dan zullen we geen juridisch stappen tegen je nemen met betrekking tot hetgeen is opgenomen in het rapport.
We zullen je persoonlijke gegevens niet doorgeven aan derde partijen zonder jouw goedkeuring, tenzij dit wettelijk noodzakelijk is. Het rapporteren onder een pseudoniem of anoniem is mogelijk.
We houden je op de hoogte van onze voortgang om het probleem op te lossen.
de publiek beschikbare informatie met betrekking tot het gemelde probleem nemen we je naam (of pseudoniem) op als de ontdekker van het probleem, tenzij je duidelijk maakt daar geen prijs op te stellen.
We streven ernaar om alle problemen zo snel mogelijk op te lossen, en we willen een actieve rol spelen in de uiteindelijke publicatie over het probleem nadat we het hebben opgelost.
Hans is waarschijnlijk het meest bekend als ethisch hacker. Halverwege 2017 heeft hij afscheid genomen van Madison Gurkha, het bedrijf dat hij, samen met Guido van Rooij en Mark Huizer, eind 2000 heeft opgericht. Dit bedrijf leverde hoog gekwalificeerde penetratie-testen en security-consultancy aan de top-1000 organisaties (bedrijven, (onderzoeks-)instellingen en overheid) in Nederland. Dit stelde hen in staat om efficient risico’s te identificeren, mitigeren, en te voorkomen. Destijds werd het bedrijf door klanten gezien als een van de top-3 penetratietest-specialisten in Nederland. Voor de oprichting van dit bedrijf was Hans betrokken als senior security consultant bij het RISC-team van PinkRoccade. Hans begon zijn professionele loopbaan als ontwikkelaar bij de R&D-tak van Positronika Data Systems, waarna hij verschillende posities heeft bekleed bij ondernemingen als Datex Industrial Automation, Balance Industrial Automation, Vicorp, en Sequent Computer Systems. Hans heeft in het verleden regelmatig presentaties en workshops verzorgd tijdens (international (hacker)) conferenties, waaronder (en niet gelimiteerd tot): SANE, HOPE, Black Hat en HAL, en presenteert nog steeds regelmatig tijdens bedrijfsbijeenkomsten, op universiteiten, hogescholen en andere opleidingsinstituten.
Reinoud van Leeuwen
Reinoud is een ervaren SiteOps, Architect, en Software-Engineer. Hij heeft meer dan vijfentwintig jaar ervaring in netwerk-, database-, en applicatiebeheer. Vanaf prille begin van Internet in Nederland tot complexe architecturen in de moderne cloud met microservices in een servicemesh, het is allemaal gesneden koek. ITIL, TOGAF, Scrum, en Agile eet hij voor het ontbijt. Reinoud was in het verleden nauw betrokken bij de organisatie van een aantal internationale cybersecurity congressen, en is ook ervaren in het geven van verschillende trainingen.
Floris Meester
Floris heeft jarenlange ervaring als consultant en trainer op zowel security gebied als op het gebied van high-availability met verschillende technologiëen. Hij is gespecialiseerd in implementatie van technische beveiliging, monitoring en auditing op zowel applicatie, operating system en netwerk gebied. Daarnaast ontwikkelt hij software oplossingen op het gebied van security en compliance. Tevens is Floris actief als penetration tester. Floris heeft de volgende certificeringen: Certified Ethical Hacker (CEH Master), Certified Information Systems Security Professional (CISSP), Certified EC Council Instructor (CEI)
Marnix Weusten
Dr. mr. Marnix Weusten studeerde Rechten aan de Radboud Universiteit en promoveerde aan de Universiteit Utrecht op het snijvlak van kunstmatige intelligentie en recht. Hij publiceerde een groot aantal artikelen, boeken en commercieel uitgegeven (fiscale) expertsystemen. Na veertien jaar verbonden te zijn geweest aan de Universiteit Utrecht (zowel bij de faculteit Rechtsgeleerdheid als de faculteit Wiskunde en Informatica), maakte hij de overstap naar het bedrijfsleven (Stibbe, Loyens & Loeff). Inmiddels bekleedt hij al twintig jaar internationale leidinggevende functies op het raakvlak van business development, knowledge management en IT en behoort hij tot de pioniers van contentintegratie en (client) portals. Sinds juni 2017 is hij partner bij BDO.
Bas ven der Linden
Bas heeft als security officer diverse malen ISO27001, ISO9001 en NEN7510 ingevoerd en kent daarmee de praktijk door en door. Ook geeft hij, net als Erik, curssen op het gebied van informatiebeveiliging (CISSP, CCSP, CISA, CISM). Bas heeft de volgende certificeringen: Certified Information Systems Security Professional (CISSP), Certified Cloud Security Professional (CCSP), Certified Informatino Systems Auditor (CISA). Daarnaast is Bas gecertifieerd Cloud Security Alliance STAR Auditor en is hij momenteel bezig met accreditatie tot ISO27001- en ISO9001-auditor.
Kwetsbaarheden scans en monitoring
De huidige wetgeving zorgt er steeds meer voor dat u zich bewust moet zijn van bekende kwetsbaarheden in de apparatuur, firmware, en alle overige software die uw organisatie gebruikt. Het uitvoeren van kwetsbaarheden-scans en het aanhoudend monitoren van uw infrastructuur zijn basis-activiteiten die u hiervoor kunt inzetten, maar deze kunnen fout-positieven (geïdentificeerde problemen die er in werkelijkheid niet zijn) weergeven. Dat is de reden waarom analyse en rapportage door specialisten van belang is. Wij bieden een volledig pakket dienstverlening, dat hiermee rekening houdt en waardoor uw organisatie zich kan richten op werkelijk aangetoonde problemen. Hierbij wordt rekening gehouden met wijzigingen die hebben plaatsgevonden en mogelijk mitigerende maatregelen die zijn getroffen door andere lagen in de beveiliging.
Penetratietest onderzoeken
Naast standaard hardware en software die in bulk ingekocht wordt, gebruiken de meeste organisaties dagelijks ook applicaties die speciaal voor hen ontwikkeld zijn. Helaas wordt niet alle software ontworpen en ontwikkeld om, naast de gevraagde functionaliteit, ook inherent veilig te zijn. Terwijl het scannen van dergelijke software verschillende zwakheden niet automatisch zal identificeren. De meeste scanners richten zich namelijk op bekende zwakheden in standaard softwarepaketten, en niet op maatwerk. Het diepgaand onderzoeken van maatwerksoftware is de focus van penetratietest onderzoeken. Hierbij geven we de nodige aandacht aan het identificeren van logische denkfouten en onjuiste configuraties, waarbij we gebruikmaken van informatie die tijdens de initiële intake is overgedragen en die we ontdekken tijdens de verkenningsfase van het project.
Op verzoek is het ook mogelijk in samenwerking met een partner fysieke toegangs beveiliging systemen te testen, onze partner bezit uitmuntende kennis op dit gebied.
DevOps security ondersteuning and training
Recente ontwikkelingen in beheer hebben grote veranderingen teweeggebracht in de toolbox die tegenwoordig in gebruik zijn bij DevOps of SRE engineers. Maar om de complete omgeving veilig te maken en te houden zijn een aantal uitgangspunten ongewijzigd gebleven. Security is mensenwerk en een continu proces. Daarvoor is het nodig dat zowel ontwikkelaars als beheerders qua security de juiste mindset hebben, en security in elke laag van het systeem, en in elk proces bouwen. Onze trainingen geven uw medewerkers duidelijke handvatten, een overzicht en inzicht in veelgebruikte tools, en leren met een kritische blik te kijken naar veiligheidsaspecten.
Technische security training voor ontwikkelaars, DevOps en beheerders
Het merendeel van ontwikkelaars en (systeem en netwerk) beheerders worden niet of onvoldoende getraind op het toepassen van de juiste beveiligingsmaatregelen. Maar tegenwoordig gaan uw klanten er wel van uit dat hun gegevens veilig worden gehouden door uw organisatie. Wij trainen ontwikkelaars en beheerders om veilige software te bouwen en noodzakelijke maatregelen te nemen in uw infrastructuur om de risico's op datalekken te minimaliseren.
Nog belangrijker is het om deze software en infrastructuur veilig te houden. Ons trainingscurriculum omvat de volgende standaard 'hands-on' opleidingen, waarbij opgemerkt wordt dat elk van deze trainingen aangepast kan worden aan de specifieke eisen voor uw organisatie.
Basic Security Training
Basic Information security theory and Security Awareness
Reconnaissance/OSINT
Basis Exploitation
Cryptography
Basic Penetration Testing
Reconnaissance/OSINT
Scanning an Enummeration
Exploitation
Privilege Escalation
Maintaining Access
Reporting
Advanced Penetration Testing
Web Technologies
OWASP top 10
Reconnaissance/OSINT
Scanning and Enummeration
File Inclusion
XSS/CSRF
SQLI
SOAP/JSON/XEE
Security Analyst
OSINT
OS Forensics
Network Forensics
Blackhat Python
Metasploit Module Development
Basic Exploit Building
Advanced Exploit Building
Darknet and Darknet Deployment
Devops Security
Security Assurance Organization (Frameworks)
Security/Privacy Requirements
Secure Coding
Security Testing/Tools
Security Automation
Cloud Security
CISSP Training
Fasttrack Highlights CISSP certificering
Auditing, Compliance, en Consultancy
Tegenwoordig is het voor uw klanten vaak niet meer genoeg om een veilig systeem te hebben, vaak is het nodig het te kunnen bewijzen. Onze auditors hebben ruime ervaring met ISO 27001 audits, en aanverwante standaarden als NEN 7510 of de BIO. Onze consultants kunnen uw organisatie ondersteunen in het bereiken en behouden van een gecertificeerd systeem.
Security Awareness
Technologie kan slechts behulpzaam zijn om het effect van menselijke fouten en criminele manipulatie te beperken. Uw medewerkers werken dagelijks met waardevolle gegevens. De meest effectieve manier om deze gegevens te beschremen is om het beveiligingsbewustzijn van de mensen die er dagelijks mee omgaan te verhogen. Eén enkele click op een kwaadaardige link kan uw systemen al infecteren en zal een kostbare probleem binnen uw organisatie veroorzaken. Maar er zijn veel meer aanvalsvectoren beschikbaar, en nieuwe manieren worden continu ontdenkt. Daarom zijn reguliere beveiligingsbewustzijnssessies die ingaan op de actualiteit noodzakelijk geworden. Onze security awareness training wordt regelmatig bijgewerkt en kan aangepast worden voor elk niveau binnen uw organisatie.
