Wat zou je als eerste laten auditen?
22-05-2006,10:17 door
Totaal aantal stemmen: 811
Reacties: 8
Doorsturen
Reageer
Printen
Reageer met Quote
Filter:
Reacties
Het ligt maar net aan waar je verantwoordelijke voor bent, wat je als eerste
zou laten auditen. Als je zelf auditor bent, dan heb je een draaiboek in
overeenstemming gemaakt met de security manager en de diverse BU's,
ivm de mogelijke 'do-not-scan' opties en zaken die onderuit kunnen gaan
tijdens auditen. Je zou er versteld van staan hoeveel productie-meuk
onderuit klapt als je vrolijk aan het scannen bent. Vaak doe je de mensen
ZELF die verantwoordelijk zijn ook als eerste, zodat je kunt verifieren of wat
ze gezegd hebben ook conform de realiteit is.
AS
zou laten auditen. Als je zelf auditor bent, dan heb je een draaiboek in
overeenstemming gemaakt met de security manager en de diverse BU's,
ivm de mogelijke 'do-not-scan' opties en zaken die onderuit kunnen gaan
tijdens auditen. Je zou er versteld van staan hoeveel productie-meuk
onderuit klapt als je vrolijk aan het scannen bent. Vaak doe je de mensen
ZELF die verantwoordelijk zijn ook als eerste, zodat je kunt verifieren of wat
ze gezegd hebben ook conform de realiteit is.
AS
Over website auditen gesproken: wie vindt het nog meer
ironisch dat je op een site die nota bene SECURITY.nl heet
moet inloggen over een onbeveiligde verbinding? Waarbij je
zowel een emailadres als een wachtwoord opgeeft? En dat die
site dan de persoonsgegevens die je hebt ingevuld over een
eveneens onbeveiligde verbinding stuurt?
ironisch dat je op een site die nota bene SECURITY.nl heet
moet inloggen over een onbeveiligde verbinding? Waarbij je
zowel een emailadres als een wachtwoord opgeeft? En dat die
site dan de persoonsgegevens die je hebt ingevuld over een
eveneens onbeveiligde verbinding stuurt?
Je HOEFT geen account te hebben om te reageren (net zo min als een
persoonlijk emailadres overigens).
persoonlijk emailadres overigens).
Door inglorion
Over website auditen gesproken: wie vindt het nog meer
ironisch dat je op een site die nota bene SECURITY.nl heet
moet inloggen over een onbeveiligde verbinding? Waarbij je
zowel een emailadres als een wachtwoord opgeeft? En dat die
site dan de persoonsgegevens die je hebt ingevuld over een
eveneens onbeveiligde verbinding stuurt?
Over website auditen gesproken: wie vindt het nog meer
ironisch dat je op een site die nota bene SECURITY.nl heet
moet inloggen over een onbeveiligde verbinding? Waarbij je
zowel een emailadres als een wachtwoord opgeeft? En dat die
site dan de persoonsgegevens die je hebt ingevuld over een
eveneens onbeveiligde verbinding stuurt?
Als iemand dat soort dingen kan afluisteren zul je ook wel andere
problemen hebben
Grappig dat "website" op het moment 7e staat. De tijd dat
80% van alle website vatbaar was voor de simpelste vorm van
exploiten (XSS) is voorbij. Maar nog steeds zijn er immens
veel websites die kwetsbaar zijn... Een website is reclame
voor een bedrijf. Het lijkt mij het meest belangrijke voor
het bedrijf dat in ieder geval je website niet gekraakt
word door een ontevrede klant.
80% van alle website vatbaar was voor de simpelste vorm van
exploiten (XSS) is voorbij. Maar nog steeds zijn er immens
veel websites die kwetsbaar zijn... Een website is reclame
voor een bedrijf. Het lijkt mij het meest belangrijke voor
het bedrijf dat in ieder geval je website niet gekraakt
word door een ontevrede klant.
<quote>Je zou er versteld van staan hoeveel productie-meuk
onderuit klapt als je vrolijk aan het scannen bent.<quote>
Dat is mijn ervaring ook. Helaas snappen nog te weinig
mensen dat dat een volstrekt onacceptable situatie is. Als
je als auditor een 'do not scan' instructie krijgt, moet dat
automatisch een harde 'fail' zijn, te rapporteren aan senior
management.
onderuit klapt als je vrolijk aan het scannen bent.<quote>
Dat is mijn ervaring ook. Helaas snappen nog te weinig
mensen dat dat een volstrekt onacceptable situatie is. Als
je als auditor een 'do not scan' instructie krijgt, moet dat
automatisch een harde 'fail' zijn, te rapporteren aan senior
management.
Eerst functiescheiding auditen (personeel gekozen dus), wie mag wat
met welke gegevens op welk systeem danwel netwerk. Vervolgens de
gewenste situatie vergelijken met de werkelijke autorisaties en
beoordelen in hoeverre de beveiliging de functiescheidinh voldoende afdwingt en hackpogingen kan bemoeilijken.
Technisch auditen heeft uiteraard ook zijn toegevoegde waarde, maar
eerst functiescheiding bekijken want de meeste fraudes worden nog
altijd gepleegd door eigen personeel die reeds rechten op systemen
hebben. Het aantal fraudeurs dat hackt vormt een minderheid, want
waarom zou je hacken als je al toegang via de reguliere kanalen hebt gekregen....
met welke gegevens op welk systeem danwel netwerk. Vervolgens de
gewenste situatie vergelijken met de werkelijke autorisaties en
beoordelen in hoeverre de beveiliging de functiescheidinh voldoende afdwingt en hackpogingen kan bemoeilijken.
Technisch auditen heeft uiteraard ook zijn toegevoegde waarde, maar
eerst functiescheiding bekijken want de meeste fraudes worden nog
altijd gepleegd door eigen personeel die reeds rechten op systemen
hebben. Het aantal fraudeurs dat hackt vormt een minderheid, want
waarom zou je hacken als je al toegang via de reguliere kanalen hebt gekregen....
Reageer
Ondersteunde BBcodes
Security.nl ondersteunt de volgende bbcode codes:
- Vet:
- [b]vet[/b]
- Cursief:
- [i]cursief[/i]
- Onderstreept:
- [u]onderstrepen[/u]
- Quoten:
- [quote]quote[/quote]
- URL:
- [url]www.website.nl[/url]
- Broncode:
- [code]code[/code]
- Config:
- [config]configuratie[/config]
Het plaatsen van afbeeldingen (img tags) wordt niet ondersteund.
