Computerbeveiliging
- Hoe je bad guys buiten de deur houdt
Security Rapport
19-10-2011, 10:03 door Anoniem, 23 reacties
Hi folks
Graag zou ik een IT Security rapport willen opstellen voor het bedrijf waar ik werkzaam ben. Het hoeft geen echt diepgaand rapport te zijn, maar eerder omtrent netwerk vulnerabilities, e.d. Dit is eerder om onze zwakheden of verbeteringen op kaart te brengen.
Heeft er iemand reeds ervaring mee? Enige tips of een handleiding?
Kris
Graag zou ik een IT Security rapport willen opstellen voor het bedrijf waar ik werkzaam ben. Het hoeft geen echt diepgaand rapport te zijn, maar eerder omtrent netwerk vulnerabilities, e.d. Dit is eerder om onze zwakheden of verbeteringen op kaart te brengen.
Heeft er iemand reeds ervaring mee? Enige tips of een handleiding?
Kris
Reacties (23)
19-10-2011, 10:48 door
SirDice
Yep, huur een bedrijf in die het doet voor je. Anders ben je een slager die zijn eigen vlees keurt.
FOX IT medewerkers kunnen dat toch zelf? Of ben je van Madison Ghurka?
19-10-2011, 12:36 door
Erik van Straten
Door SirDice: Yep, huur een bedrijf in die het doet voor je. Anders ben je een slager die zijn eigen vlees keurt.
Niet mee eens. Begin met een eigen check zodat je weet waar een externe auditor het over heeft en in hoeverre deze serieus moet worden genomen (c.q. er alleen op uit is om jouw bedrijf grote sommen geld uit de zak te kloppen). Voorwaarde is dat je je wel eerst in de materie verdiept. Begin bijv. hier: http://www.sans.org/critical-security-controls/.Als je zelf een beeld hebt, en (in overleg met leidinggevenden) normen hebt opgesteld waar je eigenlijk aan zou willen voldoen, zoek dan een goede auditor. Dat valt niet mee zoals Predjuh in zijn reacties hier aangeeft: http://www.security.nl/artikel/38862/1/Cursus_IB_volgens_ISO27kNEN7510.html.
Succes!
19-10-2011, 13:54 door
SirDice
Door Erik van Straten:
Het probleem met het zelf checken is dat je eigenlijk alleen dingen controleert die je toch al wist, de alom bekende tunnelvisie. Een derde partij zal dat niet doen en dus beter testen. Door SirDice: Yep, huur een bedrijf in die het doet voor je. Anders ben je een slager die zijn eigen vlees keurt.
Niet mee eens. Begin met een eigen check zodat je weet waar een externe auditor het over heeft en in hoeverre deze serieus moet worden genomen (c.q. er alleen op uit is om jouw bedrijf grote sommen geld uit de zak te kloppen). Voorwaarde is dat je je wel eerst in de materie verdiept. Begin bijv. hier: http://www.sans.org/critical-security-controls/.Uiteraard kies je natuurlijk niet de eerste de beste hit van google om die opdracht uit te voeren. Je gaat, zoals je dat ook met andere zaken doet, offertes aanvragen bij bedrijven die zich al hebben bewezen op dit gebied.
19-10-2011, 17:16 door
[Account Verwijderd]
[Verwijderd]
Je zelf controleren is een prima eerste controle:
- Maak eerst een baseline. Wat zou er in een ideaal situatie allemaal geregeld moeten zijn. Zowel wat betreft de techniek (een technische security baseline), als op het gebied van afspraken (SLA's, etc) en je kunt zelfs nog kijken naar de mate van security bewustzijn van de medewerkers. Maak alles meetbaar, controleerbaar.
- Controleer deze baseline vervolgens tegen de werkelijke situatie. En dan wet je wat je mist.
Natuurlijk is het altijd prettig een externe partij in te huren, die heeft net weer een iets andere invalshoek en je ziet gegarandeerd zaken over het hoofd.
- Maak eerst een baseline. Wat zou er in een ideaal situatie allemaal geregeld moeten zijn. Zowel wat betreft de techniek (een technische security baseline), als op het gebied van afspraken (SLA's, etc) en je kunt zelfs nog kijken naar de mate van security bewustzijn van de medewerkers. Maak alles meetbaar, controleerbaar.
- Controleer deze baseline vervolgens tegen de werkelijke situatie. En dan wet je wat je mist.
Natuurlijk is het altijd prettig een externe partij in te huren, die heeft net weer een iets andere invalshoek en je ziet gegarandeerd zaken over het hoofd.
20-10-2011, 09:28 door
Overcome
Afgezien van de management support die je nodig hebt voor vervolgacties, alsmede duidelijke kaders waartegen je moet toetsen, is een eerste handleiding de lijst in de PDF file http://www.dsd.gov.au/publications/Top_35_Mitigations.pdf. Op die manier kun je vrij vlug in kaart brengen hoe de beveiliging op de belangrijkste gebieden is geregeld. De vraag is alleen wat daarna komt. Belandt je verslag in het bekende ronde dossier, is er tijd en geld om de door jou geconstateerde tekortkomingen aan te passen en permanent op te lossen, ga je op eigen houtje maar wat gaten dichten zonder dat er procedures worden opgesteld die er zorg voor dragen dat anderen het van je overnemen als je op vakantie bent of het bedrijf hebt verlaten, is er voldoende kennis aanwezig om deze zaken op te pakken of zijn er applicatie- of systeembeheerders die koste wat kost hun eigen toko gaan verdedigen "doordat we het altijd zo hebben gedaan" etc.
Het vinden van de zaken is vaak geen probleem, het vervolg is des te interessanter en vereist naast IT kennis ook de nodige politieke sensititivteit en commitment van alle belanghebbenden.
Succes.
Het vinden van de zaken is vaak geen probleem, het vervolg is des te interessanter en vereist naast IT kennis ook de nodige politieke sensititivteit en commitment van alle belanghebbenden.
Succes.
20-10-2011, 11:28 door
SirDice
Door Hugo:
Ik zeg ook niet dat je het helemaal niet moet doen, ik zeg alleen dat het beter is om het door een derde partij te laten doen.Door SirDice:
Het probleem met het zelf checken is dat je eigenlijk alleen dingen controleert die je toch al wist, de alom bekende tunnelvisie. Een derde partij zal dat niet doen en dus beter testen.
Eerst zelf eens kritisch naar je organisatie kijken en voor de hand liggende zaken aanpakken en verbeteren is een prima eerste stap. Het geeft je goed kennis van je eigen bedrijf en maakt een audit alleen maar goedkoper.Het probleem met het zelf checken is dat je eigenlijk alleen dingen controleert die je toch al wist, de alom bekende tunnelvisie. Een derde partij zal dat niet doen en dus beter testen.
Om dezelfde reden dat je een programmeur ook niet zijn eigen software moet laten testen.
@SirDice :
"Het probleem met het zelf checken is dat je eigenlijk alleen dingen controleert die je toch al wist, de alom bekende tunnelvisie."
Het uitvoeren van vulnerability scans, en oplossen van de gevonden problemen, heeft natuurlijk wel degelijk nut. Al is het altijd handig op vervolgens een externe audit/pentest uit te laten voeren.
"Het probleem met het zelf checken is dat je eigenlijk alleen dingen controleert die je toch al wist, de alom bekende tunnelvisie."
Het uitvoeren van vulnerability scans, en oplossen van de gevonden problemen, heeft natuurlijk wel degelijk nut. Al is het altijd handig op vervolgens een externe audit/pentest uit te laten voeren.
Kijk eens naar het programma nessus eventueel in combinatie met metasploit
Nessus verschat je een mooi rapport in diverse formaten over vulnerabilities.
Nessus verschat je een mooi rapport in diverse formaten over vulnerabilities.
20-10-2011, 13:43 door
[Account Verwijderd]
[Verwijderd]
"De enige reden om software door een ander te laten testen is als je met de resultaten naar buiten wil treden."
Nee hoor, het is ook handig om een second opinion te hebben indien je niet naar buiten wilt treden. Penetration test en audit rapporten worden meestal door buitenstaanders gemaakt, en worden zelden of nooit openbaar gemaakt.
Nee hoor, het is ook handig om een second opinion te hebben indien je niet naar buiten wilt treden. Penetration test en audit rapporten worden meestal door buitenstaanders gemaakt, en worden zelden of nooit openbaar gemaakt.
20-10-2011, 15:16 door
SirDice
Door Hugo:
Het heeft helemaal niets met kennisniveaus te maken. Het heeft te maken met het feit dat je, onbewust, alleen in een bepaalde richting zoekt. Iemand die de software (of jouw netwerk) niet kent zal alle opties open houden en dus gewoon degelijker testen. Bovendien is er een groot verschil tussen functioneel testen en technisch testen.Door SirDice:
Om dezelfde reden dat je een programmeur ook niet zijn eigen software moet laten testen.
Als een programmeur niet in staat is om zijn eigen code te testen, dan heb je dus te maken met een junior. Een goede programmeur is prima in staat om zijn eigen code te testen. Er is namelijk geen enkele garantie dat een andere persoon beter of slechter test dan een programmeur zelf. Dat hangt puur van de kennisniveaus af.Om dezelfde reden dat je een programmeur ook niet zijn eigen software moet laten testen.
Als je zelf een keer wat gemaakt hebt zul je vast bekend zijn met het fenomeen "blind staren". Vervolgens komt er een collega langs die jouw code nog nooit gezien heeft en binnen 2 tellen aanwijst waar het probleem zit. Datzelfde treed ook op als je je eigen spul test. Het enige verschil tussen een senior en een junior is dat een senior zo'n situatie sneller inziet en dus eerder een collega raadpleegt of tijdelijk wat anders gaat doen om uit die gedachtetrein te komen.
20-10-2011, 16:02 door
Preddie
Tip: huur iemand in die er verstand van heeft ...... de bouwkundige staat van je huis laten keuren door de bakker is ook niet goed..... het opstellen van het rapport is nog een het meeste simpele gedeelte, daarnaast is natuurlijk de vraag hoe betrouwbaar jou rapport als je al op een forum moet gaan vragen hoe zoiets moet ..... Als je slim bent huur je iemand anders in. Als je het dan toch zelf wilt doen dan moet je je laten opleiden, als dit niet mogelijk is of je wilt het toch gaan doen met de informatie die je kant vinden, kun je het denk ik beter niet doen voordat je een verkeerde beeld schets van de daadwerkelijke situatie en dan heb je kans dat je verder van huis bent ...
20-10-2011, 19:25 door
[Account Verwijderd]
[Verwijderd]
1. Begin maar eens om te kijken wat er zo al aan sql statements wordt toegelaten en schrijf gewoon op dat het geparameteriseerd moet worden en vervangen door stored procedures. (BELANGRIJK!)
2. Constateer dat jullie nog http ipv https gebruiken en dat zo snel mogelijk moet worden geïmplementeerd.
3. Constateer dat vanwege de reclame inkomsten er wel erg veel links naar derden zijn en dat we dat beter onder eigen naam kunnen doen (gestressde bedrijfsjurist tot gevolg)
Kost meestal 10 minuten en is helaas in 85% van de gevallen waar.
2. Constateer dat jullie nog http ipv https gebruiken en dat zo snel mogelijk moet worden geïmplementeerd.
3. Constateer dat vanwege de reclame inkomsten er wel erg veel links naar derden zijn en dat we dat beter onder eigen naam kunnen doen (gestressde bedrijfsjurist tot gevolg)
Kost meestal 10 minuten en is helaas in 85% van de gevallen waar.
21-10-2011, 09:21 door
Preddie
Door SirDice:
Uiteraard kies je natuurlijk niet de eerste de beste hit van google om die opdracht uit te voeren. Je gaat, zoals je dat ook met andere zaken doet, offertes aanvragen bij bedrijven die zich al hebben bewezen op dit gebied.
Door Erik van Straten:
Het probleem met het zelf checken is dat je eigenlijk alleen dingen controleert die je toch al wist, de alom bekende tunnelvisie. Een derde partij zal dat niet doen en dus beter testen. Door SirDice: Yep, huur een bedrijf in die het doet voor je. Anders ben je een slager die zijn eigen vlees keurt.
Niet mee eens. Begin met een eigen check zodat je weet waar een externe auditor het over heeft en in hoeverre deze serieus moet worden genomen (c.q. er alleen op uit is om jouw bedrijf grote sommen geld uit de zak te kloppen). Voorwaarde is dat je je wel eerst in de materie verdiept. Begin bijv. hier: http://www.sans.org/critical-security-controls/.Uiteraard kies je natuurlijk niet de eerste de beste hit van google om die opdracht uit te voeren. Je gaat, zoals je dat ook met andere zaken doet, offertes aanvragen bij bedrijven die zich al hebben bewezen op dit gebied.
Ik ben het zowel met SirDice als met Erik van Straten eens ..... In 27001 moet je namelijk zelf controles doen (interne audit) en uiteindelijk wordt je daarop ook weer gecontroleerd door een externe auditor, dit is mogelijk ook hoe je netwerk zou moeten testen.
Om het makkelijk te houden zou je bijv. geautomatiseerde scans (livescan) uit kunnen voeren over je internet netwerk. Je hebt dan een globaal idee waar de zwakheden van je netwerk en deze je kunnen dichten en nader hand nog eens door een externe partij te laten controleren, echter is het natuurlijk belangrijk dat jullie dezelfde aandachtspunten hebben. Dus niet dat jij de scan op je internet netwerk uitvoert (LAN->LAN) en de externe partije en scan op buitenkant van je netwerk (WAN-LAN)
Toch blijf ik er bij dat je moeten weten waar je mee bezig bent, heb je geen inhoudelijke security kennis laat deze klus dan over aan iemand anders of laat je opleiden
Lijkt mij inderdaad niet meer dan logisch dat via PDCA de check neerkomt op een constante:
- interne audit
- externe audit
De interne kan je zelfs nog vaker uitvoeren dan de externe audit. Kort gezegd komt elke controle (heb ik dit wel goed gedaan?) neer op een interne audit. Wel een goed idee om het management alvast voor te bereiden op een externe audit (voornamelijk de kosten).
- interne audit
- externe audit
De interne kan je zelfs nog vaker uitvoeren dan de externe audit. Kort gezegd komt elke controle (heb ik dit wel goed gedaan?) neer op een interne audit. Wel een goed idee om het management alvast voor te bereiden op een externe audit (voornamelijk de kosten).
Door Hugo:
Ja, en dat is in vrijwel alle gevallen een teken dat het tijd is om te gaan slapen. Blind staren is echt een junioren kwaaltje.
Ja, en dat is in vrijwel alle gevallen een teken dat het tijd is om te gaan slapen. Blind staren is echt een junioren kwaaltje.
Blindstaren gebeurt ook bij routine. Echt een seniorenkwaaltje (kijk maar bij politieonderzoek).
"1. Begin maar eens om te kijken wat er zo al aan sql statements wordt toegelaten en schrijf gewoon op dat het geparameteriseerd moet worden en vervangen door stored procedures. (BELANGRIJK!)"
Belangrijk ? Je weet niet eens of hij een SQL database gebruikt. Je kent de scope van het onderzoek niet.
"2. Constateer dat jullie nog http ipv https gebruiken en dat zo snel mogelijk moet worden geïmplementeerd."
Heeft het onderzoek betrekking op een website dan ?
"3. Constateer dat vanwege de reclame inkomsten er wel erg veel links naar derden zijn en dat we dat beter onder eigen naam kunnen doen (gestressde bedrijfsjurist tot gevolg)"
Lol, hoe kom je hier in hemelsnaam op.
Belangrijk ? Je weet niet eens of hij een SQL database gebruikt. Je kent de scope van het onderzoek niet.
"2. Constateer dat jullie nog http ipv https gebruiken en dat zo snel mogelijk moet worden geïmplementeerd."
Heeft het onderzoek betrekking op een website dan ?
"3. Constateer dat vanwege de reclame inkomsten er wel erg veel links naar derden zijn en dat we dat beter onder eigen naam kunnen doen (gestressde bedrijfsjurist tot gevolg)"
Lol, hoe kom je hier in hemelsnaam op.
21-10-2011, 21:59 door
Preddie
Door Anoniem: Lijkt mij inderdaad niet meer dan logisch dat via PDCA de check neerkomt op een constante:
- interne audit
- externe audit
De interne kan je zelfs nog vaker uitvoeren dan de externe audit. Kort gezegd komt elke controle (heb ik dit wel goed gedaan?) neer op een interne audit. Wel een goed idee om het management alvast voor te bereiden op een externe audit (voornamelijk de kosten).
- interne audit
- externe audit
De interne kan je zelfs nog vaker uitvoeren dan de externe audit. Kort gezegd komt elke controle (heb ik dit wel goed gedaan?) neer op een interne audit. Wel een goed idee om het management alvast voor te bereiden op een externe audit (voornamelijk de kosten).
PDCA komt eigenlijk niet neer op het uitvoeren van interne en externe audits ....... het uitvoeren van de audits vormen een onderdeel van een aparte PDCA-cycles die natuurlijk een onderlinge relatie met elkaar hebben. Het uitvoeren van de audit is al het ware de C in de PDCA-cycles.
Niet elke controle is een interne audit, een interne audit is omvangrijker en dit vooraf afgebakend te zijn met bijv. aandachtspunten. Deze aandachtspunten kunnen bijv. de uitkomsten en verbeteracties uit de vorige audit zijn.
De kosten van de externe audit zijn een goed punt om vooraf bij de directie of het betreffende management aan te geven zodat deze meegenomen kunnen worden in de begroting, de kosten van een externe audit zijn afhankelijk van de grote en de structuur van de organisatie. Aan de hand daarvan wordt het aantal audit dagen vastgesteld, meestal moet je bij een "midden" bedrijf rekening houden met minimaal 10 000 euro aan kosten voor de externe audit. Belangrijk is dat de partij die de audit uitgevoerd geaccrediteerd door de raad van accreditatie, dit is belangrijk voor de waarde van het certificaat.
Voor zover ik weet slaat de Check toch echt op controle (intern/externe audit en eigen controle (idd geen interne audit)).
Je kunt het begrip PDCA zo ruim of beperkt gebruiken als je zelf formuleert. In een ruim begrip valt onder de C ook de externe audit (die dan weer zijn eigen PDCA-cyclus heeft).
Heel kort door de bocht valt PD dan onder het interne stuk en CA voor het externe gedeelte. Het heeft natuurlijk wel overlappingen (zoals de dubbele interne/externe audit).
Je kunt het begrip PDCA zo ruim of beperkt gebruiken als je zelf formuleert. In een ruim begrip valt onder de C ook de externe audit (die dan weer zijn eigen PDCA-cyclus heeft).
Heel kort door de bocht valt PD dan onder het interne stuk en CA voor het externe gedeelte. Het heeft natuurlijk wel overlappingen (zoals de dubbele interne/externe audit).
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime
Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.