Nieuws
image

"Goede cyberhygiëne kan 80% aanvallen voorkomen"

zondag 31 augustus 2014, 17:39 door Redactie, 4 reacties

Goede cyberhygiëne die uit een aantal basisregels bestaat kan 80% tot 90% van alle cyberaanvallen op organisaties voorkomen, zo stelt Jane Holl Lute, voormalig adjunct-secretaris van het Amerikaanse Ministerie van Homeland Security en op dit moment de president van de Council on CyberSecurity.

Lute is daarnaast ook consulterend professor aan het Centrum voor Internationale Veiligheid en Samenwerking aan de Stanford Universiteit. Ze sprak deze week tijdens het 'cybersecurity boot camp' op de universiteit over cybersecurity, de problemen op het web en de maatregelen die genomen kunnen worden. "Het is niet langer mogelijk om het probleem te negeren", liet Lute weten. "Het online leven is fundamenteel onveilig."

Ze stelde dat de meeste organisaties echter maatregelen kunnen nemen om 80% tot 90% van de aanvallen te voorkomen. De "goede cyberhygiëne" die Lute voorstaat bestaat uit vijf punten en kan helpen bij het voorkomen van veel problemen. "We kunnen vandaag de dag beter. We weten veel, maar doen het gewoon niet." Concreet komt het op de volgende vijf zaken neer:

  1. Breng geautoriseerde en ongeautoriseerde apparaten in kaart.
  2. Breng geautoriseerde en ongeautoriseerde software in kaart.
  3. Ontwikkel en beheer veilige configuraties voor alle apparaten.
  4. Voer continu assessments uit naar kwetsbaarheden en los ze op.
  5. Beheer en controleer actief het gebruik van adminrechten.

Lute benadrukte dat de wereld tegenwoordig zeer afhankelijk van het internet is. Tegenover deze afhankelijkheid staat dat veel bedrijven en websites de meest basale maatregelen om hun netwerken te beschermen niet volgen. "Niets dat je online doet is veilig", zo liet ze weten. Daarnaast vertelde ze dat geen enkel land internetveiligheid op dezelfde manier aanpakt en elk land zijn eigen unieke perspectief hierover heeft. Ook is het vertrouwen in overheden sinds de groei van internet aan het afnemen, waardoor het lastig is om overeenstemming te bereiken over de rol van de publieke sector.

Reacties (4)
31-08-2014, 18:23 door mcb
6. Geef (nog beter: verplicht) de users een security awareness training. Evt. incl. kleine test.
7. Installeer waar nodig encryptie. In ieder geval op apparatuur dat het bedrijfspand kan verlaten.

Wie nog meer?
31-08-2014, 20:59 door [Account Verwijderd]
[Verwijderd]
31-08-2014, 21:04 door Anoniem
Het is allemaal al beschreven en te vinden via http://en.wikipedia.org/wiki/Standard_of_Good_Practice , Dat gaat van het hoge beschreven doel door tot aan de voor nerds meer bekende checklistjes zoals users/password gebruik (met nuances).
Internationaal is het overal terug te vinden.

Specifiek voor Nederland:
Het is benoemd bij de DNB als aanwijzing voor financiele instellingen. Het staat ook bij NCSC genoemd evenals vele andere technische details. Met overheidsorganen is het http://www.noraonline.nl/wiki/NORA_online en voor de medische wereld als https://www.nen7510.org/publicaties/3887.

De papieren tijger is erm alleen een klein detail in de praktische uitvoering.
Controles en gevolgen bij falen zijn er niet.

Als aanwijzing naar het het hogere management komt het niet ver, daar spelen andere belangen.
Vanuit de werkvloer wordt het alleen maar als lastig gezien en onnodig moeilijk.
01-09-2014, 10:57 door Anoniem
3.Ontwikkel en beheer veilige configuraties voor alle apparaten.

Dat is nou juist het probleem. Er zijn geen veilige configuraties die 100% beschermen tegen 0 days. Met EMET hou je een hoop zooi tegen maar tegen in APT die EMET ingecalculeerd heeft als te omzeilen maatregel moet je nog veel extra zaken inregelen. Bovendien is het niet een kwestie van pure preventie, maar ook van snelle detectie na besmetting en goede afhandeling erna...

My two cents...
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search