Computerbeveiliging - Hoe je bad guys buiten de deur houdt

Riskmanagement in het kwadraat: Patch en vulnerabilitymanagement

11-11-2017, 09:37 door SecGuru_OTX, 9 reacties
Laat dit goede input zijn voor je business case:

Eén ontbrekende patch(Apache Struts) én geen goede incident response- en communicatieplannen:

- aftreden CIO, CSO en CEO;
- $87.5 Miljoen schade;
- 27% waardedaling van de aandelen

https://www.bleepingcomputer.com/news/business/hack-cost-equifax-only-87-5-million-for-now/
Reacties (9)
11-11-2017, 10:23 door Bitwiper
Je vergeet imagoschade. En hier blijf het vast niet bij, uit https://www.theregister.co.uk/2017/11/01/equifax_breach_uk_notification/:
Equifax's UK business is authorised by the FCA, which has the power to either fine Equifax, order it to take remedial action or (in extremis) revoke its right to operate in the UK.
De FCA is de "Financial Conduct Authority" van de Britse overheid.

De vraag is of jouw oproep iets uithaalt. Ontzettend veel eerdere berichten over vergelijkbare drama's waren kennelijk ook voor Equifax geen aanleiding om hun risico's anders in te schatten. Waarom zou dat nu ineens voor andere (nog niet op vergelijkbare wijze getroffen) organisaties wel gelden?

Dit is een typisch Fukushima gevalletje: zeer kleine kans met een (vermoedelijk onverwacht) hoge impact, en met wel degelijk genomen mitigerende maatregelen - die achteraf onvoldoende lijken. Was het zelfs "calculated risk"?

Of moeten we ons afvragen of de gebruikelijke aanpak bij Riskmanagement volstaat? Is het economisch verantwoord om zwaardere maatregelen voor al dit soort restrisico's te nenen, of is het acceptabel of zelfs onvermijdelijk dat je -in een deel van de gevallen- moet gokken/hopen dat het goed gaat? Of kun je je hier misschien tegen verzekeren - en zo ja, is dat economisch verantwoord?
11-11-2017, 11:15 door SecGuru_OTX
@Bitwiper

Goede toevoegingen.

Echter, de vraag of het iets uithaalt is wat minder relevant als het doel is om jezelf in ieder geval in te dekken. Je kunt dan altijd refereren naar je eerder ingediende businesscase.

En ja, de traditionele riskmanagement aanpak is totaal zinloos. Als het gaat om cyberaanvallen, hacks, malware, etc, loop je risico, die vragen zouden niet meer moeten worden gesteld. Dit kun je echter alleen verkopen wanneer je het hogere management bewust maakt van de huidige dreigingen. Laat ze een succesvolle ransomware aanval zien, praat in Jip en Janneke taal en leg ze uit hoeveel hack-pogingen, MalSpam, portscans, etc, per dag binnenkomen.
11-11-2017, 11:16 door Anoniem
Door SecGuru_OTX: Laat dit goede input zijn voor je business case:

Eén ontbrekende patch(Apache Struts) én geen goede incident response- en communicatieplannen:

- aftreden CIO, CSO en CEO;
- $87.5 Miljoen schade;
- 27% waardedaling van de aandelen

https://www.bleepingcomputer.com/news/business/hack-cost-equifax-only-87-5-million-for-now/

Is inderdaad eens stukje risico management..... Hoe groot is de kans dat het fout gaat, en als het fout gaat, hoe groot is dan het probleem.
11-11-2017, 12:28 door Anoniem
Risk & reputation management achteraf is helaas een zinloze zaak. Dat is na het gebeuren al lang het raam uitgevlogen, achter je gelekte data aan.

Trust is de sleutel waar het om draait. In hoe verre kun je outsource en cloud vertrouwen met je data?

En het speelt letterlijk overal tegenwoordig, developement, certs, api's, code risk assesment, scrum team rapporten.

Ook als je de kennis niet meer binnen je organisatie hebt en dus overgeleverd bent aan de expertise van derden,
ga je wat mij betreft altijd te kort door de bocht.
11-11-2017, 13:57 door Anoniem
Door Anoniem: Risk & reputation management achteraf is helaas een zinloze zaak. Dat is na het gebeuren al lang het raam uitgevlogen, achter je gelekte data aan.

Trust is de sleutel waar het om draait. In hoe verre kun je outsource en cloud vertrouwen met je data?

En het speelt letterlijk overal tegenwoordig, developement, certs, api's, code risk assesment, scrum team rapporten.

Ook als je de kennis niet meer binnen je organisatie hebt en dus overgeleverd bent aan de expertise van derden,
ga je wat mij betreft altijd te kort door de bocht.

de vraag is... Of je het zelf allemaal wel beter kan. Je mag het dan wel in eigen controle hebben, maar dat betekend ook dat je zelf allemaal de kennis er van moet opnieuw en onderhouden. Dat is juist weer een kracht van outsource and cloud. Je hoeft je met de diepe techniek niet meer bezig houden. Immers dat heb je uitbesteed. Natuurlijk moet je wel bepaalde kennis lokaal houden om goede discussies kunnen voeren.

Maar kan je het zelf allemaal sneller, veiliger en beter neerzetten en onderhouden?
Dat is een vraag je moet stellen. Dit kan soms ja en soms nee zijn..... Afhankelijk van je requirements en "trust" level.
11-11-2017, 16:47 door SecGuru_OTX
Outsourcing of niet, je bent en blijft zelf eindverantwoordelijk.

Mijn ervaring met outsourcing is dat je zelf ook altijd nog vulnerability scanning moet uitvoeren op de plekken die voor jou belangrijk zijn.

Ik heb tot nu toe nog maar weinig cloud of outsourcing leveranciers gezien die m.b.t. patch- en vulnerabilitymanagement EXACT doen dat we ze hebben afgesproken of wat in hun eigen beleid staat.

Zoals gezegd, je eigen verantwoordelijkheden kun je wettelijk gezien NIET outsourcen.
11-11-2017, 17:24 door Anoniem
Dat van de eigen (eind- en mede-)verantwoordelijkheid en expertise in huis met verantwoorde vulnerability testing op de achtergrond, samen met eventueel een second op van een expert van buiten, dat staat nu wel als een huis overeind
na het afwegen van alle response in deze draad.

Ook in de IT geldt de aloude waarheid: "Vertrouw op G*d, maar hou je data netwerk voldoende op slot".

luntrus
12-11-2017, 14:40 door Anoniem
Och, als ik in de 50 ben, en ik mag voor de koersval nog even een deel van mijn aandelen in het bedrijf verkopen in ruil voor voor een 1/2 miljoen euro opbrengst, dan stelt het risico voor de top van het bedrijf weinig voor.
12-11-2017, 17:18 door Anoniem
Door Anoniem: Och, als ik in de 50 ben, en ik mag voor de koersval nog even een deel van mijn aandelen in het bedrijf verkopen in ruil voor voor een 1/2 miljoen euro opbrengst, dan stelt het risico voor de top van het bedrijf weinig voor.

Dat is het hele punt met risk management (wat Bruce Schneier dacht ik ook al eens aanhaalde): de betrokkenen zijn allemaal juist heel goed in risk management. Ze schatten de voor- en nadelen voor zichzelf prima in en handelen daar ook naar ("hoogste risico voor mij nu is dat het project niet op tijd af komt, dus iedereen in mijn team deelt de autorisaties en wachtwoorden, dan kunnen we lekker doorwerken").

Dat dat handelen tot zeer ongewenste gevolgen voor anderen kan leiden (inderdaad is Fukushima een mooi voorbeeld, dat overigens tevens aantoont dat alle geklets over de Aziatische cultuur waarin groepsbelang het hoogste goed is, klinkklare onzin is - er zijn daar net zoveel corrupte winstbeluste egoïsten als bij ons Westerlingen) is iets waar het individu zich niet altijd mee bezig houdt, door onkunde, gebrek aan geweten of gewoon in de verwachting dat winst nu erg fijn is en het op den duur vast wel los zal lopen en he, je wilt toch geen dief van je eigen portemonnee zijn. Trouwens de aandeelhouders verwachten ook nu dividend en hoge winst, niet een duurzame bedrijfsvoering.

Het idee van risk management is net zo losstaand van de menselijke psyche als de gebruikelijke economische modellen. Mensen brengen niet de hele situatie in kaart en maken dan een rationele keuze die optimaal is voor alle betrokkenen. Dat zou een goed geprogrammeerde computer misschien doen, tot hij doorkrijgt dat bepaalde beslissingen voor hem meer voordeel opleveren dan andere...
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.