Security Professionals - ipfw add deny all from eindgebruikers to any

The 'Cyber Security Bubble' als grootste gevaar voor de Critical Infra beveiliging !?

16-01-2018, 00:12 door Anoniem, 12 reacties
Damens en heren,

Een stelling ter discussie:
Er zijn nu Honderden bedrijven en organisaties, alleen al in dit kikkerlandje.
Die Allen maar mogen beweren dat zij "experts" zijn op 't gebied van 'cyber security'.

Nu blijkt uit onderzoek dat het overgrote deel [98%] zich zelfs niet aan de Basis beveiliging richtlijnen kan/wil houden.
En ondertussen verkopen ze allemaal "Veiligheid" aan de naive klanten als bijv MinVenJ, RWS, ProRail, Liander, Tennet, KLPD, DJI, Schiphol, etc...

En zien we in de media dat het telkens maar weer fout blijft gaan ondanks/(doordat) die 'security' organisaties dubbel en dik betaald worden om juist dat te voorkomen.
Reacties (12)
16-01-2018, 09:48 door Anoniem
Welk onderzoek? Doe eens linkje.
16-01-2018, 10:29 door Anoniem
Nu blijkt uit onderzoek dat het overgrote deel [98%] zich zelfs niet aan de Basis beveiliging richtlijnen kan/wil houden.

Over welk onderzoek gaat dit ?
16-01-2018, 11:31 door Anoniem
"Expert" is geen beschermde titel. Je hoeft het alleen maar te roepen. Of anderen het je ook gaan nazeggen, ach, zorg dat je in bijvoorbeeld de NPO-telefoonklapper terechtkomt en je krijgt vanzelf klandizie. Of gewoon flink veel persberichten uitkramen en zorgen dat websites als deze ze komen overtikken. Werkelijke expertise is geen vereiste.

Geen idee wat jouw stokpaardje met teveel spaties erin is maar een checklist kunnen volgen is niet gelijk aan expertise hebben. Dus ik denk dat jouw ijkpunt ook wel ijking behoeft.
16-01-2018, 11:45 door Anoniem
Wat zijn de "Basis beveiliging richtlijnen" ?
16-01-2018, 12:38 door Anoniem
Door Anoniem: Welk onderzoek? Doe eens linkje.

https://nos.nl/artikel/2212135-prorail-was-niet-klaar-voor-het-zware-winterweer-in-december.html
16-01-2018, 12:58 door Anoniem
Door Anoniem:
Door Anoniem: Welk onderzoek? Doe eens linkje.

https://nos.nl/artikel/2212135-prorail-was-niet-klaar-voor-het-zware-winterweer-in-december.html
Dat heeft geen donder met cybersecurity te maken.
16-01-2018, 13:13 door karma4 - Bijgewerkt: 16-01-2018, 14:11
Nu blijkt uit onderzoek dat het overgrote deel [98%] zich zelfs niet aan de Basis beveiliging richtlijnen kan/wil houden.
En ondertussen verkopen ze allemaal "Veiligheid" aan de naive klanten als bijv MinVenJ, RWS, ProRail, Liander, Tennet, KLPD, DJI, Schiphol, etc...
Gaarne dat onderzoek.
Ik kan me er wat bij voorstellen maar dat is niets nieuws. Security wordt wel opgenomen in de aanbesteding maar niet uitgevoerd bij de realisatie. Dan is het te lastig. De strijden met techneuten die met stellige uitspraken komen die niet kloppen maken het erger zodat de externe leverancier wel alles kan doen. Zoiets staat ook als richtlijn bij het NCSC "volg de aanwijzingen van de leverancier". Blijkt een vrijbrief te zijn voor niets doen.

Wordt er bedoeld: https://www.rijksoverheid.nl/binaries/rijksoverheid/documenten/kamerstukken/2017/12/22/kamerbrief-over-informatiebeveiliging-bij-de-overheid%2Fkamerbrief-over-informatiebeveiliging-bij-de-overheid.pdf?
Er staat goed lezend dat security niet echt ingevuld was als lijn verantwoordelijkheid. Was een technisch feestje.
16-01-2018, 14:32 door Anoniem
De stelling die je poneert raakt een probleem dat niet in een of twee A4'tjes beschreven kan worden. De problemen worden ook niet alleen (of niet zozeer) veroorzaakt door de security organisaties, zoals je in je laatste paragraaf suggereert. Als ik kijk naar de security klussen die ik uitvoer, dan zijn de problemen veel breder dan een stel salesmensen of consultants die zich met de term "senior dit", "principal dat", "lead X" binnen proberen te kletsen. Om maar wat zaken te noemen:

- Slecht management. Verkeerde prioriteitsstelling, ontslaan van mensen en verwachten dat de kwaliteit hetzelfde blijft, geen keuzes durven maken, teveel praten, besluiten teveel af laten hangen van politieke spelletjes/ gunsten/ het inlossen van wederdiensten, security kennis/houding/gedrag uit balans, te weinig kennis bij sleutelfiguren, golfbaanbesluiten die de mist in lopen, voornamelijk brandjes blussen om de boel bij elkaar te houden, teveel prioriteiten in een te kort tijdsbestek, slechte middellange termijn planningen, onrealistische deadlines, verkeerde besparingen, security niet belegd bij een duidelijke verantwoordelijke (of bij iemand die geen verstand van zaken heeft en inhoudelijk dus niet kan corrigeren of bijsturen), ... Ik heb alle mogelijke varianten gezien.
- Slechte communicatie tussen de bovenlaag en de onderlaag, tussen afdelingen onderling, tussen leverancier en afnemer, tussen collega's ....
- Deadline-gedreven projecten, waarbij het halen van de deadline belangrijker is dan het opleveren van een goed product. De variant van scrum: producten meer dan eens op hun Minimum Viable Product status laten hangen, waardoor alles net niet af is en net niet goed werkt.
- Toegenomen complexiteit, waardoor alles met alles samenhangt en je slim moet zijn om alle verbanden nog te zien. Bij historisch gegroeide netwerken kunnen net nieuw binnengekomen externen nauwelijks of nooit al die verbanden zien. Een ex-manager van mij gaf zelfs aan: ik wil alleen nog HBO'ers en WO'ers hier hebben, want de infrastructuur is te complex.
- Cover your ass sfeer, waardoor niemand meer fouten durft te maken en mensen zaken laten liggen of afschuiven.
- Slechte beheersing van de techniek door de betrokkenen. Je kunt tegenwoordig geen generalist meer zijn en dan ook nog een professional in 5 of 6 gebieden. Dat kon misschien nog ten tijde van Windows NT4. Veel IT'ers lopen achhter in kennis. Ik blijf studeren en merk dat ik links en rechts op sommige gebieden wordt ingehaald. Learning on the job brengt je ook maar tot een zeker niveau, en dat geldt ook voor die zogenaamde seniors die worden binnengehaald en waar al die prachtige flutcertificaten niet van worden gecontroleerd.
- Te weinig budget voor trainingen en het binnen houden van eigen mensen. "De externen lossen het wel op", terwijl kennis van eigen netwerken, de evolutie van een applicatielandschap, kennis van de eigen organisatie e.d. heel veel kan betekenen voor het goed inrichten en veilig laten draaien van een IT infrastructuur
- ....

Ik kan zo nog wel even doorgaan. Het probleem ligt niet alleen bij die cybersecurity mensen. Dat is hetzelfde als leveranciers van slechte auto's de schuld geven dat ze rotzooi verkopen, maar jij toch die auto koopt. Op een gegeven moment moet je het probleem ook bij jezelf zoeken. Je hoeft geen gebruik te maken van de diensten van die partijen! Leidt mensen zelf op. Trek daar geld voor uit. Bindt mensen aan je met bezielend leiderschap, goede beloning, een goede en open bedrijfssfeer, en een uitdagende baan. Zoek niet naar de alleskunner die net is afgestudeerd maar wel op senior niveau voor €2000 moet presteren. Stel geen onrealistische eisen. En hanteer fatsoenlijke methoden om die externen en die leveranciers van security diensten te beoordelen, aan te nemen/ te contracteren en te managen. Als ik zie hoe dat bij sommige bedrijven gaat, dan schieten de tranen me in de ogen. Dat (sales- en consultancy)mensen daar misbruik van maken, dat heb je dan voor een groot deel aan jezelf te wijten.
16-01-2018, 14:56 door Anoniem
Een Hitman Pro-tje doen elke maand bij een klein MKB bedrif a raison van 80 euro.

Zoiets?
16-01-2018, 15:07 door Anoniem
Beste TS. Je stelling bevat aannames, loze argumenten en geen onderbouwing. Het wekt de indruk dat je stelling bedoeld is om te trollen om te zien wie er in trapt.
17-01-2018, 00:26 door Anoniem
@ anoniem van 14:32

Lijkt een heel realistische uiteenzetting van een "real life" beveiligingssituatie omschrijving uit eigener beleving. Zelf officieel opgeleid door MS voor NT4 en de kernel in 2001 en nu een zeer jeugdig denkend gebleven ouwe knar. Toen al waren er mensen, die geen kennis hadden van de hele olifant, maar enkel iets tussen slurf en staart van het beest begrepen.

Daarom gespecialiseerd bezig zijn. Iemand die bij voorbeeld javascript op zwakheden test, moet als het ware script ongerechtigheden op afstand kunnen ruiken en herkennen. Waar ben ik zoiets dergelijks eerder tegengekomen, in welke setting, wat waren de implicaties toen, wat zijn afwijkende bijzonderheden nu.? Waar komt het vandaan, waar is de definitie de mist ingegaan en in welk stadium en waar? Welke runtime errors kom ik tegen ten gevolge van wat, welke sinks en sources? Enzovoorts en zo verder. En dan ergo conclusio demonstrandum.

Wat je aldus niet boven water krijgt, gaat je later opbreken. Maar iemand moet deze spoorzoekers met het oor op de code-vloer ook weten te entameren en ook enthousiast weten te houden. U heeft er wellicht geen zin in, maar iemand moet het doen. Ik doe gepensioneerd niet anders en doe het vrijwillig voor een anti-malware gemeenschap, verder kom ik nog bij opleidingen van technische IT studenten, houd ik contact met "Qualified Removers"en andere code-enthousiastelingen. Mag ik? Dwaal ik, wacht u!

luntrus
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.