Computerbeveiliging - Hoe je bad guys buiten de deur houdt

Logging BIR gebeurtenissen registeren in logs

15-08-2019, 09:24 door Anoniem, 7 reacties
Beste,

Document (logging beleid) biedt een handreiking voor het gebruik van logging door organsisaties.

Ik heb een vraag over controle van het beleid op systeemgebruik, hier wordt aangegeven welke gebeurtenissen opgenomen moeten worden.

Beveiligingsincidenten (zoals de aanwezigheid van malware, testen op vulnerabilities, foutieve inlogpogingen, overschrijding van autorisatiebevoegdheden, geweigerde pogingen om toegang te krijgen, het gebruik van niet operationele systeemservices, het starten en stoppen van Security Services).

Vraag: wat wordt er bedoeld met 'het gebruik van niet operationele systeemservices'.
Reacties (7)
15-08-2019, 13:10 door Anoniem
Ik neem aan dat het gaat om manual of disabled services die toch gestart worden (De disabled services na omzetten naar manual/auto natuurlijk).

Ik zie veel documenten die deze manier van logging (inclusief ISO documenten) maar er wordt verder niet ingegaan op details.

Als voorbeeld zou een hacker bijvoorbeeld SNMP kunnen activeren waarna een host uitvraagbaar is, of zelfs met de private code wijzigingen kan doen.
15-08-2019, 14:02 door Anoniem
als je die alinea google'd, dan zie je dat allerlei bedrijven die opgenomen hebben in hun beveiligingsbeleid.
http://decentrale.regelgeving.overheid.nl/cvdr/xhtmloutput/Historie/Tholen/CVDR609572/CVDR609572_1.html die bijvoorbeeld.

een niet operationeel ding is bijvoorbeeld een backup-systeem dat niet in productie gebruikt wordt, maar wel zachtjes aanstaat, en af en toe ingezet wordt, terwijl de security ervan niet op orde is. Of dat raadpleeg Windows XP machientje in je netwerk dat maar heeeeel af en toe aanstaat.
15-08-2019, 16:30 door Erik van Straten
In aanvulling op wat Anonieme bijdragers vandaag om 13:10 en 14:02 hierboven schreven (meer bijdragen zie ik nog niet):
1) "niet operationeel" leg ik uit als "normaal gesproken niet in gebruik";
2) met "systeemservice" wordt meestal een dienst bedoeld die ook start en draait (of kan starten/draaien) als niemand op het systeem is ingelogd.

Vanuit risico-overwegingen vind ik het woord "systeemservice" onhandig gekozen. Je wilt het immers ook detecteren als iemand (of malware onbedoeld uitgevoerd door iemand) "in user mode" een remote shell, TeamViewer, Responder of een FTP server start (ook als dat niet persistent is, d.w.z. niet automatisch weer start zodra de gebruiker opnieuw inlogt). Overigens is het loggen hiervan niet altijd even eenvoudig.

Maar als in jouw organisatie diensten zoals Remote Registry, TPFP service en client-ondersteuning voor SMBv1 uit horen te staan maar toch worden gestart/aangezet, dan wil je dat zeker ook terug zien in je logs.

Als voorbeelden heb ik Windows software genoemd, maar e.e.a. geldt natuurlijk voor alle besturingssystemen.
16-08-2019, 08:53 door karma4 - Bijgewerkt: 16-08-2019, 09:24
Vraag: wat wordt er bedoeld met 'het gebruik van niet operationele systeemservices'.
Met de rest van je verhaal neem ik aan dat je deze referentie bedoeld:
https://www.noraonline.nl/wiki/BIR_(Baseline_Informatiebeveiliging_Rijksdienst)
Gezien de vele benamingen en invullingen wordt de "BIR" gebundeld en krijgt als naam "BIO"

Let even op de afwijkende betekenissen van woorden in dit soort richtlijnen., Een hele uitwerking krijg je in:
https://zoek.officielebekendmakingen.nl/stcrt-2019-26526.html Onder 12.4 staat een hele toelichting.
De technische invulling moet zo goed mogelijk daarmee in overeenstemming komen en gedocumenteerd worden

Je hebt een uitwerking te pakken die "niet operationele systeemservice" noemt.
De bron is waarschijnlijk https://www.noraonline.nl/wiki/Registratie_(logging) Daar staat je tekst.

" beveiligingsovertredingen (zoals de constatering van een virus; worm; Trojaans paard of andere malware; een poortscan of testen op zwakheden; foutieve inlogpogingen; overschrijding van autorisatiebevoegdheden; geweigerde pogingen om toegang te krijgen; het gebruik van niet operationele systeemservices; het starten en stoppen van security services); "
In die context is het herstarten van een proces/taak die de autenticatie voor een "applicatie" doet zeker iets voor logging. Het bekijken van loggings is ook een event. eventviewer is een niet operationeel proces.
Het woord "Operationeel" kun je op meer manieren uitleggen.
16-08-2019, 11:23 door beatnix
noot: services draaien ook wanneer evt. gebruikers aangelogd krijgen te zijn.

met 'niet operationele systeem services' wordt meestal een niet draaiend serviceprogramma bedoeld wat WEL geinstalleerd is/opgestart mogelijkheden krijgt OF soms krijgt men er ook mee te bedoelen:

een service die wel draait alleen NIET HOEFT te draaien, zoals een printerservice zonder printer. in dat geval wordt het wel verkeerd benoemd, want ongeacht of een service afgenomen wordt, een draaiende service is in principe een 'operationele' service, men beoogt dan meestal met 'operationeel' de 'bedrijfs- of technische doelstelling' te benoemen.
24-08-2019, 13:55 door karma4
Vraag voldoende uitgewerkt?
26-08-2019, 16:48 door Anoniem
Door karma4: Vraag voldoende uitgewerkt?

Bedankt voor alle reacties, voldoende informatie ontvangen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.