Security Professionals - ipfw add deny all from eindgebruikers to any

Is er een Security Model ?

24-08-2019, 14:59 door [Account Verwijderd], 30 reacties
Ik ben op zoek naar een security model, een strategische werkwijze om je eigen website te controleren voordat deze in gebruik wordt genomen.

Het gaat me niet om praktische oplossingen zoals hack strategiën die te vinden zijn op OWASP bijvoorbeeld, maar meer een model waarmee je de security in grote lijnen weergeeft.

Waar kan ik daar goede online informatie over vinden?
Reacties (30)
24-08-2019, 16:43 door Anoniem
Wat dacht je van: https://en.wikipedia.org/wiki/Computer_security_model
(en vanaf daar doorklikken naar de gegeven links van bekende security models)
24-08-2019, 19:55 door Anoniem
OWASP, modellen... wat heb je er aan? Als je je hypertext en scripting op orde hebt en snapt wat er gebeurt dan is er niets aan de hand. Een lek bij je provider bij multihosting daar doe je bijvoorbeeld zelf niets aan.

Ik zou me geen zorgen maken want dat doe ik zelf ook niet. Hier gaat ook een site de lucht in binnenkort en ik heb een geheel eigen manier gevonden tegen misbruik.
24-08-2019, 20:07 door Anoniem
Er is niet echt een model. Er zijn threat modellen (STRIDE van Microsoft bijv.), Fault Tree analysis, Logic Flow Analysis, maar veelal komt het neer op het ontwerpen van je eigen aanpak.

Een risk assessment met daarbij kijkend naar de verschillende threat categoriën. People, Technology, Environment, Systemic.
En dan binnen People kijken welke actoren er zijn. Werknemers, Klanten, Leveranciers, "Hackers", etc.
Binnen Technology kun je dan kijken naar de verschillende groepen, zoals applicatie, netwerk, platform. En daarbinnen weer specifieker. Netwerk->Protocol, Fysiek. Platform -> OS e.d. Applicatie: Protocol, Informatie, Verbindingen *(API's). etc.
25-08-2019, 12:33 door Anoniem
Ja.
25-08-2019, 17:25 door [Account Verwijderd]
Door Niemand, 12:33 uur: Ja.

Dat is het 'veelzeggende' antwoord van Niemand op de legitieme vraag van TS.
Als Niemand 'neen' zou hebben geantwoord was de gebakken lucht die Niemand uitademt net zo onwelriekend als van een boer die een wind laat, daarna in het kleinste kamertje van zijn huis achterom kijkt en "hè" zegt.

Waarom plaatst de redactie toch van dit soort nonsens opmerkingen?
Ik kan met mijn verstand tot het uiterste ingespannen geen oorzakelijke reden vinden die enig 'nut' vertegenwoordigt anders dan mensen hier trachten tegen elkaar op te zetten en laat ik het zo zeggen: die stimulans is hier overbodig.

@Redactie, zijn jullie ècht zo laag aan het zinken? Alsjeblieft, zeg dat het niet zo is!
25-08-2019, 18:52 door Anoniem
Door Anoniem: OWASP, modellen... wat heb je er aan? Als je je hypertext en scripting op orde hebt en snapt wat er gebeurt dan is er niets aan de hand. Een lek bij je provider bij multihosting daar doe je bijvoorbeeld zelf niets aan.

Ik zou me geen zorgen maken want dat doe ik zelf ook niet. Hier gaat ook een site de lucht in binnenkort en ik heb een geheel eigen manier gevonden tegen misbruik.

Ben benieuwd naar je URL...
26-08-2019, 07:45 door Anoniem
Heb je al een keer naar de NCSC richtlijn voor het ontwikkelen van webapplicaties gekeken? Zal niet helemaal aan je vraag voldoen, maar mogelijk draagt het wat bij.
26-08-2019, 09:20 door Whacko
Door Anoniem:
Door Anoniem: OWASP, modellen... wat heb je er aan? Als je je hypertext en scripting op orde hebt en snapt wat er gebeurt dan is er niets aan de hand. Een lek bij je provider bij multihosting daar doe je bijvoorbeeld zelf niets aan.

Ik zou me geen zorgen maken want dat doe ik zelf ook niet. Hier gaat ook een site de lucht in binnenkort en ik heb een geheel eigen manier gevonden tegen misbruik.

Ben benieuwd naar je URL...

Ik ben ook wel benieuwd. OWASP is toch wel het MINSTE wat je als ontwikkelaar kunt doen.
En mensen die hun eigen maniertjes beter vinden dan vertrouwde technieken moet je goed in de gaten houden.
26-08-2019, 09:24 door Anoniem
Ancilla van de Leest is toch het security model?
26-08-2019, 10:34 door User2048
Als het niet gaat om praktische oplossingen, maar meer om de grote lijn, is ISO 27002 dan iets voor je?
Op https://www.iso.org/obp/ui/#iso:std:iso-iec:27002:ed-2:v1:en kun je de inhoudsopgave bekijken.
26-08-2019, 11:28 door Anoniem
Door Whacko:
Door Anoniem:
Door Anoniem: OWASP, modellen... wat heb je er aan? Als je je hypertext en scripting op orde hebt en snapt wat er gebeurt dan is er niets aan de hand. Een lek bij je provider bij multihosting daar doe je bijvoorbeeld zelf niets aan.

Ik zou me geen zorgen maken want dat doe ik zelf ook niet. Hier gaat ook een site de lucht in binnenkort en ik heb een geheel eigen manier gevonden tegen misbruik.

Ben benieuwd naar je URL...

Ik ben ook wel benieuwd. OWASP is toch wel het MINSTE wat je als ontwikkelaar kunt doen.
En mensen die hun eigen maniertjes beter vinden dan vertrouwde technieken moet je goed in de gaten houden.

Ik zie in OWASP cheatsheets gewoon wat ik 20 jaar geleden al deed (muv nieuwe protocollen) maar dan uit mjn hoofd/ handmatig. https://cheatsheetseries.owasp.org/cheatsheets/PHP_Configuration_Cheat_Sheet.html

En toch ik weer een cheatsheet voor PHP specifiek input handling en bepaalde functies waar je voorzichtiger mee moet zijn. Waar kan ik deze vinden?

OWASP is handig, vooral als je snel een overzichtje nodig hebt of inzicht in nieuwe protocollen als die waar je bedreven in bent, en handig om "af te flaggen" in een corporate setting na een code implementatie met drukke uurtjes en deadlines om je ervan te verzekeren dat je niets vergeten bent.

Maar verder?
26-08-2019, 11:49 door Anoniem
Door Anoniem: Er is niet echt een model. Er zijn threat modellen (STRIDE van Microsoft bijv.), Fault Tree analysis, Logic Flow Analysis, maar veelal komt het neer op het ontwerpen van je eigen aanpak.

Een risk assessment met daarbij kijkend naar de verschillende threat categoriën. People, Technology, Environment, Systemic.
En dan binnen People kijken welke actoren er zijn. Werknemers, Klanten, Leveranciers, "Hackers", etc.
Binnen Technology kun je dan kijken naar de verschillende groepen, zoals applicatie, netwerk, platform. En daarbinnen weer specifieker. Netwerk->Protocol, Fysiek. Platform -> OS e.d. Applicatie: Protocol, Informatie, Verbindingen *(API's). etc.

Ik vergat MITRE @TTACK
26-08-2019, 12:49 door Anoniem
Ik zou me geen zorgen maken want dat doe ik zelf ook niet. Hier gaat ook een site de lucht in binnenkort en ik heb een geheel eigen manier gevonden tegen misbruik.

Omdat jij je geen zorgen maakt, moet een ander dat ook niet doen. Waarbij je uitlegt dat je het beveiligt met ''een geheel eigen manier''. Top advies, zal de vraagsteller veel aan hebben.
26-08-2019, 13:31 door Anoniem
Door Anoniem: Ancilla van de Leest is toch het security model?
Je bent in de war. Ancilla is het privacy model.
Het security model is de blockchaincloud van Rian. ;)
26-08-2019, 14:04 door Erik van Straten
Door AdvWest: Ik ben op zoek naar een security model, een strategische werkwijze om je eigen website te controleren voordat deze in gebruik wordt genomen.
"Security modellen" en een "strategische werkwijze" zijn m.i. ongeschikt "om je eigen website te controleren", want dat laatste doe je aan de hand van een lijst met requirements (evt. een checklist) waar jouw specifieke website, en de "omgeving" (in de ruimste zin van het woord) daarvan, aan moeten voldoen.

De ISO 27002 (feitelijk de annex -d.w.z. hoofdstuk 5 en verder- van ISO 27001, aangevuld met toelichtingen) waar User2048 naar verwijst bevat een lijst van generieke "controls" (beheersmaatregelen) die op veel organisaties van toepassing is. Deze lijst pretendeert niet volledig te zijn voor alle scenario's en bevat controls die in een deel van de use cases nauwelijks of geheel niet relevant zijn.

Je kunt nog een abstractieniveau hoger gaan, namelijk welke eisen stellen jij en jouw gebruikers aan:
1) De beschikbaarheid van (informatie op) jouw website;
2) De integriteit (waaronder authenticiteit) van informatie op jouw website;
3) De vertrouwelijkheid van informatie op jouw website (dit begint al met logging van o.a. IP-adressen).

Daarnaast spelen wettelijke eisen (van potentieel veel landen) een rol, en i.v.m. prolongatie van de goede naam van jouw website en/of van jou als eigenaar, ook zaken als kwaliteit, betrouwbaarheid, tijdigheid, volledigheid etc. van informatie.

Abstracte criteria vs. concrete eisen
De kunst van informatiebeveiliging is het vertalen van abstracte richtlijnen, (wettelijke) eisen en wensen naar een lijst met concrete eisen en wensen specifiek voor jouw toepassing (of dat nou een website is of iets anders). Een van de vele denkbare voorbeelden hiervan zijn de eisen die je aan een te selecteren hostingbedrijf stelt, zoals hun kwaliteiten bij het afslaan van DDoS aanvallen; een andere kan zijn welke TLS versies jouw server wel/niet gaat ondersteunen.

Het is me niet duidelijk is wat je nou precies wilt, maar in aanvulling op wat User2048 schreef kan ik ook wel enkele tips geven die jou (of andere lezers) misschien verder helpen. Vanuit https://bio-overheid.nl/category/producten/producten/ kun je twee documenten downloaden die wellicht nuttig zijn:

1) De "BIO" (Baseline Informatiebeveiliging Overheid versie 1.0.3) zoals gepuliceerd in de Staatscourant. Deze bevat de invulling van de Nederlandstalige ISO 27001:2017 en 27002:2017 aangevuld met extra controls en verwijzingen naar handreikingen met gedetailleerde informatie.

2) "Serverplatform" (onder "Thema-uitwerkingen"). Daarin staat onder meer:
1.2 Scope en begrenzing
In dit thema is de scope van het begrip serverplatform beperkt tot de basis functionaliteit en algemene onderwerpen die gerelateerd zijn aan serverplatforms. Enkele componenten van dit thema zijn: server-hardware, virtualisatietechnologie en besturingssysteem (OS). Organisaties zullen op basis van deze informatie hun eigen servers in hun omgeving moeten beoordelen en nagaan welke risico’s aanvullend gemitigeerd moeten worden.
Het beschrijft niet de kenmerken van specifieke type servers, zoals: bestandserver, applicatieserver, webserver, mailserver of databaseserver.
In laatstgenoemd document worden dus lang niet alle criteria benoemd die bij een website spelen (en ik zie er ook eisen in staan waarbij ik me afvraag hoe realistisch zij zijn in de praktijk), maar wellicht kun je dat document als vertrekpunt nemen voor een deel van jouw eisen en wensen.
26-08-2019, 15:19 door Anoniem
@Erik van Straten,

Hoera, je bent er weer! :-). Het kan geen kwaad om deze site van een kwaliteitsinjectie te voorzien in de comments. Alle negatieve opmerkingen negeren, en bijdragen zoals de oude PKI FAQ weer in ere herstellen. Ik kijk er naar uit!

--Overcome--
26-08-2019, 20:19 door Anoniem
Door Anoniem: @Erik van Straten,

Hoera, je bent er weer! :-). Het kan geen kwaad om deze site van een kwaliteitsinjectie te voorzien in de comments. Alle negatieve opmerkingen negeren, en bijdragen zoals de oude PKI FAQ weer in ere herstellen. Ik kijk er naar uit!

--Overcome--

De kwaliteitsreacties werden al jaren onderuit gehaald door "social engineers" met als doel mensen en onderwerpen naar onder te brengen want zo is het systeem. Moeten we maar eens een boekje over opendoen hoe dat precies werkt. Weg met de negativiteit!
26-08-2019, 21:46 door Anoniem
Door Anoniem:
Door Anoniem: @Erik van Straten,

Hoera, je bent er weer! :-). Het kan geen kwaad om deze site van een kwaliteitsinjectie te voorzien in de comments. Alle negatieve opmerkingen negeren, en bijdragen zoals de oude PKI FAQ weer in ere herstellen. Ik kijk er naar uit!

--Overcome--

De kwaliteitsreacties werden al jaren onderuit gehaald door "social engineers" met als doel mensen en onderwerpen naar onder te brengen want zo is het systeem. Moeten we maar eens een boekje over opendoen hoe dat precies werkt. Weg met de negativiteit!

Yep er gloort hoop aan de horizon!
27-08-2019, 10:03 door [Account Verwijderd]
Okay, op zich wel verhelderende informatie gekregen zoals MITRE ATT&CK™ en STRIDE.

Waar ik in de openingspost strategisch heb gezegd had ik misschien ook tactisch moeten zeggen.

Een veel gebruikt project model is Strategisch --> Tactisch --> Operationeel. OWASP biedt vnl praktische oplossingen en is daardoor onder operationeel te categoriseren.

Ik weet niet of het bestaat en niet alle software is hetzelfde , applicaties hebben verschillende toepassingen, maar ook specifiek voor websites met een database en verschillende inkomende en uitgaande data/informatie stromen moeten er toch pasklare modellen zijn die je kunt gebruiken om operationele security acties toe te passen?
27-08-2019, 11:06 door Anoniem
Ik denk dat je niet op zoek bent naar een Security Model, maar eerder naar een Threat Model.

Iets totaal anders, maar allesomvattend en toch heel modulair : SABSA
27-08-2019, 11:56 door Anoniem
Door Anoniem: Ik denk dat je niet op zoek bent naar een Security Model, maar eerder naar een Threat Model.

Iets totaal anders, maar allesomvattend en toch heel modulair : SABSA

Ik vind het altijd interessant hoe andere mensen proberen voor een ander te denken of proberen te snappen of denken te weten hoe of wat een ander denkt, en daar dan invulling aan proberen te geven. En hoe dat altijd verkeerd afloopt. Stel liever een vraag als je de TS probeert te helpen cq verlichtten met echte info.
27-08-2019, 14:28 door Anoniem
Door Anoniem:
Door Anoniem: Ik denk dat je niet op zoek bent naar een Security Model, maar eerder naar een Threat Model.

Iets totaal anders, maar allesomvattend en toch heel modulair : SABSA

Ik vind het altijd interessant hoe andere mensen proberen voor een ander te denken of proberen te snappen of denken te weten hoe of wat een ander denkt, en daar dan invulling aan proberen te geven. En hoe dat altijd verkeerd afloopt. Stel liever een vraag als je de TS probeert te helpen cq verlichtten met echte info.

OK. Ik zal hier in het vervolg rekening mee houden. Los van het feit dat ik al eerder had gereageerd:
- 24-08-2019, 20:07 door Anoniem
- Gisteren, 11:49 door Anoniem

Maar om nu te stellen dat iets altijd verkeerd afloopt op basis van wat je zegt is misschien ook wat te kort door de bocht.
27-08-2019, 16:10 door User2048
Door AdvWest: Okay, op zich wel verhelderende informatie gekregen zoals MITRE ATT&CK™ en STRIDE.

Waar ik in de openingspost strategisch heb gezegd had ik misschien ook tactisch moeten zeggen.

Een veel gebruikt project model is Strategisch --> Tactisch --> Operationeel. OWASP biedt vnl praktische oplossingen en is daardoor onder operationeel te categoriseren.

Ik weet niet of het bestaat en niet alle software is hetzelfde , applicaties hebben verschillende toepassingen, maar ook specifiek voor websites met een database en verschillende inkomende en uitgaande data/informatie stromen moeten er toch pasklare modellen zijn die je kunt gebruiken om operationele security acties toe te passen?
OK. Je zei strategisch, maar bedoelde misschien tactisch en je vraagt naar operationele security acties. Zou je eens kunnen proberen om je vraag wat preciezer te stellen?
28-08-2019, 14:10 door Anoniem
Door Anoniem: Ik denk dat je niet op zoek bent naar een Security Model, maar eerder naar een Threat Model.

Iets totaal anders, maar allesomvattend en toch heel modulair : SABSA

SABSA is 42, want het antwoord op alles. Jammer dat niet meer mensen de moed hebben om het toe te passen. Maar we laten ons liever wjismaken dat het ook zonder inspanning kan.
31-08-2019, 14:08 door Anoniem
Door Anoniem:
Door Anoniem: Ik denk dat je niet op zoek bent naar een Security Model, maar eerder naar een Threat Model.

Iets totaal anders, maar allesomvattend en toch heel modulair : SABSA

SABSA is 42, want het antwoord op alles. Jammer dat niet meer mensen de moed hebben om het toe te passen. Maar we laten ons liever wjismaken dat het ook zonder inspanning kan.

Ik heb wel interesse in SABSA. Weet jij een goede aanbieder?
05-11-2019, 06:02 door [Account Verwijderd] - Bijgewerkt: 05-11-2019, 06:05
Door Anoniem:
Door Anoniem:
Door Anoniem: Ik denk dat je niet op zoek bent naar een Security Model, maar eerder naar een Threat Model.

Iets totaal anders, maar allesomvattend en toch heel modulair : SABSA

SABSA is 42, want het antwoord op alles. Jammer dat niet meer mensen de moed hebben om het toe te passen. Maar we laten ons liever wjismaken dat het ook zonder inspanning kan.

Ik heb wel interesse in SABSA. Weet jij een goede aanbieder?

Je weet toch wat ze zeggen over die roze olifant waar je niet aan mag denken? Nou, denk daar eens aan.

Pink Elephant
https://www.pinkelephant.nl/kennisbank/sabsa/

De olifant kan alleen niet spellen... Nou ja, Engels hè.

"Het onderwerp word [sic] in samenspraak met het SABSA Institute overeengekomen."
05-11-2019, 07:47 door Anoniem
@ anoniem van 20:19,

Dat "boekje", daar zou ik ook wel eens iets over willen horen opengedaan. Al die desinfo, al dat onderschoffelen van ongewenste reacties ten behoeve van ja, van wat. Je weet het, maar het benoemen alleen al, maakt je in die kringen steeds minder gewenst. Het wordt de laatste tijd, ook hier op security dot nl wel van kwaad tot erger.

Goed dat er nog mensen zijn als Erik, Bitwiper etc., dan is de zaak nog niet helemaal overgenomen door trollen vanuit de grootcommercie, de overheid etc. Derailers om den brode of vanwege andere belangen of gelobby.

SABSA prachtig, maar denk ook aan voor de hand liggende eisen als afvoerbeleid (kwetsbare jQuery bibliotheken, oude of verlaten code, oude kwetsbare plug-ins, toegevoegde security lagen als header security, best policies in het algemeen. Check via een DOM-XSS scanner je sources en sinks). Je fantasie is je begrenzing, werkelijk waar.

Maar zoals als gezegd, in bepaalde constructies bij Afraid dot org etc. is ineens jouw sub-domein het jouwe niet meer.
That is out of your hands, man. Scam en spam en PHISHing ligt overal op de loer.

Denk ook aan de expertise van bepaalde scanmodellen, zoals online mage report voor een Magento webshop. Het werken van de niet genoeg te prijzen onderzoeker/zakenman GWillem. Hackertarget scans voor Word Press websites (settings als user numeration, directory listing op disabled zetten enz., plug-in updates). Excessieve webserver info proliferatie, Poodle over TLS, Goldendooddle, Zombie Poodle, Sleeping Poodle, 0-lente OpenSSL, daar kun jij weer minder aan doen, als je afhankelijk bent van 3rd party servers, een cloud-oplossing. Niet knippen en plakken natuurlijk. Laat de fouten van een ander aan die anderen.

Verbeter wat je kunt verbeteren, aanvaard wat je zelf niet kunt verbeteren en wees wijs genoeg tussen die twee gegeven zaken onderscheid te kunnen maken. De ideale wereld is nog niet gearriveerd. Je intentie is in ieder geval goed,

luntrus
05-11-2019, 10:18 door MZi038
Bla bla bla... hierbij een model / richtlijn van het NCSC:

https://www.ncsc.nl/documenten/publicaties/2019/mei/01/ict-beveiligingsrichtlijnen-voor-webapplicaties

Ik ben er wel van gecharmeerd.
05-11-2019, 11:11 door Anoniem
Door AdvWest: Ik ben op zoek naar een security model, een strategische werkwijze om je eigen website te controleren voordat deze in gebruik wordt genomen.

Bestudeer al het werk van Theo de Raadt.

De website van NCSC is voor amateurs.
05-11-2019, 12:16 door Anoniem
Ik zou bij het beginnen starten
zorgen dat je website altijd up to date is en dan heb ik het over elke plugin die je gebruikt.
keep your website update always
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.