cybersecurity total Flashcards

Question

Stakeholder

Answer 1

entiteit (bv. persoon, organisatie, groep) waarvoor de “asset” waarde heeft en die er belang bij heeft om de “asset” te beschermen. Bv: de eigenaar van privé-foto’s.

Answer 2

Een zwakheid in het ontwerp, de uitvoering, de werking of de interne controle van een proces dat de asset zou kunnen blootstellen aan schadelijke dreigingen. Bv: een bug in een applicatie

Answer 3

Het resultaat of de uitkomst van de kwaadwillige activiteit van een “threat agent”.

Answer 4

Alles (bijv. object, stof, mens) dat in staat is om tegen een “asset” te handelen op een manier die kan leiden tot schade. Bv: Sterke wind (die bijvoorbeeld een boom kan omverblazen).

Answer 5

de mogelijkheid van verlies van een asset als gevolg van een dreiging waarbij gebruik wordt gemaakt van een kwetsbaarheid

Answer 6

Het risiconiveau of de blootstelling zonder rekening te houden met de maatregelen die het management heeft genomen of kan nemen (bijvoorbeeld het installeren van controles)

Answer 7

Na de invoering van controles zal er altijd een restrisico zijn, gedefinieerd als het risico dat overblijft nadat het management een risicobeperkende voorzorgsmaatregelen heeft uitgevoerd. (NOOIT 100% beveiliging)

Answer 8

Maatregelen die worden gebruikt om: de asset te beschermen, kwetsbaarheden en gevolgen te verminderen en/of het risico tot een aanvaardbaar niveau te verminderen.

Answer 9

de maatstaf voor de frequentie waarmee een risk gebeurtenis zich kan voordoen.

Answer 10

1. of er een potentiële bron is voor de gebeurtenis (bedreiging) 2. en de mate waarin het specifieke type gebeurtenis van invloed kan zijn op het doelwit (kwetsbaarheid) 3. rekening houdend met eventuele controles of tegenmaatregelen die de organisatie heeft genomen om haar kwetsbaarheid te verminderen. 4. kan als volgt uitgedrukt worden: Kwantitatief: frequentie (bijv. eenmaal per jaar). kwantitatief bevat dus een cijfer Kwalitatief: zeker, zeer waarschijnlijk, waarschijnlijk, onwaarschijnlijk, onmogelijk"

Answer 11

1. vulnerability scan 2. pentest

Answer 12

maatstaf voor de gevolgen/effecten van een gebeurtenis. BV: het stelen van een laptop van een bediende met weining toegang tot gevoelige gegevens : lage impact. Kwantitatief : bv geldwaarden kwalitatief: laag, gemiddeld, hoog

Answer 13

Een ad hoc aanpak implementeert eenvoudigweg de beveiliging zonder bepaalde redenen of criteria. Ad hoc implementaties kunnen worden gedreven door vendor marketing, of ze kunnen een weerspiegeling zijn van onvoldoende inhoudelijke expertise, kennis of training bij het ontwerpen en implementeren van beveiligingen.

Answer 14

Deze aanpak, die ook bekend staat als op standaarden gebaseerde beveiliging, is gebaseerd op voorschriften of normen om beveiligingsimplementaties te bepalen. Controles worden geïmplementeerd ongeacht hun toepasbaarheid of noodzaak, wat vaak leidt tot een "checklist"- houding ten opzichte van beveiliging.

Answer 15

Risico-gebaseerde beveiliging is gebaseerd op het identificeren van het specifiek risico waarmee een bepaalde organisatie wordt geconfronteerd en het ontwerpen en implementeren van beveiligingscontroles om dat risico aan te pakken. De op risico gebaseerde aanpak is meestal gebaseerd op scenario's.

Answer 16

1. Een risico scenario is een beschrijving van een mogelijke gebeurtenis waarvan de “impact” (gevolgen) negatief kunnen zijn. 2. Bron van risico scenario’s: creativiteit, denkwerk, overleg, ondervraging en gebeurtenissen uit het verleden. 3. Top-down (gebaseerd op bedrijfs— doelstellingen) 4. Bottom-up (gebaseerd op inputs zoals in de tekening)

Answer 17

1. Attack Vector: Het pad of de route die wordt gebruikt om toegang te krijgen tot het doelwit (asset). Ingress of Egress. 2. Exploit: Gebruik maken van een kwetsbaarheid om de aanwezige controles te verslaan en toegang te krijgen 3. Payload: Stukje software waarmee een gebruiker een computersysteem kan beheersen nadat het is geëxploiteerd. 4. Vulnerability 5. Target (asset)

Answer 18

Een computervirus is een stukje code dat ZICHZELF KAN REPLICEREN en zich kan verspreiden van de ene naar de andere computer. Het VEREISTE INTERVENTIE of UITVOERING om te repliceren en/of schade te veroorzaken.

Answer 19

Een variant van het computervirus, die in wezen een STUK ZELF- REPLICERENDE CODE is die is ontworpen om zichzelf te verspreiden over computernetwerken. Het VEREIST GEEN INTERVENTIE OF UITVOERING om te repliceren.

Answer 20

Een stuk malware dat toegang krijgt tot een getroffen systeem door zich te VERSTOPPEN BINNEN EEN AUTHENTIEKE TOEPASSING.

Answer 21

Afgeleid van "robotnetwerk", een groot, geautomatiseerd en gedistribueerd NETWERK VAN EERDER GECOMPROMITTEERDE COMPUTERS (Bots) die tegelijkertijd kunnen worden bestuurd om grootschalige aanvallen zoals DoS te lanceren.

Answer 22

Een klasse van malware die informatie over een persoon of organisatie verzamelt zonder medeweten van die persoon of organisatie.

Answer 23

Ontworpen om (over het algemeen ongewenste) advertenties te presenteren aan gebruikers.

Answer 24

“Gijzelsoftware", een klasse van afpersingsmalware die gegevens of functies vergrendelt of versleutelt en een betaling eist om ze te ontgrendelen. Er zijn verschillende types beschikbaar voor elk besturingssysteem.

Answer 25

Een klasse van malware die in het geheim toetsaanslagen van gebruikers registreert en, in sommige gevallen, de inhoud van het scherm.

Answer 26

Een klasse van malware die het bestaan van andere malware verbergt door het onderliggende besturingssysteem te wijzigen

Answer 27

Complexe en gecoördineerde aanval gericht op een specifieke entiteit of organisatie. Ze vereisen een aanzienlijke hoeveelheid onderzoek en tijd, die vaak maanden of zelfs jaren in beslag nemen om volledig te worden uitgevoerd.

Answer 28

Een middel om toegang te krijgen tot een gecompromitteerd systeem door het installeren van software of het configureren van bestaande software om toegang op afstand mogelijk te maken onder door de aanvaller gedefinieerde omstandigheden.

Answer 29

Een aanval die wordt uitgevoerd door alle mogelijke combinaties van wachtwoorden of encryptiesleutels te proberen totdat de juiste is gevonden.

Answer 30

Komt voor wanneer een programma of proces meer gegevens probeert op te slaan in een buffer (tijdelijk opslaggebied voor gegevens) dan de bedoeling was. Aangezien buffers worden aangemaakt om een eindige hoeveelheid gegevens te bevatten, kan de extra informatie - die op een of andere manier ergens naartoe moet gaan - overstromen naar aangrenzende buffers, waardoor de geldige gegevens die erin worden bewaard, worden beschadigd of overschreven. Hoewel het per ongeluk kan gebeuren door een programmeerfout, is bufferoverloop een steeds vaker voorkomende vorm van beveiligingsaanval op de gegevensintegriteit. Bij buffer overflow aanvallen kunnen de extra gegevens codes bevatten om de gegevensintegriteit aan te vallen.

Answer 31

Een type injectie waarbij kwaadaardige scripts worden geïnjecteerd in anders goedaardige en vertrouwde websites. XSS-aanvallen treden op wanneer een aanvaller een webapplicatie gebruikt om kwaadaardige code, meestal in de vorm van een browser side script, naar een andere eindgebruiker te sturen. Fouten die deze aanvallen laten slagen zijn vrij wijd verspreid en komen overal voor waar een webapplicatie gebruik maakt van input van een gebruiker binnen de output die het genereert, zonder deze te valideren of te coderen.

Answer 32

Een aanval op een service vanuit één enkele bron die het overspoelt met zoveel verzoeken dat het overweldigd wordt en ofwel volledig wordt gestopt ofwel aanzienlijk trager werkt.

Answer 33

Een aanvalsstrategie waarbij de aanvaller de communicatiestroom tussen twee delen van het systeem van het slachtoffer onderschept en vervolgens het verkeer tussen de twee componenten vervangt door dat van de indringer, waarbij hij uiteindelijk de controle over de communicatie op zich neemt.

Answer 34

Elke poging om sociale kwetsbaarheden uit te buiten om toegang te krijgen tot informatie en/of systemen. Het gaat om een "oplichterij" die anderen misleidt om informatie te onthullen of om kwaadaardige software of programma's te openen.

Answer 35

Een soort e-mailaanval die een gebruiker ervan probeert te overtuigen dat de afzender echt is, maar met de bedoeling om informatie te verkrijgen voor gebruik in social engineering. Smishing is hetzelfde, maar maakt gebruik van SMS.

Answer 36

Een meer gerichte versie van phishing waarbij social engineering technieken worden gebruikt om te maskeren als een vertrouwde partij om belangrijke informatie te verkrijgen zoals wachtwoorden van een specifiek slachtoffer. (≠ boekdefinitie)

Answer 37

Het vervalsen van het verzendingsadres (Noteer: eigenlijk het vervalsen van de identiteit van de afzender in de vorm van een e-mailadres, IP, website, telefoonnummer, biometrische gegevens) om illegale toegang te krijgen tot een beveiligd systeem.

Answer 38

invoegen ('injectie') van een SQL-databasevraging via de invoergegevens (bijv. om een zoekreeks in tevoeren) van de client

Answer 39

Een kwetsbaarheid die wordt uitgebuit (exploit) voordat de software ontwikkelaar zich zelfs maar bewust is van het bestaan ervan.

Answer 40

Specificeren eisen, verboden en verwachte activiteiten en gedragingen en definiëren de rollen en verantwoordelijkheden van iedereen in de organisatie. (zoals een beleidsverklaring van regering) Gemaakt, geaccepteerd en gevalideerd door de raad van bestuur en het senior management. * Gecommuniceerd aan de hele organisatie. * Update proces en uitzonderingsproces nodig! * Attributen: * legt de bedoeling, de verwachtingen en de richting van het management vast * duidelijk en gemakkelijk te begrijpen * kort en bondig * Helicopter niveau, geen details

Answer 41

Biedt een passende toegang tot interne en externe belanghebbenden om de bedrijfsdoelstellingen te bereiken. Zorgt ervoor dat toegang in noodgevallen op de juiste wijze wordt toegestaan en tijdig wordt ingetrokken. * Onderwerpen: * Fysieke en logische toegangsvoorziening levenscyclus * Least privilege/need-to-know * Segregatie van taken * Toegeng voor noodgevallen

Answer 42

*Het uitvoeren van regelmatige achtergrondcontroles van alle medewerkers en mensen op sleutelposities. * Verwerven van informatie over sleutelpersoneel in informatiebeveiligingsfuncties. * Het ontwikkelen van een opvolgingsplan voor alle sleutelposities in de informatiebeveiliging. * Het definiëren en implementeren van passende procedures voor beëindiging. Dit moet details bevatten over het intrekken van accountprivileges en toegang.

Answer 43

* Definitie van een informatiebeveiligingsincident * Een uitleg over hoe incidenten zullen worden afgehandeld * Eisen voor de oprichting van het incident response team, met organisatorische rollen en verantwoordelijkheden

Answer 44

* Bepaald op basis van het aanvaardbare verlies van gegevens in geval van onderbreking van de activiteiten. * Geeft het meest recente tijdstip aan waarvan het acceptabel is om de gegevens te herstellen, wat over het algemeen de laatste back-up is. De maximum tijd van het laatste herstelpunt tot incident is de RPO. * Dit is een exact te berekenen cijfer. Een bedrijf maakt een backup elke week. Dat betekent dus dat de RPO een week is.

Answer 45

* Tijd nodig voor terugkeer naar een betrouwbare staat , met inbegrip van Onderzoek en behoud van het proces * gebaseerd op ervaring en vastgelegd in de Incident Response Policy. In de meeste gevallen dient dit zo kort mogelijk te zijn. Hierbij wordt vaak de kost bekeken van terug operationeel te zijn versus het verlies van niet operationeel te zijn.

Answer 46

* Richt zich op het stroomlijnen van diverse bedrijfsprocessen die nodig zijnom alle vormen van identiteiten in een organisatie te beheren - van inschrijving tot vertrek. * Koppelt mensen aan systemen en diensten * Hoofddoelstelling: centralisatie en standaardisatie -> consistente en gemeenschappelijke dienstverlening

Answer 47

* Onderdeel van het aanwervingsproces van de organisatie waarbij gebruikersaccounts worden aangemaakt. * Wachtwoorden en toegangscontrolerechten die zijn toegewezen op basis van functieopdrachten. * Gecompliceerd proces: * Gebruikers kunnen toegang nodig hebben tot veel verschillende bedrijfsmiddelen met elk hun eigen autorisatie- en authenticatie-eisen. * Moet actueel worden gehouden: Toegangscontrole verandert wanneer een gebruiker van taak verandert.

Answer 48

* Wanneer de gebruiker de organisatie verlaat. * Alle accounts en toegangen moeten tijdig worden opgeschort of verwijderd.

Answer 49

* In staat zijn om te identificeren en te differentiëren tussen de gebruikers om ze de juiste machtiging/rechten te kunnen geven. * Toegangsregels (autorisaties) -> specificeren wie toegang heeft tot wat. * Vaak gebaseerd op * “Least privilege” principe , wat betekent dat de gebruikers alleen die toegang krijgen die nodig is om hun taken uit te voeren * “Need to know” en “need to do” principes . Alleen noodzakelijke toegang * Op verschillende niveaus, bijv. bestanden, databases, computer

Answer 50

een register van gebruikers (inclusief groepen, machines, processen) die toestemming hebben om een bepaalde systeembron (asset) te gebruiken Volgorde kan belangrijk zijn. Bv. een gebruiker kan tot twee groepen behoren waar de ene groep wel en de andere groep geen toegang heeft.

Answer 51

Betreft management van een speciaal type gebruikers: de beheerders. Hebben vaak toegang tot alle informatie die in een systeem is opgeslagen. Extra controles nodig: * Beperk tot functies die een geprivilegieerde toegang vereisen -> pas “least-privilege” toe * Uitvoeren van achtergrondcontroles * Uitvoering van extra logging van de activiteiten * Het handhaven van de verantwoordingsplicht -> nooit geprivilegieerde accounts delen! * Gebruik van sterkere wachtwoorden of bijkomende authenticatiecontroles * Controleer regelmatig de accounts voor privileges en verwijder ze als ze niet meer nodig zijn. * Eis dat geprivilegieerde gebruikers twee accounts (geprivilegieerde en niet * geprivilegieerde) hebben en stel het gebruik van de niet-geprivilegieerde account verplicht voor algemene taken

Answer 52

Zorgt ervoor dat veranderingen in processen, systemen, software, applicaties, platforms en configuratie op een ordelijke, gecontroleerde manier worden ingevoerd. * Evalueert en minimaliseert de kans op verstoringen die een voorgestelde wijziging, onderhoudsactiviteit of patch met zich mee kan brengen. Bijvoorbeeld door een procedure te hebben die eist dat eerst een wijziging getest wordt op een testomgeving. * Wijzigingen moeten worden gecategoriseerd, geprioriteerd en geautoriseerd. * Inclusief mechanismen voor het volgen en documenteren van veranderingen -> nodig voor het aantonen (compliance) van verantwoordingsprincipe (accountability) en het naleven van de best practices.

Answer 53

Het onderhouden van de (standaard) beveiligingsconfiguraties van netwerkapparaten, -systemen, -toepassingen en andere IT-middelen om afwijkingen te voorkomen. Voordelen: * Verificatie van de impact op gerelateerde items * Beoordeling van het risico van een voorgestelde wijziging * Mogelijkheid om verschillende verdedigingslinies te inspecteren op mogelijke zwakke punten

Answer 54

oplossingen (upgrades/updates) voor softwareprogrammeringsfouten die vaak leiden tot beveiligingslekken. * Het is belangrijk dat softwarefouten die als beveiligingslekken worden geïdentificeerd, zo snel mogelijk worden opgelost. * Maar niet altijd eenvoudig, bijvoorbeeld 24/7 bankdiensten. Wanneer patchen? * Beveiligingskwetsbaarheid niet gepatcht -> hoog risico op beveiligingsinbreuk/incident. Bv. Windows 7 nog gebruiken. * Softwareleveranciers brengen regelmatig software-updates en -patches uit * Bijvoorbeeld, Microsoft had Patch Tuesday. * Apple iOS heeft regelmatig updates die betrekking hebben op beveiligingsproblemen * Proces: Controleer of er een patch nodig is -> test -> plan en installeer

Answer 55

Een security architectuur beschrijft de structuur, de componenten, de verbindingen en de lay-out van de security controls binnen de IT- infrastructuur van een organisatie. The security perimeter: * De internetperimeter is de grens tussen het bedrijfsnetwerk en het Internet. Het is belangrijk deze goed te beveiligen.

Answer 56

Een goed gedefinieerde (zij het meestal virtuele) grens tussen de organisatie en de buitenwereld. De controle wordt op netwerk- en systeemniveau geplaatst.

Answer 57

Bescherming van gegevens ongeacht de locatie. Beveiliging op de data zelf

Answer 58

* zorgt voor een veilige toegang tot het internet voor de medewerkers van de onderneming en de gastgebruikers die op alle locaties wonen. * Regelt het verkeer tussen de onderneming en het internet. * Voorkomt dat uitvoerbare bestanden worden verstuurd via e-mailbijlagen of webbrowsing. * Bewaakt "interne en externe netwerkpoorten" voor malafide activiteiten. * Detecteert en blokkeert verkeer van geïnfecteerde interne eindpunten. * Beheert het gebruikersverkeer in de richting van het internet. * Identificeert en blokkeert abnormaal verkeer en kwaadaardige "pakketten" die als mogelijke aanvallen worden herkend. * Elimineert bedreigingen zoals e-mail spam, virussen en wormen

Answer 59

Om systemen te kunnen laten communiceren, moeten we het eens worden over een manier om dit te doen (een model). OSI (Open Systems Interconnection) en TCP/IP (Transmission Control Protocol/Internet Protocol) zijn twee modellen waarvan het eerste theoretisch is en het laatste in de praktijk op het Internet wordt gebruikt. Encapsulation: het proces van het toevoegen van adresseringsinformatie aan gegevens terwijl ze worden verzonden in de OSI-stack. * Elke verzendlaag communiceert met de corresponderende ontvangstlaag met behulp van dezelfde "Protocol Data Unit" of datagram. Afzender: Gegevens -> Segmenten -> Pakketten -> Frames -> Bits (0 en 1)-Ontvanger: Bits -> Frames -> Pakketten -> Segmenten -> Gegevens. * Bij elke afzenderlaag: inkapseling (verpakking) of encapsulation. Bij elke ontvangende laag: uitpakken of decapsulation.

Answer 60

Creëert een reeks van genestelde lagen die moeten worden omzeild om een aanval te voltooien. Elke laag vertraagt de aanvaller en biedt mogelijkheden om de aanval te detecteren. Bv concentrische kasteelmuren, Firewall (zie later) op het netwerk en op het apparaat.

Answer 61

Twee of meer controles die parallel werken om een “asset” te beschermen. Biedt meerdere, elkaar overlappende detectiepunten. Dit is het meest effectief wanneer elke controle verschillend is. Bv. muren en ballista's, twee anti-virus oplossingen op het apparaat.

Answer 62

meer processen, controles of personen nodig zijn om toegang te krijgen tot of gebruik te maken van het bedrijfsmiddel. Dit is effectief in het beschermen van zeer waardevolle activa of in omgevingen waar vertrouwen een probleem is. Bv. Het lanceren van kernraketten heeft twee mensen nodig om elk hun knop in te drukken. Voor het doen van grote banktransacties zijn twee mensen nodig om goed te keuren/te ondertekenen. “Four eyes” principe. Een andere indeling van de verdediging in de diepte vanuit een architectonisch perspectief: * Horizontale verdediging in de diepte - Op verschillende plaatsen in het (communicatie) toegangspad van een object worden controles geplaatst, wat functioneel gelijkwaardig is aan een concentrisch ringmodel. * Verticale verdediging in de diepte - controles worden op verschillende systeemlagen geplaatst - hardware, besturingssysteem, applicatie, database of gebruikersniveaus.

Answer 63

www . x . y

Answer 64

vb. 104.17.202.63 (4 nummers tussen 0 en 255; elk op een netwerk aangesloten apparaat heeft er een, ook bij u thuis!)

Answer 65

443 (default voor HTTPS protocol) Een port specificeert waar ergens op het adres het protocol wordt gebruikt. Maar je kan de default gebruikte poort wijzigen door deze te specificeren, bijvoorbeeld https://www.gva.be:8080 geeft aan dat poort 8080 moet worden gebruikt in plaats van 443.

Answer 66

vb. https://

Answer 67

* Een firewall moet personen op het bedrijfsnetwerk in staat stellen om veilig toegang te krijgen tot het internet en tegelijkertijd voorkomen dat anderen op het internet ongelimiteerde toegang krijgen tot het bedrijfsnetwerk om schade te veroorzaken. -> plaats: Internet Perimeter * De meeste organisaties volgen een deny-all filosofie: de toegang tot een bepaalde bron wordt geweigerd, tenzij een gebruiker een specifieke zakelijke reden of behoefte aan toegang tot de informatiebron kan aangeven. <-> De accept-all filosofie: iedereen krijgt toegang, tenzij iemand een zakelijke reden kan geven om toegang te weigeren.

Answer 68

* De toegang tot bepaalde sites op het internet blokkeren (Uitgaand). * Beperken van het verkeer op het openbare-dienstensegment van een organisatie tot relevante adressen en poorten (Inkomend). Poorten zijn een onderdeel van het adres en zijn gekoppeld aan specifieke protocollen op de Transport laag voor een specifiek geadresseerd apparaat. * Voorkomen dat bepaalde gebruikers toegang krijgen tot bepaalde servers of diensten (Beide). * Controleren en registreren van de communicatie tussen een intern en een extern netwerk om penetraties in het netwerk te onderzoeken of om interne ongewenste communicatie op te sporen (Beide). * Pakketten coderen (encrypteren) die tussen verschillende fysieke locaties binnen een organisatie worden verzonden door een VPN (Virtual Private Network) aan te maken via het internet (Beide). * De mogelijkheden van sommige firewalls kunnen worden uitgebreid, zodat ze ook bescherming kunnen bieden tegen virussen en aanvallen die gericht zijn op het benutten van bekende kwetsbaarheden van het besturingssysteem (Inkomend).

Answer 69

* Heeft twee of meer netwerkinterfaces, die elk op een ander netwerk zijn aangesloten. * Blokkeert of filtert sommige of alle verkeer dat probeert te passeren tussen de netwerken die ermee verbonden zijn, bijv. tussen dataservers en werkstations.

Answer 70

* Maakt gebruik van een packet filtering firewall en een gateway op applicatieniveau. * Inkomende communicatie wordt eerst via een pakketfilter en wordt dan ALTIJD gerouteerd naar de applicatieniveau-gateway. Uitgaande communicatie moet eerst via de applicatieniveau-gateway gaan, vanwaar het naar de pakketfilterfirewall wordt gestuurd. Uitzonderingen kunnen worden toegestaan, afhankelijk van het bedrijfsbeleid. * De aanvaller moet door twee afzonderlijke systemen gaan voordat de veiligheid van het privé netwerk in gevaar kan worden gebracht.

Answer 71

* Maakt gebruik van twee firewalls om een netwerkzone te creëren tussen het onbetrouwbare internet en het vertrouwde, private netwerk met de werkstations (Network clients). * Deze zone wordt de DMZ- of gedemilitariseerde zone genoemd. * Kan een extra (derde) applicatie firewall bevatten in de DMZ. * Wordt gebruikt om "publieke" servers te isoleren van het private netwerk, zoals bijvoorbeeld een publieke webserver.

Answer 72

* Configuratiefouten – Fout geconfigureerde firewalls kunnen onbekende en gevaarlijke diensten vrij doorlaten. * Controle eisen - Het is noodzakelijk om de logboeken op de juiste manier te controleren, maar het is mogelijk dat de controles niet altijd op regelmatige basis plaatsvinden. * Beleidsonderhoud - Het is mogelijk dat het firewall beleid (regels) niet regelmatig wordt onderhouden. * Kwetsbaarheid voor applicatie- en inputgebaseerde aanvallen - De meeste firewalls werken op de netwerklaag; daarom stoppen ze geen applicatie- of inputgebaseerde aanvallen, zoals SQL-injectie- en buffer- overloopaanvallen. Nieuwere next generation firewalls kunnen het verkeer op de applicatielaag inspecteren en sommige van deze aanvallen stoppen.

Answer 73

Groepeert apparaten van een of meer logisch gesegmenteerde LAN's. Segmenteert het netwerk van een organisatie, zodat elk segment afzonderlijk kan worden gecontroleerd, bewaakt en beschermd. (TIP: Hotelkamers)

Answer 74

Veel beveiligingstools, elk met een eigen logboek -> grote hoeveelheden gegevens (letterlijk encyclopedieën met gegevens, elke dag!). Hoe gaat men deze overweldigende hoeveelheid gegevens analyseren en interpreteren? SIEM-systemen (combinatie van SEM en SIM) * Automatisch aggregeren (samenvoegen) en correleren van loggegevens over meerdere beveiligingsapparaten * Reduceert de informatie tot een hanteerbare lijst van geprioriteerde gebeurtenissen! * Gebruikt in war rooms of in termen van cybersecurity: SOC (Security Operations Center)

Answer 75

Controleert de exfiltratie (egressie) van gegevens door de gegevens aan bepaalde regels te toetsen. Bijvoorbeeld: een verzonden gegevensbestand mag niet meer dan één creditcard- of sociale zekerheidsnummer bevatten. Een goed DLP oplossing kijkt naar de 3 mogelijke toestanden voor data

Answer 76

“Data at rest”: Met behulp van een "crawler“ (=eigenlijk een goedaardige worm), vindt u waar de gegevens zijn opgeslagen en welke informatie is opgeslagen (bijv. credit card gegevens, emailadressen, etc.).

Answer 77

Gebruikt Deep Packet Inspection (DPI) om de gegevens te analyseren op gevoelige inhoud. Kan bij transport van gevoelige informatie: waarschuwen, blokkeren, in quarantaine plaatsen of coderen/versleutelen.

Answer 78

Controleert de toestemming voor het gebruik van gegevens op een werkstation, inclusief printen, kopiëren naar externe apparaten zoals USB en zelfs kopiëren naar het klembord. Sommige controleren zelfs of men de tekst in een andere toepassing typt! Kan monitoren, beveiliging waarschuwen, gebruiker opleiden, blokkeren.

Answer 79

Intrusion Detection System (zie samenvatting p21)

Answer 80

Intrusion Prevention System (zie samenvatting p 21)

Answer 81

Encryptie (vercijferen of versleutelen) is het proces van het omzetten van een tekstbericht (plaintext) in een beveiligde tekstvorm, cijfertekst (ciphertext) genoemd Het encryptie proces maakt gebruik van een wiskundige functie die wordt bestuurd door een speciaal wachtwoord, genaamd sleutel (key). Decryptie (ontcijferen of ontsleutelen): De cijfertekst kan niet worden begrepen zonder ontcijfering - het omgekeerde proces van versleuteling naar het originele tekstbericht.

Answer 82

Substitutie: Vervangt delen van het bericht door iets anders volgens een vooraf gedefinieerd algoritme. Vervang bijvoorbeeld elk teken van het alfabet door het teken dat op drie plaatsen rechts daarvan staat. A-> D, B -> E, etc. Dit was het encryptie-algoritme van Caesar’s Cipher. Transpositie (of Permutatie): Mengt de gegevens door blokken van plaats te veranderen. Een zeer eenvoudige transpositie is het wisselen van de plaatsen van elk paar karakters. Vb. HOWEST -> OHEWTS. Transpositie is het principe dat de Spartanen gebruikten voor hun encryptie-algoritme. De sleutel is de dikte van de staaf.

Answer 83

Encoding transformeert een bericht naar een andere vorm. Het algoritme om te encoderen is altijd goed gekend, omkeerbaar en er IS GEEN SLEUTEL NODIG sleutel nodig. Encryptie . Daarentegen heb je voor encryptie en decryptie een berust tegenwoordig op het geheim van de sleutel en niet op het geheim van het algoritme. (Caesar’s cipher is strikt genomen "Encoding" in plaats van "Encryptie" omdat het een algoritme was zonder sleutel, maar het algoritme werd wel geheim gehouden).

Answer 84

Asymmetrische versleuteling is traag => lang nodig om grote documenten of bestanden te ondertekenen. Een oplossing daartoe is om een code te maken die een representatie is van het document, maar die veel korter is en dan deze code te encrypteren met de geheime sleutel. Het maken van zo'n kortere code wordt "hashing" genoemd . De code zelf wordt een hashcode, hashwaarde, digest of gewoon "hash" genoemd. Eisen: * De hash moet gemakkelijk en snel te berekenen zijn. * Het moet erg moeilijk zijn om twee berichten met dezelfde hash te vinden. (Het vinden van twee berichten met dezelfde hash wordt een "botsing" (collision) genoemd) * Een paar standaarden: MD5 (128 bit hash), SHA-0 (160 bit), SHA-1 (160 bit), SHA-2 en SHA-3 met varianten. Hiervan worden alleen SHA-3 en bepaalde varianten van SHA-2 tegenwoordig als veilig beschouwd (vaak aangeduid met hun hash-lengte: SHA-256 en SHA-512)

Answer 85

* Sterkte van het algoritme Beter openbaar dan geheim, omdat het dan door veel onderzoekers kan worden onderzocht en getest. * Geheimhouding van de sleutel en moeilijkheid om een onbekende sleutel te compromitteren (te kraken/vinden). * Het ontbreken van achterdeuren . Met een achterdeur kan een versleuteldbestand worden gedecrypteerd zonder dat de sleutel bekend is. * De onmogelijkheid om delen van een cijfertekstbericht te ontcijferen door het analyseren van de patronen in de cijfertekst. * Het verhinderen van gekende plaintext aanvallen * Eigenschappen van de tekst die een dader kent Bv. brieven beginnen vaak met "Beste..." wat informatie is die helpt bij het ontcijferen.

Answer 86

Gebruiken één enkele, geheime, bi-directionele sleutel voor vercijferen en ontcijferen. Zoals in de fysische wereld. Voordelen: * Eenvoudig voor de gebruiker , want er is maar één sleutel voor vercijferen en ontcijferen. * Minder ingewikkeld om te gebruiken in cryptosystemen dan asymmetrische vercijfering. * Snel , dus gebruikt minder rekenkracht dan asymmetrische vercijfering. * GESCHIKT VOOR "BULK" VERCIJFERING, vercijfering van grote hoeveelheden. Nadelen: * Problematische sleutelverdeling . Hoe krijg je dezelfde sleutel bij twee partijen die elkaar misschien niet eens persoonlijk kennen? * Kan niet worden gebruikt om onweerlegbaarheid (non-repudiation) te garanderen (digitale handtekeningen)

Answer 87

Data Encryption Standard Vercijfert in blokken van 6ft bit Nu als zwak beschouwd en alleen gebruikt in de mode Triple DES of 3DES

Answer 88

Advanced Encryption Standard * Uitgevonden door twee Belgen van de KULeuven: Vincent Rijmen en Joan Daemen * 128- tot 256-bits sleutel * Vercijfert in blokken van 128 bit

Answer 89

Rivest Cipher ft Beschouwd als zeer zwak, maar helaas nog steeds gebruikt in sommige protocollen zoals bijvoorbeeld in WEP (WiFi Security).

Answer 90

Gebruikt twee complementaire sleutels. Als men vercijfert met de ene sleutel, kan men alleen met de andere sleutel ontcijferen. Eén sleutel is altijd openbaar, de andere is altijd privé en houdt de gebruiker bij hem. De privé (of private of geheime) sleutel wordt door de eigenaar zo veilig mogelijk bewaard (bijv. op een smartcard). De publieke sleutel wordt gepubliceerd - vaak in een soort "telefoonboek" - zodat iedereen hem kan gebruiken. Algoritmes voor asymmetrische vercijfering zijn langzamer en gebruiken meer computerkracht dan symmetrische algoritmen. => Gebruikt voor kortere berichten

Answer 91

Rivest, Shamir and Adleman bekendste standaard Gebruikt typisch sleutels van 1.024 tot 4.096 bit lang. Vertrouwt op de praktische moeilijkheid van het in factoren ontbinden van het product van twee grote priemgetallen en maakt gebruik van modulaire rekenkunde. Gebruikt zeer veel computertijd . Vaak geïmplementeerd in hardware

Answer 92

Elliptical Curve Cryptography * Minder rekenkracht en computer geheugen nodig dan voor RSA . Wordt dan ook bv. Op smart cards gebruikt. * Gebaseerd op de algebraïsche structuur van elliptische krommen over eindige velden. * Maakt het mogelijk om kleinere sleutels dan RSA te gebruiken met hetzelfde veiligheidsniveau.

Answer 93

Data integriteit: Elke wijziging in de plaintext boodschap zou ertoe leiden dat de ontvanger niet dezelfde hash berekent. Authenticatie: De ontvanger kan zich ervan vergewissen dat het bericht door de beweerde afzender is verzonden, aangezien alleen de beweerde afzender de geheime sleutel heeft. Onweerlegbaarheid (Non-repudiation): De afzender kan later niet ontkennen dat hij het bericht heeft gegenereerd en verzonden, omdat hij - opnieuw - de enige is die zijn geheime sleutel bezit.

Answer 94

* Probleem: Hoe garandeert men dat de publieke sleutel van Alice echt van Alice is, als Alice en Bob elkaar nooit ontmoeten? Hoe krijgt Alice de sleutel van Bob? * Oplossing: een Public Key Infrastucture waarbij een "trusted party" (bijvoorbeeld de overheid of een door de overheid aangewezen instantie) garandeert dat de publieke sleutel authentiek is en afkomstig is van Alice. * Hoe garandeert de trusted party dit ? Door de publieke sleutel van een persoon digitaal te ondertekenen met hun geheime sleutel

Answer 95

* Bevat de publieke sleutel en identificerende informatie over de gebruiker. * Getekend door een trusted party met de privésleutel van de trusted party. * Toegevoegd aan berichten zodat de ontvanger de authenticiteit van de publieke sleutel van de gebruiker kan verifiëren met behulp van de publieke sleutel van de trusted party. * Bevat ten minste: Een onderscheidende (gebruikers)naam, De publieke sleutel van de gebruiker, Het algoritme dat wordt gebruikt om de digitale handtekening van het certificaat te creëren door de trusted party, De geldigheidsduur van het certificaat

Answer 96

* Autoriteit in een netwerk die (veiligheids)certificaten en publieke sleutels voor de verificatie of versleuteling van handtekeningen van berichten uitgeeft en beheert. * Om een digitaal certificaat te genereren, krijgt/moet de CA een bevestiging krijgen van een Registratie Autoriteit (RA) dat de door de gebruiker verstrekte informatie correct is. Als de RA de door de gebruiker verstrekte informatie bevestigt, maakt de CA de inhoud van het digitale certificaat aan en ondertekent het met de privésleutel van de CA.Alle gebruikers kunnen dan het certificaat controleren met de publieke sleutel van de CA. * Beheert en tekent ook Certificate Revocation Lists (CRL's) -> Lijst van ingetrokken certificaten. * Bekende CA's zijn bijvoorbeeld de bedrijven Verisign en DigiCert. * Een CA kan ook eigendom zijn van een bedrijf om certificaten te genereren voor zijn werknemers, aannemers, partners, enz. (bedrijfsinterne CA)

Answer 97

Net als dynamiet kan versleuteling door criminelen worden misbruikt: * Ransomware (Wannacry, Cryptolocker, Petya) * Verbergen van malwarecode * Geheime communicatie tussen criminelen -> bemoeilijkt forensisch onderzoek * Encryptie van gegevens in rust door criminelen -> bemoeilijkt forensisch onderzoek

Answer 98

* De veiligheid berust vooral op de geheimhouding van de sleutels. Hoe meer een sleutel wordt gebruikt, hoe meer de gegevens kunnen worden geanalyseerd, dus hoe kwetsbaarder ze zijn. * Het kraken van wachtwoorden gaat steeds sneller met de evolutie van de technologie. * Vroeg of laat zal een sleutel verouderd zijn. * Willekeurigheid (randomness) van de sleutelgeneratie is ook een factor. * Soms is het genereren van een sleutel gebaseerd op wachtwoorden en is het makkelijker om een wachtwoord te raden dan een sleutel -> sleutel wordt minder veilig. Willekeurigheid speelt ook een sleutelrol bij asymmetrische sleutelgeneratie

Answer 99

Analyseer bestaande controles (bijv. anti-malware, firewalls, logging, IPS, ...) om de effectiviteit in het beperken (mitigate) van risico's te bepalen => nieuwe risicoscore * Resultaat: Definitieve risico-ranglijst met risico's met * Adequate controle * Ontoereikende controle * Geen controle * Onthoud: kosten voor risicobeheersing !< waarde van de activa

Answer 100

De implementatie van controles of tegenmaatregelen om de waarschijnlijkheid en.of impact van een risico te beperken tot een niveau binnen de risicotolerantie van de organisatie

Answer 101

Risico's kunnen worden vermeden door niet deel te nemen aan een activiteit of bedrijvigheid

Answer 102

Het risico kan worden overgedragen aan een derde partij (bijvoorbeeld een verzekering) of worden gedeeld met een derde partij via een conttractuele overeenkomst.

Answer 103

Als het risico binnen de risicotolerantie van de organisatie ligt of als de kosten voor het anderszins beperken van het risico hoger zijn dan het potentiële verlies, dan kan een organisatie het risico op zich nemen en eventuele verliezen opvangen/tolereren.

Answer 104

Het proces van het gebruik van proprietary of open source tools om te zoeken naar bekende kwetsbaarheden. * Gebruikt door beveiligingsprofessionals EN hackers! * Host-gebaseerd (bijv. McAfee Endpoint Security Vulnerability Scan) of Netwerkgebaseerd (bijv. Nessus) Commerciële maar ook gratis en open-source tools beschikbaar. * Scannen van IT-infrastructuur, webapplicaties, databases of een mix daarvan. * Andere werktuigen voor een kwetsbaarheidsanalyse zijn open source en proprietary bronnen zoals SANS, MITRE en OWASP, softwareleveranciers (patches!), historische incidenten.

Answer 105

Local Area Network Computernetwerk dat computers binnen een beperkt gebied (woning, school, campus, kantoorgebouwen) met elkaar verbindt.

Answer 106

Wide Area Network Meerdere LAN's die organisatorisch via het lnternet of een soortgelijk netwerk (huurlijnen) met elkaar zijn verbonden.

Answer 107

* Repeater: Physical layer. Versterkt en herhaalt het signaal. * Hub: Physical layer. Versterkt en herhaalt het signaal of kopieert gewoon het signaal naar een aantal andere fysieke lijnen. * Bridge: Data link layer. Meestal om een draadloos netwerk en een bekabeld netwerk of apparaat aan elkaar aan te sluiten. Bijv. bekabelde printer. * Router: Network layer. Bestudeert pakketten en "routeert" ze verder of blokkeert ze volgens een set van regels (omvat vaak een firewall). Heeft meestal een WAN-poort om verbinding te maken met het internet. * Switches: Bestaat in versies op alle OSI lagen behalve laag 1. Hoe hoger de OSI laag, hoe meer intelligentie in het "schakelen" van het signaal naar een andere lijn. Heeft meestal geen WAN-poort om verbinding te maken met het internet maar wordt tussen delen van een LAN gebruikt.

Answer 108

* Als je eenmaal in een LAN bent, ben je voorbij de externe controles op de Internet Perimeter zoals firewalls, IPS/IDS, web gateways en andere perimeterbeveiligingsapparaten. Verbinding maken met een LAN geeft aanzienlijk meer toegang dan verbinding maken via het Internet. Vergelijk dit met het kunnen betreden van een beveiligd gebouw. * De beveiliging is nu afhankelijk van de beveiliging van de netwerkinfrastructuur en de controles op de apparaten en in de applicaties. * De meeste netwerkbesturingssoftwareheeft beperkte administratieve en beveiligingsfuncties en beperkte logging aan te bieden, maar dit is geleidelijk aan het verbeteren. * Gebrek aan opleiding van IT-personeel kan leiden tot beveiligingslekken.

Answer 109

Hoe controleren we op "malafide" apparaten die proberen verbinding te maken met het LAN? => Netwerktoegangscontrole (Network Access Control). Dit is meestal een beveiligingsapparaat dat apparaten die verbinding maken met het LAN controleert op onder andere: * Toelating om aan het LAN te connecteren. * De juiste software kan checken en installeren (kan bijvoorbeeld controleren of de anti-malware van het bedrijf is geïnstalleerd). * Het up-to-date zijn met het besturingssysteem en alle (kritische) toepassingen. Netwerktoegangscontrole kan als volgt geïmplementeerd zijn: Agentloos: NAC scant op afstand voor configuratie op het niet-betrouwde apparaat. Met agent: de agent(*) monitort en communiceert de status van het apparaat naar de NAC. Voor onze doeleinden is een "agent" een stuk software op een endpoint dat werkt in opdracht van een extern apparaat/software

Answer 110

Vanwege het lagere beveiligingsniveau op een LAN zijn de risico’s en problemen: * Ongeoorloofde wijzigingen => Verlies van gegevens en programma-integriteit * Onvermogen om versiebeheer te onderhouden => Gebrek aan actuele gegevensbescherming * Beperkte gebruikersverificatie => Blootstelling aan externe activiteit * Virus en worminfectie . * Toegang voor iedereen in plaats van need-to-know toegang => Onrechtmatige openbaarmaking van gegevens * Software zonder licentie of met teveel exemplaren => Overtreding van softwarelicenties * Imitatie of vermomming als legitieme LAN-gebruiker => Illegale toegang * “Snuffelen” (sniffing) in het netwerk door een interne gebruiker => schijnbaar onbelangrijke informatie wordt verzameld die kan worden gebruikt om een aanval te lanceren, zoals netwerkadresinformatie * Spoofing van een interne gebruiker (het herconfigureren van een netwerkadres om te doen alsof het een ander adres is) * Vernietiging van de logging- en controlegegevens * Gebrek aan tijd voor netwerkbeheerders om controles en tegenmaatregelen uit te voeren

Answer 111

* Duid een eigenaar aan van programma's, bestanden en opslag * Beperk de toegang tot alleen-lezen waar mogelijk * Implementeer record- (databases) en bestandsvergrendeling om gelijktijdige bewerkingen te voorkomen * Opzetten van doordachte aanmeldingsprocedures voor gebruikers, met inbegrip van strikte wachtwoordregels. Wijzig standaard wachtwoorden! * Gebruik switches die de toegang tot het LAN op het niveau van de fysieke poort (connector) kunnen verhinderen voor onbevoegde hosts (bijvoorbeeld met behulp van het MAC(*)-adres) * Encryptie van lokaal verkeer met behulp van het IPSec-protocol (IP- veiligheid)

Answer 112

* Wireless maakt het mogelijk om één of meer apparaten te laten communiceren zonder fysieke verbindingen (zonder kabel). * Maakt gebruik van radiofrequentie-uitzendingen of andere elektromagnetische signalen (Inclusief Bluetooth en Infrarood). * Kan in vier groepen worden ingedeeld op basis van de omvang van de signaaldekking: * Wireless WAN (Wi-Fi Hotspot) * Wireless LAN (Kantoor of Horeca) * Wireless Personal Area Networks (Bluetooth bijvoorbeeld) * Wireless ad hoc network (directe wireless connectie tussen peer(*) computers)

Answer 113

* Apparaten met een draadloze netwerkkaart (bijv. laptops, smartphones) verbinden "over de lucht" met een "access point" (=draadloze hub). * Bereik van het toegangspunt typisch ≈100m * De zone waarin er dekking is heet een "cel" * Roaming = zich kunnen verplaatsen tussen cellen * Toegangspunt wordt verbonden via een kabel met een LAN. * De meest bruikbare en gebruikte standaard is IEEE 802.11, die de interface definieert: * Tussen een draadloze client en een toegangspunt * Tussen twee draadloze klanten

Answer 114

* Symmetrische vercijfering met behulp van RC4 (!) dat al als zeer zwak wordt beschouwd (≈gebroken). En dan is het nog zwakke implementatie van de encryptie * Met sleutels die voor alle gegevens worden gebruikt en niet vaak worden gewijzigd (Sleutelverdelingsprobleem)

Answer 115

* In plaats van één sleutel voor alle gegevens wordt er een sleutel per pakket gebruikt, gebaseerd op een gekende WPA-code (kan een wachtwoord of "passphrase" zijn). * Sterkere integriteitscontrole om replay te voorkomen (bijv. dezelfde banktransactie twee keer uitvoeren kan niet) en om wijzigingen te voorkomen * Vanaf WPA2 is AES verplicht * Vanaf WPA3, maatregelen voor het beperken van zwakke WPA-codes (zwakke wachtwoorden of passphrases)

Answer 116

* Gebruik VPN om verbinding te maken met de organisatie * Encrypteren van e-mails (met behulp van een zakelijke email oplossing) * Opkomend gebruik van asymmetrische encryptie * Verberg de naam van uw netwerk , de SSID (Service Set Identifier). * Filter de MAC-adressen (alleen bekende apparaten toestaan = bekende MAC's) * In sommige gevallen moeten de radiosignalen worden afgeschermd met behulp van fysieke barrières (beton, kooi van Faraday).

Answer 117

Tunneling is het misbruik van een protocol om informatie over te brengen voor iets anders dan het doel van dat protocol. Aanvallers (intern of extern) misbruiken het protocol als een "tunnel", voor de uitwisseling van informatie voor kwaadaardige doeleinden. Vergelijk met het misbruiken van de riolen voor een aanval op een bankkantoor. Tunneling kan mogelijk firewalls omzeilen als er geen deep packet inspection (DPI) wordt gedaan. De meest bekende protocollen die gebruikt worden voor tunneling zijn ICMP en HTTP.

Answer 118

Toegang op afstand kan nodig zijn voor: * Telewerk . Heeft dankzij Covid veel tractie gekregen. * Software leveranciers voor hun (externe) supportafdeling * Consultants om hun werk te doen (bv. internal penetration test van op afstand) * Zakelijke partners om toegang te hebben tot bepaalde gegevens die nodig zijn voor zaken te kunnen doen met elkaar. TCP/IP-internettoegang op afstand * Kosteneffectieve aanpak (geen specifieke huurlijnen nodig) * VPN vereist voor de veiligheid! * Maar encryptie kan problemen veroorzaken omdat het niet kan worden geïnspecteerd door beveiligingsapparatuur zoals firewall, IPS etc. => Gebruik beveiligingsapparatuur die kan ontcijferen & inspecteren voordat het naar de finale bestemming wordt verzonden.

Answer 119

1. (Sterke) Beleidsregels (policies) en standaarden. 2. Correcte autorisaties. 3. Identificatie- en authenticatiemechanismen om de verbinding op afstand te starten. 4. Encryptietechnieken, zoals het gebruik van een VPN. 5. Systeem- en netwerkbeheer (bijv. NAC). 6. Beperking van de toegang op afstand tot (sterk) gecontroleerde systemen, netwerken en toepassingen.

Answer 120

gebruikers op afstand krijgen mogelijk geen toegang tot gegevens of applicaties die voor hen van vitaal belang zijn om hun dagelijkse werkzaamheden uit te voeren.

Answer 121

Kan leiden tot ongeoorloofde toegang tot of wijziging van de gegevens van een organisatie.

Answer 122

(bv. Geen beveiligingssoftware) op de bedrijfscomputerinfrastructuur

Answer 123

die toegang kunnen krijgen tot kritieke applicaties of gevoelige gegevens door gebruik te maken van zwakke punten in communicatiesoftware en netwerkprotocollen.

Answer 124

(= systemen waarbij het VPN binnen het bedrijf eindigt) die niet goed beveiligd zijn => kunnen worden uitgebuit door een indringer die op afstand toegang krijgt.

Answer 125

met computers van gebruikers op afstand. Als een aanvaller toegang krijgt tot de computer van een gebruiker thuis en tot zijn VPN, kan hij het bedrijf op afstand van binnenuit aanvallen.

Answer 126

1. Power on 2. Lees BIOS-instructies die in hardware zijn gebrand 3. Start een klein programma vanaf het begin van het opstartapparaat (voor PC heet dit MainBoot record) 4. Laad het besturingssysteem 5. wacht op gebruiker

Answer 127

Operating system De software die start wanneer uw apparaat start ("boots"). Het heeft over het algemeen de volgende functies: Zorgt voor de gebruikersinterface, zoals de pictogrammen die u aanklikt en de dialoogvensters die u ziet. Hiermee kan de gebruiker toepassingen uitvoeren zoals bijvoorbeeld tekstverwerkers, rekenbladen, presentatiesoftware, enz. Regelt het gegevensbeheersysteem (bestanden) waarmee u gegevens en programma's kunt opslaan en opvragen

Answer 128

* De uitgevoerde code(*) heeft volledige en onbeperkte toegang tot de hardware * De kernelmodus is gereserveerd voor het laagste niveau, de meest vertrouwde functies, van het besturingssysteem.

Answer 129

* De uitvoerende code heeft geen mogelijkheid om direct toegang te krijgen tot de hardware of het geheugen. * De code die in de gebruikersmodus draait, moet de programma's in de kernelmodus oproepen om toegang te krijgen tot de hardware en het geheugen. De gebruiker kan dus niet zomaar doen wat hij wil! * Vergelijk het met een democratisch systeem waarin je de politici die je kiest kan beïnvloeden, maar zij beslissen over de wetten en regering, niet jij.

Answer 130

* De normale gebruikers (User) - min of meer beperkt in wat hij kan doen door een admin. De normale gebruiker heeft toegang tot standaardapplicaties, maar kan de systeemconfiguratie of -bestanden niet wijzigen. * De beheerders (administrators) - Sommige hebben meer of minder rechten, afhankelijk van waar hun account voor wordt gebruikt, maar hebben allemaal enige toegang tot de systeemconfiguratie en de bestanden. * De Systeemgebruiker! - Heeft toegang tot alles. Deze kan in Windows niet als gebruikerstype worden gekozen

Answer 131

* Windows-beveiligingsfunctie die voorkomt dat onbevoegden het systeem wijzigen. * Als Beheerder -> vraagt om toestemming om de wijzigingen door te voeren * Als Gebruiker -> vraagt om in te loggen als beheerder om de wijzigingen door te voeren * Voordeel: geen veranderingen zonder dat een beheerder ze opmerkt!

Answer 132

Het OS beheert de gegevensbestanden -> biedt toegangscontrole om te bepalen of een gebruiker kan create, modify, read, write and/or delete. Noteer dat er ook andere privileges bestaan (bv. execute)!

Answer 133

Het OS baseert de toegang op de credentials van een gebruiker. Het OS bevat dus ook gebruikerscontrolesoftware om de gebruiker te identificeren en te authentiseren. * Identificeren -> gebruikersnaam * Authentiseren -> bewijzen dat je bent wie je beweert te zijn in de identificatiestap

Answer 134

* Toekennen van privileges -> "Least privilege" principe aanbevolen * Beperken van de toegang op basis van een bepaalde tijd van de dag, aantal aanmeldingspogingen, het source adres van het apparaat.

Answer 135

De Registry is van cruciaal belang en moet zeer goed worden beschermd. Het is een centrale hiërarchische database waarin de configuratie-instellingen en -opties worden opgeslagen. * Georganiseerd als een “directory”-structuur maar in plaats van mappen (folders; directories) en bestanden (files) die gegevens (data) bevatten, werkt het met keys en bevatten. Sommige belangrijke delen in de Registry vind je hieronder: subkeys die gegevens * HKEY_CURRENT_CONFIG — Bevat veranderlijke informatie die bij het opstarten wordt gegenereerd * HKEY_CURRENT_USER — Specifieke instellingen voor de huidige gebruiker * HKEY_LOCAL_MACHINE\SAM — Bevat lokale en domein account informatie (zie oefening!) * HKEY_LOCAL_MACHINE\Security — Bevat veiligheidsbeleid waarnaar wordt verwezen en d at wordt afgedwongen door de kernel * HKEY_LOCAL_MACHINE\Software — Bevat software en Windows instellingen * HKEY_LOCAL_MACHINE\System — Bevat informatie over de installatie van het Windows- systeem * HKEY_USERS\.DEFAULT — Profiel voor de lokale systeem accoun

Answer 136

* Gebruik het commando (op een opdrachtregel) "regedit“. * Als je dubbelklikt op een “value name”, opent er een nieuw venster waar je de waarde in kan zien en veranderen. Elke verandering wordt direct opgeslagen! (geen "Save" knop, geen “Undo”!). * Het gebruik van Regedit is alleen mogelijk als je een beheerder bent. * Sommige keys zijn niet eens zichtbaar voor de "normale" beheerder, bijvoorbeeld HKEY_LOCAL_MACHINE\SAM.

Answer 137

Need to know * Je moet iets weten/kennen om je te authentiseren * bv. Wachtwoord, PIN, passphrase * Kan verward worden met “Least Privilege/Need to know” Need to have * Je moet iets bezitten om je te authentiseren * bv. smart card, dongle, zender Need to be * Je gebruikt je biometrische kenmerken om je te authentiseren * bv. Gezichtsherkenning, vingerafdruk, retina-can, voetafdruk

Answer 138

* Maakt het mogelijk om meerdere OS's (" gasten “ of “guests”) naast elkaar te laten bestaan op dezelfde fysieke server (“ gastheer afzondering van elkaar. -> bijvoorbeeld Vmware. ” of "host"), in * Creëert een laag tussen de hardware en de gast-OS'en om gedeelde verwerkings- en geheugenbronnen op de host te beheren-> vaak HYPERVISOR genoemd. * De host in een gevirtualiseerde omgeving vertegenwoordigt een potentieel single point of failure -> een succesvolle aanval op de host kan resulteren in een incident dat groter is in zowel de omvang als de impact.

Answer 139

* Een ontoereikende configuratie van de host kan leiden tot kwetsbaarheden die alleen de host, maar ook de gasten treffen. niet * Exploitaties van bestaande kwetsbaarheden binnen de configuratie van de host, of een DoS-aanval tegen de host, kunnen alle gasten van de host treffen. * Het compromitteren van de beheerconsole (hypervisorconsole) kan niet- goedgekeurde administratieve toegang verlenen aan de gasten van die host. * Onveilige protocollen voor toegang op afstand tot de beheerconsole en de gasten kunnen leiden tot blootstelling van login gegevens van de administrators. * Datalekken mogelijk tussen gasten als het geheugen niet wordt vrijgegeven en door de host op een gecontroleerde manier wordt toegewezen. * Prestatieproblemen van het eigen OS van de host kunnen gevolgen hebben voor elk van de gasten van de host.

Answer 140

* Sterke fysieke en logische toegangscontrole, vooral voor de host en zijn beheerconsole. * Goede configuratiebeheerpraktijken en platform hardening voor de host, inclusief patching, antivirus, beperkte diensten, logging, passende rechten en andere configuratie-instellingen. * Passende netwerksegregatie, inclusief het vermijden van virtuele machines in de gedemilitariseerde zone (DMZ), en het plaatsen van de beheertools voor virtualisatie op een apart netwerksegment. * Sterke change management praktijken.

Answer 141

Alle systemen die worden gebruikt voor het beheer van industriële activiteiten in tegenstelling tot IT die de administratieve activiteiten beheert, bijvoorbeeld het beheer van de productielijn, de controle van de mijnbouwactiviteiten, het toezicht op olie en gas.

Answer 142

Systemen die worden gebruikt om industriële processen te bewaken en te controleren, bijvoorbeeld het stroomverbruik op elektriciteitsnetten. Supervisory Control And Data Acquisition (SCADA) systems. Ze geven het proces onder controle weer en bieden toegang tot de controlefuncties. * SCADA ⊂ ICS ⊂ OT * Ontworpen aanvankelijk als stand-alone systems, niet ontworpen met beveiliging in gedachten.. * Werken in real-time dus geen tijd voor (beveiligings-)overhead. * Worden meer en meer verbonden aan netwerk -> Meer blootstelling. * Impact van een aanval kan zeer ernstig tot catastrofaal zijn * Minimum controles: Firewall & Netwerk segmentatie

Answer 143

Gegevens behoren toe aan een individu of een organisatorisch element (afdeling, bedrijf, overheidsinstantie...), NIET aan IT. De Data Owner is verantwoordelijk voor: * het bepalen van de gegevensindeling * het vereiste beveiligingsniveau Noteer dat ook volgende job functies gerelateerd zijn aan data: Data Stewards: zijn betrokken bij de betekenis en het juiste gebruik van de gegevens, niet bij de wijze waarop deze worden opgeslagen of beschermd. Data Custodian: beheert de gegevens volgens de regels van de eigenaar van de gegevens (stelt de toegangscontrole in, bepaalt de structuur van de databank, enz.) Houdt zich niet bezig met de inhoud. Data Processor and Data Controller: GDPR rollen voor bedrijven die persoonlijke gegevens verwerken.

Answer 144

Vaststellen van toegangsvereisten, inclusief het definiëren van gebruikersprofielen, toegangsgoedkeuringscriteria en validatieprocedures.

Answer 145

Bepaal waar gevoelige gegevens worden opgeslagen en hoe ze worden verzonden.

Answer 146

Gebruik controles om een betrokken gebruiker te waarschuwen dat zijn of haar informatie op het punt staat te worden gebruikt.

Answer 147

Bepaal de uptime- en downtime-toleranties voor verschillende soorten gegevens.

Answer 148

Stel procedures vast om gegevens te beschermen tegen ongeoorloofde kopieën en distributie

Answer 149

Bescherm gegevens tegen ongeoorloofde wijzigingen met behulp van wijzigingsbeheerprocedures en geautomatiseerde bewaking en detectie van ongeoorloofde wijzigingen en manipulatie.

Answer 150

Bepaal bewaartermijnen en bewaar specifieke versies van software, hardware, authenticatiegegevens en encryptiesleutels om de beschikbaarheid te garanderen.

Answer 151

Houd bij wie er toegang had, de autorisaties, de wijzigingen en de transacties.

Answer 152

Het invoeren van een nieuwe applicatie gebeurt volgens de fases van SDLC (System Development Lifecycle). Veiligheid moet in elke fase bekeken worden: Security by design

Answer 153

Ontwikkelings- en testomgevingen * vrij open * hebben vaak minder toegangscontroles De testfase van SDLC houdt onder andere in: * Verificatie en validatie dat een programma, subsysteem of toepassing en de ontworpen veiligheidscontroles de functies uitvoeren waarvoor ze zijn ontworpen * Bepaling of de geteste apparaten zonder enige storing of nadelige invloed op andere onderdelen van het systeem werken

Answer 154

* Een "gebeurtenis" (“EVENT”) is elke verandering, fout of onderbreking binnen een IT-infrastructuur * Voorbeeld: een systeemcrash, een fout op de harde schijf of een gebruiker die zijn wachtwoord vergeet. Het National Institute of Standards and Technology (NIST) definieert een gebeurtenis als "elk waarneembaar voorval in een systeem of netwerk." * In Windows worden “gebeurtenissen” (events) genoteerd in de Windows Event Log waartoe je toegang hebt via de Event Viewer applicatie. Deze applicatie kan je opstarten door “eventvwr” in het Start zoekveld te schrijven. * NIST definieert een “INCIDENT" als "een schending of dreigende schending van het computerbeveiligingsbeleid, het beleid inzake aanvaardbaar gebruik of de standaardbeveiligingspraktijken". Een andere veelgebruikte definitie: "de poging tot of het succes van ongeoorloofd toegang te verkrijgen; gebruik, openbaarmaking, wijziging of verlies van informatie; of interferentie met systeem- of netwerkbewerkingen". * Incidenten vereisen beveiliging- en onderzoeksexpertise om ze te beheersen,terwijl gebeurtenissen in de normale gang van zaken worden afgehandeld.

Answer 155

European Union Agency for Network and Information Security (samenvatting p43)

Answer 156

1. Voorbereiding (Preparation) 2. Identificatie (Identification) 3. Insluiting (Containment) 4. Uitroeiing (Eradication) 5. Herstel (Recovery) 6. Geleerde lessen (Lessons Learned)

Answer 157

Deze fase bereidt een organisatie voor - voorafgaand aan een incident op het ontwikkelen van een incident response. * Hoe gaan we om met incidenten? * Met wie gaan we communiceren of naar wie gaan we escaleren in geval van een incident? * Volgens welke criteria doen we aangifte van het incident bij de politie of andere instanties? * Wie maakt deel uit van het Incident Response Team en hoe en wanneer activeren we die? * Waar komen we samen om het incident af te handelen? * Welke apparatuur hebben we nodig tijdens een incidentbestrijding? Bereid die apparatuur voor.

Answer 158

Deze fase is bedoeld om na te gaan of er een incident (en niet een vals alarm) heeft plaatsgevonden en om meer details over het incident te weten te komen. Bevat: * Controleren of meldingen of gebeurtenissen als een incident kwalificeren. * “Incidentenafhandelaar” van een incident of potentieel incident toewijzen. * Het bepalen van de ernst van een incident en het zo nodig escaleren ervan. * Vaststelling van de "chain of custody"(*) tijdens de identificatie bij de behandeling van potentieel bewijsmateriaal.

Answer 159

Deze fase heeft tot doel de blootstelling (en dus de effecten) van het incident te beperken. Bevat: * Het activeren van het Incident Response Team om het incident in te dammen. * De betrokken belanghebbenden (zakelijke eigenaren of “business owners” van de getroffen systemen) op de hoogte brengen van het incident. * Het verkrijgen van toestemming (van de business owners) voor acties die van invloed kunnen zijn op de beschikbaarheid van een dienst. * De IT-vertegenwoordiger en relevante virtuele teamleden betrekken bij de implementatie van inperkingsprocedures. * Verkrijgen en bewaren van bewijs. * Het documenteren van acties vanaf deze fase. * Controle en beheer van de communicatie met het publiek door het PR-team (indien nodig).

Answer 160

Deze fase is bedoeld om de oorzaak van het incident vast te stellen en uit te roeien. Bevat: * Het bepalen van de tekenen en de grondoorzaak van het incident. * Het lokaliseren van de meest recente versie van de back-ups en deze installeren of alternatieve oplossingen voor uitroeiing overwegen (zoals het opnieuw installeren van het besturingssysteem). * Het verwijderen van de hoofdoorzaak van het incident. Bv. In het geval van een worm- of virusinfectie kan het worden verwijderd door het implementeren van geschikte patches en bijgewerkte antivirussoftware. * Verbetering van de verdediging door het implementeren en/of verfijnen van veiligheidscontroles. * Het uitvoeren van een kwetsbaarheidsanalyse om nieuwe kwetsbaarheden te vinden die mogelijk door de hoofdoorzaak zijn geïntroduceerd.

Answer 161

Deze fase zorgt ervoor dat de getroffen systemen of diensten worden hersteld in een toestand die eerder is gespecificeerd (in bv. een Business Continuity Plan). De tijd vanaf het incident tot het einde van deze fase wordt door de RTO gespecificeerd! Bevat: * Herstel tot de gespecificeerde toestand . * Valideren dat acties op herstelde systemen succesvol zijn. * Systeemeigenaren (asset owners) betrekken bij het testen van hun systemen.

Answer 162

Deze fase is gericht op het opstellen van een rapport om te beschrijven wat er is gebeurd, welke maatregelen er zijn genomen en wat de resultaten zijn na de uitvoering van het plan. Schrijven van het incidentenrapport bevat: * Analyse van de problemen die zich voordeden tijdens de bestrijding van het incident. * Het voorstellen van verbeteringen in de verschillende fasen van het Incident Response Plan op basis van de ondervonden problemen. * Presentatie van het verslag aan de relevante belanghebbenden

Answer 163

het verzamelen en analyseren van bewijsmateriaal met als doel de dader van een incident te identificeren. * Er is een mogelijk conflict met de incidentenbestrijding! Het onderzoek kan vereisen dat de aanval of ongeoorloofde toegang wordt voortgezet terwijl deze wordt geanalyseerd en bewijs wordt verzameld. <> Incidentenbestrijding wil de aanval zo snel mogelijk stoppen, oplossen en herstellen (wat het bewijs kan vernietigen). * Reden voor onderzoek kan zijn: criminele activiteit, contractbreuk of overtreding van het beleid van de organisatie. * Wie doet het onderzoek? In-house, gespecialiseerde bedrijven, wetshandhaving, toezichthouders.

Answer 164

Het bewijs moet op de juiste wijze worden bewaard als het ooit in een rechtbank moet worden gebruikt. * Voorbeelden van bewijzen van computercriminaliteit: logbestanden, tijdstempels voor bestanden, geheugeninhoud, browsergeschiedenis, contactlijsten, allerlei soorten bestanden en metagegevens. * Bij herstart van de machine -> bewijs (mogelijk) weg. Dus de eerste stap is het kopiëren van de harde schijf en het RAM geheugen! * "Chain of custody" is belangrijk: Dit is gedetailleerd documenteren hoe het bewijs wordt behandeld, inclusief het eigendom, de overdracht en de wijziging ervan. Dit is om de integriteit van het bewijs in de rechtbank te bewijzen. Je kan dit bv in een notitieboek doen of electronisch (bv. Blockchain!)

Answer 165

Er zijn (uiteraard) wettelijke vereisten voor onderzoeken en onderzoekers. * Wettelijke vereisten verschillen vaak van land tot land, soms zelfs conflicterend => probleem bij incidenten waarbij meerdere landen betrokken zijn. * Vb. Incident waarbij EU en US betrokken is kan conflicterend zijn voor de vraag van US om data en EU’s behandeling van data vanwege GDPR. * De onderzoeker moet de wettelijke vereisten begrijpen met betrekking tot : 1. Zoeken of controleren van communicaties (bv. Wet betreffende de elektronische communicatie ) 2. Interviews of ondervragingen 3. Arbeids-, vakbonds- & privacyreglementering (e-privacy, GDPR) 4. Bewijsverzameling en opslag 5. Chain of custody 6. Verplichting om de rechtshandhaving te betrekken * Bij niet volgen van wettelijke voorschriften => Gerechtszaak mislukt of rechercheur zelf wordt strafrechtelijk of civielrechtelijk aangeklaagd!

Answer 166

EU General Data Protection Regulation * Deze verordening gaat over de bescherming van PERSOONSgegevens. * Een verordening (“regulation”) is onmiddellijk bindend. * NL: AVG = Algemene Verordening Gegevensbescherming De GDPR verplicht alle organisaties om bepaalde inbreuken op de persoonsgegevens te melden aan de betrokken toezichthoudende autoriteit (in België is dit de "Gegevensbeschermingsautoriteit"). * Een voorbeeld is wanneer digitale persoonsgegevens in grote hoeveelheden worden gestolen. *"Persoonlijke gegevens" betekent alles wat een natuurlijk persoon kan identificeren. Bv: een naam, een identificatienummer, locatiegegevens, een online-identificatiemiddel of een of meer factoren die specifiek zijn voor de fysieke, fysiologische, genetische, mentale, economische, culturele of sociale identiteit van die natuurlijke persoon. * Een organisatie moet binnen 72 uur rapporteren nadat ze zich bewust is geworden van een inbreuk.

Answer 167

"Digitaal forensisch onderzoek" is het "proces van het identificeren, bewaren, analyseren en presenteren van digitaal bewijs op een manier die juridisch aanvaardbaar is in een juridische procedure.

Answer 168

De identificatie van informatie die beschikbaar is en die het bewijs van een incident kan vormen.

Answer 169

De praktijk van het terugvinden van geïdentificeerde informatie en het bewaren ervan als bewijs. Bv. "imaging" ( bit-per-bit kopie) van originele media met getuige aanwezig. Natuurlijk moet de chain of custody worden gedocumenteerd.

Answer 170

Het extraheren, verwerken en interpreteren van het bewijsmateriaal EN het begrijpelijk maken voor een leek (bv. rechterlijke macht).

Answer 171

Presenteer aan het management, de advocaten, de rechtbank, enz.

Answer 172

Het incidentbestrijdingsplan moet een beschrijving bevatten van de wijze waarop relevante partijen kunnen worden geïnformeerd hoe ze gegevens die als bewijsmateriaal kunnen worden gebruikt kunnen beschermen. (Trek bijvoorbeeld de stekker niet uit het stopcontact)

Answer 173

* Zorg ervoor dat alle gegevens op de media (harde schijf, verwijderbare media) in een gecontroleerde locatie worden opgeslagen. * Verzamel indien mogelijk gegevens die zijn opgeslagen in RAM (verdwijnt wanneer de computer wordt uitgeschakeld), zoals bijvoorbeeld wie was ingelogd, en sla deze veilig op. * Write-block media (vaak met behulp van gespecialiseerde hardware die bijvoorbeeld een harde schijf omhult) * Opnemen (bv. voice recorder) van getuigenissen

Answer 174

* Bit-per-bit kopie van gegevens (bijv. van een harde schijf) om het origineel ongewijzigd te houden en de analyse op de kopie uit te voeren. * Bit-per-bit kopieën maken het mogelijk om de "verborgen" zones van de harde schijf te analyseren (zones waar geen bestanden zijn geschreven die u kunt zien in bijvoorbeeld Windows Explorer). * In sommige extreme gevallen worden gegevens - met behulp van gespecialiseerde tools - van de harde schijf hersteld, zelfs wanneer deze zijn gewist of overschreven.

Answer 175

Het identificeren en selecteren van de relevante gegevens op de kopie (afbeelding) van het medium (bijvoorbeeld een harde schijf).

Answer 176

Verzamel informatie door middel van interviews zodat we telefoonnummers, namen van personen, enz. kunnen herkennen in geëxtraheerde gegevens.

Answer 177

Identificeer patronen in netwerkcommunicatie: * Waar het netwerkverkeer plaatsvindt * wanneer en hoe lang de communicatie plaatsvindt * de omvang van de gegevens (data) in het netwerkverkeer

Answer 178

* Logbestanden bevatten vaak enorme hoeveelheden gegevens en zijn moeilijk te analyseren. * Gebruik automatische hulpmiddelen om de logboekgegevens te interpreteren (eventueel via de SIEM van het bedrijf):

Answer 179

verwijderen records in het logboek waarvan bekend is dat ze niet relevant zijn voor een veiligheidsonderzoek, bijvoorbeeld het record van de nachtelijke backup.

Answer 180

zoeken naar anomalieën in het gedrag van de gebruiker of het systeem, bv. een gebruiker logt elke dag in om 9.00 uur maar op een dag plots om 4.00 uur.

Answer 181

zoekt naar sequenties van gebeurtenissen waarvan het weet dat ze een aanval kunnen vormen, bijvoorbeeld herhaalde mislukte aanmeldingspogingen op verschillende PC's in hetzelfde kantoor.

Answer 182

* Computer Forensic Tools: Onderzoeken permanent geheugen, zoals harde schijven, USB-sticks, CD's. * Memory Forensic Tools: Het verwerven en onderzoeken van vluchtig (“volatile”) geheugen (RAM). * Mobile devices: Meestal hardware zoals write-blockers & duplicators * Network Forensic Tools: Controle en analyse van het netwerkverkeer(bv. Wireshark)

Answer 183

Orden de gebeurtenissen op een tijdlijn 1) om te zoeken naar relaties tussen gebeurtenissen of 2) om gebeurtenissen te visualiseren voor een niet- technisch publiek.

Answer 184

Zet de geëxtraheerde informatie om in een formaat dat begrijpelijk is voor onderzoekers die geen forensische cyberdeskundigen zijn.

Answer 185

* Waarom het systeem werd onderzocht * Hoe de gegevens op het systeem werden geanalyseerd * Welke conclusies zijn er uit deze analyse getrokken?

Answer 186

Manieren gebruikt door cybercriminelen om het terugvinden van gegevens te bemoeilijken of onmogelijk te maken voor onderzoekers : * Wissen van gegevens door overschrijven; * Encryptie ; * Verbergen van gegevens in ongebruikte ruimte op een medium; * Verberg gegevens door middel van "steganografie“. Steganografie = het verbergen van gegevens in het volle zicht (Bv. Het schrijven van een brief in onzichtbare inkt op een papier met een andere zichtbare tekst erop. Bv. Het verbergen van een bericht in de eerste tekens van elk woord van een tekst: robert en nele willen een geschenk

Answer 187

* Rampen zijn: verstoringen die ertoe leiden dat kritieke informatiesystemen gedurende een bepaalde periode niet meer werken. * “Bepaalde periode” kan minuten tot maanden zijn. * Rampen vereisen een "herstel“-inspanning (recovery) om terug te keren naar de normale gang van zaken. Totdat we volledig hersteld zijn, hebben we een manier nodig om "het bedrijf voort te zetten“ (business continuity). * 2 soorten rampen: natuurlijk: aardbeving, overstroming, tornado, vuur. Covid valt in deze categorie, door de mens gemaakt: terroristische aanval, staking, grote hackeraanval bijv. ransomware, aanzienlijke virusinfectie, menselijke fouten (bijv. het per ongeluk verwijderen van een database)

Answer 188

* Wat zijn onze essentiële activiteiten die nodig zijn om te overleven? * Welke materiële en menselijke middelen zijn nodig voor deze essentiële activiteiten? * Wat zijn de criteria voor het verklaren van een ramp? Niet elk incident is een ramp, maar elke ramp is een incident. * Wie is verantwoordelijk voor wat precies? * Welke contracten bestaan er (noodkantoor, computerverhuur, verhuisbedrijf, enz...)?

Answer 189

De “business impact analyse” is de basis voor het schrijven van een BCP. Stappen van een Business Impact Analyse: * Vind alle bedrijfsprocessen in uw bedrijf (bijv. verkoop, marketing) * Welke van deze activiteiten zijn cruciaal voor het voortbestaan van het bedrijf? * Welke IT-middelen (bijv. servers, mensen) zijn gekoppeld aan de essentiële activiteiten? * Welke bedreigingen bestaan er voor deze activiteiten? Met welke waarschijnlijkheid en welke impact? En hoe goed zijn onze (beveiligings)controles voor deze activiteiten? Merk op dat ditrefereert naar de Risicoanalyse! * Hoeveel data kunnen we ons veroorloven om te verliezen voor elk van deze activiteiten (RPO)? * Wat is de maximale hersteltijd die nodig is voor deze activiteiten voordat we onaanvaardbare verliezen beginnen te lijden (RTO)?

Answer 190

Geen backup => Geen RPO mogelijk. Dus een backup is essentieel! Een back-up procedure houdt rekening met: * Het back-up medium/media (schijf, tape, cloud of een mix) * Offsite and onsite backup * Frequentie van de back-up (zie eerdere oefeningen) Backup methodes: * Volledige (Full) Backup: Een volledige kopie van elk geselecteerd bestand op het systeem. * Incrementele Backup: Alleen bestanden die zijn gewijzigd sinds de laatste back-up (eender welke type back-up). * Differentiële Backup: Alleen bestanden die zijn gewijzigd sinds de laatste VOLLEDIGE back-up.

Answer 191

Gegevensherstel (Recovery) is het proces van het herstellen van gegevens die verloren zijn gegaan, per ongeluk zijn verwijderd, beschadigd of ontoegankelijk zijn gemaakt om welke reden dan ook. Herstel gaat het snelst met Full Backups, en gemiddeld sneller met een Differential Backup dan met een Incremental Backup. Waarom? Omdat u minder back-ups hoeft te herstellen. Tel bijvoorbeeld het aantal back-ups dat u moet terugzetten in ons back- up voorbeeld bij gegevensherstel op vrijdag om 23:59: * Full Backup: 1 backup * Differentiële Backup: 2 backups (tweede overschrijft bestanden) * Incrementele Back-up: 6 back-ups (2 tot 6 overschrijft bestanden)

Answer 192

* Zeer geraffineerde en impactvolle aanvallen op de toeleveringsketen hebben zich verspreid, zoals blijkt uit het speciale ENISA Threat Landscape on Supply Chain. Managed service providers zijn zeer waardevolle doelwitten voor cybercriminelen. * Overheidsorganisaties hebben zowel op nationaal als op internationaal niveau hun inspanningen opgevoerd. Overheden hebben zich meer ingespannen om door een staat gesponsorde bedreigers te verstoren en juridisch aan te pakken. * Cybercriminelen worden steeds meer gemotiveerd door geldwinning voor hun activiteiten, bv. ransomware. Cryptocurrency blijft de meest voorkomende uitbetalingsmethode voor dreigingsactoren. * Cybercriminaliteit richt zich steeds vaker op kritieke infrastructuur en treft deze ook. * Infectie via phishing-e-mails en brute-forcing op Remote Desktop Services (RDP) blijven de twee meest voorkomende aanvalsvectoren voor ransomware. * De focus op bedrijfsmodellen van het type Ransomware as a Service (RaaS) is in 2021 toegenomen, waardoor het moeilijk is individuele bedreigers te identificeren. * Het aantal "triple extortion ransomware schemes" is in de loop van 2021 sterk toegenomen. * Ransomware encrypteert data (bijvoorbeeld ziekenhuis). Betaal om te decrypteren. * Afpersing 1 voor slachtoffer van ransomware (ziekenhuis) : dreiging om gegevens van het slachtoffer te openbaren. * Afpersing 2 voor wie aan het slachtoffer geconnecteerd is (bv. patienten): dreiging om gegevens e.d. over hun klanten/leveranciers/partners die op de computers van het oorspronkelijke slachtoffer zijn aangetroffen, openbaar te maken.

Answer 193

* De afname van malware die in 2020 werd waargenomen, zet in 2021 door. In 2021 zagen we een toename van bedreigers die hun toevlucht namen tot relatief nieuwe of ongebruikelijke programmeertalen om hun code over te zetten. * Malware die zich richt op containeromgevingen komt steeds vaker voor, met nieuwe evoluties zoals bestandsloze malware die vanuit het geheugen wordt uitgevoerd. * Malware-ontwikkelaars blijven manieren vinden om reverse engineering en dynamische analyse moeilijker te maken.

Answer 194

* Het volume van cryptojacking-infecties bereikte in het eerste kwartaal van 2021 een recordhoogte in vergelijking met de afgelopen jaren. * Het financiële gewin dat met cryptojacking gepaard gaat, heeft de dreigingsactoren ertoe aangezet deze aanvallen uit te voeren.

Answer 195

* BEC (Business E-mail Compromise) is toegenomen, geraffineerder geworden en doelgerichter geworden. * Het bedrijfsmodel Phishing-as-a-Service (PhaaS) wordt steeds populairder.

Answer 196

* De dreigingsactoren verlegden hun aandacht naar vaccininformatie in de context van bedreigingen van gegevens en informatie. * Er was een sterke toename van gegevensinbreuken in de gezondheidszorgsector.

Answer 197

* Traditionele DDoS-aanvallen (Distributed Denial of Service) verschuiven naar mobiele netwerken en IoT (Internet of Things). * Ransom Denial of Service (RDoS) is de nieuwe grens van denial of service- aanvallen. * Doordat middelen gedeeld worden in gevirtualiseerde omgevingen (en zo ook de netwerkaansluiting), versterkt dit DDoS-aanvallen. Als je de host aanvalt, val je veel clients tegelijk aan. * DDoS-campagnes zijn in 2021 doelgerichter en veel hardnekkiger geworden en steeds meer multivector.

Answer 198

* Door kunstmatige intelligentie (AI) ondersteunde desinformatie ondersteunt aanvallers bij de uitvoering van hun aanvallen. * Phishing is de kern van desinformatieaanvallen en maakt sterk gebruik van de overtuigingen van mensen. * Mis- en desinformatie vormen de kern van cybercriminele activiteiten en nemen in een ongekend tempo toe. * Het bedrijfsmodel desinformatie-as-a-Service (DaaS) is sterk gegroeid, onder impuls van de toenemende impact van de COVID-19-pandemie en de behoefte aan meer informatie.

Answer 199

* In 2020 en 2021 zagen we een piek in niet-kwaadwillige incidenten, aangezien de COVID-19 pandemie een multiplicator werd voor menselijke fouten en systeemmisconfiguraties, tot op het punt dat de meeste inbreuken in 2020 door fouten werden veroorzaakt. * Er is een piek geweest in niet-kwaadwillige incidenten op het gebied van cloudbeveiliging.

Answer 200

Een gerichte dreiging die bestaat uit verschillende complexe aanvalsvectoren en die voor langere tijd onopgemerkt kan blijven. * APT-karakteristieken: * Grondige planning & onderzoek : onderzoek van het doelwit, planning van het gebruik van resources en anticiperen op tegenmaatregelen * Gesofisticeerd : bijvoorbeeld meerdere kwetsbaarheden tegelijk uitbuiten * Verborgen : kan maandenlang onopgemerkt blijven * Volhardend : APT's geven niet op. Als de ene weg geblokkeerd is, zoeken ze een andere weg...

Answer 201

* Kritische infrastructuur (bijvoorbeeld NMBS) * Waardevolle geheimen of andere bronnen van commercieel voordeel (bv. Coca-Cola) * Controle van geldtransacties (bv. een bank) * Verwerking van creditcardgegevens (bijvoorbeeld een betalingsverwerker) * Grote hoeveelheden persoonlijk identificeerbare gegevens over personen (bijv. Amazon) * Leveranciers van alle bovenstaande organisaties

Answer 202

* Criminele groepen * Inlichtingendiensten (landen) * Strijdkrachten (landen) * Activisten * Terroristische groeperingen

Answer 203

* Big Data is : enorme hoeveelheden snel variërende gegevens van een grote verscheidenheid. * Big Data is te groot, variabel en verandert te snel om te verwerken met behulp van standaard databasetools. * Grootte: honderden gigabytes (1 miljoen bytes) tot verschillende petabytes (1 miljoen gigabytes). * Voorbeelden : * Google's databases over zoekpatronen van gebruikers. * Live verkeersgegevens, transportgegevens van apps (bijv. van Waze, Google) in combinatie met omgevingsgegevens (zoals het weer) om zelfrijdende auto's te helpen. * Marketing die in allerlei online en offline bronnen zoekt om profielen van consumenten of bedrijfskopers te voorspellen waarop dan gerichte marketing is gebaseerd. * Een SIEM die allerhande logbestanden van diverse systemen verzamelt..

Answer 204

* Het belangrijkste punt is de privacy. Veel mensen en bedrijven beseffen niet hoeveel informatie online kan worden verzameld (denk aan onze OSINT-oefening!). * Privacy (gegevensverzameling): individuen kunnen het gevoel hebben dat er te veel gegevens over hunzelf en hun gewoontes worden verzameld. * Privacy (heridentificatie): door middel van correlatie ("connecting the dots") kunnen personen worden geïdentificeerd waar elk gegeven op zich geen identificatie mogelijk maakt. * De gegevens moeten worden gecentraliseerd om te kunnen worden geanalyseerd. Natuurlijk is er dan een grote hoeveelheid gegevens in gevaar als een aanvaller erin slaagt om toegang te krijgen tot deze gegevens. * De tools die worden gebruikt om Big Data te analyseren en over te dragen zijn niet altijd veilig

Answer 205

Servers die toegankelijk zijn via het internet, en de software en databases die op die servers draaien. Door gebruik te maken van cloud computing hoeven gebruikers en bedrijven niet zelf fysieke servers te beheren of softwaretoepassingen op hun eigen machines te draaien.

Answer 206

Een "model voor het mogelijk maken van gemakkelijke, on-demand toegang tot een gedeelde pool van configureerbare computerbronnen (bijvoorbeeld netwerken, servers, opslag, applicaties en diensten) die snel kunnen worden geleverd en vrijgegeven met een minimale beheersinspanning of interactie met de serviceprovider".

Answer 207

* Loss of governance (verlies van controle) — De klant geeft meestal een bepaald niveau van controle op aan de cloudaanbieder, wat van invloed kan zijn op de beveiliging, vooral als de service level agreements (SLA's) een gat in de beveiliging openlaten. * Isolation failure (gebrekkige isolatie) — Een kenmerk van cloud computing is gedeelde middelen. Hoewel dit niet gebruikelijk is, kan het falen van mechanismen die de opslag, het geheugen en de routing van verschillende “cloudgebruikers" scheiden, risico's met zich meebrengen. * Compliance — Migratie naar de cloud kan een risico opleveren voor de organisatie om een certificering te behalen (bijvoorbeeld voor ISO27001) als de cloudaanbieder zelf geen compliance bewijs kan leveren (zoals bv. het aantonen dat er een risico-evaluatie is gedaan). * Management interface compromise — De (cloud)beheerinterface van de klant kan een verhoogd risico vormen omdat deze via het internet toegankelijk is en de toegang tot grote hoeveelheden resources verleent. * Data protection — Het kan moeilijk zijn voor klanten om de procedures van de cloudaanbieder te controleren betreffende beveiliging van hun data. * Insecure or incomplete data deletion — Door het feit dat meerdere bedrijven gebruik maken van dezelfde cloud-applicatie en het hergebruik van hardwarebronnen, is het risico groter dat gegevens niet volledig, niet adequaat of niet tijdig worden verwijderd. * Malicious insider — Cloud architecten hebben een grote verantwoordelijkheid. Een kwaadwillende insider kan grote schade aanrichten. * Data flow risks — Aangezien de gegevensstromen via het internet verlopen, is het van cruciaal belang dat de gegevens worden beschermd tegen afluisteren en manipulatie.

Answer 208

* Market drive — Omdat beveiliging een topprioriteit is voor de meeste cloud- klanten, hebben cloudaanbieders een sterke drijfveer om hun beveiligingspraktijken te versterken en te verbeteren. * Scalability — De cloudtechnologie maakt een snelle herverdeling van middelen mogelijk, zoals die voor filtering, traffic shaping, authenticatie en encryptie, naar defensieve maatregelen (= BESCHIKBAARHEID). * Cost-effective — Alle soorten veiligheidsmaatregelen zijn goedkoper als ze op grote schaal worden toegepast. * Timely and effective updates — Updates kunnen snel worden uitgerold over een homogeen platform. U gebruikt altijd de laatste versie! * Audit and evidence — Cloud computing kan forensische “images” van virtuele machines leveren, wat resulteert in minder downtime voor forensisch onderzoek. * Backup — De cloudaanbieder biedt vaak garanties dat uw gegevens altijd beschikbaar zijn (maar niet elke cloud provider!). Er zijn ook veel Cloud Backup- platforms die een alternatief bieden voor lokale (tape, disk) back-up.

Answer 209

Een verzameling technieken die een vorm van 'intelligentie' toevoegt aan een machine of computer.

Answer 210

* Aanvallen vinden bij de analyse van logbestanden (SIEM). * Het opsporen van kwaadaardige programma's (opsporen van zero-day-aanvallen!). * Helpen bij het herkennen en blokkeren van phishingaanvallen. * Automatisch en sneller zwakke punten vinden en verhelpen in een beveiliging.

Answer 211

* Hulp bij het plannen van cyberaanvallen door het kraken van Big Data voor het vinden van zwakke punten bij een organisatie. * Helpt de malware zichzelf te verbergen en tegenmaatregelen te nemen wanneer anti-malware het probeert op te sporen of uit te roeien * AI vergemakkelijkt gepersonaliseerde aanvallen doordat de AI leert van Big Data hoe het slachtoffer het best benaderd kan worden * De AI-machines kunnen zelf kwetsbaar zijn met het risico dat een hacker ze traint om zijn aanval "over het hoofd te zien“!

Answer 212

Sociale-mediatechnologie is: het creëren en verspreiden van inhoud via sociale netwerken die gebruik maken van het internet met een hoog niveau van interactie (tussen de deelnemers) beschikbaar voor de consument

Answer 213

* Introductie van virussen/malware in het organisatienetwerk. * Misinformatie of misleidende informatie die vaak wordt gepost door een frauduleuze of gekaapte zogezegde “bedrijfsvertegenwoordiger”. * Onduidelijke of ongedefinieerde content-rechten op informatie die op sociale-mediasites wordt geplaatst. * Ontevredenheid van de klant door een verwachte toename van de kwaliteit/tijdigheid van de klantenservice (sociaal platform altijd beschikbaar). * Wanbeheer van de elektronische communicatie (bijvoorbeeld het lekken van vertrouwelijke informatie of een te vroeg gelanceerd persbericht). * Sommige informatie moet volgens de wetgeving na enige tijd worden verwijderd, maar Social Media vergeet nooit...