cybersecurity total Flashcards

Question 1

Q

informatiebeveiliging (2)

Answer

A

Beveiliging van informatie in welke vorm dan ook
Ook fysieke vormen van informatie (bijv. papier)

Question 2

Q

Cyber beveiliging als onderdeel van informatiebeveiliging (2)

Answer

A

Beveiliging van “informatie” in de cyberwereld
In de cyberwereld wordt informatie verwerkt, opgeslagen op en getransporteerd via computers die op het internet zijn aangesloten

Question 3

Q

uitbreiding cyberveiligheid (2)

Answer

A

Ook programma’s, apps, configuraties zijn een vorm van gegevens of informatie
rekening te houden met fysieke bedreigingen indien deze een direct effect hebben op de cyberwereld (vereist door bepaalde beveiliginsnormen)

Question 4

Q

Cybercriminaliteit kostte de wereld economie in 2017 maar liefst () dollar

Answer

A

600 miljard

Question 5

Q

Cyber criminaliteit is georganiseerd als een bedrijf (3)

Answer

A

CEO
Project managers met elk hun specialiteit
Toeleveranciers

Question 6

Q

Ransomware-as-a-service

Answer

A

je betaalt iemand om een Ransomware attack te doen

Question 7

Q

Cybersecurity gap (4)

Answer

A

Cybersecurity teams zijn onderbemand
het duurt heel lang om een qualified candidaat te vinden
Minder dan de helft van de werknemers zijn under qualified
Proffesionals geloven erin dat heel veel HR departementen het belang van cyberbeveiliging niet beseft.

Question 8

Q

Asset

Answer

A

Iets van materiële of immateriële waarde dat waard is om te beschermen, met inbegrip van mensen, informatie, infrastructuur, financiën en reputatie. Bv: privé-foto’s.

Question 9

Q

Executive management

Answer

A

Bepalen de grote lijnen (policies) voor informatiebeveiliging

Question 10

Q

Senior Information Security Management (4)

Answer

A

CISO (Chief information Security Officer), CSO (Chief Security Officer), Informatiebeveiligingsverantwoordelijke, Directeur informatiebeveiliging etc.
Ontwikkelen de beveiligingsstrategie
Werken de grote lijnen uit in richtlijnen, procedures, regels
Beheren het beveiligingsprogramma en -initiatieven.

Question 11

Q

Cybersecurity Professionals (4)

Answer

A

Security Analyst = Onderzoekt waar zijn organisatie kwetsbaar is, beveelt oplossingen aan, reageert op incidenten, test op “compliance”
Security Engineer = Monitort, analyseert gegevens en logs, forensisch werk, reageert op incidenten, onderzoekt nieuwe beveiligingstechnologieën en implementeert ze.
Security Architect = Ontwerpt een nieuw of verbeterd beveiligingssysteem voor een organisatie.
Security Administrator = installeert en onderhoudt beveiliginssystemen.

Question 12

Q

Confidentiality

Answer

A

Berscherming van informatie tegen ongeoorloofde toegang of bekendmaking

Question 13

Q

Confidentiality middelen(3 voorbeelden)

Answer

A

toeganscontrole, bestandsattributen “encryptie”

Question 14

Q

confidentiality Gevolgen (6)

Answer

A

Ongeoorloofde toegan en bekendmaking tot informatie die valt onder de privacy wetgeving “GDPR”/”AVG”
Verlies van vertrouwen in het bedrijf
Veries van een competitief voordeel
Aanklachten tegen het bedrijf
Aantasting van de nationale veiligheid
verlies van “compliance” (naleving)

Question 15

Q

integriteit

Answer

A

Bescherming van informatie tegen ongeoorloofde wijzigingen

Question 16

Q

integriteit middelen

Answer

A

logboeken, digitale handtekeningen, “hash”, encryptie en toegangscontrole.

Question 17

Q

integriteit gevolgen

Answer

A

Fraude, Onnauwkeurigheid, foute beslissingen, hardware faalt, verlies van compliance

Question 18

Q

Availability

Answer

A

Berscherming van informatie zodat ze snel en betrouwbaar beschikbaar wordt gesteld

Question 19

Q

Availability middelen

Answer

A

“redundancy”, “High Availibility” systemen, replicatie, backup, toegangscontrole, goed “disaster recovery” of “business continuity” plan

Question 20

Q

Availability Gevolgen (5)

Answer

A

Verlies van functionaliteit en operationele effectiviteit
Verlies van productietijd
Verlies van compliance
Boetes van regelorganen of een juridisch proces
Belemmeren van de objectieven van het bedrijf

Question 21

Q

Non-repudiation (4)

Answer

A

Buiten de CIA, maar een belangrijk grondbeginsel in cyberbeveiliging.
Zich ervan vergewissen dat een bericht of andere informatie authentiek is EN de persoon die informatie verzendt of ontvangt kan niet ontkennen dat hij de informatie heeft verzonden of ontvangen
In de fysieke wereld: handgeschreven handtekeningen
in de cyberwereld: digitale handtekeningen en tot op zekere hoogte transactielogboeken (wordt bv. gebruikt bij Blockchain)

Question 22

Q

Redundancy

Answer

A

Keeping data in two or more places within a database or data storage system

Question 23

Q

High availability

Answer

A

prevents long term failure, a way to quickly get things back working again via backups.

Question 24

Q

CIA

Answer

A

Confidentiality
Integrity
Availability

Question 25

Q

Stakeholder

Answer

A

entiteit (bv. persoon, organisatie, groep) waarvoor de “asset” waarde heeft en die er belang bij heeft om de “asset” te beschermen. Bv: de eigenaar van privé-foto’s.

Question 26

Q

Vulnerability

Answer

A

Een zwakheid in het ontwerp, de uitvoering, de werking of de interne controle van een proces dat de asset zou kunnen blootstellen aan schadelijke dreigingen. Bv: een bug in een applicatie

Question 27

Q

Threat

Answer

A

Het resultaat of de uitkomst van de kwaadwillige activiteit van een “threat agent”.

Question 28

Q

Threat Agent

Answer

A

Alles (bijv. object, stof, mens) dat in staat is om tegen een “asset” te handelen op een manier die kan leiden tot schade. Bv: Sterke wind (die bijvoorbeeld een boom kan omverblazen).

Question 29

Q

Risk

Answer

A

de mogelijkheid van verlies van een asset als gevolg van een dreiging waarbij gebruik wordt gemaakt van een kwetsbaarheid

Question 30

Q

Inherent risk

Answer

A

Het risiconiveau of de blootstelling zonder rekening te houden met de maatregelen die het management heeft genomen of kan nemen (bijvoorbeeld het installeren van controles)

Question 31

Q

Restrisico

Answer

A

Na de invoering van controles zal er altijd een restrisico zijn, gedefinieerd als het risico dat overblijft nadat het management een risicobeperkende voorzorgsmaatregelen heeft uitgevoerd. (NOOIT 100% beveiliging)

Question 32

Q

Control

Answer

A

Maatregelen die worden gebruikt om: de asset te beschermen, kwetsbaarheden en gevolgen te verminderen en/of het risico tot een aanvaardbaar niveau te verminderen.

Question 33

Q

Likelihood (definition)

Answer

A

de maatstaf voor de frequentie waarmee een risk gebeurtenis zich kan voordoen.

Question 34

Q

Likelihood is afhankelijk van: (4)

Answer

A

of er een potentiële bron is voor de gebeurtenis (bedreiging)
en de mate waarin het specifieke type gebeurtenis van invloed kan zijn op het doelwit (kwetsbaarheid)
rekening houdend met eventuele controles of tegenmaatregelen die de organisatie heeft genomen om haar kwetsbaarheid te verminderen.
kan als volgt uitgedrukt worden:
Kwantitatief: frequentie (bijv. eenmaal per jaar). kwantitatief bevat dus een cijfer
Kwalitatief: zeker, zeer waarschijnlijk, waarschijnlijk, onwaarschijnlijk, onmogelijk”

Question 35

Q

hoe likelihood bepalen (2)

Answer

A

vulnerability scan
pentest

Question 36

Q

impact

Answer

A

maatstaf voor de gevolgen/effecten van een gebeurtenis. BV: het stelen van een laptop van een bediende met weining toegang tot gevoelige gegevens : lage impact.
Kwantitatief : bv geldwaarden
kwalitatief: laag, gemiddeld, hoog

Question 37

Q

Ad hoc

Answer

A

Een ad hoc aanpak implementeert eenvoudigweg de beveiliging zonder bepaalde
redenen of criteria. Ad hoc implementaties kunnen worden gedreven door vendor marketing, of ze kunnen een weerspiegeling zijn van onvoldoende inhoudelijke expertise, kennis of training bij het ontwerpen en implementeren van beveiligingen.

Question 38

Q

Compliance-gebaseerd

Answer

A

Deze aanpak, die ook bekend staat als op standaarden
gebaseerde beveiliging, is gebaseerd op voorschriften of normen om beveiligingsimplementaties te bepalen. Controles worden geïmplementeerd ongeacht hun toepasbaarheid of noodzaak, wat vaak leidt tot een “checklist”- houding ten opzichte van beveiliging.

Question 39

Q

Risico-gebaseerd

Answer

A

Risico-gebaseerde beveiliging is gebaseerd op het identificeren van het specifiek risico waarmee een bepaalde organisatie wordt geconfronteerd en het ontwerpen en
implementeren van beveiligingscontroles om dat risico aan te pakken. De op risico gebaseerde
aanpak is meestal gebaseerd op scenario’s.

Question 40

Q

Risk Identification (4)

Answer

A

Een risico scenario is een beschrijving van een mogelijke gebeurtenis waarvan de “impact” (gevolgen) negatief kunnen zijn.
Bron van risico scenario’s: creativiteit, denkwerk, overleg, ondervraging en gebeurtenissen uit het verleden.
Top-down (gebaseerd op bedrijfs— doelstellingen)
Bottom-up (gebaseerd op inputs zoals in de tekening)

Question 41

Q

Attributes of an attack(5)

Answer

A

Attack Vector: Het pad of de route die wordt gebruikt om toegang te krijgen tot
het doelwit (asset). Ingress of Egress.
Exploit: Gebruik maken van een kwetsbaarheid om de aanwezige controles te
verslaan en toegang te krijgen
Payload: Stukje software waarmee een gebruiker een computersysteem kan beheersen nadat het is geëxploiteerd.
Vulnerability
Target (asset)

Question 42

Q

Virussen

Answer

A

Een computervirus is een stukje code dat ZICHZELF KAN REPLICEREN en zich kan verspreiden van de ene naar de andere computer. Het VEREISTE INTERVENTIE of UITVOERING om te repliceren en/of schade te veroorzaken.

Question 43

Q

Netwerkworm

Answer

A

Een variant van het computervirus, die in wezen een STUK ZELF- REPLICERENDE CODE is die is ontworpen om zichzelf te verspreiden over computernetwerken. Het VEREIST GEEN INTERVENTIE OF UITVOERING om te repliceren.

Question 44

Q

Trojaanse paarden

Answer

A

Een stuk malware dat toegang krijgt tot een getroffen systeem door zich te
VERSTOPPEN BINNEN EEN AUTHENTIEKE TOEPASSING.

Question 45

Q

Botnets/Bots

Answer

A

Afgeleid van “robotnetwerk”, een groot, geautomatiseerd en gedistribueerd
NETWERK VAN EERDER GECOMPROMITTEERDE COMPUTERS (Bots) die tegelijkertijd kunnen worden bestuurd om grootschalige aanvallen zoals DoS te lanceren.

Question 46

Q

Spyware

Answer

A

Een klasse van malware die informatie over een persoon of organisatie verzamelt
zonder medeweten van die persoon of organisatie.

Question 47

Q

Adware

Answer

A

Ontworpen om (over het algemeen ongewenste) advertenties te presenteren aan
gebruikers.

Question 48

Q

Ransomware

Answer

A

“Gijzelsoftware”, een klasse van afpersingsmalware die gegevens of functies
vergrendelt of versleutelt en een betaling eist om ze te ontgrendelen. Er zijn verschillende types beschikbaar voor elk besturingssysteem.

Question 49

Q

Keylogger

Answer

A

Een klasse van malware die in het geheim toetsaanslagen van gebruikers registreert
en, in sommige gevallen, de inhoud van het scherm.

Question 50

Q

Rootkit

Answer

A

Een klasse van malware die het bestaan van andere malware verbergt door het
onderliggende besturingssysteem te wijzigen

Question 51

Q

Advanced Persistent Threat (APT)

Answer

A

Complexe en gecoördineerde aanval gericht op een
specifieke entiteit of organisatie. Ze vereisen een aanzienlijke hoeveelheid onderzoek en tijd, die vaak maanden of zelfs jaren in beslag nemen om volledig te worden uitgevoerd.

Question 52

Q

Backdoor

Answer

A

Een middel om toegang te krijgen tot een gecompromitteerd systeem door het
installeren van software of het configureren van bestaande software om toegang op afstand mogelijk te maken onder door de aanvaller gedefinieerde omstandigheden.

Question 53

Q

Brute Force Attack

Answer

A

Een aanval die wordt uitgevoerd door alle mogelijke combinaties van
wachtwoorden of encryptiesleutels te proberen totdat de juiste is gevonden.

Question 54

Q

Buffer Overflow

Answer

A

Komt voor wanneer een programma of proces meer gegevens probeert op te
slaan in een buffer (tijdelijk opslaggebied voor gegevens) dan de bedoeling was. Aangezien buffers worden aangemaakt om een eindige hoeveelheid gegevens te bevatten, kan de extra informatie - die op een of andere manier ergens naartoe moet gaan - overstromen naar aangrenzende buffers, waardoor de geldige gegevens die erin worden bewaard, worden beschadigd of overschreven. Hoewel het per ongeluk kan gebeuren door een programmeerfout, is bufferoverloop een steeds vaker voorkomende vorm van beveiligingsaanval op de gegevensintegriteit. Bij buffer overflow aanvallen kunnen de extra gegevens codes bevatten om de gegevensintegriteit aan te vallen.

Question 55

Q

Cross-site scripting (XSS)

Answer

A

Een type injectie waarbij kwaadaardige scripts worden geïnjecteerd in
anders goedaardige en vertrouwde websites. XSS-aanvallen treden op wanneer een aanvaller een webapplicatie gebruikt om kwaadaardige code, meestal in de vorm van een browser side script, naar een andere eindgebruiker te sturen. Fouten die deze aanvallen laten slagen zijn vrij wijd verspreid en komen overal voor waar een webapplicatie gebruik maakt van input van een gebruiker binnen de output die het genereert, zonder deze te valideren of te coderen.

Question 56

Q

DoS-Attack

Answer

A

Een aanval op een service vanuit één enkele bron die het overspoelt met zoveel
verzoeken dat het overweldigd wordt en ofwel volledig wordt gestopt ofwel aanzienlijk trager werkt.

Question 57

Q

Man-in-the-middle attack

Answer

A

Een aanvalsstrategie waarbij de aanvaller de communicatiestroom tussen twee delen van het systeem van het slachtoffer onderschept en vervolgens het verkeer tussen de twee componenten vervangt door dat van de indringer, waarbij hij uiteindelijk de controle over de communicatie op zich neemt.

Question 58

Q

Social engineering

Answer

A

Elke poging om sociale kwetsbaarheden uit te buiten om toegang te krijgen
tot informatie en/of systemen. Het gaat om een “oplichterij” die anderen misleidt om informatie te onthullen of om kwaadaardige software of programma’s te openen.

Question 59

Q

Phishing

Answer

A

Een soort e-mailaanval die een gebruiker ervan probeert te overtuigen dat de afzender echt is, maar met de bedoeling om informatie te verkrijgen voor gebruik in social engineering. Smishing is hetzelfde, maar maakt gebruik van SMS.

Question 60

Q

Spear phishing

Answer

A

Een meer gerichte versie van phishing waarbij social engineering technieken
worden gebruikt om te maskeren als een vertrouwde partij om belangrijke informatie te verkrijgen zoals wachtwoorden van een specifiek slachtoffer. (≠ boekdefinitie)

Question 61

Q

Spoofing

Answer

A

Het vervalsen van het verzendingsadres (Noteer: eigenlijk het vervalsen van de
identiteit van de afzender in de vorm van een e-mailadres, IP, website, telefoonnummer, biometrische gegevens) om illegale toegang te krijgen tot een beveiligd systeem.

Question 62

Q

Structured Query Language (SQL) injection

Answer

A

invoegen (‘injectie’) van een SQL-databasevraging via de invoergegevens (bijv. om een zoekreeks in tevoeren) van de client

Question 63

Q

Zero-day exploit

Answer

A

Een kwetsbaarheid die wordt uitgebuit (exploit) voordat de software
ontwikkelaar zich zelfs maar bewust is van het bestaan ervan.

Question 64

Q

Policies (5)

Answer

A

Specificeren eisen, verboden en verwachte activiteiten en gedragingen en definiëren de rollen en verantwoordelijkheden van iedereen in de organisatie. (zoals een beleidsverklaring van regering)
Gemaakt, geaccepteerd en gevalideerd door de raad van bestuur en het senior management.
* Gecommuniceerd aan de hele organisatie.
* Update proces en uitzonderingsproces nodig!
* Attributen:
* legt de bedoeling, de verwachtingen en de richting van het management vast
* duidelijk en gemakkelijk te begrijpen
* kort en bondig
* Helicopter niveau, geen details

Answer 65

A

Biedt een passende toegang tot interne en externe belanghebbenden om de
bedrijfsdoelstellingen te bereiken.
Zorgt ervoor dat toegang in noodgevallen op de juiste wijze wordt toegestaan en tijdig wordt ingetrokken.
* Onderwerpen:
* Fysieke en logische toegangsvoorziening levenscyclus
* Least privilege/need-to-know
* Segregatie van taken
* Toegeng voor noodgevallen

Answer 66

A

*Het uitvoeren van regelmatige achtergrondcontroles van alle medewerkers en mensen op
sleutelposities.
* Verwerven van informatie over sleutelpersoneel in informatiebeveiligingsfuncties.
* Het ontwikkelen van een opvolgingsplan voor alle sleutelposities in de informatiebeveiliging.
* Het definiëren en implementeren van passende procedures voor beëindiging. Dit moet details
bevatten over het intrekken van accountprivileges en toegang.

Answer 67

A

Definitie van een informatiebeveiligingsincident
Een uitleg over hoe incidenten zullen worden afgehandeld
Eisen voor de oprichting van het incident response team, met organisatorische rollen en verantwoordelijkheden

Answer 68

A

Bepaald op basis van het aanvaardbare verlies van gegevens in geval van onderbreking van de activiteiten.
Geeft het meest recente tijdstip aan waarvan het acceptabel is om de gegevens te herstellen, wat over het algemeen de laatste back-up is. De maximum tijd van het laatste herstelpunt tot incident is de RPO.
Dit is een exact te berekenen cijfer. Een bedrijf maakt een backup elke week. Dat betekent dus dat de RPO een week is.

Answer 69

A

Tijd nodig voor terugkeer naar een betrouwbare staat , met inbegrip van Onderzoek en behoud van het proces
gebaseerd op ervaring en vastgelegd in de Incident Response Policy. In de meeste gevallen dient dit zo kort mogelijk te zijn. Hierbij wordt vaak de kost bekeken van terug operationeel te zijn versus het verlies van niet operationeel te zijn.

Answer 70

A

Richt zich op het stroomlijnen van diverse bedrijfsprocessen die nodig zijnom alle vormen van identiteiten in een organisatie te beheren - van inschrijving tot vertrek.
Koppelt mensen aan systemen en diensten
Hoofddoelstelling: centralisatie en standaardisatie -> consistente en gemeenschappelijke dienstverlening

Answer 71

A

Onderdeel van het aanwervingsproces van de organisatie waarbij gebruikersaccounts worden aangemaakt.
Wachtwoorden en toegangscontrolerechten die zijn toegewezen op basis van functieopdrachten.
Gecompliceerd proces:
- Gebruikers kunnen toegang nodig hebben tot veel verschillende bedrijfsmiddelen met elk hun eigen autorisatie- en authenticatie-eisen.
- Moet actueel worden gehouden: Toegangscontrole verandert wanneer een gebruiker van taak verandert.

Answer 72

A

Wanneer de gebruiker de organisatie verlaat.
Alle accounts en toegangen moeten tijdig worden opgeschort of verwijderd.

Answer 73

A

In staat zijn om te identificeren en te differentiëren tussen de gebruikers om ze de juiste machtiging/rechten te kunnen geven.
Toegangsregels (autorisaties) -> specificeren wie toegang heeft tot wat.
Vaak gebaseerd op
“Least privilege” principe , wat betekent dat de gebruikers alleen die toegang krijgen die nodig is om hun taken uit te voeren
“Need to know” en “need to do” principes . Alleen noodzakelijke toegang
Op verschillende niveaus, bijv. bestanden, databases, computer

Answer 74

A

een register van gebruikers (inclusief groepen, machines, processen) die toestemming hebben om een bepaalde systeembron (asset) te gebruiken

Volgorde kan belangrijk zijn. Bv. een gebruiker kan tot twee groepen behoren waar de ene groep wel en de andere groep geen toegang heeft.

Answer 75

A

Betreft management van een speciaal type gebruikers: de beheerders. Hebben vaak toegang tot alle informatie die in een systeem is opgeslagen.
Extra controles nodig:
* Beperk tot functies die een geprivilegieerde toegang vereisen -> pas “least-privilege” toe
* Uitvoeren van achtergrondcontroles
* Uitvoering van extra logging van de activiteiten
* Het handhaven van de verantwoordingsplicht -> nooit geprivilegieerde accounts delen!
* Gebruik van sterkere wachtwoorden of bijkomende authenticatiecontroles
* Controleer regelmatig de accounts voor privileges en verwijder ze als ze niet meer nodig zijn.
* Eis dat geprivilegieerde gebruikers twee accounts (geprivilegieerde en niet
* geprivilegieerde) hebben en stel het gebruik van de niet-geprivilegieerde account verplicht voor algemene taken

Answer 76

A

Zorgt ervoor dat veranderingen in processen, systemen, software, applicaties, platforms en configuratie op een ordelijke, gecontroleerde manier worden ingevoerd.
* Evalueert en minimaliseert de kans op verstoringen die een voorgestelde wijziging, onderhoudsactiviteit of patch met zich mee kan brengen. Bijvoorbeeld door een procedure te hebben die eist dat eerst een wijziging getest wordt op een testomgeving.
* Wijzigingen moeten worden gecategoriseerd, geprioriteerd en geautoriseerd.
* Inclusief mechanismen voor het volgen en documenteren van veranderingen -> nodig voor het aantonen (compliance) van verantwoordingsprincipe (accountability) en het naleven van de best practices.

Answer 77

A

Het onderhouden van de (standaard) beveiligingsconfiguraties van netwerkapparaten, -systemen, -toepassingen en andere IT-middelen om afwijkingen te voorkomen.
Voordelen:
* Verificatie van de impact op gerelateerde items
* Beoordeling van het risico van een voorgestelde wijziging
* Mogelijkheid om verschillende verdedigingslinies te inspecteren op mogelijke zwakke punten

Answer 78

A

oplossingen (upgrades/updates) voor softwareprogrammeringsfouten die vaak leiden tot beveiligingslekken.
* Het is belangrijk dat softwarefouten die als beveiligingslekken worden geïdentificeerd, zo snel mogelijk worden opgelost.
* Maar niet altijd eenvoudig, bijvoorbeeld 24/7 bankdiensten. Wanneer patchen?
* Beveiligingskwetsbaarheid niet gepatcht -> hoog risico op beveiligingsinbreuk/incident. Bv. Windows 7 nog gebruiken.
* Softwareleveranciers brengen regelmatig software-updates en -patches uit
* Bijvoorbeeld, Microsoft had Patch Tuesday.
* Apple iOS heeft regelmatig updates die betrekking hebben op beveiligingsproblemen
* Proces: Controleer of er een patch nodig is -> test -> plan en installeer

Answer 79

A

Een security architectuur beschrijft de structuur, de componenten, de verbindingen en de lay-out van de security controls binnen de IT- infrastructuur van een organisatie.
The security perimeter:
* De internetperimeter is de grens tussen het bedrijfsnetwerk en het Internet. Het is belangrijk deze goed te beveiligen.

Answer 80

A

Een goed gedefinieerde (zij het meestal virtuele) grens tussen de organisatie en de
buitenwereld. De controle wordt op netwerk- en systeemniveau geplaatst.

Answer 81

A

Bescherming van gegevens ongeacht de locatie. Beveiliging op de data zelf

Answer 82

A

zorgt voor een veilige toegang tot het internet voor de medewerkers van de onderneming en de gastgebruikers die op alle locaties wonen.
Regelt het verkeer tussen de onderneming en het internet.
Voorkomt dat uitvoerbare bestanden worden verstuurd via e-mailbijlagen of webbrowsing.
Bewaakt “interne en externe netwerkpoorten” voor malafide activiteiten.
Detecteert en blokkeert verkeer van geïnfecteerde interne eindpunten.
Beheert het gebruikersverkeer in de richting van het internet.
Identificeert en blokkeert abnormaal verkeer en kwaadaardige “pakketten” die als mogelijke aanvallen worden herkend.
Elimineert bedreigingen zoals e-mail spam, virussen en wormen

Answer 83

A

Om systemen te kunnen laten communiceren, moeten we het eens worden over een manier om dit te doen (een model). OSI (Open Systems Interconnection) en TCP/IP (Transmission Control Protocol/Internet Protocol) zijn twee modellen waarvan het eerste theoretisch is en het laatste in de praktijk op het
Internet wordt gebruikt. Encapsulation: het proces van het toevoegen van adresseringsinformatie aan gegevens terwijl ze worden verzonden in de OSI-stack.
* Elke verzendlaag communiceert met de corresponderende ontvangstlaag met behulp van dezelfde “Protocol Data Unit” of datagram.
Afzender: Gegevens -> Segmenten -> Pakketten -> Frames -> Bits (0 en 1)-Ontvanger: Bits -> Frames -> Pakketten -> Segmenten -> Gegevens.
* Bij elke afzenderlaag: inkapseling (verpakking) of encapsulation. Bij elke ontvangende laag: uitpakken of decapsulation.

Answer 84

A

Creëert een reeks van genestelde lagen die moeten worden omzeild om een aanval te voltooien. Elke laag vertraagt de aanvaller en biedt mogelijkheden om de aanval te detecteren. Bv concentrische kasteelmuren, Firewall (zie later) op het netwerk en op het apparaat.

Answer 85

A

Twee of meer controles die parallel werken om een “asset” te beschermen. Biedt meerdere, elkaar overlappende detectiepunten. Dit is het meest effectief wanneer elke controle verschillend is. Bv. muren en ballista’s, twee anti-virus oplossingen op het apparaat.

Answer 86

A

meer
processen, controles of personen nodig zijn om toegang te krijgen tot of
gebruik te maken van het bedrijfsmiddel. Dit is effectief in het beschermen van zeer waardevolle activa of in omgevingen waar vertrouwen een probleem is. Bv. Het lanceren van kernraketten heeft twee mensen nodig om elk hun knop in te drukken. Voor het doen van grote banktransacties zijn twee mensen nodig om goed te keuren/te ondertekenen. “Four eyes” principe. Een andere indeling van de verdediging in de diepte vanuit een architectonisch perspectief: * Horizontale verdediging in de diepte - Op verschillende plaatsen in het (communicatie) toegangspad van een object worden controles geplaatst, wat functioneel gelijkwaardig is aan een concentrisch ringmodel. * Verticale verdediging in de diepte - controles worden op verschillende systeemlagen geplaatst - hardware, besturingssysteem, applicatie, database of gebruikersniveaus.

Answer 87

A

www . x . y

Answer 88

A

vb. 104.17.202.63 (4 nummers tussen 0 en 255; elk op een netwerk aangesloten apparaat heeft er een, ook bij u thuis!)

Answer 89

A

443 (default voor HTTPS protocol) Een port specificeert waar ergens op het adres het protocol wordt gebruikt. Maar je kan de default gebruikte poort wijzigen door deze te specificeren, bijvoorbeeld https://www.gva.be:8080 geeft aan dat poort 8080 moet worden gebruikt in plaats van 443.

Answer 90

A

vb. https://

Answer 91

A

Een firewall moet personen op het bedrijfsnetwerk in staat stellen om veilig toegang te krijgen tot het internet en tegelijkertijd voorkomen dat anderen op het internet ongelimiteerde toegang krijgen tot het bedrijfsnetwerk om schade te veroorzaken. -> plaats: Internet Perimeter * De meeste organisaties volgen een deny-all filosofie: de toegang tot een bepaalde bron wordt geweigerd, tenzij een gebruiker een specifieke zakelijke reden of behoefte aan toegang tot de
informatiebron kan aangeven. <-> De accept-all filosofie: iedereen krijgt toegang, tenzij iemand een zakelijke reden kan geven om toegang te weigeren.

Answer 92

A

De toegang tot bepaalde sites op het internet blokkeren (Uitgaand).
Beperken van het verkeer op het openbare-dienstensegment van een organisatie tot relevante adressen en poorten (Inkomend). Poorten zijn een onderdeel van het adres en zijn gekoppeld aan specifieke protocollen op de Transport laag voor een specifiek geadresseerd apparaat.
Voorkomen dat bepaalde gebruikers toegang krijgen tot bepaalde servers of diensten (Beide).
Controleren en registreren van de communicatie tussen een intern en een extern netwerk om
penetraties in het netwerk te onderzoeken of om interne ongewenste communicatie op te sporen (Beide).
Pakketten coderen (encrypteren) die tussen verschillende fysieke locaties binnen een organisatie
worden verzonden door een VPN (Virtual Private Network) aan te maken via het internet (Beide).
De mogelijkheden van sommige firewalls kunnen worden uitgebreid, zodat ze ook bescherming kunnen bieden tegen virussen en aanvallen die gericht zijn op het benutten van bekende kwetsbaarheden van het besturingssysteem (Inkomend).

Answer 93

A

Heeft twee of meer netwerkinterfaces, die elk op een ander netwerk zijn aangesloten.
Blokkeert of filtert sommige of alle verkeer dat probeert te passeren tussen de netwerken die ermee verbonden zijn, bijv. tussen dataservers en werkstations.

Answer 94

A

Maakt gebruik van een packet filtering firewall en een gateway op
applicatieniveau.
Inkomende communicatie wordt eerst via een pakketfilter en wordt
dan ALTIJD gerouteerd naar de applicatieniveau-gateway. Uitgaande communicatie moet eerst via de applicatieniveau-gateway gaan, vanwaar het naar de pakketfilterfirewall wordt gestuurd. Uitzonderingen kunnen worden toegestaan, afhankelijk van het bedrijfsbeleid.
De aanvaller moet door twee afzonderlijke systemen gaan voordat de veiligheid van het privé netwerk in gevaar kan worden gebracht.

Answer 95

A

Maakt gebruik van twee firewalls om een netwerkzone te creëren
tussen het onbetrouwbare internet en het vertrouwde, private
netwerk met de werkstations (Network clients).
Deze zone wordt de DMZ- of gedemilitariseerde zone genoemd.
Kan een extra (derde) applicatie firewall bevatten in de DMZ.
Wordt gebruikt om “publieke” servers te isoleren van het private netwerk, zoals bijvoorbeeld een publieke webserver.

Answer 96

A

Configuratiefouten – Fout geconfigureerde firewalls kunnen onbekende en gevaarlijke diensten vrij doorlaten.
Controle eisen - Het is noodzakelijk om de logboeken op de juiste manier te controleren, maar het is mogelijk dat de controles niet altijd op regelmatige basis plaatsvinden.
Beleidsonderhoud - Het is mogelijk dat het firewall beleid (regels) niet regelmatig wordt onderhouden.
Kwetsbaarheid voor applicatie- en inputgebaseerde aanvallen - De meeste firewalls werken op de netwerklaag; daarom stoppen ze geen applicatie- of inputgebaseerde aanvallen, zoals SQL-injectie- en buffer- overloopaanvallen. Nieuwere next generation firewalls kunnen het verkeer op de applicatielaag inspecteren en sommige van deze aanvallen stoppen.

Answer 97

A

Groepeert apparaten van een of meer logisch gesegmenteerde LAN’s.
Segmenteert het netwerk van een organisatie, zodat elk segment afzonderlijk kan worden gecontroleerd, bewaakt en beschermd. (TIP: Hotelkamers)

Answer 98

A

Veel beveiligingstools, elk met een eigen logboek -> grote
hoeveelheden gegevens (letterlijk encyclopedieën met
gegevens, elke dag!). Hoe gaat men deze overweldigende
hoeveelheid gegevens analyseren en interpreteren?
SIEM-systemen (combinatie van SEM en SIM)
* Automatisch aggregeren (samenvoegen) en correleren van
loggegevens over meerdere beveiligingsapparaten
* Reduceert de informatie tot een hanteerbare lijst van geprioriteerde gebeurtenissen!
* Gebruikt in war rooms of in termen van cybersecurity: SOC (Security Operations Center)

Answer 99

A

Controleert de exfiltratie (egressie) van gegevens door de gegevens aan bepaalde regels te toetsen.
Bijvoorbeeld: een verzonden gegevensbestand mag niet meer dan één creditcard- of sociale
zekerheidsnummer bevatten.
Een goed DLP oplossing kijkt naar de 3 mogelijke toestanden voor data

Answer 100

A

“Data at rest”: Met behulp van een “crawler“ (=eigenlijk een goedaardige worm), vindt u waar de gegevens zijn opgeslagen en welke informatie is opgeslagen (bijv. credit card gegevens, emailadressen, etc.).

Answer 101

A

Gebruikt Deep Packet Inspection (DPI) om de gegevens te analyseren op gevoelige
inhoud. Kan bij transport van gevoelige informatie: waarschuwen, blokkeren, in quarantaine plaatsen of coderen/versleutelen.

Answer 102

A

Controleert de toestemming voor het gebruik van gegevens op een werkstation,
inclusief printen, kopiëren naar externe apparaten zoals USB en zelfs kopiëren naar het klembord. Sommige controleren zelfs of men de tekst in een andere toepassing typt! Kan monitoren, beveiliging waarschuwen, gebruiker opleiden, blokkeren.

Answer 103

A

Intrusion Detection System (zie samenvatting p21)

Answer 104

A

Intrusion Prevention System (zie samenvatting p 21)

Answer 105

A

Encryptie (vercijferen of versleutelen) is het proces van het omzetten van een tekstbericht (plaintext) in een beveiligde tekstvorm, cijfertekst (ciphertext) genoemd Het encryptie proces maakt gebruik van een wiskundige functie die wordt bestuurd door een speciaal wachtwoord, genaamd sleutel (key).
Decryptie (ontcijferen of ontsleutelen): De cijfertekst kan niet worden begrepen zonder ontcijfering - het omgekeerde proces van versleuteling naar het originele tekstbericht.

Answer 106

A

Substitutie: Vervangt delen van het bericht door iets anders volgens een vooraf gedefinieerd algoritme. Vervang bijvoorbeeld elk teken van het alfabet door het teken dat op drie plaatsen rechts daarvan staat. A-> D, B -> E, etc. Dit was het encryptie-algoritme van Caesar’s Cipher.

Transpositie (of Permutatie): Mengt de gegevens door blokken van plaats te veranderen. Een zeer eenvoudige transpositie is het wisselen van de plaatsen van elk paar karakters. Vb. HOWEST -> OHEWTS. Transpositie is het principe dat de Spartanen gebruikten voor hun encryptie-algoritme. De sleutel is de
dikte van de staaf.

Answer 107

A

Encoding transformeert een bericht naar een andere vorm. Het algoritme om te encoderen is altijd goed gekend, omkeerbaar en er IS
GEEN SLEUTEL NODIG sleutel nodig. Encryptie . Daarentegen heb je voor encryptie en decryptie een berust tegenwoordig op het geheim van de sleutel en niet op het geheim van het algoritme. (Caesar’s cipher is strikt genomen “Encoding” in plaats van “Encryptie” omdat het een algoritme was zonder sleutel, maar het algoritme werd wel geheim gehouden).

Answer 108

A

Asymmetrische versleuteling is traag => lang nodig om grote documenten of bestanden te ondertekenen. Een oplossing daartoe is om een code te maken die een representatie is van het document, maar die veel korter is en dan deze code te encrypteren met de geheime sleutel. Het maken van zo’n kortere code wordt
“hashing” genoemd . De code zelf wordt een hashcode, hashwaarde, digest of gewoon “hash” genoemd.
Eisen:
* De hash moet gemakkelijk en snel te berekenen zijn.
* Het moet erg moeilijk zijn om twee berichten met dezelfde hash te vinden. (Het vinden van twee berichten met dezelfde hash wordt een “botsing” (collision) genoemd)
* Een paar standaarden:
MD5 (128 bit hash), SHA-0 (160 bit), SHA-1 (160 bit), SHA-2 en SHA-3 met varianten.
Hiervan worden alleen SHA-3 en bepaalde varianten van SHA-2 tegenwoordig als veilig beschouwd (vaak aangeduid met hun hash-lengte: SHA-256 en SHA-512)

Answer 109

A

Sterkte van het algoritme Beter openbaar dan geheim, omdat het dan door veel onderzoekers kan worden onderzocht en getest.
Geheimhouding van de sleutel en moeilijkheid om een onbekende
sleutel te compromitteren (te kraken/vinden).
Het ontbreken van achterdeuren .
Met een achterdeur kan een versleuteldbestand worden gedecrypteerd zonder dat de sleutel bekend is.
De onmogelijkheid om delen van een cijfertekstbericht te ontcijferen door het analyseren van de patronen in de cijfertekst.
Het verhinderen van gekende plaintext aanvallen
Eigenschappen van de tekst die een dader kent Bv. brieven beginnen vaak met “Beste…” wat informatie is die helpt bij het ontcijferen.

Answer 110

A

Gebruiken één enkele, geheime, bi-directionele sleutel voor vercijferen en ontcijferen. Zoals in de fysische wereld.
Voordelen:
* Eenvoudig voor de gebruiker , want er is maar één sleutel voor vercijferen en ontcijferen.
* Minder ingewikkeld om te gebruiken in cryptosystemen dan asymmetrische vercijfering.
* Snel , dus gebruikt minder rekenkracht dan asymmetrische vercijfering.
* GESCHIKT VOOR “BULK” VERCIJFERING, vercijfering van grote hoeveelheden.
Nadelen:
* Problematische sleutelverdeling . Hoe krijg je dezelfde sleutel bij twee partijen die elkaar misschien niet eens persoonlijk kennen?
* Kan niet worden gebruikt om onweerlegbaarheid (non-repudiation) te garanderen (digitale handtekeningen)

Answer 111

A

Data Encryption Standard
Vercijfert in blokken van 6ft bit
Nu als zwak beschouwd en alleen gebruikt in de mode Triple DES of 3DES

Answer 112

A

Advanced Encryption Standard
* Uitgevonden door twee Belgen van de KULeuven: Vincent Rijmen en Joan Daemen
* 128- tot 256-bits sleutel
* Vercijfert in blokken van 128 bit

Answer 113

A

Rivest Cipher ft
Beschouwd als zeer zwak, maar helaas nog steeds gebruikt in sommige protocollen zoals bijvoorbeeld in WEP (WiFi Security).

Answer 114

A

Gebruikt twee complementaire sleutels. Als men vercijfert met de ene
sleutel, kan men alleen met de andere sleutel ontcijferen. Eén sleutel is altijd openbaar, de andere is altijd privé en houdt de gebruiker bij hem.
De privé (of private of geheime) sleutel wordt door de eigenaar zo veilig mogelijk bewaard (bijv. op een smartcard). De publieke sleutel wordt gepubliceerd - vaak in een soort “telefoonboek” - zodat iedereen hem kan gebruiken. Algoritmes voor asymmetrische vercijfering zijn langzamer en gebruiken meer computerkracht dan symmetrische algoritmen. => Gebruikt voor kortere berichten

Answer 115

A

Rivest, Shamir and Adleman
bekendste standaard
Gebruikt typisch sleutels van 1.024 tot 4.096 bit lang.
Vertrouwt op de praktische moeilijkheid van het in factoren ontbinden van het product van twee grote priemgetallen en maakt gebruik van modulaire rekenkunde.
Gebruikt zeer veel computertijd . Vaak geïmplementeerd in hardware

Answer 116

A

Elliptical Curve Cryptography
* Minder rekenkracht en computer geheugen nodig dan voor RSA . Wordt dan ook bv. Op smart cards gebruikt.
* Gebaseerd op de algebraïsche structuur van elliptische krommen over eindige velden.
* Maakt het mogelijk om kleinere sleutels dan RSA te gebruiken met hetzelfde veiligheidsniveau.

Answer 117

A

Data integriteit: Elke wijziging in de plaintext boodschap zou ertoe leiden dat de ontvanger niet dezelfde hash berekent.

Authenticatie: De ontvanger kan zich ervan vergewissen dat het bericht door de beweerde afzender is verzonden, aangezien alleen de beweerde afzender de geheime sleutel heeft.

Onweerlegbaarheid (Non-repudiation): De afzender kan later niet ontkennen dat hij het bericht heeft gegenereerd en verzonden, omdat hij - opnieuw - de enige is die zijn geheime sleutel bezit.

Answer 118

A

Probleem: Hoe garandeert men dat de publieke sleutel van Alice echt van Alice is, als Alice en Bob elkaar nooit ontmoeten? Hoe krijgt Alice de sleutel van Bob?
Oplossing: een Public Key Infrastucture waarbij een “trusted party” (bijvoorbeeld de overheid of een door de overheid aangewezen instantie) garandeert dat de publieke sleutel authentiek is en afkomstig is van Alice.
Hoe garandeert de trusted party dit ? Door de publieke sleutel van een persoon digitaal te ondertekenen met hun geheime sleutel

Answer 119

A

Bevat de publieke sleutel en identificerende informatie over de gebruiker.
Getekend door een trusted party met de privésleutel van de trusted party.
Toegevoegd aan berichten zodat de ontvanger de authenticiteit van de publieke sleutel van de
gebruiker kan verifiëren met behulp van de publieke sleutel van de trusted party.
Bevat ten minste: Een onderscheidende (gebruikers)naam, De publieke sleutel van de gebruiker, Het algoritme dat wordt gebruikt om de digitale handtekening van het certificaat te creëren door de trusted party, De geldigheidsduur van het certificaat

Answer 120

A

Autoriteit in een netwerk die (veiligheids)certificaten en publieke sleutels voor de verificatie of versleuteling van handtekeningen van berichten uitgeeft en beheert.
Om een digitaal certificaat te genereren, krijgt/moet de CA een bevestiging krijgen van een Registratie Autoriteit (RA) dat de door de gebruiker verstrekte informatie correct is. Als de RA de door de gebruiker verstrekte informatie bevestigt, maakt de CA de inhoud van het digitale certificaat aan en
ondertekent het met de privésleutel van de CA.Alle gebruikers kunnen dan het certificaat controleren met de publieke sleutel van de CA.
Beheert en tekent ook Certificate Revocation Lists (CRL’s) -> Lijst van ingetrokken certificaten.
Bekende CA’s zijn bijvoorbeeld de bedrijven Verisign en DigiCert.
Een CA kan ook eigendom zijn van een bedrijf om certificaten te genereren voor zijn werknemers, aannemers, partners, enz. (bedrijfsinterne CA)

Answer 121

A

Net als dynamiet kan versleuteling door criminelen worden misbruikt:
* Ransomware (Wannacry, Cryptolocker, Petya)
* Verbergen van malwarecode
* Geheime communicatie tussen criminelen -> bemoeilijkt forensisch onderzoek
* Encryptie van gegevens in rust door criminelen -> bemoeilijkt forensisch onderzoek

Answer 122

A

De veiligheid berust vooral op de geheimhouding van de sleutels. Hoe meer een sleutel wordt gebruikt, hoe meer de gegevens kunnen worden geanalyseerd, dus hoe kwetsbaarder ze zijn.
Het kraken van wachtwoorden gaat steeds sneller met de evolutie van de technologie.
Vroeg of laat zal een sleutel verouderd zijn.
Willekeurigheid (randomness) van de sleutelgeneratie is ook een factor.
Soms is het genereren van een sleutel gebaseerd op wachtwoorden en is het makkelijker om een wachtwoord te raden dan een sleutel -> sleutel wordt minder veilig. Willekeurigheid speelt ook een sleutelrol bij asymmetrische sleutelgeneratie

Answer 123

A

Analyseer bestaande controles (bijv. anti-malware, firewalls, logging, IPS, …) om de effectiviteit in het beperken (mitigate) van risico’s te bepalen => nieuwe risicoscore
* Resultaat: Definitieve risico-ranglijst met risico’s met
* Adequate controle
* Ontoereikende controle
* Geen controle
* Onthoud: kosten voor risicobeheersing !< waarde van de activa

Answer 124

A

De implementatie van controles of tegenmaatregelen om de waarschijnlijkheid en.of impact van een risico te beperken tot een niveau binnen de risicotolerantie van de organisatie

Answer 125

A

Risico’s kunnen worden vermeden door niet deel te nemen aan een activiteit of bedrijvigheid

Answer 126

A

Het risico kan worden overgedragen aan een derde partij (bijvoorbeeld een verzekering) of worden gedeeld met een derde partij via een conttractuele overeenkomst.

Answer 127

A

Als het risico binnen de risicotolerantie van de organisatie ligt of als de kosten voor het anderszins beperken van het risico hoger zijn dan het potentiële verlies, dan kan een organisatie het risico op zich nemen en eventuele verliezen opvangen/tolereren.

Answer 128

A

Het proces van het gebruik van proprietary of open source tools om te zoeken naar bekende kwetsbaarheden.
* Gebruikt door beveiligingsprofessionals EN hackers!
* Host-gebaseerd (bijv. McAfee Endpoint Security Vulnerability Scan) of Netwerkgebaseerd (bijv. Nessus) Commerciële maar ook gratis en open-source tools beschikbaar.
* Scannen van IT-infrastructuur, webapplicaties, databases of een mix daarvan.
* Andere werktuigen voor een kwetsbaarheidsanalyse zijn open source en proprietary bronnen zoals SANS, MITRE en OWASP, softwareleveranciers (patches!), historische incidenten.

Answer 129

A

Local Area Network
Computernetwerk dat computers binnen een beperkt gebied (woning, school, campus, kantoorgebouwen) met elkaar verbindt.

Answer 130

A

Wide Area Network
Meerdere LAN’s die organisatorisch via het lnternet of een soortgelijk netwerk (huurlijnen) met elkaar zijn verbonden.

Answer 131

A

Repeater: Physical layer. Versterkt en herhaalt het signaal.
Hub: Physical layer. Versterkt en herhaalt het signaal of kopieert gewoon het signaal naar een aantal andere fysieke lijnen.
Bridge: Data link layer. Meestal om een draadloos netwerk en een bekabeld netwerk of apparaat aan elkaar aan te sluiten. Bijv. bekabelde printer.
Router: Network layer. Bestudeert pakketten en “routeert” ze verder of blokkeert ze volgens een set van regels (omvat vaak een firewall). Heeft meestal een WAN-poort om verbinding te maken met het internet.
Switches: Bestaat in versies op alle OSI lagen behalve laag 1. Hoe hoger de OSI laag, hoe meer intelligentie in het “schakelen” van het signaal naar een andere lijn. Heeft meestal geen WAN-poort om verbinding te maken met het internet maar wordt tussen delen van een LAN gebruikt.

Answer 132

A

Als je eenmaal in een LAN bent, ben je voorbij de externe controles op de Internet Perimeter zoals firewalls, IPS/IDS, web gateways en andere perimeterbeveiligingsapparaten. Verbinding maken met een LAN geeft aanzienlijk meer toegang dan verbinding maken via het Internet. Vergelijk dit met het
kunnen betreden van een beveiligd gebouw.
De beveiliging is nu afhankelijk van de beveiliging van de netwerkinfrastructuur en de controles op de
apparaten en in de applicaties.
De meeste netwerkbesturingssoftwareheeft beperkte administratieve en beveiligingsfuncties en beperkte logging aan te bieden, maar dit is geleidelijk aan het verbeteren.
Gebrek aan opleiding van IT-personeel kan leiden tot beveiligingslekken.

Answer 133

A

Hoe controleren we op “malafide” apparaten die proberen verbinding te maken met het LAN? => Netwerktoegangscontrole (Network Access Control).
Dit is meestal een beveiligingsapparaat dat apparaten die verbinding maken met het LAN controleert op onder andere:
* Toelating om aan het LAN te connecteren.
* De juiste software kan checken en installeren (kan bijvoorbeeld controleren of de anti-malware van het bedrijf is geïnstalleerd).
* Het up-to-date zijn met het besturingssysteem en alle (kritische) toepassingen.
Netwerktoegangscontrole kan als volgt geïmplementeerd zijn:
Agentloos: NAC scant op afstand voor configuratie op het niet-betrouwde apparaat.
Met agent: de agent(*) monitort en communiceert de status van het apparaat naar de NAC. Voor onze doeleinden is een “agent” een stuk software op een endpoint dat werkt in opdracht van een extern apparaat/software

Answer 134

A

Vanwege het lagere beveiligingsniveau op een LAN zijn de risico’s en problemen:
* Ongeoorloofde wijzigingen => Verlies van gegevens en programma-integriteit
* Onvermogen om versiebeheer te onderhouden => Gebrek aan actuele gegevensbescherming
* Beperkte gebruikersverificatie => Blootstelling aan externe activiteit
* Virus en worminfectie .
* Toegang voor iedereen in plaats van need-to-know toegang => Onrechtmatige openbaarmaking van gegevens
* Software zonder licentie of met teveel exemplaren => Overtreding van softwarelicenties
* Imitatie of vermomming als legitieme LAN-gebruiker => Illegale toegang
* “Snuffelen” (sniffing) in het netwerk door een interne gebruiker => schijnbaar onbelangrijke informatie wordt verzameld die kan worden gebruikt om een aanval te lanceren, zoals netwerkadresinformatie
* Spoofing van een interne gebruiker (het herconfigureren van een netwerkadres om te doen alsof het een ander adres is)
* Vernietiging van de logging- en controlegegevens
* Gebrek aan tijd voor netwerkbeheerders om controles en tegenmaatregelen uit te voeren

Answer 135

A

Duid een eigenaar aan van programma’s, bestanden en opslag
Beperk de toegang tot alleen-lezen waar mogelijk
Implementeer record- (databases) en bestandsvergrendeling om gelijktijdige bewerkingen te voorkomen
Opzetten van doordachte aanmeldingsprocedures voor gebruikers, met inbegrip van strikte wachtwoordregels. Wijzig standaard wachtwoorden!
Gebruik switches die de toegang tot het LAN op het niveau van de fysieke poort (connector) kunnen verhinderen voor onbevoegde hosts (bijvoorbeeld met behulp van het MAC(*)-adres)
Encryptie van lokaal verkeer met behulp van het IPSec-protocol (IP- veiligheid)

Answer 136

A

Wireless maakt het mogelijk om één of meer apparaten te laten communiceren zonder fysieke verbindingen (zonder kabel).
Maakt gebruik van radiofrequentie-uitzendingen of andere elektromagnetische signalen (Inclusief Bluetooth en Infrarood).
Kan in vier groepen worden ingedeeld op basis van de omvang van de signaaldekking:
Wireless WAN (Wi-Fi Hotspot)
Wireless LAN (Kantoor of Horeca)
Wireless Personal Area Networks (Bluetooth bijvoorbeeld)
Wireless ad hoc network (directe wireless connectie tussen peer(*) computers)

Answer 137

A

Apparaten met een draadloze netwerkkaart (bijv. laptops, smartphones) verbinden “over de lucht”
met een “access point” (=draadloze hub).
Bereik van het toegangspunt typisch ≈100m
De zone waarin er dekking is heet een “cel”
Roaming = zich kunnen verplaatsen tussen cellen
Toegangspunt wordt verbonden via een kabel met een LAN.
De meest bruikbare en gebruikte standaard is IEEE 802.11, die de interface definieert:
Tussen een draadloze client en een toegangspunt
Tussen twee draadloze klanten

Answer 138

A

Symmetrische vercijfering met behulp van RC4 (!) dat al als zeer zwak wordt beschouwd (≈gebroken). En dan is het nog zwakke implementatie van de encryptie
Met sleutels die voor alle gegevens worden gebruikt en niet vaak worden gewijzigd (Sleutelverdelingsprobleem)

Answer 139

A

In plaats van één sleutel voor alle gegevens wordt er een sleutel per pakket gebruikt, gebaseerd op een gekende WPA-code (kan een wachtwoord of “passphrase” zijn).
Sterkere integriteitscontrole om replay te voorkomen (bijv. dezelfde banktransactie twee keer uitvoeren kan niet) en om wijzigingen te voorkomen
Vanaf WPA2 is AES verplicht
Vanaf WPA3, maatregelen voor het beperken van zwakke WPA-codes (zwakke wachtwoorden of passphrases)

Answer 140

A

Gebruik VPN om verbinding te maken met de organisatie
Encrypteren van e-mails (met behulp van een zakelijke email oplossing)
Opkomend gebruik van asymmetrische encryptie
Verberg de naam van uw netwerk , de SSID (Service Set Identifier).
Filter de MAC-adressen (alleen bekende apparaten toestaan = bekende MAC’s)
In sommige gevallen moeten de radiosignalen worden afgeschermd met behulp van fysieke barrières (beton, kooi van Faraday).

Answer 141

A

Tunneling is het misbruik van een protocol om informatie over te brengen voor iets anders dan het doel van dat protocol. Aanvallers (intern of extern) misbruiken het protocol als een “tunnel”, voor de uitwisseling van informatie voor kwaadaardige doeleinden. Vergelijk met het misbruiken van de riolen voor een aanval op een bankkantoor. Tunneling kan mogelijk firewalls omzeilen als er geen deep packet inspection (DPI) wordt gedaan. De meest bekende protocollen die gebruikt worden voor tunneling zijn ICMP en HTTP.

Answer 142

A

Toegang op afstand kan nodig zijn voor:
* Telewerk . Heeft dankzij Covid veel tractie gekregen.
* Software leveranciers voor hun (externe) supportafdeling
* Consultants om hun werk te doen (bv. internal penetration test van op afstand)
* Zakelijke partners om toegang te hebben tot bepaalde gegevens die nodig zijn voor zaken te kunnen doen met elkaar. TCP/IP-internettoegang op afstand
* Kosteneffectieve aanpak (geen specifieke huurlijnen nodig)
* VPN vereist voor de veiligheid!
* Maar encryptie kan problemen veroorzaken omdat het niet kan worden geïnspecteerd door beveiligingsapparatuur zoals firewall, IPS etc.
=> Gebruik beveiligingsapparatuur die kan ontcijferen & inspecteren voordat het naar de finale bestemming wordt verzonden.

Answer 143

A

(Sterke) Beleidsregels (policies) en standaarden.
Correcte autorisaties.
Identificatie- en authenticatiemechanismen om de verbinding op afstand te starten.
Encryptietechnieken, zoals het gebruik van een VPN.
Systeem- en netwerkbeheer (bijv. NAC).
Beperking van de toegang op afstand tot (sterk) gecontroleerde systemen, netwerken en toepassingen.

Answer 144

A

gebruikers op afstand krijgen mogelijk geen toegang tot gegevens of applicaties die voor hen van vitaal belang zijn om hun dagelijkse werkzaamheden uit te voeren.

Answer 145

A

Kan leiden tot ongeoorloofde toegang tot of wijziging van de gegevens van een organisatie.

Answer 146

A

(bv. Geen beveiligingssoftware) op de bedrijfscomputerinfrastructuur

Answer 147

A

die toegang kunnen krijgen tot kritieke applicaties of gevoelige gegevens door gebruik te maken van zwakke punten in communicatiesoftware en
netwerkprotocollen.

Answer 148

A

(= systemen waarbij het VPN binnen het bedrijf eindigt) die niet goed
beveiligd zijn => kunnen worden uitgebuit door een indringer die op afstand toegang krijgt.

Answer 149

A

met computers van gebruikers op afstand. Als een aanvaller toegang krijgt tot de computer van een gebruiker thuis en tot zijn VPN, kan hij het bedrijf op afstand van binnenuit aanvallen.

Answer 150

A

Power on
Lees BIOS-instructies die in hardware zijn gebrand
Start een klein programma vanaf het begin van het opstartapparaat (voor PC heet dit MainBoot record)
Laad het besturingssysteem
wacht op gebruiker

Answer 151

A

Operating system
De software die start wanneer uw apparaat start (“boots”). Het heeft over het algemeen de volgende functies: Zorgt voor de gebruikersinterface, zoals de pictogrammen die u aanklikt en de dialoogvensters die u ziet. Hiermee kan de gebruiker toepassingen uitvoeren zoals bijvoorbeeld tekstverwerkers, rekenbladen, presentatiesoftware, enz. Regelt het gegevensbeheersysteem (bestanden) waarmee u gegevens en programma’s kunt opslaan en opvragen

Answer 152

A

De uitgevoerde code(*) heeft volledige en onbeperkte toegang tot de hardware
De kernelmodus is gereserveerd voor het laagste niveau, de meest vertrouwde functies, van het besturingssysteem.

Answer 153

A

De uitvoerende code heeft geen mogelijkheid om direct toegang te krijgen tot de hardware of het geheugen.
De code die in de gebruikersmodus draait, moet de programma’s in de kernelmodus oproepen om toegang te krijgen tot de hardware en het geheugen. De gebruiker kan dus niet zomaar doen wat hij wil!
Vergelijk het met een democratisch systeem waarin je de politici die je kiest kan beïnvloeden, maar zij beslissen over de wetten en regering, niet jij.

Answer 154

A

De normale gebruikers (User) - min of meer beperkt in wat hij kan doen door een admin. De normale gebruiker heeft toegang tot standaardapplicaties, maar kan de systeemconfiguratie of -bestanden niet wijzigen.
De beheerders (administrators) - Sommige hebben meer of minder rechten, afhankelijk van waar hun account voor wordt gebruikt, maar hebben allemaal enige toegang tot de systeemconfiguratie en de bestanden.
De Systeemgebruiker! - Heeft toegang tot alles. Deze kan in Windows niet als gebruikerstype worden gekozen

Answer 155

A

Windows-beveiligingsfunctie die voorkomt dat onbevoegden het systeem wijzigen.
Als Beheerder -> vraagt om toestemming om de wijzigingen door te voeren
Als Gebruiker -> vraagt om in te loggen als beheerder om de wijzigingen door te voeren
Voordeel: geen veranderingen zonder dat een beheerder ze opmerkt!

Answer 156

A

Het OS beheert de gegevensbestanden -> biedt toegangscontrole om te bepalen of een gebruiker kan create, modify, read, write and/or delete. Noteer dat er ook andere privileges bestaan (bv. execute)!

Answer 157

A

Het OS baseert de toegang op de credentials van een gebruiker. Het OS bevat dus ook gebruikerscontrolesoftware om de gebruiker te identificeren en te authentiseren.
* Identificeren -> gebruikersnaam
* Authentiseren -> bewijzen dat je bent wie je beweert te zijn in de identificatiestap

Answer 158

A

Toekennen van privileges -> “Least privilege” principe aanbevolen
Beperken van de toegang op basis van een bepaalde tijd van de dag, aantal
aanmeldingspogingen, het source adres van het apparaat.

Answer 159

A

De Registry is van cruciaal belang en moet zeer goed worden beschermd. Het is een centrale hiërarchische database waarin de configuratie-instellingen en -opties worden opgeslagen.
* Georganiseerd als een “directory”-structuur maar in plaats van mappen (folders; directories) en bestanden (files) die gegevens (data) bevatten, werkt het met keys
en bevatten. Sommige belangrijke delen in de Registry vind je hieronder:
subkeys die gegevens
* HKEY_CURRENT_CONFIG — Bevat veranderlijke informatie die bij het opstarten wordt gegenereerd
* HKEY_CURRENT_USER — Specifieke instellingen voor de huidige gebruiker
* HKEY_LOCAL_MACHINE\SAM — Bevat lokale en domein account informatie (zie
oefening!)
* HKEY_LOCAL_MACHINE\Security — Bevat veiligheidsbeleid waarnaar wordt verwezen en d at wordt afgedwongen door de kernel
* HKEY_LOCAL_MACHINE\Software — Bevat software en Windows instellingen
* HKEY_LOCAL_MACHINE\System — Bevat informatie over de installatie van het Windows- systeem
* HKEY_USERS.DEFAULT — Profiel voor de lokale systeem accoun

Answer 160

A

Gebruik het commando (op een opdrachtregel) “regedit“.
Als je dubbelklikt op een “value name”, opent er een nieuw venster waar je de waarde in kan zien en veranderen. Elke verandering wordt direct opgeslagen! (geen “Save” knop, geen “Undo”!).
Het gebruik van Regedit is alleen mogelijk als je een beheerder bent.
Sommige keys zijn niet eens zichtbaar voor de “normale” beheerder, bijvoorbeeld HKEY_LOCAL_MACHINE\SAM.

Answer 161

A

Need to know
* Je moet iets weten/kennen om je te authentiseren
* bv. Wachtwoord, PIN, passphrase
* Kan verward worden met “Least Privilege/Need to know”
Need to have
* Je moet iets bezitten om je te authentiseren
* bv. smart card, dongle, zender
Need to be
* Je gebruikt je biometrische kenmerken om je te authentiseren
* bv. Gezichtsherkenning, vingerafdruk, retina-can, voetafdruk

Answer 162

A

Maakt het mogelijk om meerdere OS’s (“ gasten “ of “guests”) naast elkaar
te laten bestaan op dezelfde fysieke server (“ gastheer afzondering van elkaar. -> bijvoorbeeld Vmware. ” of “host”), in
Creëert een laag tussen de hardware en de gast-OS’en om gedeelde
verwerkings- en geheugenbronnen op de host te beheren-> vaak
HYPERVISOR genoemd.
De host in een gevirtualiseerde omgeving vertegenwoordigt een
potentieel single point of failure -> een succesvolle aanval op de host kan
resulteren in een incident dat groter is in zowel de omvang als de impact.

Answer 163

A

Een ontoereikende configuratie van de host kan leiden tot kwetsbaarheden die
alleen de host, maar ook de gasten treffen. niet
Exploitaties van bestaande kwetsbaarheden binnen de configuratie van de host, of een DoS-aanval tegen de host, kunnen alle gasten van de host treffen.
Het compromitteren van de beheerconsole (hypervisorconsole) kan niet- goedgekeurde administratieve toegang verlenen aan de gasten van die host.
Onveilige protocollen voor toegang op afstand tot de beheerconsole en de gasten kunnen leiden tot blootstelling van login gegevens van de administrators.
Datalekken mogelijk tussen gasten als het geheugen niet wordt vrijgegeven en door de host op een gecontroleerde manier wordt toegewezen.
Prestatieproblemen van het eigen OS van de host kunnen gevolgen hebben voor elk van de gasten van de host.

Answer 164

A

Sterke fysieke en logische toegangscontrole, vooral voor de host en zijn beheerconsole.
Goede configuratiebeheerpraktijken en platform hardening voor de host, inclusief patching, antivirus,
beperkte diensten, logging, passende rechten en andere configuratie-instellingen.
Passende netwerksegregatie, inclusief het vermijden van virtuele machines in de gedemilitariseerde
zone (DMZ), en het plaatsen van de beheertools voor virtualisatie op een apart netwerksegment.
Sterke change management praktijken.

Answer 165

A

Alle systemen die worden gebruikt voor het beheer van industriële activiteiten in tegenstelling tot IT die de administratieve activiteiten beheert, bijvoorbeeld het beheer van de productielijn, de controle van de mijnbouwactiviteiten, het toezicht op olie en gas.

Answer 166

A

Systemen die worden gebruikt om industriële processen te bewaken en te controleren, bijvoorbeeld het
stroomverbruik op elektriciteitsnetten.
Supervisory Control And Data Acquisition (SCADA) systems.
Ze geven het proces onder controle weer en bieden toegang tot de controlefuncties.
* SCADA ⊂ ICS ⊂ OT
* Ontworpen aanvankelijk als stand-alone systems, niet ontworpen met beveiliging in gedachten..
* Werken in real-time dus geen tijd voor (beveiligings-)overhead.
* Worden meer en meer verbonden aan netwerk -> Meer blootstelling.
* Impact van een aanval kan zeer ernstig tot catastrofaal zijn
* Minimum controles: Firewall & Netwerk segmentatie

Answer 167

A

Gegevens behoren toe aan een individu of een organisatorisch element
(afdeling, bedrijf, overheidsinstantie…), NIET aan IT.
De Data Owner is verantwoordelijk voor:
* het bepalen van de gegevensindeling
* het vereiste beveiligingsniveau
Noteer dat ook volgende job functies gerelateerd zijn aan data:
Data Stewards: zijn betrokken bij de betekenis en het juiste gebruik van de gegevens, niet bij de wijze waarop deze worden opgeslagen of beschermd.
Data Custodian: beheert de gegevens volgens de regels van de eigenaar van de gegevens (stelt de toegangscontrole in, bepaalt de structuur van de databank, enz.) Houdt zich niet bezig met de inhoud. Data Processor and Data Controller: GDPR rollen voor bedrijven die persoonlijke gegevens verwerken.

Answer 168

A

Vaststellen van toegangsvereisten, inclusief het definiëren van
gebruikersprofielen, toegangsgoedkeuringscriteria en validatieprocedures.

Answer 169

A

Bepaal waar gevoelige gegevens worden opgeslagen en hoe ze worden
verzonden.

Answer 170

A

Gebruik controles om een betrokken gebruiker te waarschuwen dat zijn of haar informatie op het punt staat te worden gebruikt.

Answer 171

A

Bepaal de uptime- en downtime-toleranties voor verschillende soorten gegevens.

Answer 172

A

Stel procedures vast om gegevens te beschermen tegen ongeoorloofde
kopieën en distributie

Answer 173

A

Bescherm gegevens tegen ongeoorloofde wijzigingen met behulp van
wijzigingsbeheerprocedures en geautomatiseerde bewaking en detectie van ongeoorloofde wijzigingen en manipulatie.

Answer 174

A

Bepaal bewaartermijnen en bewaar specifieke versies van software,
hardware, authenticatiegegevens en encryptiesleutels om de beschikbaarheid te garanderen.

Answer 175

A

Houd bij wie er toegang had, de autorisaties, de wijzigingen en de transacties.

Answer 176

A

Het invoeren van een nieuwe applicatie gebeurt volgens de fases van SDLC (System Development Lifecycle). Veiligheid moet in elke fase bekeken worden: Security by design

Answer 177

A

Ontwikkelings- en testomgevingen
* vrij open
* hebben vaak minder toegangscontroles
De testfase van SDLC houdt onder andere in:
* Verificatie en validatie dat een programma, subsysteem of toepassing en de ontworpen veiligheidscontroles de functies uitvoeren waarvoor ze zijn ontworpen
* Bepaling of de geteste apparaten zonder enige storing of nadelige invloed op andere onderdelen van het systeem werken

Answer 178

A

Een “gebeurtenis” (“EVENT”) is elke verandering, fout of onderbreking binnen een IT-infrastructuur
Voorbeeld: een systeemcrash, een fout op de harde schijf of een gebruiker die zijn wachtwoord vergeet. Het National Institute of Standards and Technology (NIST) definieert een gebeurtenis als “elk waarneembaar voorval in een systeem of netwerk.”
In Windows worden “gebeurtenissen” (events) genoteerd in de Windows Event Log waartoe je toegang hebt via de Event Viewer applicatie. Deze applicatie kan je opstarten door “eventvwr” in het Start zoekveld te schrijven.
NIST definieert een “INCIDENT” als “een schending of dreigende schending van het computerbeveiligingsbeleid, het beleid inzake aanvaardbaar gebruik of de
standaardbeveiligingspraktijken”. Een andere veelgebruikte definitie: “de poging tot of het succes van ongeoorloofd toegang te verkrijgen; gebruik, openbaarmaking, wijziging of verlies van informatie; of interferentie met systeem- of netwerkbewerkingen”.
Incidenten vereisen beveiliging- en onderzoeksexpertise om ze te beheersen,terwijl gebeurtenissen in de normale gang van zaken worden afgehandeld.

Answer 179

A

European Union Agency for Network and Information Security
(samenvatting p43)

Answer 180

A

Voorbereiding (Preparation)
Identificatie (Identification)
Insluiting (Containment)
Uitroeiing (Eradication)
Herstel (Recovery)
Geleerde lessen (Lessons Learned)

Answer 181

A

Deze fase bereidt een organisatie voor - voorafgaand aan een incident op het ontwikkelen van een incident response.
* Hoe gaan we om met incidenten?
* Met wie gaan we communiceren of naar wie gaan we escaleren in geval van een incident?
* Volgens welke criteria doen we aangifte van het incident bij de politie of andere instanties?
* Wie maakt deel uit van het Incident Response Team en hoe en wanneer activeren we die?
* Waar komen we samen om het incident af te handelen?
* Welke apparatuur hebben we nodig tijdens een incidentbestrijding? Bereid die apparatuur voor.

Answer 182

A

Deze fase is bedoeld om na te gaan of er een incident (en niet een vals alarm) heeft plaatsgevonden en om meer details over het incident te weten te komen. Bevat:
* Controleren of meldingen of gebeurtenissen als een incident kwalificeren.
* “Incidentenafhandelaar” van een incident of potentieel incident toewijzen.
* Het bepalen van de ernst van een incident en het zo nodig escaleren ervan.
* Vaststelling van de “chain of custody”(*) tijdens de identificatie bij de behandeling van potentieel bewijsmateriaal.

Answer 183

A

Deze fase heeft tot doel de blootstelling (en dus de effecten) van het incident te beperken. Bevat:
* Het activeren van het Incident Response Team om het incident in te dammen.
* De betrokken belanghebbenden (zakelijke eigenaren of “business owners” van de getroffen systemen) op de hoogte brengen van het incident.
* Het verkrijgen van toestemming (van de business owners) voor acties die van invloed kunnen zijn op de beschikbaarheid van een dienst.
* De IT-vertegenwoordiger en relevante virtuele teamleden betrekken bij de implementatie van inperkingsprocedures.
* Verkrijgen en bewaren van bewijs.
* Het documenteren van acties vanaf deze fase.
* Controle en beheer van de communicatie met het publiek door het PR-team (indien nodig).

Answer 184

A

Deze fase is bedoeld om de oorzaak van het incident vast te stellen en uit te roeien. Bevat:
* Het bepalen van de tekenen en de grondoorzaak van het incident.
* Het lokaliseren van de meest recente versie van de back-ups en deze installeren of alternatieve oplossingen voor uitroeiing overwegen (zoals het opnieuw installeren van het besturingssysteem).
* Het verwijderen van de hoofdoorzaak van het incident. Bv. In het geval van een worm- of virusinfectie kan het worden verwijderd door het implementeren van geschikte patches en bijgewerkte antivirussoftware.
* Verbetering van de verdediging door het implementeren en/of verfijnen van veiligheidscontroles.
* Het uitvoeren van een kwetsbaarheidsanalyse om nieuwe kwetsbaarheden te vinden die mogelijk door de hoofdoorzaak zijn geïntroduceerd.

Answer 185

A

Deze fase zorgt ervoor dat de getroffen systemen of diensten worden hersteld in een toestand die eerder is gespecificeerd (in bv. een Business Continuity Plan). De tijd vanaf het incident tot het einde van deze fase wordt door de RTO gespecificeerd! Bevat:
* Herstel tot de gespecificeerde toestand .
* Valideren dat acties op herstelde systemen succesvol zijn.
* Systeemeigenaren (asset owners) betrekken bij het testen van hun systemen.

Answer 186

A

Deze fase is gericht op het opstellen van een rapport om te beschrijven wat er is gebeurd, welke maatregelen er zijn genomen en wat de resultaten zijn na de uitvoering van het plan. Schrijven van het incidentenrapport bevat:
* Analyse van de problemen die zich voordeden tijdens de bestrijding van het incident.
* Het voorstellen van verbeteringen in de verschillende fasen van het Incident Response Plan op basis van de ondervonden problemen.
* Presentatie van het verslag aan de relevante belanghebbenden

Answer 187

A

het verzamelen en analyseren van bewijsmateriaal met als doel de dader van een incident te identificeren.
* Er is een mogelijk conflict met de incidentenbestrijding! Het onderzoek kan vereisen dat de aanval of ongeoorloofde toegang wordt voortgezet terwijl deze wordt geanalyseerd en bewijs wordt verzameld. <> Incidentenbestrijding wil de aanval zo snel mogelijk stoppen, oplossen en herstellen (wat het bewijs kan vernietigen).
* Reden voor onderzoek kan zijn: criminele activiteit, contractbreuk of overtreding van het beleid van de organisatie.
* Wie doet het onderzoek? In-house, gespecialiseerde bedrijven, wetshandhaving, toezichthouders.

Answer 188

A

Het bewijs moet op de juiste wijze worden bewaard als het ooit in een rechtbank moet worden gebruikt.
* Voorbeelden van bewijzen van computercriminaliteit: logbestanden, tijdstempels voor bestanden, geheugeninhoud, browsergeschiedenis, contactlijsten, allerlei soorten bestanden en metagegevens.
* Bij herstart van de machine -> bewijs (mogelijk) weg. Dus de eerste stap is het kopiëren van de harde schijf en het RAM geheugen!
* “Chain of custody” is belangrijk: Dit is gedetailleerd documenteren hoe het bewijs wordt behandeld, inclusief het eigendom, de overdracht en de wijziging ervan. Dit is om de integriteit van het bewijs in de rechtbank te bewijzen. Je kan dit bv in een notitieboek doen of electronisch (bv. Blockchain!)

Answer 189

A

Er zijn (uiteraard) wettelijke vereisten voor onderzoeken en onderzoekers.
* Wettelijke vereisten verschillen vaak van land tot land, soms zelfs conflicterend => probleem bij incidenten waarbij meerdere landen betrokken zijn.
* Vb. Incident waarbij EU en US betrokken is kan conflicterend zijn voor de vraag van US om data en EU’s behandeling van data vanwege GDPR.

De onderzoeker moet de wettelijke vereisten begrijpen met betrekking tot :
1. Zoeken of controleren van communicaties (bv. Wet betreffende de elektronische
communicatie )
2. Interviews of ondervragingen
3. Arbeids-, vakbonds- & privacyreglementering (e-privacy, GDPR)
4. Bewijsverzameling en opslag
5. Chain of custody
6. Verplichting om de rechtshandhaving te betrekken
Bij niet volgen van wettelijke voorschriften => Gerechtszaak mislukt of rechercheur zelf wordt strafrechtelijk of civielrechtelijk aangeklaagd!

Answer 190

A

EU General Data Protection Regulation
* Deze verordening gaat over de bescherming van PERSOONSgegevens.
* Een verordening (“regulation”) is onmiddellijk bindend.
* NL: AVG = Algemene Verordening Gegevensbescherming
De GDPR verplicht alle organisaties om bepaalde inbreuken op de persoonsgegevens te melden aan de betrokken toezichthoudende autoriteit (in België is dit de “Gegevensbeschermingsautoriteit”).
* Een voorbeeld is wanneer digitale persoonsgegevens in grote hoeveelheden worden gestolen.
*“Persoonlijke gegevens” betekent alles wat een natuurlijk persoon kan identificeren. Bv: een naam, een identificatienummer, locatiegegevens, een online-identificatiemiddel of een of meer factoren die specifiek zijn voor de fysieke, fysiologische, genetische, mentale, economische, culturele of sociale identiteit van
die natuurlijke persoon.
* Een organisatie moet binnen 72 uur rapporteren nadat ze zich bewust is geworden van een inbreuk.

Answer 191

A

“Digitaal forensisch onderzoek” is het “proces van het identificeren, bewaren, analyseren en presenteren van digitaal bewijs op een manier die juridisch aanvaardbaar is in een juridische procedure.

Answer 192

A

De identificatie van informatie die beschikbaar is en die het bewijs van een incident kan vormen.

Answer 193

A

De praktijk van het terugvinden van geïdentificeerde informatie en het bewaren ervan als bewijs. Bv. “imaging” ( bit-per-bit kopie) van originele media met getuige aanwezig. Natuurlijk moet de chain of custody worden gedocumenteerd.

Answer 194

A

Het extraheren, verwerken en interpreteren van het bewijsmateriaal EN het begrijpelijk maken voor een leek (bv. rechterlijke macht).

Answer 195

A

Presenteer aan het management, de advocaten, de rechtbank, enz.

Answer 196

A

Het incidentbestrijdingsplan moet een beschrijving bevatten van de wijze waarop relevante partijen kunnen worden geïnformeerd hoe ze gegevens die als bewijsmateriaal kunnen worden gebruikt kunnen beschermen. (Trek bijvoorbeeld de stekker niet uit het stopcontact)

Answer 197

A

Zorg ervoor dat alle gegevens op de media (harde schijf, verwijderbare media) in een gecontroleerde locatie worden opgeslagen.
Verzamel indien mogelijk gegevens die zijn opgeslagen in RAM (verdwijnt wanneer de computer wordt uitgeschakeld), zoals bijvoorbeeld wie was ingelogd, en sla deze veilig op.
Write-block media (vaak met behulp van gespecialiseerde hardware die bijvoorbeeld een harde schijf omhult)
Opnemen (bv. voice recorder) van getuigenissen

Answer 198

A

Bit-per-bit kopie van gegevens (bijv. van een harde schijf) om het origineel ongewijzigd te houden en de analyse op de kopie uit te voeren.
Bit-per-bit kopieën maken het mogelijk om de “verborgen” zones van de harde schijf te analyseren (zones waar geen bestanden zijn geschreven die u kunt zien in bijvoorbeeld Windows Explorer).
In sommige extreme gevallen worden gegevens - met behulp van gespecialiseerde tools - van de harde schijf hersteld, zelfs wanneer deze zijn gewist of overschreven.

Answer 199

A

Het identificeren en selecteren van de relevante gegevens op de kopie (afbeelding) van het medium (bijvoorbeeld een harde schijf).

Answer 200

A

Verzamel informatie door middel van interviews zodat we telefoonnummers, namen van personen, enz. kunnen herkennen in geëxtraheerde gegevens.

Answer 201

A

Identificeer patronen in netwerkcommunicatie:
* Waar het netwerkverkeer plaatsvindt
* wanneer en hoe lang de communicatie plaatsvindt
* de omvang van de gegevens (data) in het netwerkverkeer

Answer 202

A

Logbestanden bevatten vaak enorme hoeveelheden gegevens en zijn moeilijk te analyseren.
Gebruik automatische hulpmiddelen om de logboekgegevens te interpreteren (eventueel via de SIEM van het bedrijf):

Answer 203

A

verwijderen records in het logboek waarvan bekend is dat ze niet
relevant zijn voor een veiligheidsonderzoek, bijvoorbeeld het record van de nachtelijke backup.

Answer 204

A

zoeken naar anomalieën in het gedrag van de gebruiker of het systeem, bv. een gebruiker logt elke dag in om 9.00 uur maar op een dag plots om 4.00 uur.

Answer 205

A

zoekt naar sequenties van gebeurtenissen waarvan het weet dat ze een aanval kunnen vormen, bijvoorbeeld herhaalde mislukte aanmeldingspogingen op verschillende PC’s in hetzelfde kantoor.

Answer 206

A

Computer Forensic Tools: Onderzoeken permanent geheugen, zoals harde schijven, USB-sticks, CD’s.
Memory Forensic Tools: Het verwerven en onderzoeken van vluchtig (“volatile”) geheugen (RAM).
Mobile devices: Meestal hardware zoals write-blockers & duplicators
Network Forensic Tools: Controle en analyse van het netwerkverkeer(bv. Wireshark)

Answer 207

A

Orden de gebeurtenissen op een tijdlijn 1) om te zoeken naar relaties tussen gebeurtenissen of 2) om gebeurtenissen te visualiseren voor een niet- technisch publiek.

Answer 208

A

Zet de geëxtraheerde informatie om in een formaat dat begrijpelijk is voor onderzoekers die geen forensische cyberdeskundigen zijn.

Answer 209

A

Waarom het systeem werd onderzocht
Hoe de gegevens op het systeem werden geanalyseerd
Welke conclusies zijn er uit deze analyse getrokken?

Answer 210

A

Manieren gebruikt door cybercriminelen om het terugvinden van gegevens te
bemoeilijken of onmogelijk te maken voor onderzoekers :
* Wissen van gegevens door overschrijven;
* Encryptie ;
* Verbergen van gegevens in ongebruikte ruimte op een medium;
* Verberg gegevens door middel van “steganografie“.
Steganografie = het verbergen van gegevens in het volle zicht (Bv. Het schrijven van een brief in
onzichtbare inkt op een papier met een andere zichtbare tekst erop. Bv. Het verbergen van een bericht in
de eerste tekens van elk woord van een tekst: robert en nele willen een geschenk

Answer 211

A

Rampen zijn: verstoringen die ertoe leiden dat kritieke informatiesystemen gedurende een bepaalde periode niet meer werken.
“Bepaalde periode” kan minuten tot maanden zijn.
Rampen vereisen een “herstel“-inspanning (recovery) om terug te keren naar de normale gang van zaken. Totdat we volledig hersteld zijn, hebben we een manier nodig om “het bedrijf voort te zetten“ (business continuity).
2 soorten rampen: natuurlijk: aardbeving, overstroming, tornado, vuur. Covid valt in deze categorie, door de mens gemaakt: terroristische aanval, staking, grote hackeraanval bijv. ransomware, aanzienlijke virusinfectie, menselijke fouten (bijv. het per ongeluk verwijderen van een database)

Answer 212

A

Wat zijn onze essentiële activiteiten die nodig zijn om te overleven?
Welke materiële en menselijke middelen zijn nodig voor deze essentiële activiteiten?
Wat zijn de criteria voor het verklaren van een ramp? Niet elk incident is een ramp, maar elke ramp is een incident.
Wie is verantwoordelijk voor wat precies?
Welke contracten bestaan er (noodkantoor, computerverhuur, verhuisbedrijf, enz…)?

Answer 213

A

De “business impact analyse” is de basis voor het schrijven van een BCP.
Stappen van een Business Impact Analyse:
* Vind alle bedrijfsprocessen in uw bedrijf (bijv. verkoop, marketing)
* Welke van deze activiteiten zijn cruciaal voor het voortbestaan van het bedrijf?
* Welke IT-middelen (bijv. servers, mensen) zijn gekoppeld aan de essentiële activiteiten?
* Welke bedreigingen bestaan er voor deze activiteiten? Met welke waarschijnlijkheid en welke impact? En hoe goed zijn onze (beveiligings)controles voor deze activiteiten? Merk op dat ditrefereert naar de Risicoanalyse!
* Hoeveel data kunnen we ons veroorloven om te verliezen voor elk van deze activiteiten (RPO)?
* Wat is de maximale hersteltijd die nodig is voor deze activiteiten
voordat we onaanvaardbare verliezen beginnen te lijden (RTO)?

Answer 214

A

Geen backup => Geen RPO mogelijk. Dus een backup is essentieel!
Een back-up procedure houdt rekening met:
* Het back-up medium/media (schijf, tape, cloud of een mix)
* Offsite and onsite backup
* Frequentie van de back-up (zie eerdere oefeningen)
Backup methodes:
* Volledige (Full) Backup: Een volledige kopie van elk geselecteerd bestand op het systeem.
* Incrementele Backup: Alleen bestanden die zijn gewijzigd sinds de laatste back-up (eender welke type back-up).
* Differentiële Backup: Alleen bestanden die zijn gewijzigd sinds de laatste VOLLEDIGE back-up.

Answer 215

A

Gegevensherstel (Recovery) is het proces van het herstellen van gegevens die verloren zijn gegaan, per ongeluk zijn verwijderd, beschadigd of ontoegankelijk zijn gemaakt om welke reden dan ook. Herstel gaat
het snelst met Full Backups, en gemiddeld sneller met een Differential Backup dan met een Incremental Backup. Waarom? Omdat u minder back-ups hoeft te herstellen. Tel bijvoorbeeld het aantal back-ups dat u moet terugzetten in ons back- up voorbeeld bij gegevensherstel op vrijdag om 23:59:
* Full Backup: 1 backup
* Differentiële Backup: 2 backups (tweede overschrijft bestanden)
* Incrementele Back-up: 6 back-ups (2 tot 6 overschrijft bestanden)

Answer 216

A

Zeer geraffineerde en impactvolle aanvallen op de toeleveringsketen hebben zich verspreid, zoals blijkt uit het speciale ENISA Threat Landscape on Supply Chain. Managed service providers zijn zeer waardevolle doelwitten voor cybercriminelen.
Overheidsorganisaties hebben zowel op nationaal als op internationaal niveau hun inspanningen opgevoerd. Overheden hebben zich meer ingespannen om door een staat gesponsorde bedreigers te verstoren en juridisch aan te pakken.
Cybercriminelen worden steeds meer gemotiveerd door geldwinning voor hun activiteiten, bv. ransomware. Cryptocurrency blijft de meest voorkomende uitbetalingsmethode voor dreigingsactoren.
Cybercriminaliteit richt zich steeds vaker op kritieke infrastructuur en treft deze ook.
Infectie via phishing-e-mails en brute-forcing op Remote Desktop Services (RDP) blijven de twee meest voorkomende aanvalsvectoren voor ransomware.
De focus op bedrijfsmodellen van het type Ransomware as a Service (RaaS) is in 2021 toegenomen, waardoor het moeilijk is individuele bedreigers te identificeren.
Het aantal “triple extortion ransomware schemes” is in de loop van 2021 sterk toegenomen.
Ransomware encrypteert data (bijvoorbeeld ziekenhuis). Betaal om te decrypteren.
Afpersing 1 voor slachtoffer van ransomware (ziekenhuis) : dreiging om gegevens van het slachtoffer te openbaren.
Afpersing 2 voor wie aan het slachtoffer geconnecteerd is (bv. patienten): dreiging om gegevens e.d. over hun klanten/leveranciers/partners die op de computers van het oorspronkelijke slachtoffer zijn aangetroffen, openbaar te maken.

Answer 217

A

De afname van malware die in 2020 werd waargenomen, zet in 2021 door. In 2021 zagen we een toename van bedreigers die hun toevlucht namen tot relatief nieuwe of ongebruikelijke programmeertalen om hun code over te zetten.
Malware die zich richt op containeromgevingen komt steeds vaker voor, met nieuwe evoluties zoals bestandsloze malware die vanuit het geheugen wordt uitgevoerd.
Malware-ontwikkelaars blijven manieren vinden om reverse engineering en dynamische analyse moeilijker te maken.

Answer 218

A

Het volume van cryptojacking-infecties bereikte in het eerste kwartaal van 2021 een recordhoogte in vergelijking met de afgelopen jaren.
Het financiële gewin dat met cryptojacking gepaard gaat, heeft de dreigingsactoren ertoe aangezet deze aanvallen uit te voeren.

Answer 219

A

BEC (Business E-mail Compromise) is toegenomen, geraffineerder geworden en doelgerichter geworden.
Het bedrijfsmodel Phishing-as-a-Service (PhaaS) wordt steeds populairder.

Answer 220

A

De dreigingsactoren verlegden hun aandacht naar vaccininformatie in de context van bedreigingen van gegevens en informatie.
Er was een sterke toename van gegevensinbreuken in de gezondheidszorgsector.

Answer 221

A

Traditionele DDoS-aanvallen (Distributed Denial of Service) verschuiven naar mobiele netwerken en IoT (Internet of Things).
Ransom Denial of Service (RDoS) is de nieuwe grens van denial of service- aanvallen.
Doordat middelen gedeeld worden in gevirtualiseerde omgevingen (en zo ook de
netwerkaansluiting), versterkt dit DDoS-aanvallen. Als je de host aanvalt, val je veel clients tegelijk
aan.
DDoS-campagnes zijn in 2021 doelgerichter en veel hardnekkiger geworden en steeds meer
multivector.

Answer 222

A

Door kunstmatige intelligentie (AI) ondersteunde desinformatie ondersteunt aanvallers bij de uitvoering van hun aanvallen.
Phishing is de kern van desinformatieaanvallen en maakt sterk gebruik van de overtuigingen van mensen.
Mis- en desinformatie vormen de kern van cybercriminele activiteiten en nemen in een ongekend tempo toe.
Het bedrijfsmodel desinformatie-as-a-Service (DaaS) is sterk gegroeid, onder impuls van de toenemende impact van de COVID-19-pandemie en de behoefte aan meer informatie.

Answer 223

A

In 2020 en 2021 zagen we een piek in niet-kwaadwillige incidenten, aangezien de COVID-19 pandemie een multiplicator werd voor menselijke fouten en systeemmisconfiguraties, tot op het punt dat de meeste inbreuken in 2020 door fouten werden veroorzaakt.
Er is een piek geweest in niet-kwaadwillige incidenten op het gebied van cloudbeveiliging.

Answer 224

A

Een gerichte dreiging die bestaat uit verschillende complexe aanvalsvectoren en die voor langere tijd onopgemerkt kan blijven.
* APT-karakteristieken:
* Grondige planning & onderzoek : onderzoek van het doelwit, planning van het gebruik van resources en anticiperen op tegenmaatregelen
* Gesofisticeerd : bijvoorbeeld meerdere kwetsbaarheden tegelijk uitbuiten
* Verborgen : kan maandenlang onopgemerkt blijven
* Volhardend : APT’s geven niet op. Als de ene weg geblokkeerd is, zoeken ze een andere weg…

Answer 225

A

Kritische infrastructuur (bijvoorbeeld NMBS)
Waardevolle geheimen of andere bronnen van commercieel voordeel (bv. Coca-Cola)
Controle van geldtransacties (bv. een bank)
Verwerking van creditcardgegevens (bijvoorbeeld een betalingsverwerker)
Grote hoeveelheden persoonlijk identificeerbare gegevens over personen (bijv. Amazon)
Leveranciers van alle bovenstaande organisaties

Answer 226

A

Criminele groepen
Inlichtingendiensten (landen)
Strijdkrachten (landen)
Activisten
Terroristische groeperingen

Answer 227

A

Big Data is : enorme hoeveelheden snel variërende gegevens van een grote verscheidenheid.
Big Data is te groot, variabel en verandert te snel om te verwerken met behulp van standaard databasetools.
Grootte: honderden gigabytes (1 miljoen bytes) tot verschillende petabytes (1 miljoen gigabytes).
Voorbeelden :
Google’s databases over zoekpatronen van gebruikers.
Live verkeersgegevens, transportgegevens van apps (bijv. van Waze, Google) in combinatie met omgevingsgegevens (zoals het weer) om zelfrijdende auto’s te helpen.
Marketing die in allerlei online en offline bronnen zoekt om profielen van consumenten of bedrijfskopers te voorspellen waarop dan gerichte marketing is gebaseerd.
Een SIEM die allerhande logbestanden van diverse systemen verzamelt..

Answer 228

A

Het belangrijkste punt is de privacy. Veel mensen en bedrijven beseffen niet hoeveel informatie online kan worden verzameld (denk aan onze OSINT-oefening!).
Privacy (gegevensverzameling): individuen kunnen het gevoel hebben dat er te veel gegevens over hunzelf en hun gewoontes worden verzameld.
Privacy (heridentificatie): door middel van correlatie (“connecting the dots”) kunnen personen worden geïdentificeerd waar elk gegeven op zich geen identificatie mogelijk maakt.
De gegevens moeten worden gecentraliseerd om te kunnen worden geanalyseerd. Natuurlijk is er dan een grote hoeveelheid gegevens in gevaar als een aanvaller erin slaagt om toegang te krijgen tot deze gegevens.
De tools die worden gebruikt om Big Data te analyseren en over te dragen zijn niet altijd veilig

Answer 229

A

Servers die toegankelijk zijn via het internet, en de software en databases die op die servers draaien. Door gebruik te maken van cloud computing hoeven gebruikers en bedrijven niet zelf fysieke servers te beheren of softwaretoepassingen op hun eigen machines te draaien.

Answer 230

A

Een “model voor het mogelijk maken van gemakkelijke, on-demand toegang tot een gedeelde pool van configureerbare computerbronnen (bijvoorbeeld netwerken, servers, opslag, applicaties en diensten) die snel kunnen worden geleverd en vrijgegeven met een minimale beheersinspanning of interactie met de
serviceprovider”.

Answer 231

A

Loss of governance (verlies van controle) — De klant geeft meestal een bepaald niveau van controle op aan de cloudaanbieder, wat van invloed kan zijn op de beveiliging, vooral als de service level agreements (SLA’s) een gat in de beveiliging openlaten.
Isolation failure (gebrekkige isolatie) — Een kenmerk van cloud computing is gedeelde middelen. Hoewel dit niet gebruikelijk is, kan het falen van mechanismen die de opslag, het geheugen en de routing van verschillende “cloudgebruikers” scheiden, risico’s met zich meebrengen.
Compliance — Migratie naar de cloud kan een risico opleveren voor de organisatie om een certificering te behalen (bijvoorbeeld voor ISO27001) als de cloudaanbieder zelf geen compliance bewijs kan leveren (zoals bv. het aantonen dat er een risico-evaluatie is gedaan).
Management interface compromise — De (cloud)beheerinterface van de klant kan een verhoogd risico vormen omdat deze via het internet toegankelijk is en de toegang tot grote hoeveelheden resources verleent.
Data protection — Het kan moeilijk zijn voor klanten om de procedures van de cloudaanbieder te controleren betreffende beveiliging van hun data.
Insecure or incomplete data deletion — Door het feit dat meerdere bedrijven gebruik maken van dezelfde cloud-applicatie en het hergebruik van hardwarebronnen, is het risico groter dat gegevens niet volledig, niet adequaat of niet tijdig worden verwijderd.
Malicious insider — Cloud architecten hebben een grote verantwoordelijkheid. Een kwaadwillende insider kan grote schade aanrichten.
Data flow risks — Aangezien de gegevensstromen via het internet verlopen, is het van cruciaal belang dat de gegevens worden beschermd tegen afluisteren en manipulatie.

Answer 232

A

Market drive — Omdat beveiliging een topprioriteit is voor de meeste cloud- klanten, hebben cloudaanbieders een sterke drijfveer om hun beveiligingspraktijken te versterken en te verbeteren.
Scalability — De cloudtechnologie maakt een snelle herverdeling van middelen mogelijk, zoals die voor filtering, traffic shaping, authenticatie en encryptie, naar defensieve maatregelen (= BESCHIKBAARHEID).
Cost-effective — Alle soorten veiligheidsmaatregelen zijn goedkoper als ze op grote schaal worden toegepast.
Timely and effective updates — Updates kunnen snel worden uitgerold over een homogeen platform. U gebruikt altijd de laatste versie!
Audit and evidence — Cloud computing kan forensische “images” van virtuele machines leveren, wat resulteert in minder downtime voor forensisch onderzoek.
Backup — De cloudaanbieder biedt vaak garanties dat uw gegevens altijd beschikbaar zijn (maar niet elke cloud provider!). Er zijn ook veel Cloud Backup- platforms die een alternatief bieden voor lokale (tape, disk) back-up.

Answer 233

A

Een verzameling technieken die een vorm van ‘intelligentie’ toevoegt aan een machine of computer.

Answer 234

A

Aanvallen vinden bij de analyse van logbestanden (SIEM).
Het opsporen van kwaadaardige programma’s (opsporen van zero-day-aanvallen!).
Helpen bij het herkennen en blokkeren van phishingaanvallen.
Automatisch en sneller zwakke punten vinden en verhelpen in een beveiliging.

Answer 235

A

Hulp bij het plannen van cyberaanvallen door het kraken van Big Data voor het vinden van zwakke punten bij een organisatie.
Helpt de malware zichzelf te verbergen en tegenmaatregelen te nemen wanneer anti-malware het probeert op te sporen of uit te roeien
AI vergemakkelijkt gepersonaliseerde aanvallen doordat de AI leert van Big Data hoe het slachtoffer het best benaderd kan worden
De AI-machines
kunnen zelf kwetsbaar zijn met het risico dat een hacker ze traint om zijn aanval
“over het hoofd te zien“!

Answer 236

A

Sociale-mediatechnologie is: het creëren en verspreiden van inhoud via sociale netwerken die gebruik maken van het internet met een hoog niveau van interactie (tussen de deelnemers) beschikbaar voor de consument

Answer 237

A

Introductie van virussen/malware in het organisatienetwerk.
Misinformatie of misleidende informatie die vaak wordt gepost door een frauduleuze of gekaapte zogezegde “bedrijfsvertegenwoordiger”.
Onduidelijke of ongedefinieerde content-rechten op informatie die op sociale-mediasites wordt geplaatst.
Ontevredenheid van de klant door een verwachte toename van de kwaliteit/tijdigheid van de klantenservice (sociaal platform altijd beschikbaar).
Wanbeheer van de elektronische communicatie (bijvoorbeeld het lekken van vertrouwelijke informatie of een te vroeg gelanceerd persbericht).
Sommige informatie moet volgens de wetgeving na enige tijd worden verwijderd, maar Social Media vergeet nooit…

Brainscape's Knowledge GenomeTM

cybersecurity total Flashcards

Brainscape's Knowledge Genome^TM