.. en toen ?

IT beveiliging moet mijn inziens uit meerdere lagen bestaan, als er een
zero days exploit is ontdekt in één laag, en de eerste laag faalt, dan werkt
de tweede laag als compensating control. En daarnaast nog een detecting
control, waarmee je monitored wat er op je systeem gebeurt.

Er zijn genoeg exploits die ge/misbruikt worden voordat er
publiekelijk weet van is, een van de bekendere voorbeelden
hiervan is het recente WMF lek zoals op FD wordt omschreven
in vandaags mailing.

Echter denk ik dat het belangrijk is je te focussen op de
risico's. Je kunt je systeem nog zo goed distimmeren, er
zijn altijd onberekenbare factoren waartegen je je niet kunt
beschermen, zoals bijvoorbeeld 0-day vulns/exploits. Een
goed voorbeeld van iets wat echt kan helpen in het beperken
van de schade (helemaal voorkomen gaat niet makkelijk lukken
imo) zijn de jail's die bij de BSD smaken beschikbaar zijn.
Hiermee kan je de kwetsbare onderdelen van je netwerk
(bijvoorbeeld een webserver) afsluiten van de rest van je
systeem. Dit sandbox idee dat ook wordt toegepast in
virusscanners is in mijn ogen echt een uitkomst.

Houd er echter wel rekening mee of de moeite van het
configureren de moeite waard is. Als de data oninteresant is
(zoals op veel desktops voor prive gebruik) zal er weinig te
halen zijn voor een aanvaller, het zal dan ook lang niet
altijd de moeite/kosten lonen om deze systemen 'zo veilig
mogelijk' te maken.

Risk management > Security management ;)

Waar mensen aangewerkt hebben zijn lekken.

Het begint al bij de mens zelf.

Dus ja ze zijn er..daar ben ik heilig van overtuigd.

leuke stelling misschien, maar toch niet echt nieuws.

compensating control, detecting control? zeker een cursusje
gevolgt? Met zulke abstracte praat hou je echt geen hackers
tegen. Vertaling van mij: meerdere 'lagen' realiseer je door je
mogelijk kwetsbare punten met de laagst mogelijk privileges te
laten opereren. En wat betreft detectie van 0days daar zou ik niet
teveel op vertrouwen...

WTF ????
Wat dacht je van de MWF exploit van 24 december 2005??
Onder een steen gezeten ofzo ???

Detectie van 0days lijkt mij een taak die niet te doen is.
Je kunt niet alle programmeerfouten en lekken opvangen door
een ander programma of een zogenaamde laag. (Iets)/(Het
enige) wat je zou kunnen doen is een grote hook op alles
zetten en bij misterieuze dingen om toestemming vragen, maar
ook dat lost niet alles op.

Het is gewoonweg niet te doen om tegen onbekende dingen te
'vechten'. Zoals alle virus en spyware programmas nog steeds
werken is op basis van definities, dus eerst moet het worden
opgenomen in de definitie voordat je er tegen bescherm wordt.

Een van de weinige dingen is dus het tegenhouden van
'standaard' gevaarlijkere acties... Voor zover ik weet en
kennis ervan heb.

Meerdere lagen, meerdere firewalls, reverse proxies,
scheiden van programma en data, minimale rechten etc..

full disclosure helpt

Ja, alleen programmas toelaten op een soort van whitelist is
idd een strakke beveiliging. Als dat goed werkt ben je
behoorlijk veilig. Alleen ben je dan echt tot op het bod
beperkt. Als je dan ook met policies Active X totaal uit
schakeld of ook daar een soort whitelist hebt is het
behoorlijk veilig :)

Ik denk dat je zelf even heel erg snel op cursus moet als je mee wilt praten
over security die verder gaat dan besturingsysteem niveau. Met bijdehante
opmerkingen houd je geen hackers tegen.

Nee, we hebben het hier over 0-days... Die zijn dus nog niet bekend.. Er valt dan nog niets te disclose'n..
Je gaat alleen nat als een programma op je whitelist een buffer-overflow krijgt.. Het systeem start dan immers geen "andere" programma's, de controle van het toegestane programma wordt overgenomen..
Niet helemaal... Active-X is voornamelijk gevaarlijk op de clients.. Dit helpt dus niet om je servers te beschermen..

Ik weet wel zeker dat ik langer in security scene zit dan jij :)

Oh jee, 't wordt toch geen potje ver pissen? De mijne is
toch het langst :P

Aantal jaar ervaring is dat maatgevend voor daadwerkelijke kennis?

met potje verpissen misschien ;)