Computerbeveiliging - Hoe je bad guys buiten de deur houdt

Interview vragen (security)

22-03-2011, 19:55 door doob, 26 reacties
Binnen kort wil ik voor me stage verslag een aantal interviews afnemen.

Nu was mijn vraag of er misschien mensen zijn die nog een aantal goeie vragen in gedachten hebben.

Hierbij moet u denken aan de beveiliging van systemen (servers) etc.

Alvast bedankt

(alleen antwoord en geen commentaar graag).


BEDANKT VOOR DE MENSEN DIE ANTWOORD HEBBEN GEGEVEN OP MIJN VRAAG.
MET DE INFORMATIE (TIPS) DIE JULLIE VERSTREKT HEBBEN GA IK ZEKER MEE AAN DE SLAG.
Reacties (26)
22-03-2011, 20:59 door Bitwiper
Door doob: Ik heb een opdracht van school gekregen om een aantal mensen (bedrijven) te gaan interviewen daarbij moeten het vragen zijn omtrend de beveiliging van desktops, laptops, en vooral SERVERS etc.
Het gaat om grote bedrijven.

Alvast bedankt voor de reacties.
Het lijkt erop dat je vergeten bent aan te geven aan welk deel van die opdracht je zelf bereid bent tijd te besteden, of is het de bedoeling dat we alles voor je doen?
22-03-2011, 21:01 door Dr.Wh4x
HAI DOOB,

Ik vraag me af waarom je nickname stiekem niet gewoon "dom" is, dat het beter bij je gepast zeker met deze vraag die je stelt, nu is het een gemiddelde reactie op sec.nl dus welkom.

Je vraagstelling is een beetjuh... apart? Dat is liev uitgedrukt, wat moet je PRECIES weten over die grotuh bedrijven, met hun grote SERVERS en desktops etc? Wat voor OS ze draaien? Wat het beste OS EVAH is?!? Typische mbo vragen, maar je moet ergens beginnen :)

Misschien had jezelf eens wat initiatief moeten tonen en bedrijven als fox-it, ibm of microsoft moeten emailen.

My $0,05

ps: Voortaan lekker zelf je huiswerk maken puber.
22-03-2011, 21:12 door xy22
Allereerst: om welk niveau vragen gaat het? En is het om te vragen tijdens een stage als middelbare scholier, of doe je bijvoorbeeld HBO?

En, wat verwacht je van ons? Het klinkt niet alsof je zelf al uitgebreid hebt nagedacht hoe e.e.a. aan te pakken. Als je met dit topic vraagt om hulp bij een al behoorlijk complete opzet dan is dat heel anders, dan "mwah, hebben jullie nog een leuk vraagje voor me". En van dat laatste lijkt het nu heel wat meer weg te hebben.
Vragen en opdrachten werk je in principe zelf uit/ hoofdzakelijk zelf, niet om een kleuter-reactie te geven, maar achter zo'n opdracht zit een idee; dat jij leert zoiets zelf op te zetten :)


--edit, zie dat zowel Bitwiper als Dr. Wh4x al hebben gereageerd, sluit me graag bij hen aan :) --

P.S. En maak voor jezelf van de belangrijkste zaken een duidelijke omschrijving; dan kun je na de interviews makkelijker aan de slag, per deelonderwerp of hoofdvraag een hoofdstuk. Met in dat hoofdstuk wat bedrijven x, y en z hebben ondernomen aan beveiliging, zoals volgens jou dat uit de gesprekken naar voren is gekomen.
22-03-2011, 21:41 door _____
"Hulp nodig !!! Interview vragen (security)"

Ik zou beginnen bij de ING bank.

Dat is een groot bedrijf met veel servers en weten heel veel van beveiliging.

"(alleen antwoord en geen commentaar graag)"

Hahahahahahahahahahaha!
Jij durft!
Groeit aan een boom, is ovaal van vorm, groen tot bruin gekleurd en heeft een hoedje op (voor de security)
22-03-2011, 22:27 door Bitwiper
Door doob: Binnen kort wil ik voor me stage verslag een aantal interviews afnemen.

Nu was mijn vraag of er mischien mensen zijn die nog een aantal goeie vragen in gedachten hebben.

Hierbij moet u denken aan de beveiliging van systemen (servers) etc.

Alvast bedankt

(alleen antwoord en geen commentaar graag).
Okay, duidelijker zo, goed dat je een dikke huid hebt en je niet op de kop laat zitten (1e vereiste in securityland ;)

Kijk nou gewoon eens op de voorpagina van security.nl. Wat zie ik daar en zou ik daarover kunnen vragen:

Gegeven: Hacker onthult lekken in industriële systemen
Vraag: gebruikt uw bedrijf SCADA systemen, en zo ja, zijn die bereikbaar via internet, en zo ja, wat heeft u er aan gedaan om die te beveiligen?

Gegeven: Noodpatch voor ernstig Adobe Flash en Reader-lek
Vraag: gebruikt uw bedrijf Adobe producten, en hoe gaat u in uw bedrijf om met patches daarvoor?

Gegeven: "Internet nog niet klaar voor HTTPS"
Vraag: heeft uw bedrijf websites, en gebruikt u daarvoor shared hosting?

Gegeven: "China achter cyberaanval RSA"
Vraag: veel grote bedrijven maken zich zorgen over APT (Advanced Persistent Threats) waarbij o.a. bedrijfsgeheimen worden gestolen. Maakt u zich daar ook zorgen over, zo ja, wapent u zich daartegen, en hoe doet u dat?

Etcetera etcetera. De vragen liggen voor het oprapen. Wel nodig is dat je weet waar je het over hebt als je dit soort vragen stelt (alleen al vanwege het feit dat mensen die jou goede antwoorden kunnen geven schaars in hun tijd zitten, verspil die niet. Wie weet wordt zo iemand ooit je nieuwe baas...).

Kies 1 of enkele onderwerpen uit die je aanspreken en focus daarop (e.e.a. in overleg met je begeleider, als die wat anders vindt moet je niet naar mij luisteren natuurlijk). Begin met bedrijven waar je de minst zinvolle resultaten van verwacht, na enkele interviews zul je leren steeds betere vragen te stellen.

Laat je verslag (en zeker eventuele schriftelijke vragen) dan door iemand reviewen op taalfouten, want jouw Nederlands laat te wensen over (het is "Binnenkort", "mijn stage", "stageverslag", "goede" en "omtrent").

Succes!
22-03-2011, 23:22 door doob
Bedankt voor de reactie en tips.
22-03-2011, 23:44 door THEFXR
lui zijn is ook een eigenschap :)
23-03-2011, 07:37 door Syzygy
Hoe word ik op een snelle, eerlijke en eenvoudige manier steen rijk??

Als je het antwoord weet deel je het dan wel met ons ??
23-03-2011, 07:59 door Mysterio
Door Syzygy: Hoe word ik op een snelle, eerlijke en eenvoudige manier steen rijk??

Als je het antwoord weet deel je het dan wel met ons ??
Vind een gat in de markt en ga erin zitten. Of zo.
23-03-2011, 08:12 door Syzygy
Door Mysterio:
Door Syzygy: Hoe word ik op een snelle, eerlijke en eenvoudige manier steen rijk??

Als je het antwoord weet deel je het dan wel met ons ??
Vind een gat in de markt en ga erin zitten. Of zo.

Je antwoord voldoet maar aan 2 van de 3 eisen. (eenvoudig ??)
23-03-2011, 08:13 door [Account Verwijderd]
[Verwijderd]
23-03-2011, 09:33 door Anoniem
Doob,

Naast de technische zaken die Bitwiper hierboven aangeeft, zijn enkel andere zaken zeker zo belangrijk. Ik zal er een paar noemen.

(1) Interviewtechnieken. Het houden van interviews is een vak apart. Denk daar dus niet te lichtzinnig over en bereid je goed voor. Je zou bijvoorbeeld de eerste niet zijn die bij het uitwerken van zijn aantekeningen erachter komt dat hij nog wat extra vragen wilde stellen, maar dat die mogelijkheid er niet meer is. Tik bij Google eens de term "interviewtechnieken" in en bekijk de adviezen die worden genoemd. Een aardige site is
https://ai5.wtb.tue.nl/doccontent/vaardighedenBMT/default.php?id=5. Daar komen de belangrijkste zaken naar voren, zoals het stellen van *open* vragen (dus niet "Vindt u ook dat systeembeheerders zo weinig van beveiliging weten?", maar "Welke methoden worden ingezet bij de beveiliging van de serversystemen?"), goed luisteren, doorvragen als je denkt iets op het spoor te zijn, samenvatten van de bevindingen aan het einde van het gesprek, opvragen van bewijslast (of laat je je alles op de mouw spelden door de eerste de beste systeembeheerder?), eventuele actiepunten duidelijk benoemen in het gesprek, feedback geven wat met de resultaten is gedaan etc. Vragen stellen is leuk, maar het stellen van de verkeerde vragen aan de juiste mensen of het stellen van de juiste vragen aan de verkeerde mensen zorgt ervoor dat je antwoorden nagenoeg waardeloos zijn.

De voorbeeldvragen van Bitwiper hierboven geven het goed weer. Hij vraagt eerst of iets aanwezig is, en schakelt daarna over op open vragen via HOE, WAT, WAAROM (plus ieder ander vragend voornaamwoord).

(2) Een beetje kennis van het beleid/procedures van de organisatie en ISO normen. Het is leuk om te achterhalen dat de laatste patch van Java op een machine niet is geimplementeerd, maar als je niet weet of daar achterliggende redenen voor zijn, dan is dat feit op zich alleen niet zo veelzeggend. Je zult in dat geval moeten weten WAAROM iets niet is geimplementeerd. Als op die WAAROM vraag geen goed antwoord komt, dan heb je iets gevonden. Als het gedrag bijvoorbeeld niet conform bestaande wet- en regelgeving of intern beleid is, en er ook geen risico acceptatie voor is afgegeven door een daarvoor bevoegd persoon, dan weet je ook of een bevinding terecht is. Zo diep hoef jij waarschijnlijk in je vragen niet te gaan, maar het is handig om het mee te nemen in je rapport. Hetzelfde geldt voor alle punten in het bovenstaande stuk tekst. Je hoeft tenslotte geen examen internal auditor af te leggen.

(3) Scope bepaling. Waar wil je je precies op richten? Zo te zien is dat server hardening. Hier kun je alle kanten mee op. Wil je de servers toetsen aan de recommended practices van de OS leverancier? Of wil je met een schot hagel alle punten pakken. Indien dat laatste het geval is, dan weet ik nog wel wat punten waar je je op kunt richten:
- Service pack niveau
- Patch niveau
- Antivirus
- Least privilege/ need to know rechten (met name shares en lidmaatschap van -Administrator- groepen)
- Password policy
- Aanwezigheid van user accounts op het systeem (zijn ze allemaal te verklaren?)
- Security awareness systeembeheerders
- Backup en restore (plus de bijbehorende tests)
- Logging
- Security monitoring (wordt vaak niet gedaan, of gedaan door de personen die ook het systeembeheer uitvoeren, hetgeen monitoring waardeloos maakt, doordat de beheerder die fraudeert alle logging weg kan gooien)
- Separation of duties (zie het vorige punt)
- Implementatie van recommended practices
- Aanwezigheid van niet-goedgekeurde software op productiemachines
- Toegang van programmeurs tot servers
- File system hardening
- ...

Succes!
23-03-2011, 14:20 door Anoniem
Luie leerling. Niet eens zijn (haar) taal gecontroleerd ("me stage verslag"). Laat staan dat hij (zij) zelf vragen bedenkt. En hij (zij) is ook nog arrogant, want commentaar is niet gewenst. Luiheid + arrogantie, een dodelijke combinatie.
23-03-2011, 14:35 door Anoniem
Bitwiper:

Gegeven: Noodpatch voor ernstig Adobe Flash en Reader-lek
Vraag: gebruikt uw bedrijf Adobe producten, en hoe gaat u in uw bedrijf om met patches daarvoor?


Antwoord: Ja ik wij updaten nooit, als het goed is heb ik nog wel een exploite liggen.... Ja hier gevonden moet je hem hebben? Ga naar dit IP adres en dan is het klusje zo geklaard.

Denk je dat het gesprek zo zou gaan?
23-03-2011, 15:22 door Anoniem
Door Anoniem:
Bitwiper:

Gegeven: Noodpatch voor ernstig Adobe Flash en Reader-lek
Vraag: gebruikt uw bedrijf Adobe producten, en hoe gaat u in uw bedrijf om met patches daarvoor?


Antwoord: Ja ik wij updaten nooit, als het goed is heb ik nog wel een exploite liggen.... Ja hier gevonden moet je hem hebben? Ga naar dit IP adres en dan is het klusje zo geklaard.

Denk je dat het gesprek zo zou gaan?
Het kan ook gaan om wanneer men de patches doet en/of zij actief naar patches opzoek gaat of toch wacht tot dat deze "automatisch" geupdate wordt.

Je gaat wel erg kort door de bocht, wat niet echt getuigt van een door gedachte reactie.
23-03-2011, 15:24 door Anoniem
Door Anoniem: Luie leerling. Niet eens zijn (haar) taal gecontroleerd ("me stage verslag"). Laat staan dat hij (zij) zelf vragen bedenkt. En hij (zij) is ook nog arrogant, want commentaar is niet gewenst. Luiheid + arrogantie, een dodelijke combinatie.

Dat commentaar niet gewenst is kan ik me goed voorstellen, want 95% van de mensen hier zijn als een stel ouwe wijven aan het zeiken en zeuren als iemand een vraag stelt. Vaak wordt niet ingegaan op de initiële vraagstelling, wordt een antwoord gegeven dat niet relevant is, wordt er een Windows/Linux flamewar van gemaakt, wordt de vraagsteller vooral taalkundig de grond in geboord en schiet de kennis van de personen die een vraag proberen te beantwoorden hopeloos tekort, doordat ze een fundamentele beveiligingskennis missen (slechts enkele uitzonderingen daargelaten). In plaats van constructieve feedback te geven, worden mensen betiteld als dom, lui, arrogant, beginnelingen etc. Als ik een beginnend beveiliger was zou ik niet eens een bericht posten hier.

Als je de thread starter niet van een antwoord wilt voorzien: prima, bespaar je de toetsaanslagen en antwoord simpelweg niet. Dan weet hij ook waar hij aan toe is. Maar nee, er moet weer een punt worden gemaakt, de opvoeding van de posters moet in goede banen worden geleid, anderen moeten vooral zien wat jouw mening is over de poster etc. Word volwassen. Niet iedereen weet zoveel als jij, is zo bekwaam als jij, kan zo goed spellen als jij, heeft zoveel certificaten als jij, kent product xyz zo goed als jij en heeft zo'n fenomenaal inzicht in de wereld van informatiebeveiliging zoals jij. Live with it. Het leven is nou eenmaal niet perfect (afgezien van jou natuurlijk, want jij bent dat met een aan zekerheid grenzende waarschijnlijkheid wel, toch?).

Dus de tip van de dag: als je niets nuttigs te melden of te antwoorden hebt, post dan geen bericht, houd je "grappen" en denigrerende opmerkingen voor je en post zelf eens een bericht waar de mensen hier wat aan hebben in plaats van mijn bandbreedte te vervuilen met sneue opmerkingen. Je verbetert de kwaliteit van dit forum er namelijk niet mee, integendeel. Je bevestigt alleen maar dat breken eenvoudiger is dan bouwen. What's new.
23-03-2011, 16:30 door Mysterio
Oh, of jullie meteen even het in een verslag vorm willen gieten en door willen sturen naar de docent.

Ik denk dat je door Bitwiper enorm geholpen bent. Heb je al enig idee waar je de mensen vandaan gaat halen die je wilt interviewen?

Ik ga nu weer verder zoeken naar het gat in de markt... Ik weet zeker dat het eenvoudig is... *snik*
23-03-2011, 16:34 door cjkos
Door Anoniem: Luie leerling. Niet eens zijn (haar) taal gecontroleerd ("me stage verslag"). Laat staan dat hij (zij) zelf vragen bedenkt. En hij (zij) is ook nog arrogant, want commentaar is niet gewenst. Luiheid + arrogantie, een dodelijke combinatie.

Ik zie hier in het bedrijf anders mensen lopen met juist die instelling, het is verbazend hoever je ermee kan komen.
23-03-2011, 19:27 door waaromdan
@cjkos. Nu maak je me nieuwsgierig, welk bedrijf gaat het precies over?
23-03-2011, 20:55 door Bitwiper
Door Anoniem:
Bitwiper: Gegeven: Noodpatch voor ernstig Adobe Flash en Reader-lek
Vraag: gebruikt uw bedrijf Adobe producten, en hoe gaat u in uw bedrijf om met patches daarvoor?
Antwoord: Ja ik wij updaten nooit, als het goed is heb ik nog wel een exploite liggen.... Ja hier gevonden moet je hem hebben? Ga naar dit IP adres en dan is het klusje zo geklaard.

Denk je dat het gesprek zo zou gaan?
Nee.

Ik verwacht iets als:
- Nee, wij gebruiken geen Adobe producten, direct na patchen worden de volgende lekken bekend
- Ja, wij gebruiken wel Adobe producten, maar laten updaten over aan de gebruikers
- Ja, wij gebruiken wel Adobe producten en hebben een server om updates te pushen
- Ja, wij gebruiken wel Adobe producten, maar hebben wel speciale voorzieningen getroffen om de risico's te beperken. Zo zijn we momenteel aan het kijken naar een interessant artikel van T.J. OConnor van 2011-02-11 in de SANS Reading Room (zie http://www.sans.org/reading_room/whitepapers/intrusion/) waarin beschreven wordt hoe je, o.a. gebruik makend van de handige tools van Didier Stevens, kwaadaardige PDF's kunt blokkeren of onschadelijk maken.
23-03-2011, 21:07 door [Account Verwijderd]
[Verwijderd]
23-03-2011, 23:59 door Black eagle
Beveiliging van (computer) systemen kan je opdelen in 2 hoofd deelgebieden:
Beleid en Techniek.

Beleid moet er zijn voor de algemene regels.
Je kan daar wat over vragen:
Is er een Intern Beveiligings Beleid?
Word hierop geaudit zo ja hoe?
Word er aan functie scheiding gedaan?
Zijn er procedures voor autorizatie?
Is er een patch/ update beleid?
.....


Techniek is al eerder genoemd in dit topic en dat zal ik hier niet gaan herhalen.

Zoals je mischien nu merkt is security een breed begrip binnen ICT Systemen.

[off topic]
Zeik niet en vul elkaar aan. Niet iedereen is perfect! Je moet ergens starten.
En als je zo'n GURU bent die moet gaan zeiken hoor juist jij er niet thuis.
[/off topic]
24-03-2011, 10:32 door Syzygy
Door Black eagle: Beveiliging van (computer) systemen kan je opdelen in 2 hoofd deelgebieden:
Beleid en Techniek.

Beleid moet er zijn voor de algemene regels.
Je kan daar wat over vragen:
Is er een Intern Beveiligings Beleid?
Word hierop geaudit zo ja hoe?
Word er aan functie scheiding gedaan?
Zijn er procedures voor autorizatie?
Is er een patch/ update beleid?
.....


Techniek is al eerder genoemd in dit topic en dat zal ik hier niet gaan herhalen.

Zoals je mischien nu merkt is security een breed begrip binnen ICT Systemen.

[off topic]
Zeik niet en vul elkaar aan. Niet iedereen is perfect! Je moet ergens starten.
En als je zo'n GURU bent die moet gaan zeiken hoor juist jij er niet thuis.
[/off topic]



verkwikkend !! (speciaal voor Erwtensoep, ik bedoel dit als compliment voor deze poster ;-)
24-03-2011, 13:41 door YRX_
Hallo Tim,

Je vergeet zeker dat je docent ook op dit forum komt. We hebben hier op school erg gelachen om je vraag. :D
@ Bitwiper: Bedankt voor het uitgebreide antwoord en voor het doen van mijn werk ;)

En nu weer zelf aan het werk.

Groeten van YRX! en 4p4p
24-03-2011, 19:25 door doob
Door YRX!: Hallo Tim,

Je vergeet zeker dat je docent ook op dit forum komt. We hebben hier op school erg gelachen om je vraag. :D
@ Bitwiper: Bedankt voor het uitgebreide antwoord en voor het doen van mijn werk ;)

En nu weer zelf aan het werk.

Groeten van YRX! en 4p4p

Hallo Anjo,

Natuurlijk vergeet ik niet dat mijn (docent) elke morgen vroeg het laatste nieuws controleert op dit forum :D
Er is inderdaad veel informatie gegeven waar ik zeker wat mee kan.

Groetjes
24-03-2011, 19:26 door doob
Iedereen bedankt voor alle reacties en tips.

Hier ga ik zeker mee aan de slag.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.