Security Professionals
- ipfw add deny all from eindgebruikers to any
security scan ontwikkelen
21-05-2010, 10:28 door Anoniem, 20 reacties
Op mijn werk is gevraagd om een security scan te ontwikkelen die gebruikt kan worden
om bij klanten een security scan van hun ICT omgeving uit te kunnen voeren. Ik kan via zoekmachines
vrijwel niets vinden over dit onderwerp. (wel over software om te gebruiken maar niets over hoe je
zo'n scan kunt opzetten en documenteren)
Wat ik heb bedacht is om de scan op te delen in de domeinen fysiek, organisatorisch en technisch,
onderwerpen te kiezen per domein, deze op te splitsen via sub-onderwerpen en dan een deep scan per
sub-onderwerp te ontwikkelen aan de hand van vragen waarbij bij vragen waarbij dat nodig is
handleidingen voor de deep scans in de praktijk zelf te maken.
Nou zijn mijn vragen: Wat vinden jullie van dit plan? Heeft iemand ervaring met het ontwikkelen van
een security scan en heeft hier tips/advies voor? Zijn er richtlijnen voor het opzetten van een
security scan? Hoe zouden jullie dit aanpakken?
om bij klanten een security scan van hun ICT omgeving uit te kunnen voeren. Ik kan via zoekmachines
vrijwel niets vinden over dit onderwerp. (wel over software om te gebruiken maar niets over hoe je
zo'n scan kunt opzetten en documenteren)
Wat ik heb bedacht is om de scan op te delen in de domeinen fysiek, organisatorisch en technisch,
onderwerpen te kiezen per domein, deze op te splitsen via sub-onderwerpen en dan een deep scan per
sub-onderwerp te ontwikkelen aan de hand van vragen waarbij bij vragen waarbij dat nodig is
handleidingen voor de deep scans in de praktijk zelf te maken.
Nou zijn mijn vragen: Wat vinden jullie van dit plan? Heeft iemand ervaring met het ontwikkelen van
een security scan en heeft hier tips/advies voor? Zijn er richtlijnen voor het opzetten van een
security scan? Hoe zouden jullie dit aanpakken?
Reacties (20)
21-05-2010, 11:48 door
cpt_m_
Ik vraag me af waarom het bedrijf waarvoor je werkt 'het wiel opnieuw wil uitvinden'.
Er zijn zoveel mooie software parketten die dit al doen.
Bijvoorbeeld: Nessus
Ik zou zeggen, zoek op 'vulnerability scanner' download een DEMO en beoordeel welk pakket het dichts bij jullie eisen komt.
Succes.
Er zijn zoveel mooie software parketten die dit al doen.
Bijvoorbeeld: Nessus
Ik zou zeggen, zoek op 'vulnerability scanner' download een DEMO en beoordeel welk pakket het dichts bij jullie eisen komt.
Succes.
Bedankt voor je reactie. We willen het wiel niet opnieuw uitvinden. We willen een erg uitgebreide security scan. Dit omdat ook organisatorische en fysieke aspecten bekeken moeten worden. Ook moet alles gedocumenteerd worden. Nessus is niet genoeg.
21-05-2010, 13:02 door
MrTre
Als je een diepe security scan wilt doen, vergeet dan ook niet de kant van je eindgebruikers: de mens. D.w.z, test eens hoe gevoelig je eindgebruikers zijn voor social engineering.
Erg leuk als je netwerk Fort Knox is, maar als iedereen zijn sleutels laat slingeren heb je er niks aan.... :-) (als je snapt wat ik bedoel ;-) )
Erg leuk als je netwerk Fort Knox is, maar als iedereen zijn sleutels laat slingeren heb je er niks aan.... :-) (als je snapt wat ik bedoel ;-) )
Ahum, een audit uitvoeren bij klanten. Wat denken de klanten er zelf van? Met welke rechtmatigheid denkt het bedrijf überhaupt de klant te kunnen auditten? Zijn daar afspraken over gemaakt?
Een audit heeft overigens pas zin als er kaders zijn waaraan een de audit moet worden uitgevoerd. Blijkbaar verwacht jouw werkgever een bepaald niveau van beveiliging bij de klant, als dit duidelijk is vastgelegd (bijvoorbeeld het voldoen aan de NEN/ISO 27001 norm) en is afgesproken dan heb je direct een kader.
Aan de hand van dat kader kun je bijvoorbeeld een vragenlijst op stellen uitgangspunten van de norm en wat de klant ervoor geregeld heeft. Als dit nog nooit gebeurd is kun je de uitkomsten laten vastleggen als een 0 meting.
Ik zou alleen de technische audit laten uitvoeren door een ander bedrijf, al was het alleen om te voorkomen dat je als slager je eigen vlees keurt.
Het uitvoeren van een totale audit, zowel organisatorisch als technisch is geen sinecure, daar is veel kennis voor nodig. Over het algemeen is deze kennis schaars of helemaal niet aanwezig bij bedrijven zodat het meestal beter is om daar een gespecialiseerd bedrijf voor in te huren.
Een audit heeft overigens pas zin als er kaders zijn waaraan een de audit moet worden uitgevoerd. Blijkbaar verwacht jouw werkgever een bepaald niveau van beveiliging bij de klant, als dit duidelijk is vastgelegd (bijvoorbeeld het voldoen aan de NEN/ISO 27001 norm) en is afgesproken dan heb je direct een kader.
Aan de hand van dat kader kun je bijvoorbeeld een vragenlijst op stellen uitgangspunten van de norm en wat de klant ervoor geregeld heeft. Als dit nog nooit gebeurd is kun je de uitkomsten laten vastleggen als een 0 meting.
Ik zou alleen de technische audit laten uitvoeren door een ander bedrijf, al was het alleen om te voorkomen dat je als slager je eigen vlees keurt.
Het uitvoeren van een totale audit, zowel organisatorisch als technisch is geen sinecure, daar is veel kennis voor nodig. Over het algemeen is deze kennis schaars of helemaal niet aanwezig bij bedrijven zodat het meestal beter is om daar een gespecialiseerd bedrijf voor in te huren.
21-05-2010, 13:39 door
Preddie
ik zou je gewoon laten auditen op ISO 27001 (management systeem) daarbij moet je duidelijk aangeven welke processen je wil laten auditen. ISO 27001 opzich zegt niet zoveel maar in de state of capatability staat namelijk wat binnen het bedrijf aan de ISO 27001 voldoet, dit kan een bepaald systeem zijn of een bepaalde bedrijfsproces. Het is daarom belangrijk om je zelf af te vragen wat je wilt auditen.
Als je niet weet hoe je zoon scan moet opzetten en wat kritieke punten zijn binnen zo'n scan denk ik dat je die scan beter uit kunt voeren door een bedrijf dat zich daar alle dagen mee bezig houd, dit komt de betrouwbaarheid ten goede namelijk. Als je zelf aan gaat prutsen krijg je geen betrouwbaar beeld van de situatie, ik zou daarom eens rond kijken naar bedrijven die een penetratietest of vulnerability assesment kunnen uitvoeren.
Als je niet weet hoe je zoon scan moet opzetten en wat kritieke punten zijn binnen zo'n scan denk ik dat je die scan beter uit kunt voeren door een bedrijf dat zich daar alle dagen mee bezig houd, dit komt de betrouwbaarheid ten goede namelijk. Als je zelf aan gaat prutsen krijg je geen betrouwbaar beeld van de situatie, ik zou daarom eens rond kijken naar bedrijven die een penetratietest of vulnerability assesment kunnen uitvoeren.
Bedankt voor de reacties.
quote:
Als je een diepe security scan wilt doen, vergeet dan ook niet de kant van je eindgebruikers: de mens. D.w.z, test eens hoe gevoelig je eindgebruikers zijn voor social engineering.
Hier had ik al aan gedacht.
quote:
Ahum, een audit uitvoeren bij klanten. Wat denken de klanten er zelf van? Met welke rechtmatigheid denkt het bedrijf überhaupt de klant te kunnen auditten? Zijn daar afspraken over gemaakt?
De audit wordt gedaan als een bedrijf hier voor een verzoek doet.
quote:
Als je een diepe security scan wilt doen, vergeet dan ook niet de kant van je eindgebruikers: de mens. D.w.z, test eens hoe gevoelig je eindgebruikers zijn voor social engineering.
Hier had ik al aan gedacht.
quote:
Ahum, een audit uitvoeren bij klanten. Wat denken de klanten er zelf van? Met welke rechtmatigheid denkt het bedrijf überhaupt de klant te kunnen auditten? Zijn daar afspraken over gemaakt?
De audit wordt gedaan als een bedrijf hier voor een verzoek doet.
er zijn al zoveel dingen heb er zelfs zelf een in elkaar gezet check livescan op www.livescan.nl.
Bedankt voor de reactie.
Quote:
Ik zou je gewoon laten auditen op ISO 27001 (management systeem) daarbij moet je duidelijk aangeven welke processen je wil laten auditen. ISO 27001 opzich zegt niet zoveel maar in de state of capatability staat namelijk wat binnen het bedrijf aan de ISO 27001 voldoet, dit kan een bepaald systeem zijn of een bepaalde bedrijfsproces. Het is daarom belangrijk om je zelf af te vragen wat je wilt auditen.
Dit is inderdaad een mogelijkheid. Maar je bedoelt dat we onszelf eerst laten auditen voor dat we scans bij andere bedrijven uitvoeren? Ik heb namelijk security kennis en daarom is mij gevraagd om zo'n security scan op te zetten.
Quote:
Als je niet weet hoe je zoon scan moet opzetten en wat kritieke punten zijn binnen zo'n scan denk ik dat je die scan beter uit kunt voeren door een bedrijf dat zich daar alle dagen mee bezig houd, dit komt de betrouwbaarheid ten goede namelijk. Als je zelf aan gaat prutsen krijg je geen betrouwbaar beeld van de situatie, ik zou daarom eens rond kijken naar bedrijven die een penetratietest of vulnerability assesment kunnen uitvoeren.
Wij willen zelf een scan ontwikkelen om uit te voeren bij andere bedrijven. Deze zal worden getoetst door 2 onafhankelijke security experts. Wij hebben een exemplaar van de ISO/IEC 27002 norm liggen. Deze willen wij gebruiken om de security scan op te zetten. Ook heb ik collega's die kennis hebben over penetratietesten.
Quote:
Ik zou je gewoon laten auditen op ISO 27001 (management systeem) daarbij moet je duidelijk aangeven welke processen je wil laten auditen. ISO 27001 opzich zegt niet zoveel maar in de state of capatability staat namelijk wat binnen het bedrijf aan de ISO 27001 voldoet, dit kan een bepaald systeem zijn of een bepaalde bedrijfsproces. Het is daarom belangrijk om je zelf af te vragen wat je wilt auditen.
Dit is inderdaad een mogelijkheid. Maar je bedoelt dat we onszelf eerst laten auditen voor dat we scans bij andere bedrijven uitvoeren? Ik heb namelijk security kennis en daarom is mij gevraagd om zo'n security scan op te zetten.
Quote:
Als je niet weet hoe je zoon scan moet opzetten en wat kritieke punten zijn binnen zo'n scan denk ik dat je die scan beter uit kunt voeren door een bedrijf dat zich daar alle dagen mee bezig houd, dit komt de betrouwbaarheid ten goede namelijk. Als je zelf aan gaat prutsen krijg je geen betrouwbaar beeld van de situatie, ik zou daarom eens rond kijken naar bedrijven die een penetratietest of vulnerability assesment kunnen uitvoeren.
Wij willen zelf een scan ontwikkelen om uit te voeren bij andere bedrijven. Deze zal worden getoetst door 2 onafhankelijke security experts. Wij hebben een exemplaar van de ISO/IEC 27002 norm liggen. Deze willen wij gebruiken om de security scan op te zetten. Ook heb ik collega's die kennis hebben over penetratietesten.
Quote:
er zijn al zoveel dingen heb er zelfs zelf een in elkaar gezet check livescan op www.livescan.nl.
Wij willen in eigen beheer security scans uitvoeren en zelf ontwikkelen. Heeft u tips aangezien u
er zelf een ontwikkeld heeft?
er zijn al zoveel dingen heb er zelfs zelf een in elkaar gezet check livescan op www.livescan.nl.
Wij willen in eigen beheer security scans uitvoeren en zelf ontwikkelen. Heeft u tips aangezien u
er zelf een ontwikkeld heeft?
21-05-2010, 23:42 door
cryptomannetje
Ik ben het met Predjuh en anoniem 13.08u eens dat je het in feite over een audit hebt. Deze dien je idd uit te voeren tegen een bepaalde standaard die eerst uitgevoerd moet zijn bij de klant.
De klant (of jullie) zal eerst een A&K-achtige (afhankelijk en kwetsbaarheid) analyse moeten (laten) uitvoeren waarmee je de technische, organisatorische-, personele en fysieke maatregelen te weten komt. Dan doe je vervolgens een nul-meting en dan weet je welke maatregelen al in place zijn en de delta geeft je de uit te voeren maatregelen. Als laatste zou je na verloop van de tijd de effectiviteit van de maatregelen kunnen verifi?ren. Je checkt dan alles eerst in opzet (na de A&K analyse), in bestaan (na de implementatie) en in werking (de check op effectiviteit).
Er zijn verschillende A&K methodieken in omloop, waarvan het Engelse CRAMM er een is en de ISO 27001 een best practise geeft. Google zal je op weg helpen er meerdere alternatieven voor te vinden.
De methodiek die jij in 1e instantie beschrijft lijkt veel weg te hebben van een systeemscan en een pen-test achtige uitvoering.
Veel succes met je klus.
De klant (of jullie) zal eerst een A&K-achtige (afhankelijk en kwetsbaarheid) analyse moeten (laten) uitvoeren waarmee je de technische, organisatorische-, personele en fysieke maatregelen te weten komt. Dan doe je vervolgens een nul-meting en dan weet je welke maatregelen al in place zijn en de delta geeft je de uit te voeren maatregelen. Als laatste zou je na verloop van de tijd de effectiviteit van de maatregelen kunnen verifi?ren. Je checkt dan alles eerst in opzet (na de A&K analyse), in bestaan (na de implementatie) en in werking (de check op effectiviteit).
Er zijn verschillende A&K methodieken in omloop, waarvan het Engelse CRAMM er een is en de ISO 27001 een best practise geeft. Google zal je op weg helpen er meerdere alternatieven voor te vinden.
De methodiek die jij in 1e instantie beschrijft lijkt veel weg te hebben van een systeemscan en een pen-test achtige uitvoering.
Veel succes met je klus.
Bedankt voor je uitgebreide reactie. Het is in feite inderdaad een audit. Heeft iemand anders er nog andere ideeën over?
Denk ook eens aan de OSSTMM, die hiervoor ontwikkeld is:
www.osstmm.org
Neemt niet alleen techniek maar ook organisatie mee in het proces. Mogelijk is de handleidnig een aanvulling voor je op de ISO/NEN/BS normen
www.osstmm.org
Neemt niet alleen techniek maar ook organisatie mee in het proces. Mogelijk is de handleidnig een aanvulling voor je op de ISO/NEN/BS normen
Door Anoniem: Denk ook eens aan de OSSTMM, die hiervoor ontwikkeld is:
www.osstmm.org
Neemt niet alleen techniek maar ook organisatie mee in het proces. Mogelijk is de handleidnig een aanvulling voor je op de ISO/NEN/BS normen
www.osstmm.org
Neemt niet alleen techniek maar ook organisatie mee in het proces. Mogelijk is de handleidnig een aanvulling voor je op de ISO/NEN/BS normen
Bedankt voor de tips! Ieder die er nog meer heeft is welkom.
Interessante discussie. Ons bedrijf heeft uitgebreide kennis in het uitvoeren van IT audits en we hebben ook (technische) IT auditors (Register edp auditors) in dienst. Het uitvoeren van een security check is geen sinecure! Je hebt met verschillende aspecten te maken zoals: kun je zomaar Nessus / Nmap uitvoeren op een site van een onderneming. Nee, hiervoor dien je organisatorische en technische maatregelen te treffen.
Daarnaast heb je te maken met aspecten zoals onafhankelijkheid, objectiviteit en geheimhouding. Ik denk dat je wel ervoor moet zorgen dat dit aantoonbaar gewaarborgd is.
Daarnaast dient een rapportage en de concluise die je trekt voldoende onderbouwd te zijn dat voor alle betrokkenen duidelijk is wat de scope, diepgang en gehanteerde normenkader is. Of beperk je tot het uitvoeren van een feitenrapportage zonder conclusie en met een "negatieve" rapportage.
Het is een terrein waarbij je je dient te realiseren dat vastgestelde hiaten op de juiste wijze worden vertaald naar de situatie van het soort bedrijf: inlevingsvermogen.
Ik denk daarom dat hier geen sprake dient te zijn van een audit maar eerder een eenvoudig security check zonder oordeelsvorming.
Daarnaast heb je te maken met aspecten zoals onafhankelijkheid, objectiviteit en geheimhouding. Ik denk dat je wel ervoor moet zorgen dat dit aantoonbaar gewaarborgd is.
Daarnaast dient een rapportage en de concluise die je trekt voldoende onderbouwd te zijn dat voor alle betrokkenen duidelijk is wat de scope, diepgang en gehanteerde normenkader is. Of beperk je tot het uitvoeren van een feitenrapportage zonder conclusie en met een "negatieve" rapportage.
Het is een terrein waarbij je je dient te realiseren dat vastgestelde hiaten op de juiste wijze worden vertaald naar de situatie van het soort bedrijf: inlevingsvermogen.
Ik denk daarom dat hier geen sprake dient te zijn van een audit maar eerder een eenvoudig security check zonder oordeelsvorming.
Door Anoniem: Interessante discussie. Ons bedrijf heeft uitgebreide kennis in het uitvoeren van IT audits en we hebben ook (technische) IT auditors (Register edp auditors) in dienst. Het uitvoeren van een security check is geen sinecure! Je hebt met verschillende aspecten te maken zoals: kun je zomaar Nessus / Nmap uitvoeren op een site van een onderneming. Nee, hiervoor dien je organisatorische en technische maatregelen te treffen.
Daarnaast heb je te maken met aspecten zoals onafhankelijkheid, objectiviteit en geheimhouding. Ik denk dat je wel ervoor moet zorgen dat dit aantoonbaar gewaarborgd is.
Daarnaast dient een rapportage en de concluise die je trekt voldoende onderbouwd te zijn dat voor alle betrokkenen duidelijk is wat de scope, diepgang en gehanteerde normenkader is. Of beperk je tot het uitvoeren van een feitenrapportage zonder conclusie en met een "negatieve" rapportage.
Het is een terrein waarbij je je dient te realiseren dat vastgestelde hiaten op de juiste wijze worden vertaald naar de situatie van het soort bedrijf: inlevingsvermogen.
Ik denk daarom dat hier geen sprake dient te zijn van een audit maar eerder een eenvoudig security check zonder oordeelsvorming.
Daarnaast heb je te maken met aspecten zoals onafhankelijkheid, objectiviteit en geheimhouding. Ik denk dat je wel ervoor moet zorgen dat dit aantoonbaar gewaarborgd is.
Daarnaast dient een rapportage en de concluise die je trekt voldoende onderbouwd te zijn dat voor alle betrokkenen duidelijk is wat de scope, diepgang en gehanteerde normenkader is. Of beperk je tot het uitvoeren van een feitenrapportage zonder conclusie en met een "negatieve" rapportage.
Het is een terrein waarbij je je dient te realiseren dat vastgestelde hiaten op de juiste wijze worden vertaald naar de situatie van het soort bedrijf: inlevingsvermogen.
Ik denk daarom dat hier geen sprake dient te zijn van een audit maar eerder een eenvoudig security check zonder oordeelsvorming.
Bedankt voor het delen van uw ervaringen! Het moet echter wel een uitgebreide scan worden die op maat dient te worden toegepast inclusief wat u al zegt.
31-05-2010, 16:42 door
Security Scene Team
Ja huur 'n Ervaren Pen-tester in.
het is namelijk niet zo datje even 123 via n zoekmachine programmas vind die al het werk voorje doen. (zo simpel is het nou eenmaal niet)
ik raadje aan om Boekken te lezen over Pentesting.
de ontwikkeling hiervan is ook niet erg moeilijk en al die dure programmas (zoals Acunetix) geven VAAK, False/positives aan.
er zijn in de omloop erg veel en erg goede programmas verkrijgbaar die elke link en Reversed IPs Controleert.
mocht je meer info willen, kunje me altijd even een berichtje sturen.
Ook kan ik eventueel mijn diensten ter beschikking stellen als Pentester.
Contact:
RinusPostma@ssteam.ws
Mvg
het is namelijk niet zo datje even 123 via n zoekmachine programmas vind die al het werk voorje doen. (zo simpel is het nou eenmaal niet)
ik raadje aan om Boekken te lezen over Pentesting.
de ontwikkeling hiervan is ook niet erg moeilijk en al die dure programmas (zoals Acunetix) geven VAAK, False/positives aan.
er zijn in de omloop erg veel en erg goede programmas verkrijgbaar die elke link en Reversed IPs Controleert.
mocht je meer info willen, kunje me altijd even een berichtje sturen.
Ook kan ik eventueel mijn diensten ter beschikking stellen als Pentester.
Contact:
RinusPostma@ssteam.ws
Mvg
Dankjewel voor je tip. Ik heb boek(en) beschikbaar. Wat zijn volgens jou goede programma's dan?
07-06-2010, 15:08 door
Ron_ld
Neem eens contact op met ons (ISSX, Hilversum). Wij zijn gespecialiseerd in het uitvoeren van penetratiesten, IT audits etc.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Netwerk Security Engineer
Luchtverkeersleiding Nederland
Als Netwerk Security Engineer ontwerp en optimaliseer je onze technische netwerk- en beveiligingsinfrastructuur. Je stuurt tech-nische veranderingen aan op basis van de gestelde architectuur kaders en helpt mee met de uitvoering ervan. Ben jij een gedreven professional met passie voor netwerk-beveiliging? Dan is deze functie als Netwerk Security Engineer bij Luchtverkeersleiding Nederland (LVNL) iets voor jou!
Lead Network Security Engineer
Luchtverkeersleiding Nederland
Word Lead Network Security Engineer bij LVNL. Ontwerp en implementeer security-oplossingen die de luchtverkeersleidings-systemen veilig houden. Solliciteer nu en draag bij aan onze cyberweerbaarheid! Als Lead Network Security Engineer bij LVNL ben je verantwoordelijk voor het ontwerpen, implementeren en optimaliseren van de netwerkbeveiliging die cruciaal is voor de veilige en efficiënte werking van het luchtverkeersleidingssysteem in Nederland.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?