Computerbeveiliging
- Hoe je bad guys buiten de deur houdt
de schuldige zijn wij zelf!
22-06-2011, 09:04 door Securitate, 7 reacties
natuurlijk niet allemaal persoonlijk, maar wel als groep.
het is te kort door de bocht bedrijven de schuld te geven van onveilige systemen.
in eerste instantie zijn WIJ het die ze hebben geleverd.
dat gebeurt op basis van bestaande technologie, naar beste eer en geweten, maar toch.
kennelijk zijn de krakers sneller dan de herstellers van de software.
op dit punt komt wel een verwijt aan de bedrijven, de managers, namelijk hun angst op tijdig te patchen.
een groot bedrijf loopt rustig een half jaar achter, minimaal, tot ZIJ het gevoel hebben dat de patches zich hebben bewezen.
het vervelende is dat zij een behoorlijke verantwoordelijkheid dragen, je wilt geen foute patch met gevolgschade.
niemand wil negatief in het nieuws komen, dit risico willen ze dus beperken.
helaas is er een afrekencultuur binnen de bedrijven, of dat voelen zij zo.
blijft dat het patchen zwaar achter loopt.
ook aanpassen van een bestaand systeem gebeurt heel langzaam, als het al gebeurt.
uit angst voor het onbekende, mogelijke conversie, veel organisatorisch gedoe, en vooral extra kosten.
hoe lossen we dit nu op?
bedrijven die gegevens van anderen online hebben vallen onder regelgeving voor privacy.
maak niet voldoen hieraan strafbaar.
kun je aantonen dat er een lek is en het bedrijf herstelt het niet, meldt dit dan bij het centrale punt.
zij moeten de bevoegdheid hebben om de site evt offline te halen tot het hersteld is.
dit klinkt mooi, maar willen we dit?
een stok kan natuurlijk ook jezelf slaan.
het is te kort door de bocht bedrijven de schuld te geven van onveilige systemen.
in eerste instantie zijn WIJ het die ze hebben geleverd.
dat gebeurt op basis van bestaande technologie, naar beste eer en geweten, maar toch.
kennelijk zijn de krakers sneller dan de herstellers van de software.
op dit punt komt wel een verwijt aan de bedrijven, de managers, namelijk hun angst op tijdig te patchen.
een groot bedrijf loopt rustig een half jaar achter, minimaal, tot ZIJ het gevoel hebben dat de patches zich hebben bewezen.
het vervelende is dat zij een behoorlijke verantwoordelijkheid dragen, je wilt geen foute patch met gevolgschade.
niemand wil negatief in het nieuws komen, dit risico willen ze dus beperken.
helaas is er een afrekencultuur binnen de bedrijven, of dat voelen zij zo.
blijft dat het patchen zwaar achter loopt.
ook aanpassen van een bestaand systeem gebeurt heel langzaam, als het al gebeurt.
uit angst voor het onbekende, mogelijke conversie, veel organisatorisch gedoe, en vooral extra kosten.
hoe lossen we dit nu op?
bedrijven die gegevens van anderen online hebben vallen onder regelgeving voor privacy.
maak niet voldoen hieraan strafbaar.
kun je aantonen dat er een lek is en het bedrijf herstelt het niet, meldt dit dan bij het centrale punt.
zij moeten de bevoegdheid hebben om de site evt offline te halen tot het hersteld is.
dit klinkt mooi, maar willen we dit?
een stok kan natuurlijk ook jezelf slaan.
Reacties (7)
22-06-2011, 09:44 door
Nimrod
Wow een leuk verhaal.. Maar misschien de volgende keer even wat meer hoofdletters gebruiken en even letten op je zinsbouw. Dit is namelijk een beetje lastig lezen.
22-06-2011, 10:16 door
Bitwiper
Het niet voldoen aan privacywetgeving kan, meen ik, al tot boetes leiden.
Voor zover ik weet zijn Nederlandse bedrijven, organisaties en overheden nu niet verplicht om de diefstal van privacygevoelige gegevens (onmiddellijk) en publiekelijk te melden. Ik vermoed dat we met zo'n meldplicht een flinke stap voorwaarts zouden kunnen maken. Overigens is op tijd patchen slechts een deel van de oplossing (daarmee voorkom je targeted attacks middels 0day's, zoals bij RSA security gebruikt zou zijn, niet).
In verschillende US staten is melden al wel verplicht, maar de onderlinge wetgeving loopt uiteen. De roep om federale wetgeving in de USA wordt steeds groter, zie bijv. http://www.net-security.org/article.php?id=1606.
Voor zover ik weet zijn Nederlandse bedrijven, organisaties en overheden nu niet verplicht om de diefstal van privacygevoelige gegevens (onmiddellijk) en publiekelijk te melden. Ik vermoed dat we met zo'n meldplicht een flinke stap voorwaarts zouden kunnen maken. Overigens is op tijd patchen slechts een deel van de oplossing (daarmee voorkom je targeted attacks middels 0day's, zoals bij RSA security gebruikt zou zijn, niet).
In verschillende US staten is melden al wel verplicht, maar de onderlinge wetgeving loopt uiteen. De roep om federale wetgeving in de USA wordt steeds groter, zie bijv. http://www.net-security.org/article.php?id=1606.
22-06-2011, 10:19 door
Mysterio
Daarnaast is het een verhaal wat aangeeft dat je redelijk machteloos bent.
Je kunt niet zomaar, zonder te testen, updates uitrollen. Javascript alleen al geeft genoeg problemen op de gemiddelde applicatie server. Altijd weer dat gekloot met maatwerk wat het niet meer doet zodra je Java versie up to date is.
Je kunt ook niet zomaar alle Microsoft patches uitrollen. Kortom: Mooi plan, maar onhaalbaar.
Je kunt niet zomaar, zonder te testen, updates uitrollen. Javascript alleen al geeft genoeg problemen op de gemiddelde applicatie server. Altijd weer dat gekloot met maatwerk wat het niet meer doet zodra je Java versie up to date is.
Je kunt ook niet zomaar alle Microsoft patches uitrollen. Kortom: Mooi plan, maar onhaalbaar.
@ nimrod: je moet het niet lezen als een gewone forumpost, maar als een haiku.
22-06-2011, 10:58 door
Securitate
gezien de reacties blijkt dat we moeten oppassen met de term 'schuldige'.
ongeteste patches kunnen vreemde problemen veroorzaken, dat wil niemand.
bedenk een bank werkt per dag, potje in potje uit, paar dagen fout betekent enorme reputatieschade en mogelijk faillissement.
wel lijkt me dat 6 maanden achterlopen tamelijk lang is.
dit moet met wat goeie wil te verbeteren zijn.
er kan vast ook een onderscheid gemaakt worden tussen intern en extern gerichte systemen, dus sneller danwel met gepaste snelheid patchen.
indien toegepaste technologie later bewezen onveilig is dient het wel vervangen te worden.
eigenlijk ben ik nooit zo voorstander van wetgeving, hoop meer op gezond verstand, discussie.
bedrijven zullen nooit zelf als eerste melden, juridische afdeling houdt dat tegen, communicatie ook.
verschuilen achter sla heb ik nooit begrepen, opdrachtgever en leverancier behoren op basis van vertrouwen te kunnen werken.
laat deze laatste regel nog eens goed inwerken.
een extern meldpunt zou kunnen helpen bij instellingen die gewoon traineren.
0day doe je niks tegen.
ook insiders doe je niks tegen, altijd degenen waarvan je het niet verwacht.
tenminste, als je de logs en informatiestromen niet afzet tegen 'normgedrag'.
afwijkende zaken kun je dus afbreken, voorkomen is teveel gevraagd.
aldus blijven we achter de feiten aanlopen.
wil je minder kans op risico dan zul je intern en extern strikt dienen te scheiden.
maar kan dat nog in het huidige tijdbeeld?
zonder mail en internet access?
dat gaat minimaal ten koste van je efficiency.
toch zullen er hier beperkingen dienen te komen.
ongeteste patches kunnen vreemde problemen veroorzaken, dat wil niemand.
bedenk een bank werkt per dag, potje in potje uit, paar dagen fout betekent enorme reputatieschade en mogelijk faillissement.
wel lijkt me dat 6 maanden achterlopen tamelijk lang is.
dit moet met wat goeie wil te verbeteren zijn.
er kan vast ook een onderscheid gemaakt worden tussen intern en extern gerichte systemen, dus sneller danwel met gepaste snelheid patchen.
indien toegepaste technologie later bewezen onveilig is dient het wel vervangen te worden.
eigenlijk ben ik nooit zo voorstander van wetgeving, hoop meer op gezond verstand, discussie.
bedrijven zullen nooit zelf als eerste melden, juridische afdeling houdt dat tegen, communicatie ook.
verschuilen achter sla heb ik nooit begrepen, opdrachtgever en leverancier behoren op basis van vertrouwen te kunnen werken.
laat deze laatste regel nog eens goed inwerken.
een extern meldpunt zou kunnen helpen bij instellingen die gewoon traineren.
0day doe je niks tegen.
ook insiders doe je niks tegen, altijd degenen waarvan je het niet verwacht.
tenminste, als je de logs en informatiestromen niet afzet tegen 'normgedrag'.
afwijkende zaken kun je dus afbreken, voorkomen is teveel gevraagd.
aldus blijven we achter de feiten aanlopen.
wil je minder kans op risico dan zul je intern en extern strikt dienen te scheiden.
maar kan dat nog in het huidige tijdbeeld?
zonder mail en internet access?
dat gaat minimaal ten koste van je efficiency.
toch zullen er hier beperkingen dienen te komen.
22-06-2011, 11:25 door
Mysterio
SLA's zijn er omdat werken op vertrouwensbasis niet werkt. Wetgeving is het resultaat van gezond verstand. Wetgeving zorgt er juist voor dat je banken op de kop kan geven als ze 6 maanden onveilig werken.
Wat is jouw achtergrond Securitate? Ben je een systeembeheerder of een security officer? Dan weet je dat je intern/extern moet scheiden en dat je niet alle systemen direct aan internet hangt. Sterker nog: zonder proxy en firewall komt er niets op internet.
Tegen insiders is heel wat te doen. Wanneer het gaat om vertrouwelijke informatie heb je allerlei geheimhoudingsverklaringen en zorg je ervoor dat mensen niet meer toegang hebben dan ze nodig hebben om hun werk te doen. Lekt er broncode uit, dan weet je welke groep mensen je moet aanpakken. En trust me: Als je ontslagen wordt omdat je bedrijfsgeheimen lekt kom je niet meer zo makkelijk aan de bak.
Reputatie is voor een financiële instantie momenteel van levensbelang. Er is weinig ruimte voor een vertrouwenscrisis. Vertrekken jouw klanten dan hou je het niet meer vol. Daarom weeg je af of je patch a wel of niet moet uitrollen nu je net een nieuw product klaar hebt.
Er moet wel een soort van toezichthouder komen. Een onafhankelijk testorgaan wat jouw infrastructuur toetst en aan de hand van dat rapport mag je werken of niet. Nu is dat te beperkt en te globaal.
Wat is jouw achtergrond Securitate? Ben je een systeembeheerder of een security officer? Dan weet je dat je intern/extern moet scheiden en dat je niet alle systemen direct aan internet hangt. Sterker nog: zonder proxy en firewall komt er niets op internet.
Tegen insiders is heel wat te doen. Wanneer het gaat om vertrouwelijke informatie heb je allerlei geheimhoudingsverklaringen en zorg je ervoor dat mensen niet meer toegang hebben dan ze nodig hebben om hun werk te doen. Lekt er broncode uit, dan weet je welke groep mensen je moet aanpakken. En trust me: Als je ontslagen wordt omdat je bedrijfsgeheimen lekt kom je niet meer zo makkelijk aan de bak.
Reputatie is voor een financiële instantie momenteel van levensbelang. Er is weinig ruimte voor een vertrouwenscrisis. Vertrekken jouw klanten dan hou je het niet meer vol. Daarom weeg je af of je patch a wel of niet moet uitrollen nu je net een nieuw product klaar hebt.
Er moet wel een soort van toezichthouder komen. Een onafhankelijk testorgaan wat jouw infrastructuur toetst en aan de hand van dat rapport mag je werken of niet. Nu is dat te beperkt en te globaal.
22-06-2011, 12:20 door
Securitate
Door Mysterio: SLA's zijn er omdat werken op vertrouwensbasis niet werkt. Wetgeving is het resultaat van gezond verstand. Wetgeving zorgt er juist voor dat je banken op de kop kan geven als ze 6 maanden onveilig werken.
Wat is jouw achtergrond Securitate? Ben je een systeembeheerder of een security officer? Dan weet je dat je intern/extern moet scheiden en dat je niet alle systemen direct aan internet hangt. Sterker nog: zonder proxy en firewall komt er niets op internet.
Tegen insiders is heel wat te doen. Wanneer het gaat om vertrouwelijke informatie heb je allerlei geheimhoudingsverklaringen en zorg je ervoor dat mensen niet meer toegang hebben dan ze nodig hebben om hun werk te doen. Lekt er broncode uit, dan weet je welke groep mensen je moet aanpakken. En trust me: Als je ontslagen wordt omdat je bedrijfsgeheimen lekt kom je niet meer zo makkelijk aan de bak.
Reputatie is voor een financiële instantie momenteel van levensbelang. Er is weinig ruimte voor een vertrouwenscrisis. Vertrekken jouw klanten dan hou je het niet meer vol. Daarom weeg je af of je patch a wel of niet moet uitrollen nu je net een nieuw product klaar hebt.
Er moet wel een soort van toezichthouder komen. Een onafhankelijk testorgaan wat jouw infrastructuur toetst en aan de hand van dat rapport mag je werken of niet. Nu is dat te beperkt en te globaal.
zoals de waard is vertrouwd hij zijn gasten.Wat is jouw achtergrond Securitate? Ben je een systeembeheerder of een security officer? Dan weet je dat je intern/extern moet scheiden en dat je niet alle systemen direct aan internet hangt. Sterker nog: zonder proxy en firewall komt er niets op internet.
Tegen insiders is heel wat te doen. Wanneer het gaat om vertrouwelijke informatie heb je allerlei geheimhoudingsverklaringen en zorg je ervoor dat mensen niet meer toegang hebben dan ze nodig hebben om hun werk te doen. Lekt er broncode uit, dan weet je welke groep mensen je moet aanpakken. En trust me: Als je ontslagen wordt omdat je bedrijfsgeheimen lekt kom je niet meer zo makkelijk aan de bak.
Reputatie is voor een financiële instantie momenteel van levensbelang. Er is weinig ruimte voor een vertrouwenscrisis. Vertrekken jouw klanten dan hou je het niet meer vol. Daarom weeg je af of je patch a wel of niet moet uitrollen nu je net een nieuw product klaar hebt.
Er moet wel een soort van toezichthouder komen. Een onafhankelijk testorgaan wat jouw infrastructuur toetst en aan de hand van dat rapport mag je werken of niet. Nu is dat te beperkt en te globaal.
een sla is niet alleen een afspraak maar vooral een juridisch verhaal geworden.
sla je leverancier en hij is niet meer proactief behulpzaam.
dit is tevens de reden dat bijna alle outsourcing fout loopt, afwijkende verwachtingen en angst.
zelf heb ik vaak bij financiele instellingen gewerkt, als techneut met zicht op het geheel.
natuurlijk is er een scheiding en loopt veel over mq en bv tandem, nooit rechtstreeks met de core business.
toch is vooral het lan, ondanks firewall/proxy tamelijk intiem aan internet gekoppeld.
foute mail komt toch door.
ik ken de verdeel en heers technieken, die zorgen vooral voor een onprettige werksituatie.
het beperkt je ontwikkeling als techneut tot een simpele taakuitvoerder waar tailor trots op zou zijn geweest.
om deze reden gebeurt er weinig binnen de it, verbetering wordt tegengewerkt door de status quo.
terwijl wel gevraagd wordt naar een zo breed mogelijke inzetbaarheid, contradictie.
het is niet leuk om deze zaken te constateren, een vergelijk met eerder, gevolg van leeftijd.
en al dit is de oorzaak van een paar vliegtuigen die op de verkeerde plek zijn geparkeerd.
hoewel ik dit alles begrijp is dit toch een persoonlijke frustratie, mogelijk heb de nieuwe generatie alleen behoefte aan vast inkomen.
laten we er vanuit gaan dat deze instellingen wel doen wat moet, zij hebben te doen met dnb/ecb/sox en wat dies meer zij.
laten we ons richten op andere omgevingen die vooral extern gericht zijn.
zoek de overeenkomsten.
het gaat kennelijk fout met webserver/database en de diverse frameworks en programma omgevingen, meer specifiek een bepaald gebruik hiervan.
er staat teveel vertrouwelijke info in deze extern benaderbare databases, dat dient gescheiden te worden.
kennelijk draaien er tevens teveel ongewenste services, danwel security is niet strak genoeg.
we praten dan over methoden en technieken.
hier zijn wij verantwoordelijk voor, de inrichting en beheer.
daarom pleit ik ook voor een situatie van vertrouwen tussen klant en leverancier.
samen moeten we het verbeteren.
noem het naief, toch ga ik er vanuit dat iedereen dit wil.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
