Burgerlijke waakzaamheid kan hackers hinderen volgens Kevin Mitnick
Bedrijfs security is een illusie, net als financiele privacy, zo laat Kevin Mitnick weten. Uit een pas gehouden onderzoek onder Amerikaanse bedrijven blijkt dat veel bedrijven volledig vertrouwen op apparatuur als het aankomt op beveiliging van data en systemen. Een naieve gedachte zegt Mitnick, want de grootste dreiging komt niet van een technisch defect, maar van mensen. Niet alleen onbetrouwbare medewerkers, maar ook goedwillende systeembeheerders kunnen zonder dat ze het weten hackers in de hand spelen. Oplettende burgers kunnen hackers dan ook behoorlijk hinderen adus Kevin Mitnick.
... Uit een pas gehouden onderzoek onder Amerikaanse bedrijven blijkt dat veel bedrijven volledig vertrouwen op apparatuur als het aankomt op beveiliging van data en systemen. Een naieve gedachte zegt Mitnick, want de grootste dreiging komt niet van een technisch defect, maar van mensen. Niet alleen onbetrouwbare medewerkers, maar ook goedwillende systeembeheerders kunnen zonder dat ze het weten hackers in de hand spelen...
Daar zijn dus security-policy's voor om niet alleen de transacties tussen het interne en externe net te reguleren, maar tevens dat van het interne net zelf.
Doorgaans hebben organisaties, in elk geval blijkbaar de ondervraagde Amerikaanse bedrijven, veel te veel vertrouwen in het interne verkeer. Bij veel bedrijven is het interne net volkomen open en wordt er hoogstens op het 'blacklisting' princiepe gewerkt.
Blacklisting houdt in dat enkel bekende al of niet kwalijke services worden uitgesloten (alles is toegestaan, tenzij expliciet verboden) -- waar beter het tegenovergestelde whitelisting princiepe kan worden toegepast (alles is verboden, tenzij expliciet toegestaan).
Zulks dient zeer zorgvuldig te worden afgewogen en opgenomen in zo'n security-policy, worden toegepast en verifieerd.
Dit geldt evenzo voor bedrijfs-security en computer beveiliging. Wanneer men niet voortdurend en constant de 'gaten' en veiligheidsrisico's bijhoudt en direct beveiliging ertegen inplementeert, loopt het gevaar voortdurend achter de feiten aan te hollen...
Bedrijfs-security is zeker geen illusie.
...
Wanneer men niet voortdurend en constant de 'gaten' en veiligheidsrisico's bijhoudt en direct beveiliging ertegen inplementeert, loopt het gevaar voortdurend achter de feiten aan te hollen...
Precies, daar ben ik het helemaal mee eens.
Dat geldt zowel voor verkeer vanaf buiten het lokale net, alsmede voor het verkeer binnen het lokale net, tot op protocol en systeem niveau.
Whitelisting geeft daarbij o.a. enige houvast bij de controle van systemen en het verkeer onderling - mits men daarnaast attent blijft ten einde de veiligheidsrisico's tot het minimum beperkt te houden voor de zaken die whitelisted zijn.
De initiële implementatie is welliswaar complexer van opzet maar veel beter te beheren.
De grootste vijand van security is gemakzucht en argeloosheid. Men moet de ontwikkelingen maar ook het netwerk zelf blijven monitoren om de beoogde veiligheid hoog te houden.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Information Security Officer (Operationele Techniek)
bij HHNK
Heb jij een passie voor informatiebeveiliging en wil je jouw expertise inzetten in een organisatie met impact? Solliciteer nu! Bij HHNK hechten we veel waarde aan de veiligheid van onze informatie en systemen. Met een breed scala aan operationele techniek (OT) voor onze taken, is het essentieel om deze veilig te houden.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.