Bescherm de infrastructuur met betere encryptie?!

Dit lezen we ook drie keer per jaar, zeker weer een nieuwe wet op komst.....

Waarom staat SMB aan zodat er contact kan worden gemaakt met een SMB-server?
Zoooooooooooo ouderwets.

Als je de security op orde brengt te weten:
- gescheiden netwerken
- per netwerkdeel de componenten (hardware/software) hardenen conform doelstellingen in een risicoklasse
- monitoring wat er gebeurt wat er veranderd en waarom dat gebeurt
Dan ben je een eind op weg.

https://vng.nl/onderwerpenindex/dienstverlening-en-informatiebeleid/informatieveiligheid
https://www.digitaleoverheid.nl/beleid/kwaliteittevredenheid/informatieveiligheid/
https://www.cip-overheid.nl/
https://www.sans.org/security-resources/policies

Een link vanuit de zelfde bron als het redactieartikel: https://www.cert.org/historical/governance/index.cfm
"Governing for enterprise security means viewing adequate security as a non-negotiable requirement of being in business. If an organization's management does not establish and reinforce the business need for effective enterprise security, the organization's desired state of security will not be articulated, achieved, or sustained."

Los geslagen techneuten die enkel met bashing dan merk promotie zijn hiervoor niet zo'n grote zo niet grotere belemmering als managers die uit onkunde de boel maar laten voor wat is.
Waar ik nog steeds geen grip en geen antwoord op heb dat zijn die faals die je ziet aankomen omdat een manager /beslisser persé een product met merk binding moet hebben terwijl het weggegooid is en tot niets zal leiden.

Het zo voor een securityforum mooi zijn als op er echt op security ingegaan zou kunnen worden.
- geen merk promotie / bashing met technische vragen
- politieke management vragen mag, dat is het spel wat in organisaties speelt
- vebertervoorstellen onderzoeksvragen zijn interessant
- marktverhoudingen leveranciers / dienstvereleners (oppassen voor de promotie bashing)
https://resources.sei.cmu.edu/asset_files/Presentation/2007_017_001_52940.pdf pag 16 geeft de aanpak in een top down zonder technische realisatie. Die komt pas als activiteit met onderste laatste stap.

In de praktijk is die realisatie vrijwel ondoenlijk door het niet aligned zijn van de techneuten. Daarmee verklaar je de houding van het C-level om alles aan de dienstverlener over te laten, die weet alles vast beter.

Beste karma4,

Maar dan moet je ook willen verklaren, waarom een dergelijke veiligheidsituatie is komen te ontstaan.

Een mooie vergelijking voor zowel hardware als software kunnen we zien bij een oerhollands soms zelfs ambachtelijk product als "echte kaas" tegenover "kees", een product, dat ontdaan is van natuurlijke bestanddelen en "verbetertd" is door toevoeging van goedkopere andere ingredienten in plaats van de natuurlijke bestanddelen.

In een land als Polen betaal je je bijkans blauw voor een stukje echte kaas en is alles o.i.v. van de buitenlandse industrie "podobno-ser" (d.w.z. nep-kaas) geworden met als laatste nieuw stukje reclame lactose vrije "kees", want echte kaas is het niet. De smaak is derhalve ook om bij te gaan zitten janken. Mensen kopen "rookkaas" om het niet te hoeven proeven.

Hier zie je dus wat er gebeurt als je de winstmakers, CEO's, managers, communicatie- en media experts de vrije teugel laat en alle controle daarop uitkleedt. Je staat letterlijk qua veiligheidsniveau in je blote gat en de grootgraaiers lachen zich een stuip.

Ergo vanmorgen thuis weer genoten van een stukje onbedorven natuurlijke komijn.

Kijk we hoeven hem niet meer elke keer te schrobben, zoals mijn tante in de winkel deed en hij zit nu in een ander korstjasje. Maar ja, hier ook wat vooruitgang. Er is ook jozo-zout en niemand van vooral de dames loopt meer omdat het moet met een struma bult zoals vroeger.

Zelfde gebeurt bij apparaten. Er zijn bevoorbeeld kunststof onderdeeltjes die op een gegeven ogenblik het het snelst begeven, de producent maakt de vervangonderdelen hiervoor juist het prijzigst.

Daarom leiden we niet goed op, daarom weet de IT-er steeds minder van de hoed en de rand, daarom werkt de developer onder grote tijddruk en volgens vast stramien en is meer een kopiist dan een creatieveling.

Een paar zaken zouden kunnen helpen. Kwaliteit onderuit halen ten allen tijde tegengaan, ook al is de druk van politiek en bedrijfsleven en bepaalde interessen nog zo groot. Niet akkoord gaan met minimalistische veiligheid oplossingen, vooral waar het voor het grote publiek niet immer direct controleerbaar is. Later zit een ieder met de gebakken peren.

Een mooi voorbeeld vind ik altijd de jQuery cultuur. Niet afgevoerd wat afgevoerd moet worden. Code gechecked op errors. Ik haal het altijd na controle via retire.insecurity etc. nog eens door een javascript unpacker en check de scripts op XSS/SQL sinks en sources en op "same origin", SRI-hashes, security headers, SSL lekken (PHP ids, 3rd party code e.d.) en lees discussies nog eens na op StackOverflow, daar waar de code net iets langer "loopt" als mogelijkerwijs verwacht. In zulke gevallen en bij bekende onveiligheid constructies is er meestal "stront aan de code-knikker".

Er komen nog een heel scala aan andere overwegingen bij, maar ik meen dat jij je die technische discussie kan voorstellen (hoster reputatie, naamserver configuratie, info proliferatie, enz. enz.).

Willen we zulk een discussie niet aan of de code-kees niet vervangen door echte goede en betrouwbare code-"boerenkaas" a.h.w., dan is ons aller lot voorspelbaar en weten we letterlijk wat we "voor de kiezen krijgen". Het zal naar niets smaken. De eindgebruiker wordt dan gelijk aan een Middeleeuwse neo-feodale onvrije en we worden geregeerd, daarbij geholpen door vriendje onbenul en maatje domgehouden. Willen we dat met zijn allen? Neen, toch?

luntrus

Dank je luntrus. Om kort te zijn eens.
Die technische discussie, tja de teleurstelling dat een ander het beter/goedkoper kan en je vooral niet moet verzetten als het duidelijk fout zit. Vaak genoeg gezien er in gezeten en nog steeds kan ik er slecht tegen.