Security Professionals - ipfw add deny all from eindgebruikers to any

Aanbestedingen en beveiliging

25-05-2019, 19:51 door Anoniem, 4 reacties
In (openbare) aanbestedingen zie ik regelmatig informatie wat wellicht handig is voor kwaadwillenden. Denk aan netwerk topogiën, informatie omtrent accounts, configuraties, et cetera. Ik vraag me af of deze informatie er wel in moet staan. Weet iemand hoe dit zit? Zijn er geen procedures oid voor “aanbesteders” waarin dergelijke onderwerpen worden benoemd?
Reacties (4)
25-05-2019, 21:31 door karma4
Door Anoniem: In (openbare) aanbestedingen zie ik regelmatig informatie wat wellicht handig is voor kwaadwillenden. Denk aan netwerk topogiën, informatie omtrent accounts, configuraties, et cetera. Ik vraag me af of deze informatie er wel in moet staan. Weet iemand hoe dit zit? Zijn er geen procedures oid voor “aanbesteders” waarin dergelijke onderwerpen worden benoemd?
Wat is je probleem als dat soort zaken benoemd worden?
- Een goede beveiliging is juist onafhankelijk van die kennis.
- heb je een kwaadwillende dan zal hij via insiders snel aan dar soort informatie komen. Gaat het dan mis dan krijgt de buitenwacht maar een half oncontroleerbaar verhaal.

Overigens zie je dan dat bij een aanbesteding de echt gevoelige zaken alleen onderhands aan een beperkt aantal partijen gegeven wordt na een voorselectie.
26-05-2019, 14:27 door Anoniem
Zo zou je het kunnen bekijken. Aan de andere kant wil je zo weinig mogelijk informatie vrij geven aan hackers zodat het lastiger is om allereerst binnen te komen, en ten tweede verder in je netwerk te komen als ze eenmaal binnen zijn. Insiders benaderen neemt meer tijd (geld?) in beslag dan mbv tooling openbare bronnen raadplegen.
26-05-2019, 16:27 door karma4
Door Anoniem: Zo zou je het kunnen bekijken. Aan de andere kant wil je zo weinig mogelijk informatie vrij geven aan hackers zodat het lastiger is om allereerst binnen te komen, en ten tweede verder in je netwerk te komen als ze eenmaal binnen zijn. Insiders benaderen neemt meer tijd (geld?) in beslag dan mbv tooling openbare bronnen raadplegen.
Als je die hackers te slim af wil zijn zul je moeten weten wat normaal en niet normaal is. Het niet normale valt danpas op.

Als je het normale gebruik monitored vastlegt en analyseert beginnen privacy voorvechters te fulmineren dat iedereen bij voorbaat schuldig verklaard is en dat je je niet mag beschermen tegen hackers. Dat helpt de managers die weinig lust tot investeren hebben in dat soort maatregelen (IDS). De makkelijke uitweg is dat die hackers allemaal wel heel slim waren.
26-05-2019, 17:44 door Anoniem
Door Anoniem: Zo zou je het kunnen bekijken. Aan de andere kant wil je zo weinig mogelijk informatie vrij geven aan hackers zodat het lastiger is om allereerst binnen te komen, en ten tweede verder in je netwerk te komen als ze eenmaal binnen zijn. Insiders benaderen neemt meer tijd (geld?) in beslag dan mbv tooling openbare bronnen raadplegen.

Ik ben van mening dat insiders gewoon mensen zijn, alledaagse, die worden voorgelogen door iemand die zegt in de "Security" te werken of ze worden betaald en daarbij gechanteerd na doxing.

Dat maakt geen enkel bedrijf in Nederland veilig. Hoeveel medewerkers heeft een helpdesk bij een provider, een telefoonprovider of een bank? Als je onder een andere naam belt en wat gegevens hebt kun je bij veel bedrijven al informatie krijgen over je target, een medewerker heeft vaak toegang tot de hele database. Dus een medewerker is de echte dreiging.

Goede informatiebeveiliiging behelst dan ook accounting en auditing. Dat als je een bank bent dat zelfs de Fraudehelpdesk niet zomaar in je zaakjes kan snuffelen zonder dat zij zelf gelogd worden. Een Verklaring Omtrent Gedrag en je kunt overal aan de slag.

Winstoogmerk is ook waarom ik deze reactie plaats. Geen winst in geld dan maar in wat anders.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.