Techniek is niet de oplossing; 8 security regels
Traditioneel zien mensen security als iets met firewalls en anti-virus programma's. Ze beschouwen de technologie als de oplossing in plaats van een middel. Door deze opvatting wordt elke security implementatie verzwakt. Security is een proces, geen produkt en moet dan ook zo behandeld worden, aldus Dana Epp die op deze pagina de onderstaande 8 regels voor security behandeld:
1. Rule of Least Privilege
2. Rule of Change Management
3. Rule of Trust
4. Rule of the Weakest Link
5. Rule of Separation
6. Rule of the Three-Fold Process
7. Rule of Preventative Action
8. Rule of Immediate and Proper Response
RULE 1: CLEAN CODE
Ja allemaal mooie theorietjes maar uiteindelijk komt het op dit neer:
RULE 1: CLEAN CODE
Correct in een strikt en volstrekt niet realistische, 1-dimensionale wereld
die alleen uit code staat. In de dagelijkse werkelijkheid is code slechts een
bijverschijnsel. Goede beveiliging bestaat uit een gebalanceerd stelsel van
maatregelen op organisatorisch EN logisch (code) EN fysiek vlak.
stelsel van maatregelen op organisatorisch- EN logisch-
(code) EN fysiek vlak.
aansluiten.
Μπας
Ja allemaal mooie theorietjes maar uiteindelijk komt het op dit neer:
RULE 1: CLEAN CODE
illusie dat je security kunt afdwingen met lauter programmeer regeltjes.
Deze jongens denken dat ze super intelligent zijn, maar feitelijk remmen zij
de vooruitgang.
computers. Dan nog zijn deze regels geldig voor een goede Informatie
Beveiliging.
doorsnee manager onderschat de waarde hiervan. Programmeurs, testers
zet men te vaak onder hoge (tijds)druk wat ten koste gaat van de kwaliteit en
dus veiligheid. Vervolgens probeert men dit te managen met meer
vertrouwde mechanismen.
De vooruitgang wordt met name geremd door consultants en managers die
beweren dat ze vanuit de business redeneren maar zich vervolgens daarbij
wel laten leiden door hun beperkte kennis van de techniek.
Toch zit er wel enige waarheid in de CLEAN CODE opmerking. De
doorsnee manager onderschat de waarde hiervan. Programmeurs, testers
zet men te vaak onder hoge (tijds)druk wat ten koste gaat van de kwaliteit en
dus veiligheid. Vervolgens probeert men dit te managen met meer
vertrouwde mechanismen.
De vooruitgang wordt met name geremd door consultants en managers die
beweren dat ze vanuit de business redeneren maar zich vervolgens daarbij
wel laten leiden door hun beperkte kennis van de techniek.
Regel 1 van SANS over security.
Denk niet door het security probleem te vergeten dat het vanzelf oplost.
Security staat en valt in mijn ogen voornamelijk doordat er te veel mensen
beslissingen nemen met als doel ik wordt hier beter van en de rest WTF...
De vooruitgang wordt met name geremd door consultants en managers
Wel goed lezen "beveiliging kan niet worden afgedwongen met lauter
programeer regeltjes". Zoals de meeste managers weten is het natuurlijk
een samenhang der dingen .
dat dit een van de meest voorkomende problemen is
artikel beperken ook die mogelijkheden. Als je bjiv. in een bar iemands
password weet te ontfutselen (of uit de vuilnisbak, of afkijken met een
verrekijker .....), dan zorgen deze regels ervoor dat je maar beperkt schade
aan kunt richten.
De vooruitgang wordt met name geremd door consultants en managers
Wel goed lezen "beveiliging kan niet worden afgedwongen met lauter
programeer regeltjes". Zoals de meeste managers weten is het natuurlijk
een samenhang der dingen .
De grap is dat de meeste managers zich verschuilen achter een dergelijke
one-liner. Die kennen ze wel, clean-code spreekt ze totaal niet aan (kost tijd,
geld, en ze begrijpen er niets van).
Ze verschuilen zich achter die samenhang om maar niet die enge
programmeurs de ruimte te geven die meer tijd willen voor clean-code.
iemand wel eens gehoord van social engeneering want ik ben
van mening
dat dit een van de meest voorkomende problemen is
Social engeneering werkt zo goed omdat mensen te weinig
kennis hebben van computer & veiligheid. Wat dat betrefd kan
er flink wat verbeterd worden. Het enige dat jongeren
tegenwoordig leren over computers op school is hoe ze een
word of exceldocument aanmaken. Zo krijgen crackers alle kansen!
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
