Ministerie van Volksgezondheid ontwikkelt scantool voor kwetsbaarheden
Het ministerie van Volksgezondheid is bezig met de ontwikkeling van een scantool voor het vinden van kwetsbaarheden in systemen. KAT, wat staat voor Kwetsbaarheden Analyse Tool, is een opensourcesysteem dat allerlei bestaande tools integreert, alsmede diverse nieuw ontwikkelde securitytests bevat. Zo sluit het aan op zoekmachines als Shodan en Binary Edge.
In totaal werken twintig ontwikkelaars vanuit overheid en bedrijfsleven samen aan dit project Eén van de betrokken partijen is Z-CERT, het Computer Emergency Response Team voor de Nederlandse zorg. Dat wil de tool bruikbaar maken voor de zorgsector. KAT zou in de eerste helft van volgend jaar als opensourceproject beschikbaar moeten komen. Via Openkat.nl kunnen geïnteresseerden zich voor dit traject aanmelden.
Reacties (15)
Ministerie van Volksgezondheid heeft dit initiatief? Vreemde keuze, had eerder J&V of Binnenlandse Zaken verwacht.
Hugo aan de knoppen, als dat maar goed gaat (er zal wel een app voor komen, want voor alle problemen is een app de oplossing ;-)).
Hugo aan de knoppen, als dat maar goed gaat (er zal wel een app voor komen, want voor alle problemen is een app de oplossing ;-)).
Hugo laat een spoor van mislukkingen achter en is nu klaar voor het volgende debacle.
Want bestaande tooling als Rapid7 Nexpose of Tenable Nessus zijn natuurlijk geen bruikbare oplossingen?
Ik snap de business case niet... Er is al een https://en.wikipedia.org/wiki/Metasploit_Project en het zijn niet de software kosten van deze producten die het kostbaar maken. Het draait uiteindelijk om de interpretatie van de uitkomsten en aangezien die interpretatie goeddeels afhankelijk is van kennis van de betreffende omgeving die zich niet door standaard one-size-fits-all algoritmes laat vangen, ga je niets opschieten met de volgende "tool", opensource of anderszins.
Waarom is er uitgerekend iemand bij VWS die nu meent: "verhip, dit kunnen wij als (okee, relatief groot) Nederlands Ministerie echt wel beter"
Redelijk bizar.
Ik snap de business case niet... Er is al een https://en.wikipedia.org/wiki/Metasploit_Project en het zijn niet de software kosten van deze producten die het kostbaar maken. Het draait uiteindelijk om de interpretatie van de uitkomsten en aangezien die interpretatie goeddeels afhankelijk is van kennis van de betreffende omgeving die zich niet door standaard one-size-fits-all algoritmes laat vangen, ga je niets opschieten met de volgende "tool", opensource of anderszins.
Waarom is er uitgerekend iemand bij VWS die nu meent: "verhip, dit kunnen wij als (okee, relatief groot) Nederlands Ministerie echt wel beter"
Redelijk bizar.
Door Anoniem: Want bestaande tooling als Rapid7 Nexpose of Tenable Nessus zijn natuurlijk geen bruikbare oplossingen?
Ik snap de business case niet... Er is al een https://en.wikipedia.org/wiki/Metasploit_Project en het zijn niet de software kosten van deze producten die het kostbaar maken. Het draait uiteindelijk om de interpretatie van de uitkomsten en aangezien die interpretatie goeddeels afhankelijk is van kennis van de betreffende omgeving die zich niet door standaard one-size-fits-all algoritmes laat vangen, ga je niets opschieten met de volgende "tool", opensource of anderszins.
Waarom is er uitgerekend iemand bij VWS die nu meent: "verhip, dit kunnen wij als (okee, relatief groot) Nederlands Ministerie echt wel beter"
Redelijk bizar.
Misschien zien ze het als taak om de systemen i de zorg te bewaken? Een eigen tool, die gestuurd kan worden om specifieke omgevingen te teste, zonder daarmee gegevens naar derden te sturen? En ze gebruiken open source.Ik snap de business case niet... Er is al een https://en.wikipedia.org/wiki/Metasploit_Project en het zijn niet de software kosten van deze producten die het kostbaar maken. Het draait uiteindelijk om de interpretatie van de uitkomsten en aangezien die interpretatie goeddeels afhankelijk is van kennis van de betreffende omgeving die zich niet door standaard one-size-fits-all algoritmes laat vangen, ga je niets opschieten met de volgende "tool", opensource of anderszins.
Waarom is er uitgerekend iemand bij VWS die nu meent: "verhip, dit kunnen wij als (okee, relatief groot) Nederlands Ministerie echt wel beter"
Redelijk bizar.
De testversie(?) staat op Brenno zijn site: https://kat.timabang.nl/ ;)
Door majortom: Ministerie van Volksgezondheid heeft dit initiatief? Vreemde keuze, had eerder J&V of Binnenlandse Zaken verwacht.
Hugo aan de knoppen, als dat maar goed gaat (er zal wel een app voor komen, want voor alle problemen is een app de oplossing ;-)).
Hugo aan de knoppen, als dat maar goed gaat (er zal wel een app voor komen, want voor alle problemen is een app de oplossing ;-)).
@ majortom,
Je legt mij jouw woorden in de mond!
:-)
Door Anoniem: Want bestaande tooling als Rapid7 Nexpose of Tenable Nessus zijn natuurlijk geen bruikbare oplossingen?
Ik snap de business case niet... Er is al een https://en.wikipedia.org/wiki/Metasploit_Project en het zijn niet de software kosten van deze producten die het kostbaar maken. Het draait uiteindelijk om de interpretatie van de uitkomsten en aangezien die interpretatie goeddeels afhankelijk is van kennis van de betreffende omgeving die zich niet door standaard one-size-fits-all algoritmes laat vangen, ga je niets opschieten met de volgende "tool", opensource of anderszins.
Waarom is er uitgerekend iemand bij VWS die nu meent: "verhip, dit kunnen wij als (okee, relatief groot) Nederlands Ministerie echt wel beter"
Redelijk bizar.
Ik snap de business case niet... Er is al een https://en.wikipedia.org/wiki/Metasploit_Project en het zijn niet de software kosten van deze producten die het kostbaar maken. Het draait uiteindelijk om de interpretatie van de uitkomsten en aangezien die interpretatie goeddeels afhankelijk is van kennis van de betreffende omgeving die zich niet door standaard one-size-fits-all algoritmes laat vangen, ga je niets opschieten met de volgende "tool", opensource of anderszins.
Waarom is er uitgerekend iemand bij VWS die nu meent: "verhip, dit kunnen wij als (okee, relatief groot) Nederlands Ministerie echt wel beter"
Redelijk bizar.
En als het dan toch voor nop moet is OpenVas nog altijd een optie.
Forensisch geborgde opslag van bewijsmateriaal is één van de basis-ingrediënten van KAT.
Forensisch bewijsmateriaal?? Wat moet een ministerie van volksgezondheid daarmee? Is ze opeens een nevenvestiging voor justitie?Door Anoniem: Want bestaande tooling als Rapid7 Nexpose of Tenable Nessus zijn natuurlijk geen bruikbare oplossingen?
Als er een potje met geld is, dan moet dat uitgegeven worden. Anders wordt een jaar later gekort op dat potje. Vervolgens roep wat ongefundeerd iets over 'marktfalen', over hoe bestaande oplossingen/diensten niet bieden wat je wilt hebben; En tadaa: je kan opeens als overheidsinstantie je eigen kwetsbaarhedenscanner ontwikkelen.Maar laten we het positief bekijken, het wordt wel allemaal open source. Daar kunnen andere IT projecten nog wat van leren.
Door Anoniem:
En als het dan toch voor nop moet is OpenVas nog altijd een optie.
Door Anoniem: Want bestaande tooling als Rapid7 Nexpose of Tenable Nessus zijn natuurlijk geen bruikbare oplossingen?
Ik snap de business case niet... Er is al een https://en.wikipedia.org/wiki/Metasploit_Project en het zijn niet de software kosten van deze producten die het kostbaar maken. Het draait uiteindelijk om de interpretatie van de uitkomsten en aangezien die interpretatie goeddeels afhankelijk is van kennis van de betreffende omgeving die zich niet door standaard one-size-fits-all algoritmes laat vangen, ga je niets opschieten met de volgende "tool", opensource of anderszins.
Waarom is er uitgerekend iemand bij VWS die nu meent: "verhip, dit kunnen wij als (okee, relatief groot) Nederlands Ministerie echt wel beter"
Redelijk bizar.
Ik snap de business case niet... Er is al een https://en.wikipedia.org/wiki/Metasploit_Project en het zijn niet de software kosten van deze producten die het kostbaar maken. Het draait uiteindelijk om de interpretatie van de uitkomsten en aangezien die interpretatie goeddeels afhankelijk is van kennis van de betreffende omgeving die zich niet door standaard one-size-fits-all algoritmes laat vangen, ga je niets opschieten met de volgende "tool", opensource of anderszins.
Waarom is er uitgerekend iemand bij VWS die nu meent: "verhip, dit kunnen wij als (okee, relatief groot) Nederlands Ministerie echt wel beter"
Redelijk bizar.
En als het dan toch voor nop moet is OpenVas nog altijd een optie.
...Want jullie weten precies wat deze tool doet, en dat de business case volledig kan worden ingevuld door bestaande tooling?
Kom eens een keer met een degelijk onderbouwde beargumentatie in plaats van gelijk te haten op de overheid.
20 ontwikkelaars werken aan een project om een eigen nieuwe scanner te bouwen… natuurlijk een leuk project voor betrokken engineers, en mooi dat het opensource is (blijft toch ons belastinggeld). Maar 20 fte op Security kun je toch een stuk efficiënter inzetten. Zoals hierboven ook al werd gezegd, bv met het daadwerkelijk veilig maken van zorg systemen, strak opvolgen van bevindingen uit standaard tools en tests etc. Ik wou dat ik 20 man tot m’n beschikking had…ook het ministerie van volksgezondheid is niet zo speciaal dat ze eigen ontwikkelde tools nodig hebben, de business case ontgaat mij ook. Behalve dan als dit een idee is van een externe consultant
Wat fijn dat iedereen gelijk zijn/haar mening klaar heeft. En vooral erg positief.
Misschien is dit wel een tool die basaal scannen op vulnerabilities mogelijk maakt voor het gemiddelde MKB bedrijf zonder budget voor dure IT-ers en sophisticated tools. En dan nog een fijne Jip & Janneke uitleg er bij, zodat deze MKB-ers snappen dat ze kwetsbaar zijn en er wellicht verstandig aan doen om bepaalde zaken toch op (te laten) lossen.
Misschien is dit wel een tool die basaal scannen op vulnerabilities mogelijk maakt voor het gemiddelde MKB bedrijf zonder budget voor dure IT-ers en sophisticated tools. En dan nog een fijne Jip & Janneke uitleg er bij, zodat deze MKB-ers snappen dat ze kwetsbaar zijn en er wellicht verstandig aan doen om bepaalde zaken toch op (te laten) lossen.
Door majortom: Ministerie van Volksgezondheid heeft dit initiatief? Vreemde keuze, had eerder J&V of Binnenlandse Zaken verwacht.
Hugo aan de knoppen, als dat maar goed gaat (er zal wel een app voor komen, want voor alle problemen is een app de oplossing ;-)).
Hugo aan de knoppen, als dat maar goed gaat (er zal wel een app voor komen, want voor alle problemen is een app de oplossing ;-)).
Denk door "Eén van de betrokken partijen is Z-CERT, het Computer Emergency Response Team voor de Nederlandse zorg."
Deze Z-Cert partij is al heel erg betrokken en actief in de zorg sector, zij zullen wel dit geinitieerd hebben.
Zie : https://www.z-cert.nl/
24-11-2021, 21:15 door
Eric-Jan H te D
Je kunt niet ontkennen dat het met gezondheid te maken heeft. Hugo heeft de evaluatie al klaar: "We hebben prachtig werk geleverd; meer en sneller dan gepland en beter"
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
