Hoe verminderen jullie risico's?

‹ Terug naar overzicht
Hoe verminderen jullie risico's?

Onze methodiek is opgebouwd met risico reductie in gedachten, afgedwongen door intern beleid en procedures. Afwijkingen van deze procedures zal alleen gebeuren in ongewone omstandigheden en/of wanneer geautoriseerd door de klant. Wij hebben de risico's onderverdeeld in drie categorieën: systeem, mens en derde partijen. Hieronder per categorie beschrijven we de acties die we ondernemen om deze risico's te minimaliseren.

Hoe verminderen jullie systeem risico's?

Systeem risico's omvatten corruptierisico's en stabiliteitsrisico's en kunnen systemen direct of indirect beïnvloeden. Directe impact treedt op wanneer een systeem zich onverwacht onstabiel gedraagt. Hier zijn een paar voorbeelden van directe impact op systemen:

  • Database corruptie wanneer gegevensrecords of referentiële integriteit worden vernietigd.
  • Routers, switches en andere kritieke systemen kunnen crashen door vulnerability scanners, of zelfs eenvoudige poortscans.
  • Systemen die eenvoudigweg overweldigd worden door de hoeveelheid data die een scan kan genereren.

Directe, negatieve impact op systemen kan optreden, zelfs met vertrouwde tools zoals Nmap-poortscanner. Indirecte impact treedt op wanneer niet-gerichte systemen of processen worden beïnvloed door testactiviteiten op gerichte systemen. Deze indirecte impactscenario's worden vaak over het hoofd gezien bij de planning van beveiligingsonderzoeken. Hier zijn enkele voorbeelden van Indirecte impact op systemen:

  • Gedeelde bronnen. Een bekend voorbeeld zijn twee websites die dezelfde backend-database delen. Een aanval op website A (in scope) resulteert in een negatieve impact op website B (niet in scope). Zeker wanneer een kwetsbaarheid in website A leidt tot wijzigingen in de gedeelde database.
     
  • Batch-opdrachten. Batchjobs of geplande taken zijn een klassiek geval van onverwachte impact op niet in-scope systemen. Als een batchjob of geplande taak wordt gewijzigd wat door een ander proces wordt gebruikt, bestaat het risico op onbedoeld gedrag.
  • Oncontroleerbare systemen. Een voorbeeld van een systeem dat volledig buiten uw macht ligt, is antispamsoftware en blacklists die door anderen worden beheerd en geïmplementeerd. Scanners kunnen e-mailfuncties in webtoepassingen aanroepen die kunnen resulteren in honderden of duizenden e-mails die worden verzonden en resulteren in openbare blacklisting van uw e-mailservers. Een ander voorbeeld is zoekmachine-indexering. Websites kunnen soms worden beschadigd door scanners en een foutmelding weergeven. Als de website vervolgens wordt geïndexeerd door zoekmachines kan dit een ongewenste situatie opleveren. Zelfs als de site snel wordt opgeruimd, kan de zoekmachine-indexering nog lang aanhouden.

In de onderling verbonden wereld van vandaag zijn er vele manieren waarop onverwacht gedrag van het ene systeem zich kan verspreiden naar anderen. In sommige gevallen zijn die andere systemen buiten uw controle en kunnen de effecten moeilijk om te keren zijn.

Hoe verminderen jullie menselijke risico's?

De menselijke risicofactoren omvatten productiviteits-, moraal- en reputatierisico's. De meest voor de hand liggende impact op uw personeel is afkomstig van testen die opzettelijk op mensen zijn gericht. Social Engineering is de term voor dat soort testactiviteiten. Het is echter niet juist om te veronderstellen dat er geen menselijke risico's zijn in de afwezigheid van Social Engineering. Hier is een voorbeeld van menselijke impact veroorzaakt door een onderzoek:

  • Een van de meest voorkomende oorzaken van productiviteitsverlies is wanneer websites e-mailfunctionaliteit ondersteunen of formulieren bevatten en worden onderworpen aan een geautomatiseerde scanner. Verkoop- en ondersteuningsmedewerkers kunnen overspoelt worden door duizenden supporttickets of e-mails en hierdoor belangrijke berichten missen. Hetzelfde kan gebeuren met tekstberichten, chatfuncties of andere communicatie kanalen.

Hoe verminderen jullie risico's aan derden?

De laatste categorie is risico's van derden, dit omvat zowel geschiktheid als aansprakelijkheidsrisico's. Geschiktheidstekortkomingen treden op wanneer de opdracht niet de vereiste reikwijdte dekt of niet voldoet aan gestelde eisen die door derden worden opgelegd. Wanneer het testen resulteert in meerwerk, extra kosten of gemiste deadlines, is het passend om ze als risico's te beschouwen.

De tweede risicofactor in deze categorie is aansprakelijkheid. Wanneer het testen van invloed is op systemen van derden die geen partij waren bij het overeenkomst, brengt dit vaak een aanzienlijke aansprakelijkheid met zich mee voor alle partijen. Hier zijn enkele voorbeelden:

  • Kwaadaardige of zichzelf verspreidende payloads. Stel dat u een social awareness campaign uitvoert binnen de organisatie met een geinfecteerde USB-stick waarbij een derde een USB-stick oppakt of dat de ontvanger van een phishing e-mail deze doorstuurd aan een externe ontvanger. Wanneer dit gebeurt, kunnen mensen die geen deel uitmaken van uw organisatie, worden getroffen en eventuele maatregelen tegen u, uw leverancier of beide treffen. Zowel goedaardige als gevaarlijke social engineering payloads zijn te vinden in alledaagse standaard social engineering toolkits die door veel leveranciers worden gebruikt. Het aansprakelijkheidsrisico bij slecht beheerde Social Engineering-opdrachten kan aanzienlijk zijn, vooral wanneer payloads of hardware wordt gebruikt.
     
  • Niet-goedgekeurde impact op derden. Onderzoekstools kunnen van invloed zijn op doelen die niet binnen uw goedgekeurde scope vallen. Dit is veel voorkomend met webapplicatiescanners. Neem de volgende URL: http://www.yourtarget.com. Wanneer deze URL zich scope bevindt, betekent dit meestal dat de URL en alle bronnen daaronder in het onderzoek zijn opgenomen. Dit betekent dat een bron op http://www.yourtarget.com/not-ours/ in scope is. Als die bron functionaliteiten bevat die van invloed zijn op systemen van derden en uw leverancier de scanner niet juist configureert om te voorkomen dat deze wordt getest, kan ongeautoriseerd systemen van derden worden getest. Ook kunnen niet-gespecificeerde protocollen. zoals bijvoorbeeld https://yourtarget.com en http://yourtarget.com, problemenopleveren. Precies weten hoe deze situaties zullen worden behandeld is belangrijk in elke beveiligingsonderzoek, niet duidelijk specificeren van de scope verhoogt uw risico op impact op derden.
     
  • Goedgekeurde aanvallen op derden. Het kan voorkomen dat hoe bekwaam en zorgvuldig een beveiligingsonderzoeker ook te werk gaat hij of zij toch een systeem meepakt die niet eigendom of in het beheer is van de klant, maar wel door de klant is goedgekeurd. Hoe groter de scope en hoe groter de organisatie, des te waarschijnlijker het is dat de scope lijst een resource bevat die niet langer in het bezit is van de organisatie.
Open Stel een vraag
  1. Hoe verminderen jullie risico's?
  2. Wat is een beveiligingsonderzoek?
  3. Wanneer weet ik dat ik echt een beveiligingsonderzoek krijg?
  4. Waarom zou ik een beveiligingsonderzoek uitvoeren?
  5. Wanneer heb je een beveiligingsonderzoek nodig?
  6. Mijn gegevens worden opgeslagen in de cloud. Waarom heb ik een beveiligingsonderzoek nodig?
  7. Op welke soorten systemen voeren jullie beveiligingsonderzoeken uit?
  8. Welke certificeringen heb je om beveiligingsonderzoeken uit te voeren?
  9. We voeren zelf al een vulnerability scan uit, waarom zouden we een beveiligingsonderzoek uitvoeren en wat is het verschil?
  10. Hoeveel ervaring hebben jullie met beveiligingsonderzoeken?
  11. Kan een beveiligingsonderzoek mijn systeem platleggen?
  12. Hoe lang duurt het om een beveiligingsonderzoek uit te voeren?
  13. Hoe plan ik een beveiligingsonderzoek in?
  14. Waarom doen jullie een inventarisatie i.p.v. dat jullie de informatie zelf achterhalen?
  15. Waarom vragen jullie om een uitzondering te maken op de IPS/IDS
  16. Waarom is rapportage belangrijk?
  17. Waarom zou ik voor een jaarplan kiezen in het MSSP model?
  18. Waarom zou ik voor secity kiezen?
  19. Wat verstaan jullie onder actionable data?
  20. Waarom zou ik een heronderzoek uitvoeren?

Home Veelgestelde vragen Algemene vragen Hoe verminderen jullie risico's?