II.

Risico evalueren

‘Risico’ is een sleutelconcept in computerbeveiliging. Sommigen definiëren computerbeveiligingsrisico als A + T + V = Risico. Bij deze formule staat A voor Asset (activa), T voor Threat (bedreigingen) en V voor Vulnerability (beveiligingslek).

  • Activa: Activa of bedrijfsmiddelen is alles wat kan worden beschouwd als gevoelige gegevens of wat toegang kan verschaffen tot dergelijke gegevens. Dit kan uw privé-informatie zijn, een toestel of een component van een systeem dat als waardevol wordt beschouwd.

  • Bedreiging: De bedreiging kan een kwaadwillige hacker zijn, een crimineel, of een insider die informatie steelt, maar een bedreiging kan ook onopzettelijk gebeuren, bijvoorbeeld door een technische fout of door een gebruikersfout die risico voor de gegevens (activa) met zich mee kan brengen.

  • Beveiligingslek: Een beveiligingslek is een fout die de activa kan vernietigen, beschadigen of in gevaar brengen. Bij software is een beveiligingslek gewoonlijk een fout in de programmacode (een bug) of in de manier waarop het programma toegang tot gegevens opent of toelaat.

De ISO 27000-serie voor informatiebeveiliging voegt het aspect 'impact' toe aan de definitie. De bedoeling daarvan is de risico’s prioriteit te geven. Zo kan een risico met veel waarschijnlijkheid, maar weinig 'impact' lagere prioriteit krijgen op de lijst van risico’s in plaats van zich te richten op een risico met weinig waarschijnlijkheid, maar veel impact. Impact toevoegen aan de definitie en de formule omvormen naar V x T x I = risico geeft de multiplicatieve aard van risicobeoordeling weer.

De ISO 27000-serie zijn de standaarden die bedrijven in Europa het meest gebruiken. Ze schrijven de beste praktijken voor om informatiebeveiliging te beheren, meestal binnen de context van een systeem voor informatiebeveiligingsbeheer (Information Security Management System - ISMS).

De ISO 9000-serie definieert een reeks standaarden voor kwaliteitsbewaking en -beheer en zorgt voor een breder kader dat veel bedrijven willen invoeren.

Voorbeeld

Als we denken aan parallelsituaties in het echte leven, dan is activa iets kostbaars in uw woning zoals een nieuw tv-toestel, een beveiligingslek is dan een deur die niet op slot is en een bedreiging is een crimineel die voordeel haalt uit het beveiligingslek, wat betekent dat uw tv-toestel gestolen wordt: de impact.

Een online voorbeeld zou het gebruik van een zwak wachtwoord zijn (beveiligingslek) waarmee u uw facebookaccount (activa) beschermt tegen iemand die wil inloggen en uw identiteit wil stelen (bedreiging). De impact is in dit geval het verlies van uw account en de informatie die het bevat.

In beide gevallen zien we een risico dat uitsluitend bestaat omdat er sprake is van activa, beveiligingslek, bedreiging en impact.

Vergeet ook niet dat een beveiligingslek niet noodzakelijk een onbedoelde fout is zoals een raam dat niet op slot is, maar net zo goed een bewust gecreëerde zwakte kan zijn, die bij computers meestal een achterdeurtje genoemd wordt.

Soorten beveiligingslekken

Er zijn veel verschillende soorten beveiligingslekken en er is een brede waaier aan doelen en methodes in het spel. Een beveiligingslek kan bijvoorbeeld een slecht geïnstalleerde toegangscontrole zijn, onvoldoende inputverwerking of de exploitatie van een gekende zwakte in een computerchip. Een algemene classificatie voor dit soort beveiligingslekken is moeilijk te definiëren. De ISO 27005-standaard biedt één mogelijke classificatie. Hij deelt beveiligingslekken in op basis van de activa.

  • Hardware

    • Vatbaarheid voor vocht of stof

    • Vatbaarheid voor onbeschermde opslag

    • Leeftijdsgebonden slijtage waardoor fouten ontstaan

    • Oververhitting

  • Software

    • Onvoldoende testing

    • Onveilige codering

    • Gebrek aan audit trail

    • Ontwerpfout

  • Netwerk

  • Personeel

  • Fysieke inplanting

    • Aan natuurrampen (overstromingen, aardbevingen) gevoelige regio

    • Stroomonderbreking

  • Organisatorisch

    • Gebrek aan regelmatige audits

    • Gebrek aan continuityplannen

    • Gebrek aan veiligheid

Het is belangrijk om te begrijpen dat mensen de bron vormen van een verrassend groot aantal beveiligingslekken. Methodes zoals social engineering (iemand ertoe overhalen informatie vrij te geven) zijn soms te eenvoudigste manier is om toegang te krijgen tot vertrouwelijke of veilige informatie. De beveiligingslekken in de classificatie tonen ook dat aan dat niet alle beveiligingslekken worden veroorzaakt door iemand die ze exploiteert – soms zijn ze van natuurlijke aard. Aardbevingen, overstromingen en andere natuurrampen kunnen informatieverlies veroorzaken, wat net zo belangrijk kan zijn als de diefstal van vertrouwelijke informatie als back-upprocedures niet goed geïnstalleerd zijn en niet werken.

Wij zullen het in deze cursus hebben over een aantal soorten beveiligingslekken, maar omdat er zo veel specifieke soorten zijn, zullen we er onvermijdelijk een aantal missen. Meer informatie over de verschillende soorten beveiligingslekken vindt u in dit voorbeeld.

Afbeelding van laptop met open achterdeur op de achterkant van het scherm

Achterdeurtjes

Volgens Microsoft is een achterdeurtje ‘een verborgen ingang tot een computersysteem dat veroorzaakt kan worden om een beveiligingsbeleid te omzeilen.’

Een achterdeurtje is net als een open venster in een verder afgesloten gebouw, of een reservesleutel die verstopt zit in een bloempot. U kunt er andere mechanismen mee omzeilen die worden gebruikt om het doelwit te beveiligen, vaak zonder een spoor te laten van de inbraak. Een achterdeurtje vertrouwt erop dat onbevoegde bezoekers het niet kunnen vinden.

Sommige systemen en diensten brengen standaard gebruikers aan met gekende wachtwoorden en deze kunnen toevallig actief gelaten worden, zodat het systeem kwetsbaar blijft voor aanvallers. Zij verschillen van een goed beschermd administratief account omdat het wachtwoord in dit geval niet algemeen gekend is.

Achterdeurtjes in hardware

Achterdeurtjes zijn niet noodzakelijk alleen op toepassingen terug te vinden. Ze kunnen ook op hardware zoals het moederbord van de computer worden geïnstalleerd.

Ook kunnen verkopers van technische apparatuur worden misleid als de hele toeleveringsketen onvoldoende gecontroleerd wordt. Als het bedrijf niet de hele toeleveringsketen controleert, dan kan een eenheid een achterdeurtje plaatsen op een zwak punt in de keten, zonder dat de producent het zelfs merkt. Dit soort achterdeurtjes zijn achterdeurtjes in de toeleveringsketen. Dit is geen puur theoretisch probleem; bij het Amerikaanse Veiligheidsagentschap werd op die manier al een achterdeurtje geïnstalleerd.

In het ‘Microsoft Digital Defense Report van september 2020’ schat Microsoft dat 7% van hun veiligheidsmeldingen te maken hebben met aanvallen op de leveringsketen.

Voorbeeld

Aanvallen op de leveringsketen gebeuren niet alleen op hardware. Een mogelijk nog schadelijkere methode is het binnendringen in de diensten van het bedrijf en het wijzigen van de software-updates die ze aan hun gebruikers aanbieden. Een dergelijke aanval werd in december 2020 onthuld toen SolarWinds (een bedrijf dat voornamelijk netwerkbeheeroplossingen levert) inbreuk maakte op hun diensten en hun software zodanig aanpaste dat deze een achterdeurtje bevatte waardoor de aanvaller, of iedereen die wist waar hij moest zoeken, toegang kon krijgen tot alle bedrijven die de update hadden geïnstalleerd. SolarWinds gaf toe dat ‘bijna 18.000’ bedrijven de update hadden geïnstalleerd.

De meest opvallende van deze bedrijven, en velen vermoeden het echte doelwit, waren de meeste Amerikaanse overheidsinstellingen en hun netwerken. Ook het Amerikaanse ministerie van Defensie behoorde tot de slachtoffers. Aangenomen wordt dat de aanval afkomstig is van een Russische APT-groep genaamd Cozy Bear, hoewel de toeschrijving nog onzeker is.

Het probleem met achterdeurtjes

Het grootste probleem met een achterdeurtje is dat het alleen kan bestaan als het geheim is. Dit wordt beveiliging door obscuriteit genoemd. Als een aanvaller het achterdeurtje ontdekt, kan hij het net zo goed gebruiken als een gemachtigde gebruiker. Regeringen en inlichtingendiensten dringen er momenteel bij techbedrijven op aan achterdeurtjes in hun technologie te installeren om de overheid toegang te verschaffen tijdens strafrechtelijk onderzoek of ter voorkoming van terroristische aanslagen. Als deze achterdeurtjes echter zouden worden geïnstalleerd, zouden ze hoogstwaarschijnlijk ook door onbevoegden worden ontdekt en een enorm privacyrisico worden.

Note

Wat kan ik doen tegen achterdeurtjes?

Het is erg moeilijk om u te verdedigen tegen het bestaan van een achterdeurtje als u niet eens van het bestaan ervan afweet. U kunt er echter voor zorgen dat u de standaardgegevens op apparaten zoals wifirouters wijzigt. U moet ook de gastaccounts uitschakelen die sommige besturingssystemen u toestaan te hebben.

Dreigingsmodellering: nadenken over uw risico

Beveiligingsprofessionals gebruiken verschillende risicobeoordelingsmethoden om het potentieel van een risico te definiëren en te beoordelen en hoe groot de impact is als het risico zich voordoet. In de cyberbeveiliging hebben professionals het vaak over dreigingsmodellering. Dit is de praktijk van het identificeren en prioriteren van potentiële bedreigingen en risicobeperkende maatregelen om iets van waarde te beschermen - een bedrijfsmiddel zoals vertrouwelijke gegevens of intellectueel eigendom.

Een vaak gebruikt raamwerk voor het modelleren van bedreigingen is het door Microsoft ontwikkelde STRIDE. STRIDE is een geheugensteuntje voor de termen:

  • Spoofing – zich voordoen als iets of iemand anders

  • Tampering – gegevens of code wijzigen

  • Repudiation – beweren een actie niet te hebben uitgevoerd

  • Information disclosure – informatie vrijgeven aan iemand die niet gemachtigd is om ze te zien

  • Denial of service – de dienstverlening aan gebruikers ontzeggen of verminderen

  • Elevation of privilege – het mogelijkheden krijgen zonder daartoe bevoegd te zijn

Dit zijn alle mogelijke bedreigingen in het model die worden beoordeeld op de mogelijke aanvalsvectoren. De aanvalsvectoren zijn de verschillende geïdentificeerde processen, gegevensopslagplaatsen, interfaces en vertrouwensgrenzen van een systeem. STRIDE maakt deel uit van de dreigingsmodellering Microsoft Secure Development Lifecycle (SDL). Verder lezen over STRIDE.

Part summary

Na het beëindigen van hoofdstuk 1 kun je:

  • de basisbeginselen van computerbeveiliging uitleggen, wat het betekent en waarom het belangrijk is.

  • uitleggen wat een hacker is.

  • begrijpen wat ‘risico’ betekent en de context van computerbeveiliging.

You reached the end of Chapter 1

Correct answers

0%

Exercises completed

0/0

Next Chapter
II.  Identiteit en privacy