Skip to content

Latest commit

 

History

History
110 lines (96 loc) · 2.97 KB

16a - RISK - Pentest.md

File metadata and controls

110 lines (96 loc) · 2.97 KB

16 - RISK - Pentest

Risico

  • Mate van bedreiging is niet beheersbaar
  • Kwetsbaarheid te reduceren door implementatie tegenmaatregelen
risico = ((bedreiging * kwetsbaarheid) / tegenmaatregelen) * impact
  • Bedrijfsimpact bepaalt opportuniteit van beveiligingsinvestering
  • Bepalen van financiële impact v/e incident is uitermate bedrijfsspecifiek

Impact

  • Business Impact Analysis (BIA)
    • Systematisch proces om potentiële effecten van een onderbreking van kritieke bedrijfsactiviteiten als gevolg van een ramp, ongeval of noodsituatie te bepalen en te evalueren.
  • RPO (Recovery Point Objective)
    • Punt naarwaar je teruggaat (bv. elke zaterdag)
    • Hoe recenter, hoe duurder
  • RTO (Recovery Time Objective)
    • Tijd nodig om terug te zetten, terug operationeel te zijn
    • Hoe sneller, hoe duurder

Risk coping strategies

Omgaan met het risico

  • Risk Acceptance
    • Risico aanvaarden (bv. verzekeren)
  • Risk Avoidance
  • Risk Mitigation
    • Risico's waar je niet rond kan, die je niet kan transfereren. Minimaliseren tot doenbaar.
  • Risk Transference
    • Niet mijn probleem: Microsoft 365
  • Ignore it
    • NIET OK

--> Risk Management

Risk assessment

  • Hoe vinden we kwetsbaarheden?
    • Security Audit
  • Hoe meten we de bedreiging?
    • Threat intelligence

Security audit

  • Wat?
  • Hoe?
  • Wie?
  • Self assessment
  • Externe audit
  • Penetration test
  • Red teaming
  • Self assessment
    • Incident reactie plan
    • Herbekijken procedures
    • Interne opleiding / informatie
    • Controlleren van back-up en recovery procedures
  • Externe audit
    • Penetration test
    • Red-teaming (vs blue team)
    • Gebruik offensieve technieken
    • Identificeert zwakheden
  • Penetration test
    • Black box testing
      • Zero Knowledge / as Attacker
    • White box testing
      • Full Knowledge / as Developer
    • Gray box testing

Scope van een pentest

  • Scope definiëren
  • Wat mag/kan getest worden
  • Minimaliseren bedrijfsimpact
  • Behouden relevantie van de test
  • Negatieve impact niet uit te sluiten
  • Opletten met derde partijen

Resultaat van de pentest

--> Pentest report

  • Lange lijst (potentiële) kwetsbaarheden. (op zich waardeloos)
  • Is geen score of certificaat
  • Duidelijke resultaat:
    • Transparant
    • Prioriteiten
    • Aanbevelingen

Tegenmaatregelen (mitigation)

  • Corporate policy - Training - Awareness
  • Coding practices
  • Testing (Pentest)
  • Vulnerability management
  • Back-up
  • Disaster recovery plan
  • Physical Security
  • Firewalls / IDS (intrusion detection system) / IPS (Intrusion Prevention System)

Tips

  • Security is geen taak maar een process
  • Security is nooit “af” maar in constante flux
  • Informeer gebruikers (awareness) (herhaaldelijk)
  • Ga voor de “quick wins”
  • Elimineer “low-hanging fruit”
  • Update software, infrastructuur en tools
  • Maak een corporate policy
  • Maak een disaster recover plan
  • Zorg voor een correcte back-up