Summary
Samenvatting Security engineering theorie
- Course
- Institution
- Book
Security engineering theorie samenvatting.
[Show more]
Connected book
Book Title:
Author(s):
- Edition:
- ISBN:
- Edition:
Seller
Follow
MauriceG
Content preview
Security engineering theorieDoor: Maurice Geerdink
Boek: Security Engineering by Ross Andersson ISBN: 978-1-119-64278-7
Gebasseerd op:
Youtube
Website
Weekplanning
Leeruitkomsten:
1. De student licht eigenschappen toe van methodieken en maatregelen passend bij de organisatorische aspecten van security,
zoals risico analyse, de ISO PDCA cyclus, fysieke beveiliging en personele aspecten.
2. De student vergelijkt de modellen en methoden die toegepast worden bij access control en authenticatie.
3. De student beschrijft en vergelijkt symmetrische en asymmetrische cryptografie en het daarvoor benodigde sleutelbeheer
4. De student voert berekeningen uit voor cryptografische algoritmes met behulp van een eenvoudige rekenmachine
5. De student beschrijft en vergelijkt de methodieken en protocollen die toegepast worden bij de (technische) beveiliging van
netwerken en computers
1
, 1. Risico analyse
CIA triad,
opponents, NIST
De Risicoanalyse in Security Engineering draait om het vinden, beoordelen en rangschikken van
risico's. Dit helpt bij het maken van plannen om deze risico's te vermijden, verminderen of
accepteren. Het Security Analysis Framework bestaat uit vier hoofddelen:
• Policy (Beleid): Dit bepaalt wat beschermd moet worden en hoe. Het beleid geeft richtlijnen
voor de beveiliging van een organisatie, zoals hoe gegevens, eigendommen en infrastructuur
moeten worden beschermd.
• Mechanisms (Mechanismen): Dit zijn de technologieën en processen die helpen om het
beleid uit te voeren, zoals encryptie, firewalls en toegangscontrolesystemen.
• Attacks (Aanvallen): Het is belangrijk om mogelijke aanvallen en bedreigingen te herkennen.
Dit betekent het begrijpen van verschillende soorten aanvallen, zoals malware, fouten in
protocollen en fysieke inbraken.
• Assurance (Zekerheid): Dit gaat over hoe we weten of we voldoende beveiligd zijn. Zekerheid
omvat de processen en maatregelen die ervoor zorgen dat de beveiligingsmechanismen
effectief en goed werken.
Samengevat zorgt risicoanalyse ervoor dat we weten welke risico's er zijn en hoe we ze het beste
kunnen aanpakken om de beveiliging te verbeteren.
De Drie Hoofddoelen van Beveiliging: CIA Triad
De CIA Triad is een model dat de drie fundamentele doelstellingen van informatiebeveiliging
beschrijft:
• Confidentiality (Vertrouwelijkheid): Het beschermen van informatie tegen ongeautoriseerde
toegang en openbaarmaking.
• Integrity (Integriteit): Het waarborgen van de nauwkeurigheid en volledigheid van de data en
het voorkomen van ongeautoriseerde wijzigingen.
• Availability (Beschikbaarheid): Het zorgen dat informatie toegankelijk en bruikbaar is voor
geautoriseerde gebruikers wanneer nodig.
Exposure Factor (EF): Percentage van de waarde van een asset dat verloren gaat bij een
incident.
Annualized Loss Expectancy (ALE): Verwachte jaarlijkse kosten van een specifiek risico.
Annual Rate of Occurrence(ARO): Frequentie waarmee een risico zich jaarlijks voordoet.
Single Loss Expectancy(SLE): Verwachte schade bij een enkel risico-incident.
Risico = kans * Impact
2
, Who is the opponent? Hoofdstuk 2
1. Governments (Overheden): Ze gebruiken tools voor zowel het stilletjes afluisteren van
communicatie als het actief aanvallen van computersystemen. Ze kunnen ook
spionagehulpmiddelen toevoegen aan apparatuur zoals routers.
2. Crooks (Criminelen): Dit zijn mensen die zich bezighouden met online misdaad, zoals het
sturen van spam, het schrijven van malware, en het aanbieden van hackdiensten. Ook interne
aanvallen en fraude door bedrijfsleiders vallen hieronder.
3. Geeks (Ethical Hackers): Dit zijn onderzoekers die beveiligingslekken opsporen en deze op
een verantwoordelijke manier melden. Hun doel is om de beveiliging te verbeteren, maar
hun acties kunnen soms als bedreigend worden ervaren.
4. The Swamp (Misbruikers): Dit zijn mensen die anderen misbruiken, zoals door
haatcampagnes, pesten op school of werk, en misbruik binnen relaties.
5. State Actors (Staatsacteurs): Dit zijn landen die betrokken zijn bij spionage en
cyberaanvallen, zoals de Five Eyes-landen, Rusland, China en anderen.
Five eye landen: Australië, Canada, New Zeeland, Verenigd koninkrijk, Amerika
NIST staat voor het National Institute of Standards and Technology, een Amerikaanse
overheidsorganisatie die richtlijnen en standaarden opstelt voor technologie en beveiliging.
Hier zijn de stappen van Risicoanalyse volgens NIST in eenvoudige termen:
1. Dreigingsbronnen identificeren: Bepaal wie of wat een bedreiging kan vormen, zoals hackers,
menselijke fouten of natuurrampen.
2. Bedreigingen inventariseren: Maak een lijst van alle mogelijke bedreigingen voor de
organisatie.
3. Kwetsbaarheden vinden: Zoek naar zwakke plekken in zowel de technologie als de
organisatie die bedreigingen kunnen benutten.
4. Waarschijnlijkheid inschatten: Bepaal hoe waarschijnlijk het is dat een bedreiging zich
voordoet en succesvol is, rekening houdend met bestaande zwakke punten.
5. Impact evalueren: Bekijk wat de mogelijke gevolgen kunnen zijn voor de organisatie, zoals
financiële verliezen, schade aan de reputatie, en juridische problemen.
6. Risico bepalen: Combineer de kans en de impact om het totale risiconiveau te bepalen. Als
het risico te hoog is, moeten er extra maatregelen worden genomen.
Kwantitatieve analyse = Risico van een bedreiging uitdrukken in geld
Kwalitatieve analyse = Risico van een bedreiging uitgedrukt op schaal (bijvoorbeeld 1 tot 10)
3
The benefits of buying summaries with Stuvia:
Guaranteed quality through customer reviews
Stuvia customers have reviewed more than 700,000 summaries. This how you know that you are buying the best documents.
Quick and easy check-out
You can quickly pay through credit card or Stuvia-credit for the summaries. There is no membership needed.
Focus on what matters
Your fellow students write the study notes themselves, which is why the documents are always reliable and up-to-date. This ensures you quickly get to the core!
Frequently asked questions
What do I get when I buy this document?
You get a PDF, available immediately after your purchase. The purchased document is accessible anytime, anywhere and indefinitely through your profile.
Satisfaction guarantee: how does it work?
Our satisfaction guarantee ensures that you always find a study document that suits you well. You fill out a form, and our customer service team takes care of the rest.
Who am I buying these notes from?
Stuvia is a marketplace, so you are not buying this document from us, but from seller MauriceG. Stuvia facilitates payment to the seller.
Will I be stuck with a subscription?
No, you only buy these notes for $10.71. You're not tied to anything after your purchase.
Can Stuvia be trusted?
4.6 stars on Google & Trustpilot (+1000 reviews)
53068 documents were sold in the last 30 days
Founded in 2010, the go-to place to buy study notes for 14 years now