Security engineering theorie
Door: Maurice Geerdink
Boek: Security Engineering by Ross Andersson ISBN: 978-1-119-64278-7
Gebasseerd op:
Youtube
Website
Weekplanning
Leeruitkomsten:
1. De student licht eigenschappen toe van methodieken en maatregelen passend bij de organisatorische aspecten van security,
zoals risico analyse, de ISO PDCA cyclus, fysieke beveiliging en personele aspecten.
2. De student vergelijkt de modellen en methoden die toegepast worden bij access control en authenticatie.
3. De student beschrijft en vergelijkt symmetrische en asymmetrische cryptografie en het daarvoor benodigde sleutelbeheer
4. De student voert berekeningen uit voor cryptografische algoritmes met behulp van een eenvoudige rekenmachine
5. De student beschrijft en vergelijkt de methodieken en protocollen die toegepast worden bij de (technische) beveiliging van
netwerken en computers
1
, 1. Risico analyse
CIA triad,
opponents, NIST
De Risicoanalyse in Security Engineering draait om het vinden, beoordelen en rangschikken van
risico's. Dit helpt bij het maken van plannen om deze risico's te vermijden, verminderen of
accepteren. Het Security Analysis Framework bestaat uit vier hoofddelen:
• Policy (Beleid): Dit bepaalt wat beschermd moet worden en hoe. Het beleid geeft richtlijnen
voor de beveiliging van een organisatie, zoals hoe gegevens, eigendommen en infrastructuur
moeten worden beschermd.
• Mechanisms (Mechanismen): Dit zijn de technologieën en processen die helpen om het
beleid uit te voeren, zoals encryptie, firewalls en toegangscontrolesystemen.
• Attacks (Aanvallen): Het is belangrijk om mogelijke aanvallen en bedreigingen te herkennen.
Dit betekent het begrijpen van verschillende soorten aanvallen, zoals malware, fouten in
protocollen en fysieke inbraken.
• Assurance (Zekerheid): Dit gaat over hoe we weten of we voldoende beveiligd zijn. Zekerheid
omvat de processen en maatregelen die ervoor zorgen dat de beveiligingsmechanismen
effectief en goed werken.
Samengevat zorgt risicoanalyse ervoor dat we weten welke risico's er zijn en hoe we ze het beste
kunnen aanpakken om de beveiliging te verbeteren.
De Drie Hoofddoelen van Beveiliging: CIA Triad
De CIA Triad is een model dat de drie fundamentele doelstellingen van informatiebeveiliging
beschrijft:
• Confidentiality (Vertrouwelijkheid): Het beschermen van informatie tegen ongeautoriseerde
toegang en openbaarmaking.
• Integrity (Integriteit): Het waarborgen van de nauwkeurigheid en volledigheid van de data en
het voorkomen van ongeautoriseerde wijzigingen.
• Availability (Beschikbaarheid): Het zorgen dat informatie toegankelijk en bruikbaar is voor
geautoriseerde gebruikers wanneer nodig.
Exposure Factor (EF): Percentage van de waarde van een asset dat verloren gaat bij een
incident.
Annualized Loss Expectancy (ALE): Verwachte jaarlijkse kosten van een specifiek risico.
Annual Rate of Occurrence(ARO): Frequentie waarmee een risico zich jaarlijks voordoet.
Single Loss Expectancy(SLE): Verwachte schade bij een enkel risico-incident.
Risico = kans * Impact
2
, Who is the opponent? Hoofdstuk 2
1. Governments (Overheden): Ze gebruiken tools voor zowel het stilletjes afluisteren van
communicatie als het actief aanvallen van computersystemen. Ze kunnen ook
spionagehulpmiddelen toevoegen aan apparatuur zoals routers.
2. Crooks (Criminelen): Dit zijn mensen die zich bezighouden met online misdaad, zoals het
sturen van spam, het schrijven van malware, en het aanbieden van hackdiensten. Ook interne
aanvallen en fraude door bedrijfsleiders vallen hieronder.
3. Geeks (Ethical Hackers): Dit zijn onderzoekers die beveiligingslekken opsporen en deze op
een verantwoordelijke manier melden. Hun doel is om de beveiliging te verbeteren, maar
hun acties kunnen soms als bedreigend worden ervaren.
4. The Swamp (Misbruikers): Dit zijn mensen die anderen misbruiken, zoals door
haatcampagnes, pesten op school of werk, en misbruik binnen relaties.
5. State Actors (Staatsacteurs): Dit zijn landen die betrokken zijn bij spionage en
cyberaanvallen, zoals de Five Eyes-landen, Rusland, China en anderen.
Five eye landen: Australië, Canada, New Zeeland, Verenigd koninkrijk, Amerika
NIST staat voor het National Institute of Standards and Technology, een Amerikaanse
overheidsorganisatie die richtlijnen en standaarden opstelt voor technologie en beveiliging.
Hier zijn de stappen van Risicoanalyse volgens NIST in eenvoudige termen:
1. Dreigingsbronnen identificeren: Bepaal wie of wat een bedreiging kan vormen, zoals hackers,
menselijke fouten of natuurrampen.
2. Bedreigingen inventariseren: Maak een lijst van alle mogelijke bedreigingen voor de
organisatie.
3. Kwetsbaarheden vinden: Zoek naar zwakke plekken in zowel de technologie als de
organisatie die bedreigingen kunnen benutten.
4. Waarschijnlijkheid inschatten: Bepaal hoe waarschijnlijk het is dat een bedreiging zich
voordoet en succesvol is, rekening houdend met bestaande zwakke punten.
5. Impact evalueren: Bekijk wat de mogelijke gevolgen kunnen zijn voor de organisatie, zoals
financiële verliezen, schade aan de reputatie, en juridische problemen.
6. Risico bepalen: Combineer de kans en de impact om het totale risiconiveau te bepalen. Als
het risico te hoog is, moeten er extra maatregelen worden genomen.
Kwantitatieve analyse = Risico van een bedreiging uitdrukken in geld
Kwalitatieve analyse = Risico van een bedreiging uitgedrukt op schaal (bijvoorbeeld 1 tot 10)
3