100% tevredenheidsgarantie Direct beschikbaar na je betaling Lees online óf als PDF Geen vaste maandelijkse kosten
logo-home
Eerder door jou gezocht
Eerder door jou gezocht
logo
Information security midterm samenvatting Universiteit Utrecht €3,49
In winkelwagen
Snel navigeren naar
Voorbeeld
  2.  
  3. Universiteit Utrecht (UU)
  4.  
  5. Information Security (INFOB3INSE)

Samenvatting

Information security midterm samenvatting Universiteit Utrecht
 0 keer verkocht

Samenvatting colleges 1-10 information security gegeven op de Universiteit Utrecht. Het is in het Nederlands en goed te begrijpen. Prijs/kwaliteit is perfect en een koopje!

Voorbeeld 4 van de 67  pagina's

Document informatie

  • 10 maart 2025
  • 67
  • 2024/2025
  • Samenvatting

Onderwerpen

Geschreven voor

Alle documenten voor dit vak (8)

Verkoper

avatar-seller
JeFavoStudent

Voorbeeld van de inhoud

Lecture 1 INFO
Basics of security
Beveiliging (security) gaat over het beschermen van assets (dingen die men waardeert),
zoals:
-​ Hardware (zoals telefoons, laptops etc.)
-​ Software (zoals Blackboard, Osiris etc.)
-​ Data (zoals foto's, documenten etc.)
-​ Processen (zoals bedrijfsprocessen die belangrijk zijn voor de werking van een
organisatie)

De waarde van assets is moeilijk te bepalen. Het gaat niet alleen om de financiële waarde,
maar ook de emotionele waarde. Ook is het zo dat de waarde van een asset verschillend is
voor verschillende mensen. Wat voor de ene persoon heel waardevol is, kan voor de andere
persoon minder waard zijn.

Een bedreiging (threat) is een reeks omstandigheden die mogelijk schade aan een asset
kunnen veroorzaken. Er zijn twee dimensies om naar threats te kijken:
A.​ Welke slechte dingen kunnen er met assets gebeuren?
B.​ Wie of wat kan die slechte dingen veroorzaken of toestaan?

Het doel van computer security is om assets te beschermen door een aantal
beveiligingseigenschappen te bieden. Deze zes beveiligingseigenschappen zijn:
-​ Confidentiality → de eigenschap dat een asset alleen toegankelijk is (gebruikt kan
worden door) voor geautoriseerde partijen.
-​ Integrity → de eigenschap dat een asset ongewijzigd blijft, behalve door
geautoriseerde partijen.
-​ Availability → de eigenschap dat een asset altijd toegankelijk is voor geautoriseerd
gebruik.
+100% beschikbaarheid kan nooit worden gegarandeerd.
-​ Authorization → de eigenschap dat alleen personen waaraan toegang is gegeven
door de eigenaar toegang hebben tot een asset.
-​ Authentication → de eigenschap dat een agent, data of software echt is ten
opzichte van wie/wat het beweert dat hij/zij/het is.
-​ Accountability → de eigenschap dat het mogelijk is om agents verantwoordelijk te
houden voor eerdere acties.
Deze eerste drie beveiligingseigenschappen zijn de drie basic eigenschappen en worden de
security triad of CIA-trad genoemd.

-​ Iets is trustworthy als het iemands vertrouwen verdient. Iets trusted heeft ons
vertrouwen, of het verdiend is of niet.
-​ Confidentiality houdt in dat informatie wordt beschermd om ongeautoriseerde
openbaarmaking te voorkomen. Privacy gaat specifiek over persoonlijk gevoelige
informatie (bijvoorbeeld huis- of e-mailadres, telefoonnummer, gezondheids- of
persoonlijke belastinginformatie, politieke opvattingen, religie, seksuele geaardheid,

, consumentengewoonten enz.), het beschermen ervan en het beheersen van hoe het
wordt gedeeld.
-​ Anonymity is de eigenschap dat iemands acties of betrokkenheid niet te koppelen
zijn aan een openbare identiteit.


Security policies and attacks
De vulnerability-threat-control paradigm laat zien hoe beveiliging werkt in een systeem. Bij
een aanval (attack) benut een aanvaller (attacker) een kwetsbaarheid (vulnerability). Een
aanval veroorzaakt een dreiging (threat). Een tegenmaatregel (countermeasure) wordt
genomen die de kwetsbaarheid weghaalt of vermindert, waardoor de dreiging wordt
geblokkeerd.




Er zijn 4 dingen die de CIA-triad kunnen beïnvloeden:
1.​ Interception
-​ Hierbij krijgt een ongeautoriseerde partij toegang tot informatie.
-​ beïnvloedt confidentiality
2.​ Interruption
-​ Hierbij wordt een systeem onbeschikbaar gemaakt voor geautoriseerde partijen.
-​ beïnvloedt availability
3.​ Modification
-​ Hierbij wordt bestaande informatie veranderd door het toevoegen of verwijderen van
informatie.
-​ beïnvloedt integrity
4.​ Fabrication
-​ Hierbij wordt valse informatie gecreëerd om het systeem te misleiden.
-​ beïnvloedt integrity

,Een beveiligingsbeleid (security policy) bevat regels waarin staat welke praktijken wel en niet
zijn toegestaan. Het kan vaststellen welke assets beschermd moeten worden, welke
gebruikers toegang hebben tot welke assets en hoe die toegang wordt verleend, en de
beveiligingsmaatregelen die van kracht moeten zijn. Daarnaast beschrijft het elke mogelijke
systeemstatus als veilig (secure) of onveilig (non-secure). Een securitypolicy wordt
geschonden (violated) als het systeem in een non-secure toestand belandt.

De CIA-trad wordt ondersteund door access control (het proces van bepalen wie toegang
heeft tot bepaalde middelen of informatie). Deze kunnen worden geformuleerd tot security
policies:
-​ wie (subject) + wat (object) + hoe (mode of access) = ja/nee
subject = wie toegang heeft
object = de middelen of informatie
mode of access = het soort toegang (lezen, schrijven, uitvoeren)




De combinatie van deze drie elementen bepaalt of een aanval succesvol zal zijn:
1.​ Methode (vaardigheid en kennis): De aanvaller moet beschikken over de juiste
vaardigheden en kennis, evenals de benodigde tools en technologieën om de aanval
uit te voeren.
2.​ Gelegenheid (opportunity): De aanvaller moet op het juiste moment en met de
nodige toegang tot systemen kunnen handelen om de aanval te kunnen uitvoeren.
3.​ Motief (motive): Achter elke aanval schuilt een reden of motivatie.


Risk and risk assessment
Risico (risk) is het verwachte verlies als gevolg van schadelijke gebeurtenissen, relatief ten
opzichte van een impliciete set van assets en over een vastgestelde tijdsperiode. Risico is
afhankelijk van de waarschijnlijkheid van een aanval én verwachte verliezen in dat geval. De
risicofunctie (risk equation) is als volgt:
-​ Risk = Threat x Vulnerabilities x Impact (or Cost), waarbij:
+​ Threat = de waarschijnlijkheid op specifieke bedreigingen
+​ Vulnerabilities = het bestaan van kwetsbaarheden
+​ Impact/Cost = de kosten of impact van een succesvolle aanval.
De functie kan herschreven worden tot:
-​ Risk = Probability x Cost.

, -​ Een kwetsbaarheid (vulnerability) is een zwakte die kan worden uitgebuit om een
asset schade toe te brengen.
-​ De aanvalsoppervlak (attack surface) van een systeem is de volledige set
kwetsbaarheden van een systeem, zowel daadwerkelijk als potentieel.
-​ De impact is het negatieve gevolg van een uitgevoerde threat. De waarde van de
impact kan je weten door te kijken naar de zwarte markt.
-​ De kans (likelihood) is de waarschijnlijkheid dat een bepaalde threat in staat is om
een bepaalde vulnerability te benutten.

Risicobeoordeling (risk assessment of RA) is het proces van analyse van risicofactoren om
risico's in te schatten. Er bestaan twee typen RA's:
1.​ Kwantitatieve RA - Hierbij worden numerieke schattingen van risico's berekend.
Echter zijn precieze schattingen bijna niet mogelijk. Voorbeelden zijn: FAIR + Monte
Carlo simulation, Bayesian methods etc.
2.​ Kwalitatieve RA - Hierbij worden risico's vergeleken en gerangschikt ten opzichte van
elkaar om bijvoorbeeld beslissingen te nemen over hoe een budget over assets moet
worden geprioriteerd. Voorbeelden zijn: ISO31000, CORAS, Octave Allegro, SESAR
SecRAM, etc.

Risicomanagement (risk management) is een proces gericht op het kiezen van welke
threats aan te pakken en hoe. Er bestaan een onbeperkt aantal threats, en het is onmogelijk
om ze allemaal aan te pakken. Welke risicomanagementstrategie ook wordt gekozen, er zal
altijd residueel risico bestaan. Dit is het risico dat door tegenmaatregelen niet wordt gedekt.
Het prioriteren van risico's is gebaseerd op:
-​ de impact (van mogelijke schade)
-​ de likelihood (van mogelijke schade)

Een security control/countermeasure is een middel om threats tegen te gaan. Hiervoor zijn
2 benaderingen:
-​ door de threat te neutraliseren
-​ door de vulnerability te verwijderen
Dit kan op 6 manieren:
●​ Prevention - Maatregelen die bedoeld zijn om een aanval of incident te voorkomen
voordat het plaatsvindt.
●​ Deterrence - Maatregelen die bedoeld zijn om potentiële aanvallers af te schrikken
door hen te laten weten dat er sterke beveiligingsmaatregelen zijn getroffen.
●​ Deflection - Maatregelen waarbij aanvallers worden omgeleid of ontmoedigd om hun
aanvallen te richten op minder kritieke of meer robuust beveiligde doelen.
●​ Mitigation - Maatregelen die zijn ontworpen om de impact van een succesvolle
aanval te verminderen.
●​ Detection - Maatregelen gericht op het identificeren van een aanval of inbreuk nadat
deze heeft plaatsgevonden.

Dit zijn jouw voordelen als je samenvattingen koopt bij Stuvia:

Bewezen kwaliteit door reviews

Bewezen kwaliteit door reviews

Studenten hebben al meer dan 850.000 samenvattingen beoordeeld. Zo weet jij zeker dat je de beste keuze maakt!

In een paar klikken geregeld

In een paar klikken geregeld

Geen gedoe — betaal gewoon eenmalig met iDeal, creditcard of je Stuvia-tegoed en je bent klaar. Geen abonnement nodig.

Direct to-the-point

Direct to-the-point

Studenten maken samenvattingen voor studenten. Dat betekent: actuele inhoud waar jij écht wat aan hebt. Geen overbodige details!

Veelgestelde vragen

Wat krijg ik als ik dit document koop?

Je krijgt een PDF, die direct beschikbaar is na je aankoop. Het gekochte document is altijd, overal en oneindig toegankelijk via je profiel.

Tevredenheidsgarantie: hoe werkt dat?

Onze tevredenheidsgarantie zorgt ervoor dat je altijd een studiedocument vindt dat goed bij je past. Je vult een formulier in en onze klantenservice regelt de rest.

Van wie koop ik deze samenvatting?

Stuvia is een marktplaats, je koop dit document dus niet van ons, maar van verkoper JeFavoStudent. Stuvia faciliteert de betaling aan de verkoper.

Zit ik meteen vast aan een abonnement?

Nee, je koopt alleen deze samenvatting voor €3,49. Je zit daarna nergens aan vast.

Is Stuvia te vertrouwen?

4,6 sterren op Google & Trustpilot (+1000 reviews)

Afgelopen 30 dagen zijn er 70713 samenvattingen verkocht

Opgericht in 2010, al 15 jaar dé plek om samenvattingen te kopen

Begin nu gratis

Laatst bekeken door jou

Tentamen (uitwerkingen) ·

(0)

TEST BANK FOR HEALTH PROMOTION THROUGHOUT THE LIFE SPAN, 10TH EDITION

Tentamen (uitwerkingen) ·

(0)

NRNP 6675 Midterm 2023 Exam-457 Questions with Updated Answers
€3,49
  • (0)
In winkelwagen
Toegevoegd