Maatregelen - Controls - Measures - Massnahmen ?

Microsoft: 98 procent aanvallen met basale maatregelen te voorkomen 10 juli 2023 security.nl

98 procent van alle aanvallen is met basale beveiligingsmaatregelen, zoals het installeren van beschikbare beveiligingsupdates, te voorkomen, zo stelt Microsoft. Het techbedrijf noemt dit in een artikel over een ransomware-aanval op een organisatie, maar liet dit eerder ook al weten in het Digital Defense Report over 2022 (pdf).

De plaatjes en links staan openbaar op Internet en dienen alleen ter illustratie van het vakgebied aan leken

Impressie

Developing an Information Risk Management Program - presentatie for Information Security Officials (211 blz.)

DIt geeft een mooie impressie van het vakgebied voor demo aan geinteresseerden.

Ontwikkelingen

Information Security is een gebed zonder einde, een kip-ei-verhaal, never ending story...

In de meer dan 40 jaar waarmee ik hier in aanraking ben geweest, ben ik met veel aspecten in aanraking gekomen.

Ik zou er dikke boeken over kunnen schrijven, maar die hebben we al zoveel op dit gebied:

ik heb veel specialisten gesproken en volg er nu nog een aantal op de voet,
heb ik veel (eigen) voorspellingen zijn uitkomen,
zijn de vernuftigheden en creatieve aanvalsvectoren ongelofelijk complex
is het er niet gemakkelijker op geworden ondanks de vele hulpmiddelen en vele personen die zich er mee bezig houden,
zijn de aanvalsoppervlakten vergroot (meer bedrijven / mensen / criminelen op het Internet, telefoons, laptops, tablets, IoT, Clouds, Social Media, Internet sec, e-betalen, webshops....)
is het vakgebied geprofessionaliseerd maar ook bij de cybercriminelen
hebben we "onder water" een gestage cyberwar
is de (wereld) wijde schade alleen maar toegenomen en neemt (bijna) onhoudbare proporties aan, qua GDP op de 5e plaats....

Historie ICT-security

Toen ik in de 80'er jaren voor het eerste in aanraking kwam met beveiliging van computers en netwerken was veel nog ongestructureerd en ad hoc. Meestal voegden 'Kwaliteits-managers' dit werkveld toe aan hun takenpakket waardoor er in elk geval aandacht voor kwam en borging geregeld werd.

Aanvankelijk ging de aandacht alleen uit naar wachtwoorden. Zonder correct wachtwoord bij een bepaald gebruikers-ID had je doorgaans 3 pogingen om in te loggen in een systeem waarna je de helpdesk / beheerder moest bellen voor open zetten van het account. Sommige kritisch systemen waren ook nog tot de fysieke locatie beperkt waardoor je allen maar op dat ene apparaat op die ene plek kon inloggen met bijbehorend wachtwoord.

Ook kon je nog in de logfiles achterhalen wie / user-id op welk moment had geprobeerd in te loggen; maar dat was meer voor debugging en financiele processen dan om security redenen.

Printers en andere randapparaten hadden vaak een vast (íngebakken') wachtwoord en wachtwoorden werden op 'geeltjes'op het beeldscherm geplakt....

Er waren toen nauwelijks verbindingen met de buitenwereld, hooguit tussen grote computersystemen onderling.

Naderhand werd alles meer 'connected', openeren, diverser, dynamischer,....

Anno 2023 is alles met alles verbonden en kan iedereen 7 x 24 x 365 anywhere -to - anýwhere communiceren en çomputeren

Voorbeeld op Internet: Developing an Information Technology Risk Management Program

Maatregelen - Controls - Measures - Massnahmen ?

In de 80''er begon elk bedrijf met zijn eigen internet beveiligingsmaatregelen (CIA-cube, handboek Kwaliteit..)

Maar al snel kwam er een NEN-standaard "Code voor Informatiebeveiliging", 1:1afgeleid van de Britse BS7799 standaard.

Hierin werden 110 maatregelen genoemd welke men kon treffen om het risico op inbreuk te verkleinen. Echter de (financiele) impact was dermate groot, dat maar weinig bedrijven ermee aan de slag gingen, behalve de allergrootste. ('Die moesten wel...)'.

Gestart werd met zogenaamde key-controls. Dit was een selectie van 10 meest belangrijke beveiligingsmaatregelen. Maar zelfs dat waren kostbare trajecten en het kostte jaren alvorens met daarop (extern) geaudit / gecertificeerd kon worden.

Naderhand kwamen er steeds meer standaarden en meer controls ter beschikking met op mijn hoogtepnt:

ESF/ SPRINT, naderhand ISF / SPRINT (BIA, ....) waar meer dan 1000 controls gedefineerd waren.

In al die jaren werden daar selecties (ahv Risico analyse) uit gehaals, controls aan toegevoegd, gecombineerd of verwijderd afhankelijk van de ontwikkelingen, finaciele (on)mogelijkheden, importantie, wetgeving...

Ook verschenen er regelmatig (soms dure) geautomatiseerde tools (programma's) om implementatie en beheer van de controls overzichtelijker te maken / onderhouden.

Door de jaren heen was beheersing van zoveel controls alleen nog maar te doen door het bijhouden van grote Spreadsheets, met daarin alle controls, impact, kans en referentie naar de grote standaarden.

In audits werd gechecked of de eigen verklaringen overeenkwamen met 'normen'.

'Standaarden', 'Normen', "Controls', 'Audits', waren geladen woorden en werden afgezwakt of versterkt afhankelijk van beleid, management...

Later ging de norm verder als CIB (2000) , en internationale ('EU') norm ISO 27001 .....etc. etc. voor buitenstaanders een echte wir-war

BSI Deutsche Gruendlichkeit

Voor mij is een voorbeeldige standaard altijd die van Duitsland geweest (Deutsche Gruendlichkeit)

"Bundes Schutz Information" BSI (D)

Maar zowel in Amerika als Nederland kende die vrijwel niemand omdat deze te krachtig was maar ook te duur (vooraf) was maar achteraf?

Anno 2023 gebeurt er inmiddels op alle ICT-securitygebieden zoveel dat ik door de bomen het bos niet meer zie, maar als ik de trends van cybercriminaliteit zie, dan voel ik dat niet veel veranderd is.

De Duitse standaard van BSI is misschie als enige een 'neutrale' standaard welke als anker kan dienen in deze complexe wereld, zeker voor de beeldvorming.

Deze zal ik hier dan ook het meest promoten, of mensen hetdaar wel / niet mee eens zijn.

Voorbeeld Internet: PenQuest: a gamified attacker/defender meta model for cyber security assessment and education

Voorbeeld Internet: Threat Defense: Cyber Deception Approach and Education for Resilience in Hybrid Threats Model

Voorbeeld Internet: How Cyber Adversaries Attack Each of the OSI Layers 1-7

Voorbeeld op Internet: Internet of Things security framework based on near field communication with Otway Rees protocol

Links mapping

NIST Control Catalog Spreadsheet (NEW)

The entire security and privacy control catalog in spreadsheet format
https://csrc.nist.gov/News/2021/control-catalog-and-baselines-as-spreadsheets 1190 controls in xls
Mappings between SP 800-53 Rev. 5 and other frameworks and standards:
- NIST Cybersecurity Framework and NIST Privacy Framework (UPDATED)
- ISO/IEC 27001 (UPDATED)

Conclusie en Advies

Mijn conclusie anno 2023: Ik ga alleen nog de Duitse BSI-standarden volgen omdat alle andere wegen niet veel opgeleverd hebben en tijdsintensief zijn om te onderhouden.

BSI-standarden

Thema's

Angriffsmethoden

BSI-Veröffentlichungen zur Cyber-Sicherheit - Register aktueller CyberGefährdungen und -Angriffsformen
EMPFEHLUNG: IT IM UNTERNEHMEN Basismaßnahmen der CyberSicherheit
Migrationstabellen zu den aus den IT-Grundschutz-Katalogen überführten Bausteinen des IT-Grundschutz-Kompendiums. xls
IT-Grundschutz-Compendium Final Draft, 1 February 2022 960 blx pdf
IT-Grundschutz. Zuletzt aktualisiert: 06.09.2017. Seite 5 von 810. ISMS: Sicherheitsmanagement. Umsetzungshinweise zum Bau- stein ISMS.1 Sicherheitsmanage-.
Kreuzreferenztabelle
- 3, In der Kreuzreferenztabelle wird der Kriterienkatalog auf internationale ... den Stellenwert der Informationssicherheit, abgeleitet von den Anforderungen ...
- ISO/IEC 27001:2017, CSA Cloud Controls Matrix 3.0.1, AICPA Trust Services Criteria 2017, TCDP - Version 1.0, ISO/IEC 27017:2015, ISO/IEC 27018:2014, BSI IT-Grundschutz-Kompendium - Edition 2019

Update 18.07.2023

Page updated

Google Sites

Report abuse