1. Cybersecurity fundamentals

Question 1

Omschrijf het proces van cybersecurity?

Answer 1

Het beschermen van informatie middels:
- Prevention
- Responding
- Detection

Question 2

Wat is NIST?

Answer 2

National Institute of Standards and Technology
Een framework met als hoofddoel het benoemen en managen van cybersecurity risico’s op een cost-effective manier.

Question 3

Wat is een threat?

Answer 3

Elk potentieel gevaar voor een asset die de CIA van een asset kan aantasten.
Een niet ontdekte threat is een latent threat.
Iemand die aanvalt en binnenkomt - spreken we van een geslaagde threat.

Question 4

Wat is een vulnerability?

Answer 4

Een zwakte in het ontwerp, implementatie, software of code. Kan gevonden worden in onder meer:
- Applicaties
- Operating Systems
- Hardware

Question 5

Wat is CVE?

Answer 5

Common Vulnerabilities and Exposure.
Een lijst (sponsored by US-CERT - Homeland Security) met daarin data over vulnerabilities.

Question 6

Wat is een exploit?

Answer 6

Verwijst naar een stuk software, tool, techniek of proces die misbruik maakt van een vulnerability. Die op zijn beurt weer leidt naar toegang, verlies van integriteit of denial of service of een systeem.

Question 7

Wat is een zero-day-exploit?

Answer 7

Als een kwetsbaarheid wordt uitgebuit zonder dat men dit weet.

Question 8

Wat is het verschil tussen het dark web en deep web?

Answer 8

Deep web is een verzameling van informatie en systemen die niet worden geindexeerd door zoekmachines. Het dark web is hier een onderdeel van als overlay van netwerken en systemen.

Question 9

Wat betekent risk?

Answer 9

De waarschijnlijkheid van een voorval of realisatie van een threat. Dit bestaat uit 3 elementen:
- Asset
- Threat
- Vulnerability

Question 10

Wat is een asset?

Answer 10

Elk item van economische waarde in eigendom van een individu of organisatie. Assets kunnen fysiek of virtueel zijn.

Question 11

Wat is prepender malware en appender malware?

Answer 11

• Prepender infecteert door de code vooraan in het geinfecteerde bestand te plaatsen.
• Appender infecteert door de code achteraan in het geinfecteerde bestand te plaatsen.

Question 12

Wat zijn de routines van virussen?

Answer 12

• Search
• Infection
• Payload
• Antidetection
• Trigger

Question 13

Voor het bypassen van authenticatie in kwetsbare systemen zijn verscheidene methodieken; Wat valt er onder Authentication Based vulnerabilities?

Answer 13

• Credential Brute Force Attack
• Session Hijacking
• Default Credentials
• Unsecure Direct Object Reference Vulnerabilities

Question 14

Credential Brute Force Attacks kent 2 verschillende methoden; Welke zijn dit en wat doen ze?

Answer 14

• Online
  Hierbij wordt er zo vaak als mogelijk geprobeerd om de gebruikersnaam en wachtwoord te raden. Nadeel hiervan is dat dit detecteerbaar is door de mislukte pogingen
• Offline
  Hierbij worden bijvoorbeeld gehashte en encrypte wachtwoorden gekraakt. Men haalt de cipher dus offline om deze vervolgens met rekenkracht proberen te kraken.

Question 15

Wat wordt er bedoelt met Cross-Site-Scripting en welke methoden zijn er?

Answer 15

Bij XSS wordt er middels code misbruik gemaakt van kwetsbaarheden in de webapplicatie.

• Reflected
  
  • Hierbij is de input hetzelfde als de output. Denk hierbij aan een link die met een phising email is verzonden. Door het te openen wordt de code wordt in de browser geladen en raakt besmet.
• Stored
  
  • Hierbij wordt de input opgeslagen in een database gekoppeld aan de web applicatie. Bijvoorbeeld een comment die geplaatst is in de comment sectie. Dit wordt opgeslagen in een database. Bij het inladen van de webpagina wordt dan de besmette code ingeladen voor iedereen.
• Dom-based

Question 16

Wat is Cross-Site Request Forgery?

Answer 16

Bij CSRF wordt er middels het gebruik van sessie tokens misbruik gemaakt van het vertrouwen van een website. De sessie token wordt opgeslagen in een cookie. Een andere website kan middels http misbruik maken van de vertrouwde token. Een manier om dit te voorkomen is door anti-CSRF tokens te gebruiken. Hierdoor wijzigt de sessie-ID.

Question 17

Wat is Race Condition?

Answer 17

Bij race condition kan een aanvaller misbruik maken van een kwetsbaarheid die onstaat bij 2 of meerdere wijzigingen aan een systeem of applicatie vlak achter elkaar.

Denk hierbij aan een firewall aanpassing. Door een implementatie kan er een extra wijziging nodig zijn in de ACL. De tijd die hier tussen zit kan misbruikt worden, echter is dit erg lastig voor een aanvaller.

Question 18

Wat voor een methodieken vallen er onder session hijacking?

Answer 18

• Predecting session token
  
  • Session sniffing (packets onderscheppen vanaf een unecrypte web sessie)
  • Man-in-the-middle
  • Man-in-the-browser (besmette extensie)

Question 19

Wanneer is er sprake van Unsecure Direct Object Reference Vulnerabilities

Answer 19

Wanneer men middels directe toegang tot objecten informatie kan opvragen die niet toebehoort aan de gebruiker.

Denk hierbij aan het aanpassen van een URL om de uitkomst te veranderen.
https://webwinkel/infoobject-customerid=11223

Question 20

Noem de 5 standaarden die zijn ontwikkeld voor de verspreiding van threat intelligence

Answer 20

STIX – Express taal voor het delen van cyber-attack informatie

TAXII – Open transport mechanisme die automatische exchange van cyber-threat info standaardiseert

CybOX – Gestandaardiseerd schema

OpenIOC – Open framework voor het delen van threat intelligence

OpenC2 – Taal voor command en control van cyber-defense technologie

Question 21

Wat zijn de vier meest gebruikte technieken voor verspreiding van malware?

Answer 21

Wrappers
Wrappers maken het mogelijk om langs de users defense te komen. Een wrapper is een programma die twee of meer executables bij elkaar brengt in één nieuw programma;

Packers
Zelfde soort als WinZip, Rar & Tar. Het compressed files om zodoende de activiteit van de malware te verduisteren. Het decompressed enkel als het in het geheugen is geplaatst.

Droppers
Software ontworpen om malware payloads te installeren met het gebruik van verscheidene methodes

Crypters
Gebruikt om code te encrypten of onleesbaar te maken. Hierdoor kan het niet gezien worden door antivirus programma’s

Question 22

Wat is het verschil tussen een virus en een worm?

Answer 22

Een virus heeft altijd tussenkomst nodig van menselijke handelen.
Een worm kan zichzelf verspreiden zonder tussenkomst van menselijk handelen

Question 23

Voor malware analyse bestaan er 2 technieken; welke zijn dit?

Answer 23

• Statisch
  Hierbij probeert met de malicieus software te decompilen, reverese engineeren en te analyseren om de code leesbaar te krijgen voor het menselijk oog.
• Dynamisch
  Gericht op het analyseren en monitoren van PC activiteit en netwerkverkeer. Doel is malicious verkeer te onderscheppen zonder dat de aanvaller het door heeft en dit naar een guest OS (testbed) te slepen voor analyse. Belangrijk is wel dat er geen besmetting plaats vindt op het host systeem.

Question 24

Wat zijn de meest populaire Internet of Things protocollen?

Answer 24

• Zigbee
• BLE en Bleutooth Smart
• Z-wave - Uni- broad- en multicast
• INSTEON - Wireless en lichtnet
• LoRaWAN
• Wifi
• Cellular

Question 25

Wat is een cybersecurity incident?

Answer 25

Een ongunstig event die de bedrijfsveiligheid bedreigt en/of de dienstverlening verstoort

Question 26

Wat is een false positive?

Answer 26

Een alert die niet een alert behoort te zijn.

Question 27

Wat is een false negative?

Answer 27

Een geslaagde indringing die niet opgemerkt is door de veiligheidssystemen

Question 28

Wat is een true positive?

Answer 28

Een detectie van een security attakc of malicious event die dit ook blijkt te zijn

Question 29

Wat is een true negative?

Answer 29

Wanneer een detection device een activiteit als acceptabel kenmerkt en dit ook het geval is