Module 3B - Basisconcepten van computerbeveiliging

Question 1

Wat is beveiliging?

Answer 1

• = Security: Beveiliging is het geheel van technische en organisatorische maatregelen die worden getroffen om een te beveiligen doel te beschermen tegen opzettelijke schadelijke handelingen door mensen.
  
  • Personen buiten de organisatie: bv. cybercrime of terroristen
  • Fraude in het geval van mensen binnen de organisatie
• Beveiliging heeft dus te maken met bescherming tegen diefstal, sabotage, toegang door niet gemachtigde personen, verduistering, en is erop gericht kwaadwillige handelingen te voorkomen en te detecteren.

Question 2

Veiligheid

Answer 2

• Veiligheid gaat evenwel over het vermijden van incidenten en ongevallen (of het beperken van de gevolgen ervan wanneer deze zich toch zouden voordoen).
• Bij veiligheidsrisico’s gaat het dus over het niet-opzettelijk falen van mensen of installaties. Denk aan een (onopzettelijke) fout in de software, of een machine die blokkeert.

Question 3

Definitie computerbeveiliging

Answer 3

• Het geheel van (wetenschappelijke, technische, organisatorische…) activiteiten gericht op de bescherming van computers (zowel hardware als software) en computernetwerken, alsook van de gegevens opgeslagen op computers of uitgewisseld via computernetwerken, en van de fysieke apparaten die door computers worden aangestuurd.
• Ongeoorloofde acties en de gevolgen daarvan te voorkomen én opsporen en optreden

Question 4

Waar ligt de focus op bij computerbeveiliging?

Answer 4

• Bescherming tegen opzettelijk misbruik door niet-bevoegde partijen = bescherming tegen toegang of controle door andere entiteiten dan de rechtmatige eigenaars of aan wie zij machtiging gaven.
• Voornamelijk hier tegen:
  
  • Virusaanvallen, DDoS-aanvallen, hacking en spam.

Question 5

Onopzettelijk misbruik en cybersecurity?

Answer 5

• Mechanismen ter bescherming van computers tegen onopzettelijke schade of fouten, of die te maken hebben met de veiligheid (of betrouwbaarheid) van computers, zijn soms ook essentieel voor de algehele computerbeveiliging, maar maken niet het voornaamste aandachtspunt uit.

Question 6

Computerbeveiliging als deel van informatiebeveiliging

Answer 6

• Informatiebeveiliging: Dit is het geheel van preventieve, detectieve, repressieve en correctieve maatregelen, alsook procedures en processen, die de beschikbaarheid, exclusiviteit en integriteit van alle vormen van informatie binnen een organisatie of een maatschappij garanderen, met als doel de continuïteit van de informatie en de informatievoorziening te waarborgen en de eventuele gevolgen van beveiligingsincidenten tot een acceptabel, vooraf bepaald niveau te beperken.

Question 7

Wetgeving computerbeveiliging?

Answer 7

Europa veel meer vereisten op:

• GDPR
• NIB-richtlijn
• Wetgeving inzake telecommunicatie
• US: Sarbanes-Oxley wetgeving

Question 8

Waarom is cybersecurity belangrijk voor organisaties?

Answer 8

• Omwille van commerciële en reputatiedoeleinden om de beveiliging van hun computerssystemen nastreven.
• → risicoanalyse: risico’s kwantificeren:
  
  • Risico = kans x gevolg.

Question 9

Standaarden in cybersecurity?

Answer 9

• Normalisatie-instituten, zoals ISO die diverse standaarden en methoden hebben ontwikkeld voor informatiebeveiliging → basis voor audits die organisaties laten uitvoeren: is het overeengekomen niveau van beveiliging is gerealiseerd, vaak met het oog op het verkrijgen van een certificatie.

Question 10

Ambiguïteit vermijden

Answer 10

• Ambiguity is security’s enemy: beveiligingsexperten weten dat integriteit en vertrouwelijkheid van gegevens verschillende eigenschappen van beveiliging uitmaken.

Question 11

Stappen computerbeveiligingsanalyse

Answer 11

1. Het opstellen van het systeemmodel, dit is een rigoureuze beschrijving van het systeem dat we proberen te beveiligen (bijvoorbeeld een webapplicatie, of voor het beheer van digitale documenten);
2. Het formuleren van de beveiligingseigenschappen of -doelstellingen van het systeem (welke goede eigenschappen willen we dat het systeem behoudt in het geval van kwaadaardig aanvallen, of welke slechte fouten willen we voorkomen?)
3. Het opstellen van een aanvallersmodel, waarin categorieën van potentiële aanvallers worden omschreven, hun mogelijke motieven, middelen en capaciteiten.

Question 12

Wat is BIV-classificatie?

Answer 12

• Computerbeveiliging omvat diverse aspecten of kenmerken, die we ‘doelstellingen’ (security goals) of ‘eigenschappen’ (security properties) noemen. CIA triad:

1. Beschikbaarheid = availability
2. Integriteit = integrity
3. Vertrouwelijkheid = confidentiality

• Ook nog machtiging (authorisation), verificatie (authentication) en toerekenbaarheid (accountability).

Question 13

Beschikbaarheid of continuïteit

Answer 13

• = Availability: Een computersysteem met zijn gegevens moet toegankelijk blijven voor geautoriseerd gebruik.
  
  • → bescherming tegen opzettelijke verwijdering van gegevens en verstoring dienstverlening.
• Bescherming DDoS-aanvallen: gericht zijn het systeem uit te putten waardoor het niet langer kan functioneren.
• Kenmerken:

1. Tijdigheid
2. Continuïteit
3. Robuustheid

Question 14

Integriteit of betrouwbaarheid

Answer 14

• = Integrity: gegevens, software of hardware niet kunnen worden gewijzigd, tenzij door geautoriseerde partijen.
• Is de informatie op het computersysteem actueel en correct.
• Kenmerken
  
  • Juistheid
  • Volledigheid
  • Geauthoriseerdheid van de transacties

Question 15

Hoe aanpakken: integriteit en betrouwbaarheid?

Answer 15

• Met foutdetectie- en foutcorrectiecodes kunnen ‘goedaardige’ vergissingen worden aangepakt (ook in hardware)
• Toegangscontroles en cryptografische controlesommen worden gebruikt om ‘kwaadaardige’ integriteitsschendingen tegen te gaan.

Question 16

Vertrouwelijkheid of exclusiviteit

Answer 16

• Confidentiality: is de eigenschap dat niet-openbare informatie alleen toegankelijk is, en blijft, voor geautoriseerde partijen, ongeacht of de informatie is opgeslagen (‘data in rust’) of wordt doorgegeven (‘data in beweging’) → alleen bevoegde entiteiten krijgen toegang tot de informatie en die kan niet uitlekken.
  
  • De vertrouwelijkheid van gegevens kan worden gerealiseerd via mechanismen van toegangscontrole en via technische middelen, zoals encryptie.

Question 17

Onderscheid confidentiality en privacy?

Answer 17

• Nauw verwant. Vertrouwelijkheid heeft betrekking op de bescherming van informatie om ongeoorloofde openbaarmaking te voorkomen.
• Privacy (en meer bepaald informatieprivacy) heeft meer in het algemeen betrekking op persoonlijk gevoelige informatie, de bescherming ervan en de controle over de manier waarop ze wordt gedeeld: Ook niet-confidentiële informatie geniet privacybescherming.
• Privacy verband met anonimiteit: de eigenschap dat iemands handelingen of betrokkenheid niet in verband kunnen worden gebracht met een publieke identiteit.

Question 18

Machtiging of geautoriseerde toegang

Answer 18

• Authorization: soms als een afzonderlijke eigenschap van computerbeveiliging.
• Het gaat om de eigenschap dat computerhulpbronnen alleen toegankelijk zijn voor gemachtigde entiteiten (zij die werden goedgekeurd door de eigenaar van het systeem of de domeinbeheerder) → toegangscontrole: de toegang tot fysieke apparatuur, softwarediensten en informatie beperken (bv. inlogsystemen).

Question 19

Verificatie

Answer 19

• Authentication: is de zekerheid dat een actor (principal), gegevens of software overeenstemt met wat wordt beweerd of met de verwachtingen die uit de schijn of de context voortvloeien.

1. Entity authentication
2. Message authentication
3. Data origin authentication

• Authenticatie is nodig voor attributie – het bepalen aan wie een actie kan worden toegeschreven – en dus toerekenbaarheid

Question 20

Entity authentication

Answer 20

De identiteit van een actor die bij een transactie betrokken is, stemt overeen met hetgeen wordt beweerd (wat van belang is voor de eigenschap ‘machtiging’)

Question 21

Message authentication

Answer 21

• De afzender van een bericht kan met zekerheid worden vastgesteld

Question 22

Data origin authentication

Answer 22

De bron van gegevens of software stemt overeen met hetgeen wordt beweerd (wat tevens de integriteit van de gegevens impliceert, zoals hierboven besproken).

Question 23

Toerekenbaarheid

Answer 23

• Accountability: het vermogen om zij die verantwoordelijk zijn voor gestelde daden te identificeren.
  
  • Elektronische logboeken.
• Toerekenbaarheid verwijst dus naar de eigenschap dat het systeem garanties biedt dat bij een transactie waarin twee partijen betrokken zijn aantoonbaar is dat beide partijen deelgenomen hebben aan de transactie:
  
  • Bv. een verzender kan aantonen dat de ontvanger ontvangen heeft en de ontvanger kan aantonen wie de verzender was.

Question 24

Non-repudiation

Answer 24

De onmogelijkheid om gedane toezeggingen of gestelde handelingen later op een geloofwaardige wijze te ontkennen of te weerleggen.

Question 25

Beveiligingsbeleid

Answer 25

• Hierin wordt de intentie van de ontwikkelaars van het systeem beschreven = system design intent.
  
  • Wat beoogt het systeem toe te laten, en wat niet?
• Dit beleid kan expliciet aangeven welke activa (assets) bescherming behoeven, welke gebruikers toegang hebben tot bepaalde onderdelen en met welke middelen.
• Doelstellingen vastleggen in het beveiligingsbeleid voor verschillende activa: gegevens, software, hardware, computer- en communicatiediensten, op basis van zakelijke, juridische en technische overwegingen.

Question 26

Welk onderscheid gaat een beveiligingsbeleid maken?

Answer 26

• Zo’n formeel beveiligingsbeleid gaat nauwkeurig elke mogelijke systeemtoestand definiëren:
  
  • Veilig of secure
  • Niet-geautoriseerd: niet-veilig of non-secure

Question 27

Hoe werkt een beveiligingsbeleid in theorie?

Answer 27

• Systeem eerst in een veilig toestand, waarna systeemacties → systeem overgaat naar een niet-toegestane (niet-veilige) toestand → schade aan activa (hardware, software, gegevens,…) = schending van beveiligingsbeleid (violation).

Question 28

Hoe werkt het in de praktijk: beveiligingsbeleid?

Answer 28

• In de praktijk is een beveiligingsbeleid evenwel vaak een informeel document met richtlijnen en verwachtingen ten aanzien van bekende beveiligingsproblemen.
• Het formuleren van een nauwkeurig beleid is moeilijk en tijdrovend (en de waarde ervan wordt meestal onderschat, totdat er zich beveiligingsincidenten voordoen…). Niettemin wordt beveiliging gedefinieerd aan de hand van een beleid, idealiter in geschreven vorm.

Question 29

Security failure

Answer 29

• = doorbreken van een beveiligingsdoelstelling van het systeem → beveiligingsinbreuk: dan kan zich een cyberincident voordoen.

Question 30

Aanval

Answer 30

• Een security failure is doorgaans het gevolg van een aanval (attack) = het opzettelijk uitvoeren van een of meer stappen met de bedoeling om een inbreuk op de beveiliging te veroorzaken.
• Aanvallers maken gebruik van specifieke systeemkenmerken die kwetsbaarheden (vulnerabilities) worden genoemd:
  
  • Ontwerpfouten
  • Implementatiefouten
  • Gebruiks- of configuratieproblemen (bv. gebruik van bekende standaardwachtwoorden).

Question 31

Dreiging

Answer 31

• Nog geen daadwerkelijke aanval uitgevoerd maar wel een risico = dreiging of threat. Een dreiging is een combinatie van omstandigheden en entiteiten die de assets schade kunnen toebrengen, d.w.z. inbreuken op de beveiliging kunnen veroorzaken.

Question 32

Wat is er vereist voor een geloofwaardige dreiging?

Answer 32

• Er een tegenstander (adversary) is die zowel de capaciteit als de intentie heeft om een potentiële aanval uit te voeren. De tegenstander, of bron van de dreiging (threat agent), wordt een aanvaller (attacker) zodra de dreiging wordt omgezet in een daadwerkelijke aanval.

Question 33

Op wat is computerbeveiliging gericht?

Answer 33

Gericht op:

• Dreigingen te beperken = threat mitigation
• Identificeren en wegwerken van kwetsbaarheden (vulnerabilities) waardoor bepaalde mogelijke aanvalsstrategieën worden uitgeschakeld.

Question 34

Attack vectors

Answer 34

• Specifieke methoden of reeks van stappen voor de uitvoering van aanvallen.

Question 35

Wat is eenvoudiger om op te focussen bij het opstellen van een beveiligingsbeleid?

Answer 35

• Focus op beveiligingsfouten (of risico’s daarop) te identificeren. Moeilijker is beveiligingsdoelstellingen formuleren.

Question 36

2 complementaire benaderingen specialisten computerbeveiliging?

Answer 36

1. Beveiligingsdoelstellingen identificeren en beveiligingsmechanismen bedenken; en/of
2. Potentiële beveiligingsfouten identificeren en tegenmaatregelen bedenken.

Question 37

welke vragen moet je stellen bij risico-analyse?

Answer 37

1. Welke activa zijn het meest waardevol, en wat is hun waarde?
2. Welke kwetsbaarheden vertoont het systeem?
3. Wat zijn de relevante bedreigingsactoren en hun mogelijke aanvalsstrategieën?
4. Wat is de inschatting van de waarschijnlijkheid van aanvallen, of de frequentie ervan?

Question 38

Wat is een threat model?

Answer 38

• Het opstellen van een threat model of dreigingsmodel houdt in dat gekende of verwachte dreigingen (threats), tegenstanders (threat agents) en aanvalsstrategieën (attack vectors) waartegen het systeem zich moet verdedigen, geïdentificeerd en opgelijst worden.
  
  • Ook dreigingen die niet relevant zijn (out of scope zijn), moeten expliciet als zodanig worden geregistreerd.

Question 39

STRIDE-classificatie

Answer 39

• = verwijst naar de 6 categorieën van beveiligingsinbreuken die overeenkomen met de beveiligingsdoelstellingen of -eigenschappen:

1. Spoofing
2. Tampering
3. Reputation
4. Information Disclosure
5. Denial of Service
6. Elevation of escalation of privilege

Question 40

(1) Spoofing

Answer 40

Spoofing: pogingen om zich voor te doen als iets (bijv. een website) of een entiteit (bijv. een gebruiker) – vormt een inbreuk op de eigenschap verificatie (authenticity; authentication)

Question 41

(2) Tampering

Answer 41

Tampering (of knoeien): de ongeoorloofde wijziging van bijvoorbeeld code, opgeslagen gegevens of verzonden pakketten – vormt een inbreuk op de eigenschap integriteit (integrity)

Question 42

(3) Reputation

Answer 42

Repudiation (of afwijzing): het ontkennen van verantwoordelijkheid voor daden uit het verleden – vormt een inbreuk op de eigenschap toerekenbaarheid (accountability; non-repudiability)

Question 43

(4) Information Disclosure

Answer 43

Information Disclosure: de ongeoorloofde openbaarmaking van gegevens – vormt een inbreuk op de eigenschap vertrouwelijkheid (confidentiality)

Question 44

Denial of service?

Answer 44

Denial of Service (weigering van dienst): een aantasting van de beschikbaarheid (availability) van diensten (of de kwaliteit ervan), door kwaadwillige acties die de beschikbare middelen verbruiken of fouten in systemen veroorzaken

Question 45

(6) Elevation of escalation of privilege

Answer 45

Elevation / escalation of privilege: het (onrechtmatig) verwerven van privileges om toegang te krijgen tot het systeem; dit verwijst doorgaans naar malware waardoor een basistoegangsniveau wordt verkregen waarna kwetsbaarheden in het systeem worden uitgebuit om privileges verder uit te breiden en ruimere toegang te verkrijgen – vormt een inbreuk op de eigenschap machtiging (authorisation).

Question 46

Aanvallersmodel

Answer 46

• Adversary or attacker model: wat zijn mogelijke categorieën van aanvallers; wat zijn hun mogelijke motieven, methoden en middelen; gaat het om interne of externe aanvallers (insiders versus outsiders)?
  
  • De tegenstander waarmee men te maken kan krijgen, bepaalt immers in belangrijke mate de strategie voor risicobeperking.

Question 47

Mogelijke adversaries?

Answer 47

• buitenlandse inlichtingendiensten
• cyberterroristen of politiek gemotiveerde tegenstanders
• industriële spionageagenten (wellicht gefinancierd door concurrenten)
• georganiseerde misdaad (groepen)
• kleine criminelen en hackers
  
  • kwaadwillende (malicious) insiders (met inbegrip van ontevreden werknemers)
  • niet-kwaadwillende (non-malicious) werknemers (vaak niet op de hoogte van beveiliging)

Question 48

Risicobeheer

Answer 48

• Risicobeheer vormt een combinatie van technische activiteiten gericht op het inschatten van risico’s en zakelijke activiteiten van het ‘managen’ van het risico, d.w.z. het bepalen van een weloverwogen respons.
• = continu proces waarbij aanvallers en verdedigers zich in een voortdurende wedloop bevinden → snel evoluerende context.

Question 49

Mogelijkheden risicobeheer?

Answer 49

1. Het beperken van risico’s door technische of procedurele tegenmaatregelen
2. Overdragen van risico’s aan derden (via verzekeringen)
3. Het aanvaarden van risico’s in de hoop dat dit minder zal kosten dan 1 en 2.
4. Uitschakeling van risico’s door ontmanteling van het systeem

Question 50

Wat zijn digitale handtekeningen?

Answer 50

• Digitale handtekeningen maken gebruik van een combinatie van cryptografische technieken om de inhoud van de berichten of documenten te beveiligen, meer bepaald hun integriteit (een wijziging van het bericht door de aanvaller zal worden gedetecteerd), verificatie (de ontvanger van het bericht weet wie de afzender was) en onweerlegbaarheid (of toerekenbaarheid; de afzender kan niet weerleggen dat het bericht van hem/haar afkomstig is).