SIEM, de heilige graal in de Informatiebeveiliging?

Mensen, wat zijn we in de informatie technologie toch gek op acroniemen. Zo hebben we al weer een tijd het prachtige SIEM, hetgeen staat voor Security Incident and Event Management. Na jaren van al dan niet juist en zinvol implementeren van tal van technische maatregelen om de risico's die we geïdentificeerd hebben met onze digitale informatievoorziening, komt natuurlijk onvermijdelijk de vraag naar boven:"Wat hebben we hier nu mee bereikt, is onze organisatie veiliger geworden?"

Omdat het aan de hand van logfiles uit de firewall, intrusion prevention of andere systemen moeilijk te herleiden valt welke potentiele bedreigingen op de business afgewend zijn, is er een al lange tijd behoefte aan management gereedschap, dat de risico's die de business loopt kan correleren met de informatie uit de diverse beveiligingssystemen en het vigerende informatiebeveiligingsbeleid.

Hoe kun je nu een idee krijgen, of de investering in een dergelijke technologie gerechtvaardigd is.
Enkel aandacht voor de technische aspecten is niet voldoende. Kennis van de werkzaamheden van de organisatie (de "business") is van groot belang. Vraag je af wat ze doen en hoe, waar wordt het geld verdiend?
Op welke systemen draaien de belangrijkste toepassingen, is men zich bewust van fraude gevoeligheid? Natuurlijk zijn dit niet alle relevante vragen, maar het gaat er om dat dergelijke informatie nodig is om de verbanden te leggen die niet slechts bijdragen aan de beveiliging, maar ook waarde creëereen voor de organisatie.

Op basis van deze verbanden is het mogelijk om de informatie te verkrijgen die een aanwijzing geeft of de investering in SIEM te rechtvaardigen is.

Hoeveel security events zijn opgemerkt door de SIEM oplossing en wat zijn de de verliezen die geleden worden als gevolg van het niet of te laat opmerken?
Zal de beschikbaarheid van de informatievoorziening verbeteren?
Welke fraude pogingen worden nu wel gesignaleerd en hoeveel verlies is daarmee voorkomen?

Het lijkt erop, dat hiermee een weerwoord gegeven kan worden aan de dooddoener:"Informatiebeveiliging kost alleen maar geld, je krijgt er niets concreets voor terug", maar het zal tegelijkertijd het ontbreken van beleid en zinloze maatregelen inzichtelijk maken. Het is kortom geen heilige graal, maar een belangrijk instrument om inzicht te verkrijgen in de stand van zaken rondom informatiebeveiliging.

Cybercrime does not pay, but...

The article describes how dutch law enforcement succeeded in bringing a cybercriminal to trial where he (B.) is convicted and will have to serve 15 months in jail.

So far, so good. My question in this matter is about the area I highlighted, which states that he could not be convicted for breaking into a website by performing a SQL injection attack, stealing a 1000 creditcard numbers, although he admitted being guilty in court, because the evidence was collected wrongfully and therefore was not admissed.

What went wrong in a succesfull case?

verwijst naar:

"Bij het verhoor en in de rechtszaal erkende hij schuld, maar de politie heeft het bewijs niet wettig in handen gekregen. Daarom is hij gedeeltelijk vrijgesproken."
- Cybercrimineel krijgt 15 maanden cel | nu.nl/internet | Het laatste nieuws het eerst op nu.nl (bekijken via Google Sidewiki)

Awareness

As I travelled on the train to Amsterdam this morning I witnessed an interesting telephone conversation. A lady obviously had some issues with her declarations, so she called her office. She identified herself very clearly and asked if the person on the other side could check her email for her. Yes, she gave her password and in the meantime opened her notebook, which was professionally tagged showing the international company she worked for.

After repeating her company creditcard number out loud, bad line I guess, she also spelled out the names and email adresses of her assistant and manager.

So much for information security awareness...


- Posted using BlogPress from my iPhone

Warning! Do not press F1!

What is going on? We don't want remote code to be executed on our Windows XP machines, do we? As you can read in the adjoining article, the MSRC Engineering team has been investigating reports of a vulnerability involving the use of VBScript and Windows Help files.

You will find some excellent technical and configuration advice here.

Now my question is: " Is it worth all the hassle?"

How often do we press F1?

Not that often, do we...

verwijst naar:

"The MSRC Engineering team has been investigating reports of a vulnerability involving the use of VBScript and Windows Help files"
- Security Research & Defense : Help keypress vulnerability in VBScript enabling Remote Code Execution (bekijken via Google Sidewiki)

Toyota recalls are a case for open source code

While I wholeheartedly agree with Farhad Manjoo when he explains why we as drivers are a far bigger risk than Toyota's buggy braking software, I think it is a pity he does not break a lance for open source software.

If Toyota wanted to mend its public image and reputation for quality, it would make its source code available to anyone interested. This audience is far more likely to discover bugs and suggest improvements than an independent engineering firm ever could hope to find, not to mention the ability of government bodies to do so.

In my opinion, this is clearly an area where http://en.wikipedia.org/wiki/Security_through_obscurity does not bring us safer cars.

verwijst naar: Should we be worried that our cars are controlled by software? - By Farhad Manjoo - Slate Magazine (bekijken via Google Sidewiki)

Old hacking tricks still do the trick...

Recently Trustwave released it's Global Security Report 2010.

“In 2009, the most notable trend is the continued use of existing attack techniques despite the security industry’s awareness of these vulnerabilities.”

These findings are alarming and at the same time understandable. Let's take the average time between an initial breach and its detection. It was 156 days according to the paper. In some cases, the lapse was close to two years(!). The reason is obvious as we devote our attention to countering the latest vulnerabilities and are focussing on new issues such as social networking and cloud computing, we tend to oversee what is already there. And even if we do, knowledge of heritage systems is often not well documented, or unavailable at all because of restructuring, outsourcing or other cost cutting measures whose unwanted side effects always show up long after the deed was done.

This tells us once more, that we need to assess our complete it infrastructure and it's risks regularly and to remain vigilant. Most important however, information security should be part of basic enterprise policies, which message has to be heard and understood by top executives.

We have moved into an era where information security is key to all business functions, but some of the issues we talked about a dozen years ago we are still talking about today. We need to make our point to those who don’t do this for a living...

Prijs reis OV belangrijker dan privacy?

Als we de Volkskrant van vandaag volgen, dan is de prijsstijging die de invoering van de OV chipkaart met zich mee brengt van ernstiger aard, dan de bescherming van de privacy van de gebruiker. Voor het geval u net zo verbaasd bent als ik over dit standpunt, haal ik het hier nog maar eens aan ( de cursifering is van mij):

"Ook bleek er aanvankelijk nauwelijks te zijn gedacht aan de bescherming van de privacy.
De vraag is wat er terechtkomt van de belofte dat reizen met de ov-chipkaart gemiddeld niet duurder zal zijn dan met de oude strippenkaart.
Tenzij men reist met een anonieme chipkaart biedt het systeem de mogelijkheid iemands reisgedrag nauwkeurig te volgen. Dat is niet alleen interessant voor marketeers, maar ook voor politie en justitie. De praktijk moet leren wat de waarborgen tegen misbruik waard zijn.

Een serieuzer probleem is dat de reiziger niet overal hetzelfde tarief per kilometer betaalt..."

De prijs van privacy volgens de Volkskrant?