Social Media als Twitter, Facebook, Hyves, of Linked In vinden in rap tempo hun weg in ons dagelijks werk. Of het nu is om van klanten te leren kennen, een merk te promoten of welke vorm van communicatie dan ook te bedrijven, er wordt steeds meer geld aan uitgegeven. En zoals vrijwel altijd wordt de vraag "hoe hier mee om te gaan", pas gesteld nadat we ermee zijn begonnen. Zonder enige vorm van proces duikt men erop, waarbij tal van zaken opnieuw bedacht (moeten) worden en veel geld vermorst wordt.
Het gaat dan vaak om een set veelbelovende tools, die elk efficiënt beheerd en beheerst gebruikt moeten (kunnen) worden. De vraag die hierbij gesteld moet worden is: "Waar bevind ik me nu, ben ik nog in het ontdekkingsstadium of hoort het inmiddels bij het gebruik van alle dag?" Hier zijn drie fases te onderscheiden.
Ontdekking: in dit stadium vindt men uit wat de mogelijke toepassingen zijn en de daarbij behorende risico's. Omdat het doel begripsvorming is, kan er volstaan worden met beperkte middelen. De risico's ten aanzien van de drie belangrijke informatie beveiligingscriteria Integriteit, Vertrouwelijkheid en Beschikbaarheid dienen hierbij in acht genomen te worden, maar hoeven een test niet in de weg te staan.
Pas wanneer men in het stadium van serieuze testcase komt en meer gaat experimenteren, ook op verschillende terreinen, is er behoefte aan strakker beheer en toezicht; management zo u wilt. Er zijn verschillende manieren, om de gewenste transparantie en het delen van de opgedane ervaring mogelijk te maken. Alleen dan kan namelijk de kennis daadwerkelijk opgebouwd en bewaard worden. Om later niet door beveiligingsproblemen op bijvoorbeeld privacy gebied ingehaald te worden, tekent zich de noodzaak af om maatstaven vast te stellen voor elk doel op dit gebied en dan in het bijzonder ook voor de informatiebeveiliging.
In de volgende fase, die van adoptie, kan het gebruik van social media veilig overgelaten worden aan de verantwoordelijke afdelingen en kan het management zich toeleggen op ondersteuning en coaching. Tegelijkertijd dient men een goede controle te behouden op de risico's die elk gebruik van informatie technologie met zich mee brengt.
Dat zou nou mooi zijn; kwaliteitscriteria vooraf vast leggen, zodat we niet de put hoeven te dempen als er weer eens een kalf verdronken is. Denk maar aan de incidenten die er al met het gebruik van diverse media geweest zijn. Als information security officer weet u wat u te doen staat!
ps ik kreeg nog een mooie opsomming van waarom men twitteren wil op managers on line. Dan weet u vast welke vraag de business mee kan komen!
woensdag 23 september 2009
donderdag 17 september 2009
Prioriteiten bij het patchen, nog altijd een zorgenkind?
Het SANS rapport "The Top Cyber Security Risks" en het Internet Storm Center (ISC), stelt dat bedrijven ogenschijnlijk de verkeerde prioriteiten stellen waar het gaat om het verhelpen van kwetsbaarheden in PC's. Hoewel recente aanvallen op Windows PC's zich vrijwel alleen maar richten op kwetsbaarheden in Adobe Reader, QuickTime, Adobe Flash en Microsoft Office, duurt het gemiddeld twéé keer zo lang voordat security updates voor deze applicaties geïnstalleerd zijn vergeleken met kwetsbaarheden die in het besturingssysteem aangetroffen worden. Het rapport baseert zich op informatie uit 6000 intrusion prevention systemen van TippingPoint en de meer dan 100 millioen vulnerability scans die Qualys uitvoert.
Zo valt te lezen, dat 80 procent van de Windows kwetsbaarheden binnen 60 dagen na het beschikbaar komen van een update gepatched zijn. Dit staat in schril contrast met applicaties als Office, Adobe Acrobat en Java, waar in dezelfde tijdspanne slechts 20 tot 40 procent van de kwetsbaarheden gepatched zijn, om nog maar niet te spreken van Flash, waar we over percentages van 10 tot 20 procent praten!
Website beheerders helpen, vaak ongewild, bij de distributie van malware door criminelen. Matig server onderhoud zorgt ervoor dat vertrouwde websites gemanipuleerd worden waarbij kwaadaardige code ingebouwd en gedistribueerd wordt. Meer dan de helft van alle online aanvallen zijn gericht op webservers, met als doel het exploiteren van SQL injection en andere kwetsbaarheden. SQL injection en cross-site scripting (XSS) kwetsbaarheden zijn samen goed voor 80 procent van alle kwetsbaarheden op servers.
Een alarmerende conclusie: vertrouw geen enkele website! Nog dit weekend slaagden boeven er in om "scareware" los te laten (een van die waarschuwingen: "u bent geinfecteerd", ooit gezien?) op bezoekers van de website van de New York Times. Niets nieuws. Maar wel iets dat we steeds vaker zullen zien, omdat op deze manier criminelen makkelijk een grote populatie kunnen bereiken.
Kennelijk is het niet mogelijk voor de vele beheerders en thuisgebruikers om hun systemen volledig up-to-date te houden en zo dit type aanvallen tegen te gaan. Eén van de redenen daarvan is waarschijnlijk de slecht functionerende update procedures van de verschillende producten. 'Stil patchen' verbetert de situatie aanzienlijk. Ik kan me de bezwaren tegen het ongezien aanbrengen van veranderingen op je computer voorstellen, Toch geloof ik dat de gemiddelde gebruiker hiermee beter af zou zijn dan wanneer hij dit zélf moet doet!
Natuurlijk is er programmatuur, zoals Secunia's PS. Dit soort software scant o.a. belangrijke componenten als de Flash plug-in, Java en browser libraries. De programmatuur geeft die gebruikers tevens een idee over de gevaren van het surfen met een onbeschermd systeem. Feit blijft, dat de gebruiker dit soort bescherming ook daadwerkelijk moet installeren, begrijpen en correct moet gebruiken.
Misschien is het een goed idee dat Microsoft een faciliteit in Windows inbouwt, die gebruikers, naast de informatie over Windows zelf en Internet Explorer, ook informeert over updates voor Adobe Reader, Java, Flash enz?
Zo valt te lezen, dat 80 procent van de Windows kwetsbaarheden binnen 60 dagen na het beschikbaar komen van een update gepatched zijn. Dit staat in schril contrast met applicaties als Office, Adobe Acrobat en Java, waar in dezelfde tijdspanne slechts 20 tot 40 procent van de kwetsbaarheden gepatched zijn, om nog maar niet te spreken van Flash, waar we over percentages van 10 tot 20 procent praten!
Website beheerders helpen, vaak ongewild, bij de distributie van malware door criminelen. Matig server onderhoud zorgt ervoor dat vertrouwde websites gemanipuleerd worden waarbij kwaadaardige code ingebouwd en gedistribueerd wordt. Meer dan de helft van alle online aanvallen zijn gericht op webservers, met als doel het exploiteren van SQL injection en andere kwetsbaarheden. SQL injection en cross-site scripting (XSS) kwetsbaarheden zijn samen goed voor 80 procent van alle kwetsbaarheden op servers.
Een alarmerende conclusie: vertrouw geen enkele website! Nog dit weekend slaagden boeven er in om "scareware" los te laten (een van die waarschuwingen: "u bent geinfecteerd", ooit gezien?) op bezoekers van de website van de New York Times. Niets nieuws. Maar wel iets dat we steeds vaker zullen zien, omdat op deze manier criminelen makkelijk een grote populatie kunnen bereiken.
Kennelijk is het niet mogelijk voor de vele beheerders en thuisgebruikers om hun systemen volledig up-to-date te houden en zo dit type aanvallen tegen te gaan. Eén van de redenen daarvan is waarschijnlijk de slecht functionerende update procedures van de verschillende producten. 'Stil patchen' verbetert de situatie aanzienlijk. Ik kan me de bezwaren tegen het ongezien aanbrengen van veranderingen op je computer voorstellen, Toch geloof ik dat de gemiddelde gebruiker hiermee beter af zou zijn dan wanneer hij dit zélf moet doet!
Natuurlijk is er programmatuur, zoals Secunia's PS. Dit soort software scant o.a. belangrijke componenten als de Flash plug-in, Java en browser libraries. De programmatuur geeft die gebruikers tevens een idee over de gevaren van het surfen met een onbeschermd systeem. Feit blijft, dat de gebruiker dit soort bescherming ook daadwerkelijk moet installeren, begrijpen en correct moet gebruiken.
Misschien is het een goed idee dat Microsoft een faciliteit in Windows inbouwt, die gebruikers, naast de informatie over Windows zelf en Internet Explorer, ook informeert over updates voor Adobe Reader, Java, Flash enz?
Labels:
patchen,
vulnerabilities
Abonneren op:
Posts (Atom)
