MManagement

CYBERVEILIGHEIDSBEOORDELING: voorbeelden, checklist en hulpmiddelen

Beoordeling van de cyberbeveiliging
CPA Canada
Inhoudsopgave Verbergen
  1. Wat is een cyberbeveiligingsbeoordeling?
  2. Beoordelingstools voor cyberbeveiliging
  3. Hoe voert u een cyberbeveiligingsbeoordeling uit?
  4. Checklist voor cyberbeveiligingsbeoordeling
  5. Wat zit er in een Cyber ​​Security Assessment?
  6. Cyber ​​Security Assessment Services
  7. Voorbeeld Cyber ​​Security Assessment
  8. Hoe lang duurt een cyberbeveiligingsbeoordeling?
  9. Wat is een NIST-beveiligingsbeoordeling?
    1. Wat zijn de drie fasen van een beveiligingsbeoordelingsplan?
    2. Hoe start ik een cyberbeveiligingsbeoordeling?
  10. Gratis tools voor het beoordelen van cyberbeveiliging
    1. #1. KaliLinux
    2. #2. Ga phishen
    3. #3. Verdedigen
    4. #4. Aircrack-ng
    5. #5. Burp-suite
  11. Samengevat
  12. Veelgestelde vragen over cyberbeveiligingsbeoordelingen
    1. Wat is een cyberbeveiligingsbeoordeling?
    2. Wat is de checklist voor de beoordeling van beveiligingsrisico's?
    3. Hoe voer je in 5 stappen een cybersecurity risicoanalyse uit?
    4. Gerelateerde artikelen
    5. Referenties

Omdat het landschap van cyberdreigingen voortdurend verandert, vormen routinematige cyberbeveiligingsbeoordelingen een essentieel onderdeel van een uitgebreid risicobeheerprogramma. Uw bedrijf moet te allen tijde de cyberhygiëne van zijn hele ecosysteem bewaken, inclusief externe en vierde partijen. Een cyberbeveiligingsrisicobeoordeling helpt u hierbij door cyberrisico's te identificeren die van invloed zijn op uw beveiligingsstatus, waardoor u beter geïnformeerde beslissingen kunt nemen over hoe u geld kunt toewijzen om beveiligingscontroles te implementeren en het netwerk te beschermen. Laten we eens kijken naar enkele van de meest voorkomende cyberbeveiligingsrisicobeoordelingen en de acties met tools die uw bedrijf kan ondernemen om een ​​effectieve beoordeling uit te voeren:

Wat is een cyberbeveiligingsbeoordeling?

Een cyberbeveiligingsbeoordeling is een proces dat de huidige status van de cyberbeveiligingsstatus van uw organisatie bepaalt en stappen voor verbetering aanbeveelt. Hoewel er veel verschillende soorten beoordelingen zijn, richt dit artikel zich op NIST SP 800-115: Implementing Security Controls for Federal Information Systems (ICS) – Security Assessment Methodology 2nd Edition (SAM2). Het doel hier is om wat achtergrondinformatie te geven over hoe SAM2 werkt, zodat u kunt beslissen of het geschikt is voor uw specifieke situatie.

Beoordelingstools voor cyberbeveiliging

De tools voor het beoordelen van cyberbeveiliging beoordelen de cyberbeveiligingspositie van uw bedrijf. De beoordeling bestaat uit een reeks vragen die helpen bij het bepalen van de huidige cyberbeveiligingspositie van uw organisatie, het identificeren van potentiële risico's en kansen en het bieden van de mogelijkheid om uw bestaande controles te evalueren.

De beoordeling is bedoeld om te worden ingevuld door een externe beoordelaar die uw organisatie nog niet eerder heeft beoordeeld. Op basis van de beoordelingsresultaten wordt een beoordelingsrapport gegenereerd, dat aanbevelingen kan bevatten voor het verbeteren van uw cyberbeveiligingshouding.

Hoe voert u een cyberbeveiligingsbeoordeling uit?

De eerste stap bij het uitvoeren van een cyberbeveiligingsbeoordeling is het begrijpen van de reikwijdte van uw project. Een cyberbeveiligingsbeoordeling kan worden gedefinieerd als een analyse die rekening houdt met alle aspecten van informatiebeveiliging, inclusief netwerk- en systeembeveiliging, applicatie-ontwikkeling en -implementatie, autorisatiemodellen voor gebruikers (bijvoorbeeld eenmalige aanmelding) en beleid en procedures voor het beheer van gegevensclassificatie.

De reikwijdte van uw beoordeling moet het volgende omvatten:

  • De bedrijfsimpact als zich een dreiging of kwetsbaarheid voordoet;
  • Huidige risiconiveaus voor elk hierboven geïdentificeerd gebied; 
  • Hoe goed beschermt elk gebied tegen bekende bedreigingen? Zo niet, identificeer dan welke controles mogelijk moeten worden geïmplementeerd op basis van de huidige industriestandaarden/best practices;
  • Welke andere gebieden hebben aandacht nodig? Bijvoorbeeld: hebben we voldoende monitoringcapaciteit voor ons netwerkverkeer? Is er voldoende inzicht in wat klanten online doen als onderdeel van hun dagelijkse activiteiten zonder dat ze ons elke keer dat ze inloggen doorlopen?

Checklist voor cyberbeveiligingsbeoordeling

U kunt een standaard veiligheidsbeoordelingschecklist gebruiken om ervoor te zorgen dat u alle bases afdekt met uw cyberbeveiligingsbeoordeling. Dit is vooral belangrijk bij het werken aan grote projecten en teams, omdat het de tijd vermindert die elke persoon nodig heeft om zijn deel van het proces te voltooien.

Het volgende is een voorbeeldchecklist die u naar behoefte kunt aanpassen en gebruiken:

  • NIST 800-53 (Computer Security Framework) – Dit document definieert de minimumvereisten voor informatiebeveiligingsbeheer gedurende de levenscyclus van een organisatie. Het beschrijft vijf aandachtsgebieden: risicobeoordeling, penetratietesten, ontwikkeling en implementatie van incidentenresponsplan, ontwikkeling en implementatie van beveiligingsbeheerplannen voor faciliteiten, beleidsrichtlijnen voor het maken/bijwerken van documenten

Wat zit er in een Cyber ​​Security Assessment?

Een beveiligingsbeoordeling is een proces waarbij tools en technieken worden gebruikt om informatie over uw netwerkomgeving te verzamelen. Een goede security assessment heeft tot doel ervoor te zorgen dat de data, systemen en applicaties van uw organisatie zo veilig mogelijk zijn.

Een goede beveiligingsbeoordeling omvat:

  • Reikwijdte, planning en kosten van de beoordeling;
  • Het team dat het gaat uitvoeren;
  • De aanpak die is gebruikt om het uit te voeren (bijv. pentesten of scannen op kwetsbaarheden);
  • Hulpmiddelen/technieken die tijdens de verzamelfasen worden gebruikt, zoals poortscanning of fuzzing-software;
  • Mensen die resultaten ontvangen van deze activiteit – d.w.z. eindgebruikers die één voor één door hun machines gaan (handmatig loggen is niet nodig), partners/leveranciers die rapporten rechtstreeks van ons ontvangen via e-mailbijlage(n).

Cyber ​​Security Assessment Services

Een beveiligingsbeoordeling is een systematische verzameling van gegevens om het risiconiveau te bepalen en zwakheden in de informatiebeveiliging van uw organisatie te identificeren. Het doel van een beveiligingsbeoordeling is het identificeren van lacunes in de huidige processen en het huidige beleid van uw organisatie, evenals het evalueren van kwetsbaarheden die hackers zouden kunnen misbruiken.

Beveiligingsbeoordelingen kunnen worden uitgevoerd met behulp van open source-software zoals Nessus of Qualys' Vulnerability Management Suite (VMS), die u een momentopname geeft van de configuratie van uw netwerk op dit moment, of ze kunnen worden uitbesteed (bijvoorbeeld via Cyber ​​Security Assessments). Dit proces heeft veel voordelen: het is goedkoper; het geeft real-time feedback; er zijn geen problemen met vendor lock-in omdat u toegang krijgt tot alle tools tegelijk, en als u tijdens de beoordelingsfase problemen tegenkomt met een bepaalde tool, is er misschien een andere gratis beschikbaar!

Voorbeeld Cyber ​​Security Assessment

Een cyberbeveiligingsbeoordelingsrapport is een document dat de huidige beveiligingsstatus van uw organisatie en de hiaten hierin beschrijft. Het bevat ook aanbevelingen voor het verbeteren van de cyberbeveiliging van uw organisatie, inclusief het implementeren van best practices en technologieën.

Een cyberbeveiligingsbeoordelingsrapport moet het volgende bevatten:

  • Het doel van de melding (bijv. "Om informatie te verstrekken over ons huidige beschermingsniveau")
  • Een beschrijving van wat voor soort informatie zal worden opgenomen (bijv. "De volgende onderwerpen komen aan bod:")
  • Een lijst met referenties die in dit document zijn gebruikt, inclusief alle externe bronnen die zijn geraadpleegd tijdens de totstandkoming ervan (bijv. "Dr. John Doe schreef dit artikel").

Hoe lang duurt een cyberbeveiligingsbeoordeling?

Het hangt af van de grootte van uw bedrijf, het type assessment dat u wilt doen en hoeveel tijd u beschikbaar heeft. De snelheid waarmee elk onderdeel wordt voltooid, heeft ook invloed op hoe snel u resultaten kunt terugkrijgen van een derde partij, dus als ze traag reageren of helemaal geen resultaten opleveren, kan dit andere projecten vertragen enkele dagen of weken in uitvoering (afhankelijk van het aantal resources). Als dit gebeurt, is het soms beter om het opnieuw te proberen met een andere provider totdat er een langskomt die aan uw behoeften voldoet!

Wat is een NIST-beveiligingsbeoordeling?

NIST is het National Institute of Standards and Technology (NIST). Het is een niet-regulerende instantie binnen het Amerikaanse ministerie van Handel, wat betekent dat het geen wetten maakt of overheidsvoorschriften afdwingt. In plaats daarvan creëert en publiceert NIST standaarden voor gebouwen, elektronica en software, inclusief informatiebeveiligingsstandaarden!

Het woord "beoordeling" verwijst naar een evaluatieproces waarbij een organisatie haar huidige toestand evalueert aan de hand van een of meer gespecificeerde criteria of doelstellingen; onderneemt vervolgens actie op basis van die bevindingen. Een beveiligingsbeoordeling kan organisaties helpen meer te weten te komen over hun kwetsbaarheden door te kijken naar inbreuken in het verleden of huidige bedreigingen van cybercriminelen; bepalen of ze voldoende middelen beschikbaar hebben om toekomstige aanvallen te voorkomen; identificeer gebieden waar verbeteringen kunnen worden aangebracht, zodat hackers opnieuw falen - en nog veel meer!

Wat zijn de drie fasen van een beveiligingsbeoordelingsplan?

Een beveiligingsbeoordeling is een proces waarbij informatie over uw netwerk en klanten wordt verzameld, de doelen van de beoordeling worden gedefinieerd, een aanpak wordt ontworpen voor het verzamelen van gegevens uit verschillende bronnen en de resultaten worden geanalyseerd.

De eerste fase van elke beveiligingsbeoordeling is planning. In deze fase beslist u welke informatie u wilt verzamelen om de cyberbeveiligingsstatus van uw organisatie te beoordelen. U kunt ook overwegen wie er betrokken zal zijn bij het uitvoeren van deze taak en hoe lang het elke persoon (en hun team) zal kosten om deze taak te voltooien.

Zodra uw plan is gemaakt, is het tijd voor uitvoering! In deze fase zullen al die taken die tijdens de planning zijn toegewezen, zelfstandig of samen aan de slag gaan, afhankelijk van hun expertiseniveau.

Hoe start ik een cyberbeveiligingsbeoordeling?

De eerste stap bij het stellen van doelen is het definiëren van het probleem. Dit kan moeilijk zijn als u dit nog nooit eerder heeft gedaan, maar u moet beginnen met een duidelijk begrip van wat uw organisatie probeert te bereiken en waar de huidige staat is.

Zodra u het probleem hebt gedefinieerd, is het tijd om meetbare resultaten vast te stellen om uw personeel te helpen begrijpen hoe ze vooruitgang boeken in de richting van die doelen. Probeer, indien mogelijk, niet te vertrouwen op de perceptie van anderen over hoe goed ze het doen - je moet altijd je fouten en mislukkingen als individu of teamlid toegeven (en vergeet jezelf niet!). Ambitieus maar realistisch zijn zal hier ver gaan om succes te behalen; denk aan zaken als: “Ik wil dat de conditie van mijn teamleden de komende zes maanden met 20% omhoog gaat”.

Gratis tools voor het beoordelen van cyberbeveiliging

Gratis tools kunnen handig zijn als u op zoek bent naar een snel overzicht van de cyberbeveiligingsbeoordeling. Ze laten u essentiële informatie over uw netwerk zien en geven een momentopname van waar de zaken zijn. Deze tools zijn echter niet zo gedetailleerd of betrouwbaar als betaalde tools, dus ze geven u niet alle details over hoe veilig uw omgeving is.

Betaalde tools voor het beoordelen van cyberveiligheid zijn goud waard omdat ze gedetailleerder ingaan dan gratis tools. Ze zijn ook veel nauwkeuriger bij het beoordelen van risiconiveaus in verschillende delen van de infrastructuur van uw bedrijf (zoals desktop vs. mobiel).

Hieronder vindt u de beste keuzes van gratis tools voor het beoordelen van cyberbeveiliging die u moet bekijken.

#1. KaliLinux

Kali Linux is een populair besturingssysteem voor penetratietesten, ook wel ethisch hacken genoemd. Het is gebaseerd op Debian Linux en heeft meer dan 600 beveiligingstools voorgeïnstalleerd. Dit maakt hem ideaal voor het testen van de beveiliging van een netwerk of webapplicatie.

Kali kan de beveiliging van een netwerk of webapplicatie testen door er verschillende aanvallen op uit te voeren (zoals poortscanning).

#2. Ga phishen

Go phish is een phishing-toolkit voor penetratietesters en trainingen voor beveiligingsbewustzijn. Het biedt de mogelijkheid om realistische phishing-e-mails, webpagina's en sms-berichten te maken die kunnen worden gebruikt bij een beoordeling of in de klas.

De tool is gemaakt door Adrienne Porter Felt, die ook het populaire pentestframework Metasploit Framework (MSF) heeft gemaakt. Dit project was bedoeld om het voor mensen die geen uitgebreide programmeerervaring hebben gemakkelijker te maken om hun tools bovenop de API's van Artsen zonder Grenzen te bouwen zonder eerst te hoeven leren hoe die API's werken - en dat is precies wat ze deden!

#3. Verdedigen

Defending is een webgebaseerde beveiligingsscanner die de OWASP Top 10 gebruikt om u te helpen kwetsbaarheden in uw webapplicaties te vinden en op te lossen. Het kan worden gebruikt voor penetratie- en webapplicatiebeveiligingstesten. Toch is het geschreven in Python en open source, dus als je meer wilt weten over de functionaliteiten, bekijk dan hun outstation op GitHub!

#4. Aircrack-ng

Aircrack-ng is een reeks tools die kunnen worden gebruikt om draadloze netwerken te controleren. Het wordt gebruikt voor het controleren van WiFi-beveiliging en herstelt netwerksleutels en wachtwoorden.

De tool is oorspronkelijk ontwikkeld door Simon Paška, die ontdekte dat WPA/WPA2-codering kwetsbaar was voor denial-of-service-aanvallen (DoS) met behulp van een geautomatiseerd script dat bekend staat als "Aircrack". De eerste versie van Aircrack werd in 2002 uitgebracht door Wichert Akkerman en Michal Zalewski.[4] In 2004 creëerde Mikko Hyppönen een nieuwe versie genaamd Airmon die mon0 ondersteunt in plaats van mon0/1.[5] In 2007 was aircrack-ng geïntegreerd in de Linux Shodan-plug-in van Kismet (oorspronkelijk uitgebracht in 2006).

#5. Burp-suite

Burp Suite is een geïntegreerd platform voor het uitvoeren van beveiligingstesten van webapplicaties. Het bevat een verzameling tools die het hele testproces ondersteunen, van het onderscheppen en monitoren van verkeer tot het genereren van Ding-rapporten.

Burp Suite kan HTTP en verzoeken en reacties op de beveiliging van websites of applicaties onderscheppen, manipuleren en loggen. Het bevat functies zoals:

  • Proxy - Injecteert willekeurige payloads in live netwerkverbindingen zonder speciale machtigingen; ook nuttig bij het testen van derden zoals Twitter of LinkedIn (die vaak speciale machtigingen vereisen).
  • Repeater – Hiermee kunt u eenvoudig verzoeken meerdere keren herhalen met behulp van verschillende invoer; handig bij het uitproberen van verschillende combinaties van parameters/headers, enz., bijv. het wijzigen van GET-parameters tussen twee verschillende URL's door een verzoek meerdere keren te herhalen!

Samengevat

Tot slot moet worden opgemerkt dat een cyberbeveiligingsbeoordeling een proces is dat bedrijven helpt hun kwetsbaarheid voor hacking en diefstal te beoordelen. De beoordeling omvat het inventariseren van uw netwerkinfrastructuur, het beoordelen van de risico's van elk systeem, het testen op kwetsbaarheden in die systemen en ontwikkeling, en het opstellen van een actieplan om eventuele problemen op te lossen voordat ze grotere problemen worden. Daarnaast is het van essentieel belang om voortdurende training te volgen, zodat werknemers weten hoe ze zichzelf het beste kunnen beschermen tegen hackers die kunnen proberen vertrouwelijke informatie van de systemen van uw bedrijf te stelen.

Veelgestelde vragen over cyberbeveiligingsbeoordelingen

Wat is een cyberbeveiligingsbeoordeling?

Een stand-alone desktop-applicatie die eigenaren en operators van bedrijfsmiddelen door een systematisch proces van evaluatie van operationele technologie en informatietechnologie leidt.

Wat is de checklist voor de beoordeling van beveiligingsrisico's?

Biedt een lijst met bedreigingen die van invloed zijn op de integriteit, vertrouwelijkheid en beschikbaarheid van de activa van een organisatie.

Hoe voer je in 5 stappen een cybersecurity risicoanalyse uit?

  • Stap 1: Bepaal de reikwijdte van de risicobeoordeling
  • Stap 2: Cyberbeveiligingsrisico's identificeren
  • Stap 3: Analyseer risico's en bepaal de potentiële impact
  • Stap 4: Bepaal en prioriteer risico's
  • Stap 5: Documenteer alle risico's

Referenties

Peace is een senior contentschrijver, strateeg en redacteur, die haar talenten leent aan organisaties als BusinessYield. Haar achtergrond ligt in contentcreatie en thought leadership, met branche-expertise in B2B SaaS, gespecialiseerde marketingbureaus en entertainment. Gevestigd in Missisauga, Ontario, CA, en heeft een masterdiploma in digitale communicatie en journalistieke innovatie van de Universiteit van Waterloo. Als ze niet hard aan het werk is, houdt ze van reizen, lezen en koolhydraten eten. Ze schrijft graag zakelijke artikelen op basis van haar rijke financiële en marketingervaringen.

Laat een reactie achter

Uw e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd *

- Vorig artikel

Is OXT een goede investering in 2023?

Volgend artikel -

REKENSCHAP: Waarom u er een nodig heeft

Dit vind je misschien ook leuk