Kennisplatform

This post concerns application security teams, so it’s written assuming you are part of one. However, I believe it could help you understand application security a bit more even if you are not.

If you are part of an application security team, you probably struggle with the amount of work on your shoulders every day. Let’s say you have a small team of 5 people to test all web applications produced by a group of 200 developers, and you still need to provide guidance on how to fix some vulnerabilities. You try to offload some work by handing developers with security testing tools, but the learning curve is long - causing frustration. Basically, you have a scaling issue!

De kogel lijkt door de kerk, idensys is niet meer en de overheid heeft na een lange tijd van bezinning gekozen voor een betere manier om mensen toegang te verlenen tot overheidssites. Naast DigiD gaat de overheid ook andere leveranciers van inlogfaciliteiten toelaten.

Ik ben hier heel blij mee, want deze koersverandering is volkomen in lijn met wat ik in mijn vorige digidem blog schreef:

“Zie je dan een alternatief voor Idensys? Ja natuurlijk, plenty:
Federeren maar… Laat de overheid gewoon vanaf nu de bank-identiteiten accepteren om mee in te loggen en meteen ook maar een stel andere providers, zoals Facebook en Twitter. Prima, lekker makkelijk en heel snel te regelen.”

Jira is one of the most widely adopted Issue and Project Tracking Software out there. Atlassian’s Jira has been named the #1 software development tool for agile teams. And Probely now allows you to synchronize your security issues into your Jira issue tracker. So, how do you manage vulnerabilities in Jira using Probely?

Multidisciplinary Aspects of Blockchain is a different book on a fundamental digital technology under development and published in Dutch (hardcopy) and English (eBook) as part of a series of the Royal Dutch Society for Computer and Information Professionals. Blockchain, which reportedly changes society as the ultimate disruptor and most important invention after the introduction of the World Wide Web of Internet. Blockchain is a collective term for digital databases, which are distributed, mathematically-protected and chronological in nature.

“I rob banks because that is where the money is”, is a famous quote attributed to (in)famous bank robber Willie Sutton[1]. It is also known as Sutton’s Law. Suttons law still holds true for many things, including modern (cyber)crime. If you want to earn money from your crimes, focus on what people value most.

Ransomware is an example of just this. Criminals target what is most valuable to organisations and individuals, their data or memories.

Wanneer uw bedrijf (organisatie) wordt getroffen door een ernstig incident wat de bedrijfsvoering verstoort, oftewel (bepaalde) activiteiten kunnen niet meer worden uitgevoerd, dan implementeert u het plan B, het bedrijfscontinuïteitsplan (Business Continuity Plan – BCP). Iedereen pakt zijn of haar taken op om de geprioriteerde, kritische activiteiten te herstellen om ‘Wat wij hier doen’ zo optimaal mogelijk voort te zetten. Een fantastisch streven, dat moet gezegd worden. Echter in alle situaties dient dat tezamen met anderen uitgevoerd te worden en niet in isolement.

Data leaks have become an all-too-common societal problem. Still, 99% of the problems do not involve scary zero-day bugs. So why is security still hard? We need to accept that technology isn’t going to save us. Rather, thinking it can, got us in this situation in the first place. We need a new way of teaching and implementing security across our organizations. I am introducing the AVA=Risk Security Model to help us get there.

Volgens een artikel in de Volkskrant zou Huawei mogelijk betrokken zijn bij spionage op een Nederlandse telecomprovider. Het gepresenteerde bewijs en de interpretatie ervan zijn in mijn ogen mager. Er is overigens wel reden om aan Huawei te twijfelen.

Huawei zou betrokken zijn bij de hack op een in Nederland opererende telecomprovider. Via een achterdeur zijn klantgegevens gestolen en dat is volgens de definitie computervredebreuk of simpel gezegd: hacking. De AIVD zou onderzoek doen. De krant baseert zich op inlichtingenbronnen. Over het journalistieke proces is niets bekend gemaakt.

Risk Management (RM) of Risicobeheer c.q. de ingeburgerde vertaling Risicomanagement, wordt op vele manieren gedefinieerd, maar is in dit verband het best te omschrijven als ‘Activiteiten en methoden die worden gebruikt om risico's te beheersen die het vermogen om doelstellingen te bereiken kunnen beïnvloeden’. Een risico is vervolgens in dit kader ‘Het effect van onzekerheid op het behalen van doelstellingen’. Business Continuity Management (BCM) of in goed Nederlands Bedrijfscontinuïteitsbeheer, gaat over het beschermen van uw organisatie tegen de gevolgen van omvangrijke verstoringen en (on)bekende risico’s op uw vermogen om producten en diensten te kunnen leveren aan uw afnemers. Op dit ‘Platform voor organisatieontwikkeling’ is hier al meerdere malen uitgebreid aandacht aan besteed. Wat is het verschil tussen beiden en wat is de samenhang?

Mijn wachtwoord is Qtne,lsm. Nu niet allemaal meteen je smartphone pakken, om in te breken in mijn accounts. Dat zou toch niet werken. Want ik had iets preciezer moeten zijn: mijn wachtwoord was Qtne,lsm. Waarom ik dat van de daken schreeuw?

We note divergent digital law trends of statutory nature – many of which have been going on for some time, starting-out two or even three decades ago. Just to give an idea in an at random sequence: modernizing and extending intellectual property laws, updating penal legislation with new crimes like hacking and computer sabotage, amending the Criminal Procedure Code with extensive powers for the police and public prosecution, strengthening the legal position of the online consumer, introducing and tightening data privacy laws, adjusting evidence laws, and implementing security regulations.

A month ago we, Ruben and Marcus, released the first version of DeTT&CT. It was created at the Cyber Defence Centre of Rabobank, and built atop of MITRE ATT&CK. DeTT&CT stands for: DEtect Tactics, Techniques & Combat Threats. Today we released version 1.1, which contains multiple improvements: changelog. Most changes are related to additional functionality to allow more detailed administration of your visibility and detection.

By creating DeTT&CT we aim to assist blue teams using ATT&CK to score and compare data log source quality, visibility coverage, detection coverage and threat actor behaviours. All of which can help, in different ways, to get more resilient against attacks targeting your organisation.

In this blog we start off with an introduction on ATT&CK and continue with how DeTT&CT can be used within your organisation. Detailed information about DeTT&CT and how it can be used, is documented on the GitHub Wiki pages. Therefore, the explanation we give in this blog will be high-level.

Sjef kon het nog steeds niet geloven. Het was begonnen als een grap. Een melig idee. Analyse van rioolwater, om de gezondheid van de wijk te verbeteren, maar ook op individueel niveau tot inzicht en interventies te komen. Gebaseerd op het oeroude principe dat de drol de gezondheid van de mens weerspiegelt. Precies zo had hij het opgeschreven. En de stuurgroep Brainport Smart District van de gemeente Helmond had het letterlijk overgenomen in de nota van ‘Publiekrechtelijke uitgangspunten’. Inclusief de titel van zijn idee: ‘Big Brown Data’. Sterker nog, ze vonden het een fantastisch plan. Zo kregen ze Big Pharma zeker aan boord, en zou de ‘slimste wijk te wereld’ Helmond en haar bewoners veel geld opleveren. Hij had er met z’n maten in de kroeg bij een pintje nog smakelijk om gelachen.

Gisteren (red. 23-04-2019) publiceerde het NCSC een nieuwe richtlijn ten aanzien het gebruik van het TLS protocol. Sommige oude protocollen worden niet meer als veilig beschouwd en de best practice is dan ook om webservers te voorzien van veilige versies van de protocollen. Vandaag meldde de Autoriteit Persoonsgegevens dat het updaten van protocollen niet zomaar een vrijblijvend advies is, nee, meldt de AP, als je niet updatet, zou je in beginsel non-compliant kunnen zijn met de #AVG.

Vanuit mijn werk zie ik veel van de cybersecurity-markt en haar behoefte met betrekking tot securitymensen en -diensten. Bedrijven zijn erg hard op zoek naar werknemers en consultants die ‘iets met security’ kunnen. Reden hiervoor is de wens om meer grip te krijgen op dit onderwerp wat zonder dat zij erom hebben gevraagd, een enorme rol is gaan spelen in hun business. Het issue echter met deze cybermensen, deze helden in nood, is dat zij zich over het algemeen in een aantal onderwerpen hebben gespecialiseerd en vaak niet alles kunnen. Net als ieder ander mens, zeg maar. Toch zien we vaak in aanvragen en vacatures een hele rits aan vereisten voor securitymanagement rollen die eigenlijk alle kanten op gaan qua inhoud.