CSE Module 02 - Beleidsdocumenten - NL.pdf

# Inleiding tot cyberdreigingen en aanvalstechnieken Dit gedeelte introduceert verschillende soorten cyberdreigingsactoren, malware, aanvalstechnieken en social engineering. ### 1.1 Cyberdreigingsactoren Cyberdreigingsactoren worden onderverdeeld op basis van hun technologische bekwaamheid en intentie [4](#page=4). * **Laagtechnologisch:** * **Script kiddies:** Jonge, ongeschoolde individuen die bestaande tools gebruiken [4](#page=4). * **Online social hacker:** Weinig geschoolde individuen die sociale manipulatie toepassen [4](#page=4). * **Insider:** Huidige of voormalige werknemers met interne toegang [4](#page=4). * **Consultant:** Individuen die hun expertise gebruiken voor kwaadaardige doeleinden [4](#page=4). * **Hoogtechnologisch:** * **Provider/Ontwikkelaar/Operator:** Professionele groepen die geavanceerde tools en technieken ontwikkelen en gebruiken [4](#page=4). * **Tools gebruiker:** Gebruikers van geavanceerde tools, mogelijk met minder eigen ontwikkelingscapaciteit [4](#page=4). * **Spionage (Land of Bedrijf):** Staten of organisaties die spionagedoeleinden nastreven [4](#page=4). * **Hacktivist:** Actoren die politieke of sociale doelen nastreven via cyberaanvallen [4](#page=4). * **Cyberterrorist:** Actoren die terreur verspreiden via cyberaanvallen [4](#page=4). * **Cyberkrijger:** Actoren die in een digitale oorlogsvoering opereren [4](#page=4). * **Cybercrimineel:** Actoren die zich richten op financieel gewin [4](#page=4). ### 1.2 Malware Malware, of kwaadaardige code, is software die is ontworpen om ongeautoriseerde toegang te verkrijgen, informatie te stelen of ontoegankelijk te maken, en de normale werking van computersystemen te verstoren. Er zijn diverse soorten malware, elk met unieke verspreidings- en werkingsmethoden [5](#page=5). * **Belangrijkste soorten malware:** * Computervirussen [5](#page=5). * Netwerkwormen [5](#page=5). * Trojaanse paarden [5](#page=5). * Bot [6](#page=6). * Botnet [6](#page=6). * Spyware [6](#page=6). * Adware [6](#page=6). * Ransomware (Double, Triple) [6](#page=6). * Keylogger [6](#page=6). ### 1.3 Aanvalstechnieken Aanvalstechnieken zijn methoden die door cybercriminelen worden gebruikt om systemen te compromitteren [6](#page=6). * **Veelvoorkomende aanvalstechnieken:** * APT (Advanced Persistent Threat) [6](#page=6). * Brute Force Attack [6](#page=6). * Buffer Overflow [6](#page=6). * Cross-Site Scripting (XSS) [6](#page=6). * DoS (Denial of Service) [6](#page=6). * DDoS (Distributed Denial of Service) [6](#page=6). * Man-in-the-middle (MitM) attack [6](#page=6). * Zero-day exploit [6](#page=6). * Logic Bomb [6](#page=6). * SQL injection [6](#page=6). ### 1.4 Social Engineering Social engineering maakt gebruik van psychologische manipulatie om gebruikers te verleiden tot het onthullen van gevoelige informatie of het uitvoeren van acties die de beveiliging in gevaar brengen [6](#page=6). * **Technieken binnen social engineering:** * Phishing [6](#page=6). * Spear Phishing (gerichte phishing) [6](#page=6). * Vishing (voice phishing) [6](#page=6). * Smishing (SMS phishing) [6](#page=6). * Spoofing [6](#page=6). ### 1.5 Het algemene aanvalsproces (Cyber Kill Chain) De Cyber Kill Chain beschrijft een gestructureerd proces dat aanvallers doorlopen om hun doelen te bereiken [7](#page=7). 1. **Verkenning:** Het verzamelen van informatie over het doelwit, zoals e-mailadressen of openbare gegevens [7](#page=7). 2. **Bewapening:** Het koppelen van een exploit aan een backdoor en payload [7](#page=7). 3. **Levering:** Het overbrengen van de payload naar het slachtoffer, bijvoorbeeld via e-mail, web of USB-media [7](#page=7). 4. **Exploitatie:** Het benutten van een kwetsbaarheid om code uit te voeren op het systeem van het slachtoffer [7](#page=7). 5. **Installatie:** Het installeren van malware op het gecompromitteerde systeem [7](#page=7). 6. **Command and Control:** Het opzetten van een communicatiekanaal voor externe manipulatie van het slachtoffer [7](#page=7). 7. **Acties op het Objectief:** Met directe toegang tot het systeem, het bereiken van de oorspronkelijke doelen van de aanvaller [7](#page=7). > **Tip:** Begrip van de Cyber Kill Chain is cruciaal om de verschillende fasen van een aanval te herkennen en effectieve verdedigingsstrategieën te ontwikkelen. --- # Beveiligingsarchitectuur en verdedigingsstrategieën Deze sectie behandelt de fundamentele elementen van een beveiligingsarchitectuur, inclusief het concept van de perimeter, de Defense in Depth-strategie, en het belang van logging en SIEM-systemen. ### 2.1 De beveiligingsarchitectuur Een beveiligingsarchitectuur beschrijft de structuur, de componenten, de verbindingen en de lay-out van de security controles binnen de IT-infrastructuur van een organisatie. Dit omvat de plaatsing van diverse beveiligingsmaatregelen, zoals firewalls, routers en servers, om een gelaagde verdediging te creëren [8](#page=8). ### 2.2 De perimeter beveiligen #### 2.2.1 Het concept van de perimeter De "perimeter" in cybersecurity wordt traditioneel gedefinieerd als de grens tussen het bedrijfsnetwerk en het internet. Het beveiligen van deze grens is cruciaal om ongeautoriseerde toegang te voorkomen [9](#page=9). #### 2.2.2 Uitdagingen van de moderne perimeter Door de toename van internet, outsourcing, mobiele apparaten en cloud-omgevingen, is de traditionele perimeter aanzienlijk uitgebreid en vaak moeilijk te definiëren. Dit vereist een bredere beveiligingsaanpak dan enkel de bescherming van de netwerkgrens [9](#page=9). #### 2.2.3 Benaderingen voor beveiliging Er zijn twee mogelijke benaderingen voor beveiliging: * Netwerk- of systeemgerichte aanpak [9](#page=9). * Datacentrische beveiligingsaanpak [9](#page=9). ### 2.3 Defense in depth Defense in Depth (ook wel horizontale en verticale verdediging genoemd) is een beveiligingsstrategie die gebruikmaakt van meerdere, overlappende beveiligingslagen en controles om de weerstand tegen aanvallen te vergroten. Kernprincipes van deze strategie zijn [10](#page=10): * **Concentrische ringen:** Beveiliging wordt opgebouwd in lagen, waarbij elke laag een extra hindernis vormt voor een aanvaller [10](#page=10). * **Overlappende redundantie:** Meerdere beveiligingsmaatregelen werken samen om elkaar te versterken en redundantie te bieden [10](#page=10). * **Compartmentalization (compartimentering):** Het opdelen van het netwerk of systeem in kleinere, geïsoleerde secties om de impact van een beveiligingsinbreuk te beperken [10](#page=10). * **Segregation (scheiding):** Het scheiden van verschillende soorten verkeer of systemen om de risico's te minimaliseren [10](#page=10). ### 2.4 Logging #### 2.4.1 Wat is logging? Een logboek is een verslag van "gebeurtenissen" die plaatsvinden binnen de systemen en netwerken van een organisatie. Het fungeert als een soort "dagboek" dat wordt bijgehouden door een proces of apparaat [11](#page=11). #### 2.4.2 Belangrijke logboeken Belangrijke gebeurtenissen die gelogd worden, omvatten: * Geslaagde en mislukte aanmeldpogingen [12](#page=12). * Wachtwoord wijzigen en resetten [12](#page=12). * Gebruikersaccounts aanmaken, wijzigen en verwijderen [12](#page=12). * Toegang tot gevoelige gegevens [12](#page=12). * Waarschuwingen van netwerkcontroles [12](#page=12). * VPN-verbindingen [12](#page=12). * Systeemstart en -afsluiting [12](#page=12). * Software installaties en updates [12](#page=12). * Applicatie fouten en crashes [12](#page=12). * Configuratiewijzigingen [12](#page=12). * Waarschuwingen van endpoint controles [12](#page=12). * Bestandstoegang en wijzigingen [12](#page=12). * Acties voor bevoorrechte gebruikers [12](#page=12). * Toegang tot auditlogboek [12](#page=12). * Beleidswijzigingen [12](#page=12). ### 2.5 Security Information and Event Management (SIEM) #### 2.5.1 De uitdaging van loggegevens Een grote uitdaging is dat er veel verschillende beveiligingstools zijn, elk met hun eigen logboek. Dit resulteert in enorme hoeveelheden gegevens die moeilijk te analyseren en interpreteren zijn [13](#page=13). #### 2.5.2 Oplossing: SIEM-systemen SIEM-systemen (een combinatie van Security Event Management (SEM) en Security Information Management (SIM)) bieden een oplossing. Ze aggregeren (samenvoegen) en correleren automatisch loggegevens van meerdere beveiligingsapparaten. Dit reduceert de informatie tot een hanteerbare lijst van geprioriteerde gebeurtenissen. SIEM-systemen worden vaak gebruikt in war rooms of Security Operations Centers (SOC's) [13](#page=13). #### 2.5.3 Werkwijze van SIEM De werkwijze van een SIEM-systeem omvat de volgende stappen en zoekmethoden naar verbanden: 1. Gegevensverzameling [14](#page=14). 2. Gegevensaggregatie [14](#page=14). 3. Gegevensanalyse [14](#page=14). 4. Alarmen en Rapporten [14](#page=14). 5. Incident Response [14](#page=14). Mogelijke methoden voor correlatie zijn: * Regel-gebaseerde correlatie [14](#page=14). * Statistisch verband [14](#page=14). * Neurale netwerken [14](#page=14). > **Tip:** Het effectief implementeren van een SIEM-systeem vereist een grondig begrip van de te loggen gebeurtenissen en de correlatieregels die de meest relevante beveiligingsincidenten identificeren. --- # Cyberbeveiligingsbeleid en documentatiehiërarchie Dit onderdeel behandelt de noodzaak van een omvangrijk cyberbeveiligingsbeleid en de hiërarchie binnen deze documenten, inclusief beleidslijnen, standaarden, procedures, richtlijnen en werkinstructies, met hun respectievelijke voordelen, nadelen en valkuilen. ## 3.1 De noodzaak van een cyberbeveiligingsbeleid Een organisatie heeft een uitgebreid cyberbeveiligingsbeleid, -management, -standaarden, -procedures, -richtlijnen en -werkinstructies nodig om een consistente en effectieve bescherming van gevoelige gegevens en processen te waarborgen. Dit dient ook om te voldoen aan wettelijke en andere vereisten (compliance) en om de activiteiten en reputatie van de organisatie te beschermen [16](#page=16). ### 3.1.1 Voordelen van een gestructureerd beleid Een gestructureerd beleidskader biedt diverse voordelen: * **Samenhang (Consistency):** Zorgt ervoor dat alle medewerkers dezelfde regels volgen, wat variabiliteit en fouten vermindert [18](#page=18). * **Compliance:** Helpt organisaties te voldoen aan regelgevende en wettelijke vereisten, en voorkomt boetes en straffen [18](#page=18). * **Risk Management:** Biedt een gestructureerde aanpak voor het identificeren, beoordelen en beperken van risico's [18](#page=18). * **Verantwoordingsplicht (Accountability):** Duidelijke definities van rollen en verantwoordelijkheden maken het eenvoudiger om individuen verantwoordelijk te houden voor hun acties [19](#page=19). * **Verbeterde stand van de beveiliging (Security Posture):** Een uitgebreide reeks beleidsregels, normen, procedures, richtlijnen en werkinstructies beschermt tegen een breed scala aan cyberdreigingen [19](#page=19). ### 3.1.2 Nadelen en valkuilen Het implementeren en onderhouden van een dergelijk documentatiesysteem kent ook nadelen en potentiële valkuilen: #### 3.1.2.1 Nadelen * **Complexiteit:** Het ontwikkelen en onderhouden van een uitgebreide set documenten kan tijdrovend en complex zijn [20](#page=20). * **Weerstand tegen verandering:** Werknemers kunnen zich verzetten tegen nieuwe regels en procedures als ze deze als lastig ervaren [20](#page=20). * **Intensief gebruik van middelen:** De implementatie en handhaving vereisen aanzienlijke middelen, zoals tijd, geld en personeel [20](#page=20). * **Potentieel voor overhead:** Te veel documentatie en starre procedures kunnen werkzaamheden vertragen en flexibiliteit verminderen [20](#page=20). #### 3.1.2.2 Valkuilen * **Gebrek aan duidelijkheid:** Vaag of complex beleid kan leiden tot verwarring en niet-naleving [21](#page=21). * **Ontoereikende training:** Werknemers begrijpen of volgen beleid mogelijk niet als ze niet goed zijn opgeleid [21](#page=21). * **Te veel vertrouwen in technologie:** Het negeren van het menselijke element en enkel focussen op technologische oplossingen kan leiden tot beveiligingsgaten [21](#page=21). * **Geen updates:** Snelle evolutie van cyberdreigingen maakt verouderde documentatie kwetsbaar [22](#page=22). * **Slechte communicatie:** Ineffectieve communicatie kan leiden tot inconsistente toepassing en verhoogde risico's [22](#page=22). * **Geen audit:** Gebrek aan controle op naleving maakt documenten vaak "dode letter" [22](#page=22). ## 3.2 Documentatiehiërarchie Cyberbeveiligingsbeleid volgt een hiërarchische structuur die loopt van algemene principes tot specifieke instructies. Deze hiërarchie is essentieel voor het creëren van een samenhangend en effectief beveiligingskader [17](#page=17). ### 3.2.1 Beleidslijnen (Policies) Beleidslijnen zijn hoog-niveau stellingen die de algemene aanpak en doelstellingen van een organisatie met betrekking tot cyberbeveiliging schetsen. Ze specificeren eisen, verboden, verwachte activiteiten en gedragingen, en definiëren rollen en verantwoordelijkheden. Beleidslijnen worden meestal gevalideerd en goedgekeurd door senior management of de raad van bestuur en bieden een kader voor besluitvorming. Ze moeten duidelijk, gemakkelijk te begrijpen, kort en bondig zijn. Een voorbeeld kan zijn dat alle gevoelige gegevens versleuteld moeten worden [23](#page=23). #### 3.2.1.1 Standaard inhoud van een Policy Een typisch cyberbeveiligingsbeleid bevat de volgende elementen: * **Doel:** Beschrijft waarom het beleid bestaat en wat de organisatie ermee wil bereiken [30](#page=30). * **Reikwijdte en Toepasselijkheid:** Definieert de grenzen van het beleid en op wie of wat het van toepassing is [30](#page=30). * **Beleidslijnen:** Geeft duidelijke instructies over wat wel en niet is toegestaan, met focus op het onderwerp [30](#page=30). * **Rollen en Verantwoordelijkheden:** Specificeert wie verantwoordelijk is voor het nakijken, aanpassen, naleven en handhaven van het beleid [30](#page=30). * **Naleving en Handhaving:** Beschrijft hoe naleving wordt gecontroleerd en welke sancties er zijn voor niet-naleving [31](#page=31). * **Training en Bewustwording:** Beschrijft vereisten voor het opleiden van medewerkers over beveiligingsrisico's en best practices [31](#page=31). * **Review en Update:** Bepaalt hoe vaak het beleid wordt herzien en bijgewerkt om relevant te blijven [31](#page=31). > **Tip:** In kleinere ondernemingen is het algemeen informatiebeveiligingsbeleid vaak het enige beleidsdocument. Grotere ondernemingen hebben daarnaast veel specifieke beleidsdocumenten [49](#page=49). #### 3.2.1.2 Soorten beleidslijnen Er bestaan diverse soorten beleidslijnen, onderverdeeld naar hun focusgebied: * **IT-infrastructuur gerelateerde Policies:** * IT Security Policy: Regels voor bescherming van IT-infrastructuur tegen cyberdreigingen [34](#page=34). * Network Security Policy: Beleid voor netwerkbeveiliging, inclusief firewalls en VPN's [34](#page=34). * Wireless Security Policy: Beleid voor beveiliging van draadloze netwerken [34](#page=34). * Cloud Security Policy: Beveiliging van gegevens en applicaties in de cloud [35](#page=35). * Endpoint Security Policy: Beveiliging van eindpunten zoals laptops en mobiele apparaten [35](#page=35). * Mobile Device Management (MDM) Policy: Beheer en beveiliging van mobiele apparaten [35](#page=35). * Communication Security Policy: Beveiligen van communicatie, met name e-mail [36](#page=36). * Physical Security Policy: Fysieke toegang tot faciliteiten [36](#page=36). * Environmental Security Policy: Bescherming tegen omgevingsrisico's zoals brand [36](#page=36). * **HR gerelateerde policies:** * Acceptable Use Policy (AUP): Beschrijft wat wel en niet is toegestaan bij gebruik van IT-middelen [37](#page=37). * Social Media Policy: Richtlijnen voor het gebruik van sociale media door medewerkers [37](#page=37). * Bring Your Own Device (BYOD) Policy: Regels voor gebruik van persoonlijke apparaten voor werkdoeleinden [37](#page=37). * User Awareness and Training Policy: Beleid voor het opleiden van medewerkers over cybersecurity-risico's [38](#page=38). * Security Awareness Training Policy: Specificeert vereisten voor training om beveiligingsbewustzijn te bevorderen [38](#page=38). * **Identiteit & toegang gerelateerde Policies:** * Identity Management Policy: Beheer van gebruikersidentiteiten en toegangsrechten [39](#page=39). * Access Control Policy: Definieert wie toegang heeft tot welke informatie en systemen [39](#page=39). * Password Management Policy: Creëren, beheren en beschermen van wachtwoorden [39](#page=39). * Remote Access Policy: Veilig verbinden met het netwerk vanaf externe locaties [40](#page=40). * Remote Work Policy: Beveiliging van gegevens en systemen voor medewerkers die op afstand werken [40](#page=40). * **Data gerelateerde Policies:** * Data Security Policy: Bescherming van gegevens tegen ongeautoriseerde toegang, wijziging of vernietiging [41](#page=41). * Data Classification Policy: Categorisering van gegevens op basis van gevoeligheid [41](#page=41). * Data Loss Prevention (DLP) Policy: Voorkomen van verlies of diefstal van gevoelige gegevens [42](#page=42). * Data Retention Policy: Beleid voor bewaartermijnen van gegevens [42](#page=42). * Backup Policy: Procedures voor back-ups en testen ervan [42](#page=42). * **Third-party gerelateerde Policies:** * Third-Party Vendor Management Policy: Beoordelen en beheren van beveiligingspraktijken van externe leveranciers [43](#page=43). * Third-Party Risk Management Policy: Beoordelen en beheren van risico's van externe leveranciers en partners [43](#page=43). * Third-Party Access Policy: Beheer van toegang door externe partijen [43](#page=43). * **Encryptie gerelateerde Policies:** * Encryption Policy: Specificeert wanneer en hoe gegevens moeten worden versleuteld [44](#page=44). * Acceptable Encryption Policy: Specificeert welke encryptiemethoden acceptabel zijn [44](#page=44). * **Incident Response gerelateerde Policies:** * Incident Response Policy: Stappen bij een beveiligingsincident [45](#page=45). * Incident Detection Policy: Beleid voor het detecteren van beveiligingsincidenten [45](#page=45). * Disaster Recovery & Business Continuity Policy: Herstel van IT-systemen en bedrijfscontinuïteit na een ramp [45](#page=45). * **Systeembeheer gerelateerde Policies:** * Patch Management Policy: Regelmatig updaten en patchen van software en systemen [46](#page=46). * Change Management Policy: Beheer van veranderingen in de IT-omgeving [46](#page=46). * Configuration Management Policy: Beheer van alle onderdelen van het IT-systeem [46](#page=46). * **Risico & Audit gerelateerde Policies:** * Risk Assessment Policy: Identificeren, beoordelen en beheren van risico's [47](#page=47). * Audit and Logging Policy: Bijhouden van logboeken en uitvoeren van audits [47](#page=47). * Asset Management Policy: Beheer van assets gedurende hun levenscyclus [47](#page=47). #### 3.2.1.3 Voorbeeld: The General Information Security Policy Dit beleid is een hoog-niveau document dat de minimumvereisten definieert voor alle afdelingen van een organisatie, met als doel intellectueel eigendom, commercieel voordeel en medewerkers te beschermen tegen de gevolgen van slechte informatiebeveiliging en cyberaanvallen. Het is van toepassing op alle informatie en systemen, inclusief de bijbehorende informatiesystemen, gebruikers, apparaten, procedures, werklocaties en andere risicovolle aspecten. Het beleid stelt dat er effectieve beleidsregels en procedures zijn, dat men zich bewust is van informatiebeveiligingsrisico's, en dat iedereen weet wie verantwoordelijk is en hoe regels toegepast worden. De Cybersecurity-afdeling is doorgaans verantwoordelijk voor de implementatie van beveiligingsmaatregelen. Niet-naleving kan leiden tot disciplinaire maatregelen, waaronder ontslag. Jaarlijkse cybersecurity training voor alle medewerkers is een vereiste, en het beleid wordt jaarlijks herzien en bijgewerkt [49](#page=49) [50](#page=50) [51](#page=51) [52](#page=52). ### 3.2.2 Management Het "management" van een cybersecurity-onderwerp omvat alle aspecten met betrekking tot de creatie, implementatie, het onderhoud, het toezicht op en de coördinatie van standaarden, procedures, richtlijnen en werkinstructies voor dat specifieke onderwerp. Dit houdt in dat het management zich bezighoudt met de processen rondom deze documentatie [24](#page=24). ### 3.2.3 Standaarden Standaarden zijn specifieke, verplichte regels die het beleid ondersteunen door de vereisten te beschrijven die nodig zijn om de beleidsdoelstellingen te bereiken. Ze zorgen voor consistentie en naleving binnen de organisatie. Een voorbeeld van een standaard is het specificeren welke typen encryptie-algoritmen geaccepteerd worden [25](#page=25). ### 3.2.4 Procedures Procedures zijn gedetailleerde, stapsgewijze instructies voor het implementeren van standaarden en beleid. Ze worden vaak door medewerkers gebruikt om specifieke taken uit te voeren. Voorbeelden hiervan zijn hoe een firewall geconfigureerd moet worden of hoe te reageren op een beveiligingsincident [26](#page=26). ### 3.2.5 Richtlijnen (Guidelines) Richtlijnen bieden aanbevelingen die advies geven over best practices. Ze zijn niet verplicht en bieden flexibiliteit, wat gebruikers helpt beslissingen te nemen in situaties waar standaarden niet van toepassing zijn. Een voorbeeld is een richtlijn die best practices voor het maken van sterke wachtwoorden voorstelt [27](#page=27). ### 3.2.6 Werkinstructies (Working Instructions) Werkinstructies zijn zeer gedetailleerde, taakspecifieke instructies die tot in het kleinste detail beschrijven hoe een bepaalde taak of activiteit moet worden uitgevoerd. Ze worden vaak gebruikt voor trainingsdoeleinden en om consistentie in de taakuitvoering te garanderen. Een voorbeeld is het beschrijven van de exacte stappen voor het instellen van een nieuwe gebruikersaccount in een specifiek systeem [28](#page=28). ## 3.3 Illustratief voorbeeld van de hiërarchie Een concreet voorbeeld helpt de relatie tussen de verschillende documenttypen te verduidelijken: * **Policy:** Het bedrijf heeft als beleid dat alle klantgegevens versleuteld moeten zijn [29](#page=29). * **Standard:** De standaard specificeert dat AES-256 encryptie gebruikt moet worden voor alle databases [29](#page=29). * **Procedure:** De procedure beschrijft hoe AES-256 encryptie geconfigureerd moet worden op de databasesystemen van het bedrijf [29](#page=29). * **Guideline:** De richtlijn beveelt regelmatige controles aan om ervoor te zorgen dat encryptie actief is en stelt regelmatige personeelstraining voor over gegevensbescherming [29](#page=29). * **Work Instruction:** De werkinstructie biedt stapsgewijze begeleiding voor IT-medewerkers bij het instellen en verifiëren van versleuteling op een nieuwe databaseserver [29](#page=29). --- # Identiteits- en toegangsbeheer Identiteits- en toegangsbeheer (IAM) omvat de processen en principes voor het beheren van digitale identiteiten, het authenticeren van gebruikers en het autoriseren van toegang tot bedrijfsmiddelen, met als hoofddoel het beschermen van gevoelige gegevens en systemen [54](#page=54). ### 4.1 Identiteitsmanagement (IM) Identiteitsmanagement (IM) richt zich op het stroomlijnen van bedrijfsprocessen die nodig zijn om identiteiten van medewerkers binnen een organisatie te beheren, van aanstelling tot vertrek. Het koppelt gebruikers aan de systemen en diensten die zij nodig hebben. Centraal hierin staat het concept van directory services, vergelijkbaar met een telefoonboek, waarin digitale identiteiten van gebruikers worden aangemaakt, onderhouden en verwijderd. Dit proces omvat ook het updaten van gebruikersgegevens [54](#page=54) [55](#page=55). #### 4.1.1 Provisioning Provisioning is een integraal onderdeel van het aanwervingsproces, waarbij gebruikersaccounts worden aangemaakt. Dit proces kan gecompliceerd zijn, aangezien gebruikers vaak toegang nodig hebben tot diverse bedrijfsmiddelen met elk hun eigen authenticatie- en autorisatie-eisen. Een belangrijk risico hierbij is "privilege creep", waarbij werknemers onnodige toegangsrechten behouden uit eerdere functies. De best practice is om authenticatiemechanismen en toegangscontrolerechten toe te wijzen op basis van functieopdrachten, oftewel rolgebaseerd [56](#page=56). #### 4.1.2 Deprovisioning Deprovisioning vindt plaats wanneer een gebruiker de organisatie verlaat of van functie verandert. Alle accounts en toegangen die bij de laatste functie hoorden, moeten tijdig worden opgeschort of verwijderd. Afhankelijk van de omstandigheden kan een audit van de activiteiten van de betreffende gebruiker overwogen worden. Zowel provisioning als deprovisioning dienen gesynchroniseerd te worden met de HR-afdeling, bij voorkeur geautomatiseerd [57](#page=57). ### 4.2 Authenticatie Authenticatie is het proces waarbij een gebruiker zijn of haar identiteit bewijst. Er zijn verschillende principes om dit te bewerkstelligen [55](#page=55): * **Something you know**: Gebruikers moeten iets weten, zoals een wachtwoord, PIN of passphrase. Dit kan ook betrekking hebben op federated identity management, waarbij identiteiten van platforms zoals Facebook of Google worden gebruikt om in te loggen bij andere web services [58](#page=58). * **Something you have**: Gebruikers moeten iets bezitten, zoals een smartcard, dongle of zender [58](#page=58). * **Something you are**: Gebruikers gebruiken biometrische kenmerken, zoals gezichtsherkenning, vingerafdruk, retinascan of voetafdruk [58](#page=58). * **Somewhere you are**: Dit principe maakt gebruik van locatiegebaseerde factoren, zoals GPS-gegevens of IP-adressen, om de locatie van de gebruiker te verifiëren tijdens de authenticatie [59](#page=59). * **Something You Do**: Dit principe analyseert gedragsfactoren, zoals typpatronen, schrijfstijl of authenticatie op basis van gebaren [59](#page=59). #### 4.2.1 Multi-Factor Authenticatie (MFA) * **2FA (Two-Factor Authentication)**: Dit combineert twee authenticatieprincipes, vaak "iets weten" en "iets hebben". Een voorbeeld is betalen met een creditcard, wat een PIN-code (iets weten) en het bezitten van de kaart (iets hebben) vereist [60](#page=60). * **MFA (Multi-Factor Authentication)**: Dit is een uitbreiding van 2FA en vereist een combinatie van minimaal twee authenticatieprincipes. Een voorbeeld is het gebruik van itsme op overheidssites, waarbij de juiste SIM-kaart vereist is, een PIN op de smartphone ingevoerd moet worden, en een vingerafdruk om itsme te starten [60](#page=60). ### 4.3 Privileged User Management Dit betreft het beheer van een speciaal type gebruikers: beheerders. Zij hebben vaak toegang tot alle informatie in een systeem. Een best practice is om alle accounts voor privileges regelmatig te controleren en te verwijderen indien niet meer nodig. Het wordt aangeraden geprivilegieerde gebruikers twee accounts te laten hebben (een geprivilegieerde en een niet-geprivilegieerde) en het gebruik van de niet-geprivilegieerde account te verplichten voor algemene taken [61](#page=61). #### 4.3.1 Best practices voor privileged users * Beperk privileges tot functies die geprivilegde toegang vereisen, door het "least-privilege" principe toe te passen [62](#page=62). * Voer achtergrondcontroles uit [62](#page=62). * Zorg voor extra logging van activiteiten [62](#page=62). * Handhaaf verantwoordingsplicht (accountability), wat betekent dat geprivilegieerde accounts (of welke accounts dan ook) nooit gedeeld mogen worden [62](#page=62). * Gebruik sterkere wachtwoorden of bijkomende authenticatiecontroles [62](#page=62). ### 4.4 Access Control Policy (Toegangscontrolebeleid) Dit beleid definieert verschillende toegangsrechten en -niveaus op basis van rollen en verantwoordelijkheden binnen de organisatie. Het kan leiden tot de creatie van een autorisatiematrix, een gedetailleerde tabel die aangeeft welke gebruikers of rollen (via RBAC) toegang hebben tot welke systemen en gegevens [63](#page=63). #### 4.4.1 Kernprincipes van toegangscontrole * **Least Privilege**: Gebruikers krijgen alleen de minimale toegangsrechten die ze nodig hebben om hun taken uit te voeren (lezen, schrijven, uitvoeren). Een voorbeeld is dat een boekhouder alleen toegang heeft tot het boekhoudsysteem, maar niet tot het analysepakket dat het management gebruikt [64](#page=64). * **Need to Know**: Gaat uitsluitend over toegang tot gevoelige informatie; alleen zij die de informatie nodig hebben voor hun werk krijgen er toegang toe. Een voorbeeld is dat alleen een hooggeplaatste ingenieur toegang krijgt tot intellectuele eigendom (IPR) die nodig is om een specifiek apparaat te bouwen [64](#page=64). * **Vier-ogen principe**: Kritieke acties worden door twee personen gecontroleerd. Dit wordt vaak toegepast bij financiële transacties, wijzigingen in belangrijke systemen en goedkeuring van gevoelige documenten. Een voorbeeld is dat financiële transacties boven een bepaald bedrag door twee medewerkers moeten worden goedgekeurd [65](#page=65). #### 4.4.2 Richtlijnen en procedures * **Authenticatie en Autorisatie**: Beschrijft methoden voor het toekennen van toegangsrechten (autorisatie) gebaseerd op een type authenticatie. Het vier-ogen principe kan worden aanbevolen voor kritieke acties. Een voorbeeld is het vereisen van authenticatie met gebruikersnaam en wachtwoord, aangevuld met tweefactor-authenticatie voor toegang tot gevoelige systemen [66](#page=66). * **Toegangsbeoordeling en -herziening**: Bevat richtlijnen voor het regelmatig beoordelen en herzien van toegangsrechten om ervoor te zorgen dat ze actueel en passend blijven. Bijvoorbeeld, toegangsrechten worden elk kwartaal herzien [66](#page=66). * **Just-In-Time Access**: Beleid voor het tijdelijk toekennen van toegangsrechten voor specifieke taken of projecten. Medewerkers krijgen bijvoorbeeld alleen toegang tot bepaalde systemen voor de duur van een specifieke taak [67](#page=67). * **Incidentbeheer**: Procedures voor het melden en reageren op toegangsgerelateerde beveiligingsincidenten. Verdachte activiteiten moeten onmiddellijk worden gemeld aan de IT-afdeling voor onderzoek. Een voorbeeld is dat wanneer een gebruiker vijf keer of meer achter elkaar een foutief wachtwoord ingeeft, dit onderzocht moet worden [67](#page=67). * **Logging en Monitoring**: Richtlijnen voor het bijhouden van logboeken en het monitoren van toegangsactiviteiten om verdachte activiteiten te detecteren. Alle toegangsactiviteiten worden gelogd en regelmatig gecontroleerd op verdachte patronen [68](#page=68). --- # Incident respons en continuïteit Dit deel behandelt de (Security) Incident Response Policy, inclusief de inhoud, rollen, detectie, analyse, containment, uitroeiing en herstel, met een specifieke focus op Recovery Point Objective (RPO) en Recovery Time Objective (RTO). ### 5.1 Het (Security) Incident Response Policy Het doel van een (Security) Incident Response Policy is tweeledig: het beschermen van de organisatie door effectief te reageren op beveiligingsincidenten en het minimaliseren van de impact van deze incidenten op de bedrijfsvoering. Tevens zorgt het beleid ervoor dat de organisatie voldoet aan wettelijke en regelgevende vereisten [70](#page=70). #### 5.1.1 Inhoud van de Incident Response Policy De inhoud van de (Security) Incident Response Policy omvat diverse cruciale elementen om een gestructureerde en effectieve reactie op incidenten te waarborgen. Hieronder vallen [71](#page=71): * **Het incident response team (CSIRT):** Dit team, bestaande uit specifieke organisatorische rollen met duidelijke verantwoordelijkheden, is het centrale orgaan voor incidentbeheer [71](#page=71). * **Incident response stappen:** Een gedetailleerde beschrijving van de te nemen acties bij een incident, die de volgende fasen omvat: * Detectie [71](#page=71). * Prioritering [71](#page=71). * Analyse [71](#page=71). * Containment [71](#page=71). * Uitroeiing [71](#page=71). * Herstel [71](#page=71). * **Communicatie:** Richtlijnen voor zowel interne als externe communicatie gedurende een incident [71](#page=71). * **Training en simulatie:** Vereisten voor regelmatige trainingen en simulatieoefeningen om het incident response team optimaal voor te bereiden op incidenten [72](#page=72). * **Rapportage en escalatie:** Procedures voor het rapporteren van incidenten en de bijbehorende escalatieprocessen [72](#page=72). * **Herstelprocedures:** Deze procedures bevatten specifieke doelstellingen gerelateerd aan dataherstel [72](#page=72). #### 5.1.2 Hersteldoelstellingen: RPO en RTO Binnen de herstelprocedures van de Incident Response Policy zijn twee cruciale doelstellingen gedefinieerd: de Recovery Point Objective (RPO) en de Recovery Time Objective (RTO) [72](#page=72) [73](#page=73). ##### 5.1.2.1 Recovery Point Objective (RPO) De Recovery Point Objective (RPO) definieert het maximaal aanvaardbare verlies van gegevens in geval van een bedrijfsinterruption. Het kwantificeert dus de toelaatbare hoeveelheid gegevensverlies. De RPO geeft het meest recente tijdstip aan waarvan het acceptabel is om gegevens te herstellen, wat over het algemeen overeenkomt met de laatste succesvolle back-up. De maximale tijdspanne tussen het laatste herstelpunt en het moment van het incident wordt beschouwd als de RPO [74](#page=74). > **Voorbeeld:** Als een bedrijf wekelijks een back-up maakt, en er treedt een incident op vlak voordat de nieuwe back-up wordt voltooid, dan is de RPO één week [76](#page=76). Een RPO is een exact te berekenen cijfer [76](#page=76). ##### 5.1.2.2 Recovery Time Objective (RTO) De Recovery Time Objective (RTO) is de geschatte tijd die nodig is om na een incident terug te keren naar een betrouwbare operationele staat. De RTO omvat de tijdsduur vanaf het moment van het incident tot de geschatte terugkeer naar "business as usual" [75](#page=75). In de meeste gevallen dient de RTO zo kort mogelijk te zijn. Hierbij wordt de kost van het terug operationeel zijn afgewogen tegen het verlies door niet operationeel te zijn. De kost om terug operationeel te zijn moet strikt kleiner zijn dan het verlies dat geleden wordt door niet operationeel te zijn [76](#page=76). > **Tip:** De RTO is meer een doelstelling gebaseerd op ervaring en wordt vastgelegd in de Incident Response Policy [76](#page=76). ### 5.2 Voorbeeld van een Incident Response Plan (CyFun) Een voorbeeld van een Cyber Incident Response Plan template, mogelijk gerelateerd aan NIS2-vereisten, wordt genoemd op pagina 77 van het document. Dit illustreert de praktische toepassing van de besproken principes [77](#page=77). --- ## Veelgemaakte fouten om te vermijden - Bestudeer alle onderwerpen grondig voor examens - Let op formules en belangrijke definities - Oefen met de voorbeelden in elke sectie - Memoriseer niet zonder de onderliggende concepten te begrijpen

| Term | Definition | |------|------------| | Malware | Malware, ook wel kwaadaardige code genoemd, is software die is ontworpen om toegang te krijgen tot getroffen computersystemen, informatie te stelen of ontoegankelijk te maken, of de werking van de computer te verstoren. Er zijn diverse soorten malware, zoals virussen, wormen en Trojaanse paarden. | | Cyber Kill Chain | De Cyber Kill Chain is een model dat de zeven fasen van een cyberaanval beschrijft, beginnend bij verkenning en eindigend met acties op het objectief, om zo de tactieken, technieken en procedures van aanvallers te begrijpen en te bestrijden. | | Beveiligingsarchitectuur | Een beveiligingsarchitectuur beschrijft de structuur, componenten, verbindingen en lay-out van beveiligingscontroles binnen de IT-infrastructuur van een organisatie, wat essentieel is voor een gecoördineerde verdediging. | | Defense in Depth | Defense in Depth is een beveiligingsstrategie die meerdere, overlappende beveiligingslagen toepast om de weerbaarheid tegen aanvallen te vergroten. Dit omvat concepten als concentrische ringen, redundantie, compartimentalisatie en segregatie. | | Logging | Logging is het proces van het vastleggen van gebeurtenissen die plaatsvinden binnen systemen en netwerken, vergelijkbaar met een dagboek, wat helpt bij het monitoren van activiteiten, het detecteren van beveiligingsincidenten en het analyseren van oorzaken. | | SIEM-systeem | Een Security Information and Event Management (SIEM)-systeem aggregeert en correleert loggegevens van verschillende beveiligingsapparaten om de hoeveelheid informatie te reduceren tot een hanteerbare lijst van geprioriteerde gebeurtenissen, vaak gebruikt in Security Operations Centers (SOC). | | Beleidslijn (Policy) | Een beleidslijn is een hoog-niveau document dat de algemene aanpak en doelstellingen van een organisatie met betrekking tot cyberbeveiliging schetst, eisen stelt en rollen en verantwoordelijkheden definieert, goedgekeurd door het senior management. | | Standaard (Standard) | Een standaard zijn specifieke, verplichte regels die het beleid ondersteunen door de vereisten te beschrijven die nodig zijn om de doelstellingen van het beleid te bereiken, en zorgen voor consistentie en naleving in de hele organisatie. | | Procedure | Een procedure zijn gedetailleerde, stapsgewijze instructies voor het implementeren van standaarden en beleid, die werknemers gebruiken om specifieke taken uit te voeren, zoals het configureren van een firewall of het reageren op een incident. | | Richtlijn (Guideline) | Een richtlijn zijn aanbevelingen die advies geven over best practices, niet verplicht zijn en flexibiliteit bieden, en gebruikers helpen beslissingen te nemen in situaties waar standaarden niet van toepassing zijn. | | Werkinstructie (Work Instruction) | Een werkinstructie zijn zeer gedetailleerde, taakspecifieke instructies die tot in het kleinste detail beschrijven hoe een bepaalde taak of activiteit moet worden uitgevoerd, vaak gebruikt voor trainingsdoeleinden en om consistentie te garanderen. | | Identiteitsmanagement (IM) | Identiteitsmanagement (IM) is het proces dat alle vormen van identiteiten in een organisatie beheert, van aanstelling tot vertrek, waarbij mensen worden gekoppeld aan systemen en diensten om ervoor te zorgen dat alleen geautoriseerde gebruikers toegang hebben. | | Authenticatie | Authenticatie is het proces waarbij een gebruiker zijn identiteit moet bewijzen, bijvoorbeeld door iets te weten (wachtwoord), iets te hebben (smartcard) of iets te zijn (biometrie), om toegang te krijgen tot systemen of gegevens. | | Autorisatie | Autorisatie, vaak rolgebaseerd (RBAC), bepaalt welke rechten een geauthentiseerde gebruiker heeft om toegang te krijgen tot specifieke systemen, gegevens of functionaliteiten binnen een organisatie. | | Provisioning | Provisioning is het onderdeel van het aanwervingsproces waarbij gebruikersaccounts en de bijbehorende toegangsrechten worden aangemaakt voor nieuwe werknemers, vaak op basis van hun functieopdracht. | | Deprovisioning | Deprovisioning is het proces waarbij accounts en toegangen van een gebruiker worden opgeschort of verwijderd wanneer deze de organisatie verlaat of van functie verandert, om ongeautoriseerde toegang te voorkomen. | | Least Privilege Principe | Het Least Privilege Principe stelt dat gebruikers alleen de minimale toegangsrechten krijgen die ze strikt nodig hebben om hun taken uit te voeren, wat de potentiële impact van een beveiligingsincident beperkt. | | Need to Know Principe | Het Need to Know Principe regelt de toegang tot gevoelige informatie, waarbij alleen die personen toegang krijgen die de informatie daadwerkelijk nodig hebben voor hun werkzaamheden. | | Incident Response Policy | Een Incident Response Policy beschrijft de stappen die een organisatie moet nemen om effectief en snel te reageren op beveiligingsincidenten, met als doel de schade te minimaliseren en naleving van regelgeving te garanderen. | | RPO (Recovery Point Objective) | RPO staat voor Recovery Point Objective en kwantificeert de maximaal acceptabele hoeveelheid gegevensverlies in geval van een onderbreking van de activiteiten; het geeft het meest recente tijdstip aan waarvan gegevens hersteld kunnen worden. | | RTO (Recovery Time Objective) | RTO staat voor Recovery Time Objective en is de tijdsduur die nodig is voor de geschatte terugkeer naar een betrouwbare staat na een incident, vanaf het moment van de gebeurtenis tot de geschatte terugkeer naar de normale bedrijfsvoering. |