ICT-beveiliging: Te veel focus op infrastructuur
Vakbeurs Infosecurity 2009 in Londen
De beveiliging van ict-systemen is sterk gericht op de technische infrastructuur. Cybercriminelen gebruiken echter meer en meer de applicaties om data te ontvreemden. Dit stelden diverse experts tijdens de vakbeurs Infosecurity in Londen.
Op de vloer van Infosecurity 2009, de grootste ict-beveiligingsbeurs van Europa in Londen, boden tientallen bedrijven geavanceerde hardware en software aan. Een aantal sprekers hield juist hun gehoor voor dat die aanpak helemaal verkeerd is, omdat ze uitgaat van de gedachte dat je een digitale schil om een organisatie kunt bouwen.
'Negentig procent van de aanvallen gaat tegenwoordig door poort 80', aldus Bart Vansevenant van infrastructuurspecialist Verizon, dat een rapport ('2009 Data Breach Investigations Report') publiceerde over de schaal van dataverlies in 2008 (zeven keer zoveel als in 2007). 'Firewalls laten verkeer op die poort standaard door, omdat het http-protocol er gebruik van maakt en een server nu eenmaal is aangesloten op internet om ergens toegang toe te bieden.'
Vansevenant kreeg bijval van Dan Haagman van 7Safe, een bedrijf dat forensische diensten levert aan creditcardmaatschappijen. 'Bij de incidenten die wij onderzoeken vormt sql-injectie het grootste probleem. Dat is een heel oude methode, waarmee echter ook subtiele aanvallen zijn uit te voeren. Die gaan vaak dwars door de firewall heen.'
Zwakte
De zwakte zit erin dat de applicaties geen goed onderscheid kunnen maken welke informatie wel opgevraagd mag worden en welke niet. Daarvoor zouden de beveiligers zich beter moeten verdiepen in de informatie zelf, in plaats van zich te concentreren op algemene infrastructurele maatregelen.
'IT'ers verkopen echter liever techniek dan services, omdat het eerste lucratiever is', constateerde Martin Smith, voorzitter van de Security Awareness Special Interest Group, die zich bezig houdt met beveiliging in de meest brede zin van het woord. Volgens hem pikken anderen nu de steken op die ict'ers laten vallen.
Overigens wilde niemand het belang van infrastructuur onderschatten. Slecht gepatchte software en openstaande poorten vormen nog altijd een majeur probleem, omdat hackersoftware ze automatisch kan vinden. Volgens Haagman kost aangepaste software om een specifieke applicatie bij een specifiek bedrijf aan te vallen, inmiddels echter nog maar een paar honderd dollar om te laten maken. Dat vraagt om tegenzetten op applicatieniveau.
Lees ook: Ict-beveiligers moeten beter luisteren
Thie, 05-05-2009 13:16
het laatste was: ondanks crisis tekort aan ICT-ers....
kunnen ze beter over het weer of Prive van Telegraaf schrijven!
R.Heinen, 06-05-2009 11:38
13-02 Ordina rondt integratie Oracle EBS bij EL&I af
13-02 Perfectview levert CRM-systeem aan Gelderland
10-02 Infor helpt Ferrari met bouwen F1-auto's
10-02 Tester Four Oaks in Israëlische handen
10-02 IS Online en Tres zijn klaar voor Elfstedentocht
10-02 SecureLink migreert Microsoft-diensten Atradius
10-02 Nieuwe software brengt Vitens in problemen
10-02 Ex-Misys-topman moet CSC uit penarie helpen
10-02 Veenman en 20/20 vision adviseren samen klant
10-02 Cisco maakt 2,2 miljard dollar kwartaalwinst
10-02 SecureLink migreert Microsoft-diensten Atradius
09-02 Vodafone: Wij spelen klantinformatie niet door
09-02 Lang leve de hackers!
09-02 'KPN koppelt ID aan internetverkeer'
09-02 'Ook met cookiewet is gebruiker niet anoniem'
08-02 'Nieuwe cookiewet is eenvoudig te omzeilen'
07-02 Eigen werknemer kan ook een vijand zijn
03-02 'Overheid vreest voor veiligheid in de cloud'
01-02 F5 beschermt openbare websites
31-01 Publieksvoorlichting is belangrijke taak voor NCSC
|
|
27-03-09 Bruce Schneier: beveiliging wordt lastiger
17-03-09 Virtualisatie brengt nieuwe beveiligingsrisico’s
16-03-09 Bedrijven breken beveiliging af
22-04-08 Investeringen in beveiliging schieten tekort
Best Practices om laptop-data te beschermen
In een tijd waarin steeds meer werknemers mobiel hun werk doen en de hoeveelheid data exponentieel toeneemt, is......
| Aantal reacties met 3+ sterren | Gemiddelde waardering | |||
 | 1 | 154 | 6.4 | |
 | 2 | 120 | 6.7 | |
 | 3 | 109 | 6.4 | |
 | 4 | 79 | 6.6 | |
| 5 | 53 | 6.1 | |
| 6 | 49 | 6.3 | |
 | 7 | 47 | 6.5 | |
| 8 | 43 | 6.1 | |
| 9 | 43 | 6.0 | |
| 10 | 40 | 6.3 | |
Computable.nl is onderdeel van VNU Media, uitgever van o.a.: NationaleVacaturebank.nl | Intermediair | IntermediairPW | Carrièregids.nl | CompanyRating | NationaleStagebank.nl | Banen.nl | HRbase.nl | HRdirectory.nl | Financebase.nl | InIct.nl | InInterim.nl | InOverheid.nl | Overheidscircuit.nl | Computable | CRN | IT Knowledge Base | Tweakers.net | Recruitmentbloggers
Sitemap | Abonneren | Adverteren | Algemene voorwaarden | Disclaimer | Privacy | Alle rechten voorbehouden © 1995-2012 VNU Media
Doet u dit niet, zult u altijd weer, back to the /roots van uw ict gebeuren worden teruggedwongen om uw security strategie - van daaraf - te herzien.
Pas een solide basis kun u verder bouwen, de rest stort vroeg of laat weer in, met alle kosten van dien.
"Met een lekke boot blijft u ook hozen en kunt u niet genieten van de rondvaart en het uitzicht"