Het technische IT-beveiligingsonderzoek; wat komt hierbij kijken?

Update 26 – Het Inzicht extra–januari 2016

In deze Update een extra inzicht van Tamara Brandt over het voorbereiden en plannen van een IT-beveiligingsonderzoek.

Er zijn diverse redenen aan te wijzen om een beveiligingsonderzoek uit te laten voeren. Het vernieuwen van de technische infrastructuur, het invoeren van een nieuw portaal of bijvoorbeeld een mobiele applicatie. Ook een audit kan aanleiding geven tot het uitvoeren van een dergelijk onderzoek. Maar voordat u het rapport met bevindingen in handen heeft, gaat er heel wat aan vooraf. Ook hier geldt: een goede voorbereiding is het halve werk. Tamara Brandt, teamleider bij Madison Gurkha, geeft meer inzicht in het proces. Dit geeft u handvatten om het beveiligingsonderzoek zo goed mogelijk te laten verlopen. 

Een belangrijk uitgangspunt is dat een beveiligingsonderzoek alleen in opdracht kan worden uitgevoerd. Dit vloeit voort uit het strafrecht: het inbreken op andermans computers en netwerken is in beginsel bij wet verboden. En dat is nu juist precies wat er tijdens een beveiligingsonderzoek gebeurt, zij het dus op verzoek en onder voorwaarden. Elk opzettelijk en wederrechtelijk binnendringen in computersystemen is strafbaar. Dit is een belangrijke reden om zorg te dragen voor een juiste voorbereiding. Onderdeel van deze voorbereiding is helder krijgen op welke URL of IP-adres(sen) het onderzoek plaats zal vinden. Aan de hand hiervan wordt een controle uitgevoerd om vast te stellen of er een aanvullende vrijwaring nodig is voor het onderzoek. Dit kan bijvoorbeeld het geval zijn wanneer een derde partij juridisch eigenaar is van het systeem dat getest wordt, of wanneer vrijwaring niet voldoende wordt afgedekt door middel van het verstrekken van de opdracht. Ook wordt de informatie over het doelsysteem gebruikt om de opdracht in te schatten. Vragen die hierbij beantwoord dienen te worden zijn onder meer: Wat is de omvang van het te testen systeem? Hoeveel dagen zijn er nodig om dit systeem te testen? En: welk specialisme moet er worden ingezet? 

Een ander belangrijk punt is het plannen van de opdracht. Vaak zijn er voorwaarden zoals een datum waarop livegang plaatsvindt of een wettelijke verplichting tot wanneer een audit uitgevoerd moet zijn. Ook is het van belang dat alle betrokken partijen op de hoogte zijn van het tijdsframe waarbinnen een opdracht wordt uitgevoerd. Zo kan men elkaar informeren bij bijzonderheden en kunnen verdachte acties worden verklaard. 

Voor een succesvol onderzoek is het verder goed te weten op welke manier het doelsysteem of -netwerk te bereiken is: vaak kan dat via internet, maar soms is het noodzakelijk om het onderzoek op locatie uit te voeren. Ook zijn vaak inloggegevens nodig om in het systeem te kunnen. Dit is afhankelijk van het type onderzoek dat overeengekomen is. Bij een zogeheten black box onderzoek test men een systeem zonder te beschikken over geldige inloggegevens. Bij andere typen onderzoek wordt vooraf informatie gegeven over het systeem, zoals inloggegevens, documentatie, en/of broncode. Kan het onderzoek via het internet uitgevoerd worden dan is het soms nodig het doelsysteem bereikbaar te maken voor de onderzoekers door IP-adressen te whitelisten in de firewall. In het tweede geval zijn er nog een aantal extra zaken voor te bereiden: op welke locatie en bij wie mogen de onderzoekers zich melden? Is er een werkplek geregeld met een netwerkaansluiting, en is er een contactpersoon die hen bij vragen bij kan staan? 

Er komt dus heel wat kijken bij een goede voorbereiding van een beveiligingsonderzoek. Alle voorbereidingen staan in het teken van het zo succesvol en effectief mogelijk laten verlopen van het onderzoek.



 

@Secura 2017
Disclaimer  /  Privacy policy  /  Sitemap / Inloggen
Webdesign Studio HB / webdevelopment Medusa