Interview IT auditor

Interview met: IT auditor (RE, CISA)

Interview door: Stef Duteweert

Datum interview: 29-05-2018

Duur interview: circa 1,5 uur

Vastlegging interview per onderwerp

- Vaststellen of de opgenomen authenticatiemethoden juist en volledig zijn en of de indeling van verschillende methoden redelijk is.

Indeling volgt uit theorie en is praktisch ook goed bruikbaar als uitgangspunt. Geen bijzonderheden.

- Vaststellen of de wijzen waarop authenticatiemethoden worden doorbroken juist en volledig zijn en of de indeling van verschillende methoden redelijk is.

Verschillende soorten aanvallen zijn niet voldoende duidelijk. Er lijkt nu overlap te zitten tussen verschillende aanvallen. Met uitleg is de indeling wel duidelijk. De omschrijving dient aangepast te worden om verschillende aanvallen beter af te bakenen. Met name categorie ‘raden’ is nu onduidelijk. Het gaat hierbij om raden door een externe aanvaller (bijvoorbeeld op basis van brute-force). Hierbij wordt bijvoorbeeld niet het raden van een insider bedoeld, indien deze op basis van shoulder surfing een (groot deel van een) wachtwoord heeft gezien.

- Vaststellen of de beschreven systeeminrichtingen juist en volledig zijn en of de indeling van verschillende methoden redelijk is.

De geïnterviewde vraagt wat de basis is voor de lijst met inrichtingen. Op basis van de respons dat deze lijst is samengesteld door een groot aantal onderzoeken door te nemen en hieruit inrichtingen te verzamelen, is de lijst akkoord. Inhoudelijk is de lijst duidelijk en de indeling is logisch.

- Vaststellen of de actoren die authenticatie doorbreken juist en volledig zijn en of de indeling van verschillende actoren redelijk is.

Een goede koppeling zou te maken moeten zijn tussen de soort aanvaller en de aanval die deze pleegt. Hierbij kan de soort aanvaller op basis van kennis worden ingedeeld. Door de geïnterviewde wordt de volgende indeling voorgesteld:

1. Een aanvaller met weinig kennis van de organisatie en van systemen kan een aanval middels raden opzetten. Deze aanval wordt door eenvoudig verkrijgbare tooling goed ondersteund. Kennis van de organisatie maakt de aanval eventueel sneller doordat deze gerichter is, maar ook indien deze niet gericht is kan de aanval uitgevoerd worden.

2. Bij social engineering is enige kennis van de organisatie aanwezig. Aanvullende kennis wordt middels de aanval zelf verkregen, waarna een gerichtere aanval kan worden uitgevoerd (zie ook paragraaf 2.4.3, waarin beschreven is dat social engineering ook vaak een voorstadium is voor een andere aanval). Kennis van tooling hoeft voor een social engineering aanval niet hoog te zijn, doordat deze aanvallen meestal worden uitgevoerd door entiteiten te misleiden op basis van contact middels e-mail, telefonisch of fysiek contact.

3. Bij meeluisteren en scannen dient een aanvaller in ieder geval enige kennis van systemen bij een organisatie te hebben en dient deze te weten hoe deze met tooling dient om te gaan. De mate van ‘technische’ kennis die nodig is voor deze aanval is hoog.

4. Voor diefstal dient een aanvaller binnen kantooruren eerst binnen te dringen in een organisatie middels social engineering (anders is sprake van inbraak). Het kennisniveau is daarom gelijk aan social engineering. Voor inbraak is hoge kennis van de organisatie nodig (bijvoorbeeld inbraakbeveiliging, ligging en indeling van het pand, aanwezigheid van beveiligingsfunctionarissen en aanwezigheid van hardware die de aanvaller wil ontvreemden of waartoe deze toegang wil verkrijgen). Kennis van tooling is in feite niet nodig, doordat de aanvaller een fysieke handeling uitvoert en geen technische aanval.

5. Insider aanval. Dit is in tegenstelling tot bovengenoemde aanvallen geen externe aanval, maar van binnenuit. Hierdoor heeft de aanvaller potentieel de hoogste kennis van de organisatie. Voor de meeste aanvallen is geen technische kennis nodig, doordat de aanvaller gebruik kan maken van privileges die deze al heeft vanuit zijn/haar rol in de organisatie.

Uit bovenstaande volgt dat twee aspecten relevant zijn voor het indelen van aanvallen, op basis van de actor die een aanval (succesvol) uitvoert:

- Kennis die de aanvaller nodig heeft van de organisatie om de aanval uit te voeren;

- Technische kennis (van bijvoorbeeld tooling) die de aanvaller nodig heeft om de aanval uit te voeren).

Op basis van deze indeling kunnen aanvallen als volgt ingedeeld worden:

Aanval Kennis organisatie Technische kennis

Raden Laag Middel

Social engineering Middel Laag

Meeluisteren en scannen Hoog Hoog

Inbraak (diefstal zie social engineering) Hoog Laag

Insider aanval Laag (heeft alle kennis

al, dus geen kennis meer nodig)

Laag

- Vaststellen of de risicomodellen passend zijn bij het onderzoek, juist zijn beschreven en of relevante risicomodellen ontbreken.

De keuze voor het DREAD model is redelijk, doordat deze is ingegeven door specificering van kans en impact.

- Vaststellen of relaties die zijn gelegd tussen authenticatiemethoden, wijzen waarop authenticatiemethoden worden doorbroken, systeeminrichtingen en actoren die authenticatie doorbreken logisch zijn.

Het verband tussen authenticatiemethode en de wijzen waarop authenticatiemethoden worden doorbroken zijn logisch.

Koppeling van de wijze waarop authenticatiemethoden worden doorbroken en systeeminrichtingen is ook duidelijk.

De koppeling met actoren die authenticatie doorbreken is als separaat punt opgenomen in het model niet verwerkt in de risico inschatting. De actor dient gekoppeld te zijn aan de wijze waarop iemand de organisatie binnenkomt (zie uitwerking bovenstaand).

Aangezien dit invloed heeft op de kans op een aanval en dient de ‘actor’ meegenomen te worden in de inschatting van kans.

- Vaststellen of het ontwikkelde model op basis van theorie hetgeen hiervoor beschreven juist en volledig weergeeft.

Het model volgt goed uit de theorie. Een aanpassing die nog doorgevoerd dient te worden in het model is het verwerken van actoren die de aanval uitvoeren op basis van kennis van de organisatie en technische kennis.

- Vaststellen of het ontwikkelde model inzicht geeft ten behoeve van een risicogerichte audit van authenticatie en vaststellen of dit inzicht vernieuwend is ten opzichte van bestaande modellen.

Besproken is waarom het onderscheid van verschillende aanvallen nu echt relevant is voor een entiteit van het model. Respons dat dit dient voor de entiteit om specifiek te weten op welke wijze deze kan verwachten aangevallen te worden. Indien de entiteit dit weet, kan deze hiervoor specifiek maatregelen nemen en hierop bijvoorbeeld specifiek een awareness campagne richten. Niet alle systeeminrichtingen zijn relevant voor alle soorten aanvallen. Hierdoor hoeft een entiteit niet alle systeeminrichtingen op te nemen, maar kan deze specifiek ontbrekende inrichtingen opnemen om het risico op aanvallen te verminderen. Een goede aanvulling hierop is om mee te nemen welke kennis van de organisatie en welke technische kennis nodig is voor de aanval (zie bovenstaand). Door een indeling te maken naar soort aanval, weet de entiteit welke soort aanvallers deze kan verwachten op basis van kennis, kan de entiteit besluiten welke aanvallers deze in welke mate wil voorkomen.

Met in acht neming van bovenstaande is het model sterk doordat het een vanuit theorie een zeer praktische insteek geeft.