Detail?

Focus Voordeel

GDPR High-level

27001 High-level (Information Security) ​Management Referentiepunt, Gewicht

(fee) PLAN-DO-CHECK-ACT ​mbt ISMS Internationaal herkend
(ook in - leadership & commitment Marktdifferentiatie
NL) - policies Vertrouwen
- roles, responsibilities, authorizations Certificatie
Bedrijfsimago

27002 Meer detail & Information Security ​(Management) Meer guidance, advies
(niet guidance C-I-A
verplicht) - security controls

COBIT 5 High-level in Risk Goed kader voor organisaties.

for Risk Function (Cybersecurity) Enabler / kapstok
(fee) Perspective. Werkt op niveau’s.
Zowel top-down als bottom-up.
More detail in Processen goed uitgewerkt.
Management
Perspective. Eén van de meest gedetailleerde
inspiratiebronnen voor Risk.
Lot of detail
about Risk. Cybersecurity kader.

COBIT 5 High-Level Information Security Goed kader voor organisaties.

for IS IT Governance Enabler / kapstop.
(fee) Monitoring & Business Factors Werkt op niveau’s.
Zowel top-down als bottom-up.
Processen goed uitgewerkt.

NIST Heel veel detail Information Security ​Controls Goede referentie overheid.
800-53 (>> ISO27002) Goede referentie overigens.
(gratis)

NIST Geen: Cybersecurity Overzichtelijkheid

CSF verpakking Dashboard als vertrekpunt
(gratis)

Cert? Breedte Diepte Acceptance

ISO Organisatie Information Security Tactical Wereldwijd

Operational

COBIT 5 Individueel Risk + Strategic Wereldwijd

Information Security Tactical (grote organisaties)
(IT governance) NOT ​operational

NIST Compliance Information Security, (Tactical) Overheid VS

800-53 heel veel documenten Operational: most detailed Privé sector (beperkt)
security controls

NIST CSF Nee Information Security No standard VS (vrijwillig)

(verpakking)

Risico’s
● Data loss / data leakage
● Fines (boetes), legale kosten / Legal Risks / Compliance Challenge
● Financiële schade
● Vendor lock-in
 ● Loss of governance (business OR IT)
● Technical Risks

Assets
● Mensen / resources / personeel
● Mensen hun bagage / portefeuille / handtas / mobiele toestellen / betaalkaarten
● Governance (business / IT)
● Processen & activiteiten
● Technologie
● Informatie
● Confidentiële documenten
● Intellectual Property (bvb design files, “hoe werken wij hier binnen het bedrijf?”)
● Overnameplannen / Merger & Acquisition Plans
● Investment Decisions
● Business Plans
● Company Results
● Product Roadmap
● Audit Reports
● Customer Records
● Prijsgegevens
● Projectplannen
● Contracten
● Loongegevens
● Gezondheidsgegevens
● Criminele records
● Locatiegegevens
● Potentiële nieuwe klanten / leads / targets
● Betaalgedrag van klanten
● Data / Kritische data
● Computers / Servers
● Softwarelagen
● Company reputation
● Company trust
● Loyaliteit van de werknemers
● Persoonsgegevens
● Gevoelige gegevens
● Service delivery (al dan niet real time)
● Traffic surveillance data / Camerabeelden
● Navigation data
● Aircraft status data
● Voice communications
● Security relevante data: wachtwoorden, sleutels, keys, certificaten, credentials
● Infrastructuur, IT-systemen, sharing systemen
● Bestanden op laptops / computers / servers / cloud storage
● Bedrijfsemails, attachments, mail boxes
● Andere mailboxen (gmail, hotmail, …)
● Databanken / Excel / Access
● Removable media: USB, portable disks
● Informatie over mobiele toestellen
● Software broncode
● Financiële gegevens
● File shares
● Website data
● Klantportaal
 ● Input & output flows
● CRM, Sharepoint, HR tool, Boekhoudsysteem
● Wiki’s
● Data van de werknemers (bvb op hun laptop of in hun rugzak)
● Nummerplaatgegevens
● Mails van en naar HR (over verloning, belong, opslag, persoonsgegevens, etc)

Vulnerabilities
● Onduidelijke rollen en verantwoordelijkheden of zwakke toepassing ervan
● Onduidelijke ownership van assets
● Niet gedocumenteerde flows (niet weten dat ze bestaan)
● Menselijke fouten en vergissingen
● Derde partijen (partners, leveranciers, outsourcers)
● Inputs, outputs
● Slecht werkende software, slecht geconfigureerde software
● SLA clausules met conflicten
● Geen certificatie of audit beschikbaar
● Hidden dependencies door cross cloud applications
● Gebrek aan standaard technologieën en oplossingen
● Gebrek aan transparantie over waar data staan
● Weinig kennis over de wetgeving

Threats
● DDOS aanval
● Hacking
● Legale consequenties (boete)
● Lek in de pers
● Vergissingen en fouten
● Overmacht, brand, overstroming, aardbeving, orkaan, stroompanne
● Schijven of computers gaan kapot
● Corruptie
● Phishing attacks

Controls volgens NIST 800-53 R4

● Access Control (AC)
● Awareness and Training (AT)
● Audit and Accountability (AU)
● Security Assessment & Authorization (CA)
● Configuration Management (CM)
● Contingency Planning (CP)
● Identification & Authentication (IA)
● Incident Response (IR)
● Maintenance (MA)
● Media Protection (MP)
● Physical & Environmental Protection (PE)
● Planning (PL)
● Personnel Security (PS)
● Risk Assessment (RA)
● System and Services Acquisition (SA)
● System and Communications Protection (SC)
● System and Information Integrity (SI)
● Program Management (PM)

Controls - Confidentiality (C)

 ● Access controls (bvb privileged accounts)
● File permissions
● Encryption (= asset value verkleinen)
● Data classification
● Monitoring & Logging
● Physical Security
● Deprovisioning
● Device container / Mobile container
● Vingerafdruk
● Confidentialiteitsclausule in arbeidscontract
● Anonimisatie van data
● Aggregatie van data
● Data Minimisation (= ​organisational control)
● Purpose Limitation

Controls - Integrity (I)

● Access controls
● Logging
● Digital signatures
● Hashes
● Encryption
● Checksums (bvb bank overschrijving)
● Monitoring & Logging
● Physical Security
● Deprovisioning

Controls - Availability (A)

● Backups (wie neemt die? waar gestockeerd? getest? hoe lang duurt restore?)
● Redundancy
● Data vaults (​datamodelleringsmethode bij datawarehousing. Opslaan geg. uit verschillende bronnen,
met verschillende definities en betrouwbaarheid)
● Data retention
● Access controls
● Patch management, Change Management, Configuration Management
● Internet-facing: intrusion prevention system, monitor alarm logs, antivirus within Email package
● WiFi network: confidentiality (WPA2 Encryption), Authentication (WPA2 Encryption)
● Private Server zone: confidentiality (Secure Web - HTTPS), Secure Protocols (SSH, SFTP),
authentication (SSO), monitor logs

Controls - Accountability / Privacy / Business Impact / Compliance Goals (GDPR)

Controls - Non-repudiation
● Transactional logs
● Digital signatures

Controls - Overig
● Firewall (doet meer dan filteren, ziet dingen en gaat die loggen = schat van info, verdachte patronen
kunnen gedetecteerd worden bvb 5 mislukte inlogpogingen)
● Human Resources: mensen screenen
● Human Resources: Terms & Conditions
● Omgaan met removable media / Physical Media Transfer
● Awareness
● Email security / filtering (antispam, inbound mail sandboxing)
● Web security (real time analysis and inspection of web traffic, SSL inspection)
 ● Endpoint security
● Plugin filtering (Flash, Java, Silverlight, Adobe, media players)
● Network Intrusion Detection
● Host Intrusion Detection
● Network segmentation ​(voorbeeld met printer !!!!!!!!!!!!!!!!!!!!!)
● Network access control
● Nonce / challenge-response
● Multi-factor authentication
● Certificate of authority
● Security by Design
● Privacy by Design
● Least Privilege Principle
● Definition of Trust Boundaries

Polices
● Fair Use Policy / Acceptable Use Policy
● Clean Desk Policy
● Email Policy
● Ethics Policy
● Remote Access Policy
● Provisioning
● Deprovisioning
● Password Protection Policy / Wachtwoorden niet delen (policy) / Password Construction Guidelines
● Accounts persoonlijk houden (policy)
● Risk IT policy
● Crisis management policy / Disaster Recovery Plan Policy
● Third-party IT service delivery management policy
● Business continuity policy
● Program / project policy
● HR policies
● Quality management policy
● Delegation of authority policy
● Data privacy policy
● Intellectual Property policy
● Risk Culture Policy
● Awareness Policy

Verantwoordelijkheden
● Information Security is verantwoordelijkheid van de Board: bekommerd zijn om risico’s, Risk
Assessment LATEN uitvoeren, zorgen dat IT systemen regels hebben
● CISO​: verslag brengen aan de Board
○ CISO is zelf NIET verantwoordelijk voor Information Security
○ Mensen zelf; hij moet faciliteren, aan de bel trekken, projecten opstarten, ...
● ISO​: onder de CRO of anders onder de CFO of CIO
○ Er moet een ​rechtstreekse rapporteringslijn ​zijn (beter een rechtstreekse lijn met
CRO/CFO/CIO dan met CEO die nooit geen tijd heeft)
● Information Security Guiding Committee: vertegenwoordigers van verschillende afdelingen die
bespreken welke maatregelen ze gaan nemen
● Champions: verspreiden van de beslissingen in de hele organisatie
● Verantwoordelijke voor IS binnen elk change project / programma

Aandachtspunten bij een Audit

● Organisatorisch: policies en procedures !!!
● Technisch: Privileged Accounts (reguliere + privileged accounts; logging)
 ○ Te veel ​privileged ​accounts
○ Te veel ​anonieme ​accounts (wie zit achter “admin_root” ?)
○ Vaak ontbreekt er ​detection (IDS / IPS)
○ Vaak ontbreekt ​netwerksegmentatie

Aandachtspunten Cybercriminaliteit
● Economische noodzaak !

GDPR
● 2 ​(of 3) ​hoofdzaken:
a. RISK
b. PURPOSE
c. DEMONSTRATE ​(compliance aantonen)

Afkortingen
● PDCA = Plan Do Check Act
● CISO = Chief Information Security Officer
● ISO = Information Security Officer
● CIA = Confidentiality Integrity Availability
● DDOS = Distributed Denial-of-Service
● CRO = Chief Risk Officer
● CFO = Chief Financial Officer
● CIO = Chief Information Officer
● CVE = Common Vulnerabilities & Exposures ( list of common identifiers for
publicly known cybersecurity vulnerabilities)
● DRP = Disaster Recovery Plan
● BCP = Business Continuity Plan
● IRP = Incident Response Plan
● GDPR = General Data Protection Regulation
● DLP = Data Loss/Leakage Prevention
● AV = Asset Value
● EF = Exposure Factor
● SLE = Single Loss Expectancy
● ARO = Annualized Rate of Occurrence
● ALE = Annualized Loss Expectancy
● ACS = Annual Cost of the Safeguard
● CBA = Cost Benefit Analysis
● GRC = Governance, Risk & Compliance
● SAP-GRC = SAP Governance, Risk & Compliance (tool)
● ADI = Asset Data Inventory
● ROSI = Return On Security Investment
● EDP = European Data Protection
● EDPS = European Data Protection Supervisor(s)
● EDPB = European Data Protection Board
● DPO = Data ​Processing​ Officer
● ISMS (ISO) = Information Security Management System
● AVG = Algemene Verordening Gegevensbescherming
● DIA = Data Impact Assessment
● D​P​IA = Data ​Privacy​ Impact Assessment
● ICO = Information Commissioner's Office (GDPR)
● NIS = Networks & Information Systems
● C​SI​RT = Computer ​Security Incident ​Response Team
● ENISA = European Network & Information Security Agency
● C​E​RT-EU = EU Computer ​Emergency ​Response Team
 ● EC3 = Europol Cybercrime Center
● RACI = Responsible, Accountable, Consulted & Informed
● OAUI = Originator, Approved, User, Informed
● ISCC (COBIT) = Information Security Steering Committee Composition
● FISMA (NIST) = Federal Information Security Management Act
● CSF (NIST) = Cybersecurity Framework
● CMMI = Capability Maturity Model Integration
● PUP = Potentially Unwanted Program
● RAT = Remote Access Tool (malware)
● SPIM = SPAM over Instant Messaging
● SPIT = SPAM over Internet Telephony
● Vishing = Voice-over IP Phishing (VoIP Phishing)
● Smishing = SMS Phishing
● BEC = Business Email Compromise (whaling attack)
● PoD = Ping of Death attack
● OOB = Out of Band transaction
● APT = Advanced Persistent Threat
● SABSA (Zachman) = Sherwood Applied Business Security Architecture
● DMZ = Demilitarized Zone
● NAT = Network Address Translation
● IDS = Intrusion Detection System
● IPS = Intrusion Prevention System
● ICS = Industrial Control System
● SIVs = System Integrity Verifiers
● LFM = Log File Monitor
● WAF = Web Application Firewall
● SIEM = Security Information & Event Monitoring
● IAM = Identity & Access Management
● CDN = Content Delivery Networks
● OWASP = Open Web Application Security Project
● X​SS = ​Cross​ Site Scripting

Definities
● Fitness for purpose
● Plan Do Check Act
● IT Security vs Information Security
● Physical security
● Confidentiality
● Availability
● Integrity
● Reverse CIA
● Non-repudiation
● Policy vs procedure vs guideline
● Fair Use Policy / Acceptable Use Policy
● Remote Access Policy (SSO, VPN, WW, …?)
● Provisioning
● Deprovisioning
● Asset
● Inherent Risk (risico zonder risico response genomen te hebben)
● Residual Risk
● Threat Source
● Threat event
● Vulnerability
● Predisposing Condition​ (tuinhuis buiten meer kwetsbaar dan binnen; vulnerability)
● Exploit
● Adversarial (doelbewust wordt de zwakste schakel gezocht)
● Non-adversarial (dit overkomt je gewoon; weer/aardbeving/per ongeluk vergissen)
● Evil Maid
● Lateral movement = verdergeraken in de kill chain (meestal via privilege escalation)
● Risk mitigation
● Risk Acceptance / Retention
● Risk Sharing (meestal naar ​verzekeraar ​of ​outsourcer​)
● Risk Avoidance
● Risk Reduction
● Disaster Recovery Plan (DRP) ​kortetermijn
● Business Continuity Plan (BCP) ​langetermijn
● Incident Response Plan (IRP) ​kortetermijn ​→ niet enkel elektronisch !!!
● Data Loss Prevention (DLP) = software tool; breaches detecteert en vermijdt door logging / monitoring
van gevoelige data terwijl in-use, in-motion of at-rest
● Single Loss Expectancy (SLE) = AV x EF
● Asset Value (AV)
● Exposure Factor (EF)
● Annualized Rate of Occurrence (ARO)
● Annualized Loss Expectancy (ALE) = SLE x ARO
● Annual Cost of the Safeguard (​The safeguard in question is a procedure, a process, a control →
eenmalige startup kost, jaarlijke licentiekost, onderhodskosten, (her)opleiding, …)
● Cost Benefit Analysis (CBA) = ALE(prior) - ALE(post) - ACS
● Threat Profile = adversarial | non-adversarial
● Threat Actor = cybercriminal | state sponsored | hacktivist | user | partner
● Economische noodzaak
● Hacktivist (hacker met meer tijd en vooral politieke of ideologische doeleinden)
● Kill Chain (Reconnaissance | Lure | Redirect | Exploit Kit | Dropper File | Call Home | Data Theft)
● Lockheed Martin Cyber Kill Chain (ipv Waeponization → Lateral Movement)
● Loss of Governance (waar staat mijn data? Moet bvb in Europa blijven)
● Governance, Risk & Compliance (GRC) = soms tool, soms afdeling, soms project
● SAP-GRC (tool dat authorizations van alle users nakijkt en conflicten meldt)
● Segregation of duties
● 4-ogen principe
● Tiger team (bvb in elektriciteitsfirma die ALLES mogen doen mbt klant)
● Asset Data Inventory stappen = Policy | Inventory | Prioritize | Vulnerabilities | Threats | Risk |
Remediation | Measure | compliance
● Champion
● Sensitive Data Value = Business Critical | C-Level | Regulated | Business Strategic | Business Unit
Critical | Operational | Public
● Security by Design
● Privacy by Design
● Article 29 Working Party (clubje dat advies geeft en guidelines maakt rond privacy)
● Safe Harbour (redenering vroeger bij oude privacy regelgeving mbt Europa - non-EU)
● Privacy Shield (vrijblijvend privacy kader in US, qua geest OK maar qua wet GDPR?)
● Network & Information Systems (NIS) = ​directief ​voor cybersecurity (!= regulering)
● e-Privacy = “de new cookie law” (elektronische communicatie): is nog maar voorstel
● ENISA = nieuw (bekendste) cybersecurity agentschap EU
● EU Cybersecurity Certification Framework
● C​E​RT-EU = provide response to information security incident & cyber threats for the EU institutions,
agencies & bodies
● Europol = Europese cybercrime organisatie
● Europol’s Cybercrime Center (EC3) = voorkomen van cross-border cybercrime
● European Data Protection Board (EDPB) = instelling boven privacy autoriteiten / commissies (vervanger
van Article 29 Working Party): concrete richtlijnen GDPR
● Data ​Processing​ Officer (DPO) = adviserende, controlerende rol (NIET uitvoerend of leidinggevend!)
● COBIT 5 Professional Guide = COBIT 5 for Risk | COBIT 5 for IS |...
● Risk ​Function ​Perspective = COBIT 5 risk perspectief ifv policies, organizational structures, processen,
mensen, verantwoordelijkheden, opvolging, etc.
● Risk ​Management ​Perspective = COBIT 5 risk perspectief ifv de core risk processen (meer inhoudelijke
invulling, hoe ermee omgaan, risk scenario’s) maw concreter
● Risico scenario = iets dat zou kunnen gebeuren, en ALS het gebeurt is er een behoorlijke impact
● Risk factor = alles wat een invloed kan hebben op een risico scenario of hoe erg…
● COSO = een standaard en COBIT is een manier om aan die standaard te voldoen
● Control Enhancements
● Control Baselines
● NIST CSF Fases = Prepare & Identify | Protect | Detect | Respond | Recover
● CMMI Fases = Initial | Managed | Defined | Quantitatively Managed | Optimizing
● Attack Vector = pad of tool dat Threat Agent gebruikt om target aan te vallen
● Malware = (Virus | Worm | Trojan (horse) | PUP | Spyware | Adware)
● Virus signature = hash
● Virus = met user interactie
● Worm = zonder user interactie
● Trojan horse = programma dat iets nuttig doet maar intussen ook iets anders
● PUP = toolbars, banners, addons, adds, …
● Spyware = spioneren (keys, finaciële informatie)
● Rootkit = stukje code in deel dat computer opstart (dat niet geëncrypteerd is)
● Boot Sector Virus = idem (rootkit)
● Botnet (“Robot Network”) = groot, geautomatiseerd en gedistribueerd netwerk van computers (die
voordien werden gehacked) om een gelijktijdige grootschalige attack uit te voeren
● Bot = programma dat computer ardware infecteert en dan wacht op instructies van de owner om bvb
alle computers met een bot tegelijkertijd iets te laten uitvoeren
● Dropper = soort bot die allerlei malware op computer zet en zijn owner kan zelfs andere makers van
malware laten betalen
● Ramsomware = er verschijnt u message op scherm (u bent geëncrypteerd); meest schadelijke malware
● Backdoor = achterdeur in een programma waarvan je niet op de hoogte bent
● RAT (Remote Access Tool) = backdoor-programma dat een andere partij toelaat om op uw
computersysteem te komen
● Free Rat Builder = criminelen overtuigen om via RAT builder eigen zaken toe te voegen en te
verspreiden aan slachtoffers
● User Tracking = dmv cookies
● Phishing = via social engineering confidentiële informatie stelen (bvb bankgegevens via spoofed email
die naar een website redirect die lijkt op de bank website)
● Spear Phishing = phishing gericht op iemand specifiek (of een groep of bedrijf)
● Whaling Attack = spear phishing attack targetted at “big fish” = senior executives or other high profile
targets from a company (often also appear to come from a trusted colleague or business partner)
● C-level Fraud = whaling attack
● CEO Fraud = whaling attack
● Business Email Compromise (BEC) = whaling attack
● Executive Masquerading = whaling attack
● Watering hole attack = phishing attack waarbij je betrouwbare website hackt om te spoofen ipv spoofed
emails: 1) profile vicitm 2) inspect websites 3) compromise one
● Pharming = via DNS spoofing (bvb) de trafiek van een website redirecten naar een andere kwaadwillige
website
● Spoofing = doen alsof je iemand anders bent (IP Address spoofing | DNS spoofing | Email Spoofing |
Search engine spoofing)
● Foot Printing = attacker stuurt heleboel requests naar range van poorten om te kijken welke poorten er
open staan en welke services er draaien die kwetsbaar zijn
● Port Scanning = Foot Printing
● XMAS Attack = alle statusvelden van TCP-pakketten op “ON” zetten om het een netwerk of OS heel
lastig te maken
● Smurf Attack = DOS attack waarbij je een fake request stuurt naar target en zorgt dat de antwoorden
naar een ander target gaan zodat je daar ook al geen last van hebt
● Ping of Death (PoD) = een kwaadwillige PING versturen om overflow of crash te bekomen
● Ping Flood (ICMP flood attack) = ICM ping requests sturen zonder te wachten antw
● Replay attack = playback (vermijden door protocol veiliger te maken: limited timespan /
challenge-response (nonce) )
● Quantum Insert Attack = (wifi attack) je stuurt iemand een reguliere LinkedIn link bvb
(​www.linkedin.com​) maar van zodra dat die op je backbone terechtkomt, dat jij een snellere response
stuurt dan LinkedIn
● Session Hijacking Attack = hacker gebruikt Session ID van een ingelogde sessie om te doen alsof hij
iemand anders is
● Cross Site Request Forgery = user is ingelogd op een website en heeft een session ID, dus heeft zijn
trust al verdiend. Nadien zorgen dat user besmet is zodat hij naar attacker web page gaat dan kan de
hacker calls doen in zijn naam
● Cross Side Scripting = attacker misbruikt de XSS vulnerabilities in Web Server applicatie om een
client-side script in de pagina te injecteren om user naar malicious website te leiden ​(voorbeeld:
Proton Mail !!! Veilig???)
● LDAP Injection = SQL Injection maar dan met LDAP (construct LDAP statements)
● Buffer Overflow Attack = men gaat op een plaats in het geheugen schrijven dat niet de bedoeling is. Bvb
een request die veel te lang is en rare tekens, voorbij pars….
● Dictionary attack: attack to crack passwords (meestal zijn wachtwoorden te weinig willekeurigheid)
● Rainbow table attack: hash versie van dictionary attack waarbij hackers de MD5 hashes bvb typische
wachtwoorden bvb vanbuiten kennen (​use salts!!!​)
● Social engineering: grote mond opzetten of via social skills iets bereiken
● Privilege Escalation: attacker met access tot user account exploiteert een bug of configuratieprobleem
om verhoogde privileges te bekomen
● Transitive Access = attacker zoekt zwakste schakel (bvb aircoleverancier → NW)
● Salami Attack = attacker blijft onder de radar, hoge bandbreedte of trafiek ofzo te nemen maar net op
dat niveau dat men niet verdacht wordt, om later veel te kunnen bereiken ineens
● ZACHMAN = aspecten van organisatie (kolommen) en level van detail (rijen)
● SABSA = Zachman toegepast op security
● TOGAF = zelfde principe als ZACHMAN / SABSA
● Defense In Depth = concentrische beveiligingscirkels met in het midden uw data
● De-Militarized Zone = zone van servers die Internet-facing zijn en dus kwetsbaarder voor aanvallen
(daarom in aparte zone om te scheiden van intern netwerk)
● Border Router/Firewall = router/firewall die de demilitarized zone beschermt
● Default Deny = (firewall) elk pakket dat niet expliciet werd toegelaten wordt tegengehouden
● Multi-homed firewall = aparte zones geconfigureerd (bvb private payment card zone | demilitarized
zone, internal network zone, student zone, confidential zone, Wifi zone)
● Dual In-Line Firewall = 2 firewalls voor bvb demiletarized zone en intern netwerk zones
● Packet Filtering Firewall = regels ivm packet header (poort, protocol, IP adres, etc.)
● Stateful Inspection Firewall = als er connectie was tussen A en B zal er verkeer zijn (= OK), maar als er
geen connectie was mag er ook geen verkeer zijn
● Application Firewall = filtert ook op applicatieniveau (maar wel wat overhead!)
● Screened-Host Firewall = uw​ hosts ​worden afgeschermd (single homed bastion host | dual homed
bastion host)
● Single-homed bastion host = 1 packet filtering router + bastion host met 1 netwerkkaart dus bastion host
op intern netwerk, alle verkeer via bastion host maar bastion host is gemakkelijke target (en dan is
HELE netwerk gecompromitteerd)
● Dual-homed bastion host = 1 packet filtering router + bastion host met 2 netwerkkaarten dus 2 aparte
netwerkzones (​public en intern)​ maw als bastion host gecompromitteerd dan nog niet het interne
netwerk
● Screened subnet firewall = 2 packet filtering routers met bastion host daartussen waardoor verkeer
tussen de 2 subnetten (BH - intern netwerk, router - router) geblokkeerd is. Bastion host kan 1 of 2
netwerkkaarten hebben.
● Web security gateway = proxy die ervoor zorgt dat als je intern surft dat je niet rechtstreeks naar het
Internet gaat maar dat je aan de proxy vraagt om naar de URL te gaan (vandaag meer op cloud)
● Email security gateway = idem voor email (vandaag meer op cloud) = anti-spam + file type black- or
whitelist + signaturebased anti-malware + NW sandbox + content inspection, spoof and anomaly
detection
● Sandbox = bvb om te kijken hoe email attachments zich gedragen op de sandbox (signature-based
waarbij men attachment vergelijkt met signature hashes)
● UTM Firewall = firewall in een kleinere omgeving (bvb KMO) waarbij allerlei security toestellen
gebundeld zijn in 1 toestel
● Next Generation Firewall (NGFW) = niveau hoger (application-aware) firewall die ook dingen combineert
maar iets verder gaat op applicatieniveau (throughput omlaag!)
● Data Loss Prevention (DLP) = op basis van regels nagaan of/welke data lekt
● Web application firewall = om uw web applicatie te beschermen (web security)
● Endpoint protection = malware discovery; signature-based en/of behavior-based
● Signature-based = Gebruikt hashes (imphash) om library / API names en volgorde van EXE te checken
● Behavior-based = poging om file te openen, wijzigen, verwijderen, scripting uit te voeren, network
communicatie te initiëren, logica van EXE’s te wijzigen, etc.
● Security zone = netwerksegment waarin gelijkaardige dingen thuishoren (gelijkaardige sensitiviteit); op
basis van fysieke zone of virtuele VLAN (​NAAST​ ​ELKAAR​) of segmentische cirkels (​IN​ ​ELKAAR​)
● Segmentische cirkel = netwerkzone op basis van applicatielogica (presentatie - app - DB - Admin)
● Intrusion Detection System (IDS) = hoe detecteren we dat er intrusion is (regels, types, verkeer)
● Intrusion Prevention System (IPS) = laag boven IDS om naast detectie ook iets te doen (FW sluiten bvb)
● Host-based IDS = IDS (intrusion detection system) dat naar elke individuele host luistert
● Network-based IDS = IDS dat naar het netwerk luistert (maw sensoren nodig op voldoende plaatsen)
● Misuse detection = detection op basis van signatures (niet mogelijk vooraf onbekende attacks…)
● Anomaly detection = detection op basi van AI (machine learning, deep learning…) die op basis van
regeltjes anomalieën detecteert (minder updates, onbekende attacks, maar set metrics…, false positive)
● System Integrity Verifiers (SIVs) = kritieke files in systeem monitoren om te zien of ze gewijzigd zijn of
indien een user plots root / administrator rechten krijgt
● Log File Monitor (LFM) = record van log files genereren op basis van netwerk services en die dan
monitoren voor trends en patronen dat een intrusie zouden vaststellen
● Honeypot = systeem zodanig gebouwd dat het een gemakkelijke target is voor hackers om zo attackers
te verleiden en meer te weten te komen over hun tools en technieken (maar locatie belangrijk: vb DMZ)
● Data in use / Data at endpoints = als ik recht heb om data te lezen dan OK, ​detectie ​wanneer data op
scherm wordt getoond, op USB wordt gezet, copy & paste, etc.
● Web Application Firewall (WAF) = werkt met regeltjes (ontdekken van patronen / injections / soorten
aanvallen) dmv blacklists, whitelists, heuristieken, guidelines, rulesets, …
● Security Information & Event Monitoring (SIEM) = alle info van verschillende security tools verzamelen
en tonen op een dashboard
● Least Privilege = zorg ervoor dat een ​machine of persoon​ die een rol heeft ook enkel DAT kan doen
● Minimum Attack Surface Area = zorg dat area dat interessant is voor een hacker zo minimaal mog is
● Security by Design = security niet na de feiten + separation of duties + least privilege + goede defaults +
minimum attack surface area + simpel houden (vb: meteen geaggregeerde data ipv naam/leeftijd/etc)
● Privacy by Design = privacy niet na de feiten + security by design/default + win-win principe voor alle
stakeholders + end-to-end security volgens CIA + transparantie + respect gebruikers/owner + CHANGE
● PbD strategieën = data minimization | hide | seperate | aggregate | inform | control | force | demonstrate
● Definition of Trust Boundaries = externe partners die zover meegaan in uw intern proces dat je ze beter
beschouwt als interne medewerkers en dus extra security regels voorziet
 ● Data Minimization = bepaalde data niet nodig? niet bijhouden! Maar 5 jaar nodig? geen 10 jaar
● Storage Minimization = geboortedatum + regio + leeftijd + … nodig? Of werken met gebruikersgroepen?
● Security Awareness = medewerkers attent maken: phishing, social engineering, cryptolockers, priv. acc.
● Seedless authentication = na 3 keer zelfde IP dan auto-OK, naar buitenland ander IP dus extra auth
● Configuration Management = waar zijn versies files / waar is firewallconfig / waarom config gewijzigd?
● Vulnerability Management = wat zijn onze kwetsbaarheden in systemen / NW / servers, scannen en
oplossen (te veel default wachtwoorden, servers die open staan, systemen niet up-to-date, etc).
Beginnen via ​RISKS en ASSETS
● The Onion Router TOR Network = open network voor anonieme communicatie gebaseerd op onion
routing zodat men niet kan weten wat herkomst van berichten is (onion-servers = tussenstations)
● Onion Server = tussenstations tussen afzender en bestemming
● Content Delivery Networks (CDN) = web server draait niet op 1 maar verschillende plaatsen
● OWASP Open Web Application Security Project = scores op 1) Attack Vectors 2) Weakness Prevalence
3) Weakness Detectability 4) Technical Impacts
● Injection = vermijden via WAF (Web Application Firewall)
● Salted hash = hash waar een random getalletje aan toegevoegd is

Examen: verschil tussen DPO en CISO

● DPO heeft een LOUTER adviserende, controlerende rol en GEEN uitvoerende rol of leidinggevende rol
● CISO heeft ook een adviserende rol, maar kan/zal daarnaast​ ook een uitvoerende rol hebben
(verantwoordelijkheden en taken)

Bekende attacks of aanvallen

● MELISSA: virus (1999)
● ILOVEYOU / LOVELETTER: worm (2000) - student Universiteit Philippeinen
○ Auto-copy van attachment naar iedereen in Windows Addess Book
○ Beschadigen van JPG’s en MP3’s
● STUXNET: worm (2010): controllers van PLC’s / systemen / centrifuges in industrial facilities & power
plants controleren en sturen zodanig dat die kapot gaan / veel te snel gingen draaien en kapot gingen
● REGIN HACK: quantum insert attack = de manier waarop Belgacom gehacked werd
● (PROTON MAIL: PGP end-to-end encryptie voor mails, maar zit ingebakken in browser (html, JS) dus je
moet Proton vertrouwen (veilig???))
● APT = Advanced Persistent Threat: Langdurige en doelbewuste cyberaanval waarbij een een
onbevoegd persoon onopgemerkt en langdurig toegang krijgt tot een netwerk om zo gegevens te stelen
van een land of organisatie. Men gaat ervan uit dat het iets heel moeilijk is, geen simpele malware (veel
tijd en geld in gespendeerd)

Hoe zorgen dat wireless toegang op intern netwerk zit?

● Wireless toegang VOOR de interne firewall (aan de kant van Internet ipv private NW) zodat je extra
regels kan toevoegen welk verkeer er is toegelaten
Wat is een goede mitigation techniek voor DDOS attacks​?
● Zorg dat je een degelijke ​Cloud Mitigation Provider ​hebt. Alle verkeer moet eerst via daar passeren en
die beslist wat ermee gebeurt.
Verschil tussen Event en Incident
● Event = waarneembaar gebeuren in een systeem of NW
● Incident = threat tegen security policies, acceptable use policies of security praktijken (bedoelde of
onbedoelde ongeoorloofde toegang, gebruik / wijziging / verlies van informatie, interactie…)

Incident Response Plan Fases Incident Mgt Guide NIST

1. Preparation 1. Preparation
2. Incident Detection & Identification 2. Detection & Analysis
3. Investigation
4. Containment, Mitigation & Recovery 3. Containment, Eradication & Recovery
5. Post-incident Analysis, Prepare for future Incidents 4. Post-incident Activity