Data Beveiliging en CIA-Driehoek

Questions and Answers

Welke aanvalstechniek is het meest geschikt om toegang te krijgen tot gevoelige informatie via een openbaar wifi-netwerk?

• Dumpster diving
• Tailgating
• Sniffing (correct)
• Impersonation

Welke aanvalstechniek is een voorbeeld van een 'social engineering' aanval?

• Shoulder surfing (correct)
• Code injections
• Rogue access point
• Zero-day attack

Welke aanvalstechniek richt zich specifiek op het overschrijden van de geheugenruimte toegewezen aan een programma?

• Cross-site scripting
• Scareware
• Remote Code Executions
• Buffer overflow (correct)

Welke techniek wordt gebruikt om de zoekresultaten van een zoekmachine te manipuleren om gebruikers naar kwaadaardige websites te leiden?

SEO poisoning (D)

Welke aanvalstechniek maakt gebruik van een 'spoofed' email om gebruikers te misleiden om gevoelige informatie te delen?

Phishing (B)

Welke aanvalstechniek wordt vaak gebruikt om netwerkservices onbereikbaar te maken?

Distributed Denial-of-Service attack (C)

Welke van onderstaande is een effectieve manier om tegen aanvallen als 'zero-day attacks' te beschermen?

Regelmatig software-updates uitvoeren (B)

Welke term verwijst naar een langdurige en doelgerichte aanval, vaak gericht op landen of organisaties?

APT (B)

Wat zijn enkele redenen waarom hackers gegevens misbruiken?

Geld en politiek (C)

Welke staat van data kan verloren gaan of gestolen worden?

In rust/opslag (A)

Wat is een voorbeeld van een methode voor geheimhouding in de CIA-driehoek?

Encryptie (D)

Waarom is een lang wachtwoord beter dan een complex wachtwoord?

Langere wachtwoorden zijn moeilijker te kraken. (A)

Wat kan helpen om je account te beschermen tegen ongeoorloofde toegang?

Het inschakelen van tweefactor-authenticatie (D)

Wat is de rol van een hashfunctie in de CIA-driehoek?

Het verifiëren van de integriteit van gegevens (A)

Welke van de volgende maatregelen helpt bij het waarborgen van de beschikbaarheid van informatiesystemen?

Back-ups (A)

Waarom is wetgeving moeilijk toe te passen op technologie?

Technologische ontwikkelingen gaan snel. (A)

Wat is de belangrijkste reden voor de invoering van NIS 2?

Het bevorderen van samenwerking tussen lidstaten bij grote cyberbedreigingen. (D)

Welke van de volgende opties zijn kenmerken van een 'white hat' hacker?

Ze proberen zwakke punten in beveiligingssystemen te ontdekken om deze te verbeteren. (C)

Wat is 'social engineering' in de context van cybersecurity?

Het manipuleren van mensen om vertrouwelijke informatie te onthullen. (D)

Welke van de volgende opties is een voorbeeld van 'phishing'?

Een nep-website die eruitziet als een bekende bank om inloggegevens te stelen. (B)

Wat is de belangrijkste functie van de GDPR (General Data Protection Regulation)?

Het beschermen van de privacy van burgers in de EU. (D)

Welke van de volgende opties is geen onderdeel van de 'ISM-normen'?

Standaarden voor het ontwikkelen van nieuwe cyberaanvallen. (B)

Waarom is BYOD ('Bring Your Own Device') een cybersecurityrisico?

Alle bovenstaande opties zijn correct. (C)

Welke malware-categorie omvat software die wachten op een specifieke trigger om te activeren?

Logic bomb (D)

Wat is 'typosquatting' in de context van cybersecurity?

Het aanmaken van een valse website met een vergelijkbare URL als een legitieme website. (B)

Welke van de volgende organisaties is geen internationale organisatie die zich bezighoudt met computercriminaliteit?

FCCU (B)

Wat is de definitie van 'Big Data' in de context van cybersecurity?

Gegevens die groot, complex en snel groeien. (C)

Welke van de volgende opties beschrijft geen bedreiging voor de cybersecurity van een organisatie?

Een nieuwe versie van een beveiligingssoftware. (B)

Waarom is het belangrijk om cyberbedreigingen te delen en samen te werken?

Om de veiligheid van alle systemen te verbeteren. (A)

Welke van de volgende opties is geen manier om een ​​computersysteem te beveiligen tegen cyberaanvallen?

Het gebruik van een creditcard om online te betalen. (B)

Welk van de volgende normen stelt standaard voor de veiligheid van data?

ISO/IEC (C)

Wat is het grootste gevaar van 'intern' gepleegde aanvallen?

De aanvallers hebben meer toegang. (D)

Flashcards

Data

Het doelwit van hackers om toegang tot te krijgen. Dit kan persoonlijke informatie zijn, zoals bankgegevens of medische gegevens, of bedrijfsgegevens, zoals plannen of financiële gegevens.

Data in rust

Deze staat van data beschrijft de data die wordt gebruikt in opslag, inclusief lokale en externe opslag. Deze data kan verloren gaan of gestolen worden.

Data verzending

Deze staat van data beschrijft de data die verzonden wordt, bijvoorbeeld via USB sticks, kabels of draadloze netwerken. Deze data kan worden afgeluisterd, aangepast of verstoord.

Data verwerking

Deze staat van data beschrijft de in de gang zijnde verwerking van data. Tijdens deze bewerking kan de data corrupt raken.

Confidentiality

Zorgt ervoor dat informatie niet in de verkeerde handen valt. Denk aan encryptie, authenticatie en toegangscontrole.

Integrity

Zorgt ervoor dat informatie juist en betrouwbaar is. Dit wordt vaak bereikt met een hashfunctie.

Availability

Zorgt ervoor dat informatiesystemen op elk moment bereikbaar zijn. Dit kan worden gegarandeerd door redundantie, back-ups en verhoogde weerstand.

CIA-driehoek

Deze driehoek omvat de belangrijkste beveiligingsprincipes voor data: Confidentiality, Integrity en Availability.

Zero-day aanval

Een aanval die gebruik maakt van een software-fout die nog niet bekend is bij de ontwikkelaars.

Sniffing

Het afluisteren van network-traffic, waardoor gevoelige informatie kan worden onderschept.

Rogue access point

Een aanval waarbij een apparaat, meestal draadloos, zich voordoet als een betrouwbaar toegangspunt om gebruikers te misleiden.

Cross-site scripting (XSS)

Een type cyberaanval waarbij scripts worden aangepast op een webpagina, waardoor slachtoffers kwaadaardige code kunnen uitvoeren.

Buffer overflow

Een aanval die gebruik maakt van een overschrijding van de geheugenruimte van applicaties, waardoor crashes of dataverlies kan optreden.

Remote Code Execution (RCE)

Een aanval waarbij een aanvaller toegang krijgt tot de computer van een gebruiker om kwaadaardige code uit te voeren.

SEO poisoning

Het misbruiken van Search Engine Optimization om kwaadaardige websites hoog in de zoekresultaten te laten verschijnen.

APT (Advanced Persistent Threat)

Een langdurige en grootschalige, doelgerichte aanval gericht op landen of organisaties.

NIS

De eerste EU-brede wetgeving rond cybersecurity, ingevoerd in 2016.

NIS 2

Een update van de NIS-wetgeving, die meer verduidelijking biedt en organisaties verplicht om meer met cybersecurity bezig te zijn.

NIST

Een framework dat bedrijven helpt om cybersecurityspecialisten in te schakelen.

ISO/IEC Cybersecurity Model

Een standaard voor de veiligheid van data, ontwikkeld door ISO en IEC.

White hat hackers

Hackers die kwetsbaarheden zoeken om de beveiliging te verbeteren.

Gray hat hackers

Hackers die hun eigen regels volgen, soms goeds doen maar ook eigen gewin nastreven.

Black hat hackers

Hackers die met kwaadaardige bedoelingen werken om persoonlijk gewin te behalen.

Scriptkiddies

Teenagers of hobbyisten die weinig tot geen vaardigheid hebben, maar cyberaanvallen als grap uitvoeren.

State sponsored hackers

Hackers die door een overheid worden ingehuurd om geheimen te stelen, informatie te verzamelen of netwerken te saboteren. Ze richten zich vaak op buitenlandse of terroristische organisaties.

Vulnerability Databases

Publieke databases met informatie over gekende aanvalmethodes om bedrijven te helpen zich te beschermen.

Early Warning Systems

Systemen die vroegtijdig waarschuwingen geven over dreigingen.

Share cyberthreat intelligence

Het delen van cyber-intelligentie tussen organisaties om bedreigingen sneller te detecteren en te bestrijden.

ISM-normen

Standaarden en normen voor beveiligingsmaatregelen binnen een bedrijf.

GDPR

De Europese wet voor bescherming van privacy, ook bekend als AVG in België en Nederland.

Study Notes

Data, het virtuele goud

• Hackers richten zich op persoonlijke en industriële data voor geld, politieke doeleinden, verveling, wraak, aanzien, enzovoort.
• Bedrijven zijn verantwoordelijk voor de beveiliging van de data die ze verzamelen.
• Data heeft drie staten:
  • In rust (opslag): Locaal of op afstand, kwetsbaar voor verlies of diefstal.
  • Verzending: Via fysieke media (USB), bedraad, of draadloos (kwetsbaar voor afluisteren en manipulatie).
  • Verwerking: Fouten kunnen data corrumperen.
• De CIA-driehoek:
  • Confidentiality: Vertrouwelijkheid (wie mag de data zien?), beveiligd via encryptie, authenticatie en toegangscontrole.
  • Integrity: Integriteit (juiste data?), gecontroleerd via hashfuncties.
  • Availability: Beschikbaarheid (data bereikbaar wanneer nodig?), via redundantie, back-ups, enz.
• Wachtwoorden: Lange, unieke wachtwoorden en twee-factor authenticatie (2FA) zijn belangrijk. Gebruik een password manager.
• Tijdsvertraging na foutieve inlogpogingen versterkt de beveiliging.

Een wereld van experts en criminelen

• Wetgeving kan achterlopen bij technologische ontwikkelingen.
• Hacking is illegaal, maar rapporteren van bugs is niet illegaal.
• NIS (Network and Information Security Directive): EU-wetgeving over cybersecurity (2016, 2023).
  • Meer organisaties en sectoren moeten werken aan cybersecurity.
  • Toezicht op naleving van de wet.
• NIST (National Institute of Standards and Technology): Framework voor cybersecurity.
• ISO/IEC cybersecuritymodel: Standaard voor databeveiliging.
• Hackers:
  • White hat: Zoeken naar kwetsbaarheden om beveiliging te verbeteren.
  • Gray hat: Doen wat hen het beste uitkomt.
  • Black hat: Zoeken naar persoonlijke winst.
  • Script kiddies: Beginners die hacken als grap.
  • State-sponsored hackers: Doelen zijn landen of terroristische organisaties.
• Verdedigen is moeilijker dan aanvallen, methodes om te verdedigen:
  • Vulnerability databases: Databases met bekende aanvalmethoden.
  • Early warning systems: Systemen voor snelle meldingen.
  • Delen van cyberdreigingsinformatie.
  • ISM-normen: Standaarden voor beveiligingsmaatregelen in bedrijven.
  • Samenwerking tussen cyberspecialisten en collega's (bv. het Centrum voor Cybersecurity België).
  • Conferenties en wedstrijden.
• Organisaties tegen computermisdaad: Nationaal en internationaal (bijvoorbeeld FCCU, Europol).
• GDPR (General Data Protection Regulation): Europese wet voor privacybescherming (in Nederland: AVG).
• Verantwoordelijke gegevensverzameling:
  • Duidelijk doel.
  • Noodzakelijke gegevens.
  • Beperkte duur.
  • Toestemming (duidelijk, intrekbaar, zonder negatieve gevolgen).
  • Gegevensbeschermingsautoriteit voor klacht.

Bedreigingen, aanvallen en kwetsbaarheden

• Interne en externe aanvallen:
  • Interne: Meer schade mogelijk.
  • Externe: Misbruik van kwetsbaarheden of social engineering.
• BYOD (Bring Your Own Device): Gevaar van verouderde of ongeüpdatete devices.
• IoT (Internet of Things): Toenemend aantal apparaten en enorme hoeveelheid data die beveiliging vereist.
• Big data: Volume, variety, velocity als uitdagingen.
• Federatief Identiteitsbeheer: Automatisch delen van identiteitsinformatie over verschillende systemen.
• Verschillende soorten malware:
  • Virussen, wormen, trojans, logic bombs, ransomware, backdoors, rootkits, keyloggers.
• Andere technieken:
  • Social engineering, phishing, pretexting, vishing, quishing, cat phishing, spear phishing, whaling, typosquatting, shoulder surfing, dumpster diving, impersonation, tailgating.
• E-mail- en browseraanvallen:
  • SEO poisoning, browser hijacking, spam, hoaxes, spyware, adware, scareware, DDoS, sniffing, spoofing, MITM, rogue access point.
• Applicatie-aanvallen:
  • Zero-day attacks, XSS (Cross-site scripting), code injections, buffer overflows, RCE (Remote Code Execution).
• Preventie van aanvallen:
  • Stabiele code.
  • User input als vijandig beschouwen.
  • Regelmatig updates.
• APT (Advanced Persistent Threat): Doelgerichte, langdurige aanvallen.
• Veiligheidsmaatregelen zijn belangrijk

Description

Test je kennis over databeveiliging en de CIA-driehoek. Leer hoe persoonlijke en industriële data kwetsbaar zijn in verschillende staten en ontdek de belangrijkste beveiligingsmaatregelen zoals encryptie en wachtwoorden. Dit quiz helpt je de basisprincipes van gegevensbescherming te begrijpen.