Data Beveiliging en CIA-Driehoek

Questions and Answers

Welke aanvalstechniek is het meest geschikt om toegang te krijgen tot gevoelige informatie via een openbaar wifi-netwerk?

Dumpster diving

Tailgating

Sniffing (correct)

Impersonation

Welke aanvalstechniek is een voorbeeld van een 'social engineering' aanval?

Shoulder surfing (correct)

Code injections

Rogue access point

Zero-day attack

Welke aanvalstechniek richt zich specifiek op het overschrijden van de geheugenruimte toegewezen aan een programma?

Cross-site scripting

Scareware

Remote Code Executions

Buffer overflow (correct)

Welke techniek wordt gebruikt om de zoekresultaten van een zoekmachine te manipuleren om gebruikers naar kwaadaardige websites te leiden?

SEO poisoning

Welke aanvalstechniek maakt gebruik van een 'spoofed' email om gebruikers te misleiden om gevoelige informatie te delen?

Phishing

Welke aanvalstechniek wordt vaak gebruikt om netwerkservices onbereikbaar te maken?

Distributed Denial-of-Service attack

Welke van onderstaande is een effectieve manier om tegen aanvallen als 'zero-day attacks' te beschermen?

Regelmatig software-updates uitvoeren

Welke term verwijst naar een langdurige en doelgerichte aanval, vaak gericht op landen of organisaties?

APT

Wat zijn enkele redenen waarom hackers gegevens misbruiken?

Geld en politiek

Welke staat van data kan verloren gaan of gestolen worden?

In rust/opslag

Wat is een voorbeeld van een methode voor geheimhouding in de CIA-driehoek?

Encryptie

Waarom is een lang wachtwoord beter dan een complex wachtwoord?

Langere wachtwoorden zijn moeilijker te kraken.

Wat kan helpen om je account te beschermen tegen ongeoorloofde toegang?

Het inschakelen van tweefactor-authenticatie

Wat is de rol van een hashfunctie in de CIA-driehoek?

Het verifiëren van de integriteit van gegevens

Welke van de volgende maatregelen helpt bij het waarborgen van de beschikbaarheid van informatiesystemen?

Back-ups

Waarom is wetgeving moeilijk toe te passen op technologie?

Technologische ontwikkelingen gaan snel.

Wat is de belangrijkste reden voor de invoering van NIS 2?

Het bevorderen van samenwerking tussen lidstaten bij grote cyberbedreigingen.

Welke van de volgende opties zijn kenmerken van een 'white hat' hacker?

Ze proberen zwakke punten in beveiligingssystemen te ontdekken om deze te verbeteren.

Wat is 'social engineering' in de context van cybersecurity?

Het manipuleren van mensen om vertrouwelijke informatie te onthullen.

Welke van de volgende opties is een voorbeeld van 'phishing'?

Een nep-website die eruitziet als een bekende bank om inloggegevens te stelen.

Wat is de belangrijkste functie van de GDPR (General Data Protection Regulation)?

Het beschermen van de privacy van burgers in de EU.

Welke van de volgende opties is geen onderdeel van de 'ISM-normen'?

Standaarden voor het ontwikkelen van nieuwe cyberaanvallen.

Waarom is BYOD ('Bring Your Own Device') een cybersecurityrisico?

Alle bovenstaande opties zijn correct.

Welke malware-categorie omvat software die wachten op een specifieke trigger om te activeren?

Logic bomb

Wat is 'typosquatting' in de context van cybersecurity?

Het aanmaken van een valse website met een vergelijkbare URL als een legitieme website.

Welke van de volgende organisaties is geen internationale organisatie die zich bezighoudt met computercriminaliteit?

FCCU

Wat is de definitie van 'Big Data' in de context van cybersecurity?

Gegevens die groot, complex en snel groeien.

Welke van de volgende opties beschrijft geen bedreiging voor de cybersecurity van een organisatie?

Een nieuwe versie van een beveiligingssoftware.

Waarom is het belangrijk om cyberbedreigingen te delen en samen te werken?

Om de veiligheid van alle systemen te verbeteren.

Welke van de volgende opties is geen manier om een ​​computersysteem te beveiligen tegen cyberaanvallen?

Het gebruik van een creditcard om online te betalen.

Welk van de volgende normen stelt standaard voor de veiligheid van data?

ISO/IEC

Wat is het grootste gevaar van 'intern' gepleegde aanvallen?

De aanvallers hebben meer toegang.

Study Notes

Data, het virtuele goud

• Hackers richten zich op persoonlijke en industriële data voor geld, politieke doeleinden, verveling, wraak, aanzien, enzovoort.
• Bedrijven zijn verantwoordelijk voor de beveiliging van de data die ze verzamelen.
• Data heeft drie staten:
  • In rust (opslag): Locaal of op afstand, kwetsbaar voor verlies of diefstal.
  • Verzending: Via fysieke media (USB), bedraad, of draadloos (kwetsbaar voor afluisteren en manipulatie).
  • Verwerking: Fouten kunnen data corrumperen.
• De CIA-driehoek:
  • Confidentiality: Vertrouwelijkheid (wie mag de data zien?), beveiligd via encryptie, authenticatie en toegangscontrole.
  • Integrity: Integriteit (juiste data?), gecontroleerd via hashfuncties.
  • Availability: Beschikbaarheid (data bereikbaar wanneer nodig?), via redundantie, back-ups, enz.
• Wachtwoorden: Lange, unieke wachtwoorden en twee-factor authenticatie (2FA) zijn belangrijk. Gebruik een password manager.
• Tijdsvertraging na foutieve inlogpogingen versterkt de beveiliging.

Een wereld van experts en criminelen

• Wetgeving kan achterlopen bij technologische ontwikkelingen.
• Hacking is illegaal, maar rapporteren van bugs is niet illegaal.
• NIS (Network and Information Security Directive): EU-wetgeving over cybersecurity (2016, 2023).
  • Meer organisaties en sectoren moeten werken aan cybersecurity.
  • Toezicht op naleving van de wet.
• NIST (National Institute of Standards and Technology): Framework voor cybersecurity.
• ISO/IEC cybersecuritymodel: Standaard voor databeveiliging.
• Hackers:
  • White hat: Zoeken naar kwetsbaarheden om beveiliging te verbeteren.
  • Gray hat: Doen wat hen het beste uitkomt.
  • Black hat: Zoeken naar persoonlijke winst.
  • Script kiddies: Beginners die hacken als grap.
  • State-sponsored hackers: Doelen zijn landen of terroristische organisaties.
• Verdedigen is moeilijker dan aanvallen, methodes om te verdedigen:
  • Vulnerability databases: Databases met bekende aanvalmethoden.
  • Early warning systems: Systemen voor snelle meldingen.
  • Delen van cyberdreigingsinformatie.
  • ISM-normen: Standaarden voor beveiligingsmaatregelen in bedrijven.
  • Samenwerking tussen cyberspecialisten en collega's (bv. het Centrum voor Cybersecurity België).
  • Conferenties en wedstrijden.
• Organisaties tegen computermisdaad: Nationaal en internationaal (bijvoorbeeld FCCU, Europol).
• GDPR (General Data Protection Regulation): Europese wet voor privacybescherming (in Nederland: AVG).
• Verantwoordelijke gegevensverzameling:
  • Duidelijk doel.
  • Noodzakelijke gegevens.
  • Beperkte duur.
  • Toestemming (duidelijk, intrekbaar, zonder negatieve gevolgen).
  • Gegevensbeschermingsautoriteit voor klacht.

Bedreigingen, aanvallen en kwetsbaarheden

• Interne en externe aanvallen:
  • Interne: Meer schade mogelijk.
  • Externe: Misbruik van kwetsbaarheden of social engineering.
• BYOD (Bring Your Own Device): Gevaar van verouderde of ongeüpdatete devices.
• IoT (Internet of Things): Toenemend aantal apparaten en enorme hoeveelheid data die beveiliging vereist.
• Big data: Volume, variety, velocity als uitdagingen.
• Federatief Identiteitsbeheer: Automatisch delen van identiteitsinformatie over verschillende systemen.
• Verschillende soorten malware:
  • Virussen, wormen, trojans, logic bombs, ransomware, backdoors, rootkits, keyloggers.
• Andere technieken:
  • Social engineering, phishing, pretexting, vishing, quishing, cat phishing, spear phishing, whaling, typosquatting, shoulder surfing, dumpster diving, impersonation, tailgating.
• E-mail- en browseraanvallen:
  • SEO poisoning, browser hijacking, spam, hoaxes, spyware, adware, scareware, DDoS, sniffing, spoofing, MITM, rogue access point.
• Applicatie-aanvallen:
  • Zero-day attacks, XSS (Cross-site scripting), code injections, buffer overflows, RCE (Remote Code Execution).
• Preventie van aanvallen:
  • Stabiele code.
  • User input als vijandig beschouwen.
  • Regelmatig updates.
• APT (Advanced Persistent Threat): Doelgerichte, langdurige aanvallen.
• Veiligheidsmaatregelen zijn belangrijk

Description

Test je kennis over databeveiliging en de CIA-driehoek. Leer hoe persoonlijke en industriële data kwetsbaar zijn in verschillende staten en ontdek de belangrijkste beveiligingsmaatregelen zoals encryptie en wachtwoorden. Dit quiz helpt je de basisprincipes van gegevensbescherming te begrijpen.