ID: S202604111253
Status: school
Tags: Cybersecurity, Avans

Avans 2-2 Keuzenmodule

Voor deze keuzenmodule kon je kiezen welke je neemt. Ik nam de cybersecurity Module, en dit is wat er allemaal aan bod kwam:

1. Wettelijk Kader & Naleving

Wettelijke Vereisten

Wbni
De Wbni is de Wet beveiliging netwerk- en informatiesystemen.

AVG en GDPR
De AVG is de Algemene verordening gegevensbescherming.
De GDPR is de General Data Protection Regulation.
Deze twee zijn het zelfde.

EU Cybersecurity Act
The Cybersecurity Act strengthens the EU Agency for Cybersecurity (ENISA) and establishes a cybersecurity certification framework for products and services.

Wet computercriminaliteit III
Dit wetsvoorstel versterkt in het wetboek van Strafrecht (Sr) en het wetboek van Strafvordering (Sv) de opsporing en vervolging van computercriminaliteit.

UAVG
Dit wetsvoorstel regelt de uitvoering van de AVG. Dit heeft extra toevoeging op landelijk niveau.

NIS2
De NIS2-richtlijn stelt een uniform rechtskader vast om de cyberbeveiliging in 18 kritieke sectoren in de hele EU te handhaven. Het roept de lidstaten ook op nationale cyberbeveiligingsstrategieën vast te stellen en met de EU samen te werken voor grensoverschrijdende reactie en handhaving.

CRA
De CRA is de Cyber Resilience Act.

DORA
De DORA is de Digital Operational Resilience Act.

Regelgevende Instanties

Rijksinspectie Digitale Infrastructuur
Zij houden toezicht op de veiligheid van de Nederlandse digitale infrastructuur en handhaven de regels uit de Wbni en de NIS2-richtlijn.

National Cyber Security Centre
Dit centrum deelt informatie over digitale dreigingen en coördineert de aanpak bij grootschalige cyberaanvallen op de vitale infrastructuur en de overheid.

Autoriteit Persoonsgegevens
De Nederlandse toezichthouder op de privacy. Zij behandelen meldingen van datalekken waarbij persoonsgegevens betrokken zijn en zien toe op de naleving van de AVG.

Compliance & Auditing

Compliance
Compliance is het voldoen aan en naleven van wettelijke eisen, regelgeving, beleid en standaarden die van toepassing zijn op een organisatie. Dit omvat: wetten en verordeningen (AVG/GDPR, Wbni, NIS2, CRA, DORA), internationale standaarden (ISO/IEC 27001, NIST), contractuele verplichtingen (SLA’s, DPA’s), en intern beleid. Compliance wordt geverifieerd door audits, controles en monitoring.

Audit
Een Audit is een onafhankelijk, systematisch onderzoek van processen, systemen, controles en naleving met betrekking tot vastgestelde normen, beleid of regelgeving. In beveiligingscontext omvat audits:

• Interne audits: Uitgevoerd door medewerkers van de organisatie zelf om naleving van beleid en standaarden te controleren
• Externe audits: Uitgevoerd door onafhankelijke derden (bijvoorbeeld voor ISO/IEC 27001 certificering)
• Compliance audits: Gericht op naleving van wettelijke eisen (AVG, Wbni, NIS2)
• Security audits: Gericht op technische en organisatorische beveiligingsmaatregelen

Audits verzamelen bewijs, identificeren afwijkingen, documenteren bevindingen en dragen aanbevelingen aan. Audits zijn essentieel voor de Check-fase van PDCA en helpen organisaties hun ISMS en beveiligingsposture continu te verbeteren. Regelmatige audits vormen een verplicht onderdeel van veel compliance frameworks.

2. Organisatiestructuur & Rollen

Bedrijfs Rollen

Chief Information Security Officer (CISO)
Een leidinggevende positie in een organisatie met brede verantwoordelijkheden op het gebied van informatiebeveiliging en risicomanagement. Hier zijn de kernaspecten:

• Informatiebeveiliging
• Risicomanagement
• Compliance
• Beleid
• Incident response
• Teamleiding

Systeem Beheerder
die verantwoordelijk is voor het beheer, onderhoud en de beveiliging van de IT-infrastructuur, zoals servers, netwerken en werkstations.

Leiderschap & Organisatieculuur

Vormen van situationeel leiderschap
Situationeel leiderschap is een leiderschapsstijl waarbij de leider flexibel hun aanpak aanpast aan de volwassenheid en competentie van medewerkers en de specifieke situatie. Dit omvat typisch vier stijlen:

• Directief leiderschap: Hoge taakgerichtheid, lage relatiegerichtheid; geschikt voor onervaren of onmotiveerde medewerkers
• Coachend leiderschap: Hoge taakgerichtheid, hoge relatiegerichtheid; geschikt voor medewerkers die willen groeien maar ondersteuning nodig hebben
• Ondersteunend leiderschap: Lage taakgerichtheid, hoge relatiegerichtheid; geschikt voor competente maar minder gemotiveerde medewerkers
• Delegatief leiderschap: Lage taakgerichtheid, lage relatiegerichtheid; geschikt voor zeer competente en gemotiveerde medewerkers

Dit is relevant in cybersecurity teams waar verschillende specialisten verschillende niveaus van autonomie en begeleiding nodig hebben. Een effectieve CISO past hun leiderschapsstijl aan de situatie aan.

Key Behaviour Components
Key Behaviour Components zijn kerngedragselementen die cruciaal zijn voor effectief leiderschap en teamfunctionering, vooral in crisissituaties zoals cyberincidenten. De drie hoofdcomponenten zijn:

• Be Transparent: Open communicatie over situatie, beslissingen en gevolgen; vertrouwen opbouwen door eerlijkheid
• Act with Urgency: Snelle besluitvorming en actie nemen zonder paralysering; prioriteiten stellen en handelen wanneer nodig
• Follow your Values: Ethisch handelen en principieel blijven onder druk; niet afwijken van kernwaarden voor snelheid of gemak
• Sharing Power: Sterke mensen om je heen hebben die je vertrouwt, die mee kunnen denken en verantwoordelijkheid kunnen oppakken; geen one-man-show maar een sterk team

Deze componenten zijn essentieel voor incident response leiderschap, risicobeheer en crisismanagement.

Bedrijfs cultuur
Bedrijfscultuur is het geheel van waarden, normen, overtuigingen en gedragspatronen die in een organisatie heersen. Dit is als een ijsberg of ui met meerdere lagen: zichtbare elementen (structuur, processen) bovenop, waarden en normen in het midden, en diepere overtuigingen eronder. Cultuur is onlosmakelijk verbonden met organisatiestructuur. Het meekrijgen van mensen in cybersecurity-initiatieven hangt sterk af van hun overtuigingen en of dit aansluit bij de heersende cultuur. Cultuur kan worden aangepast, maar dit duurt lang. Bij het implementeren van een ISMS is het essentieel te weten welke cultuur heerst zodat je passende beveiligingsmaatregelen (controls) kunt kiezen.

Soft Controls
Soft controls zijn maatregelen die genomen kunnen worden in een organisatie om er voor te zorgen dat er een andere bedrijfscultuur gaat heersen.

3. Risicobeheer Methoden & Concepten

Risicoanalyse Technieken

Risicoanalyse
Bij een risicoanalyse breng je alle mogelijke risico’s van een project in kaart. Dit kan je doen aan de hand van een risicomatrix. Je kijkt tijdens een risicoanalyse vooral naar het totaalplaatje van een risico: Kans x Effect x Blootstelling.

Risicomatrix
Een risicomatrix is een tabel waarin je Kans x Effect tegenover elkaar zet, nadenkt over de menselijke impact, de financiële impact en de juridische impact tegenover de kans. Hierover komt een score. En deze scores geef je ook een kleur. Vanuit een risicomatrix werk je verder om een plan op te stellen om de zware risico’s te mitigeren.

MAPGOOD-model
MAPGOOD is een andere methode voor een risicoanalyse. MAPGOOD is erop gericht om risico’s vanuit verschillende invalshoeken te benaderen. MAPGOOD hanteert daarbij de volgende invalshoeken:

• Mens
• Apparatuur
• Programmatuur
• Gegevens
• Organisatie
• Omgeving
• Diensten

Laten we kijken naar mens als voorbeeld: Je moet hierbij bijvoorbeeld denken aan de gebruikers zelf, applicatiebeheerders en functioneel beheerders. Er wordt gekeken naar het mogelijk wegvallen van mensen, het onopzettelijk foutief handelen van mensen en het opzettelijk foutief handelen van mensen.
Link: Normity.nl

Risicobenadering & Strategie

Risicobenadering
Een risicobenadering is een methodische aanpak voor risicobeheersing waarbij risico’s worden geïdentificeerd, geanalyseerd, geëvalueerd en behandeld op basis van hun impact en waarschijnlijkheid. Dit omvat het opstellen van een risicomatrix, het toewijzen van scores, en het bepalen van welke risico’s moeten worden gemitigeerd, geaccepteerd, vermeden of overgedragen. De risicobenadering is systematisch, data-gedreven en gericht op het totaalplaatje van bedrijfsrisico’s (Kans x Effect x Blootstelling). Waar blootstelling staat voor het aantal keer (bijvoorbeeld per dag) je wordt blootgesteld aan het risico.

Scenario Benadering
Een scenario benadering is een aanpak waarbij je hypothetische situaties of crisissituaties uitwerkt om beter voorbereiding en respons te plannen. Dit omvat het beschrijven van realistische aanvalsscenario’s, rampen of incidenten, en vervolgens stap voor stap bepalen hoe je organisatie zou reageren, welke resources nodig zijn, en wat er beter kan. Scenario’s helpen teams crisisomstandigheden beter te begrijpen, zwakke punten in processen bloot te leggen en training uit te voeren. Scenario benadering is praktischer en meer hands-on dan een abstracte risicobenadering, maar kan minder volledig zijn. Scenario’s worden gebruikt in crisisplannen, BCM-oefeningen en red team oefeningen.

Risico management strategy
Een Risicomanagement Strategy is een overkoepelend plan dat bepaalt hoe een organisatie risico’s structureel identificeert, analyzeert, evalueert en beheerst. Dit omvat:

• Definiëren van risicodoelstellingen en risicoappetijt (hoeveel risico accepteert de organisatie?)
• Keuze voor risicobenadering en/of scenario benadering
• Implementatie van risicocontroles, monitoring en rapportage van risicoposture
• Regelmatige review en verbetering

Een risicomanagement strategy is vaak vastgelegd in beleid en procedures en vormt de basis van het ISMS. De strategie bepaalt of een organisatie risico’s proactief aanpakt of reactief, en of meer budget wordt geïnvesteerd in preventie, detectie of response. Een goed uitgewerkte strategie zorgt ervoor dat risicobeslissingen consistent en aligned zijn met bedrijfsdoelen.

Conceptuele Modellen

Hack Driehoek
De Hack Driehoek is een conceptueel model dat de drie essentiële voorwaarden voor een succesvolle cyberaanval beschrijft, analoog aan de branddriehoek (waarbij zuurstof, brandstof en ontsteking nodig zijn). De drie hoeken van de Hack Driehoek zijn:

• Motive (Motief): De reden waarom een aanvaller het doet (financieel gewin, politieke doeleinden, wraak, spionage)
• Means (Middelen): De technische vaardigheden, tools en kennis om aan te vallen (exploit-kits, malware, programmeerkennis)
• Opportunity (Gelegenheid): De mogelijkheid om aan te vallen (kwetsbaarheden, onvoldoende beveiligingsmaatregelen, toegangskanalen)

Als één hoek ontbreekt, kan de aanval niet plaatsvinden. Dit model helpt organisaties beveiligingsmaatregelen prioriteren: als je kwetsbaarheden (opportunity) elimineert, maakt het voor aanvallers niet uit of ze motief en middelen hebben. Dit concept is waardevol voor threat modeling en risicobeheer.

4. Business Continuïteit & Crisismanagement

Crisis Management

Crisisplan / Crisis Management plan
Een crisisplan is een groot plan waarin je op zoek gaat naar risico’s, en je er op voorbereidt.

1. Je identificeert je crisisleiderschapsteam
2. Beoordeel het risico
3. Bepaal gevolgen voor het bedrijf
4. Plan de reactie
5. Maak het plan robuust
6. Update het plan

Een crisisplan moet het volgende bevatten:

• Risicoanalyse
• Activeringsprotocol
• Contacten voor noodgevallen
• Reactieprocedures
• Strategie voor externe crisiscommunicatie
• Evaluatie na de crisis

Link: Asana.com

Business Continuity Management

Business Continuity Management (BCM)
BCM is het overkoepelende managementproces dat ervoor zorgt dat een organisatie bestand is tegen rampen en verstoringen. Het is niet zomaar een document, maar een cyclisch proces dat continu wordt verbeterd.
BCM bestaat uit meerdere fasen:

1. Strategische fase: Bepalen van BCM-doelstellingen en risicobeleid
2. BIA (Business Impact Analyse): Identificeren van kritieke processen en impacts
3. BCP (Business Continuity Plan): Uitwerken van concrete maatregelen en procedures
4. Implementatie: Trainen van personeel en inbedding in organisatie
5. Testen en oefenen: Regelmatig valideren of alles werkt
6. Onderhoud: Bijwerken van plannen als zaken veranderen

Link: Wikipedia.org

Business Continuity Plan (BCP)
Een set aan documenten die preventief worden uitgewerkt om in geval van ramp een organisatie toe te laten zijn kritieke diensten te blijven leveren op een vooraf bepaald aanvaardbaar niveau binnen een bepaalde tijd.
Een BCP is een belangrijk onderdeel van het BCM van een organisatie. In een BCP zit een BIA. Aan de hand van het BIA ga je een stappenplan uitwerken voor verschillende crisissituaties. Een BCP is dus het praktische uitvoeringsdocument van BCM, gebaseerd op inzichten uit het BIA.
Link: Wikipedia.org

Business Impact Analyse (BIA)
Een systematische analyse waarbij kritieke bedrijfsprocessen, hun afhankelijkheden en potentiële impacts worden geïdentificeerd en gekwantificeerd. De BIA bepaalt welke systemen en diensten prioriteit hebben bij herstel na een ramp. Tijdens een BIA worden belangrijke parameters vastgesteld zoals:

• RTO (Recovery Time Objective): maximale tijd tot herstel van een dienst
• RPO (Recovery Point Objective): maximaal aanvaardbaar gegevensverlies
• MTD (Maximum Tolerable Downtime): maximale onderbrekingsduur

De BIA vormt de informatiebasis voor het BCM en dient als input voor de BCP. Zonder BIA kunnen prioriteiten niet goed worden bepaald en kunnen resources inefficiënt worden ingezet.
Link: Wikipedia.org

Incident Cycle

Incidentcyclus
De Incidentcyclus beschrijft de circulaire stappen die plaats vinden bij cyberincidenten en rampen:

• Bedreiging: Een potentieel gevaar dat zich voor kan doen (hackers, stroomstoring, natuurrampen, menselijke fout)
• Verstoring: Wanneer een bedreiging daadwerkelijk leidt tot een incident of calamiteit; normale bedrijfsprocessen zijn onderbroken
• Schade: De gevolgen van de verstoring; verlies of beschadiging van gegevens, systemen, financiën, reputatie of middelen
• Herstel: Het herstellen en terugbrengen van systemen en processen naar normale bedrijfsvoering; dit wordt gedaan volgens incident response en BCM-plannen

Na herstel kunnen nieuwe bedreigingen ontstaan (cyclus herhaalt zich). Dit inzicht helpt organisaties hun BCM, crisisplannen en incident response procedures beter in te richten. De cyclus toont ook waarom preventie, detectie en response-maatregelen allemaal belangrijk zijn.

5. Security Standaarden & Frameworks

Informatiebeveiliging Management Systeem (ISMS)

Informatiebeveiligingssysteem (ISMS)
Een gestructureerd managementsysteem dat de informatiebeveiligingsdoelen van een organisatie definieert, implementeert, onderhoudt en continu verbetert.
Een ISMS omvat:

• Risicobeoordeling en -behandeling
• Beleid en procedures
• Technische en organisatorische beveiligingsmaatregelen
• Toegangscontrole
• Incidentmanagement
• Business continuity planning
• Personeelsopleiding
• Regelmatige audits en reviews

Een ISMS is gebaseerd op de Plan-Do-Check-Act (PDCA) cyclus en wordt beschreven in ISO/IEC 27001, waarop organisaties zich kunnen laten certificeren. Een effectief ISMS zorgt ervoor dat beveiligingsmaatregelen systematisch en consistent worden toegepast op alle niveaus van de organisatie.

ISO/IEC Standaarden

ISO/IEC 27001
Een internationale standaard voor informatiebeveiliging managementsystemen (ISMS). ISO/IEC 27001 beschrijft requirements voor het opzetten, implementeren, onderhouden en continu verbeteren van een ISMS binnen een organisatie. De standaard is gebaseerd op de Plan-Do-Check-Act (PDCA) cyclus en omvat onder andere:

• Risicobeoordeling en -behandeling
• Organisatorische controles
• Technische controles
• Toezicht en meting
• Incidentmanagement

Een organisatie kan zich laten certificeren conform ISO/IEC 27001.

Link: NEN Connect

ISO/IEC 27005 RISK MANAGEMENT PROCESS
Een standaard die het risicomanagementsproces voor informatiebeveiliging beschrijft. ISO/IEC 27005 biedt richtlijnen voor het identificeren, analyseren, evalueren en behandelen van beveiligingsrisico’s. Het proces omvat:

• Risicocontext bepalen
• Risico-identificatie
• Risico-analyse (waarschijnlijkheid en impact)
• Risico-evaluatie
• Risico-behandeling (mitigatie, acceptatie, vermijding, overdracht)
• Monitoring en review

Deze standaard werkt complementair met ISO/IEC 27001.

Link: NEN Connect

NIST Frameworks

NIST SP-800-30 RISK ASSESSMENT PROCESS
Een framework van het Amerikaanse National Institute of Standards and Technology (NIST) voor risicobeoordelingen in informatiesystemen. Het biedt een systematische aanpak voor:

• Identificatie van bedreigingen en kwetsbaarheden
• Analyse van impact en waarschijnlijkheid
• Bepaling van risiconiveaus
• Aanbevelingen voor risico-mitigatie

NIST SP-800-30 is vooral toegepast in de Amerikaanse federale overheid en krijgt ook internationaal steeds meer aandacht.

Link: PDF

Risicomodellen

FAIR (OPENFAIR)
FAIR staat voor Factor Analysis of Information Risk. Het is een kwantitatief risicomodel dat informatierisico’s in financiële termen uitdrukt. FAIR analyseert risico’s door ze op te breken in onderliggende factoren:

• Asset value
• Threat likelihood
• Vulnerability
• Controls effectiveness
• Loss magnitude

Het doel is om risico’s beter inzichtelijk te maken en op basis van data betere risicodecisies te nemen. OpenFAIR is de open-source versie van dit model.

Maturity Models

Capability Maturity Model Integration (CMMI)
Het is een framework voor het evalueren en verbeteren van de volwassenheid van processen in organisaties, met name gericht op softwareontwikkeling, engineering en IT-diensten. CMMI definieert vijf volwassenheidslevels (1: Initial tot 5: Optimizing) en helpt organisaties hun processen stap voor stap te verbeteren. Dit omvat gebieden als requirements management, project planning, configuration management, quality assurance, en risk management.

6. Threat Modellering & Analyse

Threat Modeling Frameworks

STRIDE
STRIDE is een framework voor threat modeling dat helpt bij het systematisch identificeren van beveiligingsrisico’s in systemen. Het staat voor zes categorieën van bedreigingen:

Threat	Category	What it means
Spoofing	Authentication	Pretending to be someone/something else
Tampering	Integrity	Modifying data or code without permission
Repudiation	Non-Repudiation	Denying you performed an action
Information Disclosure	Confidentiality	Exposing sensitive data to unauthorized people
Denial of Service	Availability	Making a system unavailable
Elevation of Privilege	Authorization	Gaining more access rights than authorized

STRIDE wordt gebruikt in de threat modeling fase om systematisch alle potentiële aanvallen op een systeem in kaart te brengen. Het is gebaseerd op DFD’s en helpt prioriteiten stellen voor security controls.

PASTA
PASTA staat voor Process for Attack Simulation and Threat Analysis. Het is een geavanceerd threat modeling framework dat meer gestructureerd en diepgaand is dan STRIDE. PASTA bestaat uit zeven fasen. PASTA is meer diepgaand dan STRIDE en leidt tot betere risicobeoordelingen. Het integreert threat intelligence en realistische aanvalsscenario’s.

Threat Modeling Tools

BOW-Tie
Een BOW-tie is een diagram waarbij je in kaart brengt hoe iets kan gebeuren, en wat de gevolgen ervan kunnen zijn. Dit wordt vooral gebruikt in de context van security. Ook kan je in dit diagram aangeven hoe je je verdedigt / beveiligt met maatregelen.

Data Flow Diagram (DFD)
Een Data Flow Diagram (DFD) is een visuele representatie van hoe gegevens door een systeem stromen. Het toont de processen, gegevensbronnen, opslagplaatsen en externe entiteiten. DFD’s worden gebruikt in de analyse- en ontwerpfase van systemen om te begrijpen hoe informatie beweegt en waar beveiligingsmaatregelen nodig kunnen zijn. Ze helpen bij het identificeren van potentiële aanvalsvectoren.

Threat Model
Een Threat Model is een gestructureerde analyse van potentiële beveiligingsrisico’s en aanvallen op een systeem. Het is gebouwd op basis van een DFD en identificeert welke threat actors specifieke doelen kunnen aanvallen, wat hun motieven zijn en welke kwetsbaarheden ze kunnen exploiteren. Threat modeling helpt organisaties risico’s proactief in te schatten en de juiste security controls prioriteren. Veelgebruikte frameworks zijn STRIDE en PASTA.

Attack Analysis

Attack Surface Analysis
Attack Surface Analysis is een systematische evaluatie van alle mogelijke punten waarop een systeem kan worden aangevallen. Dit omvat:

• Alle netwerkpoorten en protocollen
• Alle gebruikersinterfaces en API-eindpunten
• Alle externe verbindingen en integraties
• Alle invoermogelijkheden voor gebruikers

Het doel is het aanvalsoppervlak (attack surface) zo klein mogelijk te houden door onnodige services uit te schakelen en kwetsbare ingang te elimineren. Attack Surface Analysis is een belangrijk onderdeel van threat modeling en hardening.

Cyber kill chain
De Cyber Kill Chain is een framework dat de fasen van een cyberaanval beschrijft, vergelijkbaar met de kill chain in militaire context. Het helpt organisaties aanvallen in kaart te brengen en verdedigingsmaatregelen op de juiste plekken in te zetten. De typische fasen zijn:

• Reconnaissance: Aanvaller onderzoekt doelwit (OSINT, scanning)
• Weaponization: Aanvaller creëert of selecteert malware en tools
• Delivery: Aanvaller brengt payload naar doelwit (phishing, exploit, etc.)
• Exploitation: Malware wordt geactiveerd en voert schadelijke code uit
• Installation: Malware installeert persistentie-mechanismen (backdoor, rootkit)
• Command & Control (C2): Aanvaller communiceert met gecompromitteerd systeem
• Actions on Objectives: Aanvaller voert uiteindelijk doel uit (diefstal, sabotage, ransom)

Door de kill chain te begrijpen kunnen organisaties op elk moment aanvallen onderbreken en detecteren. Dit framework wordt veel gebruikt in threat modeling en incident response.

7. Threat Actors & Motivaties

Threat Actors
Threat Actors zijn individuen, groepen of organisaties die cyberaanvallen uitvoeren. Dit kunnen hackers, cybercriminelen, statelijke actoren, hacktivisten of insider threats zijn. Threat actors hebben verschillende motieven zoals financieel gewin, politieke doelen, spionage of sabotage. Het begrijpen van threat actors is cruciaal voor threat modeling, omdat je hun capabilities, motieven en potentiële doelwitten moet kennen om geschikte security controls in te stellen.

Motief-gebaseerde Actoren

Hacktivisten
Hacktivisten zijn individuen of groepen die cyberaanvallen uitvoeren gedreven door politieke, sociale, maatschappelijke of ideologieke motieven in plaats van financieel gewin. Hun doelstellingen zijn meestal:

• Bewustwording creëren voor een zaak
• Protest uiten tegen organisaties of overheden
• Informatie openbaar maken (whistleblowing)

Statelijke actoren
Statelijke actoren zijn overheden of inlichtingendiensten die cyberaanvallen uitvoeren voor nationale belangen. Hun activiteiten omvatten:

• Spionage en inlichtingenvergaring (economisch, militair, politiek)
• Sabotage van kritieke infrastructuur van vijandige landen
• Cyberwarfare en netwerk-gebaseerde militaire operaties
• Diefstal van intellectueel eigendom en staatsgeheimen
• Manipulatie van verkiezingen en desinformatie

Cybercriminelen
Cybercriminelen zijn criminele individuen of organisaties die cyberaanvallen uitvoeren primair voor financieel gewin of persoonlijk voordeel. Hun activiteiten omvatten:

• Diefstal van creditcard- en bankgegevens
• Ransomware-aanvallen (bestanden versleutelen en losgeld eisen)
• Fraude en phishing voor geldvergaring
• Verkoop van gestolen gegevens op het darkweb

Hackers & Ethische Categorieën

Hackers
De term “hacker” is breed en wordt gebruikt in verschillende contexten. Hackers kunnen worden onderverdeeld in:

• Criminele hackers (Blackhats)
• Ethische hackers (Whitehats)
• Grijze hackers (Grayhats)

Blackhat
Een blackhat hacker is een crimineel cybersecurity professional die zonder toestemming toegang krijgt tot computersystemen en netwerken met het doel gegevens te stelen, systemen te beschadigen of financieel gewin te behalen. Blackhats werken illegaal en onethisch, buiten alle wettelijke kaders. Hun activiteiten kunnen variëren van diefstal van persoonlijke informatie tot het uitvoeren van ransomware-aanvallen of sabotage van kritieke infrastructuur.

Whitehat
Een whitehat hacker (ook ethische hacker) werkt legaal en ethisch om computersystemen en netwerken te beschermen. Whitehats voeren penetratietests uit met expliciete toestemming van organisaties om beveiligingslekken te identificeren en op te lossen. Ze volgen een sterke ethische code en helpen bedrijven hun cyberbeveiliging te verbeteren zonder schadelijke intenties.

Grayhat
Een grayhat hacker beweegt zich in een grijs gebied tussen legaal en illegaal. Ze kunnen zonder toestemming systemen binnendringen, maar doen dit vaak met goedbedoelde redenen, bijvoorbeeld om beveiligingslekken te ontdekken en deze aan bedrijven te rapporteren. Grayhat hackers volgen niet altijd officiële kanalen en kunnen risico’s nemen, maar hun primaire motief is niet financieel gewin. Dit gedrag is technically illegaal, maar wordt soms als ethisch beschouwd.

Defense Teams

Blue Teaming
Blue Teaming vertegenwoordigt de verdedigingszijde van cyberbeveiliging. Het blue team verdedigt computersystemen en netwerken tegen aanvallen door beveiligingsmaatregelen in te stellen, systemen te monitoren, incidenten op te sporen en vulnerabilities op te lossen. Hun activiteiten omvatten firewall-configuratie, intrusion detection, incident response en security awareness training. Het doel is de organisatie beschermen tegen hackers en cyberaanvallen.

Red Teaming
Red Teaming vertegenwoordigt de aanvalszijde van cyberbeveiliging. Het red team simuleert aanvallen op systemen en netwerken met toestemming van de organisatie om zwakke punten te identificeren. Dit gebeurt in gecontroleerde omgevingen en helpt organisaties hun verdedigingen te testen en te verbeteren. Red teamers gebruiken dezelfde technieken als echte hackers zoals social engineering, penetratietests en vulnerability scanning, maar met het doel de organisatie sterker te maken.

8. Aanvalsvectoren & Malware-typen

Malware
Kwaadaardige software ontworpen om schade aan te richten, systemen te compromitteren of gegevens te stelen. Verzamelbegrip voor virussen, worms, trojans en ander schadelijk software.

Ransomware (Randsomeware)
Een type malware dat bestanden op een systeem versleutelt en het slachtoffer ertoe dwingt losgeld (ransom) te betalen voor de decoderingssleutel. Veroorzaakt significant gegevensverlies en operationele verstoring.

Trojan
Malware die zich voordoet als legitieme software en gebruikers misleidt om deze uit te voeren. Eenmaal geïnstalleerd geeft het aanvallers toegang tot het systeem voor diefstal of sabotage.

Deepfakes
Deepfakes zijn synthetische media waarbij het gezicht of de stem van een persoon digitaal wordt vervangen met behulp van kunstmatige intelligentie en machine learning. Deze manipulaties kunnen zeer overtuigend zijn en moeilijk van authentieke content te onderscheiden. Deepfakes worden gebruikt voor desinformatie, chantage, identiteitsdiefstal en reputatieschade.

Aanvalstechnieken

Social Engineering
Manipulatietechnieken gericht op mensen om hen te verleiden vertrouwelijke informatie vrij te geven of beveiligingsmaatregelen te omzeilen. Voorbeelden: phishing, pretexting, baiting.

OSINT
Open Source Intelligence. Het verzamelen en analyseren van openbaar beschikbare informatie uit bronnen zoals internet, sociale media, publieke databases en nieuwsmedia. OSINT wordt gebruikt in onderzoeken en dreigingsintelligentie.

Hacktivism
Cyberaanvallen uitgevoerd uit politieke, sociale of activistische motieven in plaats van financieel gewin. Voorbeelden: website defacement, DDoS-aanvallen voor een bepaalde zaak.

9. Beveiligingsmaatregelen & Controles

Maatregelen naar Type

Organisatorische beheersmaatregelen
Maatregelen gericht op processen en bedrijfsvoering. Voorbeelden:

• Duidelijke procedures en richtlijnen
• Scheiding van taken (wie goedkeurt, wie voert uit)

Mensgerichte beheersmaatregelen
Maatregelen gericht op gedrag en bewustzijn van medewerkers. Voorbeelden:

• Training en scholing
• Bewustwordingscampagnes

Fysieke beheersmaatregelen
Maatregelen gericht op fysieke veiligheid en toegang. Voorbeelden:

• Beveiligingscamera’s
• Toegangscontrole (sleutels, badges)

Technologische beheersmaatregelen
Maatregelen gericht op IT-systemen en digitale veiligheid. Voorbeelden:

• Wachtwoordbeveiliging en inloggegevens
• Firewalls en antivirussoftware

Maatregelen naar Timing

Preventieve maatregelen
Maatregelen gericht op voorkomen dat risico’s zich voordoen. Voorbeelden:

• Training en scholing van medewerkers (mensgerecht)
• Toegangscontrole met badges (fysiek)

Detectieve maatregelen
Maatregelen gericht op opsporen van incidenten en afwijkingen. Voorbeelden:

• Monitoring en logging van systeemactiviteiten (technologisch)
• Beveiligingscamera’s en inspectieronden (fysiek)

Response / Herstelmaatregelen
Maatregelen gericht op reageren en herstellen na een incident of probleem. Voorbeelden:

• Incident management procedures (organisatorisch)
• Backup- en herstelplannen (technologisch)

Beleidstypen

Whitelist
Een whitelist is een lijst van goedgekeurde entiteiten (applicaties, IP-adressen, e-mailadressen, bestandstypes) die expliciet gemachtigd zijn. Dit is een restrictief beveiligingsbeleid waarbij alles standaard wordt geblokkeerd behalve wat op de whitelist staat.

Blacklist
Een blacklist is een lijst van expliciet geblokkeerde entiteiten (applicaties, IP-adressen, e-mailadressen, malware-handtekeningen) die niet gemachtigd zijn. Dit is een permissief beveiligingsbeleid waarbij alles standaard wordt toegestaan behalve wat op de blacklist staat.

Restrictief Beveiligingsbeleid
Een restrictief beveiligingsbeleid hanteert het “alles standaard verbieden, alleen wat nodig is toestaan”-principe. Dit wordt geïmplementeerd via whitelists. Restrictieve beleid is een best practice in security-first omgevingen, vooral voor kritieke systemen en gevoelige gegevens.

Permissief Beveiligingsbeleid
Een permissief beveiligingsbeleid hanteert het “alles standaard toestaan, alleen wat gevaarlijk is blokkeren”-principe. Dit wordt geïmplementeerd via blacklists. Permissief beleid wordt vaak gebruikt in minder kritieke omgevingen, maar is riskanter voor gevoelige systemen.

Netwerk & Toegangscontrole

Netwerksegmentatie
Netwerksegmentatie is een veiligheidsstrategie waarbij een netwerk wordt opgedeeld in kleinere, afgeschermde deelnetwerken. Voordelen:

• Isolatie van kritieke systemen
• Firewalls tussen segmenten controleren verkeer tussen delen
• Netwerksegmentatie helpt bij containment van beveiligingsincidenten en reduceert aanvalsoppervlak

Firewall
Een firewall is een beveiligingssysteem dat inkomend en uitgaand netwerkverkeer monitort en filtert op basis van vooraf bepaalde veiligheidsregels. Firewalls kunnen software-gebaseerd (op een individueel apparaat) of hardware-gebaseerd (op netwerkschaal) zijn. Ze blokkeren ongeautoriseerde communicatie en alleen legitiem verkeer toestaan door poorten en protocollen te controleren.

Insider threats
Insider Threats zijn beveiligingsrisico’s die uitgaan van personen binnen de organisatie die toegang hebben tot gevoelige systemen, gegevens of informatie. Dit kunnen medewerkers, contractors of ex-werknemers zijn. Insider threats kunnen intentioneel (sabotage, diefstal, spionage) of onbedoeld (nalatigheid, menselijke fout) zijn.

Security Controls
Security Controls zijn maatregelen en mechanismen die worden geïmplementeerd om informatie en systemen te beschermen tegen ongeautoriseerde toegang, diefstal en beschadiging. Dit omvat technische controls (encryptie, firewalls), administratieve controls (beleidsregels, training) en fysieke controls (toegangscontrole, camerabewaking). Security controls worden bepaald door threat modeling en zijn het resultaat van hardening-inspanningen. Ze kunnen preventief, detectief of corrigerend zijn.

10. Cryptologie & Gegevensbeveiliging

Encryptie Standaarden

RSA
RSA is een asymmetrisch encryptie-algoritme dat een publieke en privésleutel gebruikt. Met de publieke sleutel wordt data versleuteld, met de privésleutel ontsleuteld. RSA wordt veel gebruikt voor HTTPS-verbindingen, digitale handtekeningen en veilige sleuteluitwisseling.

PGP
PGP is encryptiesoftware voor het versleutelen van e-mails en bestanden. Het combineert symmetrische encryptie (voor snelheid) met asymmetrische encryptie op basis van RSA (voor veilige sleuteluitwisseling). PGP voegt digitale handtekeningen toe voor authenticiteit. Het is vooral populair voor beveiligde communicatie tussen technische gebruikers, whistleblowers en in situaties waar end-to-end versleuteling cruciaal is.

GPG
GPG is de open-source implementatie van de PGP-standaard en gratis beschikbaar. Het biedt dezelfde functionaliteit als PGP maar is wijd verspreid op Linux-systemen en wordt gebruikt door administrators, softwareontwikkelaars en anderen die gevoelige data willen versleutelen of digitaal ondertekenen.

Encryptie Concepten

Encryptie
Encryptie is het proces van het omzetten van leesbare gegevens (plaintext) in gecodeerde vorm (ciphertext) met behulp van wiskundige algoritmen en cryptografische sleutels. Er bestaan twee hoofdtypen:

• Symmetrische encryptie - Dezelfde sleutel voor versleuteling en ontsleuteling (bijvoorbeeld AES)
• Asymmetrische encryptie - Publieke en privésleutel voor versleuteling en ontsleuteling (bijvoorbeeld RSA, GPG/PGP)

Encryptie beschermt gegevens zowel in rust (stored data) als in transit (data in beweging) en voorkomt ongeautoriseerde toegang tot gevoelige informatie.

Hashing
Hashing is een cryptografisch proces waarbij gegevens van willekeurige grootte worden omgezet in een vaste-lengte tekenreeks (hash) met behulp van een hash-algoritme. Kenmerken van hashing:

• Eenrichtingsproces: Kan niet worden omgekeerd naar originele gegevens
• Deterministisch: Dezelfde invoer geeft altijd dezelfde hash
• Gevoelig voor veranderingen: Kleine wijzigingen in invoer resulteren in geheel andere hash

Hashing wordt gebruikt voor:

• Wachtwoordbescherming: Opslaan van hashes in plaats van wachtwoorden zelf
• Integriteitscontrole: Verifiëren dat bestanden of objecten niet zijn gewijzigd
• Ondertekening van documenten: Een hash van een lang document wordt ondertekend in plaats van het hele document
• Licentiebestanden: Validatie van software-authenticiteit
• Distributie van bestanden: Verificatie van downloadintegriteit
• Blockchain-integriteit: Waarborging van onveranderbaarheid van gegevens

Authenticatie & Vertrouwbaarheid

Multi Factor Authentication
Een beveiligingsmechanisme dat twee of meer verificatiemethoden vereist om toegang te krijgen tot een systeem. Voorbeelden:

• Iets wat je weet (wachtwoord)
• Iets wat je hebt (telefoon, hardware token)
• Iets wat je bent (biometrisch: vingerafdruk, gezichtsherkenning)

Pass-keys
Passkeys zijn een moderne vorm van twee-factor authenticatie die wachtwoorden vervangen door cryptografische sleutels. In plaats van een wachtwoord in te typen, gebruikt een passkey biometrische authenticatie (vingerafdruk, gezichtsherkenning) of een PIN-code in combinatie met een versleutelde sleutel opgeslagen op je apparaat. Passkeys zijn veiliger dan wachtwoorden omdat ze niet kunnen worden gestolen via phishing en bieden sterke bescherming tegen ongeautoriseerde toegang.

Whistleblowing
Whistleblowing is het openbaarmaken van gevoelige, illegale of onethische activiteiten binnen een organisatie aan de buitenwereld, meestal media, overheden of toezichthouders. Dit gebeurt vaak door insiders (werknemers of oud-werknemers) die zich moreel verplicht voelen onrecht aan het licht te brengen.

11. Systeembeveiliging & Hardening

Hardening Principes

Hardening
Hardening is het proces van het beveiligen van computersystemen en netwerken door onnodige services uit te schakelen, beveiligingspatches toe te passen, strikte toegangscontroles in te stellen en configuraties te optimaliseren. Het doel is de aanvalsoppervlak van een systeem zo klein mogelijk te maken en kwetsbaarheden te minimaliseren. Hardening omvat onder andere het verwijderen van standaard accounts, het instellen van sterke wachtwoordbeleidsregels en het configureren van logging en monitoring.

Secure-by-Design Principes

Secure by Design
Secure by Design betekent dat veiligheid vanaf het allereerste begin van het ontwikkelproces een kernprincipe is. Dit omvat threat modeling voordat features worden ontworpen, veilige architectuur met trust boundaries en defense-in-depth, veilige libraries en protocollen kiezen, secure coding practices (inputvalidatie, least privilege), veilig geheimbeheer, supply-chain beveiliging, security testing (SAST/DAST) en een duidelijk patch- en updateproces. Het doel is kwetsbaarheden voorkomen door het systeem intrinsiek robuust te maken, in plaats van beveiliging achteraf toe te voegen.

Secure by Default
Secure by Default betekent dat alle standaardinstellingen veilig zijn zonder dat gebruikers iets hoeven in te stellen. Essentiële beveiligingsmaatregelen zoals MFA, logging en minst-privilege-rechten zijn standaard ingeschakeld. Als gebruikers configuraties willen aanpassen (in niché gevallen), moet dit bewust en expliciet gebeuren. Gebruikers moeten met één knop kunnen terugkeren naar de veilige standaardinstelling.

Privacy-By-Design Principes

Privacy by Design
Privacy by Design betekent dat je vanaf het allereerste begin van het ontwikkelproces actief rekening houdt met bescherming van persoonsgegevens. Dit omvat privacy threat modeling, dataminimalisatie en doelbinding, PII-isolatie en pseudonimisering, sterke toegangscontrole en encryptie, DPIA’s voor hoog-risico verwerkingen, dataclassificatie, automatische verwijdering op basis van bewaartermijnen, en leveranciersevaluaties (DPA/SCC’s). Het doel is privacyrisico’s proactief voorkomen en AVG-naleving (art. 25) intrinsiek maken.

Privacy by Default
Privacy by Default betekent dat alle standaardinstellingen privacybescherming maximaliseren zonder configuratie door gebruikers. Functionaliteit die extra verwerkingen vereist (marketing, profilering, uitgebreide telemetry) is opt-in en standaard uit. Dit omvat minimale verplichte velden, geen onnodige tracking, privéprofielen standaard, korte bewaartermijnen met automatische verwijdering, en duidelijke toggles voor gebruikers die meer willen delen.

Architectuurprincipes

Trust Boundaries
Trust Boundaries zijn duidelijk gedefinieerde grenzen in een systeem waar gegevens of controle overgaat van één vertrouwde zone naar een ander. Op het moment dat data een trust boundary overschrijdt, moet deze worden gevalideerd en veiliggesteld (bijvoorbeeld via encryptie of authenticatie). Trust boundaries helpen bij threat modeling om aan te geven waar aanvallers potentieel kunnen ingrijpen. Het expliciet definiëren van trust boundaries is essentieel voor beveiligde architectuurontwerp.

Defense-in-Depth
Defense-in-Depth is een beveiligingsstrategie waarbij meerdere lagen van beveiligingsmaatregelen worden geïmplementeerd, zodat als één laag faalt, andere lagen nog bescherming bieden. Dit omvat bijvoorbeeld: firewall (netwerk), inloggegevens en MFA (toegang), encryptie (data), logging en monitoring (detectie), en incident response procedures (reactie). Het idee is dat je niet op één beveiligingsmechanisme vertrouwt, maar op een combinatie van technologische, organisatorische, fysieke en mensgerichte maatregelen.

Waardevol Assets

Kroonjuwelen
Kroonjuwelen is een metafoor voor de meest waardevolle, kritieke en gevoelige assets van een organisatie. Dit kunnen zijn: kerngegevens (klantgegevens, trade secrets), essentiële IT-systemen (databases, servers), intellectueel eigendom of processen die het bedrijf uniek maken. Het beschermen van kroonjuwelen is een topprioriteit in de informatiebeveiliging. Dit begrip wordt vaak gebruikt in threat modeling en risicoanalyse om te bepalen welke systemen en gegevens de meeste aandacht nodig hebben.

12. Applicatie Beveiliging & Testing

Beveiligingstestmethoden

Static Application Security Testing (SAST)
Het is een geautomatiseerde beveiligingstestmethode die broncode analyseert zonder deze uit te voeren. SAST-tools scannen code op potentiële kwetsbaarheden zoals SQL Injection, XSS, buffer overflows, hardcoded credentials en onveilige cryptografische praktijken. SAST is vooral geschikt voor het detecteren van logische fouten en codeerfouten.

Dynamic Application Security Testing (DAST)
Het is een geautomatiseerde beveiligingstestmethode die applicaties test terwijl deze actief draaien. DAST-tools voeren de applicatie uit en sturen kwaadaardige of onverwachte invoer naar endpoints om kwetsbaarheden in runtime-gedrag te detecteren, zoals authenticatiefouten, session management problemen, input validation issues en API-beveiligingsproblemen. Het voordeel is dat het realistischere aanvalsscenario’s simuleert dan SAST, maar het kan minder diepgaand zijn in codeanalyse en vereist een draaiende applicatie.

Webapplicatie Aanvallen

XSS (Cross-Site Scripting)
XSS staat voor Cross-Site Scripting. Het is een type webapplicatie-kwetsbaarheid waarbij een aanvaller kwaadaardige scripts (meestal JavaScript) in een webpagina injecteert. Deze scripts worden vervolgens in de browser van andere gebruikers uitgevoerd, waardoor gevoelige gegevens kunnen worden gestolen (zoals sessie-cookies, inloggegevens) of gebruikers kunnen worden omgeleid naar schadelijke websites. XSS wordt voorkomen met behulp van input-validatie, output-encoding en Security Headers zoals Content-Security-Policy (CSP).

SQL Injection
SQL Injection is een type cyberaanval waarbij een aanvaller kwaadaardige SQL-code injecteert in invoervelden van een webapplicatie. Deze geïnjecteerde code wordt vervolgens door de database-server uitgevoerd, waardoor een aanvaller ongeautoriseerde toegang kan krijgen tot gevoelige gegevens, gegevens kan wijzigen of verwijderen, of volledige controle over de database kan verkrijgen. SQL Injection wordt voorkomen door prepared statements, input-validatie en parameterized queries te gebruiken.

Clipjacking
Clipjacking is een aanvalstechniek waarbij een aanvaller het klembord (clipboard) van een gebruiker manipuleert of misbruikt. Dit gebeurt doorgaans via JavaScript in een webbrowser waarbij tekstinhoud in het klembord wordt vervangen met schadelijke inhoud. Wanneer de gebruiker vervolgens plakt, voert hij onbewust kwaadaardige code uit of verzendt hij gevoelige gegevens. Clipjacking kan gebruikt worden voor diefstal van inloggegevens, het uitvoeren van ongeautoriseerde commando’s of verspreiding van malware.

Beveiligingsheaders

Security Headers
Security Headers zijn HTTP-responseheaders die webapplicaties toevoegen om browsers aan te sturen hoe ze inhoud moeten verwerken en beveiligen. Bijvoorbeeld:

• Content-Security-Policy (CSP) - Voorkomt inline scripts en bepaalt welke bronnen mogen worden geladen

Security Headers helpen tegen aanvallen zoals Cross-Site Scripting (XSS), Clickjacking en Man-in-the-Middle aanvallen.

13. Internet & Privacy Infrastructuur

Technologie Typen

Informational Technology (IT)
De branche en systemen die zich richten op het beheren, verwerken en opslaan van informatie met behulp van computers en netwerken. Dit omvat hardware, software, netwerken en diensten die organisaties gebruiken voor communicatie, gegevensverwerking en bedrijfsvoering.

Operational Technology (OT)
Systemen en software die fysieke processen en apparatuur besturen en monitoren, zoals industriële machines, energiesystemen en infrastructuur. OT verschilt van IT doordat het rechtstreeks fysieke middelen beheert in plaats van alleen informatie.

Internet Infrastructure

Deepweb
Het Deepweb is het gedeelte van het internet dat niet door standaard zoekmachines (zoals Google) kan worden geïndexeerd en dus niet zichtbaar is in gewone zoekresultaten. Het omvat legitieme content zoals persoonlijke e-mailaccounts, medische gegevens, juridische documenten, academische databases en bankgegevens. Het Deepweb is veel groter dan het oppervlakteinternet en wordt voornamelijk gebruikt voor privacybescherming en beveiligde gegevensverzending. Het is op zich niet illegaal en wordt dagelijks door miljoenen gebruikers voor legale doeleinden benaderd.

Darkweb
Het Darkweb is een klein gedeelte van het Deepweb. Het Darkweb heeft vrijwel geen restricties, hierom staat het bekend als het donkere plekje van het internet waar je assasinations kan kopen, wapens en andere dingen die normaal niet mogen. Je kan hier ook niet zomaar op met je standaard webbrowser en hebt hiervoor speciale webbrowsers nodig zoals Tor.

Onion Netwerk
Het Onion Netwerk (ook bekend als Tor-netwerk) is een geanonimiseerd netwerk dat door meerdere lagen van encryptie werkt, wat gebruikers extreme anonimiteit biedt. De naam “onion” verwijst naar de lagenstructuur van de veiligheid, net als de lagen van een ui. Het Onion Netwerk wordt bereikt via speciale software zoals de Tor Browser. Hoewel het legitieme toepassingen heeft (bijvoorbeeld voor journalisten, activisten en mensen in onderdrukkende regimes), is het ook bekend omdat het op het Darkweb wordt gebruikt voor illegale activiteiten. Het netwerk verbergt zowel de identiteit van de gebruiker als die van de dienstverlener door het verkeer door verschillende servers wereld over te routen.

Tor Browser
Tor Browser is een internetbrowser waarmee je op het Onion Netwerk kan browsen. Deze browser is gebouwd op firefox en heeft bepaalde features uitstaan om het veiliger te maken.

14. Incidentbeheersing & Response

Incident Response Planning

Incidentresponseplan
Een gedetailleerd document dat voorschrijft hoe een organisatie cybersecurity-incidenten detecteert, reageert en herstelt. Het omvat:

• Incident classificatie en prioritering (triage)
• Contactgegevens van incident response team en externe partners
• Stap-voor-stap respons- en containmentprocedures
• Communicatieprotocollen (intern en extern)
• Forensische onderzoeken en bewijsverzameling
• Schademinimalisering
• Documentatie en postincident analyse

Een goed incidentresponseplan zorgt ervoor dat incidenten snel en gecoördineerd worden aangepakt, schade wordt geminimaliseerd, en lessen worden gelerd voor toekomstige verbetering. Dit maakt deel uit van het crisisplan en het ISMS van een organisatie.

Incident Prioritization

Triage
Triage is het proces van het prioriteren en classificeren van incidenten, meldingen of problemen op basis van urgentie en impact. In cybersecurity wordt triage gebruikt om vast te stellen welke beveiligingsincidenten het eerst moeten worden onderzocht en opgelost. Dit omvat het beoordelen van de ernst (hoe kritiek is het?), het bereik (hoeveel systemen/gebruikers zijn getroffen?), en de beschikbare resources. Door triage kan een incident response team efficiënt omgaan met meerdere tegelijkertijd optredende incidenten en zich concentreren op de meest impactvolle zaken.

Threat Intelligence

Indicators of Compromise (IOCs)
Concrete artefacten of sporen die duiden op een mogelijk beveiligingsincident of cyberaanval. Voorbeelden van IOCs zijn: verdachte IP-adressen, e-mailadressen of domeinen, bestandshashes van malware, verdachte netwerkverkeerpatronen, registry-wijzigingen, onverwachte procesactiviteit, of malware-ondertekeningen. IOCs worden gebruikt door beveiligingsteams om te detecteren of een systeem is gecompromitteerd en om de impact van een inbreuk in kaart te brengen.

15. Business & Technology Management

Asset & Inventory Management

Asset management
Asset Management is het systematisch beheren van alle IT-assets binnen een organisatie gedurende hun volledige levenscyclus. Dit omvat hardware (servers, werkstations, netwerkapparatuur), software (applicaties, licenties), gegevens en diensten. Asset Management houdt bij: wat assets er zijn, waar ze zich bevinden, wie ze beheert, welke configuraties zij hebben, welke patches en updates nodig zijn, en wanneer zij end-of-life bereiken. Een robuust asset management systeem is essentieel voor beveiligingsmaatregelen (wie heeft toegang?), compliancecontroles en risicobeheer. Het vormt de basis voor vele andere processen zoals vulnerability scanning, patch management en incident response.

Software Bill of Materials (SBOM)
Het is een gedetailleerde inventaris van alle software-componenten, libraries, afhankelijkheden en hun versies die in een applicatie of product zijn gebruikt. Een SBOM helpt organisaties inzicht te krijgen in hun supply-chain risico’s door duidelijk te maken welke open-source en third-party componenten worden gebruikt en of deze bekende kwetsbaarheden (CVE’s) bevatten.

Vulnerability Management

Common Vulnerabilities and Exposures (CVE)
Het is een openbare database en naamgevingsschema voor bekende softwarekwetsbaarheden en blootstellingen. Elke CVE krijgt een uniek ID-nummer (bijvoorbeeld CVE-2024-1234) waarmee beveiligingsprofessionals en organisaties kwetsbaarheden kunnen herkennen, volgen en patches kunnen toepassen. CVE’s bevatten informatie over de kwetsbaarheid, getroffen software, ernst en beschikbare fixes. CVE-nummers helpen organisaties hun patch- en updateproces te prioriteren en hun risico’s beter in te schatten. De CVE-database wordt beheerd door het MITRE Corporation en gefinancierd door CISA.

Common Vulnerability Scoring System (CVSS)
Het is een gestandaardiseerde methode om de ernst en impact van softwarekwetsbaarheden te beoordelen en uit te drukken in een numerieke score (van 0.0 tot 10.0). CVSS houdt rekening met factoren zoals: aanvalscomplexiteit, benodigde privileges, gebruikersinteractie, en de impact op vertrouwelijkheid (confidentiality), integriteit (integrity) en beschikbaarheid (availability). Een hoger CVSS-score wijst op een ernstiger kwetsbaarheid. CVSS-scores helpen organisaties prioriteiten stellen in hun patchproces en risico’s beter in te schatten. CVSS wordt vaak gebruikt samen met CVE-nummers.

Intelligence & Threat Taxonomy

Tactics, Techniques, and Procedures (TTP)
Beschrijft hoe threat actors opereren. Een TTP omvat drie niveaus: Tactics zijn de doelstellingen die een aanvaller probeert te bereiken (bijvoorbeeld: initial access, persistence, data exfiltration); Techniques zijn de specifieke methoden om die doelen te bereiken (bijvoorbeeld: phishing voor initial access, scheduled tasks voor persistence); Procedures zijn de exacte stappen en tools die worden gebruikt (bijvoorbeeld: een specifieke phishing-email met een malware attachment). Door TTPs te begrijpen en documenteren kunnen organisaties beter anticiperen op aanvallen en passende verdedigingsmaatregelen implementeren. TTP-informatie wordt vaak gedeeld via threat intelligence rapporten en frameworks zoals MITRE ATT&CK.

MITRE ATT&CK
MITRE ATT&CK is een uitgebreide, open kennisbank van tactieken en technieken die threat actors in praktijk gebruiken, gebaseerd op real-world waarnemingen. Het framework organiseert aanvalsmethoden in een gestructureerde matrix met kolommen voor platforms (Windows, Linux, macOS, mobile) en rijen voor aanvalsfases (reconnaissance, initial access, execution, persistence, privilege escalation, defense evasion, credential access, discovery, collection, exfiltration, command and control, impact). MITRE ATT&CK helpt beveiligingsteams threat modeling uit te voeren, beveiligingscontroles te evalueren en aanvalsscenario’s te simuleren. Het framework wordt veel gebruikt voor red teaming, blue teaming en incident response. MITRE ATT&CK wordt regelmatig bijgewerkt naarmate nieuwe aanvalsmethoden ontstaan.

Decision Making

BOB-methodiek
De BOB-Methodiek is een klassiek besluitvormingsmodel dat uit drie stappen bestaat:

• Beeldvorming: Het verzamelen en analyseren van informatie om inzicht in de situatie te krijgen
• Oordeelsvorming: Het evalueren van opties en het nemen van een beslissing
• Beleidsvoering: Het uitvoeren en implementeren van de beslissing

In theorie is BOB een goed raamwerk, maar in praktijk gaat het vaak fout: Beeldvorming en Oordeelsvorming worden te snel samengevoegd, waardoor belangrijke informatie wordt gemist of oordelen worden gevormd op basis van onvoldoende analyse. Dit leidt tot slechte beslissingen, vooral onder druk of stress. Dit probleem heeft geleid tot de ontwikkeling van de verbeterde BOBOC-methodiek.

BOBOC-methodiek
De BOBOC-Methodiek is een verbeterde versie van de BOB-Methodiek die het klassieke model uitbreidt met aanvullende stappen om betere besluitvorming onder druk te waarborgen:

• Beeldvorming: Grondige verzameling en analyse van informatie; expliciet gescheiden van volgende stap
• Opties: Het expliciet genereren en evalueren van meerdere handelingsopties voordat een besluit wordt genomen
• Besluit: Het nemen van een geïnformeerd besluit gebaseerd op de beeldvorming en opties
• Opdracht: Het duidelijk communiceren van de beslissing en toewijzing van taken aan relevante partijen
• Controle: Het monitoren van uitvoering, voortgang en resultaten; aanpassingen waar nodig

De BOBOC-methodiek voorkomt de fout van te snelle oordeelsvorming door expliciet ruimte in te bouwen voor het genereren van opties en het scheiden van informatieverzameling van besluitvorming. Dit leidt tot betere kwaliteit van besluiten, vooral in crisissituaties en incident response waarin snelheid en nauwkeurigheid beide belangrijk zijn.

Human Factors

Human Factors
Human Factors zijn psychologische en cognitieve fenomenen die het gedrag en de besluitvorming van mensen beïnvloeden, vooral onder stress of onzekerheid. Belangrijk om te begrijpen voor beveiligingsbeheersing en incidentresponse:

• Illusies: Onterechte waarnemingen of veronderstellingen die kunnen leiden tot verkeerde beslissingen
• Angst: Emotioneel antwoord op dreiging dat rationaal denken kan belemmeren (freeze-response)
• Geheugen: Beperkingen in informatieverwerking; mensen onthouden niet altijd details correct
• Druk: Stress en tijdslimiet die impulsieve keuzes kunnen veroorzaken
• Confirmation Bias: Neiging om informatie te zoeken die je bestaande overtuiging bevestigt
• Coping-Strategieën: Reacties op stress (Fight/Flight/Freeze) die kunnen variëren per persoon
• Percepties: Subjectieve interpretatie van situaties, niet altijd accuraat
• Vermoeidheid: Verminderde cognitieve capaciteit na lange werkuren (relevant in incident response)
• Aandacht: Beperkte focus; mensen kunnen niet alles tegelijk monitoren
• Stress: Verstoort logisch denken en kan fouten veroorzaken

Het begrijpen van human factors is essentieel voor effectieve security awareness training, incident response planning en het ontwerpen van veilige processen.

16. Fundamentele Concepten & Principes

Security Fundamentals

CIA Triad
De CIA Triad is een fundamenteel beveiligingsconcept dat drie kernprincipes vertegenwoordigt:

• Confidentiality (Vertrouwelijkheid): Alleen geautoriseerde personen hebben toegang tot gevoelige informatie
• Integrity (Integriteit): Gegevens zijn volledig en onveranderd; alleen geautoriseerde wijzigingen zijn toegestaan
• Availability (Beschikbaarheid): Systemen en gegevens zijn altijd beschikbaar wanneer nodig

Deze drie pijlers vormen de basis voor alle beveiligingsmaatregelen en worden gebruikt om beveiligingsdoelstellingen te definiëren en risico’s in te schatten.

Beschikbaarheid Integriteit Vertrouwelijkheid (BIV)
BIV is de Nederlandse variant van de CIA Triad:

• Beschikbaarheid (Availability): Systemen en gegevens zijn altijd beschikbaar wanneer nodig
• Integriteit (Integrity): Gegevens zijn volledig en onveranderd; alleen geautoriseerde wijzigingen zijn toegestaan
• Vertrouwelijkheid (Confidentiality): Alleen geautoriseerde personen hebben toegang tot gevoelige informatie

Deze drie pijlers vormen de basis voor alle beveiligingsmaatregelen en worden gebruikt om beveiligingsdoelstellingen te definiëren en risico’s in te schatten.

Attack Surface

Aanvalsoppervlak / Attack Surface
Aanvalsoppervlak (Attack Surface) is de totale som van alle mogelijke aangrijpingspunten waarop een systeem, netwerk of organisatie kan worden aangevallen. Dit omvat:

• Alle software, hardware en netwerkapparatuur
• Alle gebruikers en hun rechten
• Alle externe verbindingen en integraties
• Alle processen en procedures

Hoe groter het aanvalsoppervlak, hoe groter de kans op succesvolle aanvallen. Daarom is het verkleinen van het aanvalsoppervlak (door hardening, segmentatie en verwijdering van onnodige services) een belangrijke beveiligingsstrategie.

---

References