Security Paradigma 3

Ook in deze blog een veranderend Security Paradigma uit een artikel van Roger G. Johnston van Argonne National Laboratory, USA (zie ook Paradigma 1).

Security Paradigma: Standaardisatie versus Creativiteit

Het oude paradigma zegt dat de kwetsbaarheidsanalyse volgens en vaste procedure en aan de hand van vastgestelde prestatie-eisen moet gebeuren. Het proces en de resultaten moeten objectief en reproduceerbaar zijn. Zo moet bijvoorbeeld een gebouwschil aantoonbaar braakwerend zijn (denk hierbij aan gecertificeerde gevels en gevelelementen met BORG-B weerstandstijden van 3, 5 of 10 minuten). Of wachtwoorden die minstens 4 verschillende tekens moeten bevatten (hoofdletter, kleine letter, cijfer en leesteken) en periodiek (per maand of kwartaal) gewijzigd moeten worden. De vereiste maatregelen zijn bijvoorbeeld in security baselines vastgelegd. Daar waar de beveiliging niet aan dergelijke objectieve eisen voldoet wordt een kwetsbaarheid gesignaleerd die naar aanleiding van het te beschermen belang ook een mate van risico kan vormen. De kwetsbaarheden met de hoogste risico’s moeten vervolgens worden gerepareerd.


Het nieuwe paradigma legt de nadruk op het beschouwen van de gerealiseerde beveiliging vanuit het perspectief van de ‘aanvaller’. De kwetsbaarheidsanalyse probeert dus de zwaktes van de organisatie te identificeren die door kwaadwillenden kunnen en wellicht zullen worden misbruikt. Van de betrokken security professionals wordt daarbij vooral gevraagd of hij zich kan verplaatsen in die aanvallers. Deze professional moet daarom een actueel beeld van en voldoende inlevingsvermogen in die potentiële aanvallers hebben. Niet van één of enkele, niet van de uitzondering maar van de meest waarschijnlijke aanvallers. De professional kijkt dus naar de organisatie vanuit de ogen van de geïnteresseerde, creatieve en adaptieve kwaadwillenden en ontdekt zo reële aanvalsopties die wellicht mitigatie behoeven.
Ook bij deze, wellicht meer subjectieve en intuïtieve benadering van security kunnen vastgestelde procedures, normatieve kaders en aandachtspuntenlijsten het analyseproces ondersteunen en versterken. De nadruk ligt echter op de details van de lokale situatie die door kwaadwillenden succesvol kunnen worden misbruikt.

Deel deze pagina met anderen, thanks!

2 gedachten over “Security Paradigma 3

  1. Roger Johnston

    Other unconventional approaches to thinking about paradigms, vulnerabilities, and security can be found in the Journal of Physical Security at https://jps.rbsekurity.com. This is a free, non-profit, online, mostly peer-reviewed journal.

    Also, in my new book: “Vulnerability Assessment: The Missing Manual for the Missing Link”, available on Amazon.nl.

Geef een antwoord

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Deze website gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie-gegevens worden verwerkt.