Gaaf werk, mooie aanpak. Het lezen van het document was nogal een achtbaan rit met pieken en talen.
Techneuten moeten zich niet op het verkeerde been laten zetten doordat de eerste pagina's zich vooral op het abstracte proces richten. Als je oppervlakkig naar de eerst pagina's kijkt lijkt het misschien een typisch high-level management document , zo van "verzamel informatie, stel doelen en maak een planning om je doelen te bereiken", geen slecht advies maar wel een beetje erg algemeen.
Lees vooral even verder, daarna wordt het echt leuk. Zodra het document begint met het uitwerken van die rekenmoddelen in GeNIe wordt het gaaf. Niet alleen leg je vast hoe je systeem werkt en wat de bedreigingen zijn maar je krijgt ook inzicht in hoe alles samenhangt. Dat is echter heel belangrijk omdat IT-systemen niet in isolatie bestaan en er vaak geen perfecte keuzes bestaan. Verbeteringen op het ene punt kunnen risico's op een ander punt met zich meebrengen. Met deze tool kun je dat soort dingen in beeld brengen en zien wat er gebeurt als je veranderingen aanbrengt.
Het lijkt me wel geen makkelijk werk en ontzettend veel werk om dit uit te werken voor ieder stuk IT dat je hebt. Het aantal potentiele bedreigingen is haast eindeloos. Dat is uiteraard niet de schuld van die tool, in tegenstelling, de tool helpt om te laten zien hoe moeilijk het is om Security (of IT) goed te doen.
Een beetje moeilijk punt is wel dat je een hoop schattingen moet maken, zoals de kans dat iemand een bepaalde aanvalstechniek tegen je gebruikt. Informatie daarover is maar moelijk te krijgen, meestal weet je het niet eens als je wordt aangevallen en van wat er bij andere organisaties gebeurt heb je helemaal geen beeld. Voor heel algemene aanvallen (zoals phishing mails) kun je nog wel cijfers vinden, maar de kans dat een geheime dienst een 0-day inzet tegen jouw organisatie lijkt me bijzonder moeilijk in te schatten. Is dat eens per jaar of eens per 10 jaar? Dit lijkt misschien een extreem voorbeeld maar deze tool is niet gericht op kleine gebruikers maar op kritieke infrastrucuur (zoals banken) die zich daar echt zorgen over moet maken.
Gelukkig zijn Bayesian Believe Networks redelijk goed in omgaan met dit soort grove schattingen. Zelfs als de getallen er flink naast zitten kun je nog steeds effecten zien van hoe de verschillende onderdelen van het netwerk elkaar beinvloeden. Daarmee kun je antwoord geven op vragen als op welke punten je moet investeren om veel te bereiken met kleine investering, of juist waar het géén zin heeft om extra moeite te doen, of hoe een verbetering op het ene aspect negatieve gevolgen heeft voor andere aspecten.
Geen makkelijk werk maar wel heel gaaf.
PS. Bayesian wiskunde en Bayesian Believe Networks gaan helemaal om conditionele kansen.
Een gewone kans is een vraag als: "Wat is de kans dat het morgen meer 30 graden wordt?"
Een conditionel kans geeft extra informatie: "Wat is de kans dat het morgen 30 graden wordt als je weet dat het vandaag 32 graden was."
De kans dat het in NL 30 graden wordt is normaal gesproken niet zo groot. Maar als je als weet dat het vandaag 32 graden is dan is het waarschijnlijk hoogzomer en dan is de kans dat het morgen 30 graden is een stuk groter dan in de rest van het jaar.
[Reactie gewijzigd door CAPSLOCK2000 op 23 juli 2024 01:54]
/i/2005733590.png?f=imagenormal)
:strip_exif()/i/2007183402.jpeg?f=fpa)
:strip_exif()/i/2006717092.jpeg?f=fpa)
/i/2005763908.png?f=fpa)
/i/2005811140.png?f=fpa)
:strip_exif()/i/2004648162.jpeg?f=fpa)
/i/2004620466.png?f=fpa)
/i/2004859550.png?f=fpa)
/i/2004610876.png?f=fpa)
/u/590360/crop646f4f0d1d2aa.png?f=community){kind=small}
:strip_icc():strip_exif()/u/79614/Family-Guy-Victory-is-Ours.jpg?f=community){kind=small}
:strip_icc():strip_exif()/u/745575/crop5de1181b59fc4_cropped.jpeg?f=community){kind=small}
:strip_icc():strip_exif()/u/269054/crop6064049cee9ab_cropped.jpg?f=community){kind=small}