Auditscripts in de praktijk

Maat: px
Weergave met pagina beginnen:

Download "Auditscripts in de praktijk"

Transcriptie

1 Auditscripts in de praktijk JJe zit niet op onnodig werk te wachten? Wat is dan handiger dan een tool te gebruiken die het auditbewijsmateriaal automatisch voor je oplevert? REINIER OLISLAGERS Dat kan door auditscripts te gebruiken: een ook voor mensen leesbare lijst instructies die settings en gegevens relevant voor audits opvraagt uit een draaiend systeem. Het gaat hier dus om een computerprogramma dat draait op de te auditen systemen. Zie in listing 1 als voorbeeld een deel uit het Lynis Linux/Unix auditscript 1 dat kijkt welk operating system wordt gebruikt. Systeembeheerders of auditors met de juiste rechten kunnen die scripts op enkele of vele machines laten lopen, waarna de auditor de output analyseert en toetst aan zijn normenkader. Tenslotte kan de auditor systeembeheerders vragen naar de reden van onduidelijke of naar zijn mening onjuiste instellingen. Het lijkt een droom van eenvoud en auditgemak, maar zoals bij alle tools zitten er wel addertjes onder het gras. Hierna deel ik mijn ervaringen bij het schrijven en gebruiken van auditscripts in de hoop dat ze van pas kunnen komen voor collega-auditors. WannEEr scripts? Scripts hebben alleen zin als ze passen binnen het controledoel van een audit. Auditscripts hebben betrekking op specifieke systemen zoals bepaalde netwerkapparatuur, operating systems, databases, webservers, applicaties. Afhankelijk van de systemen die de scripts bevragen, kunnen applicatieve audits, gericht op beveiliging binnen applicaties, en/of infrastructurele audits, gericht op operating system/netwerk/database, worden ondersteund. Mijn collega's en ik hebben scripts met succes gebruikt om bij uitgebreide audits snel een overzicht te krijgen van de beveiliging van een groot aantal systemen. Voordelen Gebruik van auditscripts bij het controleren van auditobjecten kan de volgende voordelen hebben: Auditors met minder specialistische kennis kunnen toch een audit uitvoeren: ze hoeven zich niet zo te verdiepen in welke commando s ze moeten gebruiken om resultaten te krijgen en kunnen zich meer richten op het analyseren van scriptresultaten. Werken met auditscripts maakt het makkelijker om een antwoord geven op de vraag van de systeembeheerder: wat wil je precies op settingsniveau weten en daarmee de discussie met gecontroleerde snel op een niveau met voldoende technisch diepgang te brengen. Ditzelfde voordeel kun je overigens behalen door de commando's buiten scripts om in auditwerkprogramma's vast te leggen. Efficiëntievoordeel door herhaalbaarheid en schaalbaarheid: scripts kunnen zonder veel extra inspanning op vele systemen en in verschillende soorten audits worden gebruikt. Betrouwbaarheid uitkomsten: automatisch geven van opdrachten om instellingen en bestanden de IT-Auditor nummer IT Auditor_13_02.indd 23

2 # Check operating system case `uname` in # IBM AIX AIX) OS="AIX" OS_NAME="AIX" OS_FULLNAME=`uname -s -r` OS_VERSION=`uname -r` CPU=`uname -p` HARDWARE=`uname -M` FIND_BINARIES="whereis -b" SYSCTL_READKEY="" ;; # Mac OS X Darwin) OS="MacOS" if [ -x /usr/bin/sw_vers ]; then OS_NAME=`/usr/bin/sw_vers -productname` OS_VERSION=`/usr/bin/sw_vers -productversion` OS_FULLNAME="${OS_NAME} ${OS_VERSION}" else # Fall back to pretty safe name OS_NAME="Mac OS X" OS_FULLNAME=`uname -s -r` OS_VERSION=`uname -r` fi HARDWARE=`uname -m` HOMEDIRS="/Users" FIND_BINARIES="whereis" OS_KERNELVERSION=`uname -r` SYSCTL_READKEY="" ;; Listing 1: Een stuk auditscript op te vragen is minder foutgevoelig dan het handmatig (laten) invoeren van die commando's. Vergelijkbaarheid uitkomsten: omdat steeds dezelfde commando's worden gebruikt is het gemakkelijk om resultaten van verschillende systemen (binnen één audit of tussen verschillende audits) te vergelijken en daar conclusies uit te trekken. Je kunt scripts logischerwijze het beste gebruiken als de ontwikkel- en beheerkosten van de scripts en de kosten van analyse van de resultaten lager zijn dan de kosten van het verkrijgen en analyseren van je auditbewijs langs andere weg (bijvoorbeeld handmatig, via tooling gecontroleerde). Om deze kosten te bepalen of te schatten, moet je ook de nadelen van scripts beoordelen. Deze komen hierna aan de orde. nadelen Auditscripts hebben de volgende beperkingen: Een script test alleen een bepaald systeem of subsysteem zoals een Oracle-database. Het test niet het onderliggende operatingsystem (zoals Unix) of het netwerk waarover het verkeer gaat. Het kan mogelijk zijn om scripts voor die onderliggende/gerelateerde systemen te gebruiken. Ook dan blijft het zaak rekening te houden met het feit dat andere verbonden systemen invloed kunnen hebben op de beveiliging van de systemen waarop de scripts gedraaid worden. Een oplossing is deze beperkingen te compenseren door aanvullende controlewerkzaamheden, zoals normaal auditen, runnen van 24 de IT-Auditor nummer IT Auditor_13_02.indd 24

3 scripts op andere subsystemen en het uitvoeren van vulnerability scans. Scripts bestrijken alleen technische aspecten van een systeem. Toch kunnen ze ook een hulpmiddel zijn bij het toetsen van organisatorische en procesmatige aspecten. Zo kan de output van een script een indicatie geven van het aantal uitgevoerde changes in een periode. Verschillende settings kunnen alleen in combinatie een securityrisico opleveren, of het kost teveel moeite om de normen voor de settings automatisch te laten controleren door het script. Settings kunnen niet altijd gemakkelijk automatisch geanalyseerd worden. Een voorbeeld: een account met hoge rechten op operating systemniveau dat ook hoge rechten heeft binnen een database. Een ander voorbeeld is het beoordelen van werkelijke toegangsrechten aan de hand van een soll autorisatiematrix. Gevolg is dat voor de analyse van scriptresultaten vaak nogal wat aanvullend handmatig werk nodig is. Samenhangend met het vorige punt: false positives door compenserende maatregelen. Als voorbeeld: een Sybase database staat zo ingesteld dat toegang over een unencrypted netwerkverbinding is toegestaan. Op operating systemniveau of via een firewall is echter de toegang tot de Sybase netwerkpoort dichtgezet, zodat de database niet over het netwerk benaderbaar is. Er is inhoudelijke systeemkennis nodig om dit te onderkennen en het punt niet (of met een laag risico) in het auditrapport op te nemen. Goede, tijdige communicatie met de betrokken beheerders over de resultaten van het script kan hier wonderen doen. Aanpassingen door gecontroleerden in de scriptresultaten kunnen meestal niet worden ontdekt. Hierop kom ik later terug bij de behandeling van functiescheiding. Een script moet bijgewerkt worden voor nieuwe releases van software en mogelijk voor nieuwe configuraties bij de gecontroleerde, als het script daar niet op was berekend. Bij herhaalde toepassing van scripts: wegvallende kennis van wat het script precies doet als basis voor het uitvoeren van de audit. Wanneer een auditor niet meer exact weet wat het script wel of niet bestrijkt, kunnen gaten in een audit ontstaan. Eigen tooling gecontroleerde Een belangrijk punt bij het besluiten of je auditscripts gaat gebruiken is een analyse van de extra moeite die het kost boven andere manieren van bewijs verzamelen en analyseren. Vooral grotere organisaties zullen ten behoeve van management of interne controleafdeling vaak zelf tools hebben voor security control/ monitoring (gespecialiseerde producten of systeembeheerproducten) zoals Nessus, NetIQ, TripWire of eigen geschreven tooling. Als de gecontroleerde eigen tooling heeft is het relatieve voordeel van eigen auditscripts vaak te klein of negatief. Vaak is het bij dergelijke tooling mogelijk en zelfs gewenst om aanvullende queries/rapportages en zelfs scripts te runnen. Bij grotere ondernemingen kan de organisatie zelf controles configureren en eventueel zelf geschreven agents inzetten die op de te controleren systemen data doorgeven. Hiermee kan een belangrijk deel van de functionaliteit van de tooling worden geleverd. Daardoor kan de functionaliteit van een dergelijk standaardpakket zeer verschillen tussen implementaties. In dit geval zijn er minstens drie mogelijkheden: 1. De auditor maakt gebruik van de standaard monitoring/rapportagetooling van de gecontroleerde. Risico hierbij is dat auditbewijs alsnog handmatig moet worden verzameld als het systeem onvoldoende aansluit bij de auditdoelstellingen. Met andere woorden: de controledoelstellingen van de tooling van de gecontroleerde moeten de auditdoelstellingen dekken. 2. De auditor maakt gebruik van de tooling van gecontroleerde maar definieert (ook) eigen queries of rapportages binnen die tooling. Het risico bestaat wel dat het schrijven van queries veel tijd kost terwijl ze niet ook in andere omgevingen kunnen worden ingezet. 3. De auditor gebruikt geen tooling van de gecontroleerde maar laat zijn eigen auditscripts lopen. Dit leidt uiteraard tot (een zekere mate van) dubbel werk en in de praktijk moet worden afgewogen of deze aanpak daadwerkelijk verstandig is of een gevolg van een not invented here syndroom aan de kant van de auditor door onbekendheid met de tooling van gecontroleerde. Wanneer de gecontroleerde eigen tooling heeft, zou je als auditor toch wèl eigen scripts kunnen gebruiken in de volgende gevallen: Als de bij de gecontroleerde aanwezige tooling te beperkt is en je als auditfunctie niet makkelijk meer functionaliteit kan krijgen. Let wel: weeg de kosten van het script af tegen de kosten van toolinggebruik plus de kosten van handmatig extra informatie opvragen. Als het te moeilijk is de integriteit en functionaliteit van die tooling zelf te verifiëren, bijvoorbeeld wegens complexiteit of uitgebreide aanpassingen aan de tooling. Een audit op beveiliging van een omgeving zou kunnen uitlopen op een audit van het beheer en functionaliteit van de tooling rond die omgeving. Dit kan een valide audit zijn maar daar moet wel expliciet over besloten worden. Samenhangend met het vorige punt: Wanneer je snel een inschatting wilt hebben van de beveiligingssituatie van een systeem en het doorgronden van de (adequaatheid van) tooling van de gecontroleerde te lang duurt. Indien er sprake is van gebrek aan functiescheiding bij het ontwikkelen en uitvoeren van de tooling, de IT-Auditor nummer IT Auditor_13_02.indd 25

4 zoals het geval is wanneer systeembeheerders zichzelf controleren. Als je vergelijkbare resultaten wilt hebben door middel van een standaard auditscript over verschillende afdelingen/organisaties heen (benchmarking). Wanneer je zelf auditscripts schrijft, omdat tooling wordt gebruikt die niet voldoende is voor audit loop je het gevaar dat je je eigen softwareontwikkelingsbedrijf start om organisatorische bottlenecks te omzeilen. Dit kan echter de enige mogelijkheid zijn als er essentiële onderdelen ontbreken in de tooling. scripts: opzet En de gecontroleerde Het soort auditfunctie (intern, extern) en de organisatiestructuur van de gecontroleerde(n) heeft invloed op de manier waarop je kunt en moet ontwikkelen en testen. Voordat je een script schrijft is het daarom verstandig om ervoor te zorgen dat de procedures rond het ontwikkelen, testen en uitvoeren passen bij de manier van werken van de auditafdeling en de gecontroleerde(n). Verderop wordt de relatie met gecontroleerde bij het uitvoeren van audits met scripts behandeld. acceptatie Hoewel ze leesbaar zijn voor mensen, zijn scripts uiteindelijk computerprogramma's die veelal met hoge rechten worden uitgevoerd. Een volwassen beheerorganisatie zal dergelijke scripts niet zomaar op haar productiesystemen willen laten draaien. Bij het ontwikkelen en laten draaien van de scripts moet liefst de reguliere ontwikkel/changeprocedure van de organisatie worden gevolgd. Hiervoor is een aantal mogelijkheden: Scripts worden getest en geaccepteerd door een centrale IT-organisatie. Er is geen centrale IT-organisatie met deze bevoegdheid, dus scripts worden per audit geaccepteerd. Dit kan bijvoorbeeld gebeuren bij externe audits, dochterondernemingen of buitenlandse vestigingen. Bij de laatste variant moet voldoende tijd ingepland zijn in de audit voor acceptatie door de gecontroleerde. Bij het aanleveren voor acceptatie moet de scriptschrijver vooral letten op zaken als: beveiliging: doet het script geen dingen die niet mogen, bijvoorbeeld het schrijven van settings, het uitproberen van wachtwoorden; functionaliteit: komt eruit wat eruit moet komen en liefst in alle verschillende mogelijke configuraties en versies van het gecontroleerde systeem; load: gaat het systeem/de applicatie niet plat als het script wordt uitgevoerd. samenhang met gecontroleerde systemen Het script moet natuurlijk werken op de draaiende releases en geïnstalleerde modules van de applicaties/ systemen van de gecontroleerde. De scriptschrijver moet hiermee rekening houden bij het schrijven. Een script kan bij sommige versies van het te controleren systeem foutieve of geen uitkomsten geven als het test op functionaliteit die in die versie ontbreekt of anders is. Het uitspitten van documentatie en uitgebreid testen kan dit ondervangen, maar dit moet opwegen tegen de vereiste extra tijd/kosten. Een praktijkvoorbeeld: een Oracle script vraagt auditinformatie op en werkt in Oracle 9. In Oracle 8 geeft het geen uitvoer maar een foutmelding dat de query verkeerd is omdat Oracle in versie 9 een nieuwe kolom heeft toegevoegd aan de tabel, die in versie 8 nog niet bestaat. De code was ongeveer als volgt (zie Listing 2): het is geldige SQL en niets doet vermoeden dat dit niet werkt op Oracle 8, behalve als je de handleidingen van Oracle 8 en 9 met elkaar vergelijkt. Een praktische oplossing om het script te kunnen gebruiken voor beide versies is een schieten met hagel aanpak: herhaal de niet-werkende query en pas de kopie aan voor Oracle 8 met commentaar waarin je aangeeft waarom je dat doet. Resultaat is dat je twee keer naar dezelfde dingen vraagt, waarbij op z'n minst één query de gewenste informatie geeft. Ik ga overigens verderop in het artikel dieper in op foutafhandeling. Praktijktip Ik zou uit efficiency-overwegingen kiezen voor één redelijk algemeen script voor verschillende versies dat misschien niet altijd alle informatie teruggeeft maar wel duidelijk laat blijken als commando s niet ondersteund zijn in die versie. Liever één Oracle script dan drie voor Oracle 9, 10 en 11, die apart ontwikkeld en aangepast moeten worden. Ook is het handig om te kiezen voor een algemene manier van uitvoeren die zo onafhankelijk mogelijk is van de specifieke implementatie in een organisatie op een bepaald moment. Dus een SQL script voor een database in plaats van een shellscript (op operating system niveau dus) dat SQL commando's uitvoert, omdat je dan afhankelijk bent van die specifieke combinatie van shell en operating system. Dit voorkomt dat je bij een wijziging van architectuur of gebruik van het script bij een andere (deel)organisatie met andere componenten veel tijd kwijt bent aan het herontwikkelen, testen en laten accepteren van scripts. Praktijktip Help de gecontroleerde (en de auditor) door in de outputbestandsnaam liefst de naam van het systeem mee te geven zodat er geen dubbele bestandsnamen voorkomen: makkelijk bij zippen/comprimeren van alle runs van scripts op verschillende systemen binnen één audit. Functiescheiding Vaak is het zo dat auditors geen readonly account met hoge rechten hebben binnen de te controleren omgeving. In klassieke Unix-omgevingen en op veel 26 de IT-Auditor nummer IT Auditor_13_02.indd 26

5 Windows omgevingen is het niet gebruikelijk dat er zulke accounts zijn ingericht. Dit kan een bevinding op zich zijn maar brengt wel met zich mee dat auditors zelf geen scripts kunnen uitvoeren, of ze moeten tijdelijk beheerdersaccounts hebben (wat eveneens nogal ongewenst is). Een oplossing is het laten uitvoeren van auditscripts door de gecontroleerde en als auditor zelf de resultaten te beoordelen. Dit vereist wel een afdoende functiescheiding tussen de afdeling die het script uitvoert en de afdeling die verantwoordelijk is voor het instellen van de parameters waarop de scripts controleren. Immers, als je mensen zichzelf laat controleren bestaat de verleiding om de resultaten een iets... charmantere inhoud te geven. Een voorbeeld in een mainframeomgeving: als het script securityinstellingen controleert, moet het niet worden uitgevoerd door de afdeling waar het RACF system-wide special attribute is belegd, maar door die met system-wide audit. Een situatie die wij meemaakten is dat de gecontroleerde scriptcommando s aanpaste, omdat die op zijn systeem niet goed liepen. Zo zorgde hij ervoor dat een aantal foutmeldingen in de output wegens ontbrekende bestanden niet voorkwamen, terwijl wij juist uit de foutmeldingen konden opmaken wat er wel en niet geïnstalleerd was. Het risico is te ondervangen (of te beperken) door: Zelf uitvoeren van het script onder een eigen account. Zoals gezegd, zijn er vaak maar weinig omgevingen met alleen-lezen/auditor accounts met de vereiste rechten op het hele systeem. Het is geen goed idee om als auditor het script onder een account met schrijfrechten uit te voeren. Wanneer de auditor zelf geen alleen-lezen account heeft: bij beheerders gaan zitten terwijl ze het script uitvoeren om te controleren dat er geen veranderingen plaatsvinden. Enkele verbandscontroles in te bedden in het script. Als de gecontroleerde de uitvoer overtuigend wil wijzigen zal hij op meerdere punten aanpassingen moeten doen. Bijvoorbeeld: logging checken door zowel loggingconfiguratie als logoutput op te nemen; logs van uitgevoerde commando's laten genereren door het script en dit confronteren met de scriptoutput; queries op totaal- en detailniveau uitvoeren en de resultaten correleren; opnemen van een hash van de tekst van het script in de output en van de output in weer een ander bestand (of, als mogelijk, aan het eind van de output). Ter plekke steekproef/waarneming van settings uitvoeren of vergelijken met resultaten komend uit andere delen van de audit (bijvoorbeeld wijzigingen gevonden bij auditen van change-management kunnen hun weerslag hebben in configuratie of logging en kunnen terugkomen in de scriptuitvoer). Inschatten van het risico via andere controleactiviteiten in de audit die gericht zijn op de integriteit en professionaliteit van de gecontroleerde. Op basis van deze inschatting kan de auditor besluiten om aanvullende maatregelen te treffen. Compileren van het auditscript tot gewoon programma, dat een systeembeheerder alleen met veel moeite en kennis kan aanpassen. Dit wordt verder niet behandeld, omdat bij onze organisatie is gekozen voor het niet compileren van de scripts. Nadelen van zelf compileren zijn: Test/acceptatie door gecontroleerde zal meer voeten in de aarde hebben (bijvoorbeeld bij externe gecontroleerden, gecontroleerden met eigen acceptatieprocedures). Het compileren van scripts vereist vaak meer programmeerwerk (bijvoorbeeld gebruik maken van een databasedriver bij databasescripts) en komt vaak neer op het herprogrammeren van scripts in een programmeertaal. De meerwaarde van het uitvoeren van deze activiteit door een auditafdeling boven het laten uitvoeren door de gecontroleerde lijkt me zeer twijfelachtig. Hergebruik Als de gecontroleerde zelf geen of onvoldoende controle-tooling heeft, kan het zin hebben om de auditscripts aan hem over te dragen voor eigen beheer en gebruik. Hierbij moet je je wel realiseren dat onderhoud/ uitvoeren van een script het halve werk is; het analyseren van de scriptoutput vereist ook kennis en wellicht tooling. Dit aspect wordt later nog verder behandeld. Ook moet je voorkomen dat je je eigen werk gaat controleren; bij overdracht moet duidelijk gesteld worden dat de scripts gericht zijn op het verkrijgen van auditbewijs, wat niet hoeft samen te vallen met de behoeften van de gecontroleerde. In de praktijk is het overigens al zo dat auditscripts in elk geval terechtkomen bij de gecontroleerde, waarbij je een deel van je normenkader deelt. De gecontroleerde kan dit vervolgens ook voor zijn eigen controledoeleinden gebruiken, dus het formeel overdragen van scripts is geen groter probleem. Ten slotte zou ik aangeven dat de scripts naar beste kunnen zijn ontwikkeld maar dat de afnemer uiteraard moet controleren en verbeteren wat nodig is. Auditscripts kunnen bijvoorbeeld checks op bepaalde subsystemen missen of bij dagelijks gebruik in bepaalde situaties veel load genereren. scope en normen Auditscripts moeten aansluiten op controledoelstellingen, dus moeten ze ook aansluiten op de normen en te toetsen kwaliteitsaspecten van de audit. Hierna zal ik ingaan op de manier waarop mijn collega's en ik de scope en normenkader voor auditscripts bepaald hebben. Een script wordt wegens de kosten en moeite in het algemeen geschreven voor meerdere audits, waardoor de IT-Auditor nummer IT Auditor_13_02.indd 27

6 cursor c_dbaobjauditopts is select owner,object_name,alt,aud,com,del,gra,ind,ins,loc,ren,sel,upd,ref,exe from dba_obj_audit_opts where alt <> '-/-' or aud <> '-/-' or com <> '-/-' or del <> '-/-' or gra <> '-/-' or ind <> '-/-' or ins <> '-/-' or loc <> '-/-' or ren <> '-/-' or sel <> '-/-' or upd <> '-/-' or ref <> '-/-' or exe <> '-/-'; Listing 2: Deel Oracle script een grotere set normen moet worden meegenomen waaruit bij elke audit een keuze kan worden gemaakt. Hierdoor is het dan ook belangrijk om in het script of bijbehorend werkprogramma of documentatie te vermelden welke normen de basis zijn voor welke queries in het script, zodat de auditor bij het controleren weet welke uitkomsten hij wel en welke hij niet moet beoordelen. Zelf kies ik ervoor om de bron van de normen in de scripttekst zelf op te nemen, zodat wijzigen van scripttests of normen minder kans geeft op het vergeten van het aanpassen van de normen of scripttests. De volgende bronnen van normen zijn denkbaar en grotendeels vergelijkbaar met die voor audits waarbij geen auditscripts worden gebruikt: Algemeen security- en IT beleid van de organisatie, inclusief algemene normen waarnaar wordt verwezen, bijv. ISO 27001/2 voor Information Security Management, Sarbanes-Oxley voor US beursgenoteerde bedrijven, Wet Bescherming Persoonsgegevens, NEN 7510 (voor zorginstellingen), COBIT (Control Objectives for Information Technology), ITIL (Information Technology Infrastructure Library). Normen van de gecontroleerde systeembeheer/security/interne controle-afdelingen zelf. Algemene securitynormen voor het te controleren systeem: Technische documentatie/best practices/normen van leveranciers, zoals de IBM Red Books. Normen van audit- en securityorganisaties, bijvoorbeeld CIS (Center for Internet Security), NSA (US National Security Agency), NIST (US National Institute for Standards and Technology), ISACA, SANS Institute, PvIB (Platform voor Informatiebeveiliging). Tegenvoorbeelden van securityzwakke defaultinstellingen bij installatie, voor zover niet elders gedocumenteerd. Een voorbeeld is het standaard SCOTT/TIGER account dat vroeger bij Oracle databases voorkwam, of het in cursussen vaak gebruikte Cisco enable wachtwoord sanfran. Het loont soms de moeite om cursusmateriaal en beheerdersdocumentatie door te spitten op zoek naar veel gebruikte wachtwoorden en configuraties die een zwakke beveiliging opleveren en dergelijke; daarom is dit punt apart vermeld. Normen komend uit professional judgement, tipgevers/bronnen binnen de organisatie en collegaauditors bij andere organisaties. opzet En testen Van scripts Wanneer je bepaald hebt hoe het ontwikkelen en gebruik van scripts past binnen je organisatie en je normenkaders hebt, waaruit je scriptcommando's haalt, wordt het tijd om het script te schrijven en functioneel te testen. Bij het ontwerpen van scripts is het enorm belangrijk om een goede structuur aan te brengen zodat de schrijver en gebruiker bij de vele scriptopdrachten het overzicht niet verliezen. structuur Een indeling die handig kan zijn bij het schrijven van scripts is: Meta-informatie/audit trail van het script. Hierbij kan gedacht worden aan: Versie van het script dat wordt gedraaid: dit is nodig om werkprogramma's en eventuele analysetooling te laten aansluiten op de juiste commando's. Uitvoerdatum en -tijd: handig om resultaten te correleren met overige controlewerkzaamheden (bijvoorbeeld naar change management). 28 de IT-Auditor nummer IT Auditor_13_02.indd 28

7 Systeemnaam/IP adres of overige identificerende informatie zodat altijd teruggevonden kan worden op welke systeem het script heeft gedraaid, ook al wordt het outputbestand hernoemd. Dit helpt ook als de naam van de bestanden altijd hetzelfde is wegens technische beperkingen, zoals bij sommige databasescripts. Gebruikersaccount waaronder het script gelopen heeft: dit geeft vaak een indicatie of het script met de juiste rechten is gedraaid. Opvragen van geïnstalleerde modules/componenten van het systeem: dit helpt om te kijken of er bij volgende versies van de scripts nog extra informatie voor die modules moet worden opgevraagd. Gebruikte versie van het systeem: kan aanwijzing geven voor output die niet correct of compleet is voor die versie, bijvoorbeeld bij nieuwe auditfuncties op een systeem. Aantal uitgevoerde tests/checks/ commando's: de auditor kan dit aantal confronteren met een telling van de resultaten uit het script om zo de volledigheid van de scriptoutput te checken. Configuratie: algemene instellingen, vaak met security-implicaties, zoals settings voor automatische updates/patches. Een ander voorbeeld bij een databasescript is informatie over soort en versie van het onderliggende operating system, wat handig kan zijn bij het bepalen van welke compenserende controls op operating system-niveau moeten en kunnen plaatsvinden. Deze categorie is voor mij eigenlijk ook een vergaarbak van wat elders niet past. Logische toegangsbeveiliging: gebruikers en rechten, inclusief beheerders. Continuïteit: backup/recovery, transactielogbestanden bij databases, enzovoorts. Performance: instellingen voor het meten van performance, delen van performance monitoring logs, enzovoorts. Auditing/logging: instellingen voor het bijhouden van kritische wijzigingen van systeeminstellingen, alsmede het volgen van gedrag van gebruikers. Ook hier kan je (een deel) van de gegenereerde logs opvragen zodat later de afhandeling van incidenten door de organisatie kan worden getoetst. Consolideren van outputbestanden en opruimen: als er meerdere outputbestanden zijn gegenereerd, kan het script deze met een compressie-utility zoals zip, tar, bzip2 comprimeren en de overbodige outputbestanden verwijderen. Ook kan het tijdelijke bestanden verwijderen, het outputbestand hernoemen naar de systeemnaam en een melding geven aan de gebruiker dat het script gereed is. Afhankelijk van de mogelijkheden van het gecontroleerde systeem kan het script in dit gedeelte ook hashes van het scriptbestand (de source dus) en outputbestand(en) genereren om enige bescherming tegen aanpassing door systeembeheerders te geven. Vorm Zoals aan het begin van het artikel aangegeven, gebruiken scripts door mensen leesbare instructies, in tegenstelling tot gecompileerde programma's. Voordelen zijn dat systeembeheerders makkelijker kunnen controleren dat de juiste informatie wordt verkregen, er niets wordt aangepast en dat de invloed op de performance acceptabel is. Aangezien een script niet is gecompileerd maar voor mensen leesbare tekst bevat, kunnen collega-auditors en security-experts ook makkelijker bijdragen leveren. Omdat het script een tekstbestand is, kunnen licentie, indicatie van auteur/verantwoordelijken, contactinformatie en instructies voor het uitvoeren van het script bijgevoegd worden. Dit verkleint de kans dat aparte documentatie uit de pas gaat lopen met het script zelf. Tenslotte zijn scripts vaak flexibeler dan gecompileerde programma's, waardoor het mogelijk is om relatief snel nieuwe auditdoelstellingen of systemen/functies te verwerken in het script. Listing 3 toont het begindeel van een script gericht op DB2 voor Linux/ Unix/Windows. 2 Het vraagt de systeemidentificatie van de DB2-omgeving op. Hier komen de eerder beschreven vermelding van licentie, auteur, uitvoeringsinstructies en een verwijzing naar normenkaders terug. (zie listing 3) inhoud Het is een vereiste dat het script alleen gegevens opvraagt en niet wijzigt. Een uitzondering kan zijn dat het tijdens de verwerking voor zichzelf tijdelijke bestanden/objecten (bijvoorbeeld temporary tables, of cursors in een database) aanmaakt die automatisch gewist worden. Bij een script op operating systemniveau kun je output die nog verder moet worden verwerkt naar de directory van het script of tijdelijke directory sturen en vervolgens die tijdelijke bestanden na afloop verwijderen. Hierbij moet je natuurlijk waarborgen dat toegang tot die tijdelijke bestanden afdoende beperkt is (bijvoorbeeld uitvoer naar een /tmp of homedirectory onder Unix, tevens het expliciet zetten van permissies met behulp van chmod). Hieruit blijkt ook een verschil met scripts die gebruikt worden tijdens penetratietesten: deze kunnen bijvoorbeeld brute force wachtwoordaanvallen of exploits uitvoeren, waardoor schade of veranderingen aan het systeem kunnen worden aangericht. Auditscripts hebben tot doel alleen informatie op te halen; penetratietests hebben juist tot doel om systemen te manipuleren en daardoor ongewenste toegang te krijgen. De ietwat gechargeerde conclusie: een auditscript moet door minder specialistische mensen dan penetratietesters kunnen worden gebruikt. de IT-Auditor nummer IT Auditor_13_02.indd 29

8 -- This script is provided under the MIT license: -- Copyright (C) 2011 by Reinier Olislagers Permission is hereby granted, free of charge, to any person obtaining a copy -- of this software and associated documentation files (the "Software"), to deal -- in the Software without restriction, including without limitation the rights -- to use, copy, modify, merge, publish, distribute, sublicense, and/or sell -- copies of the Software, and to permit persons to whom the Software is -- furnished to do so, subject to the following conditions: The above copyright notice and this permission notice shall be included in -- all copies or substantial portions of the Software THE SOFTWARE IS PROVIDED "AS IS", WITHOUT WARRANTY OF ANY KIND, EXPRESS OR -- IMPLIED, INCLUDING BUT NOT LIMITED TO THE WARRANTIES OF MERCHANTABILITY, -- FITNESS FOR A PARTICULAR PURPOSE AND NONINFRINGEMENT. IN NO EVENT SHALL THE -- AUTHORS OR COPYRIGHT HOLDERS BE LIABLE FOR ANY CLAIM, DAMAGES OR OTHER -- LIABILITY, WHETHER IN AN ACTION OF CONTRACT, TORT OR OTHERWISE, ARISING FROM, -- OUT OF OR IN CONNECTION WITH THE SOFTWARE OR THE USE OR OTHER DEALINGS IN -- THE SOFTWARE. -- For each database on the instance to be checked, connect first: -- e.g. db2 connect to sample user ADMINISTRATOR -- then run using -- db2 -es "-td;" +s -x -f db2seccheck.sql -l db2cmdlog.txt -r db2secout.txt -- -es: display SQLSTATE messages; +e: display no sqlstate -- -f: script file -- -l: log files with commands given -- -r: output to report file -- +s: don't stop execution on error -- -td;: use ; as a command line terminator (quoted to avoid problems with unix shells) -- -x: suppres printing of column headers -- Repeat running the script for all databases. (= ADMINISTRATORS, This script is meant to give an overview of DB2 security and configuration. It only selects information and does not modify data. Although this script has been tested, please review this script in advance and possibly run this on a test machine to verify this. If you have any suggestions for improvement or corrections, we would be very grateful to receive them. Listing 3: Deel DB2 script (wordt vervolgd op volgende pagina) 30 de IT-Auditor nummer IT Auditor_13_02.indd 30

9 DO NOT CHANGE ANYTHING BELOW THIS LINE! If commands are not correct, please inform us in advance. Thank you. =) -- Based on: -- CIS security benchmark v (references in script are references to paragraph number) DB2 Security and Compliance Solutions for Linux, Unix, and Windows ================================================ Script metadata -- ================================================ VALUES ('--TestID:'); VALUES ('Name'); VALUES ('--TestDescription:'); VALUES ('Informational: unique name for the tested server.'); VALUES ('--Explanation:'); VALUES ('Helps distinguish output from multiple scripts.'); VALUES ('Combines host and instance information.'); VALUES ('--Norm:'); VALUES ('None'); VALUES ('--Results:'); -- Note: by default, spm_name is the host name, but this can change -- SELECT VALUE FROM SYSIBMADM.DBMCFG WHERE NAME = 'spm_name'; -- todo: check if DB2INSTDEF could be replaced by more specific variable -- maybe DB2INSTANCE - or simply db2 clp GET INSTANCE select REG_VAR_VALUE from sysibmadm.reg_variables WHERE REG_VAR_NAME='DB2SYSTEM'; select REG_VAR_VALUE from sysibmadm.reg_variables WHERE REG_VAR_NAME='DB2INSTDEF'; VALUES ('--RecordEnd'); VALUES (''); Listing 3: Deel DB2 script Een ander belangrijk punt bij het bepalen van welke commando's een script moet uitvoeren, is dat de load van het te controleren systeem niet teveel mag oplopen bij uitvoeren. Een praktijkvoorbeeld is het doorzoeken van Unix-bestandssystemen op world-writable files ofwel bestanden die door alle Unixaccounts te beschrijven zijn. Dit vormt een probleem als een machine remote (bijvoorbeeld een netwerkbestandssysteem op een SAN) of trage bestandssystemen heeft. Omdat het niet mogelijk leek om voldoende generiek uit te maken of een bestandssysteem remote was, was de oplossing om de zoekcommando's met een commando (nice) af te remmen en om de zoekopdracht te herschrijven zodat meerdere zoekslagen (bijvoorbeeld zoeken naar world-writable files en files met suid/ guid tegelijk) in één keer uitgevoerd werden. Een ander alternatief zou kunnen zijn om alleen voor bepaalde kritische bestanden te kijken of ze world-writable zijn, maar dit vereist meer onderhoud in het bijhouden van het script omdat je de lijst van kritische bestanden per release/mogelijke configuratie/geïnstalleerde software zou moeten bijhouden. De vorige punten geven al aan dat het belangrijk is om te weten welke commando's welk effect hebben. Meer of minder voor de hand liggende bronnen van kennis over de te geven commando's: Systeemdocumentatie, overige documentatie (bijvoorbeeld de IBM Red Books). de IT-Auditor nummer IT Auditor_13_02.indd 31

10 Bestaande scripts die bijvoorbeeld op internet of in de organisatie beschikbaar zijn. Sites voor beheerders. Trainingen. Beheerders en interne controleafdelingen bij de organisatie. Praktijktip Betrek systeembeheerders tijdens het bouwen van de scripts; vaak hebben ze nuttige tips voor commando's die een script efficiënter of effectiever maken. Omdat scripts zoveel mogelijk versieonafhankelijk moeten zijn en acceptabel voor de gecontroleerde, verdient het aanbeveling alleen gedocumenteerde commando's te gebruiken. Als uit oogpunt van effectiviteit of efficiency alleen een onofficieel commando kan worden gebruikt, moet je dat duidelijk al dan niet in het script documenteren en beargumenteren. Vaak worden deze onofficiële commando's dan in de praktijk door systeembeheerders gebruikt, omdat ze een leemte in de officiële set commando's opvullen. Praktijktip Documenteer in het script wat het commando doet, liefst onder verwijzing naar leveranciersdocumentatie, welke controles je daarmee zou kunnen afdekken en waarom je gekozen hebt voor dat commando in plaats van mogelijke alternatieven. Eventueel kan dit ook in een begeleidend document gebeuren. Dit geeft duidelijkheid bij discussies over de vraag of de juiste uitvoer wordt gegenereerd. Het documenteren van de reden waarom een commando wordt gebruikt kan helpen als jij of je opvolger later een makkelijkere manier gevonden lijkt te hebben om output te krijgen die echter niet goed werkt. Een voorbeeld van documentatie is te vinden in de laatste regels van het extract van scriptoutput van Listing 4, bij het CIS1.0.3 record: geen resultaat maar een aansporing aan de auditor om handmatig te controleren. Het detailniveau van de scriptuitvoer is een kwestie van keuze. Je kunt kiezen om het script alle ruwe data te laten uitvoeren, of het script data te laten analyseren en alleen de resultaten weg te schrijven. Wat mij betreft moet de uitvoer van het script voldoende gedetailleerd zijn om als auditor zelf de analyse te kunnen maken. Ruwere informatie is ook minder manipulatiegevoelig door gecontroleerde: hij weet niet wat jij gaat controleren en moet eventuele kruisverbanden zelf ook leggen. Bovendien weet je nooit of je bepaalde data nog kunt relateren aan andere scriptresultaten of auditbewijs. Verder is het zo dat de taal waarin je scripts schrijft voor veel systemen niet erg geschikt is om gemakkelijk stukken tekst te laten analyseren en bewerken. Als je databasescripts schrijft ben je bijvoorbeeld vaak gebonden aan de beperkingen van SQL. Ook kun je er niet van uitgaan dat een systeem bepaalde makkelijke hulplibraries of commando's heeft (bijvoorbeeld awk en sed op een Unixsysteem) vooral bij gehardende, zwaar beveiligde systemen zal dit optreden. Het is dan efficiënter om de wat ruwe scripoutput na ontvangst door de auditor (half )automatisch te laten analyseren. Dit onderwerp komt terug in de paragraaf Analyse en voorbewerkingstool. Misschien nog wel belangrijker is dat je bij meer gedetailleerde output vaak kunt achterhalen of de commando's in het script wel de gewenste uitvoer genereren. Wanneer je geen ruwe output hebt, is het onmogelijk om te bepalen of een component niet aanwezig resultaat komt doordat het commando dat zocht naar die component niets opleverde of dat het commando niet werkte. Listing 4 toont een deel van de uitvoer van mijn DB2 Linux/Unix/ Windows script. 3 Het toont de table spaces (mapping tussen logische databaseobjecten als tabellen en de fysieke opslag ervan in bestanden/ partities 4 ) en bevat een sectie die de auditor aanspoort zelf te controleren op het operating system account waaronder DB2 draait. Zie regel zes van onderen in listing 4. Het is handig om de commando's in het script zo eenvoudig mogelijk te houden zodat de kans op foutieve uitvoer zo klein mogelijk is. Aan de uitvoer van TestID SO_TABLE- SPACES in Listing 4 van regel 10 tot aan -- RecordEnd: is te zien dat ik er voor gekozen heb om de commando's die deze output genereren zo eenvoudig mogelijk te houden, wat in dit geval helaas betekent dat de output ongestructureerde elementen bevat die beter apart vermeld hadden kunnen worden. Het bepalen van het detailniveau was één van de meest verhitte onderwerpen van discussie bij ons team, wat misschien aangeeft dat de beste oplossing niet voor de hand ligt. Wanneer mogelijk laat ik scripts alle uitgevoerde commando's volgen en het resultaat wegschrijven naar een logbestand. Dit is niet alleen handig bij het ontwikkelen, maar ook bij gebruik in productiesystemen omdat het kan helpen bij het zoeken naar de reden van falen van scriptcommando's. Bovendien kan het dienen als een extra controle op de juistheid en volledigheid van het gedraaide script. In listing 5 een deel van het logbestand van mijn DB2 script 5 waarin te zien is dat de uitgevoerde commando's goed werden uitgevoerd. Praktijktip Probeer zoveel mogelijk fouten netjes af te vangen in je script: het is immers een programma, dat op onvermoede manieren kan vastlopen. Natuurlijk is er een spanningsveld tussen goede foutafhandeling en scriptcomplexiteit. Een voorbeeld: oudere versies van Oracle stopten met uitvoer naar het scherm als een buffer vol zat. Die buffer had een beperkte maximumomvang. De oplossing was het maken van één hoofdscript dat per controle een ander script aanroept. Zo blijft het bufferprobleem beperkt tot één controle. 32 de IT-Auditor nummer IT Auditor_13_02.indd 32

11 --TestID: SO_TABLESPACES --TestDescription: Tablespaces --Norm: None --Explanation: Tablespaces present on instance Ref: --Results: SYSCATSPACE DMS ANY NORMAL IBMCATGROUP TEMPSPACE1 SMS SYSTEMP NORMAL IBMTEMPGROUP USERSPACE1 DMS LARGE NORMAL IBMDEFAULTGROUP SYSTOOLSPACE DMS LARGE NORMAL IBMCATGROUP RecordEnd --TestID: CIS TestDescription: DB2 service under least privileges --Explanation: Ensure that DB2 is running under the least privileges at OS level as needed. --Norm: None --Results: Please check at operating system (e.g. Unix) level. --RecordEnd Listing 4: Deel DB2 scriptoutput de IT-Auditor nummer IT Auditor_13_02.indd 33

12 05/13/ :31:21 VALUES ('--TestID:') 05/13/ :31:21 DB20000I The SQL command completed successfully. 05/13/ :31:21 VALUES ('Name') 05/13/ :31:21 DB20000I The SQL command completed successfully. 05/13/ :31:21 VALUES ('--TestDescription:') 05/13/ :31:21 DB20000I The SQL command completed successfully. 05/13/ :31:21 VALUES ('Informational: unique name for the tested server.') 05/13/ :31:21 DB20000I The SQL command completed successfully. 05/13/ :31:21 VALUES ('--Explanation:') 05/13/ :31:21 DB20000I The SQL command completed successfully. 05/13/ :31:21 VALUES ('Helps distinguish output from multiple scripts.') 05/13/ :31:21 DB20000I The SQL command completed successfully. Listing 5: Deel DB2 scriptlog script klaar... en nu? Wanneer het script gereed lijkt, moet de schrijver functionele tests uitvoeren. Hiervoor zijn verschillende mogelijkheden: Inrichten en gebruiken van een eigen testomgeving. Het inrichten en onderhouden van een eigen testomgeving kan nogal veel werk kosten, maar heeft als voordeel dat de auditor meer kennis van het systeem opdoet. Met de huidige virtualisatietechnieken en gratis systemen voor ontwikkelingsdoeleinden is dit ook gemakkelijker geworden. In onze organisatie hadden we een eigen testomgeving voor veelgebruikte Windows- en databaseomgevingen; ons team was ook aanspreekpunt voor de technische controle op deze omgevingen. Een testaccount gebruiken. Een account op een testomgeving, vooral bij grotere systemen (Unix, mainframe, AS/400), kan een goede oplossing zijn. Hierbij is het belangrijk dat het account de juiste inzagerechten heeft. Testen laten uitvoeren onder het account van beheerders, onder toezicht van de scriptschrijver. Wellicht te doen voor een enkel simpel script, maar de organisatie wordt hier al snel te zwaar door belast. Het is bij functioneel testen handig om enkele auditors van uiteenlopend kennisniveau te betrekken om de output (en eventuele instructies of tooling hiervoor zie hierna) te beoordelen op het afdekken van de controledoelstellingen, duidelijkheid en gemak. analyse en voorbewerkingstool Als het script bij testen oplevert wat het moet opleveren, is het tijd om een bijbehorend controlewerkprogramma voor het uitvoeren van audits met het script af te maken/te schrijven. De volgorde waarin dit gebeurt, zal afhangen van de manier waarop de auditorganisatie werkt. Zoals al eerder behandeld is, kun je scripts zo uitgebreid maken dat ze voor globale audits, maar ook diepgaandere audits gebruikt kunnen worden. Dan kun je een standaard werkprogramma maken dat de belangrijkste punten uit het script laat analyseren. Als er specialistische of meer diepgaande audits zijn, kunnen ter zake kundige auditors de scriptresultaten desgewenst diepgaander analyseren aan de hand van een toegespitst werkprogramma, dat eventueel per audit apart kan worden opgesteld. Een voorbeeld van verschillend gebruik van scripts: bij een infrastructurele audit wordt onder meer gecontroleerd op autorisaties van systeemaccounts op een database; bij een applicatieaudit van bijvoorbeeld een HR-pakket op een Oracle database worden alleen gebruikersautorisaties relevant voor die applicatie op databaseniveau gecontroleerd. Zoals eerder aanbevolen, is een script vaak geschreven voor de grootste gemene deler van uitvoer- en presentatiemogelijkheden van een systeem. Ook is het gezien de kans op fouten verstandig om scripts zo simpel mogelijk te houden. Hierdoor leveren scripts vaak een grote hoeveelheid ruwe gegevens op die ook nog eens in een lastig formaat staan. Een voorbeeld is de uitvoer van TestID SO_ TABLESPACES in Listing 4. Het is soms efficiënter om auditors dergelijke output handmatig te laten analyseren. Afstemming met de betrokken systeembeheerder zal ook veelal makkelijker gaan. Bij grotere hoeveelheden geanalyseerde systemen of ingewikkelde output waarbij handmatige analyse 34 de IT-Auditor nummer IT Auditor_13_02.indd 34

13 foutgevoelig wordt, kunnen wellicht Computer Aided Audit Tools (CAATS) als ACL, IDEA of Excel gebruikt worden. Als ook dit niet gemakkelijk kan, kan het de moeite waard zijn om tooling te maken die het script zelf vooranalyseert (dat wil zeggen conclusies verbindt aan gevonden output) of de output ordent voor verdere verwerking door de auditor of andere CAATS. Als de lay-out van de output van verschillende auditscripts op meerdere systemen vergelijkbaar is, kan dit zelfs een efficiënte manier zijn om output te ordenen. Zo gebruik ik voor zoveel mogelijk scripts een outputformaat dat grotendeels hetzelfde is en gemakkelijk omgezet kan worden in een Excel-, Access- of CSV-bestand. Hiervoor heb ik een tool ontwikkeld (zie het screenshot in figuur 1), te downloaden via https://bitbucket. org/reiniero/db2securityscript. Wil je zo'n tool maken of de auditor met CAATS de output direct laten analyseren, dan moet de scriptoutput modulair zijn: per record/element van het script mag er maar één soort output worden gegeven. Zo is verdere manipulatie of vergelijking (in de tijd of met scriptoutput van andere systemen) gemakkelijker. Een voorbeeld van hoe het niet moet is te vinden in de output in Listing 4 bij het SO_TABLESPACES record: hierbij zijn per tablespace allerlei kolommen toegevoegd die eigenlijk weer in aparte records hadden kunnen staan. Soms kan dit echter niet anders omdat opdelen/opmaken van data in het script zelf (bijvoorbeeld in SQL) bijna niet gaat en dan is iets vaak beter dan niets. Figuur 1: Screenshot output parser In het controlewerkprogramma moet een norm staan, een verwijzing naar de query met daaruit volgend bewijs uit het auditscript en de toetsing van het bewijs aan de norm. Hierbij kan het praktisch zijn om in het werkprogramma te verwijzen naar unieke IDs van controles in het script en eventueel de manier van analyseren te beschrijven. Zodra je tooling of werkprogramma's gebruikt om scriptresultaten te verwerken (dus eigenlijk altijd) is versiebeheer, inclusief vastlegging van welke versie officieel getest en geaccepteerd is door de organisatie/gecontroleerde, onontbeerlijk. kundigheid van de scriptschrijver Uit het voorgaande blijkt al dat een aantal kundigheidseisen aan de scriptschrijver wordt gesteld: Kennis van het gecontroleerde systeem: zonder voldoende diepgaande kennis van de architectuur en werking van het systeem is de schrijver simpelweg niet in staat om een zinnig script te schrijven. Kennis van de security van het systeem, ook in relatie met verbonden systemen. Een voorbeeld: bij een auditscript op Unix moet je kennis hebben van de beveiliging in Unix maar ook de relaties met netwerkbeveiliging en beveiliging van databases en applicaties die op Unix kunnen draaien. Kunnen auditen of tenminste weten hoe het auditproces loopt en wat auditors nodig hebben. Kunnen scripten/programmeren. Deze combinatie van kundigheden is tamelijk zeldzaam; een oplossing hiervoor kan zijn om scripts in te kopen of te downloaden: het is moeilijker om een script zelf te schrijven dan te beoordelen of het goed werkt. Het kan ook interessant zijn om samen met collega-auditors van andere organisaties of beroepsverenigingen scripts te ontwikkelen. HEt gebruik Van auditscripts Hiervoor zijn de organisatorische en technische aspecten van het ontwikkelen van scripts behandeld. Hierna volgen mijn ervaringen met het gebruik van scripts bij audits. auditor en gecontroleerde Het is van wezenlijk belang om zo snel mogelijk, liefst bij de aankondiging van de audit, het script mee te sturen en af te spreken op welke systemen dit gedraaid gaat worden, wanneer de output klaar is en wie de IT-Auditor nummer IT Auditor_13_02.indd 35

14 (bij zowel de gecontroleerde als aan de auditkant) aan te spreken is bij problemen. Dit zorgt ervoor dat de organisatie van de gecontroleerde niet nodeloos wordt belast door op het laatste moment de scripts te moeten runnen zelfs bij het automatisch distribueren en uitvoeren van scripts zal dit eerst ingesteld moeten worden. Het maakt verschil of het script al getest en geaccepteerd is door de organisatie of niet; zie hiervoor het eerder behandelde deel over de opzet van scripts. Praktijktip Het is handig om bij het intake/openingsgesprek van de audit te vragen naar de beveiligingsdoelstellingen en -beleid van gecontroleerde zelf zodat dit zo nodig in het auditscript verwerkt kan worden. Hiermee kunnen misverstanden achteraf mogelijk voorkomen worden. Het risico van doorbreken van functiescheiding bij het laten uitvoeren van auditscripts is niet denkbeeldig. De eerder bij de opzet behandelde maatregelen kunnen dit risico minimaliseren of wegnemen. De gecontroleerde organisatie krijgt het script vooraf. Zelfs als de auditor zelf onder zijn eigen (alleen-lezen) account het script uitvoert, zal een volwassen organisatie het script willen zien om bijvoorbeeld performanceproblemen door excessieve queries voor te zijn. Dit betekent dat auditors rekening moeten houden met de mogelijkheid dat gecontroleerden de scripts gebruiken om hun systemen auditproof te maken; een reden te meer om het script veel ruwe gegevens te laten genereren en weinig te laten analyseren (zie het eerdere deel over de opzet van scripts). kundigheid en analyse Uit het verhaal tot dusver blijkt dat een uitgevoerd script geen kant en klare auditfindings oplevert. Er zijn dus eisen te stellen aan de kundigheid van de auditor die de resultaten analyseert: Kennis van het systeem is nodig voor het analyseren van de scriptoutput en beoordelen van false positives/compenserende controls. Compleet automatiseren van scripts/aanvullende tooling tot stoplichtjesniveau kan wel maar kost veel tijd en heeft alleen zin als de auditors weten dat een getoonde oranje in werkelijkheid soms rood en soms groen is. Kennis van systemen en relaties met onderliggende systemen (bijvoorbeeld operating system en netwerk bij een databaseaudit) is nodig om een geldig totaaloordeel te kunnen geven en zich bewust te zijn van de beperkingen van de scriptoutput. Ontbrekende deskundigheid is deels te compenseren door organisatorische specialisatie door te voeren: je kunt ervoor kiezen om normale auditors de scripts te laten analyseren, maar wel de scriptschrijvers te betrekken bij de eerste paar audits om een goede analyse te waarborgen; bij ingewikkelde of grote audits is het aan te bevelen om dit altijd te doen. Hierdoor wordt ook aan kennisoverdracht gedaan. Het is voor een auditor bij de voorbereiding van de audit handig om de output van scripts uit een testsysteem of eerdere audits te analyseren en te kijken of hij hulp nodig heeft bij de analyse. Praktijktip Het kan efficiënt zijn om een bepaald basisniveau aan systeemkennis verplicht te stellen, voordat met het script gewerkt wordt. Als er al een testomgeving beschikbaar is, kan het nuttig zijn om de auditor het script op deze omgeving uit te laten voeren. Aan de andere kant kan er gekozen worden voor training on the job in een meestergezel systeem. Beide keuzen kunnen werken, maar de benodigde tijd en moeite moet tevoren duidelijk zijn en ingepland worden. Een andere methode om de analyse te versnellen, is om een ruwe analyse van de resultaten te bespreken met de betrokkenen bij de gecontroleerde. Dit biedt ook een houvast bij interviews, omdat er over concrete voorbeelden/settings kan worden gesproken. Los van het voorgaande moet het resultaat van elke analyse op basis van scripts natuurlijk net als andere audit bewijs teruggekoppeld worden aan gecontroleerde voor wederhoor. Gezien de mogelijkheid van false positives/het missen van compenserende controls is dit belangrijk bij het gebruik van scripts. dossiervorming Het verdient sterk aanbeveling (het lijkt me zelfs verplicht uit oogpunt van beroepsregels) om de gebruikte scripts zelf en de ruwe output (eventueel gecomprimeerd) in het auditdossier te bewaren. Als analysetooling gebruikt wordt, zou ik ook deze output opnemen met verwijzing naar (het bestand met) de ruwe output. Het analyseprogramma zelf zou in zijn output een verbinding moeten leggen met de query/queries van het auditscript en de sectie van de uitvoer waar de gepresenteerde gegevens vandaan komen. Bij de afwerking van het werkprogramma volstaat dan een verwijzing naar de toolingresultaten en de analyses, bevindingen en conclusies van de auditor. Zo kan een reviewer altijd vanuit de bevinding van het rapport via het dossier en de ruwe output naar het originele commando uit het script gaan en vaststellen of de bevinding terecht was. Soms had ik inderdaad discussies met gecontroleerden, die claimden dat het verkeerde commando was gebruikt. Door deze dossierinrichting en de eerder genoemde documentatie in het script zelf kon ik dat redelijk gemakkelijk weerleggen. Feedback voor scriptschrijvers Mijn collega's en ik hebben bij het ontwikkelen en ondersteunen van auditscripts veel gehad aan de ervaringen van auditors bij het gebruik van de scripts. Auditors van verschil- 36 de IT-Auditor nummer IT Auditor_13_02.indd 36

15 lende ervaringsniveaus komen verschillende soorten omgevingen tegen, waardoor je een grote verscheidenheid aan reacties over de inhoud en bruikbaarheid van de scripts krijgt. Het is dan zaak af te wegen wat efficiënt in het script aangepast kan worden, wat in documentatie aangepast moet worden, wat door training van auditors aangepakt moet worden en wat niet (kosteneffectief ) te veranderen is. conclusie Scripts kunnen nuttig zijn, vooral om snel inzicht te krijgen in de security van complexe systemen. Aangezien ontwikkeling en testen van bruikbare scripts en bijbehorende documentatie veel werk kost, heeft het zin eerst te kijken of de gecontroleerde organisatie zelf afdoende controle/rapportagetooling heeft. Zorg voor een goed gestructureerd script, kundige analyse en volg goede Drs. Reinier A. Olislagers is werkzaam geweest als ontwikkelaar, technisch IT-auditor en audit supervisor in zowel in binnen- als buitenlandse organisatieonderdelen van ING. Hierbij heeft hij zowel normale auditwerkzaamheden als penetratietests uitgevoerd. Reinier is eind dertig, getrouwd en huisgenoot van twee katten. ontwikkelmethodes, inclusief aansluiting bij acceptatieprocedure van de gecontroleerde. Hergebruik en delen van scripts tussen auditors kan wellicht de efficiency verhogen. Ik nodig eenieder uit samen te werken aan het DB2 script in wording van de auteur (https://bitbucket.org/ reiniero/db2securityscript) en scripts met NOREA collega's te delen. Noten 1 Bron: 2 Bron: https://bitbucket.org/reiniero/db2securityscript/src/f8aa6244e5c5/db2seccheck.sql. 3 Bron: https://bitbucket.org/reiniero/db2securityscript/src/f8aa6244e5c5/db2secout.txt. 4 Zie bijvoorbeeld developerworks/data/library/techarticle/ 0212wieser/. 5 Bron: https://bitbucket.org/reiniero/db2securityscript/src/f8aa6244e5c5/db2cmdlog.txt. de IT-Auditor nummer IT Auditor_13_02.indd 37

Identify and mitigate your IT risk

Identify and mitigate your IT risk Identify and mitigate your IT risk ICT risico = bedrijfsrisico In de ontwikkeling die organisaties doormaken, speelt ICT een belangrijke rol. ICT heeft bedrijfsprocessen efficiënter en effectiever gemaakt.

Nadere informatie

Gebruikers handleiding. Lizard Configuration Manager ToolTip. Installatie. Instellen. Initieel instellen

Gebruikers handleiding. Lizard Configuration Manager ToolTip. Installatie. Instellen. Initieel instellen Gebruikers handleiding Lizard Configuration Manager ToolTip Installatie Installeer eerst het volgende: Installeer python 2.5.2; zie de map Breda\Tooltip\lcm\install\python-2.5.2.msi Ga naar dos (run/uitvoeren

Nadere informatie

Multi user Setup. Firebird database op een windows (server)

Multi user Setup. Firebird database op een windows (server) Multi user Setup Firebird database op een windows (server) Inhoudsopgave osfinancials multi user setup...3 Installeeren van de firebird database...3 Testing van de connectie met FlameRobin...5 Instellen

Nadere informatie

Handleiding Installatie ADS

Handleiding Installatie ADS Handleiding Installatie ADS Versie: 1.0 Versiedatum: 19-03-2014 Inleiding Deze handleiding helpt u met de installatie van Advantage Database Server. Zorg ervoor dat u bij de aanvang van de installatie

Nadere informatie

Handleiding Remote Engineer Portal

Handleiding Remote Engineer Portal Handleiding Remote Engineer Portal http://www.remoteengineer.eu/ Inhoudsopgave Blz. 1. Algemeen 3 2. RemoteEngineer webportal 4 3. Beschikbare opties 5 4. Inloggen 5 5. Gebruikers 6 6. Machine sjablonen

Nadere informatie

Introduction to IBM Cognos Express = BA 4 ALL

Introduction to IBM Cognos Express = BA 4 ALL Introduction to IBM Cognos Express = BA 4 ALL Wilma Fokker, IBM account manager BA Ton Rijkers, Business Project Manager EMI Music IBM Cognos Express Think big. Smart small. Easy to install pre-configured

Nadere informatie

Leones. Business Case Service Management Tool

Leones. Business Case Service Management Tool Leones Business Case Service Management Tool Inhoudsopgave 1. AFBAKENING... 3 1.1 DOEL... 3 1.2 AANNAMES... 3 1.3 HUIDIGE SITUATIE... 3 1.4 PROBLEEMSTELLING... 3 1.5 WAT ALS ER NIETS GEBEURT?... 3 2. OPTIES...

Nadere informatie

Settings for the C100BRS4 MAC Address Spoofing with cable Internet.

Settings for the C100BRS4 MAC Address Spoofing with cable Internet. Settings for the C100BRS4 MAC Address Spoofing with cable Internet. General: Please use the latest firmware for the router. The firmware is available on http://www.conceptronic.net! Use Firmware version

Nadere informatie

Secure Application Roles

Secure Application Roles Secure Application Roles Beheer de toegang tot de database 1. Inleiding Het realiseren van geautoriseerde toegang tot een database lijkt eenvoudig. Echter, vaak blijkt dat dezelfde combinatie van gebruikersnaam

Nadere informatie

Risk & Requirements Based Testing

Risk & Requirements Based Testing Risk & Requirements Based Testing Tycho Schmidt PreSales Consultant, HP 2006 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice Agenda Introductie

Nadere informatie

Planbord installatie instructies

Planbord installatie instructies Planbord installatie instructies Uit Comprise Wiki Inhoud 1 Basis installatie 1.1 Installeren 1.1.1 Microsoft Data Access Components 1.2 De eerste keer starten 2 Veelgestelde vragen 2.1 "Network resource

Nadere informatie

Installatie SQL: Server 2008R2

Installatie SQL: Server 2008R2 Installatie SQL: Server 2008R2 Download de SQL Server 2008.exe van onze site: www.2work.nl Ga naar het tabblad: Downloads en meld aan met: klant2work en als wachtwoord: xs4customer Let op! Indien u een

Nadere informatie

MobiDM App Handleiding voor Windows Mobile Standard en Pro

MobiDM App Handleiding voor Windows Mobile Standard en Pro MobiDM App Handleiding voor Windows Mobile Standard en Pro Deze handleiding beschrijft de installatie en gebruik van de MobiDM App voor Windows Mobile Version: x.x Pagina 1 Index 1. WELKOM IN MOBIDM...

Nadere informatie

Installatiehandleiding Business Assistent

Installatiehandleiding Business Assistent Installatiehandleiding Business Assistent Wijzigingsgeschiedenis Versie Datum Omschrijving Status 0.1 25-09-2014 Eerste opzet van het installatie Concept document. 1.0 04-11-2014 Geen: Commercieel maken

Nadere informatie

Security Les 1 Leerling: Marno Brink Klas: 41B Docent: Meneer Vagevuur

Security Les 1 Leerling: Marno Brink Klas: 41B Docent: Meneer Vagevuur Security Les 1 Leerling: Klas: Docent: Marno Brink 41B Meneer Vagevuur Voorwoord: In dit document gaan we beginnen met de eerste security les we moeten via http://www.politiebronnen.nl moeten we de IP

Nadere informatie

Testomgevingen beheer

Testomgevingen beheer Testomgevingen beheer Testen brengt het verwachte resultaat en de huidige toestand bij elkaar. Het geeft aanknopingspunten om de planning te maken, het product te verbeteren en om zorgen bij belanghebbenden

Nadere informatie

Installatiehandleiding Cane Webservices.nl Integratie

Installatiehandleiding Cane Webservices.nl Integratie Installatiehandleiding Cane Webservices.nl Integratie Inhoud INHOUD... 1 1. INTRODUCTIE... 2 DOELSTELLING DOCUMENT... 2 GERELATEERDE DOCUMENTEN... 2 GEBRUIK VAN HET DOCUMENT... 2 LEZERS DOELGROEP... 2

Nadere informatie

Technische nota AbiFire5 Rapporten maken via ODBC

Technische nota AbiFire5 Rapporten maken via ODBC Technische nota AbiFire5 Rapporten maken via ODBC Laatste revisie: 29 juli 2009 Inhoudsopgave Inleiding... 2 1 Installatie ODBC driver... 2 2 Systeeminstellingen in AbiFire5... 3 2.1 Aanmaken extern profiel...

Nadere informatie

ISSX, Experts in IT Security. Wat is een penetratietest?

ISSX, Experts in IT Security. Wat is een penetratietest? De Stuwdam 14/B, 3815 KM Amersfoort Tel: +31 33 4779529, Email: info@issx.nl Aanval- en penetratietest U heeft beveiligingstechnieken geïnstalleerd zoals Firewalls, Intrusion detection/protection, en encryptie

Nadere informatie

Intermax backup exclusion files

Intermax backup exclusion files Intermax backup exclusion files Document type: Referentienummer: Versienummer : Documentatie 1.0 Datum publicatie: Datum laatste wijziging: Auteur: 24-2-2011 24-2-2011 Anton van der Linden Onderwerp: Documentclassificatie:

Nadere informatie

Installatiehandleiding Business Assistent

Installatiehandleiding Business Assistent Installatiehandleiding Business Assistent Wijzigingsgeschiedenis Versie Datum Omschrijving Status 0.1 25-09-2014 Eerste opzet van het installatie Concept document. 1.0 04-11-2014 Geen: Commercieel maken

Nadere informatie

ICARUS Illumina E653BK on Windows 8 (upgraded) how to install USB drivers

ICARUS Illumina E653BK on Windows 8 (upgraded) how to install USB drivers ICARUS Illumina E653BK on Windows 8 (upgraded) how to install USB drivers English Instructions Windows 8 out-of-the-box supports the ICARUS Illumina (E653) e-reader. However, when users upgrade their Windows

Nadere informatie

Sparse columns in SQL server 2008

Sparse columns in SQL server 2008 Sparse columns in SQL server 2008 Object persistentie eenvoudig gemaakt Bert Dingemans, e-mail : info@dla-os.nl www : http:// 1 Content SPARSE COLUMNS IN SQL SERVER 2008... 1 OBJECT PERSISTENTIE EENVOUDIG

Nadere informatie

Installatie instructies

Installatie instructies OpenIMS CE Versie 4.2 Installatie instructies OpenSesame ICT BV Inhoudsopgave 1 INLEIDING... 3 2 INSTALLATIE INSTRUCTIES... 4 3 OPENIMS SITECOLLECTIE CONFIGURATIE... 6 OpenIMS CE Installatie instructies

Nadere informatie

Factsheet Penetratietest Webapplicaties

Factsheet Penetratietest Webapplicaties Factsheet Penetratietest Webapplicaties Since the proof of the pudding is in the eating DUIJNBORGH - FORTIVISION Stadionstraat 1a 4815NC Breda +31 (0) 88 16 1780 www.db-fortivision.nl info@db-fortivision.nl

Nadere informatie

Het beheren van mijn Tungsten Network Portal account NL 1 Manage my Tungsten Network Portal account EN 14

Het beheren van mijn Tungsten Network Portal account NL 1 Manage my Tungsten Network Portal account EN 14 QUICK GUIDE C Het beheren van mijn Tungsten Network Portal account NL 1 Manage my Tungsten Network Portal account EN 14 Version 0.9 (June 2014) Per May 2014 OB10 has changed its name to Tungsten Network

Nadere informatie

liniled Cast Joint liniled Gietmof liniled Castjoint

liniled Cast Joint liniled Gietmof liniled Castjoint liniled Cast Joint liniled Gietmof liniled is een hoogwaardige, flexibele LED strip. Deze flexibiliteit zorgt voor een zeer brede toepasbaarheid. liniled kan zowel binnen als buiten in functionele en decoratieve

Nadere informatie

Orbis Software. Portal4U. Whitepaper. Deze whitepaper geeft u meer informatie over ons standaardproduct Portal4U van Orbis Software Benelux BV.

Orbis Software. Portal4U. Whitepaper. Deze whitepaper geeft u meer informatie over ons standaardproduct Portal4U van Orbis Software Benelux BV. Orbis Software Whitepaper Deze whitepaper geeft u meer informatie over ons standaardproduct van Orbis Software Benelux BV Orbis Standaard Product Maak eenvoudig uw eigen Portals Met beschikt u over een

Nadere informatie

Presentatie jaarcongres ECP Software-ontwikkeling en recht André Kamps & Jan-Willem Oordt De IT-Jurist bv 20 november 2014

Presentatie jaarcongres ECP Software-ontwikkeling en recht André Kamps & Jan-Willem Oordt De IT-Jurist bv 20 november 2014 Presentatie jaarcongres ECP Software-ontwikkeling en recht André Kamps & Jan-Willem Oordt De IT-Jurist bv 20 november 2014 De IT-jurist bv - Verzelfstandig van Software Borg juridisch - Software Borg Stichting

Nadere informatie

The Power of N. Novell File Management Products. Dupaco Cafe. Anthony Priestman Sr. Solution Architect Novell Inc.

The Power of N. Novell File Management Products. Dupaco Cafe. Anthony Priestman Sr. Solution Architect Novell Inc. The Power of N Novell File Management Products Dupaco Cafe Anthony Priestman Sr. Solution Architect Novell Inc. Twentieth Century Fox Data Governance Beheren en monitoren van toegang File Management Zoek

Nadere informatie

Find Neighbor Polygons in a Layer

Find Neighbor Polygons in a Layer Find Neighbor Polygons in a Layer QGIS Tutorials and Tips Author Ujaval Gandhi http://google.com/+ujavalgandhi Translations by Dick Groskamp This work is licensed under a Creative Commons Attribution 4.0

Nadere informatie

Zelftest Java concepten

Zelftest Java concepten Zelftest Java concepten Document: n0838test.fm 22/03/2012 ABIS Training & Consulting P.O. Box 220 B-3000 Leuven Belgium TRAINING & CONSULTING INLEIDING BIJ DE ZELFTEST JAVA CONCEPTEN Om de voorkennis nodig

Nadere informatie

Orbis Software. Ship4U. Whitepaper. Deze whitepaper geeft u meer informatie over ons standaardproduct Ship4U van Orbis Software Benelux BV.

Orbis Software. Ship4U. Whitepaper. Deze whitepaper geeft u meer informatie over ons standaardproduct Ship4U van Orbis Software Benelux BV. Orbis Software Whitepaper Deze whitepaper geeft u meer informatie over ons standaardproduct van Orbis Software Benelux BV Orbis Standaard Product Automatische verzendetiketten Handmatig aanmaken van verzendetiketten

Nadere informatie

PictoWorks Netwerk infrastructuur

PictoWorks Netwerk infrastructuur PictoWorks Netwerk infrastructuur dongle server file server validatie bestandsuitwisseling Op de file server bevindt zich de client-software van PictoWorks: {PictoWorks-directory} thumbs\ pictogrammen\

Nadere informatie

Inhoudsopgave. versie 0.8

Inhoudsopgave. versie 0.8 JOOMLA! INSTALLATIE HANDLEIDING versie 0.8 Inhoudsopgave Stappenplan...3 Inrichten database...4 Configuratiecentrum cpanel...4 Aanmaken van een database gebruiker...5 Aanmaken van een database...6 Gebruiker

Nadere informatie

Windows Server 2003 EoS. GGZ Nederland

Windows Server 2003 EoS. GGZ Nederland Windows Server 2003 EoS GGZ Nederland Inleiding Inleiding Op 14 juli 2015 gaat Windows Server 2003 uit Extended Support. Dat betekent dat er geen nieuwe updates, patches of security releases worden uitgebracht.

Nadere informatie

Bijlage 2: Informatie met betrekking tot goede praktijkvoorbeelden in Londen, het Verenigd Koninkrijk en Queensland

Bijlage 2: Informatie met betrekking tot goede praktijkvoorbeelden in Londen, het Verenigd Koninkrijk en Queensland Bijlage 2: Informatie met betrekking tot goede praktijkvoorbeelden in Londen, het Verenigd Koninkrijk en Queensland 1. Londen In Londen kunnen gebruikers van een scootmobiel contact opnemen met een dienst

Nadere informatie

ALL-CRM Gebruikershandleiding AC-DataCumulator

ALL-CRM Gebruikershandleiding AC-DataCumulator ALL-CRM Gebruikershandleiding AC-DataCumulator Author: Bas Dijk Date: 23-04-2013 Version: v1.2 Reference: 2013, All-CRM 1 Inhoudsopgave 1 Inhoudsopgave 2 2 Inleiding 3 3 Gebruikershandleiding Windows Forms

Nadere informatie

Aan deze vertaling kunnen geen rechten worden ontleend.

Aan deze vertaling kunnen geen rechten worden ontleend. Aan deze vertaling kunnen geen rechten worden ontleend. Copyright (c) 2013-2014 ZURB, inc. MIT licentie Copyright (c) Nicolas Gallagher en Jonathan Neal Modernizr maakt deel uit van de MIT licentie: MIT

Nadere informatie

Handleiding voor de applicatiebeheerder van Business Assistent

Handleiding voor de applicatiebeheerder van Business Assistent Handleiding voor de applicatiebeheerder van Business Assistent Wijzigingsgeschiedenis Versie Datum Omschrijving Status 0.1 02-10-2014 Eerste opzet van het installatie Concept document. 0.2 14-10-2014 Lezerscorrectie

Nadere informatie

Oracle client 1.2 voor ixperion 1.3 en hoger

Oracle client 1.2 voor ixperion 1.3 en hoger Installatiehandleiding Oracle client 1.2 voor ixperion 1.3 en hoger voor Windows 2008 R2 64bit Copyright 2010 Versie 1.0.1 Seneca 2010 1 Auteur: ing. Silvio Bosch Versiebeheer: Versie Status Datum Omschrijving

Nadere informatie

Oracle Rolling Upgrades met SharePlex Bart.vanKnijff@quest.com Systems Consultant Quest Software Nederland 9/11 2007

Oracle Rolling Upgrades met SharePlex Bart.vanKnijff@quest.com Systems Consultant Quest Software Nederland 9/11 2007 Oracle Rolling Upgrades met SharePlex Bart.vanKnijff@quest.com Systems Consultant Quest Software Nederland 9/11 2007 Copyright 2006 Quest Software Agenda Wat is SharePlex? Toepassingen en de belangrijkste

Nadere informatie

Updateprocedure in vogelvlucht... 2. Stap 1: Updatebestanden downloaden... 3. Stap 2: Controle vooraf... 4

Updateprocedure in vogelvlucht... 2. Stap 1: Updatebestanden downloaden... 3. Stap 2: Controle vooraf... 4 Updatehandleiding versie 2.14 Administratie- en leerlingvolgsysteem LVS2000 Inhoud van dit document: Updateprocedure in vogelvlucht... 2 Stap 1: Updatebestanden downloaden... 3 Stap 2: Controle vooraf...

Nadere informatie

MA!N Rapportages en Analyses

MA!N Rapportages en Analyses MA!N Rapportages en Analyses Auteur Versie CE-iT 1.2 Inhoud 1 Inleiding... 3 2 Microsoft Excel Pivot analyses... 4 2.1 Verbinding met database... 4 2.2 Data analyseren... 5 2.3 Analyses verversen... 6

Nadere informatie

Databases - Inleiding

Databases - Inleiding Databases Databases - Inleiding Een database is een verzameling van een aantal gegevens over een bepaald onderwerp: een ledenbestand van een vereniging, een forum, login gegevens. In een database worden

Nadere informatie

Deelplan IC ICT-omgeving 2015 Gemeente Lingewaard

Deelplan IC ICT-omgeving 2015 Gemeente Lingewaard Deelplan IC ICT-omgeving 2015 Gemeente Lingewaard Pagina 1 van 6 Inhoudsopgave 1. Aanleiding 3 2. Structureel / incidenteel 3 3. Opdrachtgever 3 4. Opdrachtnemer 3 5. Relevante wet- en regelgeving 3 6.

Nadere informatie

Denit Backup instellen op een Linux server

Denit Backup instellen op een Linux server Denit Backup instellen op een Linux server Deze handleiding beschrijft de stappen om de back-up software van Ahsay in te stellen. AANMAKEN BACK-UP SET... 2 DE SCHEDULER INSTELLEN... 4 HET FILTER INSTELLEN...

Nadere informatie

Wijzigingen volledig onder controle en geborgd

Wijzigingen volledig onder controle en geborgd Installation Management Platform IMProve 2014 is het ultieme hulpmiddel om het beheer van uw (terminal) serverfarm continu, stap voor stap, op een hoger niveau te brengen. Gedocumenteerd, geborgd en reproduceerbaar

Nadere informatie

De wording van een Cost Claim. Bianca Peeters Project manager bij Urban.nl www.urban.nl peeters@urban.nl

De wording van een Cost Claim. Bianca Peeters Project manager bij Urban.nl www.urban.nl peeters@urban.nl De wording van een Cost Claim Bianca Peeters Project manager bij Urban.nl www.urban.nl peeters@urban.nl De wording van een Cost Claim Wat moet er hoe en wanneer ingeleverd worden Waar lopen we tegenaan

Nadere informatie

Pijlers van Beheer. Bram van der Vos www.axisintoict.nl ict@axisinto.nl

Pijlers van Beheer. Bram van der Vos www.axisintoict.nl ict@axisinto.nl Welkom Pijlers van Beheer Bram van der Vos www.axisintoict.nl ict@axisinto.nl Waarom doe je Beheer Business perspectief Stabiliteit Security Enablen voor gebruikers Ondersteuning Technisch Perspectief

Nadere informatie

Zelftest Informatica-terminologie

Zelftest Informatica-terminologie Zelftest Informatica-terminologie Document: n0947test.fm 01/07/2015 ABIS Training & Consulting P.O. Box 220 B-3000 Leuven Belgium TRAINING & CONSULTING INTRODUCTIE Deze test is een zelf-test, waarmee u

Nadere informatie

Olde Bijvank Advies Organisatieontwikkeling & Managementcontrol

Olde Bijvank Advies Organisatieontwikkeling & Managementcontrol SAMENVATTING ITIL ITIL is nog steeds dé standaard voor het inrichten van beheerspocessen binnen een IT-organisatie. En dekt zowel applicatie- als infrastructuur beheer af. Indien gewenst kan ITIL worden

Nadere informatie

ALL-CRM Gebruikershandleiding AC-EmailChecker

ALL-CRM Gebruikershandleiding AC-EmailChecker ALL-CRM Gebruikershandleiding AC-EmailChecker Author: Shams Hadi Date: 16-10-2012 Version: v1.0 Reference: 2012, All-CRM 1 Table of content 1 Table of content 2 2 Inleiding 3 3 Gebruikershandleiding 4

Nadere informatie

PROJECT PLAN VOOR DE IMPLEMENTATIE VAN EEN STANDAARD SITE VOOR DE VERENIGING O3D

PROJECT PLAN VOOR DE IMPLEMENTATIE VAN EEN STANDAARD SITE VOOR DE VERENIGING O3D PROJECT PLAN VOOR DE IMPLEMENTATIE VAN EEN STANDAARD SITE VOOR DE VERENIGING O3D Auteur : P. van der Meer, Ritense B.V. Datum : 17 juli 2008 Versie : 1.3 2008 Ritense B.V. INHOUD 1 VERSIEBEHEER...1 2 PROJECT

Nadere informatie

Orbis. Partnerportal. Orbis Software

Orbis. Partnerportal. Orbis Software Orbis Software Orbis Partnerportal Deze handleiding geeft u meer informatie over de gebruikersinstellingen in de Orbis Partnerportal van Orbis Software Benelux BV. Orbis Partnerportal Handleiding Alle

Nadere informatie

Webshopkoppeling versie 1

Webshopkoppeling versie 1 Webshopkoppeling versie 1 Technische beschrijving voor het koppelen van een eigen webshop met Wilmar Retail Document versie: 1.3 Sure IT b.v. 2011, Sure IT b.v. Het Wilmar logo en Wilmar Infosystems zijn

Nadere informatie

Download Location: Dit is de lokatie waar de PDF bestanden tijdelijk geplaatst zullen worden. Dit is een plaats op uw eigen harde schijf.

Download Location: Dit is de lokatie waar de PDF bestanden tijdelijk geplaatst zullen worden. Dit is een plaats op uw eigen harde schijf. CONFIGURATIE CONNECTIE Laten we beginnen bij het begin: Dit is het IMAP configuratie venster. Wanneer het programmaa actief is, zal niets n instelbaar zijn. Onder het kopje Connection dient u uw IMAP login

Nadere informatie

Form follows function -Louis Henry Sullivan

Form follows function -Louis Henry Sullivan www.grundsatzlich-it.nl Form follows function -Louis Henry Sullivan Datawarehouse: vorm en functie Ronald Kunenborg licentie: Datawarehouse: vorm en functie Een data warehouse komt voort uit pijn Die pijn

Nadere informatie

Handleiding installatie. 3WA Local Connect

Handleiding installatie. 3WA Local Connect Handleiding installatie 3WA Local Connect 141210 versie 1.0.0 Inhoud Inleiding.. 3 Voor de 1 e keer installeren. 4 Uitvoeren upgrade 11 Verwijderen.... 15 Pagina 2 van 15 Inleiding Dit document is voor

Nadere informatie

PUBLICATIE INFORMATIE TRIMBLE ACCESS SOFTWARE. Versie 2013.41 Revisie A December 2013

PUBLICATIE INFORMATIE TRIMBLE ACCESS SOFTWARE. Versie 2013.41 Revisie A December 2013 PUBLICATIE INFORMATIE TRIMBLE ACCESS SOFTWARE 1 Versie 2013.41 Revisie A December 2013 Legal Information Trimble Navigation Limited Engineering Construction Group 935 Stewart Drive Sunnyvale, California

Nadere informatie

How To: Setup MGE Network Shutdown Module V3 op het service console binnen VMware ESX 3.0.2

How To: Setup MGE Network Shutdown Module V3 op het service console binnen VMware ESX 3.0.2 How To: Setup op het service console binnen VMware ESX 3.0.2 Arne Fokkema Ictfreak.wordpress.com In deze korte how to lees je hoe je de network shutdown module van MGE installeerd op het Service Console

Nadere informatie

Veel gestelde vragen nieuwe webloginpagina

Veel gestelde vragen nieuwe webloginpagina Veel gestelde vragen nieuwe webloginpagina Op deze pagina treft u een aantal veel gestelde vragen aan over het opstarten van de nieuwe webloginpagina http://weblogin.tudelft.nl: 1. Ik krijg de melding

Nadere informatie

Na bestudering van dit hoofdstuk, moet je tot het volgende in staat zijn:

Na bestudering van dit hoofdstuk, moet je tot het volgende in staat zijn: 5. De oefendatabase 5.1. Inleiding In de volgende hoofdstukken ga je oefenen / werken met SQL. Om te kunnen oefenen heb je natuurlijk wel een database nodig. In dit hoofdstuk wordt besproken hoe je deze

Nadere informatie

Comodo Personal Firewall

Comodo Personal Firewall Comodo Personal Firewall Comodo Personal Firewall is een van de beste firewalls: eenvoudig in gebruik, compleet, professioneel, gemakkelijk te begrijpen en ook nog eens gratis. Comodo Firewall vraagt eerst

Nadere informatie

Installeer Apache2: Landstede februari 2009 versie 3 1 Bertil Hoentjen

Installeer Apache2: Landstede februari 2009 versie 3 1 Bertil Hoentjen Installeer Apache2: Deze howto gaat over name based virtual hosting onder Apache 2.x., en is getest onder OpenSUSE 11 maar is in feite ook van toepassing op de andere distributies. Alleen Debian en afgeleide

Nadere informatie

en DMS koppelvlak Utrecht, 14 april 2011

en DMS koppelvlak Utrecht, 14 april 2011 Zaaksysteem koppelvlak en DMS koppelvlak Utrecht, 14 april 2011 Agenda Doel van koppelvlak Welke uitgangspunten zijn gehanteerd Werking van koppelvlak Wat is CMIS en waarom CMIS gebruiken? Doel Zaaksysteem

Nadere informatie

EMBEDDED SQL. Inleiding. Queries en update-opdrachten. Embedden en hostvariabelen

EMBEDDED SQL. Inleiding. Queries en update-opdrachten. Embedden en hostvariabelen Inleiding In het boek Databases & SQL wordt beschreven hoe opdrachten in de programmeertaal SQL gebruikt worden om de inhoud van een relationele database te raadplegen en te bewerken. SQL wordt daarbij

Nadere informatie

Installatie Handleiding voor Modelit Applicatieprogrammatuur

Installatie Handleiding voor Modelit Applicatieprogrammatuur Modelit Elisabethdreef 5 4101 KN Culemborg Telefoon +31 345 521121 info@modelit.nl www.modelit.nl Installatie Handleiding voor Modelit Applicatieprogrammatuur Datum 27 April 2007 Modelit KvK Rivierenland

Nadere informatie

Migratie Zarafa 6.20 -> 6.40

Migratie Zarafa 6.20 -> 6.40 Migratie Zarafa 6.20 -> 6.40 ACHA Automation Geautoriseerd Zarafa Partner Datum 01-11-2010 Door ACHA Automation BV ACHA Automation BV Industrieweg 35 A 3641 RK Mijdrecht The Netherlands Phone +31 297 310

Nadere informatie

De ins en outs van OpenERP! OpenERP wanneer en hoe toepasbaar en welke aandachtspunten bij invoering

De ins en outs van OpenERP! OpenERP wanneer en hoe toepasbaar en welke aandachtspunten bij invoering De ins en outs van OpenERP! OpenERP wanneer en hoe toepasbaar en welke aandachtspunten bij invoering OpenERP Inhoud Ervaringen vanuit de gebruiker DEMO Open source filosofie OpenERP Voor welke bedrijven

Nadere informatie

Gebruikershandleiding Versie 1.07

Gebruikershandleiding Versie 1.07 Gebruikershandleiding Versie 1.07 NE Copyright 2006, by DIALOC ID All rights reserved Gebruikershandleiding Chip programmer DIALOC ID reserves the right to modify the software described in this manual

Nadere informatie

Handleiding voor de applicatiebeheerder Cane Webservices.nl Integratie

Handleiding voor de applicatiebeheerder Cane Webservices.nl Integratie Handleiding voor de applicatiebeheerder Cane Webservices.nl Integratie Versie 1.1 Cane Webservices.nl Integratie Handleiding voor de Applicatiebeheerder 1 Inhoud INHOUD... 2 1. INTRODUCTIE... 3 DOELSTELLING

Nadere informatie

Installatie Remote Backup

Installatie Remote Backup Juni 2015 Versie 1.2 Auteur : E.C.A. Mouws Pagina 1 Inhoudsopgave BusinessConnect Remote Backup... 3 Kenmerken... 3 Beperkingen... 3 Gebruik op meerdere systemen... 3 Systeemeisen... 4 Support... 4 Installatie...

Nadere informatie

Instellen back up Microsoft SQL database Bronboek Professional

Instellen back up Microsoft SQL database Bronboek Professional Instellen back up Microsoft SQL database Bronboek Professional In deze handleiding word een drietal punten besproken. Deze punten zijn allen noodzakelijk voor het inrichten van een goede back up voor de

Nadere informatie

Extra details van de performance in de database kunt u zien met het Top Activity scherm dat u van hieruit kunt tonen.

Extra details van de performance in de database kunt u zien met het Top Activity scherm dat u van hieruit kunt tonen. Real-time performance diagnose in Oracle In Oracle 10g en 11g is het mogelijk om de database performance real-time te volgen, als u de licentie voor Diagnostics Pack heeft aangeschaft (en de Enterprise

Nadere informatie

Installatie en configuratie documentatie

Installatie en configuratie documentatie Installatie en configuratie documentatie Assistance Web Portal v. 2.58, 2.60 Voor Windows 2003 / 2008 / XP / Vista / Windows 7 Assistance PSO handleiding, uitgegeven door Assistance Software. Alle rechten

Nadere informatie

NIS Notarieel Informatie Systeem

NIS Notarieel Informatie Systeem INSTALLATIE NIS UPDATE 2015-Q3-02 NIS Notarieel Informatie Systeem Sportlaan 2h, 818 BE Heerde T (0578) 693646, F (0578) 693376 www.vanbrug.nl, info@vanbrug.nl 2015 Van Brug Software B.V. Niets uit deze

Nadere informatie

HANDLEIDING Installatie TESTS 2012

HANDLEIDING Installatie TESTS 2012 HANDLEIDING Installatie TESTS 2012 INHOUDSOPGAVE: Algemeen:... 2 Installatie instructies voor stand-alone computer.. 2 Uitsluitend voor netwerk-installatie.. 6 Client installatie deel 1... 6 Deel 2 netwerkinstallatie:

Nadere informatie

Kwaliteitsbewaking en testen in ICT beheerorganisaties

Kwaliteitsbewaking en testen in ICT beheerorganisaties DKTP Informatie Technologie Veembroederhof 1 1019 HD Amsterdam Telefoon 020 427 52 21 Kwaliteitsbewaking en testen in ICT beheerorganisaties Voor de meeste projectgroepen die software ontwikkelen vormt

Nadere informatie

Overview. Beveiligde functies. Microsoft Dynamics NAV. 2007 dvision Automatiseringsbureau.

Overview. Beveiligde functies. Microsoft Dynamics NAV. 2007 dvision Automatiseringsbureau. Microsoft Dynamics NAV Overview 2007 dvision Automatiseringsbureau. All Rights Reserved. No part of this document may be photocopied, reproduced, stored in a retrieval system, or transmitted, in any form

Nadere informatie

Installatie ArcGIS Desktop Basis, ArcGIS Engine en Download ArcGIS Server

Installatie ArcGIS Desktop Basis, ArcGIS Engine en Download ArcGIS Server Handleiding Installatie ArcGIS Desktop Basis, ArcGIS Engine en Download ArcGIS Server Cevi NV Bisdomplein 3 9000 GENT Tel 09 264 07 01 contactcenter@cevi.be http://www.cevi.be 1 INHOUDSOPGAVE 1 INHOUDSOPGAVE...

Nadere informatie

De toekomst van een IT-auditor in een integrated / financial audit. Robert Johan Tom Koning

De toekomst van een IT-auditor in een integrated / financial audit. Robert Johan Tom Koning De toekomst van een IT-auditor in een integrated / financial audit Robert Johan Tom Koning Probleemanalyse Gebrek aan kennis accountant Niet doorvragen bij termen smijten Moeite toegevoegde waarde te tonen

Nadere informatie

Martiris 2011. Secure Private Data. Gegevensbescherming in Oracle Databases

Martiris 2011. Secure Private Data. Gegevensbescherming in Oracle Databases Martiris 2011 Secure Private Data Gegevensbescherming in Oracle Databases Inhoudsopgave INTRODUCTIE... 3 HISTORIE... 4 SECURE PRIVATE DATA: FUNCTIONEEL... 4 A) ROW LEVEL SECURITY... 4 B) COLUMN MASKING...

Nadere informatie

Hardening. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)

Hardening. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Hardening Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Colofon Onderhavig operationeel product, behorende bij de Baseline Informatiebeveiliging Rijksdienst

Nadere informatie

DB architectuur. joost.vennekens@denayer.wenk.be

DB architectuur. joost.vennekens@denayer.wenk.be DB architectuur joost.vennekens@denayer.wenk.be DB - logisch perspectief - DB - fysisch perspectief - DBMS Fysische details van databank beheren Zodat gebruiker zich enkel om logische perspectief moet

Nadere informatie

Functionele beschrijving: scannen naar Exact Globe.

Functionele beschrijving: scannen naar Exact Globe. Functionele beschrijving: scannen naar Exact Globe. Algemeen Met de KYOCERA scannen naar Exact Globe beschikt u over een efficiënte oplossing om uw documenten te scannen naar Exact Globe. Met deze oplossing

Nadere informatie

Handleiding Migratie. Bronboek Professional

Handleiding Migratie. Bronboek Professional Handleiding Migratie Bronboek Professional Laatste wijziging: 25/02/2015 Inhoudsopgave Controles en acties vooraf pag. 1 Installatie en configuratie Microsoft SQL met de Bronboek Helpdesk Tool pag. 3 Migratie

Nadere informatie

De spreadsheet van het strafbankje

De spreadsheet van het strafbankje Artikel De spreadsheet van het strafbankje Een pragmatische aanpak voor End User Computing Trudy Onland Sinds de introductie van Sarbanes Oxley wet (SOx) ontbreken duidelijke en eenduidige richtlijnen

Nadere informatie

Seminar Trends in Business & IT bij woningcorporaties. Informatiebeveiliging

Seminar Trends in Business & IT bij woningcorporaties. Informatiebeveiliging Seminar Trends in Business & IT bij woningcorporaties Informatiebeveiliging Agenda Rondje verwachtingen Even voorstellen.. Informatiebeveiliging waarom? Stand van zaken bij corporaties Informatiebeveiliging

Nadere informatie

ROBOMIND ACADEMY DESKTOP LICENTIE HANDLEIDING

ROBOMIND ACADEMY DESKTOP LICENTIE HANDLEIDING ROBOMIND ACADEMY DESKTOP LICENTIE HANDLEIDING Wanneer je een gratis RoboMind Academy Account aanmaakt krijg je daarbij ook een gratis 30-dagen trial licentie voor de offline RoboMind Desktop software.

Nadere informatie

Aandachtspunten voor installatie suse in vmware server

Aandachtspunten voor installatie suse in vmware server Aandachtspunten voor installatie suse in vmware server Voorbereiden van vware virtueel machine: 1. Select linux Suse linux 2. Maak disksize 5Gb Denk er als je virtual machine wilt draaien op FAT32 vink

Nadere informatie

Firewall van de Speedtouch 789wl volledig uitschakelen?

Firewall van de Speedtouch 789wl volledig uitschakelen? Firewall van de Speedtouch 789wl volledig uitschakelen? De firewall van de Speedtouch 789 (wl) kan niet volledig uitgeschakeld worden via de Web interface: De firewall blijft namelijk op stateful staan

Nadere informatie

XAMPP Web Development omgeving opzetten onder Windows.

XAMPP Web Development omgeving opzetten onder Windows. XAMPP Web Development omgeving opzetten onder Windows. Inhoudsopgave 1. Lees dit eerst... 2 2. Inleiding... 2 1 Xampp downloaden... 2 2 Installatie Xampp 1.7.4 op externe harddisk... 3 3 XAMPP herconfiguren...

Nadere informatie

Van dvd naar webserver. Marcel Nijenhof Marceln@pion.xs4all.nl 18 Juli 2006 http://pion.xs4all.nl/lezingen/centos.pdf

Van dvd naar webserver. Marcel Nijenhof Marceln@pion.xs4all.nl 18 Juli 2006 http://pion.xs4all.nl/lezingen/centos.pdf Van dvd naar webserver Marcel Nijenhof Marceln@pion.xs4all.nl 18 Juli 2006 http://pion.xs4all.nl/lezingen/centos.pdf 1 Indeling Start installatie Wat is linux Wat zijn distributies Geschikte distributies

Nadere informatie

Secure Toetsen met Maple T.A.8

Secure Toetsen met Maple T.A.8 Secure Toetsen met Maple T.A.8 Copyright Metha Kamminga juli 2012 Secure Toetsen met Maple T.A.8 Contents 1 Beveiligd toetsen met Maple T.A.8 Nieuwe mogelijkheid om toetsen af te nemen in een beschermde

Nadere informatie

Zekerheid in de Cloud. ICT Accountancy praktijk dag: Cloud computing 27 mei 2014

Zekerheid in de Cloud. ICT Accountancy praktijk dag: Cloud computing 27 mei 2014 Zekerheid in de Cloud ICT Accountancy praktijk dag: Cloud computing 27 mei 2014 Agenda - Wat speelt zich af in de Cloud - Cases - Keurmerk Zeker-OnLine - Wat is het belang van de accountant en het administratiekantoor

Nadere informatie

Getting Started. AOX-319 PBX Versie 2.0

Getting Started. AOX-319 PBX Versie 2.0 Getting Started AOX-319 PBX Versie 2.0 Inhoudsopgave INHOUDSOPGAVE... 2 OVER DEZE HANDLEIDING... 3 ONDERDELEN... 3 INSTALLATIE EN ACTIVERING... 3 BEHEER VIA DE CONSOLE... 4 BEHEER VIA DE BROWSER... 5 BEVEILIGING...

Nadere informatie

Onderzoek naar de veiligheid c.q. beveiliging van de SURFnet IDS dienst. Lourens Bordewijk & Jimmy Macé

Onderzoek naar de veiligheid c.q. beveiliging van de SURFnet IDS dienst. Lourens Bordewijk & Jimmy Macé Onderzoek naar de veiligheid c.q. beveiliging van de SURFnet IDS dienst. Lourens Bordewijk & Jimmy Macé Amsterdam 8-2-2006 Achtergrond IDS dienst SURFnet netwerk Aangesloten instellingen te maken met security

Nadere informatie

Orbis Software. Prijslijst. Producten. Deze prijslijst geeft u meer informatie over de verschillende producten van Orbis Software Benelux BV.

Orbis Software. Prijslijst. Producten. Deze prijslijst geeft u meer informatie over de verschillende producten van Orbis Software Benelux BV. Orbis Software Prijslijst en Deze prijslijst geeft u meer informatie over de verschillende producten van Orbis Software Benelux BV. TaskCentre Orbis Usage Model Het Usage prijsmodel van Orbis TaskCentre

Nadere informatie

Installation & Usage Biometric Reader - NL. Biometric Reader - NL. Productie Versie: 7.0. Versienummer Handleiding: 1.0.2

Installation & Usage Biometric Reader - NL. Biometric Reader - NL. Productie Versie: 7.0. Versienummer Handleiding: 1.0.2 Biometric Reader - NL Installation & Usage Biometric Reader - NL Productie Versie: 7.0 Versienummer Handleiding: 1.0.2 2013 Inepro B.V. Alle rechten gereserveerd Biometric Reader - NL De meest veelzijde

Nadere informatie