×

Help Tweakers weer winnen!

Tweakers is dit jaar weer genomineerd voor beste nieuwssite, beste prijsvergelijker en beste community! Laten we ervoor zorgen dat heel Nederland weet dat Tweakers de beste website is. Stem op Tweakers en maak kans op mooie prijzen!

Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Containerbedrijf APM had ict-beveiliging niet op orde bij NotPetya-aanval

Door , 173 reacties, submitter: Pixelmagic

APM, een dochterbedrijf van containervervoerder Maersk, had gebrekkige ict-beveiliging en was daar in voorgaande jaren al meerdere malen over gewaarschuwd, zo blijkt uit onderzoek. APM was slachtoffer van de wereldwijde aanval met de NotPetya-ransomware.

Jarenlang zou APM hebben gekampt met gebreken in de beveiliging. Zo zou een van de belangrijkste systemen, het zogenaamde Terminal Operating System, tot 2015 niet voorzien zijn van antivirussoftware. Ook werd geruime tijd niet gekeken naar wie er toegang had tot gevoelige systemen, en zijn er tot twee jaar geleden geen penetratietesten gedaan om de beveiliging van het netwerk te testen. Dat meldt De Volkskrant op basis van eigen onderzoek.

Ook daarna ging het mis, zo stelt de krant. De leiding van het dochterbedrijf van Maersk zou meerdere malen verbeteringen voor de ict-beveiliging hebben tegengehouden, omdat het vernieuwen van de systemen met downtime gepaard ging. Ondanks expliciete waarschuwingen zou de leiding het beleid niet hebben willen aanpassen.

APM was een van de slachtoffers van de wereldwijde NotPetya-aanval. De ransomware legde het computernetwerk van het containerbedrijf plat, waardoor onder andere administratief werk met de hand moest worden gedaan. De bedrijfsvoering lag ook enige tijd stil. APM heeft nog niet gereageerd op de berichtgeving van De Volkskrant.

Door Bauke Schievink

Admin Mobile / Nieuwsposter

08-07-2017 • 10:53

173 Linkedin Google+

Submitter: Pixelmagic

Reacties (173)

Wijzig sortering
Mocht het verhaal van de Volkskrant waar zijn dan is het evident dat de belangen en doelstellingen met betrekking tot informatieveiligheid bij APM niet (voldoende) onderkend zijn door het senior-management.

In zo'n geval maakt het bijzonder weinig uit hoeveel technische maatregelen je er als interne automatiseringsafdeling tegenaan gooit. Door het gebrek aan leiderschap en het niet uitdragen en ondersteunen van het beleid binnen de organisatie door het senior-management loop je als interne automatiseerder altijd achter de feiten aan. Daarnaast zou het bijzonder kwalijk zijn als de little guy de dupe wordt van het falende beleid.

Ze hebben op deze manier leergeld betaald en mijn verwachting is dat het in het vervolg wel anders zal lopen, buiten de enorme kosten zal de reputatieschade voor zowel APM en Maersk ook niet mals zijn.

Daarnaast is het ook op z'n minst bijzonder te noemen dat APM wel ISO 9001/27001 gecertificeerd is. Bij zo'n certificering hoort ook een beoordeling en toetsing van leveranciersm dus ook de boekhoudsoftware. Nogmaals, als het waar is wat de Volkskrant beweert, dan hebben de auditors zitten snurken en/of APM heeft voldoende bewijs weten aan te dragen tijdens de audit zonder daar werkelijk actief beleid voor te hebben. Dan heb je dus een papieren tijger gecreeerd en dat is bijzonder kwalijk als je dat toelaat als senior-management.

[Reactie gewijzigd door ConZito op 8 juli 2017 12:36]

buiten de enorme kosten zal de reputatieschade voor zowel APM en Maersk ook niet mals zijn.
Reputatieschade zal wel meevallen. Simpel gesteld, ze vervoeren containers en dat doen ze goed.
Al weken, maanden, jaren.
Reputatieschade zullen ze zeker hebben. Als het zo eenvoudig is een bedrijf plat te leggen welke integer en discreet dient te zijn, waar ze taken van de douane overnemen ed. Verwacht ik niet anders dan dat een instantie als de overhead gaat vragen/eisen hoe het zit met de bedrijfsvoering (zeker omdat ze nu een brevet van onvermogen hebben aangetiond) als je dus zo eenvoudig een bedrijf digitaal plat krijgt en infecteerd.

Dit zal wel weer achterkamer politiek worden en afgekocht.....
Reputatieschade zullen ze zeker hebben.
We zullen het zien. Mij lijkt het sterk dat men Maersk gaat mijden omdat ze een boekhoudprogramma hebben dat door Russische hackers is misbruikt
Als blijkt dat de komende jaren verliezen geleden gaan worden en duizenden banen komen te vervallen dan heb ik ongelijk gehad.
Nogmaals, ik denk niet dat iemand zegt ''Ik laat mijn vracht niet meer vervoeren door Maersk want hun ict is onbetrouwbaar.''

Of: ''Ik koop nooit meer iets van Lenovo of Samsung want de een stuurt malware mee waar je bijstaat en de spullen van de ander ontbranden spontaan in je broekzak.''
We zullen het zien. Mij lijkt het sterk dat men Maersk gaat mijden omdat ze een boekhoudprogramma hebben dat door Russische hackers is misbruikt
Het gebruik van een boekhoudpakket uit de Oekraïne is niet het issue. Het issue is dat management snel geld lijkt te prefereren boven veilig geld. Als alles binnen het bedrijf moet wijken voor uptime (en dus inkomen), en er geen tijd is voor downtime (en patching, veiligheid) dan heb je je prioriteiten verkeerd. En daar zouden grote bedrijven die klant zijn bij APM best eens naar kunnen kijken. Want als klant ben je enorm afhankelijk van het afleveren van je container met spullen: geen spullen = geen handel = geen inkomen. Niet alleen voor APM, ook voor jou als klant.
Als blijkt dat de komende jaren verliezen geleden gaan worden en duizenden banen komen te vervallen dan heb ik ongelijk gehad
Nee - ook als de omzet achterblijft bij de concurrentie, de groei afzwakt, etc. Reputatieschade leidt niet meteen tot massaontslagen maar kan ook impact hebben op een ander level. Dus zelfs als APM binnen een paar jaar niet duizenden mensen ontslaat heb je nog steeds ongelijk ;)
Of: ''Ik koop nooit meer iets van Lenovo of Samsung want de een stuurt malware mee waar je bijstaat en de spullen van de ander ontbranden spontaan in je broekzak.''
Hmm... wellicht ben ik daar een beetje anders in dan de rest, maar als bij mij een leverancier 2 weken niet kan leveren door iets wat lijkt op onachtzaamheid, dan ga ik wel op zoek naar een "plan B". 't Is niet dat ik vertrek, maar er komt een backup plan. En dat is niet bij hen maar bij een ander. Dan verplaats je dus werk/opdrachten naar een tweede partij.

[Reactie gewijzigd door Tukkertje-RaH op 10 juli 2017 10:06]

Denk dat je ongelijk hebt. Samsung draait recordcijfers, Volkswagen loopt als een trein en Maersk zal hier ook niet heel veel van gaan merken. Bedrijven van dat formaat zijn te groot om echt geraakt te worden door incidenten als deze. Doorvaren naar een andere haven/vertraagde containers is gewoon een kwestie van boeteclausules en verzekeringswerk.
Als een dieseltrein. :-D
Nee, dat doen ze dus niet goed laten ze nu zien. In de logistiek is leverbetrouwbaarheid cruciaal. De klant rekent erop dat je op tijd levert. Doe je dat niet, dan raak je klanten kwijt.
Beetje non argument.. Ben benieuwd of je dat ook zou gebruiken voor een bank. Zij beheren geld/verwerken transacties/lenen geld uit en dat doen ze goed. Al weken, maanden, jaren
Ik weet niet wat voor data ze kwijt zijn, maar het zou bijzonder vervelend zijn als de container met jouw spullen plotseling 'zoek' is. En je als enige geruststelling hebt dat een computervirus (vooralsnog) enkel op administratief vlak een puinhoop heeft veroorzaakt.

Je fysieke spullen zitten waarschijnlijk ergens in een container op een schip, onderweg naar of bij een haven. Dan is het wachten op het moment dat iemand er in slaagt om het bootje te lossen. Hoe dan ook, tussen nu en een paar maanden zal iemand dat bootje lossen, de containers inspecteren en heel misschien vinden ze de gegevens ervan terug.

Nee, ik denk dat die reputatieschade wel eens groter kan zijn dan je denkt. Het is alleen de vraag hoe snel ze weer orde op zaken hebben. Als ze nu weer 100% online zijn, met een sluitende administratie dan hebben ze in de ogen van velen 'gewoon pech gehad' met dat virus. Maar als een groot aantal containers een behoorlijke tijd vertraagd is (bijvoorbeeld omdat ze de eigenaren moeten achterhalen), dan loopt de (reputatie) schade natuurlijk enorm op.
Het is een afweging die ze hebben gemaakt een foute niet verkeerd. Werk in dezelfde business en downtime kost nou eenmaal tienduizenden euro,s per uur.

Al had een goede investering dit verlies van ongeveer 27 miljoen per dag in rotterdam ze bespaard gebleven. Begrepen dat mearsk wereldwijd 500 miljoen per dag verloor.

Je kan trouwens kraaien als IT wat je wil maar als er kans is op operationeel verlies dan is down time moeilijk aan te vragen.

[Reactie gewijzigd door NLKornolio op 8 juli 2017 13:12]

Het is een afweging die ze hebben gemaakt een foute niet verkeerd. Werk in dezelfde business en downtime kost nou eenmaal tienduizenden euro,s per uur.
Dus rust je je systemen redundant uit, met een transparante fail-over. Dan kan je ze deel voor deel upgraden zonder downtime. Combineer dit met een representatieve testomgeving en de risico's worden al een stuk kleiner.

Maar goed, technisch personeel hoef je niet te overtuigen. Management, integendeel... ;)

[Reactie gewijzigd door The Zep Man op 9 juli 2017 09:58]

Als het TOS systeem volledige redundancy niet aankan, kan je helaas hoog en laag springen wat je wilt.

In de wereld havens zijn er een paar grote software spelers die eigenlijk een monopolie hebben in containers behandelen. Ze hebben niet als eerste focus hebben een db failover aan te kunnen.
Daarnaast loopt een terminal als APM 2 zo ver voor op gebied van automatisering dat er deze terminals eigenlijk een soort grote speeltuin zijn voor deze software boeren. Helaas is de kwaliteit meestal om te janken en moeilijk bij te houden welke versie er gerecovered moet worden.

De focus van upgrades is eigenlijk alleen performance verbetering geen verbetering in de back-end. Deze moet je tijdens de upgrade van de software er maar even tussen passen.

[Reactie gewijzigd door NLKornolio op 9 juli 2017 11:25]

Dan is het dus APM hun fout om slechte software af te nemen. Het is namelijk allemaal prima mogelijk om tijdens Runtime te upgraden met 0% downtime tijdens upgrade.
De applicatie kan er gewoon niet tegen en de leverancier heeft er helaas nog geen oplossing voor.
Dat is opzich wel jammer. Maar zulke software is ook duurder. Het is namelijk een stuk lastiger om zulke programma's te schrijven. Generieke talen kunnen hier bijvoorbeeld niet mee overweg. Dus heb je gewoon schaarser personeel nodig en die zijn duurder.
Leuk stukje: https://en.wikipedia.org/wiki/Dynamic_software_updating

[Reactie gewijzigd door Texamicz op 10 juli 2017 22:04]

Technisch was APMT helemaal op orde, heb het zelf gebouwd, disasterproof. Echter als management van de terminal en ook van APMT Global/Maersk niet wil dan houd het op. AV scanning allemaal aanwezig, mocht het alleen niet aanzetten want dan kon dat misschien de performance van de systemen beinvloeden en je wil niet weten wat een high-tech spul daar staat. Geld was geen probleem. Downtime krijgen voor reguliere updates was onbespreekbaar zelfs tijdens de test periodes. En als je dan PC's gaat aansluiten wereldwijd want een of ander organisatie onderdeel moet erbij kunnen dan ben je gigantische gaten aan het maken in je (securitry) design. En eigenlijk is dat erg jammer want dit had echt voorkomen kunnen worden. Maar ja zoals gezegd, 27mlj per dag en dat klopt wel ongeveer maakt 7 dagen is ruim 150 miljoen schade voor een terminal. En ze zijn nog niet 100% up en de vervolgschade gaat ook zeker nog flink in de papieren lopen. Is een hele dure les voor ze maar ik betwijfel of ze er echt iets van geleerd gaan hebben. de toekomst zal het uitwijzen.......
Dat je ISO27001 gecertificeerd bent wil niet per definitie zeggen dat je informatiebeveiliging op orde is. De scope vd certificering is zeer belangrijk en als ze bv alleen hun hoofdkantoor als scope hebben gepakt en bv de haven systemen niet, dan kunnen ze prima gecertificeerd zijn. Dit geldt overigens voor alle certificeringen (ISO, SOC, ISAE, etc.).

Nog een praktijkvoorbeeld: Amazons AWS heeft ook een bulk aan certificeringen, maar die gelden niet voor alle services die ze aanbieden. Zo kun je dus prima een dienst afnemen die nog niet in hun SOC2 rapportage is meegenomen. Dit geldt met name voor nieuwere diensten. Mbv AWS Artifact kun je een rapport uitdraaien voor de door jouw gebruikte diensten en zien wat er nu wel en niet gedekt wordt.

Dus staar je niet blind op certificeringen en kijk goed naar de scope en uitgevoerde controles.
Het is ook niet dat me verwonder over het feit dat ze wel of niet gecertificeerd zijn. Het is met name dat senior management het toelaat zaken buiten scope te laten. Ik begrijp ook wel dat dat heel handig is en dat de toetsing deze opzet toelaat, maar je houdt jezelf gewoon voor de gek. Daarnaast is het voor mensen die niet bekend zijn met de materie op het eerste oog allemaal koek-en-ei.

Ik ben CIO van een middel-groot bedrijf en ik schrik er elke keer weer van hoe de gemiddelde ingeslapen semi-bejaarde op dergelijke posities de realiteit niet onder ogen willen zien.
Ik heb geen inside information of vergelijkbare voorbeelden en wat ik ga zeggen is ook meer onderbuikgevoel, maar hier blijkt maar weer eens dat er door de hoofdverantwoordelijken (i.d.g. het senior-management) vooral naar de korte termijn wordt gekeken. De aanschaf van dure beveiligingsmaatregelen komt de jaarwinst nl niet ten goede en kan dus ook nog eens zorgen voor een verminderde bonus i.v.m. het niet halen van gestelde targets.

En zonder dat ik alle directies van andere bedrijven wil vergelijken met hun collega's uit de financiële wereld, kan ik me wel voorstellen dat iedereen alleen naar de korte termijn kijkt (de aard van het beestje zegmaar). Zeker wat betreft ICT. En als ingeslapen semi-bejaarde is ¤200.000 minder kosten aan iets wat geen geld oplevert, altijd makkelijk verdient...
Bij de certificering hoort een of andere vorm van toets of bepaalde software geschikt wordt geacht. Ik ken de details niet, maar als ik het goed heb is NotPetya via een 'software update'-mechanisme van de boekhoudsoftware gepushed naar installaties. Het is niet gebruikelijk en zeker niet vereist vanuit ISO27001 dat je zelf een update-mechanisme van een gebruikt stuk software onder de loep neemt om te kijken of het veilig is. Net zo min is het gebrukelijk dat je de broncode van Windows laat auditen, waarmee je deze kwetsbaarheid (in het SMB-protocol) wellicht mee had kunnen vinden.

Waarom is een bug in een stuk boekhoudsoftware ineens een probleem volgens ISO27001, maar is een bug in Windows waarmee deze malware zich kon verspreiden dat niet?

Geen enkel stuk software is veilig. Ook niet bij bedrijven die ISO27001 gecertificeerd zijn.

Het niet installeren van updates en anti-virussoftware kan ook gewoon conform ISO27001 zijn. Als men in een risicoinventarisatie heeft bepaald dat het installeren van die updates en software te riskant is voor de bedrijfsvoering, dan kan het gewoon een afweging zijn om het niet te doen. Die afweging is dan nu achteraf onjuist geweest, en dan heb je een incident te pakken. In dit geval een behoorlijk ernstig incident.

Wel is het natuurlijk zo dat zo'n incident als gevolg zal hebben dat er een hoop zaken bij APM opnieuw beoordeeld moeten worden conform ISO27001. Want ISO27001 gaat er ook om hoe je verbeteringen implementeerd om herhaling te voorkomen.

Maar in mijn optiek is er hier geen enkele indicatie dat er volgens de normen van ISO27001 is gefaald. Je kunt ISO27001 zo streng of zo licht implementeren als je zelf wil. Als je elk risico als minimaal inschat en je elke wijziging als risicovol classificeerd kun je er conform ISO27001 mee weg komen om vrijwel niets te doen qua informatiebeveiliging. Dat is dan pas een probleem op het moment dat het mis gaat, zoals nu het geval is.

Daarnaast is ISO27001 organisatiebreed, en niet specifiek toegespitst op IT. Het kan zijn dat men bijvoorbeeld op organisatorisch vlak wel verregaande beveiliging toepast, maar dat de afdeling IT een onderdeel is die minder relevant is geacht of wellicht nog in een verbeteringsfase zat. Ik kan mij dat in geval van een haventerminal ook wel voorstellen. Ik kan mij goed indenken dat zaken als drugs, fysieke beveiliging van containers/terreinen en integriteit van personeel een heter hangijzer zijn dan een besturingssysteem van een kraan.

Last but not least kan een auditor niet alles nakijken. Die doet steekproeven op de hele organisatie (dus niet alleen IT-gerelateerde zaken).

Kortom, ik denk dat je reactie mbt ISO27001 wat te kort door de bocht is en te eenvoudig gesteld.
Ik erken ook dat het wat kort door de bocht is. Mijn statement is ook meer richting het senior-management en niet zozeer de auditors. Daarnaast een leverancierstoetsing is wel degelijk onderdeel van het geheel en gezien het huidige klimaat zou ik zeker het politiek minder correcte statement durven maken dat als dergelijke software uit de Oekraine komt dat extra aandacht nodig heeft.
Zo zou een van de belangrijkste systemen, het zogenaamde Terminal Operating System, tot 2015 niet voorzien zijn van antivirussoftware
Want antivirussoftware heeft gelukkig nu ingegrepen en de problemen voorkomen? Dat antivirussoftware nodig is op alle systemen blijft een hardnekkig misverstand. Op clientsystemen kan het soms handig zijn, afhankelijk van wat je users ermee doen, en in mailfilters is het wenselijk denk ik, maar op servers en dergelijke levert het eerder meer gaten op dan dat het verhelpt.

Het aantal veiligheidslekken in antivirussoftware wat de afgelopen jaren is gevonden, is stuitend. Kijk alleen al naar de lijst van issues vanuit Google's Project Zero: https://bugs.chromium.org...e+Owner+Summary&cells=ids (deze search pakt nog niet eens alle issues)

[Reactie gewijzigd door MikeN op 8 juli 2017 11:03]

Dat antivirussoftware nodig is op alle systemen blijft een hardnekkig misverstand. Op clientsystemen kan het soms handig zijn, afhankelijk van wat je users ermee doen, en in mailfilters is het wenselijk denk ik, maar op servers en dergelijke levert het eerder meer gaten op dan dat het verhelpt.
Onzin en een gevaarlijke gedachte. Ook op servers is goede malware protectie een vereiste. Juist daar waar de data wordt verwerkt is het belangrijk om (ook) in control te zijn.

In hoeverre levert anti virus op een server meer gaten op dan het verhelpt? Je linkt naar informatie over verschillende virusscanners zonder daarbij aan te geven dat alle gevonden gaten inmiddels gefixed zijn en dat het hier niet in alle gevallen om server software gaat. Natuurlijk kan een anti malware pakket een lek bevatten maar om nu alle software voor het gemak over een kam te scheren vind ik verkeerd. Bovendien lijken niet alle gemelde lekker actief misbruikt of direct eenvoudig te misbruiken. Gebruik je ook geen auto gordel omdat deze af en toe niet afdoende werkt?

Los hiervan zul je ook bij audits de nodige opmerkingen krijgen wanneer er op servers geen anti malware actief is. Afhankelijk van de branche waarin je werkt kan het zelfs voorgeschreven c.q. verplicht zijn. Het niet hebben van dergelijke software (actief en up2date) wordt in de regel gezien als het niet op orde hebben van de beveiliging.

Goede beveiliging gaat uit van meerdere lagen waarbij ook de server laag belangrijk is. Het is in sommige omgevingen bijvoorbeeld best practice om daar een anti malware pakket te draaien van een andere leverancier dan aan de netwerk borders met het idee dat je daarbij meer kans maakt om iets te detecteren en te stoppen.

Het advies om zonder anti-malware pakket te draaien en nooit een goede.
In hoeverre levert anti virus op een server meer gaten op dan het verhelpt
Ik geloof dat m'n link daar genoeg informatie over geeft. Het grote probleem met virusscanners is dat er veel zich diep in de kernel van de systemen nestelen, waardoor een gat meteen extreme consequenties heeft. Dat gaten gefixt worden is leuk, maar als Tavis Ormandy met een paar uur fuzzen weer een nieuw gat in Microsoft Malware Protection Engine vind, dan is het een kwestie van tijd tot een kwaadaardig persoon dat ook een keer doet.
Gebruik je ook geen auto gordel omdat deze af en toe niet afdoende werkt?
Je vergelijking gaat mank. De vergelijking moet zijn 'gebruik je ook geen airbag omdat deze af en toe per ongeluk afgaat?'. Ik denk dat het antwoord op die vraag iets anders is.
Los hiervan zul je ook bij audits de nodige opmerkingen krijgen wanneer er op servers geen anti malware actief is.
Dat weet ik, maar dat een auditor iets roept en met een bak papier aan komt zetten betekent niet dat dat ook direct goed beveiligingsbeleid is.

Ik zet niet dat nergens virusscanners actief moeten zijn, maar de gedachte van veel mensen is dat het 'moet' en dat je dan klaar bent. Op plekken waar bestanden extern binnen kunnen komen (of dat nou mail, een download, of een USB stick bij een werkstation is) zou je moeten scannen. Met name op servers betwijfel ik echter sterk of de voordelen opwegen tegen de nadelen. Als je processen en netwerkverkeer goed gesandboxed zijn, maakt malware überhaupt helemaal geen kans. Zeker niet de standaard malware die virusscanners detecteren.
Ik geloof dat m'n link daar genoeg informatie over geeft.
Nee dat geeft het niet. Je linkt zoals aangegeven naar een aantal oude bugs die inmiddels gefixed zijn en waarbij het erg onduidelijk is of de genoemde gaten erger zijn dan het risico op malware of een daadwerkelijke besmetting. Newsflash: alle software bevat fouten die potentieel misbruikt kunnen worden, het OS natuurlijk niet uitgezonderd. Het is hierbij echter vooral van belang hoe groot het risico en de exposure is en hoe snel fouten worden opgelost.
Als je processen en netwerkverkeer goed gesandboxed zijn, maakt malware überhaupt helemaal geen kans. Zeker niet de standaard malware die virusscanners detecteren.
Waarom zou een sandbox wel feilloos zijn wanneer anti malware producten dat, zoals je terecht aangeeft, niet zijn? Een sandbox is ook maar een stuk software welke ook fouten zal bevatten. Bovendien is een sandbox ook een actief anti malware middel. Zie je waar je punt fout loopt? Het ene stuk software niet vertrouwen om vervolgens het andere stuk software als 100% veilig neer te zetten...

In het specifieke geval van NotPetya maar ook Wannacry had een actief antimalware pakket kunnen helpen om de bedreiging het hoofd te bieden. Diverse producten stopten deze malware.

[Reactie gewijzigd door Bor op 8 juli 2017 12:38]

Je linkt zoals aangegeven naar een aantal oude bugs die inmiddels gefixed zijn en waarbij het erg onduidelijk is of de genoemde gaten erger zijn dan het risico op malware of een daadwerkelijke besmetting.
Het is lastig om een afweging te maken tussen door AV geïntroduceerde beveiligingslekken en potentiële security issues die je creëert door geen AV te draaien, en er is geen 'getalletje' aan te hangen. Feit is wel dat meerdere browservendors hebben aangegeven dat AV producten meer security risico's veroorzaakten dan oplosten (met het MITM'en van SSL verbindingen, injecten van niet-ASLR compatible DLL's en op andere manieren in browserprocessen ingrijpen die security verbeteringen tegenhielden). En dan roep ik nog niet eens dat je op je clients geen AV zou moeten draaien.
Het ene stuk software niet vertrouwen om vervolgens het andere stuk software als 100% veilig neer te zetten...
In het geval van sandboxen doe je dit meestal op kernel (SELinux/AppArmor/aparte useraccounts/rechten), netwerk (lokaal firewalling/netwerk firewalling/IDS/IPS) en hypervisor (aparte machines) niveau. Het gaat dus niet om 1 stuk software wat je vertrouwt, maar om meerdere lagen. Dat kun je op lokaal- en op netwerkniveau aanvullen met malware scanning. Dat is iets anders dan domweg op iedere host een AV product installeren, terwijl dit misschien 1.) amper helpt en 2.) security issues oplevert.
In het specifieke geval van NotPetya maar ook Wannacry had een actief antimalware pakket kunnen helpen om de bedreiging het hoofd te bieden.
Iedereen die z'n beveiliging op orde had was niet vatbaar voor Wannacry (SMBv1 moet uit staan, en je patches moeten op orde zijn). De NHS was ongetwijfeld erg blij met hun Sophos scanner toen Wannacry langs kwam.
Eens!

Antimallware en antivirus horen op plaatsen te draaien waar gebruikers direct interactie met het OS hebben, zoals bijvoorbeeld browsen, email lezen, applicaties opstarten / installeren. Dit zijn allemaal zaken die op een server geen plaats moeten vinden. En daarom is een virusscanner volstrekt overbodige nonsens op een server.
En daarom is een virusscanner volstrekt overbodige nonsens op een server.
Onzin. Dit soort opmerkingen getuigen van een compleet gebrek aan begrip van hedendaagse malware. Malware verspreid en activeert niet alleen op plaatsen waar gebruikers direct interactie hebben. Die fabel ging al nooit op. Kijk bijvoorbeeld naar een worm. Een viruspakket kan helpen om dergelijke zaken te detecteren en te stoppen. We hebben de laatste tijd legio voorbeelden gezien van malware die zich zonder tussenkomst van een interactieve gebruiker kunnen verspreiden. Files op fileservers vallen massaal ten prooi aan ransomware etc.
[...]
Feit is wel dat meerdere browservendors hebben aangegeven dat AV producten meer security risico's veroorzaakten dan oplosten (met het MITM'en van SSL verbindingen, injecten van niet-ASLR compatible DLL's en op andere manieren in browserprocessen ingrijpen die security verbeteringen tegenhielden).
Er zijn een aantal slecht onderbouwde blogposts geweest een tijd geleden. Die zelfde reacties werden weer weerlegd door andere producenten en beveiligingsexperts. Het is vaak het prediken voor de eigen parochie ipv dat men met een echt goed onderbouwt onderzoek komt.
In het geval van sandboxen doe je dit meestal op kernel (SELinux/AppArmor/aparte useraccounts/rechten), netwerk (lokaal firewalling/netwerk firewalling/IDS/IPS) en hypervisor (aparte machines) niveau.
Aparte useraccounts / rechten, firewalling, IDS, IPS en hyporvisors hebben an sich met security te maken (hoewel een hypervisor in basis ook niet), bieden een gelaagde aanpak maar zijn geen sandbox technieken of oplossingen. SELinux en aanverwante zaken daargelaten gezien het in dit onderwerp over Windows malware gaat.

[Reactie gewijzigd door Bor op 8 juli 2017 14:53]

Sorry, dit klinkt als enkel een slot op het museum, maar zodra de boeven binnen zijn, mogen ze elk schilderij straffeloos van de muur halen. Ik ben het in dezen geheel met Bor eens.
Ik zie het meer als dat een goed beveiligd museum, een willekeurig iemand van straat plukt om 's nacht in het museum de wacht te houden. En die persoon heeft trouwens ook nog toestemming om z'n vriendjes buiten af en toe te vragen of er nog boeven in de buurt zijn.
Je vergeet dat server ook dienst doet om te voorkomen dat virussen en malwares bij de eindgebruiker komt, de clients.

Als je niet weet wat "voorkomen is beter dan genezen" betekent, dan moet je nog een keer huiswerk maar overdoen. De verleden leert al genoeg dat gescande mailboxen stuk veiliger zijn dan niet gescande mailboxen. Dan moet client ineens alles zelf uitzoeken...

Hoe vaak komt het voor dat iemand op de bedrijf achter de pc op de link van "aantrekkelijke" email klikt, of waarschuwende email op de link klikt... allemaal om te kijken wat het is. Nieuwsgierigheid en verder kijken zonder goed na te denken, komt helaas te vaak voor. Niet elke werknemer is een computer nerd hoor.

Het is daarom veel beter dat op server scanner staat, zodat verdachte emails gelijk vernietigd worden. Ook websites met verdacht inhoud kunnen meteen tegengehouden worden.

En natuurlijk gooien clienten ook nog allerlei bestanden op de server. Dat moet ook gecheckt worden of ze wel veilig zijn voor andere mensen. Wat ze allemaal meenemen op usb sticks... dat kan niet 100% veilig zijn.

Zo zul je zien dat er veel goede redenen zijn om servers van scanners te voorzien.
Het probleem met de antiviruspaketten die in de link staan is dat ze zonder interactie bestanden gaan parsen op kernel niveau. Normaal heb je een of meer extra exploits en beveiligingslekken nodig om zover te komen, binnen de AV heb je dit al. Alle usermode/kernel mode bescherming die een OS te bieden heeft wordt zo omzeild.

Ik wil niet zeggen dat je nooit AV op een server moet zetten, maar de beveiligingslekken in antivirusproducten baren mij toch ook zorgen. Het lijkt wel alsof security ironisch genoeg niet heel erg hoog in het vaandel staat als je ziet hoeveel code er in de kernel draait.

Daarnaast creëren de complexe heuristieke detectiesystemen die antivirusproducten tegenwoordig gebruiken een behoorlijk grote attack surface. De kans op een bug in zulke code wordt extreem groot alleen al vanwege de complexiteit. En vanwege de hoge privileges is het toch het beste doelwit voor een exploit wat je kan bedenken.

Bijvoorbeeld, in het Windows Defender geval hoeft een .zip file je schijf maar te raken en je hebt code execution op kernel niveau. Ookal is je applicatie helemaal veilig en parse je het bestand niet eens! Zulke lekken zijn catastrofaal en vormen een reëel gevaar.
Precies dit dus. Ik vind het sowieso onzinnig om in het onderzoek het wel of niet gebruiken van antivirus erbij te halen. Dat zou in het geval van de recente exploits van smb vulnerabilities namelijk nul nut hebben gehad.
In hoeverre levert anti virus op een server meer gaten op dan het verhelpt?
Antivirus software vormt een gigantische attack surface. Er worden keer op keer hele domme fouten gevonden in AV software die veel erger zijn dat het probleem wat ze proberen op te lossen. Zelfs een bedrijf als MS maakt hier hele domme keuzes in (Javascript die je expliciet niet vertrouwd runnen met vergaande privileges b.v.).

Het probleem is dat een AV pakket honderden verschillende bestandsformaten moet kunnen lezen om deze te kunnen scannen (denk aan ZIP files, MS Office files welke OLE objecten kunnen bevatten en noem maar op) en ook nog eens bijna alle data die van/naar een computer gestuurd wordt door deze scanner haalt. Als er dus een foutje in de interpretatie van 1 van deze vele formaten zit, is deze op heel veel manieren uit te buiten (email, img src in een webpagina, IM, etc. etc.).

Vergelijk dit bijvoorbeeld met een webserver, die alleen maar 1 type bericht/protocol hoeft te begrijpen, en ook daar sluipen al fouten in en bedenk je dan dat een AV ontwikkelaar honderden van dat soort stukken code moet onderhouden.

Als ik weet dat ik op een server nooit wat met b.v. RAR files ga doen, waarom dan het risico lopen elke binnenkomende RAR file te scannen en potentieel slachtoffer te worden van een bug in de RAR implementatie v/d antivirus software ?

Daarnaast lopen virus definities altijd achter de feiten aan, dus een nieuwe uitbraak hou je niet zomaar tegen. Ook met heuristics vang je maar een klein deel, en dat is iets waar virus makers rekening mee houden en hun virus tegen kunnen testen.

Verder hebben de meeste AV bedrijven geen echt goede track-record wat betreft het ontwikkelen van veilige software. Denk aan AV pakketten die verouderde browsers mee installeren als 'secure browser' waar dan ook nog eens bijna alle security features van zijn uitgeschakeld. Als zelfs een bedrijf als Microsoft, wat veel beter zou moeten weten en goede code review processen zou moeten hebben, het voor elkaar krijgt om inkomende untrusted JS code met high-level privileges te runnen 'om te zien wat het doet' dan kan je je voorstellen wat de minder grote AV leveranciers er voor een zooitje van maken.

[Reactie gewijzigd door Aaargh! op 8 juli 2017 15:53]

Precies, voor een bedrijf komt een antivirus altijd te laat. En cybercriminaliteit wordt niet gedaan met virussen die van de plank komen. Maar wel met malwares die samengesteld worden a.d.h.v. een source code die aangekocht kan worden van andere, oudere, virusschrijvers.

Bijna een beetje zoals github, zeg maar. Het zou beter zijn moest die viruscode gewoon open source zijn. Dan zouden de ICT mensen die er iets tegen moeten doen sneller inzien dat hun antivirus productjes gewoon totaal onnozel zijn.

Maar nee. Dozen schuiven he.

Het probleem van netwerk beveiliging (want ik vind cybersecurity toch zo'n idioot woord, eigenlijk zou ik ook beter digitale criminaliteit gebruiken ipv cybercriminaliteit) los je op door te layeren. Hoe kan het dat dat containerbedrijf een layer heeft die gewoon los op het Internet hing die het hele bedrijf heeft kunnen lamleggen?

Daar moet dus een hele ICT afdeling op staande voet ontslaan worden, en de CTO mag mee oprotten. Gelukkig voor hen dat ik daar geen CEO ben. Die zouden heel snel vervangen worden door wel competente mensen.
oe kan het dat dat containerbedrijf een layer heeft die gewoon los op het Internet hing die het hele bedrijf heeft kunnen lamleggen?
De methode van besmetting via een update van een boekhoudingspakket dringt juist makkelijk door tot zo'n productie layer omdat de beheerders, die de updates van de productiesoftware doen, de software verplaatsen van een internet layer naar zo'n productie layer of de productie layer tijdelijk koppelen om de update uit te voeren.

Dit soort aanval kun je alleen afvangen door voor ALLE software updates de updates eerst een geruime tijd in quarantaine uit te voeren en te testen en dan de software uit de quarantaine over te zetten naar productie en vooral niet alsnog die geteste versie updaten vanuit de leverancier die inmiddels besmet kan zijn. En dan nog kan het de volgende keer zo zijn dat de malwaremaker een maand delay heeft ingebouwd zodat de softwareupdate alsnog wordt uitgerold naar een 'veilige' productie omgeving.
Waarom is de boekhoudsoftware niet gescheiden van de rest van het bedrijf? En als er een stroom data van het ERP of CRM pakket naar die boekhoudsoftware moet, waarom is dat niet één geencrypteerde connectie en een firewall er tussen?
Er zijn bij een groot bedrijf makkelijk 100 of 200 externe pakketten in gebruik.
Hoeveel omgevingen wil je hebben??
Een de volgende keer is het misschien geen boekhoudpakket maar een vooraad pakket of een onderhoudspakket
Per afdeling één of meer netwerk segmenten. Per process of per groep afhankelijkheden één netwerk segment. Tussen de segmenten firewalls en volledig gecontroleerde (en geencrypteerde) verbindingen en processen.

Als één segment er uit gaat, dan moet dat segment binnen aanvaardbare tijd heropgestart kunnen worden. Dat dit lukt moet regelmatig getest worden. Dit testen (op aparte netwerken) is de hoofdtaak van de ICT afdeling. Door dit te testen kunnen ze ook verbeteringen ontwikkelen. Dat proces van testen doe je bv. in een Scrum manier: iedere twee weken een test wat analyse, voorbereiding, implementatie, uitvoering, evaluatie, voorstel tot verbetering (retrospectives) omvat. Iedere twee weken opnieuw. Iedere morgen standup meeting om te bespreken wie wat gaat doen.

Op uwe bureau zitten niksen en wachten tot er iets fout gaat = incompetent zijn. Te veel ICTers zijn inderdaad zo.
Omdat in een gemiddeld bedrijf niet 1 afdeling maar 1 pakket gebruikt... In de praktijk worden de 10-tallen applicaties voor verschillende doeleinden/modules gebruikt door zo'n beetje alle afdelingen.

En daarnaast, hoe lang wil je een nieuwe versie in test laten staan? 2 maanden? 3 maanden? De volgende keer word het virus na 6 maanden pas actief...

[Reactie gewijzigd door Crazy D op 8 juli 2017 14:41]

Scrum. Als er iets dodelijk vermoeiend is en echt het leven uit mensen zuigt dan is het scrum wel. Hey en als het niet past dan schuiven we gewoon wat door naar de volgende sprint(s)

Ik weet dat het een beetje als het orakel van de IT wereld wordt gezien (sinds er managers zijn die hun nerds onder controle willen houden) maar echt creatief wordt je er niet van. Je bent de helft van je tijd kwijt aan documentatie en vergaderen en daarna ben je hersendood.

[Reactie gewijzigd door nexhil op 8 juli 2017 16:38]

Mij eender welke methode je gebruikt, als je er maar verdomd zeker van bent dat je alle IT infrastructuur binnen een wel bepaalde vooraf afgesproken tijd kan reconstrueren.

Ik kom zelfden ICT afdelingen tegen waar om het even wat in orde is gemaakt.
De software zal misschien wel gescheiden zijn, maar het pdf factuurtje wordt toch echt vaak op een fileshare opgeslagen.. Koppelingen zijn er altijd AD(FS), CIFS, SMTP, SMNP enzv.. Gescheiden is een unicum.. Echter zo ver mogelijk segmenteren helpt vaak wel :) :)
Precies, voor een bedrijf komt een antivirus altijd te laat. En cybercriminaliteit wordt niet gedaan met virussen die van de plank komen. Maar wel met malwares die samengesteld worden a.d.h.v. een source code die aangekocht kan worden van andere, oudere, virusschrijvers.
Een anti-virus of anti-malware pakket zal soms te laat zijn maar zeker niet altijd zoals jij aangeeft. Ook een bedrijf is vatbaar voor huis-tuin en keuken malware waar je ook thuis mee besmet kunt raken. Dit omdat in de meeste gevallen dezelfde systemen (en dus dezelfde kwetsbaarheden) worden gebruikt en je ook nog zo iets hebt als gebruikers van de systemen. Hiernaast zijn er meerdere opties om malware te stoppen waaronder signature based scanning maar ook door middel van het breken van een exploit chain zoals Palo Alto Traps bijvoorbeeld doet.
Daar moet dus een hele ICT afdeling op staande voet ontslaan worden, en de CTO mag mee oprotten. Gelukkig voor hen dat ik daar geen CEO ben. Die zouden heel snel vervangen worden door wel competente mensen.
Dat zijn wel hele harde afspraken terwijl je niet op de hoogte bent van het het geheel is verlopen. Waarom zou je de IT afdeling moeten ontslaan wanneer er van hoger hand werd aangegeven dat voorgestelde en vereiste verbeteringen niet mochten worden doorgevoerd. Had men massaal moeten opstappen (en dus zonder werk komen te zitten)? Uiteindelijk is het het management welke eindverantwoordelijk is voor het geheel natuurlijk. Kom dan tenminste met onderbouwing ipv alleen maar dit soort populistische uitspraken.
En zo zie ik dat meer en meer de verkeerde kant op gaan. IT wordt te vaak gezien als kosten- en sluitpost. Hardware die door moet draaien na het aflopen van support contracten, software die niet vernieuwd wordt en daardoor draait op een oud OS, de IT-ers hier herkennen dat wel. En inderdaad, als er gelazer komt mag de CTO opstappen. Weerzinwekkend.
Terwijl het heel duidelijk net de leiding (CEO of zo) was die zo'n dingen tegenhield, die moet dus de IT afdeling gaan ontslaan? Leuk zo, geef je advies, krijg je een nee, en wanneer het fout loopt wordt je nog eens ontslagen ook... Inderdaad gelukkig voor hen dat jij er niks te beslissen hebt.
In dat geval zouden de aandeelhouders nu moeten eisen dat de CEO ontslagen wordt. Zij zijn namelijk de enigen die dat kunnen.

Maar eigenlijk, als je als CTO die bevoegdheid van de CEO niet krijgt; dan had je op dat niveau als CTO al lang een andere baan moeten gaan zoeken. Dat is geen bedrijf waar je wil blijven. Zelfs niet als je geen enkele competentie als CTO hebt. Zelfs de dwazen van de samenleving zouden dat moeten inzien.
Dat is geen bedrijf waar je wil blijven. Zelfs niet als je geen enkele competentie als CTO hebt.
Dat ligt er maar aan hoeveel ze betalen....Principers zijn leuk, maar een goed gevulde bankrekening is ook erg aantrekkelijk.
Echt waar, en nu terug naar de realiteit. Hoe is het om zo'n droom wereldje te leven waar je denkt dat zulke banen voor het oprapen ligt.
Maar ook zo simpel is het (in nederland) om werknemers te ontslaan.
Probleem is alleen dat 9 van de 10 keer het onkruid op de stoel vam degene zit die de beslissingen moet maken. Naast dat je gewoonweg soms iemand echt niet kunt ontslaan, zeker als degene kan bewijzen dat 'jij' degene bent die er voor gezorgd heeft dat 'hij' zijn werk niet kan doen. Genoeg werknemers die er geen probleem mee hebben om toch te blijven werken voor dezelfde baas als de rechter het ontslag onterecht heeft verklaard. En die kosten kunnen bij onterecht ontslag aanzienlijk zijn, meer dan die verplichtte transitievergoeding. Enige waar je dan als werkgevervop kunt hopen is dat die geen vast contract had.
Een ander negatief aspect daarvan is, inderdaad, dat veel prutswerk opgeleverd wordt. Met ont-zet-tend veel bugs en shortcuts.
Dat komt omdat de opdrachtgever het zo goedkoop en snel mogelijk wil hebben. Jij als developer wilt alles misschien goed documenteren etc, maar de opdrachtgever wil alleen maar resultaat zien en wel gisteren, die interesseert zich in de eerste instantie niet naar de toekomst, dat komt later allemaal wel. Tja, en dan gaat goede documentatie en ontwerp vaak de deur uit om maar zo snel mogelijk iets op te leveren.. De klant wil het zo, dus gebeurd het dan ook maar zo..
Mijn ervaring van de afgelopen 20 is dat juist CEO's hier de boosdoeners zijn en zelden of eigenlijk nooit de CTO. Marketing en sales krijgen altijd hun zin, want anders 'kunnen ze de verkoopprognose niet waarmaken'. En krijgt IT mondjesmaat geld. En dan gaan er dingen mis (downtime en zo) en dan is het 'we hebben onze targets niet waar kunnen maken omdat die sukkels van ICT niet eens een paar servers kunnen beheren'. Goed kan je het zelden doen op deze manier. In het bedrijf waar ik nu werk is dat sinds een paar jaar volledig gedraaid, security en ICT staan hoog op de prio lijst, wat een verademing!

Niet lopende zin aangepast

[Reactie gewijzigd door Houtenklaas op 8 juli 2017 21:13]

Handig, alles en iedereen op staande voet ontslaan en dan wordt het beheer en dergelijke gedaan door? Gewoon lekker stuurloos laten of denk je dat er binnen notime een nieuw goed team zit dat niet ingewerkt hoeft te worden en meteen volle bak aan de slag kan?
Ik vind het nogal kort door de bocht om de ICT afdeling de schuld te geven.

In dit artikel staat dat verbeteringen zijn tegen gehouden door het bestuur. Misschien heeft de ICT afdeling een hele duidelijke visie / doelstelling wat betreft de omgeving en beveiliging, maar zijn ze met handen en voeten gebonden geweest. Vervolgens zijn zij wel degene die HELE lange weken gehad hebben, en waarschijnlijk nog voor de boeg hebben...

Ik denk dat de verantwoordelijken hoger in de boom zitten, en hoop zelf dan ook dat daar de juiste maatregelen genomen gaan worden....
Je praat er makkelijker over dan het is om oa mensen te ontslaan. En ook alsof het zo makkelijk is om alles goed te beveiligen.
Zoals ik al zei, je kan nog zo goed beveiligen als je wilt, maar zero day exploits (op os niveau, bios niveau, hardware niveau) kunnen het allemaal zo open leggen aslof je geen beveiliging hebt. Zeker met de applicaties van tegenwoordig die zoveel poorten open moeten hebben om te kunnen functioneren. Ja je kunt goed beveiligen, maar dat wil niet zeggen dat je dan ook echt veilig bent.
Ik denk dat de term "Anti-virus" ook enigzins outdated is, bijna geen enkel bedrijf (in ieder geval niet in onze klanten kring) gebruikt nog een ouderwetse oplossing met een client die enkel AV is met dagelijkse pattern updates.

Een security oplossing die wij veel gebruiken bijv. is Trend Micro Deep Security. Deze scant via appliances op de Hypervisor, waardoor AV clients op de servers niet meer noodzakelijk zijn voor het AV gedeelte, maar doet (optioneel) ook zaken als log scanning, integrity monitoring, change auditing, IPS / DPI, 0-day application firewalling, volledige systeem firewall, Applocker achtige applicatie blokkade, Ransomware detectie op basis van fileveranderingen naast de standaard detectie van executables e.d.

En zo hebben meerdere van origine AV bedrijven oplossingen als deze.

Security tegenwoordig gaat veel verder dan enkel je AV op orde hebben.

"Servers" is natuurlijk ook wel een breed begrip, op een SQL server oid zul je inderdaad niet altijd een AV nodig hebben, maar een RDS / Citrix server is toch een ander verhaal.
Een security oplossing die wij veel gebruiken bijv. is Trend Micro Deep Security
Van hun site, tweede tab:
* Removes the need for emergency patching
* Protects end-of-life systems
Als je als security vendor zoiets roept als sales argument, dan ben je toch niet serieus meer te nemen? Security regel 1 is om up-to-date te blijven. Als je iets draait dat EOL is, of dat patches mist, zou je daar moeten beginnen.
Ik zou je eerst een gaan inlezen op wat die zaken doen. voor je zulke statements maakt, die functies zijn namelijk best handig. Stel er komt een 0-day exploit voor een bepaalde service / software pakket op een bepaalde poort, wat Deep security dan doet is direct filters aanmaken in de IPS / DPI en firewall engines zodat die exploit geblokkeerd wordt zolang de vendor van de software die exploitable is geen patch heeft, je systemen zijn dus direct niet meer vatbaar, zelfs als er nog geen patch is. Komt de patch, hoef je niet hals overkop die patch te installeren zonder de normale Test - Acceptatie procedure te doorlopen, doordat Trend Micro de exploit afvangt kan je gewoon je normale Test - Acceptatie doorlopen en de patch daarna rustig op een gepland moment installeren zonder dat je heel de tijd vatbaar bent voor de exploit.

Ook kun je zelf door soort regels maken wanneer je software draait waarvoor Trend Micro geen regels beschikbaar stelt. Denk bijv. aan software van kleine (locale) software bedrijven die niet internationaal opereren.

De 2de functie gebruiken wij een stuk minder, maar doet eigenlijk deels hetzelfde, wij hebben een bijv. klant met een aantal zeer dure CNC machines (investering van een paar ton die ruim 10-20 jaar mee moeten gaan). Die machines worden aangestuurd door ingebouwde XP machines. De leverancier support het niet dit te vervangen door een recenter OS (grove fout van de leverancier), deze machines halen echter de patronen van een andere machine af waarop de designs gemaakt worden. Nu zitten deze machines uiteraard in een eigen VLAN zonder toegang tot de rest van het netwerk / het internet, maar het komt wel voor dat bijv. monteurs van de leverancier in dat subnet moeten zijn voor onderhoud aan de machine. Wat TrendMicro dan ook daar doet via de IPS / DPI en firewall engines is die XP machines volledig afdichten m.u.v. van de poorten die daarwerkelijk nodig zijn voor het functioneren. Komt er dus bijv. een nu een lek uit voor XP (dat MS niet meer zal patchen) zal Trend Micro dat lek alsnog afdichten via de IPS / DPI / Firewall engines. Wat nog altijd een stuk veiliger is dat dan helemaal niets doen.

Ben het verder zeker met je eens, machines zouden altijd gepatcht moeten worden wanneer mogelijk en End-of-life zaken zouden vervangen moeten worden. Maar in sommige situaties, zoals bijv. bovenstaande is vervanging niet direct mogelijk voor de klant zonder een enorme afschrijving te doen op goed werkende machines. De klant leert er gelukkig nu wel van dat bij een nieuwe selectie procedure de upgradebaarheid van de aansturing ook meegenomen zal worden. Maar voor nu zijn de machines een stuk beter beveiligd dan wanneer een oplossing als Trend Micro niet gebruikt zou worden.

[Reactie gewijzigd door Dennism op 8 juli 2017 13:01]

Bedankt voor je uitleg, maar dat was m'n punt niet echt. Ik snap dat het kan werken tegen 0-days, en tegen exploits op EOL systemen.

Mijn punt is dat je als security bedrijf niet 'geen patching nodig' en 'draai maar EOL software' als sales argumenten zou moeten gebruiken. Dan creëer je een compleet verkeerde mindset bij je afnemers.

Als er een emergency patch is, zou je zo snel mogelijk moeten patchen. Ook al ben je op een ander niveau beschermt tegen dat lek. Het gaat tenslotte om een beveiliging in lagen, waarbij iedere laag van belang is. Als je OTAP proces te lang duurt, moet je dat maar beter inrichten.

Hetzelfde verhaal met EOL software. Ik snap dat er toepassingen zijn waar je er helaas niet omheen komt. Klanten zouden echter veel meer op hun strepen moeten gaan staan bij leveranciers, en niet de oplossing moeten zoeken bij andere producten (maar ja, je moet wat).

Waar ik gewoon over val is dat Trend Micro dit in de hand werkt, door in de sales dit soort argumenten in te zetten. In feite verdienen ze hun geld dus juist aan leveranciers die hun zaken niet op orde hebben. Maar dat is eigenlijk altijd het probleem geweest met anti-malware bedrijven: de producten zouden overbodig zijn als er geen malware was, of als er geen securityproblemen waren. Blijft een lastige markt met belangenconflicten, wat dat betreft.
Wat dat betreft is het inderdaad dubbel daar het inderdaad beheerders / beslissers "lui" kan maken om niet te patchen of te vervangen en / of niet te investeren omdat "Trend" het wel afvangt, ik snap echter wel waarom je het als marketing oogpunt wel zou gebruiken in je marketing boodschap, als jij het namelijk wel hebt, en de concurrent niet heb je toch mogelijk een streepje voor.
Hoe werkt dat met https? Wordt er dan gebruik gemaakt van een reverse proxy op die appliance ofzo? Zo ja, wat ziet de gebruiker dan in z'n adresbalk voor wat betreft het certificaat? (Oprechte vraag, we willen ook naar zo'n oplossing toe).

[Reactie gewijzigd door Rataplan_ op 9 juli 2017 13:42]

Voor zover ik weet ziet de gebruiker hier in dit geval niets van, daar je interne services beveiligd. Deep Security gebruikt daarbij het certificaat + private key zoals geïnstalleerd op de server die de service host.

Zie bijv: https://help.deepsecurity...intrusion-prevention.html

Het is dus niet zo dat hiermee standaard als het internet verkeer decrypted wordt en na inspectie weer encrypted. Dit kan volgens mij met Deep security, maar wij gebruiken bij klanten die al het externe verkeer willen inspecteren daar in de regel hardware security appliances voor.
Misschien niet vanaf minuut 0, maar Eset blokkeerde'm wel heel snel, vanaf 27 juni, 13:27 uur (mits je livegrid ingeschakeld had, anders iets later)
Antivirussoftware is een zeer effectieve methode om zo'n epidemie een halt toe te roepen.

Daarnaast, voor bijvoorbeeld WannaCry boden een groot aantal producten gewoon al preventief bescherming: http://weblog.av-comparat...tion-wannacry-ransomware/

Ook Petya werd zeer snel gedetecteerd door veel antivirussoftware. De gedachte dat AV alleen nog achteraf werkt, met signatures en detectie, is allang achterhaald. Producten zijn een stuk proactiever geworden en kunnen 0-day malware zeer effectief blokkeren.

[Reactie gewijzigd door Donenzone op 8 juli 2017 18:35]

Ik mag hopen dat jij niet verantwoordelijk bent voor de security bij eveoh.nl :F
Anti-virus kan soms helpen en het is beter dan niets.

Maar gezien de enorme fouten die er tegenwoordig vaak in AV software gevonden worden vraag ik mij wel eens af of het middel niet erger is dan de kwaal.
"bij wijze van spreken" ?
En je zal schrikken als je hetzelfde onderzoek bij andere bedrijven doet. Veel bedrijven zetten ICT beveiliging op een laag pitje, want kost veel tijd en dus veel geld.
Pas als het te laat is gaat met met vingers wijzen, maar dan is het prijskaartje nog veel hoger.

Een beetje een onderzoek waarvan je deze uitslag al wel verwachtte.
Peter's principle voor leveranciers van diensten en goederen. Een leverancier moet steeds goedkoper worden, tot op het punt dat de leverancier niet meer bekwaam kan zijn om zijn goed of dienst degelijk te leveren. In een economisch systeem zoals het onze wil dat zeggen dat iedere levering van een product of dienst, door een leverancier, onbekwaam uitgevoerd wordt.

Dat geldt dus ook voor ICT diensten. Die moeten steeds goedkoper. Dus steeds belabberder. Want winst is belangrijker dan goed. Dus na verloop van tijd is de ICT dienst onbekwaam en onbehoorlijk uitgevoerd. Die leverancier die het maar net niet te onbehoorlijk uitvoert, zal dat tegen de net iets lagere prijs kunnen dan de leverancier die het maar net behoorlijk uitvoert. De eerste zal genomen worden. Dit tot het uiteindelijk overal bij alle bedrijven onbehoorlijk uitgevoerd wordt.
Dat is gewoon een keuze van degene die het inkoopt. Als ik kijk naar mijn eigen werkgever zouden ze een hoop ICT gerelateerde dingen prima goedkoper in kunnen kopen. Maar dat doen ze niet, omdat onder de streep dan productiviteit achteruit gaat, en het ze geld kost. Natuurlijk is geld verdienen uiteindelijk het doel van een bedrijf, maar alles op korte termijn het goedkoopste doen is niet de juiste oplossing, zoals hier ook is gebleken.

En juist hier zie je dus dat ze gewoon gewaarschuwd zijn. Bij (ICT) beveiliging is het altijd een afweging tussen overlast voor de gebruiker en veiligheid. Het is aan het (ICT) management dan om die afweging te maken, en die is hier compleet fout gemaakt. Dat heeft mijn inziens weinig te maken met het economische systeem dat we hebben, maar met incompetent management. (Management hoeft niet veel van ICT te weten in principe, maar dan moeten ze wel weten dat ze er niet veel van weten, en de input van mensen die het wel weten serieuzer nemen).
Dat is het gevolg van Peter's principle, door onbekwaamheid worden de verkeerde keuzes gemaakt bij de inkoop.

Ik zie dit vaak genoeg voorbeeld 1, klacht medewerker: software werkt traag. Onbekwame manager kijkt naar het probleem en besluit workstations aan te schaffen van 9000 euro per stuk "dit is het snelste en beste op de markt". Uiteindelijk blijkt een afgeknepen VPN verbinding en verkeerd ingerichte server voor de vertraging te zorgen.

Voorbeeld 2, Manager heeft een cursus gedaan "blijf door gaan met uninterruptible power supply".
Alle belangrijke werkplekken worden voor zien van kleine UPS systemen. Pand eigenaar loopt langs de afdeling, lacht zich de tering en legt uit dat de gehele afdeling al op een industrieel UPS systeem zit.

[Reactie gewijzigd door sHELL op 8 juli 2017 15:41]

Natuurlijk heb je incompetente managers, dat is namelijk wat je beschrijft. En soms zal dat door het Peter Principle komen, soms ook niet. Maar dat staat compleet los van hetgeen waar @freaxje het over had: Het Peter Principle staat compleet los van het economische systeem wat je gebruikt.
Het probleem is hier erger als in Silicon Valley. Ik ben erg anti USA, maar daar in Silicon Valley hebben ze dit punt wel aardig aangepakt.

Hier in Nederland hebben we dat de managers boven de technische mensen staan. Twee vakken wat eigenlijk appels en peren zijn. Deze twee dingen MOET JE NIET onder elkaar plaatsen.

Toch doen we dat lekker in Nederland. In Silicon Valley plaatsen ze deze twee zaken naast elkaar. De manager kan zelfs veel minder verdienen dan de engineers. Een manager staat daar niet boven de engineers maar naast. Hierdoor krijg je niet dat geneuzel dat managers slechte technische keuzes gaan maken, want die mogen die keuzes niet maken. :) Omdat ze er gewoon geen verstand van hebben! Daar worden de keuzes gemaakt door de mensen die er daadwerkelijk verstand van hebben.

Hopelijk ooit zal ons manager boven engineers model ook veranderen. Anders ziet het er erg somber uit voor Nederland en onze crappy shit ICT en Informatica. Waarom moeten hier allerlei projecten volledig fout gaan? Nou dit is 1 van de grootste oorzaken. Onze cultuur betreft informatica is gewoon FOUT.

[Reactie gewijzigd door Texamicz op 9 juli 2017 13:48]

Ik zou durven beweren dat het originele Peter Principle,vwat er over gaat dat medewerkers in een organisatie gepromoveerd worden tot hun niveau van incompetentie, en daarna stopt het promoveren, het vervormde Peter Principle wat ik eerder uit mijn mouw schudde in bedrijf kan houden.

Het is inderdaad soms incompetence all the way down, and up, too.
Aantal jaar geleden gesproken met mensen die daar werken en daar bleek veel van de ict geoutsourched was naar india . Lekker goedkoop. Als je problemen had mocht je ticket aan maken en werd je terug gebeld uit india.
Nu weet ik niet of dat een rede is dat de beveiligingen niet up to date waren. Maar zet je wel aan het denken...
En je zal schrikken als je hetzelfde onderzoek bij andere bedrijven doet. Veel bedrijven zetten ICT beveiliging op een laag pitje...
Fixed

Zelfs in 2017 zien te veel bedrijven hun ICT infrastructuur nog steeds niet als een bedrijfskritisch onderdeel waar weinig of geen onderhoud op moet worden gedaan. In realiteit zullen +90% van de bedrijven gewoonweg stilvallen zodra er problemen zijn met de servers.
ze zien het wel degelijk als een bedrijfskritisch onderdeel, ze willen alleen vaak niet de prijs betalen die ervoor zorgt dat een bedrijfskritische onderdeel ook als dusdanig wordt onderhouden en ondersteunt ;) Big difference.
(dat ze het zien als bedrijfskritisch, doe maar een voorstel voor scheduled downtime, geheid dat er mensen gaan stuiteren, dus ze weten heel goed dat die computer best wel handig is om prductief te zijn :) )
Je kan ook een programmeertaal kiezen voor je systemen waarbij je geen downtime hebt betreft het updaten van de software. :) Just saying. Maar veel mensen zelfs programmeurs weten dit niet. Een klant zoals APM had dit moeten aangeven bij het kopen van de software, dat software tijdens productie kan geüpdatet worden zonder downtime.

[Reactie gewijzigd door Texamicz op 9 juli 2017 13:20]

oh dat kan zeker, maar de ervaring leert toch wel dat de realiteit (of de as is situatie) nogal het hoofdpunt is :) Het is soms zoals die grap van de man die van een flat springt: bij elke verdieping waar hij langs valt zegt hij 'tot nu toe gaat alles prima'
Precies mijn ervaring.

APM had gewoon het ongeluk dat ze die software van dat Oekraïense bedrijf hadden. De beveiliging bij andere bedrijven is net zo lek, vooral bij het MKB.

Vaak worden kritieke systemen ontwikkelt of bijgehouden door amateurs. Dit kon nog toen er geen internet was, maar vandaag de dag is dat vragen om faillissement als al je data gewist wordt, al je geheimen gestolen of alle gegevens van je klanten op straat komen te liggen.

[Reactie gewijzigd door ArtGod op 8 juli 2017 14:58]

Vaak worden kritieke systemen ontwikkelt of bijgehouden door amateurs.
Het kan zijn dat iemand niet de kennis en ervaring heeft die past bij een professional, maar wie het als betaald werk doet is per definitie geen amateur.
Nee het is veel erger. Er zijn redelijk wat bedrijven waar kritieke systemen oorspronkelijk ontwikkelt waren door medewerkers die als hobby programmeerden. Die knutselden wat in elkaar en later is dit omarmd door het bedrijf. Het hele bedrijf draait dus gewoon op knutselwerk in plaats dat ze echte goede ontwikkelaars inhuren om het te bouwen.
Als zoveel bedrijven weinig investeren in hun beveiliging, dan zou je bijna denken dat een overheid dit verplicht moet maken. Het gaat immers in sommige gevallen ook om het maatschappelijk belang. Bijvoorbeeld wanneer een ziekenhuis haar beveiliging niet op orde heeft waardoor gevoelige informatie van haar patiënten op straat komt te liggen.

Dat kost inderdaad veel geld voor bedrijven maar zoals je zegt kan de schade na een hack groter zijn. Aan de andere kant verzekeren bedrijven zich tegen zoveel dingen. Inbraak, aansprakelijkheidsverzekering, verzuim etc. Waarom investeren ze dan niet in de beveiliging van hun software.

Maar ik snap dat dit complex gaat worden als je kijkt naar de vele soorten bedrijven en sectoren. Moeten alle bedrijven op dezelfde manier beveiligd worden? Vereist een sector meer aandacht? Of mogen bedrijven zoals kledingwinkels dit nog steeds helemaal zelf beslissen? Het wordt zo weer iets waar de overheid zich mee gaat bemoeien. Maar als het om het maatschappelijk belang gaat, zou de overheid dit kunnen verplichten.

Kees Verhoeven van de D66 is al lange tijd bezig met dit onderwerp. Hij erkent dat technologie snel veranderd en snapt dat daar een actieve en verantwoordelijke overheid voor nodig is.

Bron: https://d66.nl/mensen/kees-verhoeven/
Mooi wespennest waar je in wilt kruipen.

Indien je gaat proberen te beschrijven wat bedrijven moeten doen/laten kom je in een ongeloofelijke brij van regeltjes terecht die per definitie altijd achter de feiten aanlopen.

Enige manier waarop dit enigzins behapbaar is dat je bedrijven aansprakelijk maakt voor gevolgschade indien ze aantoonbaar verwijtbaar hebben gehandeld. Dan nog heeft dat veel haken en ogen, zoals die aansprakelijkheid. Dat kan een bedrijf in no time de das omdoen; gevolgschade kan vele malen groter zijn dan rechtstreekse schade. Ik weet eerlijk gezegd eigenlijk niet hoe dit nu precies in de wet is geregeld.
Indien je gaat proberen te beschrijven wat bedrijven moeten doen/laten kom je in een ongeloofelijke brij van regeltjes terecht die per definitie altijd achter de feiten aanlopen.

Want nu lopen de bedrijven met hun slechte beveiliging niet achter de feiten aan wil je zeggen?

Enige manier waarop dit enigzins behapbaar is dat je bedrijven aansprakelijk maakt voor gevolgschade indien ze aantoonbaar verwijtbaar hebben gehandeld. Dan nog heeft dat veel haken en ogen, zoals die aansprakelijkheid.

Hoezo zou dit de enige behapbare manier zijn? Het kan veel makkelijker. In plaats van straffen kan de overheid ook stimuleren of simpelweg regels opleggen. Wanneer een bedrijf zich aan de opgelegde maatregelen heeft gehouden maar ter vergeefs toch is getroffen, kan de overheid daar rekening mee houden. Dan hoeft een bedrijf toch helemaal niet onder te gaan aan een boete?

Het is hetzelfde als een verzekering. Je neemt voorzorgsmaatregelen en doet je best om niet in problemen te komen. Mocht je toch iets overkomen dan wordt je schade beperkt en wordt je in bescherming genomen.

Dat kan een bedrijf in no time de das omdoen; gevolgschade kan vele malen groter zijn dan rechtstreekse schade. Ik weet eerlijk gezegd eigenlijk niet hoe dit nu precies in de wet is geregeld.

Zoals ik hier boven al zei hoeft de overheid alleen boetes uit te schrijven wanneer bedrijven zich niet aan de minimale veiligheidsvoorschriften houden. De overheid zou in eerste instantie kunnen stimuleren. Mocht een bedrijf zich niet aan de maatregelen houden, dan kan de overheid straffen met een boete.
Indien je gaat proberen te beschrijven wat bedrijven moeten doen/laten kom je in een ongeloofelijke brij van regeltjes terecht die per definitie altijd achter de feiten aanlopen.
"Je draait software waarvoor beveiligingsupdates worden uitgegeven."

"Een planning voor het installeren van beveiligingsupdates in een redelijke en billijke periode bestaat."

Opgelost. Hiermee dek je 99% van de markt af. De rest kan getoetst worden op redelijkheid en billijkheid.

[Reactie gewijzigd door The Zep Man op 9 juli 2017 21:53]

Gevolgschade?

je bedoelt hetgeen ze bij de GDPR proberen te bereiken? Hoewel het daar gaat om privacy gerelateerde vraagstukken staat er weldegelijk dat de (persoons)gegevens 'technisch afdoende beveiligd moeten zijn' ..
dit is toch geen leuke discussie waar ik op zit te wachten als technisch verantwoordelijke van een multinational waar ik aan de éne kant de hete adem in mijn nek voel van het management "gij zult niets uitgeven/geen patches/geen downtime/ etc etc etc" vs een privacy / complancy / dpo "gij zult alles goed beveiligen" ... Laat ze het ff lekker zelf uitvechten?
Onzin, dat is alleen maar een lapmiddel en geen aanpak bij de bron. Tevens maak je nog meer regels wat startups zullen tegenhouden en nieuwe bedrijven eerder ergens in een ander land gaan beginnen. Pak het dan bij de bron aan, namelijk de cultuur.

[Reactie gewijzigd door Texamicz op 9 juli 2017 13:51]

Inderdaad. Dat is eigenlijk wat ik in mijn reacties ook overal wil laten uitschijnen: mensen, het is te laat. De IT sector heeft zichzelf volledig onnozel gemaakt. De vrije markt heeft totaal gefaald. Het is tijd voor kei hard overheidsingrijpen. Het is tijd om het level playing field ontzettend veel beter te maken. Om de lat tien tot honderd keer, ja keer, hoger te leggen. Om de boerkens eruit te pesten door middel van overheid. Zodat enkel de goei over blijven. Zodat zij een gezonde markt kunnen beheersen.

Maarja. Dat is niet zo populair. Want velen zouden meteen volledig terecht moeten verdwijnen.
De vrije markt heeft juist goed gewerkt. Je hebt je spullen en/of procedures niet op orde, dan ben je vanzelf een keer aan de beurt. Waarom zou de overheid daar moeten ingrijpen? Zolang privacy goevoelige gegevens niet in het geding zijn zal een bedrijf zelf keuzes moeten maken en de gevolgen daarvan ondervinden.

Komen die gegevens toch op straat, dan is overheidsingrijpen terecht.

Voor de rest heeft de overheid al genoeg bewezen dat ze zelf ook geen ICT projecten kunnen managen dus om dan een bedrijf te vertellen hoe het moet...
De vrije markt heeft juist goed gewerkt. Je hebt je spullen en/of procedures niet op orde, dan ben je vanzelf een keer aan de beurt. Waarom zou de overheid daar moeten ingrijpen?
Omdat de overheid eindverantwoordelijk is om kritieke infrastructuur operationeel te houden.
Komen die gegevens toch op straat, dan is overheidsingrijpen terecht.
Pas als het kalf verdronken is? Dat is de verkeerde manier van redeneren.
Voor de rest heeft de overheid al genoeg bewezen dat ze zelf ook geen ICT projecten kunnen managen dus om dan een bedrijf te vertellen hoe het moet...
Dat is een ander probleem, maar het valt in hetzelfde straatje. Als de overheid eisen aan de industrie gaat stellen (en dit gaat toetsen) dan moeten zij natuurlijk zelf een schijnend voorbeeld zijn van hoe het wel moet. Dat gaat nog wel even duren. ;)

[Reactie gewijzigd door The Zep Man op 9 juli 2017 10:04]

Je kunt je afvragen of de haven en met name APM kritieke infrastructuur is. Ze hebben er een week uitgelegen maar Nederland draaide gewoon door.
En ieder bedrijf vraagt specifieke oplossingen. Of een algemene standaard oplossing die dan vanuit de overheid zou komen, dé oplossing is tegen aanvallen e.d is nog maar de vraag.
Inderdaad draaide Nederland door, maar dat komt omdat wij gelukkig nog meer terminals hebben die containers kunnen op -en overslaan. Als alle terminals een week plat hadden gelegen dan had Nederland er echt wel wat van gemerkt.
Uiteraard, en dat is ook marktwerking. En als APM hieraan onderdoor gaat komt er wel weer een ander bedrijf.

Overigens ben ik het eens met de stelling dat vitale infra bij de overheid hoort. Wel onder goede controle en bestuur.
Probleem wel is dat ict beveiliging ook niet simpel is, een zeroday exploit kan je hele ict open leggen ook al heb je dan zoveel moeite gedaan. Neemt niet weg dat je er wel serieus mee bezig moet zijn, niets doen is ook geen optie.
Zolang het management niet persoonlijk verantwoordelijk wordt gesteld en wordt ontslagen zonder oprot premie zal er ook niks veranderen.
Wij zijn leverancier geweest bij een concurrent van APM. Hier hetzelfde verhaal, systemen mochten nooit geüpdatet worden ook al was de kans op max 5 minuten downtime maar 1%. Dus lopen ze op oude systemen, met oude software. Dit is ook de voornaamste reden dat we hier geen zaken meer mee doen.
Vindt de douane dit bijvoorbeeld niet belangrijk om te controleren bij zulke bedrijven? Ik kan me voorstellen dat cybercriminaliteit zou kunnen ingezet worden om drugs of andere illegale zaken (mensenhandel, ed) aan boord van schepen te krijgen.

Momenteel zal het nog wel eenvoudiger zijn om medewerkers om te kopen. Maar met meer automatisatie zou cybercriminaliteit een uitstekende oplossing zijn. Laat de iRobot een zak wit poeder oppikken daar in plaats van daar.
De douane lijkt me niet de partij om beveiliging van bedrijfscomputers te gaan controleren. Wat de douane doet heeft meer te maken met inkomsten voor de staat, als in importheffingen en accijnzen. Ze zijn niet voor niets onderdeel van de Belastingdienst.
Ja goed, dan moet er een ander controleorgaan komen.
Eens.. en niet alleen de inkomsten voor de staat maar ook 'safety & security' voor mensen en goederen.

Bedrijven zoals APM/Maersk, die met de douane te maken hebben kunnen zich laten certificeren (AEO). Security is hier onderdeel van maar details over de beveiliging van bedrijfscomputers is hier geen onderdeel van.
Ik denk dat omkopen makkelijker is. De criminele medemens kan niet zo makkelijk aan getalenteerde ICT'ers komen.
Ik denk dat jij je daar nog eens HEEL erg in kunt vergissen.
Een tijd geleden is er een nieuwe terminal in Antwerpen neergezet deze was al gehacked voordat deze draaiend was. Hier deden criminelen al de worst case scenario.
Dus m.a.w. is de criminaliteit nu al bezig met digitaal inbreken op nieuwe haveninfrastructuur. Dat sterkt enkel mijn overtuiging dat er controle nodig is op bedrijven en infrastructuur van havens. Dat politie en douane betrokken moeten worden bij de digitale beveiliging. Desnoods in de vorm van een brigade experts die nog aangeworven moeten worden binnen de overheid.

Het aan de bedrijven zelf overlaten lijkt niet te werken.
Heb je gelijk in maar welke overheids instanties zijn capable genoeg om hackers van een miljarden industrie (drugs) tegen te houden ?

De capaciteit van de douane is al onvoldoende om alle containers te checken. Ze controleren er 10 per boot en dat terwijl er een paar duizend per boot worden afgehandeld.

Als ze dus 11 containers tot de nok volstoppen met drugs zijn ze al winstgevend.

Zelfde als belangrijke overheids instanties gehacked kunnen worden. Je tegenwoordig zoveel mogelijk dicht bouwen ze komen er toch wel doorheen. Vergeet niet dat deze malware mogelijk is door een overheid instantie die informatie heeft achter gehouden.

[Reactie gewijzigd door NLKornolio op 9 juli 2017 12:29]

Ik zou zeggen dat de situatie is verranderd en dat er daarom door de overheid moet geïnvesteerd worden in de capaciteit om deze controle te kunnen uitvoeren.

ps. ONZE overheden (ik ben van België, jij weet ik niet, maar we hebben het over één van de belangrijke Europese havens) hebben trouwens die malware niet achtergehouden. Moest Nederland en/of België dat gedaan hebben, dan zou ik je daarin volgen en nu fel van leer geven tegen onze overheden. Maar dat is zo ver ik weet niet het geval. Wat Amerika doet hebben wij geen of weinig invloed op. Ik keur dat uiteraard niet goed van de NSA.
De nsa loopt denk ik wel zo,n 10 jaar voor op onze overheden die eigenlijk pas reageren als er dreiging is. In nl is er pas een nationaal cyber security centrum opgericht toen duidelijk was dat de usa alles aan het afluisteren was volgens mij.
Ik vind het normaal dat een overheid pas reageert wanneer er een dreiging of noodzaak toe is. Alle rest is government overreach, als je het mij vraagt.

Wanneer het gaat over normering of eisen van bedrijven om in te zetten op digitale veiligheid, vind ik dat het normaal is dat de overheid reageert. Er is een dreiging en er is een noodzaak (en de bedrijven doen het niet uit zichzelf).
Waarom van bedrijven niet dan vindt de overheids instantie in deze dan nog wel wat belangrijker.
Tja, dit verbaast mij niks. Een bedrijf zoals APM kan moeilijk een half dagje uit de lucht gaan omdat er een software upgrade uitgevoerd moet worden. APM maakt gebruik van ongeveer 1500 applicaties, om dit allemaal up en running te krijgen is een tijdrovend traject. Dit hebben we ook gezien de afgelopen dagen. Natuurlijk praat ik het niet goed, het bedrijf had gewoon aan software upgrades moeten doen, maar om een hele bedrijf plat te gooien om een upgrade uit voeren is net een stap te ver. De IT mannen van het bedrijf hadden beter een betere oplossing kunnen aanbieden zoals een kopie maken van de bestaande server en deze upgraden. Alles testen of alles naar behoren zou werken en dan een dag plannen om alles om te schakelen naar die andere server. De downtime is dan minimaal.
Ten eerste is het natuurlijk vele malen beter om een half dagje de lucht uit te gaan om een upgrade te doen dan om een week eruit te liggen vanwege een aanval.

Ten tweede, als ze zoiets hadden kunnen bedenken, denk je niet dat ze het gedaan hadden? Denk jij echt dat jij het beter weet dan de ICT-specialisten daar? Voordat ze met zo'n voorstel naar de bestuurders gaan zullen ze écht wel alle alternatieven onderzocht hebben.
Ten eerste is het natuurlijk vele malen beter om een half dagje de lucht uit te gaan om een upgrade te doen dan om een week eruit te liggen vanwege een aanval.
De halve dag uit de lucht is een zekerheid. Slachtoffer worden van een aanval is een (milde) kans.
Degene die het gaat beslissen heeft de portemonnee.
Dat is een optie. Maar als het zoveel systemen zijn, zou je toch zeggen dat die meuk dubbel is uitgevoerd qua servers.
Eerst de ene server updaten, werken de mensen op de andere. Update klaar, dan de andere updaten en dan werken mensen ondertussen op de geupdate server.

Maar ik denk zelf nog, dat het oude meuk is (2003 etc), dat daar weinig aan te updaten is :P

Ik denk dat een goeie firewall, AS en AV het probleem gewoon had tegen gehouden.
Wie zegt dat het een halve dat down is?
En een kopie maken van een draaiende server is ook vaak geen oplossing. het bedrijf draait immers door. Dan verlies je op je kopie een halve dag aan data of meer.
Ook is het vaak niet een server. Doordat servers in sync moeten zijn moet je een kopie maken van meerdere servers tegelijk.
Een kopie maken kost daarnaast performance.. etc etc.
1500 applicaties?
Is het dan niet misschien een goed idee om dat aantal drastisch terug te brengen?
Of heeft elke kraan en onderdeel een eigen applicatie nodig omdat alle leveranciers van deze apparatuur een geheel eigen besturing hebben. Dan is het misschien nodig om dat probleem aan te pakken.
Het zou met dan ook niet verbazen als die applicaties ook nog op prehistorische os-sen moeten draaien zoals windows95 of zoals op het vliegveld in Frankrijk (of was het Belgie/GB) nog op windows 3.1.
Dan is de enige oplossing volledige segmentering en isolatie.
Maersk waar APM onderdeel van is heeft 1500 applicaties, klein detail ;)
Of.. Je ziet in dat je ICT infra belangrijk is. Nee, het terugdringen van het aantal FTE's is belangrijker en makkelijk meetbaar, hoeveel automatisering daaraan bijgedragen heeft is lastig te meten dus dat negeren we lekker massaal. De mentaliteit die bij zoveel bedrijven heerst. Meer doen met minder mensen heeft prio, en de middelen die dat mogelijk maken niet zien als tool die je moet onderhouden, maar zien als tool die een eenmalige investering is en daarna schijnbaar spontaan ophoud te bestaan.

Downtime is zeker lastig, maar niet onoverkomelijk als je maar in je ICT infrastructuur en de mensen die het moeten beheren investeert. Zet je het een keer weg "on a budget" om er nooit meer naar om te kijken, dan ben je niet goed bezig. Sterker nog, als je niet door kan draaien als een ICT component niet beschikbaar is om wat voor reden dan ook, dan ben je imho zeker niet goed bezig. Maar goed, het heeft jarenlang gedraaid zonder problemen, de winstmarges zullen goed/beter/best geweest zijn, aandeelhouders tevreden, en dit is een klein 'incidentje', dus zaken zullen vast blijven zoals het was. :P
Je kan een bedrijf toch niet draaiende houden als je nooit je software kan upgraden? Dan ben je gewoon een eenvoudige prooi voor hackers, want er zitten altijd fouten in software die gepatched moeten worden.
Live patchen werkt niet zo heel goed en brengt een hoop onnodige risicos met zich mee, met alle mogelijke gevolgen van dien. Tenzij je de juiste maatregelen treft, maar dan kan je net zo goed normaal patchen.

Het is beter om er voor te zorgen dat een deel van je netwerk/systemen plat kunnen komen te liggen. Dan wordt updaten ook geen probleem meer namelijk.
De grote vraagt blijft in dit soort gevallen, net zoals energie centrales, raffinaderijen e.d. Waarom hangt dit aan publiek internet?

Ik snap dat als je over de hele wereld zit internet zorgt voor de koppeling. Daarvoor hoef je externe toegang echt niet nodig te zijn. Een IP-VPN is niet zo moeilijk toch.
Email ook maar gelijk afschaffen dan?
Dat is niet wat ik zeg. Primaire systemen die containers registreren hebben geen e-mail nodig. Daarnaast moeten ze zich afvragen of bijlages in mail nodig zijn.
Internet heeft onze maatschappij heel erg kwetsbaar gemaakt. Realiseer je dat dit APM misschien wel honderd miljoen euro gaat kosten. En het bedrijf was alleen maar 'collateral damage' voor een aanval op Oekraïne.

Bij een gerichte aanval ligt wellicht het halve land plat met een schade van tientallen of honderden miljarden. Gezien het feit dat er nog duizenden Windows servers met niet-gepatchde SMB bug gewoon openlijk op het internet (!!) bereikbaar zijn lijkt mij dit niet ondenkbeeldig!!!
Via een RDP connectie op een geisoleerd netwerk.
Als je kunt RDPen is er een netwerkpad en heb je dus geen gescheiden netwerk. Dergelijke zakelijk helpen misschien maar zijn ook onvriendelijk in het gebruik. Juist op dat laatste punt lopen erg veel beveiligingsmaatregelen stuk. Wanneer je het mensen lastig maakt om iets te gebruiken gaan ze op zoek naar makkelijkere manieren waarmee je vaak de veiligheid juist verlaagd.
Je operationele systemen hoeven geen geen email te hebben hoor. Alles te maken met kaderen, risicomanagement, en protocollen. Vanuit een mailtje op tactisch niveau kan men dan middels apps de informatie doorvoeren.
Ik heb ook al gepleit voor het maken van aparte netwerken die los staan van het internet, maar wel internet protocollen gebruiken. Een voorbeeld hiervan is LORA, het IoT netwerk van KPN. Deze netwerken zijn niet benaderbaar via internet.

Je zou dit ook voor kritieke infrastructuur kunnen doen, zoals energie, water, sluizen, transport etc.

Ik zie dit als een onvermijdelijke fragmentatie van het internet, omdat het nu gewoon te kwetsbaar is. Zelfs als je VPN's gebruikt.
Ik hoop vooral dat dit een harde les is voor veel bedrijven en dat ze zich gaan afvragen hoe groot de schade is als het misgaat. Ict (beveiliging) is geen kostenpost, maar voegt waarde toe. Je moet continue blijven inversteren.
... en dat ze zich gaan afvragen hoe groot de schade is als het misgaat.
De bedrijven zullen er ook de kans dat er ooit iets mis gaat bijhalen. Hoe groot zou de schade zijn en hoe groot is de kans dat ons iets gebeurt. We hebben toch maatregelen getroffen.?

Hoeveel bedrijven zijn er en hoeveel zijn er getroffen. En waar en waardoor.? In de Oekraine en vooral en voornamelijk dankzij een gecompromitteerd boekhoudprogramma.

Dat zullen ze denken.
Ik denk dat dit een voorbeeld is hoe enorm veel bedrijven in elkaar steken. Het doorgaans niet-technische management beschouwt ICT beveiliging en updaten alleen maar als lastig en duur. Juist als je er een paar handige jongens hebt rondlopen die met de beperkte middelen erg goed werk doen en brandjes snel kunnen blussen, versterkt dat het onterechte gevoel dat "het wel meevalt". Veel managers leven nog altijd met het idee dat ICT geen core-business van ze is, maar zijn ondertussen volledig afhankelijk van het goed functioneren ervan en kunnen met een paar dagen ongeplande downtime nagenoeg failliet gaan.
Toch denk ik dat er nog vele aanvallen zullen komen voordat ICT beveiliging een geaccepteerde kostenpost (investering) zal worden, eigenlijk een onderdeel van goed zakendoen zou moeten zijn.
Exact, dat management verlangt dat de beheerders beheer doen op de manier zoals het management dat wenst en niet zoals een beheerder dat leert.
Weet je wat ook goed werkt? Niet iedereen local admin geven en file en print services uitzetten op werkplekken.
Én de IT security services mandaat geven dat net iets meer power heeft dan dat management, om het management tegen zichzelf te beschermen.
Je kunt tig keer zeggen dat iets moet worden gepatcht of geupgrade, of redesigned als security afdeling, maar als dat wordt weggemanaged kom je absoluut een keer in de problemen. (En wie krijgt er dan de schuld?)
Dan kun je ook nog even inpeperen bij management dat ze beter een schijntje van dat geld wat ze nu door downtime hebben verloren hadden moeten investeren :P

[Reactie gewijzigd door Kabouterplop01 op 8 juli 2017 18:03]

Containerbedrijf APM had ict-beveiliging niet op orde bij NotPetya-aanval
Nee duh... lijkt me nogal logisch. Echt een enorme open deur deze titel. :)
De leiding van het dochterbedrijf van Maersk zou meerdere malen verbeteringen voor de ict-beveiliging hebben tegengehouden, omdat het vernieuwen van de systemen met downtime gepaard ging.
Mooi dat de Volkskrant dit uitgezocht heeft, maar denk dat dit voor veel meer bedrijven geldt.
Wijzigingen doorvoeren bij een grote organisatie (en zeker bij multinationals) heeft vaak grote impact op de ICT omgeving en de gebruikers, al zal er intern altijd goed moeten gekeken worden naar de prioriteit van updates mbt security. Laten we nu aub niet doen alsof APM/Maersk het enige bedrijf is.
APM/Maersk zal zeker niet het enige bedrijf zijn dat z'n beveiliging niet op orde had. Ik ken een paar multinationals waar er zeer serieus mee omgegaan wordt. Die zitten dan wel in een hoek waar geld genoeg is doorgaans.
Waar ik nu werk worden de medewerkers zelf nu getest door regelmatig nep-phising mailtjes rond te sturen en kijken of ze die herkennen en aan de procedure houden.
Ben er zelf al een keer ingetrapt door erop te klikken wat ik normaal echt nooit doe, zo goed zitten ze in elkaar.

Op dit item kan niet meer gereageerd worden.


Apple iPhone X Google Pixel 2 XL LG W7 Samsung Galaxy S8 Google Pixel 2 Sony Bravia A1 OLED Microsoft Xbox One X Apple iPhone 8

© 1998 - 2017 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Hardware.Info de Persgroep Online Services B.V. Hosting door True

*