Poortscans gebeuren automatisch, door botnets, klopt. Maar gewone poortscans worden dan ook gewoon afgeblokt door je firewall. Je moet dus al vanuit je botnet een slow portscan doen over miljoenen ip's, waar dan toevallig jouw servertje opzit. Dit tegenover gewoon 1 site waar miljoenen klanten op zitten. Denk je nu echt dat je attack-vector niet groter is?! Ik bedoel zeker niet dat dit "beveiliging" is, maar de kans is wel gigantisch veel kleiner dat je aangevallen wordt, het gaat hier over een speld in een hooiberg tegenover de hooiberg zelf.
"Je router bevat waarschijnlijk meer vulnerabilities" is nog zo'n flauw argument van de cloudmaffia. Firmwares worden tegenwoordig automatisch geupdated, os wordt automatisch gepatched, en je draait dezelfde servercode als github. Als daar een fout in zit, dan in de cloud ook. Het beheer zit ook een heel groot stuk in de setup, als je dat on premise niet goed doet, dan doe je dat in de cloud ook fout (zwakke wachtwoorden, 2FA, geen correcte permissies). Je gaat toch ook niet naar je baas met het argument, hey, die bedrijfsauto, de kans dat de chauffeurs een groot taxi bedrijf veiliger en minder verkeerd rijden vind ik groter, dus laat me maar overal naartoe voeren? Of denk je eerder, belangrijkste is dat ik weet waar ik naartoe moet, en dan weet ik zelf wel hoe ik rij, en ik heb een GPS?
Alle logs bijhouden, ja, gedurende enkele maanden, en analyseren: hier heb je monitoring en analysetools voor, dat doe je niet zelf.
Ik ben ongeveer 20 jaar systeembeheerder. Ik ben nooit gehacked geweest (tja, je zal wel zeggen, of ik zou het niet weten, maar met alle detectiesystemen is die kans toch klein). We hebben wel een paar keer compromised mail accounts gehad, maar die werden meestal binnen de 3 a 4 minuten automatisch geblokkeerd. We hebben om de 2 jaar een externe audit met een penetration test. Deze pen tests zijn interessant, maar men is ook nog niet binnengeraakt. Sinds anderhalf jaar zitten we op O365. Qua kostprijs zijn we verdubbeld (hierbij tel ik wel de kost van onze firewalls niet mee omdat we die toch nodig hebben, alhoewel die 40k op 5 jaar de zaak nu ook niet zal maken). Ondertussen 3x hacked accounts gehad, terwijl we toch 2FA hebben (inlogform gaat gewoon naar Azie waar een of andere "medewerker" alles overtypt in de echte O365 omgeving).
We willen wel verder met Advanced Protection, zodat we terug geoblocking kunnen aanzetten en suspicious logins kunnen blokkeren zoals we vroeger "gewoon zonder extra kost" op onze firewall konden, maar daar moeten we het management (die naar o365 wilden) nog van overtuigen. Want het is nu al 2x zo duur, en het wordt nog veel duurder? Ja, ik heb een mooie financiele vergelijking gemaakt. Binnenkort zitten we over een periode van 5 jaar op 5x de kost. Dat kan toch niet, want het is toch de cloud ? Dat is toch sowieso veel goedkoper en veel veiliger?
[Reactie gewijzigd door blinchik op 25 juli 2024 21:06]