Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Ransomware treft systemen Veiligheidsregio Noord- en Oost-Gelderland

De Nederlandse Veiligheidsregio Noord- en Oost-Gelderland is afgelopen weekend slachtoffer geworden van ransomware. De interne systemen van de organisatie werken nog maar beperkt maar meldingssystemen zouden niet getroffen zijn.

De gijzelsoftware sloeg zaterdagmiddag toe bij de Veiligheidsregio Noord- en Oost-Gelderland. Dit is een samenwerkingsverband van de hulpverleningsdiensten van 22 Gelderse gemeenten. De internetsystemen van de organisatie werken nog maar beperkt en werknemers kunnen niet meer e-mailen, aldus de VNOG.

De VNOG meldt niet om welke ransomware het gaat en volgens de organisatie is niet bekend 'uit welke hoek de aanval komt'. De veiligheidsregio werkt samen met het Nationaal Cyber Security Centrum en politie bij het onderzoek naar de aanval en de impact. Onder andere bekijken de organisaties of de aanvallers toegang tot data hebben gekregen.

Volgens de VNOG heeft de ransomwareaanval geen gevolgen voor de meldingssystemen P2000 en C2000 en ook zou de brandweer over alle informatie kunnen beschikken die nodig is voor hun werk.

Door Olaf van Miltenburg

Nieuwscoördinator

14-09-2020 • 09:00

123 Linkedin

Submitter: Carfanatic

Reacties (123)

Wijzig sortering
Nogmaals: het moet bij wet verboden worden de betreffende zware criminelen te betalen. Anders loopt het de spuigaten uit. En natuurlijk moeten ook de straffen flink omhoog.
Ook al is het geen wet, de NCSC adviseert ook om geen losgeld te betalen. Zie hun Factsheet Ransomware.

Soms zijn er blijkbaar ook vrij beschikbare ontsleutel mogelijkheden.

En ja natuurlijk kan je het er als organisatie nog steeds op gokken om toch te betalen.
Ook al is het geen wet, de NCSC adviseert ook om geen losgeld te betalen. Zie hun Factsheet Ransomware.
...
Dit maakt deze case nu zo interessant!

Ik ben heel benieuwd of ze deze lijn als overheid nu gaan volgen. Als de Ransomware aanval 'goed' is uitgevoerd, betekent dat opnieuw beginnen en alles weg. Denk niet dat dat een realistische optie is en dan is betalen de enige optie.

Dan kan je hoog van de toren blazen dat je niet moet betalen, maar bij een commercieel bedrijf betekent dat een faillissement. Hier een reset van deze veiligheidsregio. Ik sluit niet uit dat de overheid met de billen bloot moet en moet toegeven dat hun advies - hoe begrijpelijk ook - in de praktijk niet uitvoerbaar is.
Of je zorgt gewoon dat je een zinnig backup-beleid hebt waardoor een ransomware-aanval in verhouding weinig pijn doet.

Je bedrijf staat dan misschien even stil terwijl je bezig bent om alles te recoveren, maar het zorgt niet voor onherstelbare schade waardoor je failliet gaat.
Waar je (en veel anderen) aan voorbij gaan, is dat backups tegenwoordig veelal 'on-line' staan. De tijd van tapes die in een kluis gingen ligt grotendeels achter ons. Voordeel van on-line backups is dat je snel kan recoveren. Die backupsystemen zijn vooral gemaakt met de meer traditionele calamiteiten als waterschade, brand, blikseminslag in het achterhoofd. Als het dan op een locatie misgaat, trek je de backup van een andere locatie en kan je razendsnel een recovery uitvoeren.

Het grote nadeel van een professionele ransomware aanval is dat als de hacker goed binnen zit, altijd zal trachten je backupsystemen aan te vallen. Lukt dat niet rechtstreeks, dan hoeft hij er alleen maar voor te zorgen dat de data die naar de backups gaat verminkt is. Als je dat een maand lang doet, is er zoveel schade dat recovery een drama gaat zijn en je mist simpelweg veel teveel data.
En dat is dus ook precies het argument waarom je regelmatig off-line (en off-site) backups moet blijven draaien en niet alleen maar de backups blind 'in de cloud' gooien.

Vroeger was het zo dat backups je vooral beschermden tegen fysieke schade, dus brand of diefstal, maar nu moet je ook rekening houden met schade die on-line kan worden aangericht en een deel van je backups dus in een airgapped omgeving houden.

Kluizen vol met tapes dus. ;)
Off line backup mitigeert het risico enigszins, maar pas op dat je de waarde van off-line backups niet overschat. Als aanvallers langere tijd binnen zitten, kunnen ze de data die naar tapes gaat verminken. Met wat pech ben je dan meer dan 30 dagen aan data kwijt. Als je moet recoveren van dit soort oude data dan is 1) de recovery lastig en 2) het dataverlies - en daarmee de schade - erg groot.

Ransomware is één van de meest venijnige aanvallen van deze tijd.
Op het moment dat je aanvallers meer dan 30 dagen binnen zitten heb je denk ik wel problemen op andere plaatsen. ;)
Bij goed uitgevoerde ransomware-aanvallen zijn de aanvallers juist lange tijd binnen zonder dat je dit door hebt of dat er door de aanvallers actie ondernomen is. Ze brengen in kaart wat er allemaal draait, wat de backup-procedures zijn en hoe lang ze moeten 'wachten' totdat alle backups besmet zijn (en ja, dus ook de offline backups).

Snel recoveren bij een (goede) ransomware-aanval is erg complex en is niet op te lossen met een offline backup. Het maakt eigenlijk weinig uit of je backup online of offline is. Zodra je versleutelde bestanden aan het backuppen bent is het te laat.

Je dient al je backups actief te monitoren of deze kloppen en leesbaar zijn. Beter is nog om wekelijks een restore uit te voeren maar dat is in grote organisaties praktisch onmogelijk.
Dan heb je het dus wel al over een doelgerichte aanval en niet over een geautomatiseerde aanval van bijvoorbeeld iemand die op een neplink heeft geklikt.

Als je versleutelde bestanden aan het backuppen bent dan ben je niet "al te laat", maar dan betekent het dat je één backup verder terug moet in het archief. En ik mag verwachten dat die procedure van archiveren compleet offline gebeurt zodat ransomware-aanvallers er niet bij kunnen.

Maar op het moment dat een groep criminelen het specifiek op jouw organisatie heeft gemunt, dan betekent het dat ze eerst een periode bezig zijn met detective spelen om te kijken waar je zwakke punten zitten, in plaats van gebruik te maken van bekende zwakheden. Daar kun je eigenlijk heel weinig tegen beginnen.

Net zoals je prima iets kan doen tegen willekeurige overvallers maar niet als iemand een Ocean's 11 denkt te plegen bij jouw filiaal. ;)
Een backup is goed, maar geen oplossing tegen blackmail. Of te wel dat de hackers dreigen om je data die ze in hun bezit hebben gekregen de wereld in gaan gooien.

Het moet daarom anders. Het moet onmogelijk voor de gebruiker zijn om wat te installeren of een programma op te starten die niet in de approval list staat. Dit verkleint de kans enorm.
Behalve lekken in software dan, die blijf je houden.
Ja zoals bij de uni van Maastricht
Dus als je getroffen wordt als bedrijf, kun je de toko sluiten. Dat is effectief het gevolg in veel gevallen. Alle data is weg, alles moet opnieuw.

En vergeet niet dat de crimineel niet volgens dezelfde regels spelen hè.

Dus naast dat jij je data kwijt bent, hebben zij een prachtige kopie die ze speciaal voor jou gaan verspreiden onder al jouw concurrenten.

Oh en de personeelsgegevens (al dan niet met wat extra prive data) kan ook vrolijk het internet op.

Het geschut wordt vanzelf zwaar genoeg om mensen te laten zwichten.
Een verbod op betalen is niets meer dan een papieren tijger.
Goedzo. Cybercrime is tegenwoordig 1 van de risico's waar je als onderneming rekening mee hebt te houden. Lukt dat je niet, dan draag je zelf de risico's voor de gevolgen. Betalen aan criminelen is rechtstreeks bijdragen aan criminaliteit en zou wat mij betreft strafbaar moeten zijn, zoals witwassen en heling dat ook zijn.
Dat standpunt zou je kunnen nemen.

Maar dan ook niet gaan miepen als duizenden mensen op straat staan straks en al hun gegevens op straat hebben liggen. Omdat ergens in het bedrijf de meuk niet op orde was.

Beveiliging is niet binair. Het is een constante wedloop en afweging tussen kosten, baten en werkbaarheid.

En wat ga je doen als je als bedrijf te goeder trouw mensen of externe bedrijven in dienst hebt om jouw beveiliging te fixen, maar ze komen er alsnog in?
Je kan wel gaan wijzen of zelfs schadevergoeding eisen, maar jouw IP ligt op straat.

[Reactie gewijzigd door timberleek op 14 september 2020 15:17]

Als een bedrijf 'de meuk' niet op orde heeft, dan voel ik nog enigszins mee met: "eigen schuld, dikke bult". Hoewel het natuurlijk apart is om het slachtoffer iets te verwijten. In de ideale wereld moet ik mijn huis uit kunnen gaan zonder de deur te sluiten, mijn fiets parkeren zonder die op slot te zetten en mijn portemonnee rustig op een terrastafel kunnen laten liggen terwijl ik naar toilet ben.

Helaas leven we niet in een ideale wereld en moet je dus beschermende maatregelen nemen. Echter, de malware aanvallen van tegenwoordig zijn zo geraffineerd dat je ook getroffen kunt worden als je de zaken behoorlijk op orde hebt.

Verder geheel met je eens dat beveiliging niet binair is en dat het altijd een kosten/baten/werkbaarheid afweging is.
Er zijn ook bedrijven die het niet eens kunnen betalen, liggen de gegevens sowieso op straat.
En dan krijg je een boete van de AP?

Het maakt mij niet uit wie/wat, maar elke bedrijf zou gewoon de data moeten beschermen.
En dat probleem ligt bij de leveranciers.
Ik vind het van de zotte dat bedrijven altijd de dupe zijn op alle vlakken door incapabele leveranciers, dus pak die aan.
Dus als je getroffen wordt als bedrijf, kun je de toko sluiten. Dat is effectief het gevolg in veel gevallen. Alle data is weg, alles moet opnieuw.
Van productiesystemen maak je natuurlijk regelmatig backups die je lang genoeg bewaart. Het liefst offsite op een systeem dat geen ingress poorten open heeft staan (alleen console toegang of whitelist ssh). De offsite storage download de archieven zelf van de prod server ipv dat het een upload is, anders kan dat systeem ook geïnfecteerd raken.
Maar hoe lang is lang genoeg?

Er zijn 101 dingen om aan te denken, maar het is nou niet dat er zoveel aanbod is aan goede ICT'ers. Dus als bedrijf moet je maar hopen dat de shit rond is. Of dat die externe partij zijn shit op orde heeft.

Is elke security patch doorgevoerd?
Gebruikt elke gebruiker unieke wachtwoorden?
Klinkt niemand op gekke links?
Is jouw security staff niet omkoopbaar?

Het is complexe materie waar de meeste gebruikers niet half snappen wat het inhoudt.
Maar hoe lang is lang genoeg?
Dat hangt af van hoevaak er integriteit controles worden gedaan op de data. Is er vanmiddag encryptie ransomware actief geworden dan kan je wellicht de backup van vannacht gebruiken om de data terug te halen. Maar als de malware al een tijdje bezig lijkt te zijn maar je hebt het niet opgemerkt, dan moet je terug in de tijd kunnen gaan tot je een versie hebt die nog clean is. Afhankelijk van het soort backup kan je de basis installatie herstellen met de versie van drie weken geleden en bestanden en databases uit recente backups combineren om dataverlies te beperken.
Het is complexe materie waar de meeste gebruikers niet half snappen wat het inhoudt.
Klopt. Het is aan ons als tweakers om hen daarbij te helpen in bewustwording, preventie en bij eventuele incidenten.

Het is een beetje zoals EHBO verlenen. Zou fijn zijn als iedereen de cursus heeft gevolgd om een persoon in nood echt te kunnen helpen. Heb je die kennis niet dan doe je wat je wel kan of schakel je hulp in. Dat is beter dan niets doen en de persoon maar dood laten gaan. Om te herinneren waar je die hulp vandaan kunt halen zijn er campagnes voor 112 en promoten de lokale EHBO verenigingen hun cursusaanbod.

Zoiets zou er ook voor digitale veiligheid moeten zijn. Landelijke campagnes om een zo breed mogelijk publiek de weg te wijzen naar hulpbronnen. Die hulpbronnen zijn er wel voor bedrijven in de vorm van incident response teams, maar voor particulieren is dat toch lastiger. Wellicht dat de lokale hackerspaces daar iets in kunnen betekenen.
En denk je dat dat aanvallen gaat stoppen of dat dat bedrijven ervan gaat weerhouden om te betalen? Natuurlijk niet. Ze verschuiven de betaling gewoon naar een derde partij. Een buitenlandse specialist die is ingehuurd om het probleem op te lossen.

Jij zou liever zien dat bedrijven failliet gaan dat mensen hun job verliezen (of erger) gewoon omdat je een principe moet hanteren van criminelen niet te betalen? Ga jij je baan opgeven als iemand ooit zo getroffen is en werkloos wordt?
Nee, dan kan je inderdaad beter de volgende zero day lek sponsoren zodat het volgende bedrijf - wat misschien de zaken beter op orde had - alsnog aan de beurt is omdat ze een nog onbekend beveiligingsprobleem hebben waarvoor de ransomware criminelen nu wél het budget hebben.

Langzaam maar zeker gaan bedrijven meer verantwoordelijk gehouden worden voor misstanden waarbij anderen de dupe zijn. De AVG met meldplicht datalekken is hier een voorbeeld van (ransomware valt hier overigens ook onder). Betalen geeft géén garanties (en dat betoog van business case/marketing technisch kan je laten want dat is feitelijk onjuist) en is een buitengewoon onverantwoorde manier van handelen. Men wilt de vergelijking nog wel eens trekken met een 'gewone' gijzeling, maar vergeet dan even te noemen dat ransomware volledig anoniem is en de winst wordt gebruikt om specifieke zero days te kopen voor het volgende bedrijf op de lijst. Dus ja, ik ben er flink voorstander van om dit strafbaar te maken, ook met een middle-man. En ja, daar gaan een aantal bedrijven flink pijn van krijgen, en dat gaat inderdaad mogelijk personeel kosten. Het alternatief is daarentegen dat de impact op veel grotere schaal is.

[Reactie gewijzigd door nst6ldr op 14 september 2020 10:12]

Veiligheidsproblemen ga je altijd hebben. Stop je 1 vorm van aanval, dan komt de volgende al weer om de hoek kijken. Je ziet nu al dat bij gerichte ransomware aanvallen de aanvallers al lang niet meer enkel de data versleutelen maar ook grote hoeveelheden data naar zichzelf kopieëren. Het is dus al niet meer het geval van: betaal ons om snel van de problemen af te zijn maar eerder een geval van: betaal ons of de problemen worden nog erger.

Het is goed dat we bedrijven die nalatig zijn gaan afstraffen, maar bedrijven waar men door dom geluk binnen geraakt moet je niet de grond in willen boren vanuit maatschapelijk standpunt.

Betalen geeft geen garanties, maar zowat alle zaken uit het verleden laten zien dat het wel werkt. En bij een geslaagde gijzeling waarin losgeld wordt betaald is de pakkans van de daders ook alles behalve 100%. Voldoende voorbeelden bekend waar de daders nooit gevonden zijn.

Jij hebt trouwens geen enkel bewijs dat je misdadigers hiermee aanzet om het nog op grotere schaal te gaan doen. Hoe groter de schaal, hoe groter de pakkans. Aanzie het met maffia praktijken, die mannen zijn ook bijna onmogelijk te pakken, opereren volledig in de illegaliteit en komen er nog weg mee ook. Hoeveel bedrijven hebben niet samengewerkt met de Maffia door hen beschermingsgeld te betalen? Moeten we al die bedrijven ook maar sluiten? Kan je hele landen gaan sluiten.

[Reactie gewijzigd door Blokker_1999 op 14 september 2020 12:08]

meschien toch nog maar eens de Space X case goed doorlezen die halen aardig wat van je statements onderuit.
Maar dan moeten wel alle landen van de wereld hier aan meedoen. Als we dat als Nederland alleen doen, dan schiet het niet op. Als dit een doelgerichte aanval was, dan heb je allicht een punt, maar als dit een hagelschot was, en deze organisatie bij toeval geraakt is, dan schiet het nog niet op.

Wat ik dus bedoel, is dat stel dat het merendeel van dit soort 'aanvallen' op willekeur gebaseerd zijn en 'alle andere landen' wel betalen, dan gaan die aanvallen niet minder worden.

Hogere straffen maken niet perse dat mensen geen criminele acties meer uithalen. Simpelste voorbeeld zijn landen die de doodstraf kennen voor bepaalde delicten. Daar gebeuren die misdrijven ook nog steeds.
Nee, bij wet betekent dat je ook een ziekenhuis niet kunt herstellen als het nodig is. Per geval zul je een zorgvuldige afweging moeten kunnen maken.
Nogmaals: het moet bij wet verboden worden de betreffende zware criminelen te betalen. Anders loopt het de spuigaten uit.
Dan pakken die zware criminelen het wel anders aan, hoe? Door alle gegevens van die burgers gewoon direct online te zetten (lekken). Ik kan je nu al vertellen dat de ellende dan helemaal niet meer te overzien is.
En natuurlijk moeten ook de straffen flink omhoog.
Voor een veroordeling (straf) heb je één of meerdere verdachten (daders) nodig. Hoeveel daders zijn er inmiddels al gepakt? Trouwens, wie zegt dat de daders zich in Nederland of zelfs binnen de EU bevind?

Leuk zo'n veroordeling, het is alleen maar net even de vraag of zo'n veroordeling überhaupt wordt uitgevoerd in een ander land (bijvoorbeeld China, Rusland, Polen, Hongarije, India).


Het lijkt dus gemakkelijk om even te roepen zaken te verbieden en daders zwaarder te straffen maar de consequenties die eraan vastkleven zijn enorm.
Het moet bij wet verboden worden om de gevraagde spullen af te geven als je op straat beroofd wordt.
Zo, dat zal ze leren! We hebben het probleem van berovingen lekker snel opgelost vandaag.
ehmm, in dit geval zou ik eerder zorgen dat je niet zo vatbaar bent.
Criminaliteit straffen is 1 ding maar je deur open laten staan is wel wat anders natuurlijk.
Zonder wereldwijde afspraken hierover zal deze vorm van criminaliteit echt niet afnemen.

Bedrijven moeten zich o.a. ransomware kunnen verzekeren.
Verzekeringsmaatschappijen zullen vervolgens van bedrijven eisen dat ze hun zaakjes in orde moeten hebben, anders wordt er niet uitbetaald.
Op deze manier is er incentive voor bedrijven om een goede security policy te hebben.
Hierdoor zal het aantal potentiele slachtoffers minder worden.

Bedrijven die kosten willen besparen en zich niet verzekeren hebben een grotere kans om om te vallen. So be it.
Ik denk dat wereldwijde afspraken niet te doen zijn.
Een bedrijf of universiteit aanvallen is 1, maar een hulpdienst....dat gaat echt ver hoor.

Hopelijk een wake up call voor de andere veiligheidsdiensten om eens goed naar hun systemen te kijken.
De vraag is natuurlijk of dit een doelgerichte actie was, of dat het een hagelschot was, en dat er toevallig een organisatie met een grote zichtbaarheid getroffen is. En inderdaad. Hopelijk worden bedrijven en overheden nu is goed wakker. Het blijft mij verbazen hoe makkelijk dit soort zaken lijken te kunnen gebeuren. Ik heb toch altijd het gevoel dat het niet erg ingewikkeld hoeft te zijn om dit technisch (grotendeels) af te vangen.
Laten we hopen dat hagel is. Als dit een bewuste aanval van een land is. Mogen ze een aanval op hulpdiensten zoals deze behandelen als een aanval op Nederland (oorlogsmisdaad), niet dat we dan gelijk met tanks de weg op moeten. Maar dat ze het wel tot het hoogste niveau uitzoeken en de daders waar dan ook op wereld gaan ophalen en veroordelen.

[Reactie gewijzigd door xbeam op 14 september 2020 13:18]

ik durf er haast vergif op in te nemen dat het simpelweg "gelegenheidscriminaliteit" is. Je koopt een exploit, vindt een server die daar kwetsbaar voor is en gaat aan de slag. Wie of watvoor organisatie die server beheert doet niet ter zake.
aanvallen... de vraag is als eerste of het uberhaupt om een gerichte aanval gaat of dat iemand gewoon tijdens het thuiswerken op zijn werk laptop in zijn privé mail op een fout linkje heeft geklikt.. om maar eens wat te noemen.
Juist niet zou ik zeggen. Van een hulpdienst ben je afhankelijk, waarschijnlijk verwacht men dat het sneller tot betalen komt.
Mja, "ze" hadden ook beloofd geen medische diensten of zo aan te vallen. Week later... tada!
De vraag is natuurlijk: komt deze aanval (wat nog moet blijken of het een echte aanval was of gewoon een kwestie van toevalstreffer dat iemand iets verkeerds geklikt heeft) echt bij de mensen die dit belooft hebben echt vandaan. Er zijn natuurlijk meerdere groepen die deze aanvallen doen.
Ben erg benieuwd of ze specifiek getarget zijn of dat VNOG een van meerdere organisaties is welke at random bestookt zijn met een aanval.
Het lijkt me dat dit soort zaken vooral automatisch plaats vinden. 1 device op het netwerk met internetverbinding is kwetsbaar en zo komen ze binnen.

Gezien er nog veel bedrijven zijn die gewoon betalen, is dit vrij lucratief en dus de moeite waard om zodra je ergens binnen bent, daar zelf werk van te maken. Al kan ik me voorstellen dat ook dit inmiddels wel geautomatiseerd kan verlopen.

Zolang je op de zwarte markt dit soort dingen gewoon kunt kopen, zie ik niet hoe je dit makkelijk gaat aanpakken. Dit moet men internationaal groter aan gaan pakken.
De tekst van het artikel geeft al aan hoe men tegen de problemen aan kijkt.
"Slachtoffer geworden van" en "getroffen door" zijn de termen die je hier steeds leest.
Je schrijft toch ook niet: "hij liep in die stad een verkeerde wijk in en werd getroffen door een beroving"?
Maar je schrijft wel 'slachtoffer geworden van een beroving" dus wat is precies je punt? Naïef gedrag zoals een foute wijk inlopen (al dan niet bewust) of je IT niet op orde hebben geeft geen vrijbrief aan criminelen. De schuld voor de aanval ligt altijd bij de agressor / crimineel en niet bij het slachtoffer.
Mij stoort het woordje "getroffen door", dat Tweakers al meerdere malen zo berichtte. Alsof het een onvermijdbare ziekte is die je treft waaraan je niks kan doen. Er wordt te weinig tegen gedaan en men heeft veel teveel een berustende, zo van "kan gebeuren" houding.
Dat dus. Een mix van Windows, Mac en Linux voorkomt al heel veel ellende.

Vereist echter wel weer meer kennis en specialisme, dat is dan weer de uitdaging.
Dat ligt er natuurlijk helemaal aan. De ransomware hobbelt meestal voort op de privileges (rechten) die gebruikersaccount heeft op bepaalde data (meestal zonder herauthenticatie). Of die data nou op Linux/Windows/MacOS/BeOS/Solaris/whatever staat, doet er niet zo veel toe. Zodra de gebruiker erbij kan zonder extra authenticatie, dan kan de ransomware dat ook.
Correct. Wel is het zo dat je kan voorkomen dat je NAS systemen die Linux draaien (voorbeeld) ook besmet raken. Hier kan je snapshots maken en ook controles uitvoeren of data nog te lezen is.

Soms sluimert het virus lang rond en versleuteld deze bestanden ook in de backups, maar door vanaf een neutraal OS te kijken of data integer is bescherm je je daar tegen.
Klopt, maar als jouw besmette Linux/Windows/MacOS/BeOS/Solaris-pc besmet is en 24/7 aan staat en een gedeelde bron open heeft op die NAS, dan gaat het versleutelen netjes over je netwerk heen. Je NAS ziet niet het verschil tussen een legitieme actie of een niet-legitieme actie. Het is een schrijfactie naar een bestand (in theorie zou het gedrag van de pc geanalyseerd kunnen worden natuurlijk, maar even puur voor het principe). En dan gaat het best snel over een 1GB-verbinding met SSDs in je NAS. Zeker als het data is die je niet dagelijks gebruikt kan je goed de spreekwoordelijke Sjaak zijn.
En dan alsnog alles op fileshares opslaan waar elke PC bij kan en je dus alsnog maar 1 infected PC nodig hebt om een hele hoop data te encrypten. Maar ondertussen wel de kosten verhogen omdat je veel meer verschillende systemen moet onderhouden, je personeel dus meer getraind moet zijn op de diverse systemen.

Goede beveiliging is moeilijk en duur en uiteindelijk blijft de zwakste schakel je gebruikers.
Het is vandaag de dag prima mogelijk enkel bepaalde bestanden toe te staan op fileshares. Bij uitzonderingen gemaild worden als beheerder is ook een fluitje van een cent. Dat dit nog niet bij alle organisaties common practice is, is mij een raadsel.
Het hele probleem is dat je data en infrastructuur goed moet scheiden, data kun je op een goede manier beveiligen in centrale systemen met centrale backups, infrastructuur (dus ook desktops) zou je zonder probleem moeten kunnen weggooien en binnen een paar uur weer opbouwen.

Bij dit soort organisaties zie ik nog veel mensen werken op fileshares, lokale files, etc, het is ook een groot deel mindset wat (onbewust) afwezig is.
data kun je op een goede manier beveiligen in centrale systemen met centrale backups
Dit is natuurlijk niet altijd waar. Moet je je is voorstellen wat er zou gebeuren als bijvoorbeeld een bank of de AEX één uur aan transacties kwijtraakt. (doordat ze terug moesten gaan van de backup van een uur geleden). Dat is gigantisch veel data, met heel veel impact.

In mijn optiek is goede eerste stap, dat de computers waar mail e.d. op binnenkomt per definitie geen toegang hebben tot data. Dus als je bij data wil komen altijd via een Citrix-achtige oplossing. De gebruikersaccount die je daarvoor gebruikt mag niets met internet/de buitenwereld te maken hebben, enz. Het is wat omslachtiger werken natuurlijk, maar je kan dit deels transparant maken voor gebruikers. (op het inloggen na)
Daarom werken dat soort belangrijke systemen dus vaak niet met directie transacties op de databases maar met een message achtig systeem waarbij je in geval van dataverlies met terugwerkende kracht berichten opnieuw kunt "afspelen". En Citrix, grappig dat je dat noemt...... als er iets de laatste tijd wel veel security problemen heeft opgeleverd is het Citrix.
Praktisch elke database kent toch wel transactielogs?

Point in time recovery en dan de transactielogs opnieuw afspelen.

Moet je wel in geval van ransomware de transactielogs ergens anders bewaren dan de database zelf.
Je hebt een database op een mainframe. Waarbij verder niets en niemand bij kan. De database exporteer je naar een (bijv.) Oracle database op Unix. Dat is je master voor de dag. Jouw transactie's laat je vervolgens op schijf zetten en die leest het mainframe in (bijvoorbeeld iedere 5 minuten).

Vervolgens valideer je de transactie's en update je de database op het mainframe ('s nachts) en exporteer je daarna weer naar Oracle. De hacker kan volledig losgaan op de Oracle database / unix server, maar uiteindelijk kan hij niets verknallen. En hij komt niet bij het mainframe, want er ligt geen verbinding; er is alleen een sftp connectie (pull) gedefinieerd op je Unix server. Een hacker kan ook zijn rechten niet aanpassen want dat kan alleen op het mainframe.
Citrix, waar ken ik dat ook alweer van?

https://tweakers.net/nieu...-van-80000-bedrijven.html

Daarnaast draai je in Citrix weer een ander OS, zoals Windows of Linux.
Indien er kwetsbaarheden in Windows, Linux of je applicaties zitten, los je die niet op met Citrix.
Wat je wel krijgt is ook nog de exra kwetsbaarheden van Citrix en natuurlijk de wereld beroemde performance van Citrix.
Het veilig houden van Microsoft producten voorkomt ook veel ellende en heeft evenveel specialisme en kennis nodig.

Er wordt nu al meerdere keren geroepen dat een mix een soort van oplossing zou zijn, maar als daar dan nog steeds niet de juiste maatregelen voor genomen worden heb je helemaal geen oplossing, wellicht ben je juist verder van huis omdat de diversiteit een probleem ook veel complexer kan maken.
Ah, een ouderwetse anti Microsoft strijder? Dit heeft niks met Windows te maken. Dit gaat puur en alleen om security en het opleiden van mensen. Ik zie vaak dat dit een kwestie van wanbeleid is (investeren in IT is te duur, maar die nieuwe Jaguar moet er wel komen). Is natuurlijk niet gezegd dat dit hier ook aan de orde is, maar veelal waant men zich onterecht veilig.
95% van de ransomware aanvallen is te voorkomen door je systemen fatsoenlijk te patchen. Het probleem in dergelijke organisaties is niet altijd wanbeleid, maar vaak ook de complexiteit van het landschap. Bij de universiteit van Maastricht bv. bleek dat patches grotendeels op orde waren, maar er uiteindelijk 6 servers niet up-to-date waren, die als stepping-stone gebruikt werden (simpele uitleg, hun eigen rapport gaat in veel verder detail).

De reden van niet patchen is niet altijd wanbeleid, maar soms ook legacy software die niet op nieuwere versies draait. En lang niet altijd is daar een alternatief voor beschikbaar.

Ik vind 'wanbeleid' verder ook wat kort door de bocht. Ik denk dat het veel meer zit in onvolledige business cases omtrent software. Er wordt vaak alleen naar de aanschafprijs gekeken, maar niet naar de operationele kosten om die software draaiende te houden (waaronder dus ook het patchen / updaten / upgraden). Software kosten worden al jaren onderschat, met als gevolg dat de kosten te hoog worden en er weer bezuinigd moet worden, met andere gevolgen van dien.

Met de beweging naar SAAS-diensten (En van CAPEX naar OPEX) worden dit soort kosten vaak wel meegenomen (want uitbesteed), maar er is nog een lange weg te gaan.
Ik ben het met beiden niet eens. Ik ben overgestapt op Linux en Windows vindt ik persoonlijk kwa beveiliging de laatste jaren echt super vooruit gegaan.

Wat mij vooral opvalt in Windows landschappen zijn 2 dingen:

Er wordt vaak geklaagd over Linux. Te ingewikkeld enz. Terwijl de beveiliging ndaarvan ook slecht kan zijn door te weinig kennis.

Er zijn Windows netwerken met oude onderdelen die bijvoorbeeld door legacy software niet gepatched kunnen worden. Leuk maar als ze voldoende kennis hadden gehad van Windows kun je mij niet wijs maken dat ze die machines niet hadden kunnen isoleren of limiteren binnen het netwerk?
Ik heb in meerdere enterprise omgevingen gewerkt in verschillende rollen (van security architect tot product owner) en ik zou willen dat het zo makkelijk was als jij hier schetst. Dan zou de wereld een stuk veiliger en leuker zijn.

In de praktijk is het patchen van legacy niet zo eenvoudig want: OS moet gepacht worden, middleware moet gepacht worden, maar dan blijkt dat de nieuwe versie van de software een andere indeling gebruikt voor zijn database, dus moeten de aanliggende message systemen aangepast worden. Gevolg is dat de daaraan gerelateerde applicaties ook weer wijzigingen door moeten voeren. Conclusie: het is dan vaak makkelijker om de legacy versie maar te laten draaien.

Het isoleren van die machines is dan een goede optie, maar dan moet je als organisatie wel de tooling en architectuur hebben omdat te kunnen doen. En daar heb je vaak het volgende miljoenen project te pakken voor dit soort organisaties.

Het is niet dat organisaties niet willen, maar het is vaak vrij complex met een beperkt budget. Maar het grootste probleem is vaak gebrek aan handen. Goed IT personeel ligt niet voor het oprapen, dus zelfs als er budget is, wordt je nog gelimiteerd in de hoeveelheid werk die verzet kan worden en dan moeten er prioriteiten gesteld worden. En die gaan dan vaak eerder naar nieuwe ontwikkelingen om meer business binnen te halen waarbij het risico van legacy systemen geaccepteerd wordt: want we hebben genoeg andere goede controls (Endpoint security, IDS/IPS, etc.). En dan is het wachten tot het een keer fout gaat...
Je hebt helemaal gelijk, het is altijd een afweging van prioriteiten. Er is in de IT altijd meer werk, dan handen en budget. Dus loop je altijd ergens risico's. Kunst is om de risico's en mogelijke impact daarvan helder te hebben en de juiste afwegingen en keuzes te maken. En ook dat moet weer door goede mensen gedaan worden (IT moet het vertalen naar management, management naar boards..).

Ik ben wel benieuwd waar de wereld de komende jaren naartoe gaat, steeds meer onderdelen van ons leven hangen af van werkende IT systemen en criminelen maken hier (goed) gebruik van. Stel het energienet is straks gehacked (offline wil niet zeggen 100% veilig) door een ander land en we moeten biljoenen crypto's betalen om weer energie te kunnen krijgen...
En waar je ook nog rekening mee moet houden is eventuele BYOD-policy's, het kan wellicht zijn dat een van de medewerkers het thuis of ergens in de trein heeft op gelopen
Software kosten worden al jaren onderschat,
Het gaat niet alleen om software.
Security, oftewel beveiliging, is vaak de sluitpost in de ICT budgetten. Men gaat er te vaak vanuit dat de fabrikanten (Microsoft, Oracle, enzovoort) hun software wel zullen beveiligen (al dan niet door middel van updates) en een simpele laag-2 firewall afdoende moet zijn om het netwerk veilig te houden. Helaas is dat een gepasseerd station: aanvallen zijn dermate complex dat er betere firewalls nodig zijn, zeker in bedrijfsomgevingen waarbij een strategie van compartimentering ook broodnodig is.
Dergelijke firewalls en implementaties zijn echter niet goedkoop en/of makkelijk te realiseren, waardoor men er geen budgetten, personeel en tijd voor vrij maakt. Met alle gevolgen van dien.
Zijn er andere platformen dan Windows geïnfecteerd? Dan lijkt mij het zeker wel met Windows te maken.
Je hebt natuurlijk een punt dat security hier gefaald heeft maar gezien dit een overheid instelling is lijkt mij niet dat daar Jaguar's rondrijden. Sterker nog, waarschijnlijk is er meer uitgegeven aan externe IT-ers.

Wat betreft Windows, een moderne werkplek ondersteund alle besturingssystemen, waar je ook zit/werkt.
Het besturingssysteem is dan niet meer relevant en gezien al je applicaties webbased zijn, heeft een ransomware aanval niet zoveel impact. Het is dus vooral een probleem van ouderwetste IT (waar ze bij de overheid dol op zijn).

Wat je ziet zijn nog steeds enkel traditionele uitrol van Windows, allemaal in hetzelfde domein, allemaal hetzelfde admin wachtwoord op alle machines, UAC en WF worden uitgezet omdat het 'lastig' is via group policy, ga zo maar door.
Ik blijf het vreemd vinden van mensen die denken dat een moderne werkplek niet vasthangt aan een platform. Leuk voor mensen die enkel wat moeten mailen maar van zodra je als organisatie iets meer doet dan dat is dat echt niet waar. Wanneer in je MS Office tientallen plugins zitten om de dagelijkste taken gedaan te krijgen, dan weet je gewoon dat je vast hangt aan het Windows platform.

Ik heb zelf reeds in meerdere grote organisaties gewerkt en geen enkele heeft simpelweg 1 admin wachtwoord. Vandaag de dag zie je veel meer focus op PAM oplossingen en wachtwoordsystemen die accounts actief gaan beheren en waarbij je een reden moet opgeven om een admin wachtwoord te verkrijgen. UAC uitzetten? Nog nooit gezien in een organisatie van redelijk formaat.
Ik blijf het vreemd vinden van mensen die denken dat een moderne werkplek niet vasthangt aan een platform.
Omdat iedere moderne werkplek aanbieder dat zegt. Microsoft, Google en iedere andere aanbieder geeft aan dat het niet uit maakt waar, hoe en waarmee je werkt. Zij bieden de applicaties aan die het mogelijk maken. Daarom vindt je Office 365 op Windows tot Mac, Android tot IOS en via web kun je zelfs gewoon op Linux werken. Hoe kun je ooit een BYOD ondersteunen als je alleen maar Windows ondersteund..
Een moderne werkplek is niet platform gebonden. Ik heb diverse grote organisaties bijgestaan in een digitale transformatie en je zag dus ook dat tijdens de corona crisis zij geen echte problemen hadden om mensen thuis te laten werken (omdat ze dat al gewend waren). En dan heb ik het niet om een of andere remote desktop oplossing.

Leuk voor mensen die enkel wat moeten mailen maar van zodra je als organisatie iets meer doet dan dat is dat echt niet waar.
Wat een onzin reactie natuurlijk. Een groot gedeelte van het onderwijs werkt op chromebooks, die doen de hele dag helemaal niets natuurlijk. Of de zorgsector. Ik ken meerdere grote ondernemingen die helemaal niets meer doen met Windows beheer en zich geheel op de (web) ERP applicatie. Daar werkt men met iPads, chromebooks, macbooks, windows, whatever...
En al die mensen met een macbook of linux.. Die doen gewoon de hele dag niets _/-\o_

Wanneer in je MS Office tientallen plugins zitten om de dagelijkste taken gedaan te krijgen, dan weet je gewoon dat je vast hangt aan het Windows platform.
Wanneer je nu nog vastzit aan tientallen Office plugins dan heb je lopen slapen de laatste tien jaar en zit je volledig vast in een vendor lock-in. Als er niemand mee bezig is geweest om die ellende uit te faseren dan is er geen toekomst visie en wordt IT blijkbaar niet serieus genomen.

Ik heb zelf reeds in meerdere grote organisaties gewerkt en geen enkele heeft simpelweg 1 admin wachtwoord.
Windows wordt meestal geautomatiseerd uitgerold met een vast support account om lokaal nog bij de machine te kunnen. Ook servers worden gecloned vanuit template met een vast local admin wachtwoord. Ik zie het dagelijks gebeuren in alle sectoren, ook bij IT-ers zelf.

Vandaag de dag zie je veel meer focus op PAM oplossingen en wachtwoordsystemen die accounts actief gaan beheren en waarbij je een reden moet opgeven om een admin wachtwoord te verkrijgen. UAC uitzetten? Nog nooit gezien in een organisatie van redelijk formaat.
Ik zit veel bij de overheid en semi-overheids instanties de laatste tijd. Geen enkele heeft een PAM oplossing draaien. UAC heb ik (in opdracht en ondanks protest) nog uitgezet op meer dan duizend werkstations (VDI). Dat jij het niet ziet, wil niet zeggen dat het zo bij iedereen is. Ik spreek veel collega's die hetzelfde zien en gezien de grote hoeveelheid nieuwsberichten omtrent ransomware zeggen wel iets..
Het is niet omdat jij het ene ziet en ik het andere dat daarom het ene meer voorkomt of het andere beter is. En als je met platformen werkt die netjes vanuit de browser te benaderen zijn dan is dat prachtig, maar dat is nu eenmaal niet zo voor iedereen.

Hoe zou jij trouwens zomaar even die tientallen plugins uitfaseren? Daar zit onder andere documentbeheersystemen tussen, document opmaaksystemen, document vergelijkingssystemen, metadata systemen, ... . Ja, in de advocatuur kom je veel document gerelateerde toepassingen tegen. En neen, dat duw je niet zomaar de cloud in op een manier waarop alles met elkaar integreert. Onze clienten staan niet een toe dat we naar de cloud gaan met hun geheimen.

Organisaties die nog een statisch wachtwoord voor een admin account op een domain joined PC gebruiken moeten dringend eens kijken naar tools die dat oplossen voor hen. MS bied gewoon zelf een oplossing aan in de vorm van LAPS.
Het is niet omdat jij het ene ziet en ik het andere dat daarom het ene meer voorkomt of het andere beter is.
Dat wil ik ook echt niet beweren, ik probeer juist hetzelfde punt te maken als jij nu doet: alleen omdat je het (niet) om je heen ziet wil nog niet zeggen dat het niet bestaat of gedaan wordt.

Hoe zou jij trouwens zomaar even die tientallen plugins uitfaseren? Daar zit onder andere documentbeheersystemen tussen, document opmaaksystemen, document vergelijkingssystemen, metadata systemen, ... . Ja, in de advocatuur kom je veel document gerelateerde toepassingen tegen.
Laten we het zo zeggen: werken die plugins ook in een webinterface? Want dat is namelijk een verplichting om de plugin te publiceren in de Microsoft Office store. De makers van de software die je nu gebruikt weten dat ook wel en zullen daar echt wel mee bezig zijn. Dus informeer daar eens.. Als ze daar niet mee bezig zijn dan weet je dat je moet gaan kijken naar alternatieve oplossing. En die zijn er in een algemene beroepsgroep als advocatuur echt wel.

Wat betreft documentmanagement, daar zijn natuurlijk legio oplossing voor. Opentext is een grote maar ook Microsoft's sharepoint oplossing. Daar zijn bovenop ook allerlei modules te krijgen om de oplossing te creëren die jij wilt. Dit is natuurlijk allemaal erg kort door de bocht maar mijn punt is: ga ermee bezig. Hoe ziet je werkplek over 5 jaar er uit? Want een korte zoek opdracht laat genoeg oplossing zien.

Onze clienten staan niet een toe dat we naar de cloud gaan met hun geheimen.
Dan hebben ze een enorm probleem want iedereen om hun heen maakt wel gebruik van cloud systemen. Ik deelde je mening vroeger maar tegenwoordig is cloud het enige wat aangeboden wordt. En weet je, ze lossen veel van de problemen op die we 'traditioneel' hadden. Cloud en security kunnen echt prima samenwerken, sterker nog: De Microsoft cloud (Azure) is meer gecertificeerd dan de plaatst waar je data nu staat. Ik snap die angst voor een cloud oplossing totaal niet (anders dan prijs), doe maar eens een audit op je firewall en mailserver om te zien wat voor data daar overheen gaat (shadow IT). Dat is een groter probleem dan een cloud oplossing waar je zelf nog controle op hebt.

Organisaties die nog een statisch wachtwoord voor een admin account op een domain joined PC gebruiken moeten dringend eens kijken naar tools die dat oplossen voor hen. MS bied gewoon zelf een oplossing aan in de vorm van LAPS.
Jazeker, dat moeten ze. Maar in de praktijk worstelen ze al met de Windows 10 uitrol en de daaropvolgende upgrades. De kans dat het on-premise ooit nog echt goed komt voor die organisaties is zeer klein. LAPS is ook maar een lapmiddel en nooit echt een serieuze oplossing geweest. Dit zeg ik omdat dit een 5 jaar oude oplossing is en Microsoft geen enkele interesse toont om het te integreren in Windows.

Wat ze wel wel doen is zorgen dat je in kunt loggen met een Microsoft / Azure / cloud account, dat je MFA en Biometrie kunt gebruiken om in te loggen. Iets wat nog veel veiliger is want als een admin inlogt, je 99,9% zeker weet dat hij het is. En als zijn credentials gestolen zijn dan kan men er nog niets mee. Ook zitten machines niet meer zomaar in elkaar's netwerk en zorgt Microsoft voor een snelle en eenvoudige roll-back.

Ik snap je afkeur tegen de cloud, ik ben daar ook geweest, maar zakelijk is het onvermijdelijk. En als je ziet wat de voordelen zijn wil je eigenlijk ook helemaal niet terug naar de oude desktop bende. Aan de andere kant, als je ziet wat er allemaal nog niet af is, schrik je ook wel ;)
IT moet zo goedkoop mogelijk zijn, ondanks alle gevaren op het internet etc.
Schrijnend!

[Reactie gewijzigd door westlym op 14 september 2020 12:34]

"Ik geef jouw drie punten vanwege jouw opmerking van de dure Jaguar."
'Toevallig' las ik deze ongetwijfeld goed bedoelde en sympathieke zin van jou. Als je met die drie punten doelt op de rating van het moderatiesysteem, dan mijn vriendelijke verzoek even de regels omtrent het modereren door te lezen: https://tweakers.net/info/faq/karma/

Het moderatiesysteem op Tweakers is in elk geval geen like systeem.

[Reactie gewijzigd door JKP op 14 september 2020 11:40]

Ik heb vaker gezien dat men bijna altijd op het ICT gebied bezuinigt, terwijl men andere luxueuze keuzes maakt. Vandaar mijn drie punten. Ik heb klanten die niet zoveel in hun ICT beveiliging willen investeren, terwijl ze wel een duurdere auto/boot halen.

Laptop mag niet duurder zijn dan 500 EUR en wel rondrijden een luxe bak.

Het motto 'het moet niet te duur of het moet werken' en na de nodige problemen reageren met de woorden 'oh, ik wist het niet' of 'had ik maar andere keuzes gemaakt'.

Maar, aan de andere kant: men moet zelf weten wat ze met hun geld doen.
Zoals blijkt uit wat je schrijft, is veel terug te voeren op keuzes. Daar hangt het leven van aan elkaar. Het enige wat je kan is proberen mensen mee te nemen in je verhaal, zodat ze het nut van een bepaalde keuze zien. Een keuze die jij nuttig of goed vindt. Vaak heeft dat echter tijd nodig.

Wat het bij beveiliging mijns inziens lastig maakt is dat je eraan de buitenkant weinig van merkt. Zeker een manager van een bedrijf wil graag een meetbaar resultaat hebben. Tot op zekere hoogte is dat mogelijk met beveiliging, maar het heeft wel zijn beperkingen. Zonder beveiliging loop je weliswaar altijd een risico, maar mét beveiliging is dat risico niet volledig uitgebannen. De kans dat het zonder beveiliging goed gaat, is toch nog aanzienlijk.

In antwoord op je uitleg over die 'drie punten', citeer ik een stukje uit de moderatie FAQ:
"Dit niveau is bedoeld voor reacties met een waardevolle aanvulling op de inhoud van het bij de reactie behorende artikel. De reacties bevatten de kern van de discussie in een thread of bieden belangrijke aanvullingen op de informatie in het artikel, bijvoorbeeld objectief beschreven ervaringen uit eigen hand.

+3-reacties verkondigen kennis en inzichten waar het publiek wat van kan opsteken. Belangrijk is dat de informatie afkomstig is van een persoon met autoriteit of beargumenteerd wordt door bijvoorbeeld eigen ervaringen van de schrijver of door verwijzingen naar ervaringen van anderen of relevante bronnen. Ongefundeerde kreten, hoe interessant ook, zijn geen +3 waard. Een gemiddelde score van +3 is alleen bereikbaar met de steun van een groot deel van de moderators. Wees daarom niet terughoudend met het uitdelen van +3's als een reactie in jouw ogen aan de bovenstaande criteria voldoet.

Het is niet de bedoeling dat reacties waarin een mening wordt verkondigd die gelijk is aan jouw persoonlijke mening, worden beloond met een +3, alleen vanwege de overeenkomst in mening. De kwaliteit van de argumentatie is bepalend voor de waardering van een reactie."

[Reactie gewijzigd door JKP op 14 september 2020 18:43]

Het moderatiesysteem op Tweakers is in elk geval geen like systeem.
Zou fijn zijn als alle Tweakers dat eens zouden oppakken. . }>
Helaas is dit gewoon echt werkelijkheid (vooral in MKB omgevingen). Te triest voor woorden, maar wel realiteit.
Kleine toevoeging: er wordt vaker een afweging gemaakt tussen werkbaarheid en veiligheid. En daarbij wint veiligheid het echt niet altijd. Alles op slot is veilig, maar als daardoor het werk onevenredig gehinderd wordt kiezen veel bedrijven ervoor om dan maar iets minder sloten te plaatsen.

Dat heeft niks te maken met een dure Jaguar. Je neemt een bepaald risico en draagt de eventuele gevolgen. Net als bij een brand, inbraak of stormschade.

Het is (al lang) tijd om dit soort chanteergroepen hard aan te pakken. Deze aanval brengt direct onze veiligheid in gevaar. Het is dus ook een aanval op jou en jouw familie. Dat mag evenredig gestraft worden.

En de IT beheerders van VNOG gaan nu de backups terug zetten :)
Ik heb het idee dat het vaak te maken heeft met beleid: het moet maar werken of beter gezegd: het werkt en nu niks aanpassen!!

Of met een hele andere beleid: het werkt niet of ik kan helemaal niks met dit systeem...(stress wordt zo verhoogt op de IT specialist!)

En dan gaan mensen beveiliging omlaag schroeven omdat men het VERTIKT om concessies te maken.

Concessies...meestal na zulke rampen (ransomeware) realiseert de eindgebruiker: oeps, dit kost me teveel geld en tijd.
Daar ben ik het niet helemaal mee eens. Tuurlijk is de security niet 100% op orde, maar ik denk niet dat je veel organisaties tegenkomt waar alles 100% gepatched is (en waar access control op orde is). Het heeft zeker wel wat met Windows te maken, simpelweg omdat het overgrote deel van ransomware daarop gericht is. Niet omdat Windows niet secure is, maar omdat daar gewoon de grootste userbase is. Daarnaast is het veel makkelijker om grote impact te maken in een Windows/AD omgeving wanneer je een set met priveleged credentials kan bemachtigen (vrij eenvoudig via mimikatz e.d.).

Geld en opleiding is lang niet het enige probleem, het is simpelweg niet makkelijk voor dergelijke organisaties om talent te vinden. Ik ben daarom van mening dat organisaties zoals deze zelf geen Exchange e.d. moeten hosten. Mail, fileservers en andere kritische zaken zoals databases kan je gewoon afnemen bij een Cloud provider. Daarmee verlaag je het risico en de impact van een ransomware aanval aanzienlijk.
Ah een ouderwetse "managment maakt alleen maar foute beslissingen en wij weten het altijd beter" strijder. ;-)
Ik snap je Jaguar (voor zover ik weet maken die niet ambulances of brandweerauto's) niet helemaal maar de investering in IT is de verantwoordelijkheid van de IT afdeling die goed en gefundeerd informatie moet geven. Als je dit goed doet en de risico's laat zien dan komen de budgetten vaak vanzelf. Althans dat is mijn ervaring. Het is te makkelijk om altijd maar managment de schuld te geven terwijl de IT afdeling niet normaal communiceert of zichzelf ergens in een kelder heeft teruggetrokken met een houding "ze snappen ons toch nooit" Dat is teveel de slachtoffer rol aantrekken.

Niemand weet hier hoe het gebeurt is maar we hebben wel allemaal al een mening erover. Voor hetzelfde geld hadden ze de beste omgeving van Nederland en waren er zaken die ze hadden kunnen voorkomen.

Laten we eerst de feiten afwachten totdat we meningen gaan hebben over hoe de IT afdeling functioneerde.
zelfs als Linux evangelist ben ik het met jou eens. Nergens uit het artikel is er duidelijk dat Microsoft schuldig is aan de kwetsbaarheid van het systeem. Ik zal elke kans gebruiken om Microsoft te bekritiseren voor hun monopolie, machtsmisbruik, of samenwerking met kwaadaardige regimes... maar zolang je systeembeheerders en gebruikers niet liggen te slapen, kun je Windows net zo veilig houden als elk ander besturingssysteem.
Nee, MS voert alle wijzigingen door die noodzakelijk zijn en als er nog problemen zijn dan worden ze opgelost. 20 jaar terug was Windows zo lek als een zeef, vandaag is de aanvalsvector toch echt opgeschoven naar applicaties. Maar ja, bedrijven (je weet wel, die klanten die veel betalen voor het gebruik van Windows) willen neerwaartse compatibiliteit. Dus iets als SMB1 uitschakelen: ja, dat mag van hen maar SMB1 verwijderen uit Windows? Neen, dat willen ze niet.
Sinds Windows 10 geeft Microsoft best wel veel mogelijkheden om je Windows goed te beveiligen. Onder andere de Microsoft Defender ATP zou erg goed moeten zijn (beter dan veel 3rd party beveiliging). Het zou me dus niet verbazen als dat niet allemaal goed opgezet is of dat er gewoon gebruik gemaakt wordt van verouderde software (of gebrek aan Windows updates).
Draaien ze perse Windows? Zo ja, welke Windows? Waren deze up to date? Hoe gebeurde deze software gijzeling?
Ik mis informatie hier...ik zie nergens in het artikel 'Windows Server' of Microsoft.
Microsoft heeft in deze niets te zeggen. Het is de getroffen organisatie die met het nieuws naar buiten komt en beslist wat ze melden. Zonder details van hoe de malware op het netwerk is geraakt en of alles up to date was en correct was opgezet kan je geen enkele conclusie trekken; Ik zie nog vaak genoeg systemen op Windows 7 draaien in bedrijven, een OS dat ondertussen ook al weer meer dan een half jaar volledig uit support is (en dan heb ik het niet over grote ondernemingen die er mogelijks zouden voor betalen of toepassingen waarbij Win7 mij cruciaal lijkt).

Microsoft mag zijn best doen, maar als bedrijven hun processen niet op orde krijgen, als management geen reden ziet om te investeren in security, dan mag je nog de beste systemen ontwikkelen, bedrijven zullen kwetsbaar blijven.
Complotdenker. Je brengt iets als feit terwijl je het niet zeker weet. Je begint heel stellig dat de informatie acterwege word gelaten. Maar zwakt het daarna af, dat het "over het algemeen" Microsoft is. Eigenlijk weet je het zelf dus ook niet.
Dus nu ben ik in jou ogen onderdeel van de Microsoft cultus? Enkel omdat jij hier iets beweert wat je niet kan aantonen. Nou ik zal het je zeggen, ik heb 0.0 met Microsoft te maken. Heb prive een Mac en Synology nas, en enkel zakelijk een Microsoft laptop van de zaak. De wereld zou niet leuk worden wanneer iedereen conclusies gaat maken op aannames.
Er is simpelweg niet genoeg informatie beschikbaar gesteld en dat is een kwalijke zaak. Van de Tweakers redactie verwacht ik dat er meer informatie over de ransomware aanval wordt verzameld en in het artikel wordt verwerkt. Volledige transparantie, voor zover mogelijk, zou ook voor de inhoud van het artikel beter zijn.

Wat we nu krijgen is "Ransomware aanval xyz treft organisatie ABC" en wat moeten we dat weer erg vinden en hoe komt het nu weer dat het niet voorkomen kon worden. Daar heb ik 0.0 sympathie voor. Ook het weglaten van de systemen waar het over gaat, zorgt ervoor dat de inhoud van zo'n artikel 0.0 wordt. Problemen dienen benoemd te worden en er moet aan gewerkt worden om zulke aanvallen in de toekomst the voorkomen. Dat gaat niet zonder de aard van het beestje openbaar te maken.

Er is niets mis mee om onderdeel zijn van de Microsoft of Apple cultus, zolang je er maar eerlijk voor uitkomt. Wat dat betreft respecteer ik het feit dat je dat doet en dat zouden wel meer mensen mogen doen.

[Reactie gewijzigd door psychicist op 15 september 2020 06:57]

Neem nou eerst je medicijnen eens en lees dan je posts nog eens door.

En nee ik gebruik geen Microsoft producten...
En waarom hoor je zoveel minder over aanvallen op GNU/Linux systemen? Omdat er simpelweg veel minder points of entry zijn. De zwakste schakel op Windows, en op elk systeem, blijft de eindgebruiker. En die zit nu eenmaal voor 90% op Windows. Waar richt men dan zijn pijlen op?
Het is om even mijn standpunt kracht bij te zetten. IT is en blijft voorlopig een ondergeschoven kindje. Hierboven wordt genoemd dat een netwerk te complex is, ook dat is in mijn ogen een drogreden. Als een omgeving complex is, moet je gaan segmenteren en het beheersbaar houden. Ook ijzersterke documentatie is dan van levensbelang.

Daarnaast ben ik geen Microsoft verslaafde. In tegendeel zelfs. Ik vind het echter te kort door de bocht om dit probleem als een probleem van Microsoft te bestempelen terwijl het in 99% van de gevallen aanwijsbaar interne fout.
Je kiest de juiste tool voor de job. Je gaat ook niet een deel van je organisatie op MS365 zetten terwijl de andere op Google komt om het risico te spreiden dat als 1 van de twee sluit, slechts half je oranisatie stilvalt.

Of een divers OS gebruik in je organisatie een meerwaarde heeft hangt enorm af van wat je processen zijn, hoe deze zijn ingericht, waar je gebruik van maakt. In onze organisatie is het door alle software die wij gebruiken simpelweg niet mogelijk om iets anders dan Windows te gebruiken. Het type software dat wij gebruiken bestaat alleen maar voor Windows. Er zijn verschillende vendors, verschillende oplossingen, maar allemaal Windows. Wat ga je dan doen? Als een klein kind kabaal staan maken omdat jij het anders wenst?
Zonder goede compartmentalisatie schiet je daar weinig mee op. Anders als ze binnen zijn zijn al die diverse systemen ook zo geowned, voor de bedragen die ze rekenen kunnen ze maatwerk leveren.

Zelfs als er geen exploits zijn voor de niet windows systemen, hoe lang moeten ze loggers draaien voordat er login voorbij komt op email of iemand die snel even via een Windows computer een belangrijke web interface gebruikt?
Och, je komt net zo makkelijk binnen in een slecht beveiligde Linux omgeving. Dan heb je meerdere points of failure.

Wat los je daar nou mee op?
True,
Het voordeel van Linux en Mac OS over Windows is dat ze meer sane defaults hebben (minder spul draait out of the box).
Maar beheerd: Je kan Windows veilig maken en Linux zo lek als een zeef maken. Het valt en staat bij het onderhoud en beheer.

Grote voordeel van een mixed omgeving is wel dat aanvallen niet zomaar het hele netwerk kunnen besmetten. Een exploit die op OS A werkt, werkt doorsnee niet op OS B.

[Reactie gewijzigd door hackerhater op 14 september 2020 12:59]

Of je systemen goed patchen en fatsoenlijke beveiligings-software gebruiken.
Je gebruikers blijven trainen van enkel attachments te openen van verzenders die ze vertrouwen, bestanden die ze verwachten. En zelfs dan durft het misgaan. Ook met mensen die in IT werken.
En dan klikt pietje op X link in Y e-mail en zit de ransomware in je systemen.
Probeer dat maar eens op een fatsoenlijke gepatcht systeem met goede beveiligings software.
Dat gaat alleen op als er een 0-day gebruikt wordt en dat is maar zeer zelden het geval.
In de meeste gevallen worden OS-bugs misbruikt die soms al maanden geleden gepatcht zijn.
Maar @rajackar heeft wel gelijk: het probleem van beveiliging is echt tegenwoordig al lang niet meer patchen, en up-to-date blijven. Het probleem is "between chair and keyboard". Het is echt essentiëel gebruikers te (blijven) trainen. Als mensen niet bewust zijn van wat er allemaal mis kan gaan bij een lek of een virus (of iets soortgelijks), dan raakt dit op de achtergrond, en klikt iemand eens op een linkje. Het hoeft maar één keer...
Het nieuwe oorlogvoeren is definitief gearriveerd. Als we al te kakken kunnen worden gezet door dit soort groepjes dan moeten we ons sterk afvragen wat er gebeurt als een macht als de VS, Rusland of China ons digitaal plat wil leggen.
In een ICT-landschap dat in decennia is opgebouwd, deels volgens een doordacht ontwerp, maar ook met delen die er minder doordacht zijn aangeplakt is het alsnog invoeren van een goede weerbaarheid tegen ransomware een enorme opgave. Weinig organisaties die dat waarschijnlijk echt goed voor elkaar hebben.

Deel van het probleem zit in de uitgangspunten. Het op veel plaatsen dominante denken is nog steeds van een kasteel met een slotgracht. Dat was heel leuk, toen er één brug over de gracht was, maar inmiddels heb je honderden bruggen en vliegen er ook vogels over de gracht. Uitingen als 'we moeten de gebruiker opvoeden' zijn niet onwaar maar het is onwaarschijnlijk dat dat je infra gaat redden en het is de schuld afschuiven van iets wat in de eerste plaats tot de verantwoordelijkheden van de ICT behoort.

Bescherming tegen ransomware betekent voorkomen dat het kan toeslaan, kunnen aantonen dat de integriteit van je data en systemen niet is geraakt en een mechanisme hebben om in korte tijd alles weer opnieuw in de lucht te kunnen brengen. In een bestaand landschap is dat een enorme opgave.
Is dit ook waarom bij de corona test telefoon lijn alle DigiID informatie ontoegankelijk was? Alles moest handmatig op papier worden opgeschreven en ze konden geen gegevens opzoeken
Ik snap dit niet, wie brengt er nu om zijn eigen financiële gewin de veiligheid van andere in gevaar?
...en volgens de organisatie is niet bekend 'uit welke hoek de aanval komt'....
Is dit per definitie een aanval? Kan toch ook gewoon een niet-zo-slimme medewerker zijn die een linkje in een verdachte mail aangeklikt heeft?
Dat kan ook een aanval zijn. Doelgericht medewerkers van één organisatie mailen in de hoop dat er één op het linkje klikt. (Social engineering/doelgerichte phishing)
Zou inderdaad kunnen. Maar ik vind het wel voorbarig om dat gelijk aan te nemen. De kans op een intern probleem lijkt me 50/50
Klopt. We kunnen er niks over zeggen, maar ik geef alleen aan dat het wel een aanval zou kunnen zijn, alleen één die op onwetende medewerkers is gebaseerd, niet zozeer direct op de systemen van de organisatie zelf. Het kan ook een hagelschot zijn, en dat bij toeval een organisatie met veel zichtbaarheid geraakt is.
of uberhaupt een pagina met een geinfecteerde banner bezocht? hoeft niet eens een domme gebruiker te zijn...


Om te kunnen reageren moet je ingelogd zijn


Apple iPhone SE (2020) Microsoft Xbox Series X LG CX Google Pixel 4a CES 2020 Samsung Galaxy S20 4G Sony PlayStation 5 Nintendo Switch Lite

'14 '15 '16 '17 2018

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2020 Hosting door True