NCTV: dreiging en verdediging tegen ransomware begint scheef te groeien

Nederland loopt nog steeds veel kans op maatschappelijke ontwrichting door cyberdreigingen. Die dreiging neemt zoveel toe dat de bescherming ertegen het bijna niet meer kan bijbenen, stelt de NCTV in het Cybersecuritybeeld.

De Nationaal Coördinator Terrorismebestrijding en Veiligheid schrijft in zijn jaarlijkse Cybersecuritybeeld Nederland dat de digitale dreiging binnen de maatschappij scheefgroeit. De NCTV ziet een veel grotere rol voor professionele cybercrimebendes als het gaat om de bedreiging van Nederland. Georganiseerde cybercrimebendes die ransomware versturen, zorgen volgens de NCTV voor die scheefgroei. Die bendes werken 'schaalbaar'. Ze kunnen hun processen en samenwerkingen aanpassen aan die van hun slachtoffer. De verdediging daartegen is volgens de NCTV juist weer niet schaalbaar. De NCTV noemt het voorbeeld van malware die een paar jaar geleden vooral op banken was gericht. Daarbij was het verdedigen relatief eenduidig, omdat er maar een paar partijen waren die moesten worden beschermd. Ransomware is nu zo universeel dat vrijwel iedere sector kwetsbaar is. "Vanuit weerbaarheid bezien betekent dit dat het te verdedigen, potentiële aanvalsoppervlak alleen maar groter is geworden", schrijft de coördinator. Daar waarschuwen meerdere instanties al jaren voor, maar er wordt nog steeds te weinig samengewerkt tussen sectoren en diensten. Ook blijven investeringen in cybersecurity nog achter.

Daarnaast wordt Nederland bedreigd door 'statelijke actoren'. "Cyberaanvallen door statelijke actoren zijn niet meer zeldzaam te noemen: ze zijn eerder het nieuwe normaal", schrijft de instantie. Andere landen, zoals China, vallen Nederland aan voor spionagedoeleinden die vooral politiek en economisch zijn. De NCTV noemt ASML niet specifiek, maar zegt dat China vooral interesse heeft in informatie uit de halfgeleiderindustrie. Ook is het verspreiden van desinformatie een groeiend gevaar en worden er voorbereidende handelingen genomen voor sabotage.

De NCTV zegt dat Nederland nog steeds slecht voorbereid is op die dreigingen. Vorig jaar concludeerde de instantie ook al dat Nederlandse bedrijven en de overheid zich te weinig aan de basisregels hielden voor cyberveiligheid, zoals het gebruik van unieke en sterke wachtwoorden en de implementatie van multifactorauthenticatie. "Dat beeld is ongewijzigd", schrijft de NCTV. Een groot probleem is dat verschillende overheidsinstanties niet goed samenwerken in het bestrijden van dergelijke aanvallen. Er is weinig toezicht in de sector en die sector deelt weinig informatie.

Door Tijs Hofmans

Redacteur

04-07-2022 • 16:02

105 Linkedin

Reacties (105)

Wijzig sortering
Stond zaterdag een interessant artikel over in het FD. Blijkt dat het hoofkwartier van deze gasten in het pand van de FSB zit. De operatie is volledig professioneel opgezet met een hierarchie en een heuse recruitment afdeling. Zelfs een support afdeling als de key die je gekocht hebt om je eigen data te unlocken niet blijkt te werken 8)7
De Indiase scammers werken ook in een echte organisatie met een eigen pand, managers, directeur, etc. Mark Rober heeft dat uitgezocht, inclusief videobeelden vanuit zo'n pand (de eigen beveiliging van de scammers is ook niet zo goed).
Kijk dat is het betere werk
Laatst ook een podcast over geluisterd ja. Zelfs het ziekteverzuim is erg laag in die 'branche'. Het is opgezet als professioneel bedrijf met alles erop en eraan.. weet even de titel niet meer van die podcast zelf (Nederlandstalig, dat wel)...
Vrij verkeer van goederen, mensen en diensten. Dat kan natuurlijk alleen onder bepaalde voorwaarden en beperkingen. De wereld als groot westers paradijs met goed werkende democratiën beschouwen, die hun belangen enkel volgens algemeen aanvaarde westerse normen en waarden uitvoeren met een efectieve handhaving, is echt het toppunt van arrogantie en naiïviteit.
Voor het electronisch dataverkeer dienen firewalls rondom Nederland ( met deltaplan-achtige kenmerken) en een tweede rondom de EU één van de basisvoorzieningen te worden. Elke internetprovider en vpn-dienst moet aan strenge eisen voldoen. Dit zijn slechts enkele zaken die wettelijk geregeld en gehandhaafd moeten worden door de overheid.

[Reactie gewijzigd door C. C. op 4 juli 2022 18:22]

Laten we die dan de Great Firewall of the Kingdom of the Netherlands noemen, goed idee. Laten we meer moderne praktijken zoals security-by-design en zero-trust in de kast. Laten we ook een autoriteit oprichten die aan de bestrijding van misinformatie doet. Die kan mooi de great firewall gebruiken om dingen te blokkeren als het tegen de regels in gaat.

Goed plan.
/s
Zoals C.C. het voorsteld gaat wat ver.
Maar bepaald verkeer vanuit risicovolle landen weigeren als standaard is misschien zo verkeerd nog niet.
Citrix, VPN, RDP etc etc zijn services die intresant zijn om aan te vallen.

Als ISP kan het geen kwaad om standaart dat verkeer te weigeren naar je klanten vanuit bepaaalde landen.
Waarbij je klanten dan wel de mogelijkheid hebben om dit uit te schakkelen, of aan te passen naar eigen inzicht.
Je voorkomt zeker niet alle ellende met deze maatregel, maar het helpt wel.

[Reactie gewijzigd door ArnoldSmit op 5 juli 2022 11:22]

Dan huren ze toch een (virtueel) servertje in Nederland (of de EU). Een kleine tussenstap.
Dat kan werken, maar dat laat al wel meer een paper trail na.
Als je strengere eisen zou stellen aan de huur van o.a. een VPS, bijvoorbeeld verifieren van identiteit.
Voor zowel bedrijven als personen, word het al en stuk lastiger.
Waterdicht word het nooit, maar je moet het zelfde zien als goede sloten op de deur van je huis zetten.
Je word stukken onaantrekkelijker voor inbrekers.
Bij grote organisaties merk ik regelmatig weerstand om soms de meest simpele basis dingen door te voeren, waar niemand last van heeft maar wel je risico verminderd. Bij klanten zie ik IT'ers weer terugvallen op kladpapiertjes en wachtwoorden maar doormailen, want een passwordmanager staat niet op de lijst met toegestane software vanuit de organisatie. Immers is alles mooi ingericht met single-sign on; op papier heel mooi terwijl in de praktijk elke medewerker inclusief IT middelen nodig is die hier niet op aangesloten zijn (meestal vanuit onwetendheid, maar vaak ook actief geblokkeerd). De medewerkers gaan echter wel gewoon door met hun eigen middelen die ze dan anders op de factuur laten zetten, zodat ze toch hun werk kunnen doen. In theorie is alles mooi geregeld, maar in de praktijk een gatenkaas.
Daarom afdwingen bij de basis. Wil je bij bedrijfsdata komen? Dan een compliant device nodig. Punt. Geen uitzondering..

Dit kun je niet aan medewerkers overlaten. Die zijn te laks en te onbetrouwbaar. Dit moet je écht bij de bron al inregelen.. En ja dat kost geld. Maar minder dan losgeld bij ransomware of het bedrijf dat een week lang stil ligt.
Daarom afdwingen bij de basis. Wil je bij bedrijfsdata komen? Dan een compliant device nodig. Punt. Geen uitzondering..
Dit is helaas niet altijd helemaal ideaal in de praktijk, omdat het aanneemt dat iedereen binnen dezelfde organisatie werkt.

Voor specialistische software en processen vind vaak inhuur plaats. Vaak genoeg zijn er projecten met consultants van en samenwerking tussen meerdere partijen.

a) krijg die maar allemaal onder MDM van het klantbedrijf*
b) zelfs al heb je er een paar onder MDM, die kunnen dan vaak nog steeds niet data delen buiten de silo.

Een melding over een bug bijvoorbeeld, komt tijdens een project naar voren, en die wil een engineer die in MDM van de klant zit delen met een engineer in zijn eigen bedrijf. Maar ja "knippen/plakken" staat uit, vanwege stricte instellingen.

Mijn huidige oplossing: ik neem wel een screenshot en die zet ik door.

Daar sta je dan met je MDM.

*Helemaal lachen met het bedrijf dat laptops ging uitdelen en verwachtte dat de leveranciers daarmee zouden gaan werken, zodat aan hun informatiebeveiligingsbeleid kon worden voldaan.

[Reactie gewijzigd door Keypunchie op 4 juli 2022 19:49]

Fair enough maar dit ging met name over MKB..

Hoewel je voor inhuur/externen natuurlijk prima guest access kan regelen voor alleen hele specifieke gedeelten binnen je data. Of servers als dat perse moet..

[Reactie gewijzigd door DigitalExorcist op 4 juli 2022 19:50]

Maar je opmerkingis dus perfect wat hij uitlegt, danzit je dus weer in die silo...
Op zich mee eens, de praktijk is weerbarstiger. Heb bij klanten een hele afdeling gezien die is opgezet door de lokale IT'ers (kundige mensen), los van het moederbedrijf zodat ze in ieder geval kunnen werken. Vanuit het moederbedrijf is de insteek inderdaad zoals je aangeeft, maar zonder de capaciteit en wil om de medewerkers daadwerkelijk te helpen hun werk te kunnen doen. Dan creëer je een situatie waarbij de lokale IT'er wel verantwoordelijk zijn voor het functioneren, maar uiteindelijk niks kunnen omdat er met de benodigde leveranciers niet samengewerkt kan worden. Dus gaan ze zelf wat opzetten. De netwerkspullen die het moederbedrijf opstuurt liggen mooi op een hoop in de voorraadkast, terwijl de leverancier leuk alles onder support schuift op de factuur. Iedereen blij, totdat het mis gaat uiteraard.

Dan is de vraag, wat is beter? Je medewerkers verantwoordelijkheden geven en ze vertrouwen, of alles helemaal dichttimmeren, met als resultaat dat ze dan wel omwegen gaan zoeken waar je niks van weet.
Alles dichttimmeren, en dan dat magische woord 'zero trust' ;) (die kapstok waar iedereen z'n eigen jas aan ophangt....).

Nee gekheid. In principe, alles dichttimmeren. Bedrijfsdata benaderen = compliant zijn met je device. Of dat nou een laptop, workstation of tablet is. Echt, het kán niet zo zijn dat afdelingen hun eigen interpretatie los gaan laten op een bedrijf.

Nu heb je het denk ik meer over een M (van MKB) dan een K (van MKB) bedrijf; en ja, de werkelijkheid is niet zo rooskleurig; ik doe dit al zo'n 24 jaar ondertussen en heb ook alles wel gezien van grote internationals tot de garage om de hoek... maar securitywise kun je écht geen concessies meer doen tegenwoordig.

Of iedereen moet zwart op wit vastleggen dat het bedrijf gerust een week lang helemaal stil kan liggen. Als het management daarmee akkoord gaat, tsja, wie ben jij dan als IT'er om het daar niet mee eens te zijn. Maar dan ligt het écht vast en heb je je uiterste best gedaan.

Check wel even of je immutable backups buiten je domein hebt staan en een IR-plan klaar hebt liggen en regelmatig restoretests gedaan hebt, dat dan weer wel.
Dat werkt natuurlijk voor geen meter. Altijd zo leuk, die IT-beheerders die alles willen dichttimmeren. Ze hebben gelijk, vanuit beveiligingsstandpunt, maar in een echt bedrijf moet er af en toe wat werk worden gedaan. En dat lukt niet zonder toegang.

Waar ik mee heel erg over verbaas, is hoe weinig de VDI-werkplek wordt ingezet. Dat is gewoon een geniale oplossing. Je kunt die werkplek helemaal dichttimmeren of beheren of whatever, maar de gebruiker kan er wel vanaf elk eigen device bij. Iedereen kan vanaf elke plek normaal werken, zonder dat het gevaar oplevert. Mijn werkgever doet het al jaren zo en het is echt ideaal. Ook voor het MKB kan dit een heel goede oplossing zijn.
Brrrr ik krijg al kippenvel als er word verwacht dat ik met een VDI moet werken. 99,9999% performed dat ding nooit, heb je allemaal issues met de hardware aan jou kant (bijvoorbeeld kan niet alle schermen aan die je hebt etc.). Ik snap dat het voor veel mensen kan werken maar voor sommige power users zoals ontwikkelaars etc werkt zoiets vaak (niet altijd) alleen maar vertragend en tegen.
Dat is geen enkel probleem. Ik heb nog nooit gedonder met hardware aan de client-kant gehad. Ik kan er zelfs op met een iPhone of iPad. Meerdere beeldschermen werkt, ik heb er zelf 3.

Het enige probleem is dat je inderdaad soms met te zwakke hardware zit. Maar dat is aan de niet-VDI kant ook een probleem. Vaak wordt er bij de inkoop van laptops niet nagedacht over developers, je krijgt dus gewoon een kantoorlaptopje. Extra RAM kan er meestal nog wel af, maar een zwaardere CPU is vaak lastig. Met een VDI-werkplek hangt het er maar net vanaf welke mogelijkheden de aanbieder daarvan heeft. Ik heb niet veel te klagen. Compilen gaat op een snelle pc wel sneller, maar het is zeker niet zo dat de VDI-werkplek traag is.
Ik hoop dat ik dan ooit nog eens de ervaring van een goede implementatie van de VDI. Want zoals het nu klinkt heb ik dus alleen bagger implementaties meegemaakt.
Dat is idd een prima oplossing. Vooral Microsoft met z’n cloud-PC gaat dat prima doen.
VDI / RDS werkt beide prima lijkt mij. Ik gebruik dat zelf ook met een IP-restrictie die alleen het IP van de bedrijfs VPN toestaat. Dat icm MFA komt een heel eind.
Tja, zit je wel met het probleem dat je niet offline kan werken en uiteindelijk meer geld uit geeft. Die laptop heb ik namelijk nog steeds (en moet ook beheerd worden) en de kosten van cloud krijg ik daar nog bij.
Dan is nog de vraag of ik mijn data aan de cloud toevertrouw en als ik die lokaal laat staan moet er alsnog een verbinding naar de cloud.
En ook op vdi kan er zomaar iets gebeuren. En wat heb ik als backup als die hele vdi cloud tijdelijk niet bereikbaar is als azure of cloudflare een probleem heeft.

Vdi kan niet altijd, mag door regelgeving niet altijd en is kostentechnisch ook niet altijd mogelijk. Daarnaast is het geen oplossing voor de OT, maar voornamelijk alleen voor de KA.
Waar ik mee heel erg over verbaas, is hoe weinig de VDI-werkplek wordt ingezet. Dat is gewoon een geniale oplossing.
Misschien voor je niet-technische MKB klanten maar voor ontwikkelaars of andere power users is het echt een compleet drama. Die moeten toch vaak net iets meer kunnen wat dan weer niet of niet zonder omwegen gaat. Ik heb ontwikkelaars letterlijk rood zien aanlopen toen iets in die richting werd voorgesteld...
En wie is verantwoordelijk voor de beveiliging van het systeem waarmee je op de VDI werkplek inlogt?
Nee gekheid. In principe, alles dichttimmeren.
Alles volledig dichttimmeren werkt alleen als de IT afdeling extreem goed weet wat de behoeftes zijn en de behoeftes extreem goed faciliteert. En dan niet alleen van sommige werknemers/afdelingen, maar van alle.

Dat lijkt me niet zo realistisch voor veel bedrijven.
True maar het ging met name om MKB.. en vooral bij de K van MKB is dat prima te overzien…
Dan is de vraag, wat is beter? Je medewerkers verantwoordelijkheden geven en ze vertrouwen, of alles helemaal dichttimmeren, met als resultaat dat ze dan wel omwegen gaan zoeken waar je niks van weet.
Ligt heel erg aan je organisatie, leuk dat je alles dichttimmert, maar als al je developers dan niets meer kunnen... En trust me, dat gebeurt, waarbij developers dan maar gaan ontwikkelen op hun eigen machine ipv. die van de baas. Maar sommige developers kunnen ook niet omgaan met de verantwoordelijkheid, zoals bittorrent clients op de PC van de baas installeren... Of hun zelf geïnstalleerde software niet willen updaten, ook al heb je dat al 5x gevraagd (via de email/chat)...

Het is een combinatie van beveiliging EN het bedienen van je interne klanten (aka. je colleagae)...
Er is ook meer in de wereld van IT dan alleen de typische kantoorautomatisering. Het R&D team wat bepaalde meetapparatuur nodig heeft van één specifieke leverancier (omdat de verbruiksmiddelen daarmee getest moeten worden), een uitvoerder die z'n machine wil monitoren, een productielocatie waarvan de details in en uit SAP moeten komen, gereedschappen die van monitoring voorzien zijn. Etc. Etc. Zo kom je uit op vele plekken in de organisatie waar tóch vanalles wordt gebruikt door de medewerkers, waarvan de IT'er op het hoofdkantoor nog nooit iets heeft gezien.
Ik ben dan geen ITer, maar werk wel samen met de R&D afdeling en QC afdeling. Bij ons hebben functies een bepaalde groep van software die automatisch geïnstalleerd wordt, zoals bijvoorbeeld SAP. Niet elke medewerker heeft dat of een uitleessoftware nodig. Als er toch iets mist, dan kun je een ticket aanmaken en dan wordt er samen naar gekeken. Allemaal geregeld door de ITers op het hoofdkantoor in Engeland die hier vaak nooit geweest zijn.
Of hun zelf geïnstalleerde software niet willen updaten, ook al heb je dat al 5x gevraagd (via de email/chat)...
Dat kan je gewoon afdwingen middels policies. Of forceren middels gestreamde AppV applicaties.
Natuurlijk kan je dat afdwingen met policies, dat ga je uiteindelijk dan ook doen, maar dat moet je juist dan weer specifiek instellen voor die applicatie, testen, etc. En we hadden het juist over een stukje eigen verantwoordelijkheid.

Gestreamde AppV applicaties klinkt leuk, maar dat betekend elke applicatie in beheer en juist bij de webdevelopers wordt er veel nieuwe dingen gebruikt die niet altijd het office applicatie beheer in gaan. Een dergelijk proces duurt vaak lang en verschillende organisaties onderschatten packaging en hebben er niet voldoende resources voor. Veel applicaties zijn appeltje eitje, maar anderen zijn een hels karwei!

Er zijn zat oplossingen voor (met ieder zo zijn voor en nadelen), het moet passen in de organisatie, met moet er de kennis/resources voor hebben en het moet een prioriteit zijn...
Mooi gesteld, maar een groot deel van het MKB (lees eigenaar/directe) heeft er geen geld voor over. Die zitten nog in de mindset van "zie ik dan wel". Laat nou net een groot deel van de bedrijven in die omvang vallen.
Dat is precies ook de doelgroep die ik professioneel gezien moet bereiken om ze op andere gedachten te brengen. Maar inderdaad, dat valt niet mee. "Ja maar onze virusscanners pakken alles wel op". Eh ja, dat kan zo zijn. Prima natuurlijk. Maareh ... wie gaat er onderzoek doen hoe dat virus überhaupt zo ver gekomen is om gevonden te worden door je virusscanner eigenlijk?

Geluk bij een ongeluk is wel dat veel van die bedrijven in M365 zitten, en je daar al prima voorgestorteerd bent voor MFA en conditional access.

[Reactie gewijzigd door DigitalExorcist op 4 juli 2022 16:34]

Voor de goede orde, ik zit in de development organisatie en ga niet over IT. Bij mij in de organisatie is sinds kort een patch management tool geïnstalleerd. Heel goed idee. Maar de praktijk kan nogal naar zijn. Op onaangekondigde momenten tijdens het werk zijn reboots nodig omdat een update is uitgevoerd die een reboot nodig heeft voor het afronden van de update. Meestal gaat het om een optionele Windows update die niets met security te maken heeft. In de paar maanden dat dit nu draait is (op mijn laptop) heeft patch management nog geen enkele update geïnstalleerd die ook maar iets met security te maken had (de maandelijkse Microsoft updates werden al via WSUS geïnstalleerd), maar ik moet wel mijn laptop zeer regelmatig rebooten. Voor een belangrijke security gerelateerde update reboot ik mijn laptop graag en ook zo snel mogelijk. Maar voor een minor update van Notepad++ vind ik het nogal storend (als voorbeeld).

Vraag n.a.v. jouw opmerking over M365. Kan dit niet beter met M365?
M365 is een verzamelnaam van licenties, het is niet iets unieks dat niet met de gewone O365 licenties kan (en M365 geeft je er een Enterprise licentie bij voor Windows…).

Dus ja, strikt genomen kan alles gewoon binnen O365 wat ook binnen M365 kan
Wij hebben Microsoft 365 E5. Het patch management dat is geïnstalleerd is van Bit Defender. Maar Intune bevat toch ook patch management, of is dat alleen voor Microsoft toepassingen?
Ik denk het laatste maar ik ben niet de beheerder van InTune voor ons of onze klanten… zou ik dus ook op moeten zoeken ..
Dank je. Ik ga het zelf proberen uit te zoeken.
Nou denk ik dat het meeste in het MKB niet zo snel een target gaat zijn voor spionage door Rusland of China, dus dan is het geraakt worden door ransomware een gevalletje “harde leerschool” of “wie niet horen wil”.

En aan de andere kant denk ik dat bijvoorbeeld een ASML echt zijn digitale beveiliging wel op een veel hoger plan heeft staan dan de lokale witgoedzaak, zeker omdat die ook wéten dat ze een levensgrote schietschijf op de gevel hebben hangen.
Wat dacht je van toeleveranciers van een ASML?!! Die moeten hun zaken ook op orde hebben, en zijn vaak niet zo groot en krachtig als ASML.
Vaak zie je dat inderdaad gebeuren. Tot dat een complaint device niet meer complaint is door de tijd. Dan is er veel gezeur en gedoe en een uitzondering is zo gemaakt, vervolgens staat het hele beleid op losse schroeven.


Daarnaast heb je ook nog eens mensen die vinden dat ze zelf moeten kunnen kiezen wat voor apparaat ze gebruiken. Vinden ze dat hun werk omgeving te limiteert is, sturen ze de bestanden die ze nodig hebben naar hunzelf en werken op een ander apparaat. Maar die mensen denken totaal maar ook totaal niet na dat een foutje misschien wel miljoenen kan kosten als je een beetje groot bedrijf hebt.

Of iemand van de directie wilt toch met zijn/haar telefoon overal in de wereld bij de data kunnen. Dat er dan een "uitzondering" gemaakt is.

Ik ben het met je eens. Ik zou zelf ook met levels werken van data. Zo zijn er bijvoorbeeld 3 levels aan data publiek, bedrijf ongevoelig, bedrijfsgevoelig. Hoe gevoeliger de data je verwerkt hoe strenger je moet zijn. Beide kanten op. Zowel de IT afdeling als de gebruiker. Maar ook dat er duidelijke regels zijn wat als je niet aan de regels houd. Stuur jij jezelf een bestandje wat absoluut niet buiten het netwerk mag komen? Officiële waarschuwing zonder pardon.
Maar compliancy en BYOD kunnen prima samenwerken hoor. Registreer je device in Intune (MEM tegenwoordig) en je bent compliant (of niet, afhankelijk van de eisen). Dan weet je tenminste vanaf welk device er ingelogd wordt en kun je alléén bij kritieke data als je aan die eisen voldoet.

Daarna natuurlijk geofencing instellen en een WAF en dat soort ongein allemaal...

En inderdaad: monitoren op gebruik van die applicaties! Firewall dichtspijkeren van binnen naar buiten en als het even kan alle monitoring, logging en analyse-faciliteiten gebruiken die je firewall heeft. En dan gaat bekijken welke onverlaat nog MEGA, Dropbox of uTorrent gebruikt.
Maar diezelfde mensen willen natuurlijk niet hun prive devices registreren. Want dan komen er weer die beperkingen op vanwege security die ze juist niet wilden hebben.
Zie de smoesjes van de ministers maar.
Daarom maak je onderscheid tussen company owned en private owned..
Hoe bedoel je dat?
BYOD device is private owned, maar je wilt nog steeds de company security maatregelen toepassen. Vandaar de enrollment in intune of een andere MDM.

Ik merk dat de meeste eindgebruikers BYOD ineens niet meer zo interessant vinden als er op dat device ook security maatregelen komen.
Dat laatste klopt, maar dan moet je ook niet aan BYOD beginnen ;)

Het is óf BYOD en je conformeren aan de veiligheidseisen, óf een company-owned device en met én een privé én een zakelijk device rondlopen..
Op zich is Android for Enterprise dan wel mooi. Dat houd prive en zakelijk heel mooi en overzichtelijk gescheiden. Handiger dan met twee devices rondlopen.
Leg dat maar eens uit aan mensen, dat jij als beheerder op hun privé telefoon als het misgaat hun privé fotobibliotheek ook erased als die opnieuw ingesteld moet worden.
Dan zie je iedereen ineens om een bedrijfstelefoon vragen...
Je kan een telefoon wipen of alleen toegang tot alle bedrijfsresources wissen. Dat láátste gaat niet ten koste van je privé-zaken. Een complete wipe wist álles maar dat doe je alleen in het geval dat je telefoon gejat is. En dan ben je alles tóch al kwijt.. (of je wist dan alleen de toegang tot bedrijfsdata alsnog, kan ook...).

[Reactie gewijzigd door DigitalExorcist op 5 juli 2022 15:40]

Dan ga je er vanuit dat de werknemer om BYOD vraagt.

Maar BYOD is ook voor de werkgever interessant omdat de werknemer dan het apparaat bekostigd.
Als mijn werkgever er op staat dat ik op compliant apparatuur werk dan mag hij deze verstrekken.
Uiteindelijke controle over mijn eigen apparatuur wil ik zelf behouden.
Makkelijk gezegd. Maar veel bedrijven hebben als kostenbesparing BYOD ingevoerd. Dan kan je compliancy niet afdwingen.
https://www.reuters.com/w...tizens-police-2022-07-04/

Kan volgens mij wel… ik draai zelf Linux en dat is niet-compliant … maar ik kan wél een VM installeren met een vTPM om vervolgens wél compliant te zijn en bij bedrijfsdata te kunnen.
Je gaat eraan voorbij dat jij een Tweaker bent met verstand van IT. Een gemiddelde kantoor gebruiker is niet in staat een dergelijke setup te maken. En de IT afdeling wil absoluut niet zelf zaken gaan installeren en configureren op een BYOD.
1) Je koopt een privé device omdat je BYOD wil en dus accepteer je dat er restricties op staan vanwege bedrijfsgegevens

2) Je accepteert dat je naast je privé device een zakelijk device hebt

Dat zijn de keuzes, ja je kunt op een BYOD private device gewoon compliance afdwingen. En anders moet je niet kiezen voor een private device.
Eh nee. Veel organisaties hebben zaken zoals een telefoon van de zaak of computer thuis van de zaak afgeschaft als bezuiniging Het personeel kan dan niet anders dan eigen apparatuur gebruiken. Zeker als je door Corana maatregelen vanuit huis moet werken.
Tsja. En veel organisaties ook niet.
Stel je eens voor dat die ene passwordmanager een lek heeft. Stel je eens voor dan gaat alles kapot en is de wereld verdoemt.

Dit zie ik voor mij dat er gedacht word bij bedrijven waar je zo iets simpels niet mag toepassen. Vervolgens gek vinden dat er door een simpel plakpapiertje een wachtwoord gelekt is, waar vervolgens vanuit gehackt account ransomware verstuurd word.
Stel je voor dat al die wachtwoorden in Excel en Word bestandjes staan en ook zo worden gedeeld, omdat de oplossing die wél geboden praktisch niet word gebruikt. Dan krijg je dus het beeld wat de NCTV hier aanduid. Ik neem geen standpunt in, puur een anekdotische ervaring die de bevindingen van de NCTV onderbouwd.
Daarvoor heb je educatie. Regelmatig een klein momentje het erover hebben.
Leg de voordelen uit. Keer op keer op keer op keer.... Zie je het anders gebeuren spreek meteen die gebruiker erop aan.

Vaak zie je dat gebruikers bij binnenkomst een korte security uitleg krijgen. Misschien daarna 1x per jaar een mailtje krijgen die niemand leest maar gestuurd word voor de ISO.

Echter moet je bij security gewoon blijven hameren.
Ik snap het niet. Uit jouw eerdere reactie heb ik de indruk dat een password manager niet gewenst is. Begrijp ik dat verkeerd? Als je geen password manager mag gebruiken, wat is het alternatief? Wat leer jij de gebruikers bij de educatie?
Een password manager is juist wel gewenst. Als je als bedrijf geen password manager faciliteert verplicht dan moet je in mijn optiek niet klagen als er wachtwoorden gelekt worden.
Mijn opmerking was hoe ik voor mij zien hoe tegenstanders van password managers kijken naar password managers.
Zelfs zonder password manager kan je met educatie al extreem veel.
Aha. Nu snap ik het. Die educatie is inderdaad extreem belangrijk. Bij ons is een password manager verplicht. Desondanks zijn er collega's die hem niet gebruiken.
Ja, mee eens. En dan kom je in Frankrijk in kleine vestiging waar de lokale beheerder die mails en herinneringen automatisch naar de prullenbak verwijst. Of de fabriek in Duitsland die bij verbindingsproblemen wil kunnen doorwerken (Want worden ze wel op afgerekend), dus ontstaat er een compleet losstaan netwerk waar niemand echt bewust van is, maar wel allerlei ingangen heeft in het hoofdnetwerk om data te syncen (met uiteraard de hoogste rechten die ooit eens door een leverancier zijn toegeëigend). En dan is opeens de praktijk dat de beveiliging slecht op orde is, terwijl in theorie alles op orde is.
Plakpapiertje, je vergeet het Excel sheet met daarin alle wachtwoorden, die dan op usb stick wordt verspreid want lekker makkelijk
Ik denk dat dat beleid ermee te maken heeft dat het niet grappig is als er op grote schaal bestanden van dergelijke programma's worden buitgemaakt. Niks opslaan is absoluut veiliger.
Ik werk niet in een grote organisatie, maar wel waar we toch met grote klanten werken en met gevoelige informatie.
Ik ken maar 1 andere collega die een password manager gebruikt.

Als ik daar met collega's over praat komen de klassiekers: Ik gebruik overal hetzelfde paswoord. Ik ook, maar ik pas enkele letters aan afhankelijk van de service, ...

IT beveiliging is een lachertje.
Ja herkenbaar. Zelfs IT'ers hebben in veel organisaties nog nooit van een passwordmanager gehoord. Recent nog een projectleider IT gehad die de passwordmanager zo vervelend vond en niet meer gebruikt, omdat alle mogelijkheden om zijn wachtwoord en twee-factor te delen niet meer werken (teams desktop delen, teamviewer meekijken etc.).
Of ITers die het ww "Welkom01" gebruiken voor clients en servers... |:(
Wel met een uitroepteken erachter hè!
Big brain mode on

Welkom09 gebruiken want dat raden ze nooit :+

Maar alle gekheid op een stokje, dat soort dingen zie je helaas wel eens voorbij komen. Dan vraag ik me altijd af wil je dat je gehackt word? De schakelketting is zo zwak als de slechtste schakel. Zulke acties kosten klauwen vol met geld. Als het misgaat omdat een wachtwoord lekt, kost het sowieso het bedrijf geld maar als zr goed verzekerd zijn de maatschappij ook nog. Ik ben daarom ook voorstander je applicatie zo ontwikkeld dat je sterke wachtwoorden gewoon afdwingt. Met mfa! Lekt dan je wachtwoord is het minder een probleem.

Daarnaast vind ik het ook schandalig er nog bedrijfsapplicaties zijn waar je als klant niet voor elke medewerker een account kan aanmaken. Maar alles via een simpele algemene mail moet lopen...
Met zulke wachtwoorden is het niet de vraag of je gehackt wil worden, maar wanneer je erachter komt dat dat allang gebeurd is 😜
Herkenbaar hoor, maar als je dan aankomt met een externe "share" tool, voor wachtwoorden ofzo, dan vertrouwt men het vaak niet of het mag niet van het beleid (of combi van beiden).


Wij hebben nu intern een nieuwe "tool" erbij gekregen om dingen te sharen, maar dan moet ik een spreekwoordelijke kamer aanmaken, daar mensen aan toevoegen met allerlei settings.
Ik wil gewoon even snel iets delen, secure welliswaar. Een downloadlink genereren kan al niet.
Een eigen FTP zit er ook niet in, dus dan wordt het weer tijdrovende trucjes uithalen.
Zolang er nog systeembeheerders rondlopen die zoiets hebben van "hey onze virusscanners hebben een stuk malware gevonden maar wel netjes opgeschoond, probleem opgelost" gaan we de spreekwoordelijke oorlog (of is die niet zo spreekwoordelijk??) niet winnen..... :(
In dit geval zien de systeembeheerders in ieder geval nog dat de virusscanners iets gevonden hebben. Genoeg organisaties die wel een virusscanner of modernere afweer hebben, maar de meldingen niet eens zien en ervan uitgaan dat het allemaal maar gewoon werkt...
Ik krijg hier oncontroleerbare huilbuien van. Dit is mishandeling.
Ligt er ook een beetje aan wat de 'virusscanner' is, soms zijn dat heel wat complexere en geautomatiseerdere systemen die wel iets meer doen dan alleen het bestand verwijderen. Afhankelijk van de oplossing en inrichting kan dat inderdaad zo zijn dat er amper naar om gekeken hoeft te worden, tenzij het zelf een alarm slaat dat je ergens naar moet kijken en actie moet ondernemen.
Dat klopt, dan heb je het over EDR (of XDR, same same). Maar dan nóg moet je je afvragen hóe dat ding daar gekomen is. Opschonen is het ergste niet. Prima dat dat lukt. Maar dán moet je je als IT'er afvragen:

Hoe kómt dat ding op die machine?
-> USB stick? Dan policies aanpassen om USB te blokkeren!
-> E-mail? Dan spamfilter finetunen
-> Computer in vreemd netwerk geweest? Dan nagaan of anderen dat ook hebben gedaan + netwerktoegang beperken tot bekende Wifi-netwerken bijv.
-> Aanval van buitenaf? Dan firewall tunen/geolocation inschakelen
-> User met kwade bedoelingen? Replace user.
-> Maar nog verder dan dat: is dit een targeted aanval geweest (bedrijfsspionage, CEO-fraude, is het toeval, zit er sowieso nog iets ánders in m'n netwerk wat er niet hoort en was dit alleen een beacon?) etc. etc. Het laatste dat je wil is een vals gevoel van euforie omdat je een stuk malware tegengehouden hebt, maar dat het alleen maar een 'test' van de aanvaller was om te zien welke systemen er getriggered worden. Alleen maar een virusscanner? Oh dan is er misschien geen SIEM of andersoortige logging, dan kunnen we nu payload 2 en 3 loslaten...)

Dat gaat EDR/XDR niet voor je beantwoorden. Ja die kan info verschaffen over wat het bestand geraakt heeft, wat de oorsprong is etc. maar niet zelf de áchterliggende oorzaak aanpakken.

[Reactie gewijzigd door DigitalExorcist op 4 juli 2022 17:09]

-> USB stick? Dan policies aanpassen om USB te blokkeren!
Wat, jij heb de USB poorten openstaan!?!? ;-p

Er komt kwam een hoop binnen via email, maar met de meeste oplossingen wordt het meeste daarvan braaf afgevangen. Dan heb je nog een hoop meuk wat gewoon binnenkomt via de browser, je zou een bloklist kunnen bijhouden, maar dat voelt aan als water naar de zee brengen...

Ik verwacht eerder dat een security officer 1x per week dergelijke logs doorneemt en rare meuk er uit vist, wat al is opgelost/tegengehouden en daar gaat kijken of je iets structureels kan doen. Continue infecties zou al voor een alarm moeten hebben gezorgd. Wat je niet wil is dat je wordt ondergesneeuwd door constante meldingen waarmee je wat moet doen (tenzij er daadwerkelijk wat aan de hand is).

Ik kan me van vroeger nog herinneren waarbij elke virusscanner melding voor paniek in de tent zorgde, dat werkt tegenwoordig wel iets anders. Gelukkig!
Bij mijn werkgever staan de usb-poorten ook gewoon open. Als die niet open staan, gaan gebruikers andere dingen verzinnen die nog gevaarlijker zijn. Zoals mail doorsturen naar een prive-maildres.

Wat bij ons wel geblokkeerd is, is het uitvoeren van willekeurige executables. Alle executables die op onze werkplekken draaien, moeten zijn gewhitelist. Dat levert soms wel problemen op, maar meestal is het een kwestie van een ticket indienen bij de helpdesk om een bepaalde executable vrij te geven en dan doet hij het dezelfde dag nog.

Daardoor kunnen wij als ontwikkelaars toch onze eigen tools gebruiken, de meeste zijn gewoon gebruikelijke tools die standaard gewhitelist worden en af en toe moet je even wat extra moeite doen. Postman is de uitzondering hier, die installeert om de haverklap z'n eigen updates en valt daardoor voortdurend buiten de policy.
1x per week? … dat kan zomaar 6,5 dag te laat zijn. En een melding van je virusscanner zou juist reden tot paniek moeten zijn. Dan is dat ding al door je firewall gekomen, op je cliënt beland, door een user waarschijnlijk geactiveerd……

[Reactie gewijzigd door DigitalExorcist op 4 juli 2022 17:44]

En ondertussen zijn er zoveel restricties dat de helft van de werknemers hun werk niet meer fatsoenlijk kunnen doen en creatieve oplossingen bedeken die het netwerk nog kwetsbaarder maken.
Als je conditional access goed inricht zijn er geen creatieve oplossingen meer. Ja behalve foto's maken van documenten met je mobiel en die thuis overtypen... je kunt immers *niet* bij de data komen. Zelfs copy/paste vanuit Excel kun je dan dichtzetten als je het plakt naar een niet-compliant applicatie..
Ik vraag me altijd af hoe moeilijk het kan zijn om zulke versleutelingen te herkennen en te blokkeren. Als je op je server gewoon kunt instellen dat verwijderen of versleutelen niet is toegestaan zonder dat er daadwerkelijk een fysieke muis en tobo handeling is gedaan dan moet dit toch dood eenvoudig te herkennen en blokkeren zijn? Ik snap niet dat bijvoorbeeld Windows dit niet standaard heeft ingebouwd. Hoe moeilijk kan het zijn. Het zijn zeer gerichte en zeer herkenbare handelingen... Verwijderen of versleutelen van data...
Hoeveel servers doen automatisch encrypten/decrypten als deel van hun functie? Dus geen interactie vanuit een mobo/muis zou niet handig zijn. Laat staan dan veel beheer via scripting vanaf andere servers werkt.
Hoe zie je dat voor je? Versleutelen van data niet mogelijk zonder muis/toetsenbord op een server.. hoe ga je dan om met KVM-switches bijvoorbeeld? Of een bladecenter? En geldt een iLO/DRAC als monitor? En hoe zit het met applicaties waar je sowieso altijd versleuteling wil, zoals databases, passwords, en AVG-gevoelige data?
"... Vorig jaar concludeerde de instantie ook al dat Nederlandse bedrijven en de overheid zich te weinig aan de basisregels hielden voor cyberveiligheid, zoals het gebruik van unieke en sterke wachtwoorden en de implementatie van multifactorauthenticatie. "Dat beeld is ongewijzigd", schrijft de NCTV. ..."
Op die manier gaan we de oorlog inderdaad niet winnen. Er moet op dit gebied echt een bewustwordingsslag worden gemaakt.
Zo lang aanvallers in 99% van de gevallen binnen kunnen komen omdat MFA niet aan staat, misconfigured is, of de gebruiker niet verantwoord met MFA omgaat, zal dat beeld ongewijzigd blijven…
Goed gebruik van MFA verkleint de kans al zo veel, maar MKB is vaak nog niet op het punt dat dit correct gebruikt wordt.
Tja sommige bedrijven, zoals waar mijn vrouw werkt, volgens hun externe sys admin kan hun niks gebeuren want Macintosh. Die hoeven volgens die partij ook niet hun systemen up to date te houden want Mac, en de nieuwste os maakt hun oudere iMacs langzamer.

Tot ik een oude laptop van ze kreeg, deze opnieuw installeerde en die ineens sneller bleek, gingen ze klagen bij hun sysadmin en die zijn nou boos op ons, lol

[Reactie gewijzigd door Automark op 4 juli 2022 16:40]

Het dichttimmeren van de IT-kant kan alleen als deze afdeling het bedrijf erg goed snapt en weet wat diverse afdelingen nodig hebben.

Zelf lang als Actuaris gewerkt en actuarissen zorgen onder andere voor dat het verzekeringsbedrijf hun vergunning om te opereren in de markt behoudt. Deze afdeling gebruikt veel gespecialiseerde software (zelfgemaakt en deels gekocht) en die hebben allerlei connectiviteit met de buitenwereld nodig.

Als de IT-afdeling hun beveiliging op peil wil houden of verbeteren maar de actuarissen zeggen zonder deze toegangen geen rapportage naar toezichthouder .... wie trekt aan het kortste eind ? juist

Ik denk dat je als IT-er eens van achter je toetsenbord moet komen en de PL en BS van de organisatie moet bestuderen zodat je beter met de productie kan meedenken ipv het huidige stroperige waar er 10 mensen in een conference call zitten en niemand elkaar snapt. Als je als IT-er de organisatie gaat snappen en hoe IT daaraan kan bijdragen ben je op weg naar CIO.
er moet gewoon overkoepelende bescherming komen voor bedrijven.
Tijd dat de Great Firewall 2 kanten op gaat werken.
Jij hebt het cynisme niet herkent achter 'Great Firewall' }>

Natuurlijk moeten we de bestaande bescherming en beveiliging vertrouwen. Maar we moeten wel opletten wie er op de poort klopt. En liefst ook opletten wie al dan niet onopvallend langs loopt. En dat is ook onderdeel van de 'Great Firewall 2': Kijken, zien, opletten, interpreteren en acteren.
Yup. Hoe denk je dat grote partijen als CloudFlare malware verspreiding tegen gaan?
Door een goed beleid, zero trust en geen enkele uitzondering.
Leuk, hoe implementeer je dat?
Met goede afspraken en strenge afwegingen en strenge algemene voorwaarden om gebruik te maken van dat netwerk.
Maar ook: goed personeel en goede netwerkvoorzieningen, zodat bijvoorbeeld patches op de juiste manier kunnen woorden verkregen en bijvoorbeeld decryptie van het netwerkverkeer zodat automatische zaken alles kunnen controleren.
Dat implementeer je met specialisten.
DPI is geen hogere wiskunde hoor….
DPI is patroonherkenning en metadata om firewall te assisteren, encryptie is hogere wiskunde en voor decryptie moet de client of server lief meespelen (al dan niet via CA).

Anders zouden TOR endpoints of überhaupt TOR niet interessant zijn.
Deep packet inspection is het daadwerkelijk kunnen uitlezen van de inhoud van een pakketje. Metadata van bijv SSL kun je ook zonder DPI wel loggen. Probeer maar eens met een pcap-bestandje. Of op een firewall die DPI ondersteunt. Daarbij kun je ineens filters toepassen op de *inhoud* van een packet.

[Reactie gewijzigd door DigitalExorcist op 4 juli 2022 18:56]

nee DPI is geen metadata, metadata zijn zaken als netflow. DPI is de inhoud van een pakketje.
Patroonherkenning is bijvoorbeeld matchen aan indicators of compromise, maar dat is een hele stap verder dan het daadwerkelijke decrypten. DPI is MITM. Zero trust is alle facetten van je security onder controle hebben zonder idiote uitzonderingen van beheerders en gebruikers. Geen beheerders die met een admin equivalent account software downloaden en testen op een server. DevOPS teams die op een heel ander netwerksegment zitten, omdat dat nodig is en een stuk veiliger dan dat ze aan de kroonjuwelen geknoopt zitten. Het zijn beroeps prutsers, maar dan moet je ze wel in hun kracht zetten en ze veilig laten doen waar ze goed in zijn.
Je zou eens youtube moeten bekijken m.b.t. malware dan hoop ik dat je wakker wordt als ze je manieren laten zien om de virusscanner te omzeilen.

Overigens als je TOR of bittorrent toelaat in je bedrijfsnetwerk, dan neem je je vak niet serieus.

Kies score Let op: Beoordeel reacties objectief. De kwaliteit van de argumentatie is leidend voor de beoordeling van een reactie, niet of een mening overeenkomt met die van jou.

Een uitgebreider overzicht van de werking van het moderatiesysteem vind je in de Moderatie FAQ

Rapporteer misbruik van moderaties in Frontpagemoderatie.



Op dit item kan niet meer gereageerd worden.


Nintendo Switch (OLED model) Apple iPhone SE (2022) LG G1 Google Pixel 6 Call of Duty: Vanguard Samsung Galaxy S22 Garmin fēnix 7 Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2022 Hosting door True

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee