De eindsprint, daar is hij weer! 📈

In deze tijd van het jaar kun je (misschien nog wel meer dan anders) je niet veroorloven dat de productie stil komt te liggen. Het is namelijk in aanloop op de kerstperiode, erg druk en het hele team zet zich maximaal in om de doelstellingen te halen.

De eindsprint voor hackers

Ook is het druk met cyberincidenten vanwege dezelfde reden. Juist tijdens deze eindsprint zijn mensen minder alert en zijn Phishing e-mails nóg succesvoller dan normaal. Daarnaast zijn er minder (IT-)medewerkers aanwezig waardoor de kans toeneemt dat een indringer ongezien zijn gang kan gaan.

Schuif jij cybersecurity vraagstukken op naar volgend jaar of doe je het dit jaar anders?

Wat jij kunt doen

Vraag jouw IT-partner om advies of neem met ons contact op. Er zijn genoeg dingen die je kunt doen dat minder tijd in beslag neemt dan jij wellicht denkt.

Zorg in ieder geval voor een goed alarmsysteem in het netwerk. Mocht er dan een hacker binnendringen, ben je daar snel van op de hoogte en kun je vaak een hack stoppen zonder dat dit effect heeft gehad op de productie.

Wat zijn jouw gedachten hierover?

Lees verder

Benieuwd wat jij nú kunt doen om dat alarm binnen 30 minuten geregeld te hebben? Lees dan hier verder.

Tip

Het is mogelijk om dit alarm te proberen. Dit kan volledig kosteloos en zonder automatische overgang naar een betaalde licentie. Meer informatie vind je op: www.securityhive.nl. Vang hackers vandaag nog!

Jouw cybersecurity strategie start bij een verbeterproces 📈

Steeds meer bedrijven zijn afhankelijk van digitale processen en steeds vaker komen -door cybercriminelen getroffen- bedrijven in de media. Tips om hiermee om te gaan zijn overal op het internet te lezen. Maar, wat helpt jou nu écht? In dit artikel beschrijf ik wat jij kunt doen om klein te beginnen en tóch grip te hebben op jouw bedrijfsprocessen.

Probability vs Impact

Risico + impact

Voordat je verder leest, stel jezelf eens de vraag: “Wat is de impact op het moment dat mijn bedrijf getroffen wordt door een cyberincident?” In dit scenario liggen alle digitale processen stil. Wat is dan jouw grootste probleem? Is dit de bedrijfscontinuïteit dat stilligt en fataal kan zijn voor het bedrijf? Of zijn het intellectuele eigendommen die niet openbaar mogen komen? Of is imagoschade het grootste probleem? Weerspiegel dit vervolgens tegenover het risico dat dit gebeurt. Werkt jouw bedrijf volledig digitaal, dan is de kans vele malen groter dan wanneer er traditioneel wordt gewerkt.

Heb jij inzichtelijk hoe kwetsbaar jouw bedrijf is? Zo ja, hoe oud zijn de gegevens waar je naar kijkt? Een ‘fotomoment’ van processen en techniek raken naar mate de tijd verstrekt, steeds meer achterhaald.

Inzicht als uitgangspunt

“Mijn bedrijf is nooit langer dan X aantal uren/dagen vatbaar voor grote risico’s” – zei niemand ooit. Hoe komt het dat er wel gesproken wordt over welke maatregelen er genomen moeten worden maar, dat er eigenlijk nooit grip is op echte risico’s?

Vaak komt dit omdat cybersecurity een specialisme is en erg complex. Met als resultaat dat de belangrijkste punten vaak vergeten worden. Hoe maak je dit nu eenvoudig vraag je? Denk niet in techniek maar, hou het simpel. Techniek is slechts een middel om iets te bereiken. Niets meer, niets minder.

Inzicht versus ruis

Hoe staat jouw bedrijf er eigenlijk voor? Start niet met het verbeteren van jouw beveiliging, als je niet weet welke risico’s jouw bedrijf nú op dit moment loopt. Inzicht is dus jouw startpunt. Inzicht in hoe het bedrijf ervoor staat en inzicht in wat er verbeterd moet worden.

“Data waar je niets mee kunt is ruis”

Is het inzicht van vandaag, over zes maanden nog actueel? Het antwoord is: Nee. Continu verandert er iets binnen de IT-omgeving. Het kan zijn dat een medewerker een netwerkpoort openzet (om tijdelijk een verbinding te kunnen maken) of dat er een softwareversie kwetsbaar blijkt en sinds vanmorgen op grote schaal misbruikt wordt. Inzicht is dus zo oud als de data waar je naar kijkt. Kijk jij naar verouderde data? Dan heb je geen inzicht maar ruis. Vulnerability Management is een middel om dit inzicht geautomatiseerd te krijgen. Meer hierover kun je lezen op deze pagina.

Grip

Nu je dit inzicht hebt verkregen. Is het tijd om te zorgen voor grip. Met grip heb jij controle over de situatie. Jij weet hoe het bedrijf ervoor staat, wat er moet gebeuren om bestaande maar ook nieuwe risico’s weg te nemen en meet dit continu. Eigenlijk lijkt dit al op een verbeterproces. Je kunt vandaag al beginnen!

Samengevat

De vraag: “Hoe staan wij ervoor?” kun jij iedere dag beantwoorden, jij weet wat er moet gebeuren om risico’s weg te nemen en meet ook hoe lang hiervoor nodig is. De eerste stap van jouw verbeterproces staat. Een volgende stap is een maximaal tijdsbestek of deadline hangen aan elk groot risico dat zich voordoet.

Klaar om hackers te vangen met honing? Lees dan dit artikel.

Tip: het is mogelijk om Vulnerability Management te proberen. Dit kan volledig kosteloos en zonder automatische overgang naar een betaalde licentie. Meer informatie vind je op: www.securityhive.nl.

😰 Twee cybersecurity incidenten die je hard (kunnen) raken..

Incident 1:

Vorige week dinsdagavond 21:03, de telefoon gaat. “Goedenavond Peter, waarschijnlijk is het niets, maar ik wil het toch even zeker weten.”.

Een klant belt nadat een melding van de Honeypot (techniek om hackers te detecteren) is ontvangen. Het kan wel eens voorkomen dat een monitoringstool deze raakt, maar altijd belangrijk om even te kijken.

Al snel heb ik door dat er iets vreemds aan de hand is. Gebruikersnamen die intern gebruikt worden en bepaalde bestanden waar naar wordt gezocht komen bekend voor, nadat de Honeypot dit heeft gedetecteerd. ⚠️

Het blijkt dat een ontslagen medewerker nog toegang had tot specifieke accounts en daarmee zocht op het netwerk van de klant.

Na de detectie, worden er snel maatregelen getroffen en kan eventuele schade voorkomen worden. In ieder geval huiswerk om het beleid eens te herzien.

Incident 2:

Vrijdagavond 23:58: een klant is bezig met gepland onderhoud van enkele systemen. De beheerder krijgt een SMSje 💬van SecurityHive . Een detectie op de neppe “domain controller” (Honeypot), afkomstig van een Remote Desktop Server. De beheerder logt direct in op het Dashboard van SecurityHive .

Met die informatie ontdekt hij dat een ransomware-aanval wordt uitgevoerd. Direct brengt hij het netwerk offline en begint met het registreren van acties en informeren van een collega. 🚨

Helaas is één server besmet geraakt en versleuteld, maar de andere systemen zijn bewaard gebleven door de vroege detectie van de Honeypot. Na een nachtje doorhalen en het terugplaatsen van een backup is de server weer online. Ondanks het incident gelukkig een hoop tijd en geld bespaard.

Vaak sneller dan een Endpoint Protection (EPP)

Dit zijn incidenten die zich echt voor hebben gedaan en die door ons zijn gedetecteerd. Vaak al eerder dan een Endpoint Security 🔒. Deze incidenten komen vaker voor en zijn niet beperkt tot een specifieke sector.

Kijk vandaag nog naar de maatregelen die jij hebt getroffen. 👀 Vroeg of laat wordt ook jouw netwerk aangevallen.

Heb ik jou donderdag aan de lijn om een incident te behandelen, of bel je liever met mijn collega Kevin Groen (010 – 200 1350) om dit voor te zijn? 📞 (uiteraard kun je ons ook spreken over andere zaken dan incidenten😉).

Tip:

Mocht je verder willen lezen over hoe jij hackers vangt met honing, lees dan hier verder.

Het is mogelijk om een Honeypot te proberen. Dit kan volledig kosteloos en zonder automatische overgang naar een betaalde licentie. Wil je meer informatie of een demo aanvragen, kijk dan op: www.securityhive.nl.

Vang hackers met honing! 🍯

Apache 0-day kwetsbaarheid webserver 2.4.49

Momenteel wordt een kwetsbaarheid in de webserver Apache met versie 2.4.49 actief misbruikt op het internet. Door deze kwetsbaarheid kan een webserver offline worden gebracht en kan toegang worden gekregen tot gevoelige informatie en bestanden.

Wanneer heb ik deze kwetsbaarheid?

Apache wordt door veel hostingproviders en bedrijven gebruikt om websites te hosten en beschikbaar te maken op het internet. De kwetsbaarheid is geïntroduceerd in versie 2.4.49 en opgelost in versie 2.4.50. Het is dan ook erg eenvoudig om niet meer kwetsbaar te zijn: update naar versie 2.4.50.

Wat betekent dit voor klanten van SecurityHive?

Klanten van SecurityHive draaien deze kwetsbare versie van Apache niet. Wij hebben direct na bekendmaking van de kwetsbaarheid onze klanten hierop gecontroleerd. Dit inzicht hebben zij verkregen door hun omgeving, servers en websites te scannen met onze Vulnerability Management oplossing.

Wat moet ik nu doen?

Stuur dit artikel door naar uw IT-afdeling of uw hostingprovider. Heeft u vragen of bent u nieuwsgierig of u vatbaar bent? Ga naar onze website en klik op het oranje bolletje rechtsonder in uw scherm. Daar kunt u direct met ons in contact komen, waarna wij uw server/website checken.

Meer informatie is te vinden op de website van het Nationaal Cyber Security Centrum (NCSC).

Hoe is de kwetsbaarheid ontstaan?

De kwetsbaarheid is in versie 2.4.49 geïntroduceerd als onverwachte bijwerking van een wijziging in de code van deze oplossing. Apache webservers die op een versie voor 2.4.49 draaien zijn niet kwetsbaar. Apache webservers die een lagere versie hebben, wordt aangeraden om direct te upgraden naar versie 2.4.50. Huidige gebruikers van versie 2.4.49 dienen zo snel mogelijk te upgraden naar versie 2.4.50.

Hackers vangen met honing

Het probleem bij bedrijven is dat zij simpel weg niet weten of zij gehackt zijn. Jij kunt dit wél weten en wel op een heel eenvoudige manier.

Met een ‘Honeypot’ beschik jij over een vangnet in jouw netwerk dat alarmeert bij de eerste fase van een hack; de verkenningsfase. Honeypot gebruikers zijn in staat een hack live te stoppen terwijl het gebeurt.

Een echt of nep apparaat?

Het grote voordeel is dat jij beschikt over apparaten in het netwerk, dat geen echte apparaten zijn. Bijvoorbeeld een access point of Windows server waarop een hacker kan inloggen en informatie kan vinden. Het voordeel is dat dit geen echte access point of server is waarmee iemand impact kan maken op jouw bedrijfsprocessen. Maar, een ‘apparaat’ dat alles over deze hacker vastlegt en meldt aan de beheerder. 

Hoe het werkt

Het primaire doel is een stil alarm afgeven zodra er een hacker binnen zit. Hierna start het spel om de indringer zo lang mogelijk af te leiden, informatie te verzamelen en te voorkomen dat hij/zij dieper in jouw netwerk komt.

Jij als held

In de tussentijd ben jij als netwerk- of systeembeheerder in staat, met de informatie en het advies van de Honeypot, een hack live te stoppen. Met als resultaat dat jij jouw bedrijf weerhoudt van een cyberincident. Ieder jaar gebeurt dit bij een X aantal van onze klanten met groot succes. Dit aantal loopt met de forse stijging van incidenten alleen maar op. Om erachter te komen waarom dit zo succesvol is, heb ik met ethische hackers gesproken. Om hen te citeren:

“Het is niet te doen om ongezien voorbij een Honeypot te komen. Om erachter te komen of iets een echt of nep apparaat is, moeten wij het eerst bekijken en onderzoeken. Dan is het al te laat. Omdat er weinig bedrijven zijn waar zo’n detectiemiddel zich bevindt, nemen wij vaak de gok dat deze er niet is. Mijn inziens dus een onwijs effectief middel waar ieder bedrijf zo snel mogelijk gebruik van moet maken.”

– Ethisch hacker –

Mocht je verder willen lezen over hoe jouw reactietijd gereduceerd kan worden met een hacker-detectiemiddel: lees hier verder.

Tip: het is mogelijk om een Honeypot te proberen. Dit kan volledig kosteloos en zonder automatische overgang naar een betaalde licentie. Meer informatie vind je op: www.securityhive.nl. Vang hackers met honing!

Ernstige kwetsbaarheid in Windows DNS Server

Microsoft heeft een update uitgebracht nadat beveiligingsonderzoekers van Check Point een ernstige kwetsbaarheid (CVE-2020-1350) hebben ontdekt in Windows DNS Server met een CVSS Score van 10.0. Vrijwel elke Windows Server is kwetsbaar, ook Windows Server 2016 en 2019.

De kwetsbaarheid is geclassificeerd als “wormable”. Dat betekent dat malware/virussen zich snel kunnen verspreiden, zonder interactie van een gebruiker of administrator. Doordat Windows DNS Server met verhoogde rechten draait, kan de aanvaller Domain Administrator rights verkrijgen. Hierdoor kan de gehele infrastructuur besmet raken.

Advies

De kwetsbaarheid is al langere tijd aanwezig, maar het lijkt er op dat deze nog niet is misbruikt. Nu dit naar buiten is gekomen, is het belangrijk dat snel actie wordt ondernomen. Aanvallers kunnen nu namelijk ook starten met het ontwikkelen van scripts die de kwetsbaarheid misbruiken.

Om de kwetsbaarheid op te lossen, raadt Microsoft aan om de laatste Windows Updates uit te voeren. Er zijn ook adviezen om een workaround toe te passen, maar de update is de meest effectieve/betrouwbare manier.

Link naar advies Microsoft: Klik hier

Link naar onderzoek Check Point: Klik hier

Misbruik en aanwezigheid detecteren

Het is geen garantie dat er geen misbruik is gemaakt van de kwetsbaarheid. Dit is wel belangrijk, omdat met Domain Administrator rights veel mogelijk is in de infrastructuur.

De Honeypot en Network Vulnerability Scanner komen hier goed van pas. De Network Vulnerability Scanner alarmeert wanneer kwetsbaarheden in het netwerk zijn gevonden. Als detectie van de kwetsbaarheid nog niet mogelijk is, is de Honeypot daar als vangnet om misbruik te detecteren en schade te beperken.

Veilige email met ondersteuning DNSSEC en DANE in Microsoft Office 365

Goed nieuws! De kans is groot dat je veiliger gaat emailen en ontvangen. Veel bedrijven maken gebruik van Office 365 (binnenkort Microsoft 365). Het is een eenvoudige en krachtige oplossing voor bedrijven en organisaties. Microsoft heeft aangekondigd om nu ook DANE en DNSSEC te gaan ondersteunen. Wat is DANE en DNSSEC nu eigenlijk?

DANE heeft twee grote voordelen die ook verplicht zijn voor overheidsorganisaties. Het protocol dwingt een beveiligde verbinding (STARTTLS) af tussen mailservers en geeft zekerheid over de identiteit van de ontvangende mailserver. Dat betekent dat als je een email verstuurt dit ten eerste over een beveiligde verbinding gaat (vanaf de mailserver naar de ontvanger). Ten tweede zorgt DANE dat de mailserver van de ontvangende partij ook echt de juiste mailserver is. Zo kunnen hackers niet tussen de server van de afzender en ontvanger zitten en emails onderscheppen.

DNSSEC is een belangrijk onderdeel in dit proces. Het zorgt ervoor dat de DNS-informatie betrouwbaar is. Weet je niet (helemaal) hoe DNS werkt? Klik hier voor meer informatie. DNSSEC voegt een controleerbare handtekening toe aan de DNS-informatie. Zo kan een aanvaller het verkeer niet omleiden door in jouw netwerk valse DNS-informatie te tonen.
Een eenvoudige uitleg over DNSSEC vindt je op de website van SIDN.

Benieuwd hoe de beveiliging van de emailserver in jouw organisatie geregeld is? Neem contact op met ons!

Bart Knubben (Adviseur internet- en beveiligingsstandaarden) van Forum Standaardisatie heeft een standaard opgesteld welk in te zien is op deze site.

Thuiswerken tijdens Corona (gratis advies)

Veel bedrijven laten hun medewerkers thuis werken tijdens de Coronacrisis. De situatie is uiteraard te betreuren, maar tegelijkertijd een “goed moment” om te kijken hoe een bedrijf reageert in zo’n situatie.

1. Wat als ik om reden X niet meer op kantoor kan werken?
2. Blijft mijn bedrijf doordraaien, is de bedrijfscontinuïteit gewaarborgd?
3. Hoe blijf ik productief?

De mogelijkheid om thuis te werken door middel van Microsoft Remote Desktop of Citrix (Online werkplek), of door middel van diverse tools zoals Microsoft Teams, Zoom en Skype geeft in veel situaties een antwoord op bovenstaande vragen. Tegelijkertijd komen er een aantal andere vragen naar boven:

1. Hoe zorg ik er geen documenten lekken die lokaal worden opgeslagen?
2. Hoe houd ik overzicht over de beveiliging van mijn infrastructuur, datastromen en apparaten?
3. Wat doe ik als ik nu gehackt wordt en alles platgelegd wordt?

Allemaal goede vragen en op alle vragen is een goed antwoord mogelijk. Niet alleen in deze tijd, maar ook nu denken wij en onze partners graag mee hoe dit van invloed is op uw organisatie. Neem volledig vrijblijvend contact met ons op via de contactpagina of de chat rechtsonder.

Wij zullen dan vrijblijvend met u meedenken en u in een adviesoverzicht of kort online gesprek antwoord geven op deze vragen, volledig vrijblijvend, zonder verkoopinitiatief.

Vandaag ben je veilig, morgen te laat

De hackers van Universiteit van Maastricht waren meer dan 2 maanden in het netwerk aanwezig, ongezien! Zelfs na een melding van de anti-virus, duurde het nog meer dan een maand tot zij werden gedetecteerd door de systeembeheerders.

Kostbare tijd waarin veel data kan worden gelekt en schade kan worden toegericht! Zo hebben we dit niet alleen bij de Universiteit van Maastricht gezien, maar ook bij andere incidenten (groot en klein).

Zo blijkt dat het hebben van enkel preventieve maatregelen niet voldoende is. De hackers hebben toegang gekregen door een phishingaanval en servers met verouderde software.

MORGEN BEN JE TE LAAT

Het nemen van preventieve maatregelen, het opzetten van awareness-sessies en het doorvoeren van updates is erg belangrijk en voorkomt een hoop ellende. De realiteit is echter dat dit niet altijd goed of volledig wordt uitgevoerd. Ben je vandaag up-to-date/”veilig”? Morgen kan het opeens heel anders zijn. 

Dit zagen we ook met Citrix-incident. Een kritiek lek werd gevonden in de software en na enige tijd werden hier patches voor uitgebracht. Systeembeheerders dachten veilig te zijn met deze patches, maar ook die bleken niet voldoende te zijn.

EEN UI

Om je goed te beveiligen. zorg je dat je securitymaatregelen uit meerdere lagen bestaat. Veel mensen vergelijken dit met de lagen van een ui. Je moet door veel verschillende lagen heen om bij de kern te komen. Op elke laag is een maatregel om te worden tegengehouden. Dat betekent dat je een firewall nodig hebt, een anti-virus, je awareness-sessies bijwoont, updates doorvoert, maar zo ook een maatregel hebt voor wanneer iemand door de lagen heen is: een Honeypot.

Een Honeypot is als het ware een lokdoos voor hackers. Wanneer je maatregelen hebben gefaald, is de honeypot daar om je te waarschuwen dat iemand binnen is gekomen en op zoek is naar kwetsbare systemen. Zo heb je meer tijd om te reageren en kan je verspreiding van ransomware en virussen voorkomen. Hierdoor heb je geen (gemiddeld) 6 maanden nodig, of 2 maanden in dit voorbeeld, om een hacker te ontdekken, doordat al je systemen offline zijn.

VANDAAG BEN JE VEILIG

De Honeypot van SecurityHive is eenvoudig om te installeren en beheren. Het is een eenvoudige en effectieve oplossing om hackers te detecteren en schade te beperken, voor alle bedrijven. Ook voor IT-dienstverleners is het interessant om met deze oplossing klanten beter te beveiligen en meer maatregelen te kunnen treffen. Lees meer over de Honeypot van SecurityHive: https://www.securityhive.io/nl/producten/honeypot

Citrix omgevingen zijn kwetsbaar ondanks maatregelen

Misschien heeft u de afgelopen dagen gelezen over de kwetsbaarheden die zijn gevonden in Citrix (Citrix ADC en Citrix Gateway, ook wel bekend als Citrix Netscaler). Hierdoor kan een aanvaller toegang krijgen tot het netwerk en de online werkplek. De kwetsbaarheid wordt ingeschat op 9,8/10 qua ernst. Het is daarom belangrijk dat u snel actie onderneemt, als u Citrix gebruikt.

Er zijn nog geen updates/patches beschikbaar om dit lek te dichten. U bent dus kwetsbaar als u geen mitigerende maatregelen neemt. Zojuist is bekend geworden dat u ook kwetsbaar bent, als u reeds de door Citrix aanbevolen maatregelen heeft getroffen en versie 12.1 (builds voor 51.16/51.19 en 50.31) gebruikt.

Een serieuze overweging kan daarom zijn om uw Citrix servers uit te schakelen, tot een oplossing beschikbaar is. Bepaalde overheidsinstellingen, gemeenten en bedrijven hebben reeds hun Citrix servers uitgetroffen, met veel ongemak tot gevolg. Dit is een drastische maatregel, maar kan nodig zijn, rekeninghoudende met de ernst en invloed van de kwetsbaarheid. Er zijn inmiddels zelfs exploits beschikbaar om de kwetsbaarheid te misbruiken.

Een andere oplossing kan het reguleren van het dataverkeer zijn. U kan hierbij bepaalde IP-adressen of IP-ranges toestaan en al het andere netwerkverkeer blokkeren. Hierbij kan u uw medewerkers door laten werken, terwijl zij gebruik maken van bijvoorbeeld een VPN-verbinding. Belangrijk hierbij is dat de kwetsbaarheid alsnog misbruikt kan worden, als het apparaat van uw medewerker besmet is.

Het NCSC volgt de ontwikkelingen op de voet. Meer hierover kan u lezen op de volgende pagina: https://www.ncsc.nl/actueel/nieuws/2020/januari/16/door-citrix-geadviseerde-mitigerende-maatregelen-niet-altijd-effectief

Wilt u meer weten hoe SecurityHive u hierbij van dienst kan zijn, of hoe de Honeypot in deze situatie kan helpen? Neem dan contact met ons op.