Nieuws

Systeembeheerder gevaarlijkste werknemer

donderdag 12 juni 2008, 13:30 door Redactie, 10 reacties

Bedrijven die het slachtoffer van hackers worden hebben dit vaak niet door en horen meestal van derden dat er iets mis met hun beveiliging is. Verizon's Incident Response Team onderzocht 500 incidenten die tussen 2004 en 2007 plaatsvonden en waarbij 230 miljoen gegevens betrokken waren. Security mag dan bij veel bedrijven op de kaart staan, met de uitvoering is het erbarmelijk gesteld. Zo duurt het bij 63% van de bedrijven maanden voordat ze door hebben dat hun data gecompromitteerd is. Zeventig procent van de bedrijven moet van een derde partij horen, zoals klanten of banken, dat vertrouwelijke informatie gestolen is. Eenmaal ingelicht, duurt het bij de meeste bedrijven nog weken voordat ze het lek verholpen hebben. Slechts 37% weet het probleem binnen een aantal uur of dagen op te lossen.

Aanvallen door insiders komen minder vaak voor, maar zijn wel schadelijker. Een grote meerderheid van de aanvallen (73%) is afkomstig van externe bronnen, terwijl 18% het werk van eigen personeel is. Gaan externe hackers er gemiddeld met 30.000 gegevens vandoor, insiders weten gemiddeld 375.000 gegevens te compromitteren. In het geval dat werknemers de dader zijn, is het in de helft van de gevallen de systeembeheerder.

Van alle aanvallen komt 59% via hacking tot stand, waarvan 39% weer op de applicatie of service laag plaatsvindt. 23% vindt plaats op de laag van het besturingssysteem of platform. Dat bedrijven het voor hackers eenvoudig maken blijkt wel uit de manier van hacken. 90% van de exploits misbruikt bekende beveiligingslekken waar tenminste al zes maanden updates voor beschikbaar zijn. Patchen alleen is niet de oplossing, want 78% van de incidenten zou toch nog plaatsvinden, ook al waren de systemen 100% gepatcht.

Handhaving

Het onderzoek van Verizon geeft ook enkele tips voor het verbeteren van de situatie, zonder dat dit hoge investeringen met zich meebrengt. Het belangrijkste advies is dat bedrijven hun beveiligingsbeleid moeten handhaven. Verder is 83% van de netwerkaanvallen eenvoudig te voorkomen en kunnen bedrijven in 82% van de gevallen weten dat ze gehackt zijn, maar doen ze niets met de aanwezige informatie. Het komt er gewoon op neer dat bedrijven zich met de minimale standaard van beveiliging moeten bezighouden, zoals het actief monitoren van datalogs en het opstellen van retentieplannen, voordat men zich op complexe aanvallen richt.
afbeelding

Veilig internetten met Opera 9.5

Celstraf voor botnethulpje Nederlandse spyware-verspreider

Reacties (10)

12-06-2008, 13:56 door WhizzMan

Welke bedrijfsgroep is onderzocht? Waar is het onderzoek
gedaan? Dit zijn ongetwijfeld weer cijfers van een subset
amerikaanse bedrijven die totaal niet op de nederlandse
situatie van toepassing zijn.

12-06-2008, 14:05 door Anoniem

Of de werknemer (/systeembeheerder) een 'bedreiging' vormt hangt er af
van een goede scheiding van verantwoordelijkheden, en het bijhouden van
een audit trail, waarbij ervoor gezorgd dient te worden dat het beheer over
de systemen waarop deze logs worden opgeslagen niet in handen is van
dezelfde personen die de overige systemen beheren.

De meeste bedrijven hebben geen benul hoeveel er wordt gekopieerd op
usb sticks, externe schijven, via het netwerk en ga zo maar door. Laat staan
dat ze automatisch gewaarschuwd worden bij verdacht gedrag.

I.e. een werknemer, die bijna het bedrijf verlaat, kopieert opeens 100x
zoveel data op 1 dag vanaf de servers van het bedrijf i.v.m. historische
gegevens van de activiteiten met zijn account. Dan zou er toch een belletje
moeten gaan rinkelen, en zou men zich moeten afvragen wat deze
medewerker aan het doen is ?

12-06-2008, 15:13 door Anoniem

zolang een bedrijf goed omgaat met z'n medewerkers, zullen
de medewerkers in het algemeen ook goed zijn voor het bedrijf

12-06-2008, 15:23 door Anoniem

230 miljoen gegevens? mwhahaha, lekker secuur mannen!

12-06-2008, 19:05 door Anoniem

Welweer makkelijk om te pinpinten, blame the administrator
Uitspraak doet me beetje denken aan "the end-user blaming the computer"
Tuurlijk ben ik mee eens dat de beheerder eindverantwoordelijk is
Maar zet het dan ook meer in dit context
En dat "beheerders" teveel compromizen met security vindt ik ook weer
"taartje
gebakken lucht". Maar ja ...

... ook 1 van de waarschijnlijk "compromizing" beheerders

13-06-2008, 08:54 door Anoniem

"Aanvallen door insiders komen minder vaak voor, maar zijn wel schadelijker.
Een grote meerderheid van de aanvallen (73%) is afkomstig van externe
bronnen, terwijl 18% het werk van eigen personeel is."

Dit gaat linea recta in tegen alle artikelen die ik tot nu toe hierover heb gelezen.
Gaat het hier om het totaal aantal aanvallen, of alleen om de geslaagde
aanvallen? Insiders hebben al toegang tot applicaties etc, dus het ligt ook voor
de hand dat internen een groter risico vormen.

@Door Anoniem op donderdag 12 juni 2008 14:05

Scheiding van verantwoordelijkheden gaat voor systeembeheerders soms
niet op, juist doordat ze toegang moeten hebben tot een server om taken uit te
kunnen voeren. Een systeembeheerder moet juist applicaties kunnen
installeren, verwijderen, databases kunnen benaderen voor shrink/ backup/
migratie doeleinden/ ... etc. Dat maakt het juist zo lastig. Logging is een
reactief middel dat enorm veel moeite kost om goed bij te houden. Er komen
tal van vragen naar voren die een klein bedrijf niet kan beantwoorden:

- Hoe gaan we de logs bijhouden?
- Wie gaat de logs bijhouden/ doorlezen? Reserveer alvast maar 5 FTE,
afhankelijk van de organisatie grootte.
- Als we het automatisch gaan doen, waar gaan we op filteren? Ik kan je nu al
vertellen: "object access" monitoren gaat niet werken, doordat je in 10 minuten
100MB aan data hebt gegenereerd op een gemiddelde file server.
- Hoe slaan we logs veilig op?
- Selecteren we de "Overwrite when needed" (in Windows)? Bepaalde logdata
ben je dus op een gegeven moment kwijt. Hoe ga je daarmee om?
- Welke eigen monitoring regels maken we? Leuk om te monitoren dat een
beheerder 100x zoveel download, maar denk daarbij ook even aan het
volgende:

(1) Je hebt een baseline nodig voor alle systeembeheerders, voor alle
servers. Historische data voor 10.000 man of meer, hoe denk je dat je gaan
managen en benaderen? 10 extra SAN schijven erbij?
(2) Je moet geconcentreerd blijven, ook na 1000 false positives.
(3) Je moet bij iedere melding van de systeembeheerder waarbij hij zegt dat
hij een backup uitvoert gaan controleren of het allemaal wel klopt wat hij doet
en zegt.
(4) Uitvoeren van restores op systeembeheerder-eigen servers dien je in de
gaten te gaan houden (dat soort servers is namelijk een prima manier om
logging te omzeilen) en dat monitor je waarschijnlijk dan weer niet, juist
doordat MOM of wat voor monitoring software dan ook daar niet op staat.
(5) Je dient ook te gaan monitoren op tig andere dingen, waaronder MOM
agent stops/ starts, log verwijdering etc. Dit zal door de meeste bedijven wel
gedaan zijn, maar toch.
(6) ...

Kortom, logging is leuk en voor bepaalde wetgeving zelfs noodzakelijk, maar
hooglijk overschat als het aankomt op achterhalen van data diefstal.

13-06-2008, 11:13 door Anoniem

"zolang een bedrijf goed omgaat met z'n medewerkers, zullen
de medewerkers in het algemeen ook goed zijn voor het bedrijf"

Over het algemeen misschien wel, maar het gaat juist om de uitzonderingen.
En ook bij een bedrijf dat (zeer) goed omgaat met zijn medewerkers kunnen
fraude incidenten wel degelijk plaats vinden.

Wat dat betreft zijn een goede scheiding van verantwoordelijkheden, een
duidelijke audit trail en dat soort zaken altijd zinnig.

13-06-2008, 18:56 door Anoniem

Elk bedrijf is een afspiegeling van de MIJ en daarbij is dus een percentage
crimineel. Na wat schifting is het percentage wat lager maar er blijft altijd een
percentage crimineel.

Dus wat nou systeembeheerders? Het geldt gewoon voor elk bedrijf ook voor
managers dus.

En daar kunnen weer prachtige statistieken op los laten zoals de kans
op..crimineel zijn...allemaal theorie.

Neem je voorzorgsmaatregelen en zorg dat niemand god is en de security
maatregelen ook gemeten worden en met name het laatste daar schort het
veelal aan.

14-06-2008, 13:28 door Anoniem

Door WhizzMan
Welke bedrijfsgroep is onderzocht? Waar is het onderzoek
gedaan? Dit zijn ongetwijfeld weer cijfers van een subset
amerikaanse bedrijven die totaal niet op de nederlandse
situatie van toepassing zijn.

systeembeheerder zeker?

16-06-2008, 12:28 door Anoniem

Onderzoek ik gedaan door Verizon,
Kijk hier eens: http://www.vnunet.nl/nieuws.jsp?id=2586550

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Bitcoin:

Vacature

Junior DevOps Engineer

Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Ik moet ineens mijn portret in mijn Office 365 account stoppen, mag dat?

13-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik werk in de publieke sector bij een organisatie die tussen 500-1000 medewerkers heeft. Vandaag werden wij ...

32 reacties

Lees meer