Flink ingekort (en de tweede 16 in 17 veranderd):
Laatst bijgewerkt: 18-10-2016, 20:41 door SecGuru_OTX: [...]
Hier een overzicht om succesvolle Ransomware aanvallen te voorkomen:
1. Applicatie whitelisten
2. user rechten
3. Internet met admin rechten
4. RDP
5. Extensies van e-mail bijlages blokkeren
6. Show file extensions
7. Block TOR
8. Gebruik een Adblocker
9. Uiteraard altijd up-to-date software....
10. Maak gebruik van een Anti Malware/Anti Exploit product
11. Firewall met url/webfiltering die vooral focused op connecties die van binnenuit worden opgezet
12. Macros
13. IPS
14. Firewall met Threat Prevention techniek en meerdere threat intelligence feeds
15. Sandbox techniek
16. DNS
17. Vulnerability management
Dank namens alle geïnteresseerden voor jouw inzet om zo'n stuk te schrijven, met duidelijk veel meer maatregelen dan te vinden in de link van Anoniem 18-10-2016, 23:14! Maarrrr... daarin staat wel backup en die ontbreekt in jouw lijstje, en juist het ontbreken van een werkende backup is er vaak de oorzaak van dat men zich genoodzaakt ziet om te betalen.
Ik stel de volgende aanvullingen voor:
0. Backup! Bij voorkeur heb je, naast een courante backup, altijd een betrouwbare backup van 1 week, van 2 weken en van minstens 1 maand oud.
18. Zorg dat in e-mail clients altijd (ook) het SMTP e-mail adres wordt getoond.
19. Implementeer SPF, DKIM en DMARC op je ontvangende mailserver. Reken je niet rijk daarmee, want:
- veel afzenders gebruiken het nog niet of niet goed, waardoor hun SMTP afzenddomein vervalst kan worden;
- jouw gebruikers moeten er heel goed op letten dat niet (een klein beetje) wordt afgeweken van het gebruikelijke afzenderdomein (wat sowieso alleen mogelijk is als gebruikers regelmatig mail ontvangen uit dat afzenderdomein).
20. Overweeg ook om SPF, DKIM en DMARC te implementeren voor uitgaande mail om het criminelen iets lastiger te maken zich voor te doen als iemand uit jouw domein.
21. User awareness. Leer gebruikers dat het niet-SMTP deel van een From: e-mail adres
altijd en doodsimpel vervalst kan worden, en het SMTP-deel vaak (als SPF+DKIM+DMARC ontbreken of daar iets niet bij klopt) - maar
altijd door het SMTP-deel ietsje te wijzigen (Pietje.Puk@gmail kan heel iemand anders zijn dan PietjePuk@gmail of Pietje.puk@hotmail).
En leer ze daarnaast dat e-mail accounts wel eens gehacked worden, waardoor de afzender wel kan kloppen maar iemand anders aan de knoppen zat. Met name medewerkers van de afdeling financiën moeten procedures hebben, kennen en toepassen als zij via e-mail een verzoek "van de baas" o.i.d. krijgen om geld over te maken, of als een "grapjas" aankondigt dat een bankrekeningnummer van een leverancier of werknemer is gewijzigd. Train gebruikers om argwanend te zijn bij het lezen van e-mail, vooral als de mail nauwelijks informatie bevat maar in plaats daarvan naar een bijlage verwijst of vraagt om op een link te klikken. Toon ze courante voorbeelden van phishing mails.
22. Blokkeer de uitvoering van Flash in Office documenten (dat kan een probleem zijn in Powerpoint presentaties, maar verder heb ik daar nog nooit een toepassing voor gezien). Zie de eerste aanvulling onderaan deze bijdrage voor meer info.
23. Als het mogelijk is, blokkeer dan Flash helemaal, zie [1].
[1]
https://www.security.nl/posting/437593/Eerste+beveiligingsupdates+voor+Windows+10+al+uitgerold#posting43765324. Als het mogelijk is, verwijder Java of blokkeer deze in webbrowsers.
25. Beperk schrijfrechten op shared files zoveel mogelijk. De meeste files horen nooit meer te wijzigen, zeker niet bij goed versiebeheer.
26. Archiveer. Zet zelden nodige bestanden met vertrouwelijke informatie op een off-line medium (en zorg voor, eveneens offline, backups daarvan). Zorg dat wel bekend is dat die bestanden bestaan en hoe gebruikers ze kunnen benaderen.
Zo kan ik nog wel even doorgaan, maar ik heb nog meer te doen vandaag ;)
Aanvulling 19-10-2016, 10:43
Killbits voor Flash in Office (let op spaties: in de key 1 tussen "COM" en "Compatibility", en in de value name 1 tussen "Compatibility" en "Flags"):
Key: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\Common\COM Compatibility\{D27CDB6E-AE6D-11CF-96B8-444553540000}
Value: Compatibility Flags (type DWORD) = 0x400 (1024 decimaal)
Op 64bit machines moet je dezelfde value ook aanmaken onder:
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Office\Common\COM Compatibility\{D27CDB6E-AE6D-11CF-96B8-444553540000}
Nb. verderop in
https://technet.microsoft.com/en-us/library/security/ms16-064.aspx staat een "/" tussen COM en Compatibility, dat moet echt een spatie zijn. En bovendien ontbreekt daar de vermelding dat je ook in dit geval een Wow6432Node regel moet aanmaken op 64bit systemen.
Aanvulling 19-10-2016, 12:54
Meer info over het beveiligen van Office vind je in "Plan security settings for ActiveX controls for Office 2013" [2], "MS12-027: Enhanced protections regarding ActiveX controls in Microsoft Office documents" [3] en "Security Settings for ActiveX controls and OLE objects in Office 2003 and in the 2007 Office suite" [4]. In die pagina's staat er overigens wel een spatie (i.p.v. een "\") tussen "COM" en "Compatibility".
[2]
https://technet.microsoft.com/en-us/library/cc179076.aspx[3]
https://blogs.technet.microsoft.com/srd/2012/04/10/ms12-027-enhanced-protections-regarding-activex-controls-in-microsoft-office-documents/[4]
https://support.microsoft.com/en-us/kb/2252664