Ict uitbesteed en op afstand gezet bij een bekende grote 3 letterige international. Dan is alles opnieuw uitrollen in 10 dagen ineens een haalbaar iets.

MSFT is vier letters! Een, twee, drie, vier.

Uitbesteed aan IBM die doen het ict werk, datacenter etc. Ik tel echt 3 letters. Zo'n beetje als bij UWV en ABN (de bank).
Je moet de wereld vanaf de top een beetje begrijpen.
ICT is lastig niet de core business. Met dwasliggende figuren, nerds, kun je het beter buiten de deur zetten. Nadeel is alleen het kostenaspect het moet snel en goedkoop.

Met Maersk zie je een voordeel. Met zo'n grote dienstverlener is er snel daadkracht te mobiliseren. Elk nadeel heeft zijn voordeel.

IBM is er open in, voor de ongelovigen:
https://www-03.ibm.com/press/us/en/pressrelease/7432.wss

Uit de nieuwe analyse van Microsoft blijkt dat patchen niet hielp (en nog steeds niet helpt) want verspreiding vond in verreweg de meeste gevallen plaats via credential theft en/of pass-the-hash aanvallen (met van mimikatz afgeleide code).

Uit die nieuwe analyse: WTF? "The good news here" is dat als je in "credential theft defenses" had geïnvesteerd, je wellicht een voordeel had gehad? En waar koop ik die dan, bij third parties of zo?

Ben ik de enige die een structurele Microsoft oplossing mist in deze "nieuwe analyse"?

Met de in Windows ingebouwde legacy technieken van cached credentials, impersonation en pass the hash kan een aanvaller veel te simpel niet-of-nauwelijks ingeperkte privileges op remote systemen verkrijgen. Ik moet nog zien dat Microsoft's laatste lapmiddelen daarvoor (uitsluitend beschikbaar in de allerlaatste enterprise versies van Windows - en met bijwerkingen) het aantal toekomstige slachtoffers serieus gaat beperken.

Ik mis een gedegen security by design ontwerp.
Password file met admin rechten en alle password less Keys is o zo handig in dagelijks gebruik en o zo handig voor de blackhat Hacker. Met een air van een veilig os heb je standaard een open backdoor door slechte praktijken.
Met een redhat gebeuren is het nog steeds dweilen als je de basis niet goed doet.

IBM is jouw ex werkgever?

Waarom doet Microsoft dit niet, om problemen bij haar klanten te voorkomen? Ze zullen het wel te duur vinden, of te veel moeite. Ook is het goed mogelijk dat ze het gewoon niet kunnen, omdat hun software in de basis verkeerd is opgezet en ze compatibel moeten blijven met eerdere versies. Catch-22 in dat geval.

Dat laatste, maar ook gebruiksgemak.

Er is in de laatste Windowsversies veel aan gesleuteld waar ik niet alle detals van ken, maar in de basis speelt o.a. het volgende:

1) Cached credentials. Als je met een AD account inlogt en er is geen AD controller (bijtijds) bereikbaar, is het de default dat je toch gewoon kunt inloggen (l33t is dat je daardoor gewoon kunt inloggen als je de netwerkstekker uit je PC trekt nadat je account in AD is geblokkeerd). Ook op AD gekoppelde computers wordt dus een lijstje met inloggegevens van de laatste N (ik meen 10 of zo) AD gebruikers bijgehouden (naast lokale accounts, maar tenzij daar accounts met dezelfde naam en password tussenzitten, kun je daarmee niet inloggen op andere netwerk-gekoppelde computers).

Dit is essentieel voor gebruikers met AD accounts met notebooks buiten het pand, maar anders vooral een risico - omdat in elk geval een (zwakke, eenvoudig kraakbare) hash van het wachtwoord wordt opgeslagen (PtH risico, daarover zo meer), maar soms ook het plain-text wachtwoord zelf. Bij veel organisaties zijn, ook op PC's van eindgebruikers, in dat lijstje de credentials van minstens 1 Domain Admin te vinden (de kroonjuwelen voor een aanvaller).

2) PtH (Pass the Hash). Als je vanaf een PC verbinding maakt met een remote systeem, stuurt Windows (tenzij noodzakelijk) niet jouw wachtwoord, maar de hash van jouw wachtwoord over het netwerk (ik ken de laatste details niet, maar daar zit vast/hopelijk wel een challenge-respond systeem bij waardoor een aanvaller die de netwerkverbinding afluistert niet simpelweg "replay-attacks" kan uitvoeren). Dit mechanisme is de basis voor SSO (Single Sign On, je hoeft maar 1x in te loggen door naam en wachtwoord in te voeren), zonder dat jouw wachtwoord zelf hoeft te worden opgeslagen. Helaas is daarmee de hash van jouw wachtwoord net zo waardevol als jouw wachtwoord zelf (alhoewel kraken van Windows wachtwoordhashes in de meeste gevallen een peuleschil is).

Kortom, SSO is zeer ver doorgevoerd in Windows en (bijna) alle applicatiesoftware voor organisaties gaat hiervan uit. Helaas kan "dankzij" SSO elke PC in een netwerk de zwakste schakel vormen. Want als een aanvaller 1 PC weet te compromitteren, kan zij (m/v) sowieso als de ingelogde gebruiker andere computers benaderen. En als het haar lukt om cached credentials te pakken te krijgen, is het helemaal lekker wandelen - vooral als daar de nog werkende (pw ondertussen niet gewijzigd) creds van een domain admin tussen zitten. En aangezien privilege escalation vulnerabilities in Windows voor het oprapen liggen (en omdat Microsoft deze qua risico relatief laag inschaalt, verwacht ik niet snel verbetering) is ook dat zelden moeilijk.

Mocht MS-bot-karma4 mekkeren dat andere besturingssystemen die SSO en cached creds ondersteunen net zo kwetsbaar zijn: ja. Overschakelen daarop is dus geen oplossing voor dit probleem, en die oplossing binnen Windows is dus noodzakelijk - desnoods tegen inlevering van gebruiksgemak.

Microsoft geeft advies over security inrichting
NIST geeft advies over security inrichting
NCSC geeft advies over security inrchting. Er is een open standaard https://www.noraonline.nl/wiki/Beveiligingspatronen

De dwarsliggers voor gedegen security zijn de open source voorvechters die verder nergens een boodschap aan hebben, gebrek aan normen en waarden tonen, gebrek aan ethiek tonen.
Het enige wat ze dwars zit is dat niet iedereen hun geloof klakkeloos en kritiekloos overneemt.

En een bitwiper het succes van windows met SSO is omdat ze dat deel beter doen dan Unix/Linux.
Je hebt of een onbeheersbare chaos in het Linux veld dat je buiten de deur zet, of je gaat het proberen te koppelen aan AD met Samba SMB etc. Het gebreke aan segmentatie service accounts is in de Linux wereld gangbaar met de nerds beheerders. Onder Windows krijg je wel response van de dienstverlening.
Je frustratie op het eigen gebrek botvieren als iets wat anderen niet mogen noemen is behoorlijk zwak.

Nope.
Ik zie en heb gezien hoe het hele spel van aanbesteden inkoop overname uitbesteden gespeeld wordt.
Kosten als hoofdthema met korter termijn doelen. Kwaliteit en lange termijn zijn te vermijden zaken.
Als je weet hoe dat werkt kun je dat makkelijker herkennen en ook de referenties ter onderbouwing daarvan terugvinden.

De link van de overname ICT Maersk kun je zo controleren. Voor de meeste grote bedrijven en organisaties gebeurt zoiets al kan je dat niet altijd terugvinden. Uiteindelijk zie je de situatie van moegestreden goedwillenden, de saboteurs met hun eigen geloof en managers die alleen maar aan het reorganiseren gaan omdat het anders moet maar niemand weet hoe het anders zou kunnen.

ROFL! Microsoft die advies geeft over security? Aan anderen? Laat ze eerst eens beginnen om hun eigen bagger te beveiligen en verbeteren (dat beretrage, belabberde, rebootende, update mechanisme bijvoorbeeld).


ROFL! Microsoft en open standaarden? Dat hebben ze altijd en overal tegengewerkt!

... goede beveiliging van accounts en credentials zit niet primair in techniek, maar in people & process: de mensen en hoe ze zich gedragen. Daar heeft Microsoft al jaren geleden echt goede documentatie over gepubliceerd:

Securing Privileged Access
https://docs.microsoft.com/en-us/windows-server/identity/securing-privileged-access/securing-privileged-access

Het lastige hierbij alleen is dat het geen simpel technisch ding is. Bedrijven investeren liever/makkelijker een paar ton in een nieuwe firewall om zich veiliger te *voelen*, dan dat ze de strijd aangaan met hun eigen mensen en processen...