image

Sterke stijging van aantal gemelde kwetsbaarheden bij NCSC

woensdag 13 juni 2018, 14:38 door Redactie, 5 reacties

Het aantal kwetsbaarheden dat het afgelopen jaar bij het Nationaal Cyber Security Centrum (NCSC) werd gemeld is sterk toegenomen. Meldingen van cybersecurity-incidenten namen daarentegen af. Van mei 2017 tot en met april 2018 ontving het NCSC 1140 meldingen van beveiligingslekken.

In de vorige rapportageperiode ging het nog om 194 meldingen, zo staat in het vandaag verschenen Cybersecuritybeeld Nederland (CSBN). Volgens het NCSC kan de toename worden verklaard door een substantiële toename in het aantal meldingen vanuit het buitenland, voornamelijk uit India. Een aantal van deze melders liet weten dat het melden van een kwetsbaarheid en het ontvangen van een beloning daarvoor, vaak een T-shirt, een manier is om hun cybersecuritykennis richting potentiële werkgevers te bewijzen.

De meerderheid (93 procent) van alle meldingen heeft te maken met een kwetsbaarheid in een website, een webapplicatie, of infrastructuur waarop webapplicaties draaien. Het gaat dan bijvoorbeeld om zwakke TLS-parameters, cross-site scripting (XSS), SQL-, XML- en HTML-injectie en informatielekkage. Slechts 4 procent van alle meldingen heeft te maken met con?guratiefouten in hard- en software. Ook kwetsbaarheden in software of hardware (exclusief webservers en -applicaties) worden weinig gemeld.

Incidenten

Het NCSC ondersteunt de rijksoverheid en organisaties in vitale processen bij het afhandelen van cybersecurity-incidenten. Zo worden incidenten en kwetsbaarheden bij het NCSC gemeld en worden deze ook zelf door de organisatie geïdentificeerd, bijvoorbeeld op basis van diverse detectiemechanismen en eigen onderzoek. In de afgelopen rapportageperiode werden er in totaal 358 incidenten gemeld, ongeveer 30 per maand. Een jaar eerder ging het nog om 429 incidenten. Vergeleken met vorig jaar zijn de grootste verschillen te vinden in het aantal meldingen over phishing (20 procent afname) en malware infecties (30 procent).

Volgens het CSBN is de afname mogelijk te verklaren doordat organisaties basale incidenten minder melden, omdat deze als "going-concern" worden beschouwd. Daarnaast zorgt de Wet gegevensverwerking en meldplicht cybersecurity (Wgmc) ervoor dat bepaalde organisaties geen incidenten meer bij het NCSC melden, aangezien hierdoor de doelgroepen zijn verscherpt. Per 1 januari 2018 zijn organisaties binnen de vitale infrastructuur verplicht om ernstige digitale veiligheidsincidenten te melden bij het NCSC. Er zijn in de rapportageperiode geen meldingen gedaan in het kader van de meldplicht Wgmc.

Reacties (5)
13-06-2018, 16:13 door Anoniem
Haha enjoy NCSC! Er zijn wel wat goede Indiase bug hunters maar helaas ook erg veel met een dramatisch kennis niveau. Wat voor dingen die soms melden is wel hilarisch (openbaar op HackerOne). Het is alleen te hopen dat ze aan de goede kant blijven anders komen er nog veel zwarte hoedjes bij.
14-06-2018, 08:10 door Anoniem
Misschien moet het NCSC de eerste triage van al deze meldingen in de markt uitzetten. Ik weet zeker dat Zerocopter, hackerone of bugcrowd dit wel kunnen overnemen. Dan kan het NCSC haar tijd nuttiger besteden ipv de zoveelste bullshit "Hello I find XSS t-shirt pls" melding af te handelen.
14-06-2018, 10:55 door Anoniem
Wij hebben ook een aantal meldingen via dergelijke clubs gekregen. De kwaliteit is niet hoger dan als ze het rechtstreeks bij ons melden. En ja, wij zagen in februari ook een toename. In 1 week 3 keer zo veel als normaal in 3 maanden. (2017: 30, 2018 Q1: 60)

Wij geven geen t-shirts (of andere zaken) maar plaatsen hun naam, als ze hier toestemming voor geven, in onze Hall of Fame op de website. Sommigen vinden dat nog fijner, omdat ze hun potentiele werkgever hier naar kunnen verwijzen.

Sommigen bekennen dat ze er geen verstand van hebben:
i am not much aware of technical details associated with this issue but would love to know how this is happening

Maar soms zitten er best wel leuke zaken tussen.

Peter
14-06-2018, 11:23 door Anoniem
NCSC is dramatisch. Heb je wel eens gekeken naar de vulnerability database die zij online zetten? 2700 pagina's met dan 5 meldingen waarvoor je eerst anderhalf scherm moet scrollen. En ze geven kans en impact, maar niet het severity level uit de CVE. Wie bedenkt zoiets?

Het lijkt erop dat zij hun eigen bestaan rechtvaardigen door te zeggen: kijk we informeren Nederland middels deze uitgebreide database van alle bedreigingen en zijn hierin volledig. In plaats van een sanity check te doen wat nu wel en niet relevant is. Als ik geen Drupal sites beheer, dan hoef ik nooit Drupal meldingen te zien. Ach ik heb ze diverse verbeteringen gemaild, maar niet eens antwoord gehad.

Cyber Prutsers.
14-06-2018, 15:00 door Anoniem
NCSC is een politiek orgaan met veel lagen management -> glossy folders / white papers met weinig inhoud en weinig echt goeie toppers op de werkvloer (heeft met centjes te maken, maar ook met de illusie in NL dat een HBO goed genoeg is voor zo een ondergeschikte tov management taakjes).

luistert eens naar deze man:


https://www.youtube.com/watch?v=3JHdgZsqqVE
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.