Typisch om te zien dat De 'security experts' lliever niet willen kijken naar wat er mis is, terwijl 't voor hun neus te vinden is.
Dan met tekst en uitleg, even iets verder kijken dan te korte neus boven de lange tenen ;-)
Zo te zien is de Externe partij voor die sollicitatie procedure een organisatie die niet volgens AVG werkt, en NCSC daarmee ook niet, en MinVenJ ook niet, enz.
Ze vragen onnodige info, ze delen data met beruchte google & co, ze hebben de servers zeer laks beveiligd, en slaan zeer gevoellige info op die gebruikt zou kunnen worden om NCSC medewerkers te S.E.'n.
Zo is het Engelse NCSC(GCHQ) een paar maanden geleden al tegrazen genomen, wat niet verbazend is, want ons hollansche NCSCtje heeft ze 'advies' gegeven => Mono-Cultuur.
Verder verstrekt 't NCSC een en ander aan leidraden enz, daar zou men toch in moeten willen zetten dat het gebruik van inherent kwetsbare systemen (zoals eigen MinVenJ Microsoft Exchange servers [ms16-108 .. CVE-2018-8154.. etc..etc..] ) zeer sterk moet worden afgeraden, (als is 't maar omdat die na meerdere meldingen de afgelopen 10 jaar, nog steeds interne data naar buiten lekken). En... in de BIR & BIG en dergelijke documenten ook voorschriften er over. (als men niet in bed zou wippen met mickeysoft)
---**********----
"Gewoon een paar basis principes Handhaven, zodat aanvallers gewoon helemaal geen "foothold" meer Kunnen krijgen, en ook data-lekken uitgesloten worden."
> Lol. Als iemand jou zou vragen dat te doen, dan is 100% zeker dat jij dit niet waar zou kunnen maken. Iemand met daadwerkelijk inhoudelijke kennis die schrijft niet dit soort warrige onzin.
---~~~~~~~--->>>>>
!!! En daar zit nu juist de crux.. ;-)
Men maakt als 'security services verkopers' graag anderen wijs dat het "niet mogelijk" zou zijn om een goed beveiligde omgeving in te richten.
= Maaar als je gewoon de (~500 B.C. al beschreven) veiligheid basis principes handhaaft is het niet moeilijk.
+ Beginnen met het K.I.S.S principe. Dus met een OS dat niet inherent eindeloos vol mogelijke wegen naar gaten zit door over-complexe wildgroei structuren.
+ Het KISS type OS dan niet open en bloot laten met de internet services software er in verweven, maaar die services in losse Thin-Jails stoppen waar geen andere functies/apps bij in zitten. Zodat die services (als er iemand nog toegang toe weet te krijgen) geen enkele toegang hebben tot al die handige tools en functies van het OS om verder te komen. En!.. zodat er direct gedetecteerd kan worden door een standaard sec monitoring daemon als een Service ook maar iets anders probeert te doen dan wat de bedoeling is. "Deep Hardening 101"
+ Daar basis principes beveiligde service software op, (dus Geen PHP, ASP of dot Net, Java, enz.. = DevOps nerds speelgoed), maar gewoon iets wat door een strikte compiler heen is gegaan en puur en alleen machine code is, Zonder al die extra framework functionality die de app niet Nodig heeft. Een beetje moderne C++ compiler kan er voor zorgen dat ook stack/buffer overflow en wat andere exploit technieken gewoon onmogelijk worden, en een code-check tool haalt er de meeste andere security fubar's er ook nog uit als de programmeur er geen rekening weet van heeft. ( en ook geen onnodige service vendor en version informatie naar buiten adverteren, en ook fingerprinting verhinderen [ook echt niet moeilijk])
+ ....enz.
& Voor desktops/laptops een soortgelijke aanpak met een iets andere insteek met de zelfde basis principes.
# Zo draait er een {Please Hack Me!} server sinds 2005, met web services, dns, email SMTP & IMAP services en remote admin service. Zonder patches of updates...
En elk jaar weer nieuwe uitnodigigen naar professionele security bedrijven, ethical hackers en blackhats. Uitgedaagd door eerst door hun 'beveiliging' heen te prikken om ze te motiveren ;-P en er ook een cash reward aan te hangen als symbolische maar zeer tastbare tegenprestatie.
Tot op heden nog niemand ook maar een "foot-hold" kunnen krijgen. Wat niet verbazend is, als die er gewoon niet zijn.
Want wat er niet is kan je ook niet misbruiken, de servers doen alleen wat die moet doen en niets anders.
{Enige wat een paar jaar geleden gelukt is, is dat een overheidsinstelling bij 't hosting datacentre op bezoek is gegaan om zo toegang te krijgen tot die ";-P" server. Maar niet ongedetecteerd }
Ook bij een overheidsinstelling in arm land waar men er in 2011 noodgedwongen voor gekozen heeft om al die wildgroei van inherent kwetsbare systemen toch maar niet meer te gebruiken, draaien nu zulke systemen. NL heeft er meer baat bij om de centen te laten rollen dan de zaakjes simpel te houden :(
[en zo zien we de belastingdienst en andere organisaties door de ICT bubble kapot gaan aan die belangenverstrengeling.]
En data lekken voorkomen is even eenvoudig, als een organisatie en klein beetje Moeite zou willen doen om de basis principes ook lezen en echt te handhaven.
Dus niet een Marketing/Sales afdeling vrij hun gang laten gaan met sites her en der outsourcen en vol gooien met data-sets. En niet zomaar intern gemaakte documenten en foto's op de publieke toegang sites gooien zoder meta-data stripper en flagged keywords detectie, enzo. En niet de inkomende email laten 'filteren' door externen zoals google,mickeysoft,ICT-toko uit de buurt,enz..
..En nog een paar van dat soort eerst denken dan doen keuzes.
******
Ja...
er is een pesthekel ontstaan tegen eigen zakken vulldende ivoren toren organisaties zoals 't NCSC, CSR, HSD = Fox/Secura/Outpost/enz..enz..enz.. Die de 'insecurity bubble' veroorzaken en in stand houden ten kosten van de veiligheid van ons allen, met hun kluitje->riet adviezen.
En daarom blijft het kinderspel om bij Critical Infra organisaties zoals KPN, Justnet/Gemnet, Tennet en RWS binnen te komen zonder dat ze er weken/maander iets van merken, blijkt telkens weer in de media.
Ondanks al die nu inmiddels Miljarden die in 'ciber security' gestoken zijn de afgelopen jaren.
Ergo: NCSC => mede oorzaak , ipv oplossing.