Forensisch expert: Systeembeheerders moeten beter opletten
Teveel systeembeheerders houden hun logs niet in de gaten, waardoor aanvallers vrij spel hebben, zo heeft Bryan Sartin van Ubizen laten weten. Soms ligt de schuld bij de systeembeheerder die zijn taak niet goed doet. De andere keer komt het doordat hij teveel verschillende taken heeft en er niet aan toekomt om alle gegevens in de gaten te houden. Volgens Sartin gebruiken de meeste aanvallers lekken in web servers om binnen te komen, onafhankelijk van welk besturingssysteem er gebruikt wordt. Systeembeheerders moeten dan ook beter hun logs monitoren, aangezien hackers door forensisch onderzoek steeds beter hun sporen proberen te verbergen. (VNU)
Net of ze hun MSS aan de man willen brengen. Heb nog niet gezien dat hun
mss jongens echt wel naar die logs staren. Die werken toch ook met triggers
of niet dan ? :)
Ubizen's definitie van forensisch onderzoek is blijkbaar "logboeken
analyseren om te zien hoe, waar en door wat bepaalde triggers geactiveerd
werden". Ik noem dit troubleshooten onder een laag commercieel vernis.
bah.
Het is gewoon waar, veel systeembeheerders kijken niet in hun logs.
op relatief eenvoudige wijze in staat stelt om alleen de nuttige
events/logregels te laten zien zal het nog wel zo blijven.
Ze zijn er wel, die tools (GFI Languard SELM bijvoorbeeld, of swatch), maar je
moet er echt naar op zoek zijn wil je ze vinden. En de tijd die het je dan kost
om er voor te zorgen dat je alleen nuttige meldingen krijgt.. Die tijd hebben of
krijgen de meeste beheerders niet.
Bovendien leunen de meeste tools toch wel op een van de twee platformen
(syslog v.s. eventlog). Als Microsoft over zou gaan op syslog mogelijkheden
(dus geen brakke 3rd party vertalers) of bij Windows Server standaard een
tool meeleveren die eventlogs verzamelt, dan zouden er al veel meer
beheerders naar eventlogs gaan kijken.
bijgehouden. Niet alleen omdat er geen tijd voor is, maar oa
in het MKB wordt vaak nog gebruik gemaakt van apparatuur
waar het niet eens goed mee mogelijk is om logs bij te houden.
Het is gewoon waar, veel systeembeheerders kijken niet in hun logs.
op relatief eenvoudige wijze in staat stelt om alleen de nuttige
events/logregels te laten zien zal het nog wel zo blijven.
Ze zijn er wel, die tools (GFI Languard SELM bijvoorbeeld, of swatch), maar je
moet er echt naar op zoek zijn wil je ze vinden. En de tijd die het je dan kost
om er voor te zorgen dat je alleen nuttige meldingen krijgt.. Die tijd hebben of
krijgen de meeste beheerders niet.
Bovendien leunen de meeste tools toch wel op een van de twee platformen
(syslog v.s. eventlog). Als Microsoft over zou gaan op syslog mogelijkheden
(dus geen brakke 3rd party vertalers) of bij Windows Server standaard een
tool meeleveren die eventlogs verzamelt, dan zouden er al veel meer
beheerders naar eventlogs gaan kijken.
Er zijn wel goede tools zoals BMC-Patrol
hoogte van elke attack die er plaatsvindt.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
No more ransomware!
De nieuwe Ransomware Awareness Experience training biedt een realistische maar vooral leuke introductie in de wereld van ransomware. De deelnemers ervaren hoe eenvoudig een organisatie het slachtoffer kan worden van ransomware en leren meteen hoe een besmetting kan worden voorkomen!