Ervan uitgaande dat je met training niet in alle gevallen voorkomt dat medewerkers in nepmails trappen, zijn die maatregelen onvoldoende. Emotet, en aanvullende malware die door Emotet wordt gedownload, verspreiden zich in de meeste AD domeinen razendsnel (lateral movement) en probeert daarbij accounts met zo hoog mogelijke privileges over te nemen.

Je moet dus zoveel mogelijk voorkomen dat malware, zodra deze een account heeft gecompromiteerd, met dat account via het netwerk kan inloggen op systemen om daar verder schade te veroorzaken. Ook als het account op geen enkele PC adminrechten heeft, moet je ervan uitgaan dat er wel ergens een privilege escalation mogelijk is, waarna het uitlezen van cached passwords en password-hashes mogelijk is (UAC is natuurlijk sowieso geen security boundary). Tools van penetratietesters zoals Bloodhound, Responder en Mimikatz worden ook door deze malware ingezet. Alleen patchen is niet genoeg; je zult actief legacy protocollen en verouderde configuraties -waaronder identieke admin passwords op meerdere systemen- moeten opsporen en zoveel mogelijk elimineren!

Terugzetten van back-ups lijkt mij een laatste redmiddel, want vaak weet je niet wanneer de eerste compromittering plaatsvond, en dus hoever je in de tijd terug moet (hoe ouder de back-up, hoe veiliger, maar hoe meer werk verloren gaat).

Door verspreidingsmogelijkheden zoveel mogelijk te beperken en/of te vertragen, en compromittering bijtijds te detecteren en snel en verstandig in te grijpen (een op de plank liggend plan kan onnodige ellende door ondoordachte acties helpen voorkomen), kun je de totale schade beperken. Nb. Ik vrees dat deze golf, vroeger of later, ook naar Nederland komt; we zijn immers een rijk land...

Jammer dat dit soort berichten altijd gebracht worden alsof alle computers bevattelijk zouden zijn voor dit soort ellende terwijl er talloze operating systems zijn die hier nauwelijks last van hebben. Een besmetting is bijna altijd te wijten aan een combinatie van applicatie + OS.

Emotet: alweer 5 jaren oud en still going strong!
Polymorf, dus je kan lang niet altijd op je virusscanner vertrouwen.
Een robuust cybersecurity programma dat multi-layered protectie biedt wordt aangeraden.
Leer van https://www.malwarebytes.com/emotet/ en bescherm jezelf als volgt:

1. PATCH MS Windows (Eternal blue patch)
2. Pas op voor (verdachte) bijlagen en klik niet zomaar op links, en lees
https://blog.malwarebytes.com/101/2018/06/five-easy-ways-to-recognize-and-dispose-of-malicious-emails/
3. Gebruik sterke wachtwoorden (of nog beter: gebruik 2-factor authenticatie) en adviseer je omgeving (met wie je mailt)
om dit ook te doen.
4. Gebruik beschermende software (premium of professioneel) met multi-layered protectie.
5. Leer en begrijp hoe emotet werkt, en waarom het zo "succescvol" is: https://www.malwarebytes.com/emotet/
(want weten hoe emotet werkt, help mee om besmetting te voorkomen)

Ok, iot is structureel zo lek al een mandje. Webservers zijn niet veilig te krijgen, denk aan WordPress code injection cookies en meer. Databases en backups open onbeschermd op het Internet. Ik volg je redenering, het ligt allemaal aan het achterliggende os.

Geef he de noodzaak tot een invulling van onder andere PIM privileged identity management aan? Dat lijkt me zeer nuttig en verstandig.
Helaas gaat men liever naar de best practices zoals aangegeven door externe leveranciers. Goedkoper want men hoeft zelf niets te overdenken. Als het mis gaat ligt het aan een ander dus het is vrij risicoloos voor de persoon om de risico's te laten voortduren.

Selectief citeren is ook een kunst, zo blijkt.

Met kortzinnigheid krijg je inderdaad dit soort antwoorden.

Echter als je er goed naar kijkt zie je dat de meeste issues op te lossen zijn met vrij basic implementaties of configuraties die niet gevolgd zijn. Allemaal design keuzes waarvan of waarvoor afhankelijkheden zijn.
Als je applicaties niet draaien, of je kunt bepaalde inrichten niet doen, dan zijn dit keuzes voor je design en uit eindelijk implementatie.

Dat andere operating systems er geen last van hebben, heeft er mede mee te maken, dat ze nauwelijks gebruikt worden bij een desktop. Meestal omdat ze helemaal niet voldoen, voor want men nodig heeft, en dat is "werken".

Als je kijkt naar bijvoorbeeld websites…. Dan zie je een heel ander probleem. Bepaalde operating systems hosten dan eigenlijk 99% van alle ellende.

PIM is inderdaad een gedeelte van de oplossingen.

Externe leveranciers hebben vaak ook veel meer expertise. Dat wil echter niet zeggen, dat ze ook altijd het juiste advies geven. Maar ze hebben vaak wel meer ervaringen dan iemand die intern zit.

Een bij komend probleem is echter wel, dat vaak organisaties niet gereed zijn voor de adviezen van de externe leveranciers.
Dit kan zijn voor bijvoorbeeld legacy, slechte documentatie, of door politieke strubbelingen intern. Je kunt dan een prachtig veilig advies hebben, maar het niet kunnen uitvoeren.

Externe leveranciers zijn niet zo bezig met PIM. Liever snel een setup en als dat werkt met hun standaard instellingen en opzet dan is het voor hun een succes. Ik heb het over over servers. Op de desktop speelt het minder.

Dan zit je bij de verkeerde externe leveranciers. In Windows AD is het wel lastiger, omdat AD er niet voor gemaakt is. Maar er bestaat gewoon goede tooling voor. Daarnaast is er een tiering model wat je kunt implementeren.

In Azure AD werkt het een stuk gemakkelijker en beter ingeregeld.

Maar er zijn voldoende externe leveranciers die het implementeren, maar een klant kan het ook als eis neerleggen bij de leverancier of in de RFP.
Mits de klant er ook klaar voor is. Onderschat dit niet. Er zijn maar weinig klanten echt geschikt voor een goede PIM implementatie.

L.S.

Besef goed, dat de aanvaller aan een klein gaatje of de juiste aanwezige kwetsbaarheid a genoeg heeft
om met emotet infecties ergens door te kunnen wurmen.

De verdediger moet echter van meerdere markten thuis zijn.

Kleine puntjes in de afwegingenen. In het geval van website security.
Bijv. SSL kwetsbaarheden: scan op: https://www.immuniweb.com/ssl/

Zelf linten op niveau van toegepaste best policies, zoals o.a.: disown-opener: https-only, no-disallowed-headers, no-protocol-relative-urls, sri, strict-transport-security, validate-set-cookie-header, x-content-type-options, no-vulnerable-javascript-libraries, ssllabs.

Vooral goed weten waar de cybercrimineel zijn voordeel zou kunnen halen,
met bijvoorbeeld gedateerde webserver software, nginx webserver outdated,
bijvoorbeeld: http://nginx.org/en/security_advisories.html

XSS-DOM sources and sinks scannen vooral bij kwetsbare 3rd party code.

Links met slechte verbindingsbeveiliging: hxtp://code.jivosite.com/widget.js als voorbeeldje.
6 engines die het detecteren en een alert geven. De boel gaat in dat geval over http!

De DOM-XSS scan valt mee: Resultaten van het scannen van URL: -http://code.jivosite.com/widget.js
aantal sources aangetroffen: 38 ; aantal sinks aangetroffen: 4 (mogelijke narigheid bij code
met sinks als "source=e" & "src="javascript:var d=document.open()".

Als je je er al jaren mee bezig houdt, kan je het gevaar a.h.w. ruiken. You can hear the code-grass grow!
Je weet dan waar de risico's eventueel zouden kunnen optreden.

Je wat aan laten praten door veiligheidsadviseurs "a la de stofzuigerverkoper",
zoals karma4 ons altijd al wil afraden, is in alle gevallen lichtzinnig en dom.

Check alles zelf wat je nodig denkt te hebben, vraag het je security manager, niet de CEO,
die de beslissingen in ultimo neemt, maar nergens verstand van hoeft te hebben, qua security dan (duh...)

De beste verdediging is dus zelfverdediging, leer de nodige skills of krijg advies van iemand met de juiste skills.

De slechtst mogelijke houding is zelfoverschatting, dat doen we wel eventjes en hopla, goed gefopt dus,
met alle nare gevolgen van dien. Maar iedereen kan de fout ingaan, bescheidenheid en
besef niet alles te weten zijn de beste stappen naar toegenomen cyberwijsheid.
Ik leer zelf ook nog iedere dag en elk uur.

Dag lieve mensen hier. Gaat het nog eens keer een beetje in goede zin veranderen. Ik blijf er op hopen, hoor.

Jodocus Oyevaer