Door Anoniem: Door Anoniem: Dus op 6 februari zijn er nog 150 kwetsbare Citrix (netscaler) servers in Nederland. Wordt het nu niet langzamerhand tijd om man en paard te noemen? Welke organisaties hebben hun ICT zo ongelofelijk slecht ingericht? Name and shame.
Dat is een beetje lastig. Ons bedrijf host VPS machines, waar eindklanten zelf hun spullen op hosten.
Gaan we dan op ip-block basis ons bedrijf shamen, terwijl we de klanten op de hoogte houden en helpen met patchen?
Als de eindklant niet wil/kan/snapt, moeten wij dan als commerciële partij de klant blokkeren, waardoor deze naar een ander gaat?
Als de overheid alle ipadressen laat blokkeren van alle betrokken ADC's, dan werken we daar graag aan mee.
pakken we meteen ook alle brakke RDP machines, en overige janboel aan.
Als ISP's dan alle particulieren blocken die vanwege uitgaand verkeer overduidelijk onderdeel van een botnet zijn, dan komen we er wel.
maar een level playing field graag.
".. Dat is een beetje lastig. Ons bedrijf host VPS machines, waar eindklanten zelf hun spullen op hosten.
Gaan we dan op ip-block basis ons bedrijf shamen, terwijl we de klanten op de hoogte houden en helpen met patchen?
Als de eindklant niet wil/kan/snapt, moeten wij dan als commerciële partij de klant blokkeren, waardoor deze naar een ander gaat? .."
Je zit met dit dilemma in een vervelende positie. Maar als je het nader analyseert kan je proberen de vraag te beantwoorden: als jouw bedrijf op basis van een ip-block (wel)(niet) aan de digitale schandpaal wordt genageld, zou je dan je klanten (wel)(niet) blokkeren?
1. Wel+wel: dan hebben jullie reputatieschade, en worden pas daarna ransomware aanval(len) voorkomen.
2. Wel+niet: dan hebben jullie reputatieschade, en de klant gaat gewoon door op de foute weg, wachtend op een ransomware aanval
3. Niet+wel: dan hoop je dat de klant je actie begrijpt en waardeert om ransomware aanvallen te helpen voorkomen, en als hij dat niet begrijpt: wens de klant veel succes bij de eventuele migratie naar een andere (concullega) host, want de klant neemt mogelijke malwarebesmettingen en backdoors mee naar de concurrent
4. Niet+niet: dan zit je in feite samen met je klanten te wachten op ransomware aanval(len).
Als het Citrix-lek niet op uiterlijk 9 januari 2020 al gemitigeerd was, dat was de datum dat een exploit bekend werd, moet je (klant) ervan uitgaan dat hij mogelijk is besmet met malware en backdoors.
https://www.ncsc.nl/actueel/advisory?id=NCSC%2D2019%2D0979
Daarin staat ook hoe je IoC (indicator of compromise) kan vinden met een Forensic Tool gemaakt door FireEye:
https://www.poppelgaard.com/cve-2019-19781-what-you-should-know-and-how-to-fix-your-citrix-adc-access-gateway
Ik denk dat jullie aankondiging bij de (nog steeds kwetsbare) klanten van een aanstaande "niet+wel" situatie nu kansen biedt voor jullie bedrijf om de klanten te helpen, en daarmee juist reputatie op te bouwen. Als je klanten niet adequaat reageren op een mailtje, moet je misschien de klant-CEO bellen en alarmeren. Vraag de secretaresse of de CEO jullie kan terugbellen vanwege een mogelijke ransomware dreiging. Duidelijke taal spreken helpt. De "FireEye" forensic tool draaien is wel het minste wat (misschien nog net op tijd) uitgevoerd moet worden.
".. Als de overheid alle ipadressen laat blokkeren van alle betrokken ADC's, dan werken we daar graag aan mee.."
Zou wat mij betreft mogen. Dinsdagmiddag 13u is altijd het vragenuurtje in de Tweede Kamer, misschien is er een Tweede Kamerlid dat meeleest? Mij lijkt dit inderdaad belangrijker dan een discussie over moorkoppen of chocoladegebakjes.
".. pakken we meteen ook alle brakke RDP machines, en overige janboel aan.Als ISP's dan alle particulieren blocken die vanwege uitgaand verkeer overduidelijk onderdeel van een botnet zijn, dan komen we er wel .."
Volledig eens, direct doen zou ik zeggen (dat bedoel ik eerlijk zonder sarcasme). Ik begrijp niet dat Maastricht bij iedereen de bellen doet rinkelen.
Ik ben benieuwd om hier te lezen wat jullie besloten hebben, en wat het effect daarvan is. Tot later?
Anoniem van 08-02-2020, 14:55