NCSC waarschuwt mkb-bedrijven voor kwetsbare vpn-software
Er is een toename van het aantal scans door statelijke actoren naar kwetsbare vpn-software en met name mkb-bedrijven lopen hierdoor risico, zo waarschuwt het Nationaal Cyber Security Centrum (NCSC) van de overheid. "Uit betrouwbare bron heeft het NCSC vernomen dat in Nederland statelijke actoren nog altijd actief scannen naar vpn-kwetsbaarheden", aldus de overheidsinstantie. Het zou onder andere om de vpn-software van Pulse Secure en Fortinet gaan.
Volgens het NCSC hebben veel organisaties inmiddels maatregelen genomen om de kwetsbaarheden in hun vpn-software te verhelpen. Het zijn met name mkb-bedrijven die hun vpn-software nog altijd niet hebben gepatcht. Het gaat onder andere om makelaars, adviesbureaus, producenten van goederen, bouwbedrijven en andere leveranciers.
Het NCSC adviseert organisaties om hun vpn-software van de laatste beveiligingsupdates te voorzien. In het geval er niet met zekerheid kan worden vastgesteld dat aanvallers al toegang tot de vpn-systemen hebben gekregen wordt aangeraden om alle vpn-accounts te verwijderen en met nieuwe wachtwoorden en bij voorkeur met nieuwe gebruikersnamen aan te maken. Verder wordt gewezen op het toepassen van tweefactorauthenticatie en het controleren van logbestanden.
De waarschuwing van het NCSC staat niet op zichzelf. Begin deze maand waarschuwde het Cybersecurity and Infrastructure Security Agency (CISA) van de Amerikaanse overheid dat aanvallers steeds vaker gebruikmaken van kwetsbaarheden in vpn-software, en dan voornamelijk in de software van Citrix (CVE-2019-19781) en Pulse Secure (CVE-2019-11510). Vorige week kwam de Australische overheid nog met een overzicht van manieren waarop aanvallers systemen weten binnen te dringen. Het ging onder andere om bekende kwetsbaarheden in Pulse Secure VPN, Fortigate SSL VPN en Citrix Application Delivery Controller (ADC) / Citrix Gateway.
Voorconfiguratie kan gebeuren door de IT-specialist
waarna de gebruiker het gemakkelijk zelf kan aansluiten, en het is minder kwetsbaar.
Is dat nou een cyber-advies van een "nationaal" advies club??
Da's wel een vrij reactief advies van een dergelijke club van "wijze" professionals.
Van Pulse Secure of Fortinet zeker?
"VPN hardware" dat is sowieso kolder, dat is gewoon een computer met VPN software voorgeinstalleerd....
Is dat nou een cyber-advies van een "nationaal" advies club??
Da's wel een vrij reactief advies van een dergelijke club van "wijze" professionals.
Ik kom hier in de hoop wat meer te leren over cyber security in zijn algemeenheid. Dit soort reacties wekken aan de ene kant mijn interesse omdat je doet overkomen alsof je de kennis in pacht hebt. Maar vervolgens deel je die dan niet, dat vind ik jammer. Wat zou je nog meer, op patchen, twee-factor authentificatie en de andere standaard dingen voorstellen?
Te vaak wordt het mantra gebruikt.. Set and forget.. Vooral bij hardware applicances is dit een probleem. De apparaten en software moet gewoon onderhouden worden. Niet alleen voor bugs, maar ook de configuratie dient bij de tijd gehouden te worden... Denk aan uitfaseren verouderde protocollen.. Eerder ssl -v3 en recenter TLS v1.0 en TLS 1.1
Is dat nou een cyber-advies van een "nationaal" advies club??
Da's wel een vrij reactief advies van een dergelijke club van "wijze" professionals.
Ik kom hier in de hoop wat meer te leren over cyber security in zijn algemeenheid. Dit soort reacties wekken aan de ene kant mijn interesse omdat je doet overkomen alsof je de kennis in pacht hebt. Maar vervolgens deel je die dan niet, dat vind ik jammer. Wat zou je nog meer, op patchen, twee-factor authentificatie en de andere standaard dingen voorstellen?
Uw verwarring is volkomen te begrijpen. De beste heer verward de zakelijke VPN oplossingen waarover de NCSC adviseert met de consumenten VPN diensten die men online afneemt. In een zakelijke VPN oplossing kunt u zelf de gehele configuratie beheren, waaronder het aanmaken van gebruikersaccounts. Het advies van het NCSC is om deze accounts na het updaten van de VPN software opnieuw aan te maken om te voorkomen dat accounts die door hacks zijn gecompromitteerd (bijvoorbeeld het lekken van private keys) worden gebruikt om ongeautoriseerde toegang tot het netwerk en/of systemen te verkrijgen. De persoon waarop u reageert denkt dat de NSCS verwacht dat consumenten die reeds voor een online VPN dienst hebben betaald het account maar moeten opzeggen en een nieuw account moeten afsluiten. Mocht u nieuw zijn op deze website. De adviezen en meningen van anderen zijn vaak met een korreltje zout te nemen.
Te vaak wordt het mantra gebruikt.. Set and forget.. Vooral bij hardware applicances is dit een probleem. De apparaten en software moet gewoon onderhouden worden. Niet alleen voor bugs, maar ook de configuratie dient bij de tijd gehouden te worden... Denk aan uitfaseren verouderde protocollen.. Eerder ssl -v3 en recenter TLS v1.0 en TLS 1.1
Oh maar dat "set and forget" dat zou best kunnen hoor! Alleen moet je dan een appliance hebben waarvan de
software (en mogelijk kritische configuratie items) zich automatisch update. Als je ergens kunt configureren dat belangrijke
updates van de fabrikant automatisch geinstalleerd worden en dat gebleken onveilige protocollen automatisch disabled
worden (wellicht beide features voorzien van e-mail alerts enige tijd voordat het gaat plaatsvinden) dan hoef je er zelf
niet meer zo op te letten.
Eigenlijk snap ik niet zo goed waarom high-profile bedrijven als Fortinet en Pulse Secure dat niet doen. Voor de
stronteigenwijze beheerder die alles zelf wil beoordelen en kiezen kan dat altijd nog uitschakelbaar gemaakt worden,
met een duidelijke alert erbij dat je van nu af ZELF verantwoordelijk bent voor alle shit.
Als dat zo gedaan zou worden dan zouden er niet zoveel van die ongepatchte apparaten blijven staan, en ook kon
je dan mooi zien bij welke bedrijven de beheerfilosofie niet deugt.
Ik kom hier in de hoop wat meer te leren over cyber security in zijn algemeenheid.
Wat zou je nog meer, op patchen, twee-factor authentificatie en de andere standaard dingen voorstellen?
Als het echt veilig moet, dan niet op het internet aansluiten.
Ik kom hier in de hoop wat meer te leren over cyber security in zijn algemeenheid.
Wat zou je nog meer, op patchen, twee-factor authentificatie en de andere standaard dingen voorstellen?
Als het echt veilig moet, dan niet op het internet aansluiten.
Tering wat een wijsheid .
Geef je ook verkeerskunde ? "thuis blijven is het veiligst"
Is dat nou een cyber-advies van een "nationaal" advies club??
Da's wel een vrij reactief advies van een dergelijke club van "wijze" professionals.
en tegelijkrtijd jezelf wel een 'professional' vinden heh?
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
