Britse overheid publiceert advies om ransomware te voorkomen
De Britse overheid heeft het eigen advies om malware en ransomware te voorkomen van een update voorzien, waarbij er extra nadruk wordt gegeven aan het hebben van geteste offline back-ups en het uitschakelen of beperken van scripting-omgevingen en macro's.
Begin dit jaar kwam het Britse National Cyber Security Centre (NCSC) met een negen pagina's tellend advies genaamd "Mitigating malware and ransomware attacks". Het advies moest de kans dat organisaties met ransomware en malware besmet raken verkleinen en de verspreiding van malware binnen de organisatie en impact van de infectie beperken.
Nu is versie 2.0 van het advies verschenen. "Van elk incident waar het NCSC bij betrokken is leren we. We leren hoe criminelen netwerken compromitteren, hoe ze malware uitrollen en de mitigaties die, wanneer aanwezig, de aanval hadden kunnen voorkomen", zegt Geoff E., adjunct-hoofd Consultancy en Advies van de Britse overheidsinstantie. Vanwege de veranderende aard van de aanvallen heeft het NCSC naar eigen zeggen besloten een update uit te brengen.
Daarbij is het volgens Geoff E. belangrijk om twee maatregelen extra te benadrukken, namelijk het hebben van geteste, up-to-date, offline back-ups en het uitschakelen of beperken van scripting-omgevingen en macro's. Het gaat dan om het gebruik van PowerShell Constrained Language dat systemen tegen misbruik moet beschermen. Bij veel ransomware-aanvallen maken aanvallers gebruik van PowerShell voor het uitvoeren van de aanval. Met de PowerShell Constrained Language kunnen aanvallers bepaalde COM-objecten, libraries en classes niet meer in PowerShell-sessies laden. Het NCSC adviseert verder om macro's uit te schakelen wanneer die niet worden gebruikt.
Volgens het NCSC is het daarnaast belangrijk dat organisaties zich op een eventueel incident voorbereiden en is het handig om te weten wat er kan worden gedaan wanneer systemen al besmet zijn. In het geval van ransomware wordt in ieder geval afgeraden om het losgeld te betalen. "We beseffen dat niet alle organisaties over een elite team van security-architecten beschikken, maar we denken dat dit advies een haalbaar aantal acties biedt die de meeste organisaties kunnen implementeren", aldus Geoff E.
Ik ben jarenlang low level en high level programmeur geweest in diverse talen en ICT Security specialist en ik kan zo nog een aantal zaken opnoemen.
Die ga ik hier niet vertellen maar hele serverparken zijn heel eenvoudig uit te schakelen.
En " geteste offline back-ups" dat klinkt wel leuk...scanner erover heen etc... maar als het filesysteem corrupt is dan bestaan sommige files gewoon niet meer voor hetzelfde OS.
Dus je dient dan minstens te checken van buiten af. Via een ander systeem en het mooiste zou zijn vanuit een ander OS.
En zo kan ik wel even doorgaan.
Overheden dienen zeer behoudend te zijn met digitalisering want er is nog relatief veel beweging en ze maken de aanvalsvectoren steeds groter door al die innovaties en ..."grande" ideeen.
Als een type zoals ik een black hat was...dan is er werkelijk niets veilig. Dan kom je niet weg met een adviesje of certificaatje...of groepje.
Gray hat.
[..]
En " geteste offline back-ups" dat klinkt wel leuk...scanner erover heen etc... maar als het filesysteem corrupt is dan bestaan sommige files gewoon niet meer voor hetzelfde OS.
Beste 'expert' , zowel expliciet in het advies als in normaal security jargon slaat 'geteste backup' niet op 'scanner erover heen' maar op "test dat backup werkt als bedoeld" - oftewel , dat de backup ook echt gemaakt wordt en bruikbaar is om mee te recoveren.
Wat is het trouwens een non-sequitur in relatie tot backups dat bij een corrupt filesysteem files niet meer gezien worden door het OS ?
Een geteste offline backup is er nu juist voor alle soorten verlies van de originele data op te vangen - met en zonder corrupt filesystem - inclusief disken die totaal in in rook opgegaan zijn, want die zijn ook niet meer leesbaar voor het OS.
Je zult echter wel moeten restoren in een schone omgeving, en deze weer, na de test, volledig schoon moeten inrichten.
Ik ben jarenlang low level en high level programmeur geweest in diverse talen en ICT Security specialist en ik kan zo nog een aantal zaken opnoemen.
Die ga ik hier niet vertellen maar hele serverparken zijn heel eenvoudig uit te schakelen.
En " geteste offline back-ups" dat klinkt wel leuk...scanner erover heen etc... maar als het filesysteem corrupt is dan bestaan sommige files gewoon niet meer voor hetzelfde OS.
Dus je dient dan minstens te checken van buiten af. Via een ander systeem en het mooiste zou zijn vanuit een ander OS.
En zo kan ik wel even doorgaan.
Overheden dienen zeer behoudend te zijn met digitalisering want er is nog relatief veel beweging en ze maken de aanvalsvectoren steeds groter door al die innovaties en ..."grande" ideeen.
Als een type zoals ik een black hat was...dan is er werkelijk niets veilig. Dan kom je niet weg met een adviesje of certificaatje...of groepje.
Gray hat.
Jij bent duidelijk niet goed (geweest in je vak) anders had je dit hier niet neergeplemd. Dat doe je niet!
Neem Estland, volledig digitaal kan best maar dan moet je wel capabel bestuur hebben, en politiek.
[..]
En " geteste offline back-ups" dat klinkt wel leuk...scanner erover heen etc... maar als het filesysteem corrupt is dan bestaan sommige files gewoon niet meer voor hetzelfde OS.
Beste 'expert' , zowel expliciet in het advies als in normaal security jargon slaat 'geteste backup' niet op 'scanner erover heen' maar op "test dat backup werkt als bedoeld" - oftewel , dat de backup ook echt gemaakt wordt en bruikbaar is om mee te recoveren.
Wat is het trouwens een non-sequitur in relatie tot backups dat bij een corrupt filesysteem files niet meer gezien worden door het OS ?
Een geteste offline backup is er nu juist voor alle soorten verlies van de originele data op te vangen - met en zonder corrupt filesystem - inclusief disken die totaal in in rook opgegaan zijn, want die zijn ook niet meer leesbaar voor het OS.
De praktijk is mijn beste dat geen enkel bedrijf backups echt goed controleert.. En dat is ook een enorm dilemma
Een knelpunt met bv dynamische gegevens die gebackuped zijn is dat je nooit weet hoe die zou moeten zijn. Een cybercrimineel zou data voor randsomware kunnen verbergen over meerdere files die als dynamisch beschouwd kunnen worden.
En commercieel gezien neemt geen enkel bedrijf echt de moeite om dynamische data echt goed te controleren.
Ik ben als programmeur in staat om heel wat te verbergen in dynamische data (meerdere files) die dan vervolgens weer gebackupped wordt...etc.
Dit is echt een knelpunt.
Indien iemand hier een goede werkbare (ook commercieel verantwoord) oplossing voor weet. Graag uw reactie.
Gray hat.
Moet de ware aard van de infrastructuur qua onveiligheid verborgen blijven?
Ik geef geen linkvoorbeelden hier anders komt de posting niet door de moderatie.
De kat de bel aanbinden mag niet, want bang voor reactie van CEO, manager en landelijke autoriteiten en politiek.
Er zit zowat dan al een zogenaamde desinformatie factchecker troll op je nek.
Men dient onwetend te blijven omtrent de weggetjes, die door de grote gatenkaas kunnen worden geboord.
Digitale gatenkaas met een beveiliging zo zacht als boter meestal.
Nog te veel downgrade aanvallen mogelijk en dan kan HTTPS-only wel waarschuwen, maar via andere wegen staat het downgraded wel helemaal open voor bijvoorbeeld een IntelliTampertje of een DOM-XSS -je en shodan scannetje. Meer dan 140.000 Word Press websites met oude plug-in versie "vogelvoer voor script-kiddies" en dat is nog "low level".
Tegen 'targeted attacks'' is iedereen zowat machteloos. Terughacken, sinkholen en censuur is het enige antwoord.
We leven in een volop woedende cyber-oorlog, maar niemand die het ziet of er weet van heeft
(bron webinar met o.a. onderzoeksjournalist Huib Modderkolk)
#sockpuppet
Je zult echter wel moeten restoren in een schone omgeving, en deze weer, na de test, volledig schoon moeten inrichten.
Restoren met data die besmet is op een schoon systeem gaat toch ook niet helpen?
En hoe ga je die data dan controleren op ransomware welke wellicht in delen encrypted verspreid is over je "schone" backups met dynamische data? Weet je zeker dat elke file wel die file is zoals die zou moeten zijn?
Die cybercriminelen wachten gewoon hun kans af en infecteren het systeem opnieuw met een stuurmechanisme en bouwen de ransomware op uit die delen met dynamische data. hup een loader erbij en er wordt weer een nieuwe versie gedownload.
Elk bestand dient controleerbaar te zijn. Ook al is die aan wijzigingen onderhevig. Daarin zit hem de uitdaging. Want je weet nooit of de data die door de gebruiker gewijzigd wordt..delen bevat v nieuwe ransomware.
Je zult echter wel moeten restoren in een schone omgeving, en deze weer, na de test, volledig schoon moeten inrichten.
Restoren met data die besmet is op een schoon systeem gaat toch ook niet helpen?
En hoe ga je die data dan controleren op ransomware welke wellicht in delen encrypted verspreid is over je "schone" backups met dynamische data? Weet je zeker dat elke file wel die file is zoals die zou moeten zijn?
Die cybercriminelen wachten gewoon hun kans af en infecteren het systeem opnieuw met een stuurmechanisme en bouwen de ransomware op uit die delen met dynamische data. hup een loader erbij en er wordt weer een nieuwe versie gedownload.
Elk bestand dient controleerbaar te zijn. Ook al is die aan wijzigingen onderhevig. Daarin zit hem de uitdaging. Want je weet nooit of de data die door de gebruiker gewijzigd wordt..delen bevat v nieuwe ransomware.
Het gaat natuurlijk om een restore test (!) Zeker weten dat de data te restoren is. Maar los daarvan: leve snapshots van ZFS. Poef weg besmette data. Ieder uur een snapshot.
Je zult echter wel moeten restoren in een schone omgeving, en deze weer, na de test, volledig schoon moeten inrichten.
Restoren met data die besmet is op een schoon systeem gaat toch ook niet helpen?
En hoe ga je die data dan controleren op ransomware welke wellicht in delen encrypted verspreid is over je "schone" backups met dynamische data? Weet je zeker dat elke file wel die file is zoals die zou moeten zijn?
Die cybercriminelen wachten gewoon hun kans af en infecteren het systeem opnieuw met een stuurmechanisme en bouwen de ransomware op uit die delen met dynamische data. hup een loader erbij en er wordt weer een nieuwe versie gedownload.
Elk bestand dient controleerbaar te zijn. Ook al is die aan wijzigingen onderhevig. Daarin zit hem de uitdaging. Want je weet nooit of de data die door de gebruiker gewijzigd wordt..delen bevat v nieuwe ransomware.
Het gaat natuurlijk om een restore test (!) Zeker weten dat de data te restoren is. Maar los daarvan: leve snapshots van ZFS. Poef weg besmette data. Ieder uur een snapshot.
En weg een uur werk of meer. Als je dit vertaalt naar duizenden gebruikers dan heb je een aardige schadepost.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
