image

Universiteit en Hogeschool van Amsterdam getroffen door cyberaanval

woensdag 17 februari 2021, 13:39 door Redactie, 4 reacties

De netwerken van de Universiteit van Amsterdam (UvA) en Hogeschool van Amsterdam (HvA) zijn getroffen door een cyberaanval, zo laten beide onderwijsinstellingen weten. In het belang van het onderzoek zeggen de onderwijsinstellingen niet te kunnen ingaan op de achtergrond en omvang van deze aanval.

Er zijn dan ook geen concrete details gegeven, behalve dat een "onbekende derden" toegang tot de ict-omgeving heeft gekregen en er wordt onderzocht welke delen zijn geraakt. De aanval werd ontdekt door het Security and Operations Centre van de HvA en UvA. De onderwijsinstellingen hebben maatregelen genomen om de gevolgen te beperken en te zorgen dat onderwijs en onderzoek zoveel mogelijk ongestoord doorgang kunnen vinden.

"Om de impact op ons onderwijs en onderzoek zo veel mogelijk te beperken, zullen we de komende tijd proactief systemen tijdelijk uitzetten. Deze systemen en de informatie in die systemen zijn op dat moment niet beschikbaar. We begrijpen dat dit overlast geeft en proberen dit zoveel mogelijk te beperken", aldus de UvA en HvA in een verklaring.

Reacties (4)
17-02-2021, 15:15 door Anoniem
Zowel de UvA als de HvA zijn aangesloten bij SURF-Cert
https://wiki.surfnet.nl/display/CSIRTs
"SURFcert is het CSIRT voor het nationale onderzoeks- en onderwijsnetwerk SURFnet. Sinds 2006 promoot SURFcert de oprichting van lokale CSIRTs bij aangesloten instellingen. Een CSIRT is een capability/team van een organisatie dat informatiebeveiligingsincidenten managet - wat tenminste inhoudt dat mogelijke incidenten voorkomen worden, incidenten die plaatsvinden opgelost worden en dat de geleerde lessen ter harte genomen worden. Niettemin, alle op SURFnet aangesloten instellingen ontvangen ondersteuning van SURFcert, ongeacht of ze al een CSIRT hebben opgericht.
De locale CSIRTs en gelieerde operationele security experts werken samen in SCIRT, de SURFnet Community van Incident Response Teams."

Dit lijkt nu zijn vruchten af te werpen:
De aanval werd ontdekt door het Security and Operations Centre van de HvA en UvA.
Boooom ... er zijn alarmbellen gaan rinkelen. Het IDS intrusion detection system, of misschien het IPS intrusion preventing system hebben kennelijk het SOC gealarmeerd. Zo zien we het graag .... ;-)

Nu graven en spitten .... "If we smell a rat, we dig until we find it".
Analyseren, isoleren en opschonen. Misschien wel met hulp van collega-CSIRT of SURF-CERT leden. En uiteraard de IoC indicators of compromise direct delen met deze collega's.

Ik kijk nu al uit naar een rapportage van de HvA en UvA, zoals de Universiteit van Maastricht heeft gepubliceerd over de Clop-ransomware in samenwerking met FoxIT. Goed voorbeeld doet goed volgen.
17-02-2021, 16:30 door Anoniem
If we smell a rat, we dig until we find it <- surf security cert, ik heb het al getest voor je.
17-02-2021, 19:58 door Anoniem
Door Anoniem: Zowel de UvA als de HvA zijn aangesloten bij SURF-Cert
https://wiki.surfnet.nl/display/CSIRTs
"SURFcert is het CSIRT voor het nationale onderzoeks- en onderwijsnetwerk SURFnet. Sinds 2006 promoot SURFcert de oprichting van lokale CSIRTs bij aangesloten instellingen. Een CSIRT is een capability/team van een organisatie dat informatiebeveiligingsincidenten managet - wat tenminste inhoudt dat mogelijke incidenten voorkomen worden, incidenten die plaatsvinden opgelost worden en dat de geleerde lessen ter harte genomen worden. Niettemin, alle op SURFnet aangesloten instellingen ontvangen ondersteuning van SURFcert, ongeacht of ze al een CSIRT hebben opgericht.
De locale CSIRTs en gelieerde operationele security experts werken samen in SCIRT, de SURFnet Community van Incident Response Teams."

Dit lijkt nu zijn vruchten af te werpen:
De aanval werd ontdekt door het Security and Operations Centre van de HvA en UvA.
Boooom ... er zijn alarmbellen gaan rinkelen. Het IDS intrusion detection system, of misschien het IPS intrusion preventing system hebben kennelijk het SOC gealarmeerd. Zo zien we het graag .... ;-)

Nu graven en spitten .... "If we smell a rat, we dig until we find it".
Analyseren, isoleren en opschonen. Misschien wel met hulp van collega-CSIRT of SURF-CERT leden. En uiteraard de IoC indicators of compromise direct delen met deze collega's.

Ik kijk nu al uit naar een rapportage van de HvA en UvA, zoals de Universiteit van Maastricht heeft gepubliceerd over de Clop-ransomware in samenwerking met FoxIT. Goed voorbeeld doet goed volgen.

In een hedendaagse en moderne SOC omgeving is een traditionele IDS/IPS (al dan niet onderdeel van een NextGen firewall) zeker een van de aangesloten logbronnen, maar zelden hèt alarm bij dit soort inbraken. Eerder verantwoording voor een enorme berg aan false-positives en alert fatigue.
Het zit 'm in de combinatie van events en goed uitgewerkte use-cases.

M.
18-02-2021, 08:28 door Anoniem
Op de dag dat de uitnodiging van de Politie om Nederlandse infra te testen worden de UvA en HvA geraakt.
Typisch gevalletje rara politiepet...
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.