Universiteit en Hogeschool van Amsterdam getroffen door cyberaanval
De netwerken van de Universiteit van Amsterdam (UvA) en Hogeschool van Amsterdam (HvA) zijn getroffen door een cyberaanval, zo laten beide onderwijsinstellingen weten. In het belang van het onderzoek zeggen de onderwijsinstellingen niet te kunnen ingaan op de achtergrond en omvang van deze aanval.
Er zijn dan ook geen concrete details gegeven, behalve dat een "onbekende derden" toegang tot de ict-omgeving heeft gekregen en er wordt onderzocht welke delen zijn geraakt. De aanval werd ontdekt door het Security and Operations Centre van de HvA en UvA. De onderwijsinstellingen hebben maatregelen genomen om de gevolgen te beperken en te zorgen dat onderwijs en onderzoek zoveel mogelijk ongestoord doorgang kunnen vinden.
"Om de impact op ons onderwijs en onderzoek zo veel mogelijk te beperken, zullen we de komende tijd proactief systemen tijdelijk uitzetten. Deze systemen en de informatie in die systemen zijn op dat moment niet beschikbaar. We begrijpen dat dit overlast geeft en proberen dit zoveel mogelijk te beperken", aldus de UvA en HvA in een verklaring.
https://wiki.surfnet.nl/display/CSIRTs
"SURFcert is het CSIRT voor het nationale onderzoeks- en onderwijsnetwerk SURFnet. Sinds 2006 promoot SURFcert de oprichting van lokale CSIRTs bij aangesloten instellingen. Een CSIRT is een capability/team van een organisatie dat informatiebeveiligingsincidenten managet - wat tenminste inhoudt dat mogelijke incidenten voorkomen worden, incidenten die plaatsvinden opgelost worden en dat de geleerde lessen ter harte genomen worden. Niettemin, alle op SURFnet aangesloten instellingen ontvangen ondersteuning van SURFcert, ongeacht of ze al een CSIRT hebben opgericht.
De locale CSIRTs en gelieerde operationele security experts werken samen in SCIRT, de SURFnet Community van Incident Response Teams."
Dit lijkt nu zijn vruchten af te werpen:
Nu graven en spitten .... "If we smell a rat, we dig until we find it".
Analyseren, isoleren en opschonen. Misschien wel met hulp van collega-CSIRT of SURF-CERT leden. En uiteraard de IoC indicators of compromise direct delen met deze collega's.
Ik kijk nu al uit naar een rapportage van de HvA en UvA, zoals de Universiteit van Maastricht heeft gepubliceerd over de Clop-ransomware in samenwerking met FoxIT. Goed voorbeeld doet goed volgen.
https://wiki.surfnet.nl/display/CSIRTs
"SURFcert is het CSIRT voor het nationale onderzoeks- en onderwijsnetwerk SURFnet. Sinds 2006 promoot SURFcert de oprichting van lokale CSIRTs bij aangesloten instellingen. Een CSIRT is een capability/team van een organisatie dat informatiebeveiligingsincidenten managet - wat tenminste inhoudt dat mogelijke incidenten voorkomen worden, incidenten die plaatsvinden opgelost worden en dat de geleerde lessen ter harte genomen worden. Niettemin, alle op SURFnet aangesloten instellingen ontvangen ondersteuning van SURFcert, ongeacht of ze al een CSIRT hebben opgericht.
De locale CSIRTs en gelieerde operationele security experts werken samen in SCIRT, de SURFnet Community van Incident Response Teams."
Dit lijkt nu zijn vruchten af te werpen:
Nu graven en spitten .... "If we smell a rat, we dig until we find it".
Analyseren, isoleren en opschonen. Misschien wel met hulp van collega-CSIRT of SURF-CERT leden. En uiteraard de IoC indicators of compromise direct delen met deze collega's.
Ik kijk nu al uit naar een rapportage van de HvA en UvA, zoals de Universiteit van Maastricht heeft gepubliceerd over de Clop-ransomware in samenwerking met FoxIT. Goed voorbeeld doet goed volgen.
In een hedendaagse en moderne SOC omgeving is een traditionele IDS/IPS (al dan niet onderdeel van een NextGen firewall) zeker een van de aangesloten logbronnen, maar zelden hèt alarm bij dit soort inbraken. Eerder verantwoording voor een enorme berg aan false-positives en alert fatigue.
Het zit 'm in de combinatie van events en goed uitgewerkte use-cases.
M.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Information Security Officer (2fte)
Een uitdagende rol waarbij jij, op basis van security, de vertaalslag maakt tussen business en IT en direct bijdraagt aan de veiligheid van informatie binnen de gemeente Almere. Dat is in een notendop waar jij als Information Security Officer mee bezig bent. Interesse gewekt? Door groei van de organisatie zijn we op zoek naar twee nieuwe collega’s.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
