Het bedrijfsleven dient eindgebruikers op te leiden om niet in phishing te trappen. Maar ook voldoende software aan te schaffen om hier tegen te weren.

Het is niet helemaal op 1 hoop te schuiven.
- Eindgebruikers klikken te vaak op linkjes, nog steeds het grootste risico op ransomware
- Bedrijfsleven moet stoppen met betalen van losgeld
- Overheid moet (internationaal) zwaardere straffen opleggen en strenger optreden.
- Software, tja het is makkelijk te zeggen dat ontwikkelaars geen gaten moeten laten in hun code maar als dat zou kunnen deden ze het wel.
- Beheerders, patch je bende, niet wachten tot het te laat is. Updaten, updaten, updaten.
En hang niet alles aan het internet.

Het verbaast mij dat eindgebruikers zo hoog scoort. Je kunt wel verwachten dat niemand op verkeerde linkjes en dergelijke klikt, maar als ondernemer kun je je er maar beter op voorbereiden dat het vroeg of laat een keer raak kan zijn. Veel organisaties besteden daar nog veel te weinig tijd aan. Volgens mij ligt de oplossing dus veel meer bij deorganisaties (dus bedrijfsleven) en toezichthouders (overheid) die daar kritisch(er) over moet zijn.

Wat zou jij doen als je kon kiezen om wat losgeld te betalen of je bedrijf op te doeken?
Probleem is dat bedrijven geen keuze hebben en met hun rug tegen de muur staan omdat ze er niet op zijn voorbereid.

Beheerders.
- gebruik multi factor authenticatie om op een beheer machine in te loggen
- gebruik de beheer machine in een virtueel netwerk (VPN/VLAN/...) om bij de te beheren machines te geraken.
- te beheren machines kunnen slechts met (ten minste) drie factor authenticatie (user/4096 bits key/wachtwoord) worden benaderd.
- te beheren machines accepteren aleen sessies van bekende beheer omgevingen.

* Alle uitzonderingen worden gelogged en <b>actief gemonitord!!!</b>

Ik wilde "programmeurs" roepen. Schrijf robuustere code.

Als er nooit een eidgebruiker betaald had, dan bestond dit fenomeen nu niet op deze schaal.

Nee, eindgebruikers opleiden is een kansloze aanpak. Dat werkte 20 jaar geleden niet, dat werkt vandaag de dag niet en dat zal over 10 jaar nog steeds niet werken. We moeten ophouden met proberen van gewone medewerkers cybersecurity-experts te maken die het verschil kunnen zien tussen een echte mail en een phishing mail, terwijl genoeg cybersecurity-experts het ook niet kunnen.

We moeten in onze aanpak voor ICT en informatieverwerking er vanuit gaat dat de gebruiker ooit in een phishingmail trapt. Richt beveiliging niet alleen in op het voorkomen van incidenten (zoals we nu voornamelijk doen), maar ook op het indammen van een incident. Pas bijvoorbeeld Zero Trust toe. Doe aan risicomanagement om zicht te krijgen op wat er nog niet goed staat. Er valt in vele netwerken no zo veel te verbeteren aan de beveiliging. Denken dat de gebruiker die geen ICT of beveiligings-achtergrond heeft, daar ook geen interesse in heeft, goed aan zijn of haar hoofd heeft en te maken heeft met deadlines kan bijdragen aan de beveiliging die op zichzelf al een beetje rammelt, is naief. Stop daarmee!

Deze poll laat goed zien dat een belangrijk deel van de security.nl-bezoekers niet snapt hoe informatiebeveiliging werkt.

Stel de eindgebruikers als het probleem en de software als de oplossing.
Zorg voor incrementele backups en generatie-groepen van de transacties
en maak/zorg voor een regelmatige (dagelijkse) backup op een voor de wereld
onbereikbare plaats waar een serie van deze backups resideert.

Ik zou zeggen: start een eigen draad over dit onderwerp op het Security.NL forum, en leg het de gemiddelde lezer op Security.NL uit hoe het allemaal beter moet :-)

De volgende logische stap na ransomware is gewoon alle data, en als het kan hardware, onomkeerbaar vernietigen. Van: "Betaal voor 6 juli 2021 0:00 GMT of we vernietigen je data". Niets encryptie, niets betalen van losgeld. Een beetje hoe het nu met DDOS aanvallen gaat maar dan permanent en zonder dat je een groot botnet nodig hebt.

De aandacht in de media zorgt ervoor dat iedereen gaat betalen.

Probleem is dat bedrijven zich niet voorbereiden. Want dat kost geld.
Om bedrijven te dwingen wel betere maatregelen te nemen (er dus in te investeren), zal van overheidswege moeten komen.

- Geen belastingaftrek van betaald ransomeware.

- En een boete van dezelfde hoogte als straf (Maak het betalen vanransomeware duurder dan het betalen zelf)
Te betalen door de directeuren zelf. Dus niet uit de bedrijfskas.

- Stel een minimale set eisen op waaran de beveiliging van een bedrijf moet voldoen. Bv reguliere backups. Blijkt een bedrijf hier nalatig in te zijn geweest, dan boete.


Het is dan natuurlijk wachten tot de ransomeware-criminelen dan overstappen op prive-personen als doel.
Want op een bepaald moment zijn bedrijven allemaal beter beveiligd.

Blijft het probleem hoe je burgers beter gaat bekendmaken met deze materie.
Het tijdperk dat je niets meer van een computeromgeving hoeft te snappen om het te gebruiken nadert zijn einde. De risico's voor de mensen zelf worden te groot.
- Medische data online.
- Bankzaken online.
- Alles is benaderbaar via de smartphone of staat daarop verzameld.
- Enig besef van beveiliging of backups hebben de meeste gebruikers niet.
- MFA is soms al te moeilijk (de steeds wisselende 6-ijferige tan-code werd door ING afgeschaft omdat die te moeilijk was voor een deel van de gebruikers, en vervangen door een statische 5-cijferige pin code)

etc etc etc

De oplossing ligt uiteraard bij Grapperhaus. Hij moet cryptografie gewoon verbieden, dan kan ransomware ook z'n werk niet meer doen.

Als je software voor lichte consumententoepassingen in professionele context gebruikt dan krijg je dat soort dingen. Dat je eindgebruikers moet verhinderen ergens op te klikken, omdat de gebruikte software daar 'niet tegen kan'. Nou, ik heb nieuws: er zal altijd iemand zijn die ergens op klikt als dat niet verstandig is. Uit onkunde, vermoeidheid, etc. Je moet gewoon geen software gebruiken die daar niet tegen kan!

:-) :-)

Anders, namelijk: er is hier niet één oplossing voor. Elke security professional zal je vertellen dat er niet één silver bullet is die elk probleem oplost. Dit is een probleem wat over de gehele linie opgelost moet worden. Eindgebruikers moeten zich bewust zijn van veilig werken, bedrijven moeten de juiste processen ingericht hebben waaronder het opleiden van gebruikers, inrichten van detectie, preventie, incident response procedures en updateprocedures, ze moeten zich bewust zijn van het belang van veilige software, en de overheid moet dit geheel stimuleren en faciliteren.

Security is holistisch.

Welke stok ga je gebruiken?
Het pappen en nathouden van de afgelopen decennia heeft niet veel zoden aan de dijk gezet, behalve weer een digibete generatie op de wereld los te laten.

Security is holistisch. <- dit

Er is geen "perfect", zelfs zonder internet kabel kan je gehacked worden (insider threats, bluetooth attacks, ram uitlezen op afstand etc)

Echter werken de volgende dingen wel zeer goed tegen ransomeware!:
- User awareness en training, dat zijn twee verschillende dingen. Weten wat phishing is is niet weten hoe je er mee omgaat per se en dat gestructureerd kunnen doen. Sommige exploits launchen al bij het openen van een mail en niet het downloaden en openen van een bestand #australie2017.
- Patch management (tegen de vulns en dus exploits die ransomware vaak gebruiken)
- Least privilege / Least acces mentaliteit (ransomware pakt vaak zo hoog mogelijke accounts, vanaf daar gaan ze "verspreiden en versleutelen".
- AntiWirus (geen silvere kogel natuurlijk)
- System hardening
- Niet je gehele infra aan elkaar koppelen, maak scheidingen en rechten verdelingen in je AD, segmenteer je AD.
- LAN SEGMENTATIE (layer 2 en layer 3)
- Geen beheer poortjes aan het internet of in user lan segmenten, daar heb je een management segment voor.
- Goede inbound en outbound firewall rules, zowel op de "bedrijfsrouter" als op elk systeem.
- Configuratie is een bitch, zorg voor genoeg mensen en trainingen en zorg dat je personeel ouder word dan 31... lief zijn.
- Response plannen die klaar liggen bij een "attack"
- Goede detectie, denk aan SIEM systemen, SOC personeel etc.

Je kan maar zo veel beveiligen als je budget en mensen hebt, maar ik denk dat dit het meeste wel dekt. Begin in iedergeval bij patching, segmentatie, AV en mensen opleiden/awareness/training.

De kern van het probleem blijft dat 'het klikken op een verkeerde link' iets kan installeren.

Zorg nou eens voor een fatsoenlijk OS waar dat soort dingen niet fout gaan.
Derhalve ligt de oplossing (dus) bij het bedrijfsleven.

Eens. Mensen maken fouten; dat is altijd zo geweest en dat is niet iets dat je met een cursusje volledig kunt elimineren.

Als een voorspelbare (in de zin van het gaat ooit gebeuren) fout van een enkele medewerker leidt tot de schade die we nu zien bij ransomware (in combinatie met de dreiging dat gekopiejatte vertrouwelijke informatie wordt gepubliceerd), dan heb je iets heel erg verkeerd gedaan.

Daarom heb ik geen goed woord over voor getroffen organisaties die roepen dat iedereen dit kan overkomen, want dat is gezwam om het eigen falen te verdoezelen; zij hebben gewoon onvoldoende moeite genomen (en geld gespendeerd en druk uitgeoefend op software- en andere suppliers) om fatsoenlijke ICT-beveiliging te realiseren - zodanig dat in elk geval de schade bij zo'n aanval zoveel mogelijk wordt beperkt.

Allemaal natuurlijk. Maar ik denk dat eindgebruikers al genoeg op hun bordje hebben. Oplossing zou eerder in technische middelen als software moeten liggen. Commerciële software beter testen, minder nadruk op features en meer op kwaliteit bij softwareontwikkeling en wetgeving om producenten van software (of hardware die met software wordt geleverd) verantwoordelijk te maken voor de kwaliteit hiervan en garantie op ondersteuning voor een x- aantal jaar na verkoop.

Verder terughoudend zijn met het koppelen van software aan het internet als dit niet strikt noodzakelijk is en als laatste redmiddel een goed anti-malwareprogramma als Kaspersky.

Denk er ook eens aan moderne file systemen (zfs, btrfs) aan je DMS te hangen. Die copy on write doen ipv bestanden te overschrijven. Desnoods doorvoeren tot op worm niveau als de data belangrijk genoeg is.

(en ja, ook dit is geen zilveren kogel, holische benadering blijft het belangrijkste, zonder strakke procedures is alles gedoemd.)

Ik zou de vraag niet zo simpel stellen , ik denk dat de oplossing uit meerder zaken bestaan . De eindgebruiker moet beter opletten en opgeleid worden door informatie op alle kanalen, ook de overheid. Iedereen zou over een degelijke antivirus moeten beschikken. Softwaremakers zouden hun programma's beter moeten maken (te veel bugs.)
Maar een grote verantwoordelijkheid ligt ook bij je provider , spam tegen houden voor hij je mailbox bereikt zou toch geen probleem mogen zijn. En ten slotte gezond verstand en niet zomaar alles open klikken.

Als het antwoord zo simpel is dat het in dit textboxje past... dan zou het al geen issue meer zijn.
Naar mijn mening moet je de oplossing voor het probleem zoeken bij het fenomeen bitcoin (en soorten). Daarmee is betalingsverkeer uit het zicht en kan je dus bedrijven chanteren zonder zichtbaar te worden. Het zal misschien te laat zijn, maar dat is wel waar naar mijn mening het probleem zijn oorzaak vind.

2x is ook teveel van het goede :p een keer teveel op mijn muis geboinkt.

Dan zal de mensheid de fundamentele wetten van de wis- en natuurkunde moeten gaan wijzigen, maar die zullen zich daar net zo min iets van aantrekken als de corrupte staten en criminelen die daar misbruik van maken. Nu alleen nog hopen dat onze geachte politici en beleidsambtenaren dat ook snappen.


https://www.newscientist.com/article/2140747-laws-of-mathematics-dont-apply-here-says-australian-pm/

Hoewel Bitcoin e.d. het misschien ergens een klein beetje makkelijker maken, maar bitcoin heeft tal van legitieme toepassingen. Op deze manier kan je ook zeggen dat het bestaan van cryptografie het probleem is.

Overigens was het ransomware probleem ook al groot voordat de meeste betalingseisen via bitcoin verliepen hoor. Was dan meestal iets als paysafecard via waar betaald moest worden.

Beetje makkelijk, software en dan stellen dat de ontwikkelaars die geen gaten maken als ze het konden dan deden ze het wel

Dat gat in die beheer software waar men door middel van SQL injectie kon toeslaan is te zot voor woorden, SQL injectie staat sinds de vorige eeuw op nummer 1 van programmeer fouten. Als je dat bij beheer software niet test, dan ben je als bedrijf het niet waard om te bestaan, dan ben je nalatig en niet een beetje ook.

Ontwikkelaars hebben bepaalde eigenschappen:
eigenwijs
zelf oplossingen bedenken
niet testen
niet documenteren
bibliotheken gebruiken en die foutief implementeren

En dan de managers van een software beheer tool:
time to market is alles
niet testen want dat is duur
mooie hosanna verhalen
een bagger product verkopen

En dan bedrijven:
Beveiligen wordt gezien als kostenpost in plaats van als enabler
De CISO mag niks kosten
segmenteren is duur
beheer processen, we hebben het toch uitbesteed?
opleiden van eindgebruikers is lastig
als we het kunnen verzekeren, dan doen we dat

Alsof criminelen zich aan de wet gaan houden.
Je pakt er enkel de brave burger mee.

Onze laptops met Debian en Wayland draaien op coreboot firmware en OpenZFS. Het intranet is gesegmenteerd met OpenBSD firewalls en data diodes. De servers voor de WORM volumes van het off-line backup systeem draaien op Minix 3. De kroonjuwelen staan ondergronds, achter 1,8 meter gewapend beton in een met stikstofgas gevulde ruimte. We werken met sudo 2FA-tokens en de rootshells zijn uitgeschakeld. Het intranet van de productie is air gapped. Het intranet wordt continu gemonitord. Alles wat door het SoC wordt gelogd, komt op aparte logservers terecht.

Door schade de schande wijs geworden is Microsoft reeds lang geleden uitgefaseerd. De beste IT beslissing ooit.

De enige juiste opmerking is die van 19:24 gisteren.
Het feit DAT op een link klikken ellende op kan leveren is de basis van het probleem.
Maar ja, het gaat alleen maar om 'zo snel mogelijk op de markt' en 'zoveel mogelijk features' (die niemand gebruikt...). Aanschouw het resultaat!

Dus (de gevolgen van) een steekpartij is de schuld van de messenfabrikant? Die had het mes zo moeten ontwerpen, dat je er geen levende wezens mee kunt verwonden? Wat een onzin!

Die vergelijking gaat niet helemaal op.

Messen bestaan al millenia, en het simpele ontwerp heeft de tijd gehad om geperfectioneerd te worden.
Het doet waar het voor ontworpen is.

OS-en worden snel ontwikkkeld, en blijken bij release vol bugs, kwetsbaarheden, en slordigheden te zitten. Tegen de tijd dat de grootste hoeveelheid bugs opgelost zijn, is er weer een nieuwe versie van het OS (met nog meer toeters en bellen), en begint het gedonder opnieuw.
Op die manier heeft een OS geen tijd om uit te cristalliseren tot een "perfect" product zonder fouten.

Waar is het simpele ontwerp, de basis-code, dat de tijd gekregen heeft om te rijpen tot perfectie?
(en dat niet elke week herschreven hoeft te worden om nieuwe features te ondersteunen)

Ik ben zeer benieuwd in welk type bedrijf u werkt. Dit klinkt allemaal zeer doordacht (en duur?). Wel een heel interessant verhaal!

Klopt, misschien had ik <humor> tags moeten gebruiken :-)

Een mes heeft geen verbinding met de buitenwereld die iemand die niet eens aanwezig is in je keuken in staat stelt om onverwacht een keukenmes te pakken en in je rug te steken.

Toen computers nog niet massaal via het internet met zo'n beetje alle andere computers in de wereld verbinding konden maken hadden computers dit probleem ook nog niet, toen was ouderwetse fysieke beveiliging een uitstekende manier om ellende buiten de deur te houden.

Dat volstaat nu niet meer. Computers staan niet meer allemaal in een veilig van de buitenwereld afgeschermde omgeving alleen maar met elkaar te communiceren. Door de wereldwijde netwerkverbindingen moeten al die computers voorzieningen bevatten om het digitale equivalent te voorkomen van die figuur die zonder fysiek aanwezig te zijn je keukenmes in je rug kan steken. Dat stelt eisen aan het gebruik en het beheer van die systemen die veel verder gaan dan vroeger nodig was. En het stelt ook hoge eisen aan de software op die systemen, inclusief de besturingssystemen, want die zijn niet alleen onderdeel van hoe je ze gebruikt maar bevatten ook de middelen om je op digitaal niveau te verdedigen.

En wie maken die besturingssystemen? Juist, de fabrikanten ervan. Die hebben de verantwoordelijkheid om dingen te leveren die voor hun doel geschikt zijn.

Sla daarbij niet over dat het juist techreuzen zijn geweest die ons vol overgave naar die verbonden wereld hebben geloodst. Dat was echt niet alleen maar reageren op behoeftes van gebruikers en klanten, het was in hoge mate ook het sturen van die behoeftes. De behoefte aan grafische besturingssystemen is niet bedacht door gebruikers, het is bedacht door softwarefabrikanten. De cloud, waar tegenwoordig zoveel in wordt ondergebracht, is echt niet bedacht door bedrijven die hun eigen computerzalen hadden en gebruikers die een pc thuis hadden staan, dat is bedacht door bedrijven die snappen dat je als platformleverancier schatrijk kan worden. Bij dat soort sturend optreden hoort ook de verantwoordelijkheid om te zorgen dat wat men aanbiedt tegen zijn taak opgewassen is. Inclusief de beveiliging.