Security Professionals
- ipfw add deny all from eindgebruikers to any
Australische security checklists
13-07-2021, 11:17 door Erik van Straten, 1 reacties
Het Australian Cyber Security Centre (ACSC) heeft hun Essential Eight Maturity Model bijgewerkt met de laatste inzichten:
https://www.cyber.gov.au/acsc/view-all-content/publications/essential-eight-maturity-model (mijn bron: https://www.zdnet.com/article/acsc-introduces-essential-eight-zero-level-cyber-maturity-and-aligns-levels-to-tradecraft/).
De focus is op Microsoft omgevingen (met internetkoppeling). De eisen zijn onderverdeeld in acht categoriën, in de pagina Strategies genoemd:
1) Application control
2) Patch applications
3) Configure Microsoft Office macro settings
4) User application hardening
5) Restrict administrative privileges
6) Patch operating systems
7) Multi-factor authentication
8) Regular backups
Feitelijk gaat het om een twee-dimensionale matrix: er wordt namelijk tevens onderscheid gemaakt tussen de maturity- (volwassenheid) niveaus 1, 2 en 3. Met elk niveau worden komen er eisen bij of worden eerdere eisen zwaarder (niveau nul staat voor geen maatregelen). Een handige vergelijking van de toegevoegde eisen in niveau 2 (t.o.v. 1) en 3 (t.o.v. 2) vind je onderaan de pagina in Appendix D.
Mijn persoonlijke mening
Pas vanaf niveau 2 (dus ook in 3) zie ik:
Ik vind de nadruk op MFA overtrokken. Vaak leidt MFA er toe dat er, via het netwerk, 1FA plaatsvindt en/of dat credentials voor de tweede factor gecached worden om gebruikers niet teveel te irriteren; dan schiet je er natuurlijk niet veel mee op. SMS-2FA wordt niet genoemd als ongeschikt. Als de MFA eruit bestaat dat je op dezelfde server een wachtwoord en een of andere code moet invullen en alleen de gebruiker moet checken of diens computer of portable device verbinding heeft met de juiste server, kunnen phishers, die de gebruiker weten te misleiden met een fake server, eenvoudig op het echte systeem inloggen als die gebruiker.
Hoewel dit document veel minder abstract is dan bijv. ISO 27002, mis ik concrete instellingen (of verwijzingen daarnaar). Dit kan het een zoekplaatje maken hoe je sommige maatregelen implementeert. Ook zie ik zo snel niet staan dat het heel belangrijk is dat je de genomen maatregelen in de praktijk grondig uittest (ook of ze eenvoudig door gebruikers te bypassen zijn, want daar kun je dan op wachten).
Aanvankelijk ondersteunden MS Office 2016 en 2019 "Home and Business" out of the box wel group policies (om bijv. macro's volledig te blokkeren), maar later heeft Microsoft dit met een "update" (downdate?) uitgezet - want ondersteuning daarvoor zou niet zijn gespecificeerd (dit veroorzaakte mijn verwarring in https://www.security.nl/posting/647579/macro%27s%3A+Office+GPO+werkt+niet+%232). "Grappig" is overigens dat, kort na de reboot na de meeste (elke?) patch-Tuesday updates, group policies in Office 2019 heel kort werken en daarna weer niet. Die support is er dus wel, maar wordt dus opzettelijk uitgezet.
Nb. volgens https://www.microsoft.com/en-us/download/details.aspx?id=49030 zouden GPO's wel werken in Office 2016 en 2019 indien sprake is van "subscription plans" of "volume licenses" (maar die heb ik kennelijk niet met mijn prijzige software).
Ik vermoed dat je voor een deel van de door het ACSC genoemde maatregelen voor Office (Office 365 of Microsoft 365 of hoe het vandaag ook moge heten) de duurste E5 (heet die nog zo?) variant nodig hebt, en daar zal lang niet iedereen over beschikken.
Terzijde, m.i. is het een slechte zaak dat Microsoft basisbeveiliging zo prijzig maakt (of zelfs opzettelijk uitzet), wellicht iets voor de politiek en/of EU om deze zakkenvullerij (bij alle ransomware-ellende) te verbieden?
https://www.cyber.gov.au/acsc/view-all-content/publications/essential-eight-maturity-model (mijn bron: https://www.zdnet.com/article/acsc-introduces-essential-eight-zero-level-cyber-maturity-and-aligns-levels-to-tradecraft/).
De focus is op Microsoft omgevingen (met internetkoppeling). De eisen zijn onderverdeeld in acht categoriën, in de pagina Strategies genoemd:
1) Application control
2) Patch applications
3) Configure Microsoft Office macro settings
4) User application hardening
5) Restrict administrative privileges
6) Patch operating systems
7) Multi-factor authentication
8) Regular backups
Feitelijk gaat het om een twee-dimensionale matrix: er wordt namelijk tevens onderscheid gemaakt tussen de maturity- (volwassenheid) niveaus 1, 2 en 3. Met elk niveau worden komen er eisen bij of worden eerdere eisen zwaarder (niveau nul staat voor geen maatregelen). Een handige vergelijking van de toegevoegde eisen in niveau 2 (t.o.v. 1) en 3 (t.o.v. 2) vind je onderaan de pagina in Appendix D.
Mijn persoonlijke mening
Pas vanaf niveau 2 (dus ook in 3) zie ik:
Credentials for local administrator accounts and service accounts are unique, unpredictable and managed.
Dat is iets waar ik zelf mee zou beginnen, dus ook in niveau 1 (gebruik bijv. Microsoft LAPS).Ik vind de nadruk op MFA overtrokken. Vaak leidt MFA er toe dat er, via het netwerk, 1FA plaatsvindt en/of dat credentials voor de tweede factor gecached worden om gebruikers niet teveel te irriteren; dan schiet je er natuurlijk niet veel mee op. SMS-2FA wordt niet genoemd als ongeschikt. Als de MFA eruit bestaat dat je op dezelfde server een wachtwoord en een of andere code moet invullen en alleen de gebruiker moet checken of diens computer of portable device verbinding heeft met de juiste server, kunnen phishers, die de gebruiker weten te misleiden met een fake server, eenvoudig op het echte systeem inloggen als die gebruiker.
Hoewel dit document veel minder abstract is dan bijv. ISO 27002, mis ik concrete instellingen (of verwijzingen daarnaar). Dit kan het een zoekplaatje maken hoe je sommige maatregelen implementeert. Ook zie ik zo snel niet staan dat het heel belangrijk is dat je de genomen maatregelen in de praktijk grondig uittest (ook of ze eenvoudig door gebruikers te bypassen zijn, want daar kun je dan op wachten).
Aanvankelijk ondersteunden MS Office 2016 en 2019 "Home and Business" out of the box wel group policies (om bijv. macro's volledig te blokkeren), maar later heeft Microsoft dit met een "update" (downdate?) uitgezet - want ondersteuning daarvoor zou niet zijn gespecificeerd (dit veroorzaakte mijn verwarring in https://www.security.nl/posting/647579/macro%27s%3A+Office+GPO+werkt+niet+%232). "Grappig" is overigens dat, kort na de reboot na de meeste (elke?) patch-Tuesday updates, group policies in Office 2019 heel kort werken en daarna weer niet. Die support is er dus wel, maar wordt dus opzettelijk uitgezet.
Nb. volgens https://www.microsoft.com/en-us/download/details.aspx?id=49030 zouden GPO's wel werken in Office 2016 en 2019 indien sprake is van "subscription plans" of "volume licenses" (maar die heb ik kennelijk niet met mijn prijzige software).
Ik vermoed dat je voor een deel van de door het ACSC genoemde maatregelen voor Office (Office 365 of Microsoft 365 of hoe het vandaag ook moge heten) de duurste E5 (heet die nog zo?) variant nodig hebt, en daar zal lang niet iedereen over beschikken.
Terzijde, m.i. is het een slechte zaak dat Microsoft basisbeveiliging zo prijzig maakt (of zelfs opzettelijk uitzet), wellicht iets voor de politiek en/of EU om deze zakkenvullerij (bij alle ransomware-ellende) te verbieden?
Reacties (1)
14-07-2021, 13:26 door
Erik van Straten
Ter aanvulling, en een bump: hoewel ik (zoals altijd ;-) wel iets te mekkeren heb:
Bovengenoemde is een van de beste security-checklists voor Windows-omgevingen die ik ooit heb gezien!
Een voorbeeld van een m.i. veel slechter advies tegen indringers en ransomware vind je in het rapport van Osterman Research en Trend Micro dat je via https://resources.trendmicro.com/Osterman-Email-Security-WP.html (na het opgeven van jouw contactgegevens, maar met even googlen is ook een directe link te vinden. Mijn bron hiervoor: https://www.zdnet.com/article/ransomware-only-half-of-organisations-can-effectively-defend-against-attacks-warns-report/ van gistermiddag, het rapport zelf is van dit voorjaar).
In dat Osterman Research rapport "How to Reduce the Risk of Phishing and Ransomware" zie ik geen advies voor maatregelen tegen lateral movement, terwijl er wel nadruk wordt gelegd op "het belang van MFA" en "Cloud-based backups" (waar je niks aan hebt als de ransomware-boefjes ook die kunnen wissen of overschrijven met nu versleutelde bestanden). Waarom MFA vaak onvoldoende helpt, lees je bijvoorbeeld in https://www.cyberark.com/resources/threat-research-blog/mfa-bypass-techniques-from-red-team-research.
M.b.t. de ontbrekende ondersteuning van (group) policies in sommige Microsoft Office versies: vorig jaar heb ik een HKCU registry entry ontdekt waarmee je toch Office macro's kunt blokkeren, ongeacht de instellingen die een gebruiker zelf in Office kan wijzigen en waar de meeste phishing/malware-mails met MS Office bijlage toe oproepen.
Nb. een gebruiker kan wel zelf deze registerinstelling wijzigen (in tegenstelling tot registerinstellingen voor policies), maar hoewel dit security by obscurity is, is de kans daarop bij de meeste gebruikers een stuk kleiner dan dat zij instellingen binnen Office wijzigen - met instructies in de misleidende e-mail. Laat maar weten als hier belangstelling voor bestaat, dan zoek ik uit om welke keys/names/values het ook alweer ging, en of deze nu nog werken (ik kan natuurlijk niet beloven dat deze ongedocumenteerde instelling nu en/of na toekomstige updates en/of upgrades zal blijven werken).
Ten slotte: als er bij de bezoekers van security.nl geen belanstelling meer bestaat voor beveiliging van Microsoft software (zo goed en kwaad als dat gaat): prima, dan ga ik geen tijd meer stoppen in het schrijven van bijdragen als bovenstaande.
Bovengenoemde is een van de beste security-checklists voor Windows-omgevingen die ik ooit heb gezien!
Een voorbeeld van een m.i. veel slechter advies tegen indringers en ransomware vind je in het rapport van Osterman Research en Trend Micro dat je via https://resources.trendmicro.com/Osterman-Email-Security-WP.html (na het opgeven van jouw contactgegevens, maar met even googlen is ook een directe link te vinden. Mijn bron hiervoor: https://www.zdnet.com/article/ransomware-only-half-of-organisations-can-effectively-defend-against-attacks-warns-report/ van gistermiddag, het rapport zelf is van dit voorjaar).
In dat Osterman Research rapport "How to Reduce the Risk of Phishing and Ransomware" zie ik geen advies voor maatregelen tegen lateral movement, terwijl er wel nadruk wordt gelegd op "het belang van MFA" en "Cloud-based backups" (waar je niks aan hebt als de ransomware-boefjes ook die kunnen wissen of overschrijven met nu versleutelde bestanden). Waarom MFA vaak onvoldoende helpt, lees je bijvoorbeeld in https://www.cyberark.com/resources/threat-research-blog/mfa-bypass-techniques-from-red-team-research.
M.b.t. de ontbrekende ondersteuning van (group) policies in sommige Microsoft Office versies: vorig jaar heb ik een HKCU registry entry ontdekt waarmee je toch Office macro's kunt blokkeren, ongeacht de instellingen die een gebruiker zelf in Office kan wijzigen en waar de meeste phishing/malware-mails met MS Office bijlage toe oproepen.
Nb. een gebruiker kan wel zelf deze registerinstelling wijzigen (in tegenstelling tot registerinstellingen voor policies), maar hoewel dit security by obscurity is, is de kans daarop bij de meeste gebruikers een stuk kleiner dan dat zij instellingen binnen Office wijzigen - met instructies in de misleidende e-mail. Laat maar weten als hier belangstelling voor bestaat, dan zoek ik uit om welke keys/names/values het ook alweer ging, en of deze nu nog werken (ik kan natuurlijk niet beloven dat deze ongedocumenteerde instelling nu en/of na toekomstige updates en/of upgrades zal blijven werken).
Ten slotte: als er bij de bezoekers van security.nl geen belanstelling meer bestaat voor beveiliging van Microsoft software (zo goed en kwaad als dat gaat): prima, dan ga ik geen tijd meer stoppen in het schrijven van bijdragen als bovenstaande.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
