Overheid VS: remote toegang via alleen een wachtwoord is niet verstandig
Het gebruik van alleen een wachtwoord om systemen op afstand te benaderen of beheren is niet verstandig en moet worden gezien als een "bad practice", zo stelt het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security.
In juni besloot het CISA om bad practices te verzamelen die buitengewoon riskant zijn en de cyberrisico's voor organisaties juist vergroten. De eerste twee bad practices waar het CISA voor waarschuwde waren het gebruik van end-of-life software en het gebruik van bekende/hardcoded/standaard wachtwoorden. Als derde bad practice is nu het gebruik van singlefactorauthenticatie toegevoegd, waarbij er alleen via een gebruikersnaam en wachtwoord op een systeem wordt ingelogd.
Het CISA noemt het gebruik van alleen een wachtwoord met name gevaarlijk wanneer het wordt gebruikt om systemen van de vitale infrastructuur op afstand te benaderen of beheren, aangezien dit het risico voor de nationale veiligheid, nationale economische veiligheid, volksgezondheid en openbare veiligheid aanzienlijk vergroot. Hoewel de vitale infrastructuur specifiek wordt genoemd, roept het CISA alle organisaties op deze bad practice aan te pakken.
De Amerikaanse overheidsinstantie stelt dat er bewust is gekozen voor een klein aantal zeer ernstige bad practices, omdat organisaties beperkte middelen hebben om alle risico's te identificeren en verhelpen. Daarnaast is de aanpak van bad practices geen vervanging voor het implementeren van best practices. Verder wil het ontbreken van een bepaalde bad practice niet zeggen dat het CISA die goedkeurt.
Het is ofwel met een wachtwoord en token (2FA), of via CertOnly.
Sowieso, Windows RDP is altijd zo lek als een mandje, gewoon lekker achter een VPN server zetten (OpenVPN, SoftEther, etc...), dan ben je redelijk veilig.
Aangezien ik alles in Proxmox/Debian/Ubuntu/Alpine draai, heb ik daar totaal geen last van.
Alles dicht getimmered met firewall, zit je helemaal goed.
Tegenwoordig kun je ook 2FA voor Linux shells toepassen, in combinatie met Yubikey is dat helemaal top :)
ze moeten daar eens mee stoppen om alles maar op afstand te koppelen deze optie is levens gevaarlijk...dat is het zelfde
als je portemonnee aan de deur hangen ..???????
Het is ofwel met een wachtwoord en token (2FA), of via CertOnly.
Alles dicht getimmered met firewall, zit je helemaal goed.
Tegenwoordig kun je ook 2FA voor Linux shells toepassen, in combinatie met Yubikey is dat helemaal top :)
Mja heb bij meerdere hosting bedrijven gewerkt.
De meeste werken door middel van een Bastion server.
Ik heb het redelijk goed voor elkaar inderdaad, maar heb ook maar 2 servers waar ik me druk over hoef te maken.
Met vaste IP ranges e.d. kom je al een behoorlijke eind.
SoftEther is tevens sneller kwa doorvoer dan OpenVPN en is ook gratis.
Profs heb ik al eens mee gesproken, mensen die hun geld verdienen door exploits te zoeken en te misbruiken.
Zolang je geen onbevoegde enige shell toegang geeft, en alles IP whitelist via VPN, ben je al behoorlijk veilig hoor.
Windows RDP is gewoon een drama de laatste tijd geweest, maar gelukkig draai ik totaal geen Windows servers meer :)
In combinatie met Docker e.d. is alles best wel dicht getimmered voor elke website.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Information Security Officer (2fte)
Een uitdagende rol waarbij jij, op basis van security, de vertaalslag maakt tussen business en IT en direct bijdraagt aan de veiligheid van informatie binnen de gemeente Almere. Dat is in een notendop waar jij als Information Security Officer mee bezig bent. Interesse gewekt? Door groei van de organisatie zijn we op zoek naar twee nieuwe collega’s.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
