01 september 2021 19:38 door karma4: 01 september 13:06 door Anoniem: doet u eens een citaat en referentie bij deze stelling....
https://www.maastrichtuniversity.nl/um-cyber-attack-symposium-%E2%80%93-lessons-learntLet even op het zijn de genoemde adviespunten uit het rapport:
1/ Betere ‘awareness’ en afhandeling van (meldingen van) ‘phishing-mails’ je kunt ook whatapp oplichting nemen.
2/ Technisch
- Het accuraat updaten van de software
- Het verbeteren van de segmentering van het Windows domein.
De zin daarachter meteen de opmerking van het domein admin voor dagelijks beheer op de vloer
- Het inrichten van 24/7 monitoring door middel van een SIEM en/of SOC OFwel het niet weten wat er speelt
- Configuration Management Data Base .. Doel je moet het kunnen herstellen niet eenmailg .. hij doet/deed het
3/ Dubbele back-up lees en huiver dat het om het per ongeluk verwijderde gegevens snel terughalen ging. Geen DR.
01 september 2021 14:01 door Anoniem: Ook hier heb ik de onderstreping aangebracht. Karma4: lees er niet overheen. Slaan Pim Takkenberg en FoxIT de spijker op de kop, of deugt hun diagnose niet? Wat mij betreft kan je pas werken aan herstel na een goede diagnose.
Staat letterljk wat ik beweer in het rapport. Cloud op aangeven van een enkele leverancier is geen DR. Een NAS-je inzetten is geen Window. Als je voor SAN gaat kom je met heel andere zaken. Fox-it noemt de pijnpunten uitstekend.
Om het in een OS flaming te laten ontaarden is totaal onzinnig en buiten werkelijkheid.
Als we auto's er bij halen verklaar jij Volkswagen schuldig aan het verdwijnen van cash wegens de audi-bende.
Karma 4 de vraag was om jouw stelling te onderbouwen. Die stelling luidt:
31-08-2021, 22:16 door Karma4
Lees dat rapport van fox-it nog eens beter. Die backup op linuxservertje dachten ze te hebben. Alleen niet getest en open en bloot voor dezelfde beerder als van de werkplekken. Passwoord en credentials weg dan haal je die backup als eerste onderuit. Bacmups sans zijn heel andere technieken.
Karma4 reageert met de “lessons learnt” punt 1 t/m 3 (op bladzijde 3 en 4) uit de “Reactie van de Universiteit Maastricht op het FoxIT rapport”.
Maar daarmee gaat Karma4 geheel voorbij aan de alinea "Ransomware-aanval" eerder op pagina 2:
https://www.maastrichtuniversity.nl/um-cyber-attack-symposium-%E2%80%93-lessons-learnt(Pagina 2)
"Ransomware-aanval:
(..)Tijdens de aanval is een deel van onze technische infrastructuur geraakt. Die infrastructuur bestaat uit 1.647 Linux en Windows-servers en 7.307 werkplekken.
De aanval heeft zich uiteindelijk gericht op 267 servers van het Windows-domein. De aanvaller heeft zich gefocust op het versleutelen van gegevensbestanden in het Windowsdomein. Daarbij is van een beperkt aantal systemen ook de back-up getroffen." De “lessons learnt” (punten 1 t/m3) gaan dan vervolgens volledig over de infrastructuur die geraakt is, namelijk de 267 Windows servers. Karma 4 beschrijft dat als volgt:
01-09-2021, 19:38 door Karma4
2/ Technisch
- (..)
- Het verbeteren van de segmentering van het Windows domein.
De zin daarachter meteen de opmerking van het domein admin voor dagelijks beheer op de vloer
Wat staat er letterlijk in de "Reactie van de Universiteit Maastricht op het rapport van FoxIT ":
https://www.maastrichtuniversity.nl/um-cyber-attack-symposium-%E2%80%93-lessons-learntLessons learnt (pagina 3):
2.Technische maatregelen
(..)
Het verbeteren van de segmentering van het
Windows-domein. #Tot nu toe werd binnen het
Windows-domein van de UM het domein administrator account met bijbehorende rechten ook gebruikt voor beheer en onderhoudswerkzaamheden op gewone servers.
Dit is in strijd met het bestaande beleid. Hierdoor was het makkelijker voor criminelen om via malware zeggenschap over het domein te bemachtigen en daarmee kwaadwillende acties uit te voeren, zoals het installeren van malware en ransomware. In de toekomst zullen we daarom nauwer toezien op het gebruik van de domain administrator accounts en het gebruik ervan beperken voor onderhoud aan het domein en de domein controllers. Ook zullen we de rechtenstructuur binnen het
Windows-domein verder verfijnen.
Duidelijker kan het toch niet worden opgeschreven? Het probleem zit niet bij de Linux-servers.
Karma 4 beschrijft punt 3 als volgt:
01-09-2021, 19:38 door Karma4
3/ Dubbele back-up lees en huiver dat het om het per ongeluk verwijderde gegevens snel terughalen ging. Geen DR.
Wat staat er letterlijk in de reactie van de Universiteit Maastricht op het rapport van FoxIT :
https://www.maastrichtuniversity.nl/um-cyber-attack-symposium-%E2%80%93-lessons-learntLessons learnt (pagina 4):
3. Dubbele back-ups
Als cyberaanvallers onverhoopt toch schade weten aan te richten, wil de UM beter in staat zijn de schade zelf te herstellen met back-ups. Tot nu toe koos de UM ervoor om back-ups vooral te gebruiken om bijvoorbeeld bij een storing of uitval zo snel mogelijk weer te kunnen beschikken over een werkende omgeving. Hier zijn diverse technieken voor. Het meest gebruikt is het aanleggen van zogeheten ‘snapshots’ verdeeld over meerdere locaties. Deze techniek vraagt erom dat deze ‘snapshots’ online staan, afhankelijk van de gekozen oplossing of fabrikant. De cyberaanvaller wist van een paar kritische systemen deze online back-ups te versleutelen. Dat moet in de toekomst voorkomen worden. Daarom moeten er naast online back-ups óók offline back-ups komen, zodat het scenario van totale uitval kan worden voorkomen. Inmiddels hebben we voor elk cruciaal systeem offline én online back-ups gemaakt. (..)
De Universiteit Maastricht heeft dus goede stappen ondernomen. Snapshots zijn inderdaad niet hetzelfde als een SAN Storage Attached Network, of een regelmatig beproefde DR Disaster Recovery. Daar heb je gelijk Karma 4, maar daarmee onderbouw je je stelling niet:
31-08-2021, 22:16 door Karma4
Die backup op linuxservertje dachten ze te hebben. Alleen niet getest en open en bloot voor dezelfde beerder als van de werkplekken
De Windows backups van de UM waren snapshots, en daarvan wist de aanvaller een paar te versleutelen. Karma4 vlecht hier een "linuxservertje" in maar dat staat er niet. Waarom doe je dat Karma4, vertroebel de heldere analyse van FoxIT en de UM nou niet.
De Universiteit van Maastricht kan wat mij betreft niet genoeg geprezen worden voor het openbaar maken van dit FoxIT rapport en de openheid waarmee men de strijd tegen ransomware is aangegaan. Daar kunnen andere instellingen (ROC Mondriaan!!) en bedrijven hun voordeel mee doen.
01 september 2021 19:38 door karma4:01 september 2021 14:01 door Anoniem: Ook hier heb ik de onderstreping aangebracht. Karma4: lees er niet overheen. Slaan Pim Takkenberg en FoxIT de spijker op de kop, of deugt hun diagnose niet? Wat mij betreft kan je pas werken aan herstel na een goede diagnose.
Staat letterljk wat ik beweer in het rapport. Cloud op aangeven van een enkele leverancier is geen DR. Een NAS-je inzetten is geen Window. Als je voor SAN gaat kom je met heel andere zaken. Fox-it noemt de pijnpunten uitstekend.
Om het in een OS flaming te laten ontaarden is totaal onzinnig en buiten werkelijkheid.
Als we auto's er bij halen verklaar jij Volkswagen schuldig aan het verdwijnen van cash wegens de audi-bende.
Een snapshot is niet hetzelfde als een regelmatig geoefend DR Disaster Recovery. Dat klopt. Maar dat was de vraag niet. De vraag was:
01-09-2021 14:01 door Anoniem:
Slaan Pim Takkenberg en FoxIT de spijker op de kop, of deugt hun diagnose niet?
De diagnose van FoxIT en Pim Takkenberg is dat de Windows-systemen de zwakke schakel zijn gebleken.
FoxIT heeft een recept voor een goed medicijn opgeschreven, die de Universiteit Maastricht accepteert als "lessons learnt".
Karma4 haalt de ziekte en het medicijn door elkaar, en wijst naar een "linux-servertje". Daar zat het probleem (de ziekte) dus niet. Als je de diagnose vertroebelt kan je de ziekte niet genezen.
Een NAS-je inzetten is geen Window.
Dat begrijp ik helemaal niet. Wat bedoel je daarmee?
En OS-flaming is hier niet aan de orde. Wel het kennen en volledig begrijpen van de eigen systemen om aanvallers geen kans te geven. En het tijdig nemen van maatregelen (bevorderen van de security-awareness, segmentering van netwerken, inrichten van een (minimale) rechten systeem, invullen van een Configuration Management Database, backups online en offline, oefenen van Disaster Recovery).
Dat zijn maatregelen, noem het gerust gouden regels die voor
ieder OS gelden. "Security by design" en wat mij betreft ook "privacy by design" ontbreken kennelijk nog te vaak in diverse systeemontwerpen.
Dat begint allemaal met een goede diagnose (zoals die van FoxIT) en vervolgens ook goed lezen en begrijpen. Dat begrijpen van de toch ondubbelzinnige teksten (van FoxIT, de "lessons learnt" van de Universiteit Maastricht, en ook Pim Takkenberg van NortWave Security) zie ik niet terug in de reactie van Karma4.
Anoniem van 31-08-2021 16:00, en 01-09-2021 14:01