Door Anoniem: Wat een zielige bedoeling hier. Mensen gissen maar wat, denken te weten wat er aan de hand is. Kortom.... ga uit van feiten en niet van gissen. 3100 servers zegt niks over de funktie ervan. Mensen zeggen altijd maar wat en weten het altijd beter. Waar mensen nooit over praten hier, is dat de randomware criminelen computerspecialisten zijn die allemaal aparte taken hebben. Je bent als het ware overgeleverd aan een computerspecialist die misschien meer weet dan jij of ergens een lek ontdekt heeft en er gebruik van maakt. Het zijn geen mensen zoals wij en jij, maar echt iemand die zeer deskundig is en gewoon ervaren is. Ook steeds opmerkingen over slechte beveiligingen lees ik steeds, ook iets dat steeds zomaar aangenomen wordt. Zerodays en Exploits zijn aan de orde van de dag, daar helpen updates niks tegen, hoor ! Je kan nog zo'n up to date systeem hebben, maar 1 zeroday lek en je bent weg. Duik eens in de wereld van ransomware en begin dan in te zien hoe commercieel en professioneel deze wereld is. Als je nog steeds hebt over dat een bedrijf slecht beveiligd is als het ransomware oploopt, dan heb je er totaal niks van begrepen en snap je er dus geen donder van !
Zodra iemand door je beveiliging heen komt dan spreken we niet meer over goede beveiliging maar geen effectieve beveiliging. Het zinnetje het zijn geen mensen zoals wij en en jij slaat werkelijk waar nergens op behalve als je over jezelf praat. Ik kan je garanderen dat er hier meerdere formele training hebben gevolgd en of onderdeel zijn van een red of blue team.
Het argument dat updates niet helpen tegen zerodays is ook veel te simpel. Er zijn tal van situaties waar een zeroday wordt ingeschaald als enkel lokaal uitvoerbaar tenzij ze misbruik maken van een andere ongepatched lek of waarbij de impact van een zeroday beperkt is door alles up to date te houden.
Ik betwijfel dat er hier veel mensen zijn die denken dat het om scriptkiddies gaat de meeste weten dondersgoed wat de risico's zijn van dit soort criminelen dat is namelijk voor sommige onderdeel van hun werk net als dat je honderden feeds binnenkrijgt over alle software updates en potentiele verschuivingen op vector gebied.
Verder valt onder beveiliging ook disaster recovery, incident management en response en monitoring.
Grote bedrijven die nu nog steeds geen geisoleerde back-ups hebben spelen met vuur en hun data is de brandstof.
Je kunt geen enkele ITer wijsmaken dat we spreken over een goed beveiligde infra als er 3100 entiteiten geraakt zijn. Blijkbaar is er niks of weinig gesegmenteerd is er geen actieve IDS ingeregeld of heeft iemand liggen slapen terwijl de criminelen dit hebben gedeployed.
Hier een tip hoe je als de kippen erbij kunt zijn als er sh*t aan de hand is zonder te moeten wachten op paniek telefoontjes.
1 je monitored alle systemen op introductie van bekende encrypted extensies en of onbekende bij ontdekking buiten de excluded folders genereer alert met systeem info naar je SOC en force shutdown system.
2 monitor op enige document met *decrypt* als naam again genereert alert met systeem info naar je SOC en force shutdown system
En als je sh*t tegenkomt dan donder alles offline wacht niet op toestemming van hogerop tenzij er iemand boven je zit met beveiliging kennis en direct bereikbaar is. Elke seconde telt enige dataschade, hardware schade en reputatie schade is in het niets vergeleken met de ramp waarin bedrijven als VDL en Mediamarkt zich nu bevinden. En als iemand je tegenhoudt tot die actie te ondernemen laat ze een document ondertekenen waarin ze de verantwoordelijkheid nemen voor het uitstellen van enige actie. En for beep sake oefen dit soort scenarios analyseer response time en werk je draaiboeken bij.