Microsoft: 98 procent aanvallen met basale maatregelen te voorkomen
98 procent van alle aanvallen is met basale beveiligingsmaatregelen, zoals het installeren van beschikbare beveiligingsupdates, te voorkomen, zo stelt Microsoft. Het techbedrijf noemt dit in een artikel over een ransomware-aanval op een organisatie, maar liet dit eerder ook al weten in het Digital Defense Report over 2022 (pdf).
De aanval met de BlackByte-ransomware waarover Microsoft bericht vond plaats via bekende kwetsbaarheden in Microsoft Exchange. De niet nader genoemde organisatie had de patches om deze problemen te verhelpen niet geïnstalleerd, waardoor aanvallers toegang tot de server konden krijgen en daarvandaan zich uiteindelijk lateraal door het netwerk konden bewegen.
"Veel cyberaanvallen zijn succesvol omdat basale beveiligingsmaatregelen niet zijn genomen", aldus Microsoft in het Digital Defense Report over 2022 dat eerder dit jaar verscheen. Het gaat dan om vijf zaken, namelijk het installeren van beveiligingsupdates, inschakelen van multifactorauthenticatie, toepassen van zero trust principes, gebruik van anti-malware en weten waar belangrijke data zich bevindt en die beveiligen.
Om aanvallen met de BlackByte-ransomware te voorkomen worden deze aanbevelingen onder andere aangevuld met het beperken van beheerdersrechten om ongeautoriseerde systeemaanpassingen te voorkomen en het blokkeren van inkomend verkeer van het Tor-netwerk en ongeautoriseerde, publieke vpn-diensten. De BlackByte-groep blijkt vaak vanaf het Tor-netwerk en via vpn-provider Mullvad met gecompromitteerde systemen te verbinden.
Specifiek heb ik het dan over LSA Protection en Credential Guard. Deze laatste wordt tegenwoordig automatisch ingeschakeld op moderne W11 werkplekken, maar niet op Windows Servers die vaak het doelwit zijn bij dit soort aanvallen.
Specifiek heb ik het dan over LSA Protection en Credential Guard. Deze laatste wordt tegenwoordig automatisch ingeschakeld op moderne W11 werkplekken, maar niet op Windows Servers die vaak het doelwit zijn bij dit soort aanvallen.
Je vergeet gemakshalve dat de Windows firewall altijd dicht staat maar dat de gebruiker/beheerder deze verneukt door hem uit te schakelen omdat ze niet snappen hoe hij werkt.
Inderdaad, net als dat bij aanvallen waarbij Windows machines worden misbruikt het meestal komt door domme gebruikers acties (fout linkje klikken etc) en dat bij Linux het meestal komt door "vergeten" updates.
En ja dit is statistisch vastgelegd (die links zijn hier al meermaals gedeeld)
De meeste aanvallen zijn eenvoudig te voorkomen, in de meeste gevallen door betere beheerders aan te nemen en personeel te trainen. in beide gevallen kost dat (meer) geld, if you pay peanuts you'll get monkeys.
Je vergeet gemakshalve dat de Windows firewall altijd dicht staat maar dat de gebruiker/beheerder deze verneukt door hem uit te schakelen omdat ze niet snappen hoe hij werkt.
Maar daar is Microsoft mede-verantwoordelijk voor, omdat die firewall zo belachelijk complex is dat er een meerdaagse studie voor nodig is om te snappen hoe die werkt.
Zo iets is leuk voor degene die zich er in wil verdiepen, maar men zou een setting moeten aanbieden waarbij de boel voor inkomende verbindingen dicht staat maar er niet die idiote per-applicatie opsplitsing van uitgaand verkeer is. Dat is voor de meeste mensen die hem nu helemaal uitzetten een prima oplossing.
Je vergeet gemakshalve dat de Windows firewall altijd dicht staat maar dat de gebruiker/beheerder deze verneukt door hem uit te schakelen omdat ze niet snappen hoe hij werkt.
Maar daar is Microsoft mede-verantwoordelijk voor, omdat die firewall zo belachelijk complex is dat er een meerdaagse studie voor nodig is om te snappen hoe die werkt.
Zo iets is leuk voor degene die zich er in wil verdiepen, maar men zou een setting moeten aanbieden waarbij de boel voor inkomende verbindingen dicht staat maar er niet die idiote per-applicatie opsplitsing van uitgaand verkeer is. Dat is voor de meeste mensen die hem nu helemaal uitzetten een prima oplossing.
serieus? complex? https://woshub.com/windows-firewall-settings-group-policy/
iedereen met ietsie pietsie knowhow stelt dit binnen 5 minuten in.
Daarnaast blijft investeren in basale dingen als een spamfilter, goede backup strategie en trainen van gebruikers ook vaak enorm achter. Je moet dan achteraf niet lopen piepen als je 0,5 Bitcoin over moet maken naar de boefjes om je data terug te krijgen. Die 0,5 bitcoin had je al lang en breed moeten investeren in het veilig houden van je netwerk.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
