image

MIVD adviseert organisaties tijdig updaten, netwerksegmentatie en MFA

vrijdag 6 september 2024, 09:34 door Redactie, 6 reacties

De MIVD heeft samen met inlichtingendiensten uit allerlei landen beveiligingsadvies uitgegeven waarin organisaties worden opgeroepen om updates tijdig te installeren, netwerksegmentatie toe te passen en phishingbestendige multifactorauthenticatie (MFA) voor alle vanaf internet toegankelijke accountdiensten te gebruiken, en dan met name voor webmail, vpn's en accounts van vitale systemen.

Volgens de diensten moeten organisaties de maatregelen vandaag nog doorvoeren om aanvallen door een eenheid van de Russische geheime dienst, aangeduid als Unit 29155, te voorkomen. Deze groep wordt voor verschillende cyberaanvallen verantwoordelijk gehouden, waaronder die met de WhisperGate-malware. Bij de aanvallen maakt de groep misbruik van bekende kwetsbaarheden in Atlassian Confluence Server en Data Center, Sophos Firewall en ip-camera's van fabrikant Dahua.

De groep zou gebruikmaken van zoekmachine Shodan om kwetsbare Internet of Things-apparaten te vinden. Vervolgens wordt er geprobeerd om met standaard gebruikersnamen en wachtwoorden op ip-camera's in te loggen en afbeeldingen te stelen, alsmede inloggegevens. De waarschuwing van de diensten bevatten ook Indicators of Compromise, zoals ip-adressen, gebruikte tooling en werkwijze, waarmee organisaties kunnen kijken of ze doelwit zijn geweest.

Daarnaast wordt advies gegeven om systemen en netwerken te beschermen. Naast de eerder genoemde maatregelen wordt ook aangeraden om geregeld geautomatiseerde vulnerability scans uit te voeren, blootstelling van misbruikbare diensten zoals e-mail en remote managementprotocollen te beperken, het gebruik van command line en PowerShell te beperken of uit te schakelen, het monitoren op ongeautoriseerde inlogpogingen en het identificeren van verouderde of zwakke encryptie.

Reacties (6)
06-09-2024, 10:46 door Anoniem
Tja, dit advies van stichting open deur wordt al jaren gegeven maar gewoon niet gedaan. De NIST2 gaat daar ook geen verandering in brengen want dat wordt ook alleen maar een papieren exercitie zonder dat daar gevolgen aan vast zitten.
Stichting open deur zou zich eerst eens af moeten vragen of zij wel de aangezen partij zijn om dit advies te geven en daarna waarom dergelijke adviezen niet worden opgevolgd.
Er komen nog steeds producten op de markt die MFA niet vanuit de basis afdwingen zodat bedrijven en organisatie geen andere keuze hebben dan dit toe te passen.
Overigens is het hebben van MFA geen holy grail want er komen steeds meer mogelijkheden om er omheen te geraken. In veel gevallen is dat via phishing maar er zijn ook andere technieken, ook nog in ontwikkeling, waarbij MFA relatief eenvoudig te omzeilen is of zal zijn. Alles wat via software werkt valt te kraken dus er zal iets anders op gevonden moeten worden. Zijn dat FIDO/2 sleutels? Op dit moment wel de meest veilige optie maar ook daar zullen vast wel weer zaken voor gevonden kunnen worden. Geen idee wat dan weer veiliger is maar zonder het gebruik van MFA weet je eigenlijk wel zeker dat het niet meer de vraag is of je gehackt gaat worden maar wanneer. En dat wanneer kan in dat geval weleens heel snel zijn.
06-09-2024, 10:55 door wim-bart
Hoe veel bedrijven ik zie die hier niet aan voldoen. Omdat het meer kost. Soms vraag ik mij af wat die meerkosten dan zijn. De Switches heb je meestal al hangen, dus VLANs en VRFs zou geen issue moeten zijn. In Azure en AWS kan je ook alles ophakken in netwerk lagen en hub/spoke + netwerk tiering doen.

Ik denk meer dat het ontbreekt aan urgentie en besef.
06-09-2024, 11:07 door -Peter-
Door wim-bart: Hoe veel bedrijven ik zie die hier niet aan voldoen. Omdat het meer kost. Soms vraag ik mij af wat die meerkosten dan zijn. De Switches heb je meestal al hangen, dus VLANs en VRFs zou geen issue moeten zijn. In Azure en AWS kan je ook alles ophakken in netwerk lagen en hub/spoke + netwerk tiering doen.

Ik denk meer dat het ontbreekt aan urgentie en besef.

Mijn ervaring is dat apparatuur meestal geen probleem is. Daar lobbyen de grote partijen goed genoeg voor. Vooral met zero-admin kreten. Maar uiteindelijk blijkt zero-admin te betekenen dat je ze gebruikt als domme switches. Wil je er echt wat mee doen, en dan vooral op gebied van beveiliging, dan blijkt de administratieve taak toch fors te zijn. Daar is dan meestal geen budget voor, als er al gekwalificeerd personeel beschikbaar is.

Ik zie veel partijen die hun IT hebben uitbesteed. Daar moet je niet met beveiliging aankomen, want iedere wijziging in de firewall, VLAN e.d. kost extra. En ook die bedrijven hebben moeite met het vinden van gekwalificeerd (!) personeel.

Peter
Peter
06-09-2024, 14:52 door Anoniem
Gewoon dergelijke landen loskoppelen van internet lijkt mij de beste oplossing.
07-09-2024, 21:37 door linuxpro
Brilliant advies, hoe komen ze er op? Volgens mij is dat advies er al een paar decennia met soms andere achterliggende redenen maar het blijft een schot voor open doel. Maar goed, er is weer een publicatie uitgegaan, een advies gegeven en dus is de pot geld voor volgend jaar weer veilig gesteld.
08-09-2024, 11:40 door Anoniem
Netwerk segmentatie... Klinkt goed. Hang alles wat er niks te zoeken heeft niet aan internet. Scheelt een hoop.
Maar dat zal wel niemand serieus nemen.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.