Systeembeheerder gevaarlijkste werknemer
Bedrijven die het slachtoffer van hackers worden hebben dit vaak niet door en horen meestal van derden dat er iets mis met hun beveiliging is. Verizon's Incident Response Team onderzocht 500 incidenten die tussen 2004 en 2007 plaatsvonden en waarbij 230 miljoen gegevens betrokken waren. Security mag dan bij veel bedrijven op de kaart staan, met de uitvoering is het erbarmelijk gesteld. Zo duurt het bij 63% van de bedrijven maanden voordat ze door hebben dat hun data gecompromitteerd is. Zeventig procent van de bedrijven moet van een derde partij horen, zoals klanten of banken, dat vertrouwelijke informatie gestolen is. Eenmaal ingelicht, duurt het bij de meeste bedrijven nog weken voordat ze het lek verholpen hebben. Slechts 37% weet het probleem binnen een aantal uur of dagen op te lossen.
Aanvallen door insiders komen minder vaak voor, maar zijn wel schadelijker. Een grote meerderheid van de aanvallen (73%) is afkomstig van externe bronnen, terwijl 18% het werk van eigen personeel is. Gaan externe hackers er gemiddeld met 30.000 gegevens vandoor, insiders weten gemiddeld 375.000 gegevens te compromitteren. In het geval dat werknemers de dader zijn, is het in de helft van de gevallen de systeembeheerder.
Van alle aanvallen komt 59% via hacking tot stand, waarvan 39% weer op de applicatie of service laag plaatsvindt. 23% vindt plaats op de laag van het besturingssysteem of platform. Dat bedrijven het voor hackers eenvoudig maken blijkt wel uit de manier van hacken. 90% van de exploits misbruikt bekende beveiligingslekken waar tenminste al zes maanden updates voor beschikbaar zijn. Patchen alleen is niet de oplossing, want 78% van de incidenten zou toch nog plaatsvinden, ook al waren de systemen 100% gepatcht.
Handhaving
Het onderzoek van Verizon geeft ook enkele tips voor het verbeteren van de situatie, zonder dat dit hoge investeringen met zich meebrengt. Het belangrijkste advies is dat bedrijven hun beveiligingsbeleid moeten handhaven. Verder is 83% van de netwerkaanvallen eenvoudig te voorkomen en kunnen bedrijven in 82% van de gevallen weten dat ze gehackt zijn, maar doen ze niets met de aanwezige informatie. Het komt er gewoon op neer dat bedrijven zich met de minimale standaard van beveiliging moeten bezighouden, zoals het actief monitoren van datalogs en het opstellen van retentieplannen, voordat men zich op complexe aanvallen richt.
gedaan? Dit zijn ongetwijfeld weer cijfers van een subset
amerikaanse bedrijven die totaal niet op de nederlandse
situatie van toepassing zijn.
van een goede scheiding van verantwoordelijkheden, en het bijhouden van
een audit trail, waarbij ervoor gezorgd dient te worden dat het beheer over
de systemen waarop deze logs worden opgeslagen niet in handen is van
dezelfde personen die de overige systemen beheren.
De meeste bedrijven hebben geen benul hoeveel er wordt gekopieerd op
usb sticks, externe schijven, via het netwerk en ga zo maar door. Laat staan
dat ze automatisch gewaarschuwd worden bij verdacht gedrag.
I.e. een werknemer, die bijna het bedrijf verlaat, kopieert opeens 100x
zoveel data op 1 dag vanaf de servers van het bedrijf i.v.m. historische
gegevens van de activiteiten met zijn account. Dan zou er toch een belletje
moeten gaan rinkelen, en zou men zich moeten afvragen wat deze
medewerker aan het doen is ?
de medewerkers in het algemeen ook goed zijn voor het bedrijf
Uitspraak doet me beetje denken aan "the end-user blaming the computer"
Tuurlijk ben ik mee eens dat de beheerder eindverantwoordelijk is
Maar zet het dan ook meer in dit context
En dat "beheerders" teveel compromizen met security vindt ik ook weer
"taartje
gebakken lucht". Maar ja ...
... ook 1 van de waarschijnlijk "compromizing" beheerders
Een grote meerderheid van de aanvallen (73%) is afkomstig van externe
bronnen, terwijl 18% het werk van eigen personeel is."
Dit gaat linea recta in tegen alle artikelen die ik tot nu toe hierover heb gelezen.
Gaat het hier om het totaal aantal aanvallen, of alleen om de geslaagde
aanvallen? Insiders hebben al toegang tot applicaties etc, dus het ligt ook voor
de hand dat internen een groter risico vormen.
@Door Anoniem op donderdag 12 juni 2008 14:05
Scheiding van verantwoordelijkheden gaat voor systeembeheerders soms
niet op, juist doordat ze toegang moeten hebben tot een server om taken uit te
kunnen voeren. Een systeembeheerder moet juist applicaties kunnen
installeren, verwijderen, databases kunnen benaderen voor shrink/ backup/
migratie doeleinden/ ... etc. Dat maakt het juist zo lastig. Logging is een
reactief middel dat enorm veel moeite kost om goed bij te houden. Er komen
tal van vragen naar voren die een klein bedrijf niet kan beantwoorden:
- Hoe gaan we de logs bijhouden?
- Wie gaat de logs bijhouden/ doorlezen? Reserveer alvast maar 5 FTE,
afhankelijk van de organisatie grootte.
- Als we het automatisch gaan doen, waar gaan we op filteren? Ik kan je nu al
vertellen: "object access" monitoren gaat niet werken, doordat je in 10 minuten
100MB aan data hebt gegenereerd op een gemiddelde file server.
- Hoe slaan we logs veilig op?
- Selecteren we de "Overwrite when needed" (in Windows)? Bepaalde logdata
ben je dus op een gegeven moment kwijt. Hoe ga je daarmee om?
- Welke eigen monitoring regels maken we? Leuk om te monitoren dat een
beheerder 100x zoveel download, maar denk daarbij ook even aan het
volgende:
(1) Je hebt een baseline nodig voor alle systeembeheerders, voor alle
servers. Historische data voor 10.000 man of meer, hoe denk je dat je gaan
managen en benaderen? 10 extra SAN schijven erbij?
(2) Je moet geconcentreerd blijven, ook na 1000 false positives.
(3) Je moet bij iedere melding van de systeembeheerder waarbij hij zegt dat
hij een backup uitvoert gaan controleren of het allemaal wel klopt wat hij doet
en zegt.
(4) Uitvoeren van restores op systeembeheerder-eigen servers dien je in de
gaten te gaan houden (dat soort servers is namelijk een prima manier om
logging te omzeilen) en dat monitor je waarschijnlijk dan weer niet, juist
doordat MOM of wat voor monitoring software dan ook daar niet op staat.
(5) Je dient ook te gaan monitoren op tig andere dingen, waaronder MOM
agent stops/ starts, log verwijdering etc. Dit zal door de meeste bedijven wel
gedaan zijn, maar toch.
(6) ...
Kortom, logging is leuk en voor bepaalde wetgeving zelfs noodzakelijk, maar
hooglijk overschat als het aankomt op achterhalen van data diefstal.
de medewerkers in het algemeen ook goed zijn voor het bedrijf"
Over het algemeen misschien wel, maar het gaat juist om de uitzonderingen.
En ook bij een bedrijf dat (zeer) goed omgaat met zijn medewerkers kunnen
fraude incidenten wel degelijk plaats vinden.
Wat dat betreft zijn een goede scheiding van verantwoordelijkheden, een
duidelijke audit trail en dat soort zaken altijd zinnig.
crimineel. Na wat schifting is het percentage wat lager maar er blijft altijd een
percentage crimineel.
Dus wat nou systeembeheerders? Het geldt gewoon voor elk bedrijf ook voor
managers dus.
En daar kunnen weer prachtige statistieken op los laten zoals de kans
op..crimineel zijn...allemaal theorie.
Neem je voorzorgsmaatregelen en zorg dat niemand god is en de security
maatregelen ook gemeten worden en met name het laatste daar schort het
veelal aan.
Welke bedrijfsgroep is onderzocht? Waar is het onderzoek
gedaan? Dit zijn ongetwijfeld weer cijfers van een subset
amerikaanse bedrijven die totaal niet op de nederlandse
situatie van toepassing zijn.
Welke bedrijfsgroep is onderzocht? Waar is het onderzoek
gedaan? Dit zijn ongetwijfeld weer cijfers van een subset
amerikaanse bedrijven die totaal niet op de nederlandse
situatie van toepassing zijn.
Onderzoek ik gedaan door Verizon,
Kijk hier eens: http://www.vnunet.nl/nieuws.jsp?id=2586550
Deze posting is gelocked. Reageren is niet meer mogelijk.
Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime
Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.