Computerbeveiliging - Hoe je bad guys buiten de deur houdt

Hoe gaan andere grote bedrijven om met phishing op dagelijkse basis ?

21-10-2014, 21:56 door Jvds1987, 22 reacties
Bij mijn huidige werkgever lopen wij tegen het probleem aan dat phishing op grote schaal onze mailboxen aan het vol spammen zijn met alle gevolgen van dien (geinfecteerde pcs ect. ect.) Op dit moment zijn er 3 afdelingen betrokken bij het blokkeren van phishing. De originele mail komt bij de servicedesk binnen en wordt in ons ticketsysteem verwerkt. Vanuit outlook gaat er een mail naar CERT (voor het sinkholen van de link) en naar netwerken (blokkeren van afzender en attachments in exchange). UIiteindelijk wordt het ticket via Netwerken en weer de servicedesk gesloten zodra de link en de afzender zijn geblockt.

Nu kost dit veel tijd van veel afdelingen met als gevolg dat ze aan het korten zijn op het security budget. Daarnaast is de hoeveelheid phishing dusdanig aan het toenemen dat er ook het personeel niet echt meer voor is om dit op dagelijkse basis te kunnen uitvoeren.
Nu vraag ik me af of er andere ict en security mensen tegen dit probleem zijn aangelopen en hoe het is opgelost. Een brainstorm om mijn eigen ideen op gang te krijgen zou ik ook erg waarderen ;)
Reacties (22)
21-10-2014, 22:44 door SecOff
SameSame, Je zou natuurlijk wel een applicatie kunnen gaan schrijven waarmee het CERT team zelf simpel de source en destination adressen (smtp en ip's) kan laten blocken.
22-10-2014, 10:38 door Jvds1987
Waar bij ons het meeste tijd in gaat zitten is het verwerken van de mails en het behandelen van het ticket. We hebben al een aantal tools die CERT gebruikt om een link te kunnen sinkholen. Ik zou graag willen weten hoe andere bedrijven en IT professionals dit tot een procedure hebben verwerkt.

We willen namelijk de gehele procedure opnieuw op gaan zetten maar we denken zelf te veel in kaders. Vandaar dat ik hoop dat door frisse ideeen van andere mijn eigen ideen op gang komen ;-)
22-10-2014, 15:40 door PietdeVries
Nou heb ik zelf niet met deze problematiek te maken, maar zou een dienst als Spamhaus hier niet bij kunnen helpen? Die phishing attempts komen immers ergens vandaan, en goede kans dat andere admins de mail servers al eerder opgemerkt hebben en ze aangemeld hebben bij Spamhaus. Zou zomaar een groot deel van de foute mails kunnen tegenhouden...
22-10-2014, 15:51 door Anoniem
of je gaat je niet druk lopen maken over spam en phishing, en blokkeert gewoon het installeren van software op de werkstations van de medewerkers.
Als je thin clients gebruikt in een RDP of citrix omgeving kom je een heel eind, en voor laptops... geef de eindgebruiker full admin, alleen toegang tot het bedrijfsnetwerk via webmail en RDP/ICA, en bij een probleem (maakt niet uit wat) neem je de laptop in en spoel je die opnieuw in. Jammer van de vakantiefoto's, lees je regelement maar goed.

Als je medewerkers te dom zijn om een echte van een valse mail te onderscheiden, dan is dat een mooie voor het volgende functioneringsgesprek. of op zijn minst taart trakteren voor de hele afdeling.

En als je dan toch teveel geld of manuren hebt, dan kun je je spam alsnog met de wereld delen voor een betere wereld.
22-10-2014, 16:02 door Anoniem
"Nu kost dit veel tijd van veel afdelingen met als gevolg dat ze aan het korten zijn op het security budget. "

Ik zou zeggen, ze een publieke website op met de informatie, geef anderen de mogelijkheid om ook informatie toe te voegen, en werk samen. Indien je bij ieder bedrijf opnieuw hetzelfde wiel probeert uit te vinden, dan kosten dat erg veel tijd.

Doe je aan het sharen van threat intelligence, dan kan samenwerking zorgen dat je uiteindelijk per bedrijf een stuk minder tijd hoeft te besteden aan het vinden van de relevante informatie - en je kan ingrijpen *voordat* je dergelijke mails zelf binnen krijgt.

Zolang het niet gaat om gerichte aanvallen, dan zou het delen van de informatie niet zo'n groot probleem moeten zijn, aangezien de informatie niet confidential is m.b.t. het desbetreffende bedrijf.

Met andere woorden, kijk verder dan de voordeur van je eigen werkgever, en werk samen !
22-10-2014, 16:06 door Anoniem
Hoeveel mails weten jullie te blokkeren voordat de originele mail voor het eerst bij jullie netwerk aankomt, op basis van openbare bronnen met informatie over actuele phishing aanvallen ?
23-10-2014, 13:28 door [Account Verwijderd]
Ons professionele spam filter houdt *BIJNA* al deze mails tegen, en 2 uur na detectie van een truc om het filter te omzeilen hebben we ook al een update ontvangen.

Ieder zichzelf respecterend bedrijf moet toch écht zorgen voor een goed spam filter.

In de afgelopen 13 jaar heb ik één maal gemerkt dat er een handvol berichten binnenglipten (die prompt werden gelezen en op links geklikt lol maar da's wat anders)..
23-10-2014, 14:06 door Preddie
Veel voorkomend probleem, waarvan de oplossingen bij veel bedrijven in de zelfde hoek te zoeken zijn.

- Een goede mailfilter, met een goede configuratie. Heb jullie die apparatuur niet, schaf deze dan aan. Hebben jullie die apparatuur wel dan ligt het vaak aan de configuratie en afstelling, de oplossing hiervoor; neem goede mensen in dienst, in veel gevallen merk je het gebrek aan kennis en kunde.

Bovenstaande is nog steeds symptoom bestrijding... je wil eigenlijk de bron aanpakken, helaas is dat niet helemaal mogelijk. De bron heeft als input het betreffende email adres nodig om de mail naar toe te sturen, probeer eens uit te zoeken hoe komt dat de mail adressen van medewerker bekend worden bij phishers .... het kunnen gegevens bestanden zijn maar ook brochures waar je niet afgeschermde mail adres worden geplaatst.

Verder is het altijd goed om uit te zoeken met wat voor soort phishing je te maken hebt, is het gewoon random phishing of heb je te maken met spearphishing waarbij de aanval specifiek op jou organisatie is gericht
25-10-2014, 16:03 door Anoniem
Ik ben benieuwd wat een goed spamfilter is? Die van SpamHaus, de professionele spam filter van NedFox of????
27-10-2014, 13:57 door Anoniem
"Hoe gaan andere grote bedrijven om met phishing op dagelijkse basis ?"

Heb je als preventieve maatregel al implementatie van DMARC overwogen tbv email authentication ?

http://www.dmarc.org/overview.html
27-10-2014, 13:59 door Anoniem
"SameSame, Je zou natuurlijk wel een applicatie kunnen gaan schrijven waarmee het CERT team zelf simpel de source en destination adressen (smtp en ip's) kan laten blocken."

Dus indien iemand bijvoorbeeld een phishing mail verstuurt vanaf de mailserver van Ziggo, dan blokkeer je voor het gemak maar meteen die mailserver ?
28-10-2014, 16:03 door Jvds1987
Door Anoniem: "Nu kost dit veel tijd van veel afdelingen met als gevolg dat ze aan het korten zijn op het security budget. "

Ik zou zeggen, ze een publieke website op met de informatie, geef anderen de mogelijkheid om ook informatie toe te voegen, en werk samen. Indien je bij ieder bedrijf opnieuw hetzelfde wiel probeert uit te vinden, dan kosten dat erg veel tijd.

Doe je aan het sharen van threat intelligence, dan kan samenwerking zorgen dat je uiteindelijk per bedrijf een stuk minder tijd hoeft te besteden aan het vinden van de relevante informatie - en je kan ingrijpen *voordat* je dergelijke mails zelf binnen krijgt.

Zolang het niet gaat om gerichte aanvallen, dan zou het delen van de informatie niet zo'n groot probleem moeten zijn, aangezien de informatie niet confidential is m.b.t. het desbetreffende bedrijf.

Met andere woorden, kijk verder dan de voordeur van je eigen werkgever, en werk samen !

Als onderwijs instelling zijn we aangesloten bij een overkoepelend CERT en wordt o.a. ons netwerk vanuit die CERT ook bewaakt. We delen al veel informatie over spam en phishing die we ontvangen en ontvangen dagelijks raportages over het aantallen mails dat al bij de "voordeur" is tegengehouden (gemiddeld 95% procent van alle mails die onze servers bereiken betreft phishing of spam).

Het lastige is dat we willen voorkomen dat valide mail van buiten ons netwerk onze gebruikers niet bereikt omdat het (onterecht) als spam of phishing wordt gezien. Omdat veel leerstoelgroepen samenwerken met externe partijen is het voor ons geen optie de filters e.d. strenger af te stellen zonder dat dit voor deze samenwerkingsovereenkomsten problemen kan opleveren.

Door Predjuh: Veel voorkomend probleem, waarvan de oplossingen bij veel bedrijven in de zelfde hoek te zoeken zijn.

- Een goede mailfilter, met een goede configuratie. Heb jullie die apparatuur niet, schaf deze dan aan. Hebben jullie die apparatuur wel dan ligt het vaak aan de configuratie en afstelling, de oplossing hiervoor; neem goede mensen in dienst, in veel gevallen merk je het gebrek aan kennis en kunde.

Bovenstaande is nog steeds symptoom bestrijding... je wil eigenlijk de bron aanpakken, helaas is dat niet helemaal mogelijk. De bron heeft als input het betreffende email adres nodig om de mail naar toe te sturen, probeer eens uit te zoeken hoe komt dat de mail adressen van medewerker bekend worden bij phishers .... het kunnen gegevens bestanden zijn maar ook brochures waar je niet afgeschermde mail adres worden geplaatst.

Verder is het altijd goed om uit te zoeken met wat voor soort phishing je te maken hebt, is het gewoon random phishing of heb je te maken met spearphishing waarbij de aanval specifiek op jou organisatie is gericht

De meeste phishing is niet specifiek aan ons gericht, het betreft de bekende aanvallen omtrent IBAN, post.NL ect. ect.
Persoonlijk (dit is dus niet de mening van mijn werkgever) heb ik het idee dat er bij ons ook gerichte phishing plaatsvind. Het probleem is dat wij op dit moment geen tijd hebben om dit uitvoerig te kunnen onderzoeken (budget op security wordt alleen maar verder gekort...). Ik heb dus ook geen "hard" bewijs maar puur een onderbuik gevoel en wat losse flardes aan "bewijs"

Door Anoniem: "Hoe gaan andere grote bedrijven om met phishing op dagelijkse basis ?"

Heb je als preventieve maatregel al implementatie van DMARC overwogen tbv email authentication ?

http://www.dmarc.org/overview.html

Nee, hier ben ik nog niet mee bekend, Ik ga hier zeker naar kijken !
28-10-2014, 18:43 door Briolet
Door Anoniem: Dus indien iemand bijvoorbeeld een phishing mail verstuurt vanaf de mailserver van Ziggo, dan blokkeer je voor het gemak maar meteen die mailserver ?

Dat kan, en dat gebeurt ook door sommige spam lists. Bij mij is ook al eens een mail gebounced omdat de ontvanger een blacklist gebruikte die een deel van Ziggo voor een paar dagen op die lijst gezet heeft. Dat dwingt zo'n ISP ook om abonnees die hun beveiliging niet op orde hebben, sneller af te sluiten.
Op die manier bestrijdt je de bron: consumenten die toestaan dat hun computer spam verstuurt, van het netwerk halen.
28-10-2014, 23:34 door Anoniem
Ik kan in mijn eentje met 10 minuten per dag dit regelen voor een bedrijf met 40.000 mailgebruikers.
En dan bedoel ik 40.000 medische mensen die echt OVERAL op klikken en hun mailadres OVERAL achterlaten.

waarom zijn jullie zoveel tijd kwijt?
29-10-2014, 09:09 door Jvds1987
Door Anoniem: Ik kan in mijn eentje met 10 minuten per dag dit regelen voor een bedrijf met 40.000 mailgebruikers.
En dan bedoel ik 40.000 medische mensen die echt OVERAL op klikken en hun mailadres OVERAL achterlaten.

waarom zijn jullie zoveel tijd kwijt?

En welke tools/middelen maakt jou werkgever hiervoor beschikbaar en heb je verder geen andere werkzaamheden ?
Bij ons wordt dit namelijk niet als 1 FTE gezien is hebben mensen deze verantwoordelijkheid erbij gekregen maar
geen extra budget/uren met als gevolg dat deze mensen zich er niet verantwoordelijk voor voelen.
29-10-2014, 10:45 door Anoniem
Klinkt als een gebrek aan mensen die zo'n probleem op kunnen pakken en er zelf een oplossing voor kunnen vinden. Het moet allemaal kant-en-klaar aangeleverd worden en vooral geen eigen denkwerk kosten.

Wat ook wel een beetje weggegeven wordt door de keuze van de "mail"server, en impliciet aan de keuze van de besturingssoftware op de gebruiksmachines, die en masse net zo gevoelig zijn voor malware als de gebruikers voor phishing.

Het is dan ook een goede vraag wie welke beslissingen maakt en gemaakt heeft en op welke grond. Ik denk dat als je eerlijk bent je moet toegeven dat er vooral veel "iedereen doet dit" en "het mag geen moeite kosten" non-argumenten gebruikt zijn die zo leuk de deur wagenwijd open hebben laten staan voor de problemen waar iedereen (die zo denkt) mee kampt. Je kan wel de hipste nieuwste dweil uit de tell-sell aanschaffen maar zolang niemand de kraan dichtdraait blijft het dweilen met de kraan open.

Want natuurlijk bestaan er allerlei "standaard"oplossingen, maar dat wil niet zeggen dat zoiets plompverloren in de organisatie plempen ook gaat werken.

Wat ik zou doen? Ander werk zoeken. Werk waar een (impliciet) verbod op structurele aanpak ingebouwd zit is niet mijn idee van een leuke job. Wat jij moet doen is een ander verhaal. Je baas vragen om iemand met mandaat en visie, niet te vergeten kennis en kunde, om het hele IT park en de manier van gebruiken wat op te schudden en wat meer doel en bijpassende middelen te geven, wellicht.
29-10-2014, 11:59 door Anoniem
Je probeert kennelijk behalve je eigen probleem het probleem ook voor de wereld op te lossen.
Dat zou ik alleen doen als je tijd over hebt. Daarnaast heeft het weinig zin om tijd te besteden aan
het blokkeren van de afzender, want die stuurt toch geen 2e poging meer en de volgende keer is het
een andere. Dus schrap dat ook maar.

Lukt het dan nog niet spendeer je tijd dan niet aan het bestrijden van het mail probleem maar aan het probleem dat je
PC's geinfecteerd worden als mensen links in mail aanklikken. Dat wijst op een slecht beheerde ICT omgeving, als
je daar winst in behaalt dan heeft dat nog veel meer voordelen dan alleen dit specifieke probleem.
29-10-2014, 12:52 door Jvds1987
Door Anoniem: Klinkt als een gebrek aan mensen die zo'n probleem op kunnen pakken en er zelf een oplossing voor kunnen vinden. Het moet allemaal kant-en-klaar aangeleverd worden en vooral geen eigen denkwerk kosten.

Het is naar mijn idee geen gebrek, meer een gebrek aan visie/bereidheid om hier geld in te steken, "security ? ach dat kost alleen maar geld en het overkomt ons niet".

Wat ook wel een beetje weggegeven wordt door de keuze van de "mail"server, en impliciet aan de keuze van de besturingssoftware op de gebruiksmachines, die en masse net zo gevoelig zijn voor malware als de gebruikers voor phishing.

Het is dan ook een goede vraag wie welke beslissingen maakt en gemaakt heeft en op welke grond. Ik denk dat als je eerlijk bent je moet toegeven dat er vooral veel "iedereen doet dit" en "het mag geen moeite kosten" non-argumenten gebruikt zijn die zo leuk de deur wagenwijd open hebben laten staan voor de problemen waar iedereen (die zo denkt) mee kampt. Je kan wel de hipste nieuwste dweil uit de tell-sell aanschaffen maar zolang niemand de kraan dichtdraait blijft het dweilen met de kraan open.


Want natuurlijk bestaan er allerlei "standaard"oplossingen, maar dat wil niet zeggen dat zoiets plompverloren in de organisatie plempen ook gaat werken.

Wat ik zou doen? Ander werk zoeken. Werk waar een (impliciet) verbod op structurele aanpak ingebouwd zit is niet mijn idee van een leuke job. Wat jij moet doen is een ander verhaal. Je baas vragen om iemand met mandaat en visie, niet te vergeten kennis en kunde, om het hele IT park en de manier van gebruiken wat op te schudden en wat meer doel en bijpassende middelen te geven, wellicht.


Het lastige is dat werk (zeker in dit vakgebied) absoluut niet voor het oprapen ligt. Daarnaast ben ik bezig mezelf verder te ontwikkelen het behalen van certificaten e.d. De mensen die wij nodig hebben (rijk aan visie en mandaat) zijn allemaal aanwezig maar worden kleingehouden doordat ze geen tijd/geld krijgen om naar nieuwe dingen te kijken.
29-10-2014, 13:06 door Anoniem
Door Jvds1987: Het is naar mijn idee geen gebrek, meer een gebrek aan visie/bereidheid om hier geld in te steken, "security ? ach dat kost alleen maar geld en het overkomt ons niet".
Je hebt een tastbaar probleem maar krijgt het niet voorelkaar de noodzaak van een structurele oplossing te communiceren? Bijvoorbeeld aan de hand van een plan van aanpak, een illustratie hoeveel tijd iedereen nu kwijt is, en zo verder.


Het lastige is dat werk (zeker in dit vakgebied) absoluut niet voor het oprapen ligt. Daarnaast ben ik bezig mezelf verder te ontwikkelen het behalen van certificaten e.d. De mensen die wij nodig hebben (rijk aan visie en mandaat) zijn allemaal aanwezig maar worden kleingehouden doordat ze geen tijd/geld krijgen om naar nieuwe dingen te kijken.
Dan hebben ze dus geen mandaat, kunnen het niet oppakken, krijgen het niet gecommuniceerd, en zo verder. Je hebt dus mensen in huis die heel wat lijken maar als puntje bij paaltje komt hun werk niet voorelkaar krijgen. Of dit aan de welwillende blauwkraagjes ligt of aan de baas laat ik even in het midden. Waarmee de keuze van de techniek steeds meer een symptoom en minder een oorzaak lijkt. Een situatie-verergerend symptoom, dat dan weer wel, maar nog steeds een symptoom.
29-10-2014, 16:23 door jazz
Door Jvds1987: Bij mijn huidige werkgever lopen wij tegen het probleem aan dat phishing op grote schaal onze mailboxen aan het vol spammen zijn met alle gevolgen van dien (geinfecteerde pcs ect. ect.) Op dit moment zijn er 3 afdelingen betrokken bij het blokkeren van phishing. De originele mail komt bij de servicedesk binnen en wordt in ons ticketsysteem verwerkt. Vanuit outlook gaat er een mail naar CERT (voor het sinkholen van de link) en naar netwerken (blokkeren van afzender en attachments in exchange). UIiteindelijk wordt het ticket via Netwerken en weer de servicedesk gesloten zodra de link en de afzender zijn geblockt.

Nu kost dit veel tijd van veel afdelingen met als gevolg dat ze aan het korten zijn op het security budget. Daarnaast is de hoeveelheid phishing dusdanig aan het toenemen dat er ook het personeel niet echt meer voor is om dit op dagelijkse basis te kunnen uitvoeren.
Nu vraag ik me af of er andere ict en security mensen tegen dit probleem zijn aangelopen en hoe het is opgelost. Een brainstorm om mijn eigen ideen op gang te krijgen zou ik ook erg waarderen ;)

wij done momenteel een proof of concept met Proofpoint, zeer goede resultaten qua spam en virus capture rates, maar ze hebben een interessante module speciaal voor spear phishing en targeted attacks. Elke link in een email wordt automatisch herschreven en doorgestuurd naar de ontvanger. Op hetzelfde moment wordt er een sandbox analyse gestart voor diepere inspectie. Mocht blijken dat de link naar malware verwijst, dan krijgt de admin/cert een alert en wordt de mail automatisch geblokt. Bij iedere gebruiker die klikt wordt die analyse herhaald. Natuurlijk ben je niet 100% beschermd, maar je weet wel precies wie op een foute link heeft geklikt en dus gerichte opschoningsactie toepassen. Tot dusver zijn de resultaten positief te noemen
29-10-2014, 16:55 door Jvds1987
Door jazz: wij done momenteel een proof of concept met Proofpoint, zeer goede resultaten qua spam en virus capture rates, maar ze hebben een interessante module speciaal voor spear phishing en targeted attacks. Elke link in een email wordt automatisch herschreven en doorgestuurd naar de ontvanger. Op hetzelfde moment wordt er een sandbox analyse gestart voor diepere inspectie. Mocht blijken dat de link naar malware verwijst, dan krijgt de admin/cert een alert en wordt de mail automatisch geblokt. Bij iedere gebruiker die klikt wordt die analyse herhaald. Natuurlijk ben je niet 100% beschermd, maar je weet wel precies wie op een foute link heeft geklikt en dus gerichte opschoningsactie toepassen. Tot dusver zijn de resultaten positief te noemen

Dit klinkt zeer posifief en ga me hier zeker verder in verdiepen. Mijn vraag is hoe groot is jou organisatie en hoeveel gebruikers hebben jullie ? Ik ben erg benieud of binnen een grote organisatie (14.000+ gebruikers) een dergelijk systeem zou werken of dat onze mailservers e.d. direct overbelast raken.
29-10-2014, 17:35 door jazz
we hebben een poc opgezet voor een klant van ons met 12.000 gebruikers. Proofpoint richt zich blijkbaar vooral op grote organisaties, zie ook laatste Gartner MQ2014 secure email gateways. Grootste deel van de sandboxing analyse gebeurt volgens mij in hun DC's
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.