Universiteit en Hogeschool van Amsterdam getroffen door cyberaanval
De netwerken van de Universiteit van Amsterdam (UvA) en Hogeschool van Amsterdam (HvA) zijn getroffen door een cyberaanval, zo laten beide onderwijsinstellingen weten. In het belang van het onderzoek zeggen de onderwijsinstellingen niet te kunnen ingaan op de achtergrond en omvang van deze aanval.
Er zijn dan ook geen concrete details gegeven, behalve dat een "onbekende derden" toegang tot de ict-omgeving heeft gekregen en er wordt onderzocht welke delen zijn geraakt. De aanval werd ontdekt door het Security and Operations Centre van de HvA en UvA. De onderwijsinstellingen hebben maatregelen genomen om de gevolgen te beperken en te zorgen dat onderwijs en onderzoek zoveel mogelijk ongestoord doorgang kunnen vinden.
"Om de impact op ons onderwijs en onderzoek zo veel mogelijk te beperken, zullen we de komende tijd proactief systemen tijdelijk uitzetten. Deze systemen en de informatie in die systemen zijn op dat moment niet beschikbaar. We begrijpen dat dit overlast geeft en proberen dit zoveel mogelijk te beperken", aldus de UvA en HvA in een verklaring.
https://wiki.surfnet.nl/display/CSIRTs
"SURFcert is het CSIRT voor het nationale onderzoeks- en onderwijsnetwerk SURFnet. Sinds 2006 promoot SURFcert de oprichting van lokale CSIRTs bij aangesloten instellingen. Een CSIRT is een capability/team van een organisatie dat informatiebeveiligingsincidenten managet - wat tenminste inhoudt dat mogelijke incidenten voorkomen worden, incidenten die plaatsvinden opgelost worden en dat de geleerde lessen ter harte genomen worden. Niettemin, alle op SURFnet aangesloten instellingen ontvangen ondersteuning van SURFcert, ongeacht of ze al een CSIRT hebben opgericht.
De locale CSIRTs en gelieerde operationele security experts werken samen in SCIRT, de SURFnet Community van Incident Response Teams."
Dit lijkt nu zijn vruchten af te werpen:
Nu graven en spitten .... "If we smell a rat, we dig until we find it".
Analyseren, isoleren en opschonen. Misschien wel met hulp van collega-CSIRT of SURF-CERT leden. En uiteraard de IoC indicators of compromise direct delen met deze collega's.
Ik kijk nu al uit naar een rapportage van de HvA en UvA, zoals de Universiteit van Maastricht heeft gepubliceerd over de Clop-ransomware in samenwerking met FoxIT. Goed voorbeeld doet goed volgen.
https://wiki.surfnet.nl/display/CSIRTs
"SURFcert is het CSIRT voor het nationale onderzoeks- en onderwijsnetwerk SURFnet. Sinds 2006 promoot SURFcert de oprichting van lokale CSIRTs bij aangesloten instellingen. Een CSIRT is een capability/team van een organisatie dat informatiebeveiligingsincidenten managet - wat tenminste inhoudt dat mogelijke incidenten voorkomen worden, incidenten die plaatsvinden opgelost worden en dat de geleerde lessen ter harte genomen worden. Niettemin, alle op SURFnet aangesloten instellingen ontvangen ondersteuning van SURFcert, ongeacht of ze al een CSIRT hebben opgericht.
De locale CSIRTs en gelieerde operationele security experts werken samen in SCIRT, de SURFnet Community van Incident Response Teams."
Dit lijkt nu zijn vruchten af te werpen:
Nu graven en spitten .... "If we smell a rat, we dig until we find it".
Analyseren, isoleren en opschonen. Misschien wel met hulp van collega-CSIRT of SURF-CERT leden. En uiteraard de IoC indicators of compromise direct delen met deze collega's.
Ik kijk nu al uit naar een rapportage van de HvA en UvA, zoals de Universiteit van Maastricht heeft gepubliceerd over de Clop-ransomware in samenwerking met FoxIT. Goed voorbeeld doet goed volgen.
In een hedendaagse en moderne SOC omgeving is een traditionele IDS/IPS (al dan niet onderdeel van een NextGen firewall) zeker een van de aangesloten logbronnen, maar zelden hèt alarm bij dit soort inbraken. Eerder verantwoording voor een enorme berg aan false-positives en alert fatigue.
Het zit 'm in de combinatie van events en goed uitgewerkte use-cases.
M.
Typisch gevalletje rara politiepet...
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Junior specialist OSINT
Ben jij enthousiast en leergierig en wil je het cybercrimeteam Oost Nederland verder helpen in de aanpak van digitale criminaliteit? We zijn op zoek naar een junior specialist Open Source Intelligence (OSINT). Weet jij de digitale wereld van buiten naar binnen te halen? Dan is deze functie iets voor jou!
