Source: NCSC

Aan het begin van de week deelden we een aantal basismaatregelen om de cyberhygiëne op orde te hebben (en houden!), en besteedden we in datzelfde artikel ook weer aandacht aan de 5 basisprincipes voor veilig digitaal ondernemen van onze partners van het Digital Trust Center. Vandaag voegen we daar een update van het NCSC aan toe, want om welke digitale aanvallen gaat het eigenlijk? Een overzicht van de soort aanvallen waar je minimaal rekening mee moet houden en hoe je jouw organisatie kunt voorbereiden.

Ransomware/wiperware

Informatie over hoe om te gaan met ransome- en wiperware vind je op deze pagina. Neem ook maatregelen om zonder de beschikbaarheid van eventueel geraakte systemen of netwerken door te kunnen werken.

DDoS

Meer over DDoS en hoe te handelen bij een aanval lees je op deze pagina. Neem ook maatregelen om zonder de beschikbaarheid van de verstoorde internetverbinding of de door de DDoS geraakte systemen door te kunnen werken.

(Spear)Phishing

Meer over (Spear)Phishing en hoe hiermee om te gaan lees je op deze pagina.

Desinformatiecampagnes

  1. De verspreiding van desinformatie via gehackte kanalen is een dreiging. Wees alert op mogelijk misbruik van de publieke communicatiekanalen.
  2. Monitor de activiteiten op de social media-accounts van je organisatie. Wees alert op verdachte en afwijkende inlogpogingen. Ook bij social media-accounts adviseert het NCSC het gebruik van multifactor-authenticatie.
  3. Zorg dat alle medewerkers gebruikmaken van de door jouw organisatie aangewezen en geaccrediteerde communicatiemiddelen.
  4. Wijs medewerkers erop om terughoudend te zijn met het delen van (persoonlijke) informatie op sociale media.

Wat kun je op korte termijn doen?

  1. Zorg dat updates geïnstalleerd zijn. Dit geldt vooral voor systemen die een directe internet-koppeling hebben.
  2. Doorloop de incident-response plannen en zorg dat deze up-to-date zijn.
  3. Zorg dat de contactlijsten offline beschikbaar zijn. Denk daarbij ook aan externe contacten, zoals dienstverleners.
  4. Zorg dat medewerkers op de hoogte zijn wie zij binnen de organisatie moeten bereiken als verdachte signalen worden waargenomen.
  5. Test bestaande back-ups. Maak een offline back-up, ook als je dat normaal niet doet.
  6. Zorg dat logische en fysieke netwerktekeningen offline beschikbaar zijn.
  7. Verbeter de veiligheid van e-mailservers door het implementeren van SPF, DKIM en DMARC.
  8. Ga voor de belangrijkste informatie(systemen) na wat je zou willen weten in het geval van compromittatie en zorg dat de bijbehorende logging op orde is.

Aandachtspunten richting leveranciersncsc.nl/documenten/factsheets/2019/juni/01/factsheet-bescherm-domeinnamen-tegen-phishing

  1. Ga na van welke leveranciers je afhankelijk bent voor de primaire dienstverlening.
  2. Zorg dat jouw overzicht met contactpersonen bij jouw leveranciers up-to-date is.
  3. Wees in jouw communicatie met leveranciers alert op eventuele desinformatie.
  4. Vraag jouw leveranciers om systemen die zij voor je beheren na te lopen op ernstige kwetsbaarheden.
  5. Ga na of je gebruik maakt van software vanuit Russische of Oekraïnse leveranciers en wat de gevolgen zijn van de oorlog voor de levering, ondersteuning en garanties van/bij die software.

Operationele technologie (OT/ICS)

Veel van de bovenstaande maatregelen gelden ook voor industriële organisaties met primaire processen die zwaar leunen op OT-systemen. Hieronder volgen drie OT-specifieke handelingen:

  1. Zorg voor een goede beveiliging van systemen die toegang geven tot netwerken met OT-systemen, zoals stepping stones, VPN’s en firewalls.
  2. Controleer of de toegang tot OT-omgevingen voldoende beschermd is, bijvoorbeeld door segmentering van netwerken.
  3. Wees extra alert op het gebruik van gegevensdragers in OT-omgevingen omdat die mogelijk besmet zijn met malware. Denk hierbij aan USB-sticks, mobiele telefoons en laptops.

Aanvullende maatregelen zijn te vinden in de Checklist Beveiliging van ICS/SCADA en het rapport Succesfactoren voor digitaal veilige OT.

Hoe te handelen in geval van een incident

In het geval van een incident of sterk vermoeden van een incident, raden wij aan de volgende acties te uit voeren:

  1. Isoleer of ontkoppel het apparaat van het netwerk. Hiermee voorkom je verdere verspreiding van malware of aanvallen door jouw netwerk.
  2. Indien je forensisch IT-onderzoek wil laten uitvoeren na een incident en daar zelf onvoldoende in thuis bent, neem dan vooraf contact op met een organisatie die daarin gespecialiseerd is. Vraag hen hoe te handelen bij een incident en op welke manier digitale sporen veilig gesteld moeten worden. Richt daar de incidentprocedure op in.
  3. Op een gevirtualiseerde omgeving kun je het getroffen systeem klonen en pauzeren om het geheugen van het getroffen systeem veilig te stellen. Vergeet daarbij niet het hostsysteem te isoleren.
  4. Stel logbestanden veilig die het onderzoek verder kunnen helpen. Denk hierbij aan: netwerk- en systeemlogs. Log de handelingen die je op het getroffen systeem hebt uitgevoerd.
  5. Noteer alle waarnemingen, verrichte handelingen en acties in een logboek.
  6. Reset wachtwoorden en andere vormen van authenticatie voor administrator en andere systeem- of services-accounts.

Sluit je aan bij FERM

Blijf alert. Installeer updates en let op phishing mails. Gebruik MFA. En – voor alle bedrijven in de Rotterdamse haven – sluit je aan bij FERM. Zodat je daarnaast ook acute dreigingsinformatie kunt ontvangen, vragen kunt stellen aan de vertrouwde community om je heen, en ondersteund kunt worden in de stappen richting NIS2.

Kijk voor meer informatie op ferm-rotterdam.nl/lid-worden
Aan deelname is altijd een kosteloze proefperiode verbonden.

En wist je dat je als participant mee kunt doen aan onze cybercrisistrainingen in mei en Cybernautics-FERM in juni? Volgens experts uit het veld is de waarde van de training en de oefening gelijk aan het tienvoudige van je deelname aan FERM. Directe value for money dus! | Lees meer op ferm-rotterdam.nl/cybernautics

Vind FERM ook op LinkedIn | Twitter

Deel dit bericht