Document toolboxDocument toolbox


Cyber Response Team


2.5 Neem bijkomende technische maatregelen

In de eerste fase van de crisissituatie tracht je een verdere verspreiding van het incident te vermijden door getroffen systemen onmiddellijk los te koppelenĀ enĀ geĆÆmpacteerdeĀ of kwetsbare functionaliteit stil te leggen. Het forensisch onderzoekĀ brengt in de tussentijd meerĀ duidelijkheid met betrekking tot de getroffen systemen en toepassingen. De kans is reĆ«el dat bijkomende acties nodig zijn om de situatie onder controle te krijgen en de gewone werking te hervatten, belangrijk hierbij is dat deze maatregelenĀ ook een impact op de interne werking met zich (kunnen) meebrengen.Ā 

Volgende stappen kunnen gezet worden omĀ het incident te bestrijden en mogelijke schade zoveel mogelijk in te dammen:Ā 

  1. Het afsluiten van de werksessies van de gebruikers:Ā Ingelogde gebruikers vormen een belangrijke vector voor aanvallers om binnen te dringen in de IT-omgeving. Alles wat maakt dat gebruikersprofielen actief kunnen zijnĀ -Ā hierbij dient zeker gedacht te worden aan de mogelijkheid tot telewerkĀ en dus toegang van buitenaf -Ā moet worden onderbroken en stopgezet. Er zijn technischeĀ oplossingen om hetĀ afmelden van gebruikers op te volgen, maar natuurlijk dient dit eerst ook expliciet gevraagd worden aan alle gebruikers via de voorziene interne communicatiekanalen.Ā VerstuurĀ daaromĀ een e-mailbericht of flashmededeling naar alle interne medewerkers met de vraag om hun huidig werk op te slaan en zo snel mogelijk af te melden, zowel intern als van thuis uit.
    Ā 

  2. AansluitendĀ opĀ het vorige punt:Ā Binnen hetĀ gebruikersbeheerĀ valt het aan te bevelen om de volgende twee stappen in de aangegeven volgorde te doorlopen:
    Ā 

    1. VoorĀ IT-administratorenĀ ofĀ systeembeheerders:Ā EenĀ onmiddellijke en onvoorwaardelijke reset van wachtwoordenĀ doorvoeren,Ā ook wanneerĀ reeds gewerkt wordt met meervoudige authenticatie (MFA).

    2. Voor alle overigeĀ gebruikers:Ā De toegangĀ dientĀ tot nader order integraalĀ gedeactiveerd worden. DitĀ procesĀ kan je enigszins voorbereiden door een speciale gebruikersgroep in het leven te roepenĀ zonderĀ rechten, waarbij alles initieel dichtstaat.Ā Bij een afschakeling kan je danĀ eenvoudigĀ alle gebruikers in deze bijzondere groep opdelen.
      Ā 

  3. Vervang de wachtwoorden op alle toestellen:Ā Alle wachtwoorden die gebruikt werden op de server worden best aangepast. Denk hierbij aan de wachtwoorden van e-mail, control panels, contentĀ management systemenĀ en andere.Ā Doe hetzelfde voor alle toestellen die toegang hadden tot de gehackte website of serverĀ bij aanvallen van een grotere omvang. Het is ook aangeraden om de overige apparaten te controleren, en dan zeker die waarop mogelijk gevoelige gegevens staan.
    Ā 

  4. Schakel netwerksegmenten die risico lopen zoveel mogelijk uit:Ā Hierbij gaat hetĀ bijvoorbeeld over gastentoegangenĀ viaĀ het wifinetwerkĀ en VPN-verbindingen voor toegang van buitenaf.Ā 
    Ā 

  5. Verhoog de monitoring en controle op de firewalls:Ā  Het is aangewezen om de toegangsregels aan te passen, met whitelisting van toegestane verbindingen en blacklisting van verdachte verbindingen.
    Ā 

  6. Scan de DMZ-omgeving:Ā Voer een security scan uit op de externe IP-adressen van je lokaal bestuur door middel van een kwetsbaarhedenscan en controle op openstaande services en netwerkpoorten.
    Ā 

  7. Leg de mailfunctionaliteit stil:Ā Door de servers die instaan voor mailfunctionaliteitĀ uit te schakelen kan vermedenĀ worden dat via deze weg besmettingen (verder) verspreid worden.

Er kan bewust voor gekozen worden om bepaalde functionaliteit intact te laten,Ā denk aan mogelijk vitale functies zoals website en telefonie,Ā op voorwaarde datĀ er een duidelijke afscheiding isĀ van de andere voorzieningenĀ voorĀ hardware en software. Toepassingen alsĀ virusscanners en firewallsĀ worden bestĀ maximaal operationeelĀ gehouden, aangezien zij inzage geven inĀ de actuele toestand en het recente verleden van de cyberaanval.Ā 

Ā 

Verdieping: mogelijk afschakelproces voor lokale ICT-infrastructuur

Zoals reeds aangehaald kan het nodig zijn om vergaand af te schakelen om de verspreiding van de besmetting tegen te gaan en het incident een halt toe te roepen.Ā We schetsen hieronder een mogelijke volgordeĀ voor een afschakelproces, maarĀ natuurlijk is dit ook sterkĀ afhankelijk zijn van de eigen kritieke bedrijfsprocessen enĀ deĀ samenstelling van de ICT-omgeving. DeĀ systemen bovenaan dienenĀ als laatste losgekoppeld te worden en als eerste terug opgestart te worden:Ā 

  1. Nutsvoorzieningen

    1. Elektriciteit (stroomkasten)

    2. Generator

    3. UPS

  2. Netwerkinfrastructuur (WAN en LAN)

    1. LAN switches

    2. WAN Switches

    3. RoutersĀ internetĀ enĀ WAN

    4. SIPĀ apparatuur

  3. CentraleĀ opslagsystemenĀ SAN / NAS

    1. SAN

    2. NAS

    3. Backup NAS

  4. VirtualisatieĀ omgevingĀ (VMWARE)

    1. VMWare Servers

    2. vCenter Server

  5. CloudĀ systemen

    1. Servers inĀ DatacenterĀ (Private cloud,Ā denkĀ aanĀ CIPAL,Ā proximus, ā€¦)

    2. Servers in Cloud (Azure, AWS, Google, ā€¦)

  6. Telefonie en radio infrastructuur (Astrid)

    1. SIP routers

    2. ISDN Switches

    3. AstridĀ apparatuur

    4. Telefonie server

  7. Fysieke Servers

    1. Camera Server

    2. Bewakingsserver

    3. Verwarmingsserver

    4. ā€¦

  8. BasisĀ VirtueleĀ Servers

    1. DHCP

    2. DNS

    3. Domain controllers AD

    4. Authority Server + NAP

    5. Fileserver

  9. Database Servers

    1. ISLP database

    2. ISLP Query

    3. ā€¦Ā 
      Ā 

  10. ApplicatieĀ Servers

    1. ISLP Server(s)

    2. Remote office / Citrix Server(s)

    3. 3P ServerĀ 

  11. BackupĀ omgeving

    1. LibraryĀ ofĀ NAS Backup

    2. Backup Server

  12. PrimaireĀ Werkstations

    1. ICT

    2. Dispatching

    3. Onthaal en Planton

    4. Kritieke diensten

  13. Secondaire Werkstations

    1. Andere voorname werkstationsĀ ofĀ diensten

  14. Remote Office

Dit is een document voor publiek gebruik.