Cyber Response Team
2.5 Neem bijkomende technische maatregelen
In de eerste fase van de crisissituatie tracht je een verdere verspreiding van het incident te vermijden door getroffen systemen onmiddellijk los te koppelenĀ enĀ geĆÆmpacteerdeĀ of kwetsbare functionaliteit stil te leggen. Het forensisch onderzoekĀ brengt in de tussentijd meerĀ duidelijkheid met betrekking tot de getroffen systemen en toepassingen. De kans is reĆ«el dat bijkomende acties nodig zijn om de situatie onder controle te krijgen en de gewone werking te hervatten, belangrijk hierbij is dat deze maatregelenĀ ook een impact op de interne werking met zich (kunnen) meebrengen.Ā
Volgende stappen kunnen gezet worden omĀ het incident te bestrijden en mogelijke schade zoveel mogelijk in te dammen:Ā
Het afsluiten van de werksessies van de gebruikers:Ā Ingelogde gebruikers vormen een belangrijke vector voor aanvallers om binnen te dringen in de IT-omgeving. Alles wat maakt dat gebruikersprofielen actief kunnen zijnĀ -Ā hierbij dient zeker gedacht te worden aan de mogelijkheid tot telewerkĀ en dus toegang van buitenaf -Ā moet worden onderbroken en stopgezet. Er zijn technischeĀ oplossingen om hetĀ afmelden van gebruikers op te volgen, maar natuurlijk dient dit eerst ook expliciet gevraagd worden aan alle gebruikers via de voorziene interne communicatiekanalen.Ā VerstuurĀ daaromĀ een e-mailbericht of flashmededeling naar alle interne medewerkers met de vraag om hun huidig werk op te slaan en zo snel mogelijk af te melden, zowel intern als van thuis uit.
ĀAansluitendĀ opĀ het vorige punt:Ā Binnen hetĀ gebruikersbeheerĀ valt het aan te bevelen om de volgende twee stappen in de aangegeven volgorde te doorlopen:
ĀVoorĀ IT-administratorenĀ ofĀ systeembeheerders:Ā EenĀ onmiddellijke en onvoorwaardelijke reset van wachtwoordenĀ doorvoeren,Ā ook wanneerĀ reeds gewerkt wordt met meervoudige authenticatie (MFA).
Voor alle overigeĀ gebruikers:Ā De toegangĀ dientĀ tot nader order integraalĀ gedeactiveerd worden. DitĀ procesĀ kan je enigszins voorbereiden door een speciale gebruikersgroep in het leven te roepenĀ zonderĀ rechten, waarbij alles initieel dichtstaat.Ā Bij een afschakeling kan je danĀ eenvoudigĀ alle gebruikers in deze bijzondere groep opdelen.
Ā
Vervang de wachtwoorden op alle toestellen:Ā Alle wachtwoorden die gebruikt werden op de server worden best aangepast. Denk hierbij aan de wachtwoorden van e-mail, control panels, contentĀ management systemenĀ en andere.Ā Doe hetzelfde voor alle toestellen die toegang hadden tot de gehackte website of serverĀ bij aanvallen van een grotere omvang. Het is ook aangeraden om de overige apparaten te controleren, en dan zeker die waarop mogelijk gevoelige gegevens staan.
ĀSchakel netwerksegmenten die risico lopen zoveel mogelijk uit:Ā Hierbij gaat hetĀ bijvoorbeeld over gastentoegangenĀ viaĀ het wifinetwerkĀ en VPN-verbindingen voor toegang van buitenaf.Ā
ĀVerhoog de monitoring en controle op de firewalls:Ā Het is aangewezen om de toegangsregels aan te passen, met whitelisting van toegestane verbindingen en blacklisting van verdachte verbindingen.
ĀScan de DMZ-omgeving:Ā Voer een security scan uit op de externe IP-adressen van je lokaal bestuur door middel van een kwetsbaarhedenscan en controle op openstaande services en netwerkpoorten.
ĀLeg de mailfunctionaliteit stil:Ā Door de servers die instaan voor mailfunctionaliteitĀ uit te schakelen kan vermedenĀ worden dat via deze weg besmettingen (verder) verspreid worden.
Er kan bewust voor gekozen worden om bepaalde functionaliteit intact te laten,Ā denk aan mogelijk vitale functies zoals website en telefonie,Ā op voorwaarde datĀ er een duidelijke afscheiding isĀ van de andere voorzieningenĀ voorĀ hardware en software. Toepassingen alsĀ virusscanners en firewallsĀ worden bestĀ maximaal operationeelĀ gehouden, aangezien zij inzage geven inĀ de actuele toestand en het recente verleden van de cyberaanval.Ā
Ā
Verdieping: mogelijk afschakelproces voor lokale ICT-infrastructuur
Zoals reeds aangehaald kan het nodig zijn om vergaand af te schakelen om de verspreiding van de besmetting tegen te gaan en het incident een halt toe te roepen.Ā We schetsen hieronder een mogelijke volgordeĀ voor een afschakelproces, maarĀ natuurlijk is dit ook sterkĀ afhankelijk zijn van de eigen kritieke bedrijfsprocessen enĀ deĀ samenstelling van de ICT-omgeving. DeĀ systemen bovenaan dienenĀ als laatste losgekoppeld te worden en als eerste terug opgestart te worden:Ā
Nutsvoorzieningen
Elektriciteit (stroomkasten)
Generator
UPS
Netwerkinfrastructuur (WAN en LAN)
LAN switches
WAN Switches
RoutersĀ internetĀ enĀ WAN
SIPĀ apparatuur
CentraleĀ opslagsystemenĀ SAN / NAS
SAN
NAS
Backup NAS
VirtualisatieĀ omgevingĀ (VMWARE)
VMWare Servers
vCenter Server
CloudĀ systemen
Servers inĀ DatacenterĀ (Private cloud,Ā denkĀ aanĀ CIPAL,Ā proximus, ā¦)
Servers in Cloud (Azure, AWS, Google, ā¦)
Telefonie en radio infrastructuur (Astrid)
SIP routers
ISDN Switches
AstridĀ apparatuur
Telefonie server
Fysieke Servers
Camera Server
Bewakingsserver
Verwarmingsserver
ā¦
BasisĀ VirtueleĀ Servers
DHCP
DNS
Domain controllers AD
Authority Server + NAP
Fileserver
Database Servers
ISLP database
ISLP Query
ā¦Ā
Ā
ApplicatieĀ Servers
ISLP Server(s)
Remote office / Citrix Server(s)
3P ServerĀ
BackupĀ omgeving
LibraryĀ ofĀ NAS Backup
Backup Server
PrimaireĀ Werkstations
ICT
Dispatching
Onthaal en Planton
Kritieke diensten
Secondaire Werkstations
Andere voorname werkstationsĀ ofĀ diensten
Remote Office
Dit is een document voor publiek gebruik.