Beveiliging: verschil tussen versies

Uit ICTpedia
Naar navigatie springen Naar zoeken springen
Geen bewerkingssamenvatting
 
(40 tussenliggende versies door 6 gebruikers niet weergegeven)
Regel 1: Regel 1:
== Anti-Virus ==
__TOC__
Op alle computers in de hogeschool staat het antivirusprogramma '''Trend Micro OfficeScan''' geïnstalleerd. ([[Beveiliging:_Trend_Micro_Antivirus|Trend Micro OfficeScan thuis installeren]]). Elk bestand dat je opent of wegschrijft wordt gecontroleerd op de aanwezigheid van computervirussen.


Je herkent de aanwezigheid van het programma op je computer aan het blauwe schild rechtsonderaan op je scherm in het systeemvak.
== Antivirus ==
Op alle computers in de hogeschool staat het antivirusprogramma '''McAfee''' geïnstalleerd. Elk bestand dat je opent of wegschrijft wordt gecontroleerd op de aanwezigheid van computervirussen.  


Je herkent de aanwezigheid van het programma op je computer aan het rode schild rechtsonderaan op je scherm in het systeemvak.


== Anti-SPAM ==
Je kan ook thuis gebruikmaken van deze beveiliging. Via ons raamcontract met Secutec kunnen we aan sterk verminderde prijzen enkele pakketten van McAfee aanbieden. Meer uitleg daarover vind je hier: [http://ictpedia.ap.be/index.php/Software_aankopen McAfee kopen].
SPAM is een ware plaag geworden. Dagelijks wordt de Plantijnhogeschool van buitenaf belaagd door zo'n 48000 e-mails. Dat is '''gemiddeld 1 e-mail elke 2 seconden'''. Elke e-mail wordt grondig gecontroleerd op virussen, maar ook op mogelijke ongewenste inhoud: SPAM. De anti-SPAM controle verdeelt de e-mails in '''3 categorieën''':
<table border=1>


<tr>
  <td align=center width='10%'>
'''Categorie'''
  </td>
  <td align=center width='25%'>
'''Type e-mail'''
  </td>
  <td align=center width='10%'>
'''Hoeveelheid'''
  </td>
<td align=center width='55%'>
'''Uitleg'''
  </td>
</tr>


<tr>
== Antispam ==
  <td align=center>
Spam is een ware plaag geworden. Dagelijks wordt AP Hogeschool van buitenaf belaagd door zo'n 30.000 e-mails. Dat is '''gemiddeld 1 e-mail elke 3 seconden'''. Elke e-mail wordt grondig gecontroleerd op virussen, maar ook op mogelijk ongewenste inhoud: spam.
A
  </td>
  <td>
'''Gewenste e-mail'''
  </td>
  <td align=right>
2,5%
  </td>
  <td>
Je ontvangt dit type e-mail zonder aanpassingen.
  </td>
</tr>


<tr>
Wereldwijd is het aantal spammails wel sterk gezakt. Tot een paar jaar geleden was ruim 90% van het mailverkeer spam, ondertussen is dat zelfs geen 50% meer. Door allerlei beveiligingen komt er dus nog veel minder spam tot op onze servers. Maar zonder antispamcontrole zouden we nog steeds dagelijks honderden spammails ontvangen. De hogeschool maakt gebruik van het antispamsysteem van Microsoft Office 365 om een zo goed mogelijke beveiliging te garanderen. Er zullen echter steeds enkele mails door de mazen van het net glippen.  
  <td align=center>
B
  </td>
  <td>
Mogelijk gewenst / mogelijk SPAM
  </td>
  <td align=right>
3%
  </td>
  <td>
Het onderwerp van de e-mail wordt 'getagged' met de aanduiding '''[SPAM:MEDIUM]''' of '''[Suspected SPAM]'''. Getagged wil hier zeggen dat deze aanduiding wordt toegevoegd aan het onderwerpveld.
  </td>
</tr>


<tr>
  <td align=center>
C
  </td>
  <td>
SPAM
  </td>
  <td align=right>
94,5%
  </td>
  <td>
Deze e-mails worden '''geblokkeerd'''. Je ontvangt deze categorie e-mails niet.
  </td>
</tr>


</table>
== Cryptolockers ==


* Zonder antispamcontrole zou je dagelijks tientallen spammails ontvangen. Gemiddeld gaat het hier over '''142 spamberichten per persoon per dag'''!
=== Wat is een CryptoLocker? ===
* Het gaat hier enkel om e-mails van buiten Plantijn naar Plantijn. Interne en uitgaande e-mails zijn hier niet bijgerekend.
Een CryptoLocker is malware (kwaadwillende software) van het type ransomware dat bestanden 'gijzelt' door ze te versleutelen. Dat wil dus zeggen dat je je eigen bestanden niet meer kan openen, tenzij je betaalt aan de verspreider van het virus voor de decryptiesleutel. Het is een kwestie van zaken doen met criminelen of afscheid nemen van je bestanden.
* E-mails van categorie B (spam:medium & suspected spam) arriveren in tegenstelling tot vroeger niet meer in de persoonlijke mailbox, maar worden aangepakt zoals de werkelijke spam mails. Dat wil zeggen dat ze automatisch in quarantaine worden geplaatst. <!--Mocht je vermoeden dat er een mail onterecht is tegengehouden door de filter, dan kan je die zelf ophalen: [[Beveiliging:Spam_medium_uit_quarantaine_halen|Spam medium uit quarantaine halen]].--!>
 
* De hogeschool maakt gebruik van het antispamsysteem ''Trend Micro OfficeScan'' om een zo goed mogelijke beveiliging te garanderen.
Een CryptoLocker is relatief nieuw. In eerste instantie lijkt er niets te gebeuren. Er komt een mail met een bijlage binnen, dat kan eender welk type bijlage zijn. Zodra de gebruiker op die bijlage klikt, wordt de trojan geactiveerd en begint die met het versleutelen van bestanden. Alle bestanden waar de gebruiker schrijfrechten op heeft, worden versleuteld.
 
Vervolgens probeert de trojan via internet contact te maken met de server van de cybercriminelen en verschijnt er een boodschap in beeld waarin staat dat de bestanden versleuteld zijn en dat er binnen de 72 uur een bepaald bedrag betaald moet worden om de sleutel te krijgen voor het decrypteren van de versleutelde bestanden. Gebeurt dat niet binnen die tijd, dan wordt de sleutel vernietigd en zijn de bestanden voor altijd verloren.
 
=== Hoe verwijderen? ===
Hoewel het aannemelijk is dat de criminelen de sleutel daadwerkelijk teruggeven na het betalen van het losgeld, wordt er algemeen aangeraden om niet in te gaan op de losgeldeis. Het virus verwijderen is erg moeilijk en bovendien wijzigt dat niets aan de status van besmette bestanden. De enige manier om werkbare bestanden terug te plaatsen is via goede back-ups.
 
=== Verspreiding ===
AP staat zeker niet alleen als organisatie, onze ICT- en antivirusconsultants komen steeds meer klanten tegen die er mee te maken hebben. Via de overleggroep ICT van de VLHORA weten we ook dat alle hogescholen en universiteiten al meerdere keren met het fenomeen geconfronteerd zijn.
 
Ook internationaal blijft er niemand van gespaard, en oplossingen zijn vaak moeilijk of niet te vinden, zelfs wanneer politie of veiligheidsdiensten er betrokken bij worden: http://www.standaard.be/cnt/dmf20160217_02135167
 
=== Incidenten binnen AP ===
Tot hiertoe hebben we twee incidenten gehad met een CryptoLocker, telkens nadat iemand een kwaadaardige bijlage had geopend. In beide gevallen hebben we de bestanden kunnen redden door een back-up van enkele uren ervoor terug te zetten.
Daar kruipt echter zeer veel werk in en het kopiëren duurt lang. Ook al hebben gebruikers relatief weinig rechten op mappen, toch gaat het al snel om enkele tienduizenden bestanden.
 
==== Doorlooptraject bij een incident ====
* Het incident wordt gemeld door een gebruiker aan ICT.
* Systeembeheer en de lokale helpdesk trachten te achterhalen van waar de cryptolocker is geactiveerd, vanop welk werkstation en van welke gebruiker.
* De gebruikersaccount wordt onmiddellijk uitgeschakeld en de pc wordt opnieuw geïnstalleerd.
* De gebruiker wordt gevraagd over welke mail(s) het zou kunnen gaan.
* Systeembeheer bekijkt wat er allemaal geïnfecteerd is en hoe de data te restoren valt.
* Zo snel mogelijk wordt er begonnen met de geïnfecteerde mappen te verwijderen en terug te vullen met folders en bestanden uit de back-up.
* Afhankelijk van het aantal MB, GB of TB duurt de restore van enkele minuten over enkele uren tot meer dan een dag.
* Nadien wordt er nog een extra check via scripting om er zeker van te zijn dat alle data correct zijn teruggeplaatst.
 
=== Voorzorgen ===
ICT is al jaren bezig met het risico op virussen te beperken via het gebruik van antivirus- en antispamsoftware. Let wel, een volledig sluitende oplossing bestaat niet. Je kan enkel proberen het risico zo klein mogelijk te maken.
 
De e-campus-omgeving is hiertegen vrij sterk gewapend door middel van “software restriction rules”. Dat wil zeggen dat alleen vooraf omschreven software mag worden uitgevoerd.
 
== Phishing ==
 
=== Wat is phishing? ===
Phishing is een vorm van internetfraude. Het bestaat uit het oplichten van mensen door ze te lokken naar een valse (bank)website, die een kopie is van de echte website, om ze daar te laten inloggen met hun persoonlijke gegevens. Daardoor krijgt de fraudeur de beschikking over die gegevens met alle gevolgen van dien. De fraudeur doet zich meestal voor als een vertrouwde instantie, zoals een bank of telecomoperator.
 
De meeste vormen van phishing gebeuren via e-mail. De slachtoffers worden via de e-mail naar een valse website gelokt om "hun inloggegevens te controleren".
 
Wil je jezelf testen? Dan kan je deze phishing-quiz uitproberen: https://www.opendns.com/phishing-quiz/
 
Hieronder vind je enkele tips hoe je verdachte mails kan herkennen.
 
[[Bestand:phishing.png]]
=== Wat doe ik als ik phishing krijg? ===
Denk je dat je phishing hebt ontvangen? Stuur dan de mail als bijlage (niet gewoon doorsturen) naar '''abuse@ap.be'''. Maak dus een nieuwe mail naar abuse@ap.be aan en versleep de mail die je ontving hier naartoe.
Op die manier kan er meer informatie uit de mail gehaald worden om onze mail-filter aan te verbeteren.
 
In Outlook bestaat ook de mogelijkheid om phishing te melden. Via deze optie stuur je de nodige informatie naar Microsoft waardoor zij ook hun mail-filtering kunnen optimaliseren.
 
[[Bestand:Outlook-phishing melden.png]]
 
 
== Wachtwoordbeleid ==
Alle personeelsleden moeten minimum één keer per jaar hun wachtwoord wijzigen. Een tweetal weken voordien krijg je een mail met de waarschuwing dat het tijd is om je wachtwoord te wijzigen.
 
We zijn er ons van bewust dat dat wil zeggen dat er van sommige gebruikers het wachtwoord zal verlopen door hun beperkte opdracht en zij niet meer zullen kunnen aanmelden op bepaalde momenten. Via https://wachtwoord.ap.be kunnen mensen zelf hun wachtwoord resetten, de helpdesk kan ook steeds aangesproken worden om een reset te doen.
 
Een goede tip om een wachtwoord samen te stellen is gebruik maken van een passphrase. Dit houdt in dat je in plaats van een woord en een paar vreemde tekens, een zin probeert te maken. Gebruik daarin zeker één woord dat niet in het woordenboek staat. 
Voorbeeld: TopW@htwoordVanAP!

Huidige versie van 22 feb 2021 om 10:31

Antivirus

Op alle computers in de hogeschool staat het antivirusprogramma McAfee geïnstalleerd. Elk bestand dat je opent of wegschrijft wordt gecontroleerd op de aanwezigheid van computervirussen.

Je herkent de aanwezigheid van het programma op je computer aan het rode schild rechtsonderaan op je scherm in het systeemvak.

Je kan ook thuis gebruikmaken van deze beveiliging. Via ons raamcontract met Secutec kunnen we aan sterk verminderde prijzen enkele pakketten van McAfee aanbieden. Meer uitleg daarover vind je hier: McAfee kopen.


Antispam

Spam is een ware plaag geworden. Dagelijks wordt AP Hogeschool van buitenaf belaagd door zo'n 30.000 e-mails. Dat is gemiddeld 1 e-mail elke 3 seconden. Elke e-mail wordt grondig gecontroleerd op virussen, maar ook op mogelijk ongewenste inhoud: spam.

Wereldwijd is het aantal spammails wel sterk gezakt. Tot een paar jaar geleden was ruim 90% van het mailverkeer spam, ondertussen is dat zelfs geen 50% meer. Door allerlei beveiligingen komt er dus nog veel minder spam tot op onze servers. Maar zonder antispamcontrole zouden we nog steeds dagelijks honderden spammails ontvangen. De hogeschool maakt gebruik van het antispamsysteem van Microsoft Office 365 om een zo goed mogelijke beveiliging te garanderen. Er zullen echter steeds enkele mails door de mazen van het net glippen.


Cryptolockers

Wat is een CryptoLocker?

Een CryptoLocker is malware (kwaadwillende software) van het type ransomware dat bestanden 'gijzelt' door ze te versleutelen. Dat wil dus zeggen dat je je eigen bestanden niet meer kan openen, tenzij je betaalt aan de verspreider van het virus voor de decryptiesleutel. Het is een kwestie van zaken doen met criminelen of afscheid nemen van je bestanden.

Een CryptoLocker is relatief nieuw. In eerste instantie lijkt er niets te gebeuren. Er komt een mail met een bijlage binnen, dat kan eender welk type bijlage zijn. Zodra de gebruiker op die bijlage klikt, wordt de trojan geactiveerd en begint die met het versleutelen van bestanden. Alle bestanden waar de gebruiker schrijfrechten op heeft, worden versleuteld.

Vervolgens probeert de trojan via internet contact te maken met de server van de cybercriminelen en verschijnt er een boodschap in beeld waarin staat dat de bestanden versleuteld zijn en dat er binnen de 72 uur een bepaald bedrag betaald moet worden om de sleutel te krijgen voor het decrypteren van de versleutelde bestanden. Gebeurt dat niet binnen die tijd, dan wordt de sleutel vernietigd en zijn de bestanden voor altijd verloren.

Hoe verwijderen?

Hoewel het aannemelijk is dat de criminelen de sleutel daadwerkelijk teruggeven na het betalen van het losgeld, wordt er algemeen aangeraden om niet in te gaan op de losgeldeis. Het virus verwijderen is erg moeilijk en bovendien wijzigt dat niets aan de status van besmette bestanden. De enige manier om werkbare bestanden terug te plaatsen is via goede back-ups.

Verspreiding

AP staat zeker niet alleen als organisatie, onze ICT- en antivirusconsultants komen steeds meer klanten tegen die er mee te maken hebben. Via de overleggroep ICT van de VLHORA weten we ook dat alle hogescholen en universiteiten al meerdere keren met het fenomeen geconfronteerd zijn.

Ook internationaal blijft er niemand van gespaard, en oplossingen zijn vaak moeilijk of niet te vinden, zelfs wanneer politie of veiligheidsdiensten er betrokken bij worden: http://www.standaard.be/cnt/dmf20160217_02135167

Incidenten binnen AP

Tot hiertoe hebben we twee incidenten gehad met een CryptoLocker, telkens nadat iemand een kwaadaardige bijlage had geopend. In beide gevallen hebben we de bestanden kunnen redden door een back-up van enkele uren ervoor terug te zetten. Daar kruipt echter zeer veel werk in en het kopiëren duurt lang. Ook al hebben gebruikers relatief weinig rechten op mappen, toch gaat het al snel om enkele tienduizenden bestanden.

Doorlooptraject bij een incident

  • Het incident wordt gemeld door een gebruiker aan ICT.
  • Systeembeheer en de lokale helpdesk trachten te achterhalen van waar de cryptolocker is geactiveerd, vanop welk werkstation en van welke gebruiker.
  • De gebruikersaccount wordt onmiddellijk uitgeschakeld en de pc wordt opnieuw geïnstalleerd.
  • De gebruiker wordt gevraagd over welke mail(s) het zou kunnen gaan.
  • Systeembeheer bekijkt wat er allemaal geïnfecteerd is en hoe de data te restoren valt.
  • Zo snel mogelijk wordt er begonnen met de geïnfecteerde mappen te verwijderen en terug te vullen met folders en bestanden uit de back-up.
  • Afhankelijk van het aantal MB, GB of TB duurt de restore van enkele minuten over enkele uren tot meer dan een dag.
  • Nadien wordt er nog een extra check via scripting om er zeker van te zijn dat alle data correct zijn teruggeplaatst.

Voorzorgen

ICT is al jaren bezig met het risico op virussen te beperken via het gebruik van antivirus- en antispamsoftware. Let wel, een volledig sluitende oplossing bestaat niet. Je kan enkel proberen het risico zo klein mogelijk te maken.

De e-campus-omgeving is hiertegen vrij sterk gewapend door middel van “software restriction rules”. Dat wil zeggen dat alleen vooraf omschreven software mag worden uitgevoerd.

Phishing

Wat is phishing?

Phishing is een vorm van internetfraude. Het bestaat uit het oplichten van mensen door ze te lokken naar een valse (bank)website, die een kopie is van de echte website, om ze daar te laten inloggen met hun persoonlijke gegevens. Daardoor krijgt de fraudeur de beschikking over die gegevens met alle gevolgen van dien. De fraudeur doet zich meestal voor als een vertrouwde instantie, zoals een bank of telecomoperator.

De meeste vormen van phishing gebeuren via e-mail. De slachtoffers worden via de e-mail naar een valse website gelokt om "hun inloggegevens te controleren".

Wil je jezelf testen? Dan kan je deze phishing-quiz uitproberen: https://www.opendns.com/phishing-quiz/

Hieronder vind je enkele tips hoe je verdachte mails kan herkennen.

Wat doe ik als ik phishing krijg?

Denk je dat je phishing hebt ontvangen? Stuur dan de mail als bijlage (niet gewoon doorsturen) naar abuse@ap.be. Maak dus een nieuwe mail naar abuse@ap.be aan en versleep de mail die je ontving hier naartoe. Op die manier kan er meer informatie uit de mail gehaald worden om onze mail-filter aan te verbeteren.

In Outlook bestaat ook de mogelijkheid om phishing te melden. Via deze optie stuur je de nodige informatie naar Microsoft waardoor zij ook hun mail-filtering kunnen optimaliseren.


Wachtwoordbeleid

Alle personeelsleden moeten minimum één keer per jaar hun wachtwoord wijzigen. Een tweetal weken voordien krijg je een mail met de waarschuwing dat het tijd is om je wachtwoord te wijzigen.

We zijn er ons van bewust dat dat wil zeggen dat er van sommige gebruikers het wachtwoord zal verlopen door hun beperkte opdracht en zij niet meer zullen kunnen aanmelden op bepaalde momenten. Via https://wachtwoord.ap.be kunnen mensen zelf hun wachtwoord resetten, de helpdesk kan ook steeds aangesproken worden om een reset te doen.

Een goede tip om een wachtwoord samen te stellen is gebruik maken van een passphrase. Dit houdt in dat je in plaats van een woord en een paar vreemde tekens, een zin probeert te maken. Gebruik daarin zeker één woord dat niet in het woordenboek staat. Voorbeeld: TopW@htwoordVanAP!