Beveiliging: verschil tussen versies

Uit ICTpedia
Naar navigatie springen Naar zoeken springen
Geen bewerkingssamenvatting
Geen bewerkingssamenvatting
Regel 10: Regel 10:


== Antispam ==
== Antispam ==
Spam is een ware plaag geworden. Dagelijks wordt AP Hogeschool van buitenaf belaagd door zo'n 30.000 e-mails. Dat is '''gemiddeld 1 e-mail elke 3 seconden'''. Elke e-mail wordt grondig gecontroleerd op virussen, maar ook op mogelijk ongewenste inhoud: spam. Wereldwijd is het aantal spammails sterk gezakt. Tot een paar jaar geleden was ruim 90% van het mailverkeer spam, ondertussen is dat zelfs geen 50% meer. Door allerlei beveiligingen komt er nog veel minder spam tot op onze servers.
Spam is een ware plaag geworden. Dagelijks wordt AP Hogeschool van buitenaf belaagd door zo'n 30.000 e-mails. Dat is '''gemiddeld 1 e-mail elke 3 seconden'''. Elke e-mail wordt grondig gecontroleerd op virussen, maar ook op mogelijk ongewenste inhoud: spam.


Zonder antispamcontrole zouden we dagelijks honderden spammails ontvangen. De hogeschool maakt gebruik van het antispamsysteem van Microsoft Office 365 om een zo goed mogelijke beveiliging te garanderen. Er zullen echter steeds enkele mails door de mazen van het net glippen.  
Wereldwijd is het aantal spammails wel sterk gezakt. Tot een paar jaar geleden was ruim 90% van het mailverkeer spam, ondertussen is dat zelfs geen 50% meer. Door allerlei beveiligingen komt er dus nog veel minder spam tot op onze servers. Maar zonder antispamcontrole zouden we nog steeds dagelijks honderden spammails ontvangen. De hogeschool maakt gebruik van het antispamsysteem van Microsoft Office 365 om een zo goed mogelijke beveiliging te garanderen. Er zullen echter steeds enkele mails door de mazen van het net glippen.  




Regel 18: Regel 18:


=== Wat is een CryptoLocker? ===
=== Wat is een CryptoLocker? ===
Een CryptoLocker is een malware van het type ransomware dat bestanden 'gijzelt' door ze te versleutelen. Dat wil dus zeggen dat je je eigen bestanden niet meer kan openen, tenzij je betaalt aan de verspreider van het virus voor de decryptiesleutel. Het is een kwestie van zaken doen met criminelen of afscheid nemen van je bestanden.
Een CryptoLocker is malware (kwaadwillende software) van het type ransomware dat bestanden 'gijzelt' door ze te versleutelen. Dat wil dus zeggen dat je je eigen bestanden niet meer kan openen, tenzij je betaalt aan de verspreider van het virus voor de decryptiesleutel. Het is een kwestie van zaken doen met criminelen of afscheid nemen van je bestanden.


Een CryptoLocker is relatief nieuw. In eerste instantie lijkt er niets te gebeuren. Er komt een mail met een bijlage binnen, dat kan eender welk type bijlage zijn. Zodra de gebruiker op die bijlage klikt, wordt de trojan geactiveerd en begint die met het versleutelen van bestanden. Alle bestanden waar de gebruiker schrijfrechten op heeft, worden versleuteld.
Een CryptoLocker is relatief nieuw. In eerste instantie lijkt er niets te gebeuren. Er komt een mail met een bijlage binnen, dat kan eender welk type bijlage zijn. Zodra de gebruiker op die bijlage klikt, wordt de trojan geactiveerd en begint die met het versleutelen van bestanden. Alle bestanden waar de gebruiker schrijfrechten op heeft, worden versleuteld.
Regel 24: Regel 24:
Vervolgens probeert de trojan via internet contact te maken met de server van de cybercriminelen en verschijnt er een boodschap in beeld waarin staat dat de bestanden versleuteld zijn en dat er binnen de 72 uur een bepaald bedrag betaald moet worden om de sleutel te krijgen voor het decrypteren van de versleutelde bestanden. Gebeurt dat niet binnen die tijd, dan wordt de sleutel vernietigd en zijn de bestanden voor altijd verloren.
Vervolgens probeert de trojan via internet contact te maken met de server van de cybercriminelen en verschijnt er een boodschap in beeld waarin staat dat de bestanden versleuteld zijn en dat er binnen de 72 uur een bepaald bedrag betaald moet worden om de sleutel te krijgen voor het decrypteren van de versleutelde bestanden. Gebeurt dat niet binnen die tijd, dan wordt de sleutel vernietigd en zijn de bestanden voor altijd verloren.


=== Hoe het virus verwijderen? ===
=== Hoe verwijderen? ===
Hoewel het aannemelijk is dat de criminelen de sleutel daadwerkelijk teruggeven na het betalen van het losgeld, wordt er algemeen aangeraden om niet in te gaan op de losgeldeis. Het virus verwijderen is erg moeilijk en bovendien wijzigt dat niets aan de status van besmette bestanden. De enige manier om werkbare bestanden terug te plaatsen is via goede back-ups.
Hoewel het aannemelijk is dat de criminelen de sleutel daadwerkelijk teruggeven na het betalen van het losgeld, wordt er algemeen aangeraden om niet in te gaan op de losgeldeis. Het virus verwijderen is erg moeilijk en bovendien wijzigt dat niets aan de status van besmette bestanden. De enige manier om werkbare bestanden terug te plaatsen is via goede back-ups.


Regel 38: Regel 38:
==== Doorlooptraject bij een incident ====
==== Doorlooptraject bij een incident ====
* Het incident wordt gemeld door een gebruiker aan ICT.
* Het incident wordt gemeld door een gebruiker aan ICT.
* Systeembeheer en de lokale helpdesk trachten te achterhalen van waar de cryptolocker is geactiveerd, van op welk werkstation en van welke gebruiker.
* Systeembeheer en de lokale helpdesk trachten te achterhalen van waar de cryptolocker is geactiveerd, vanop welk werkstation en van welke gebruiker.
* De gebruikersaccount wordt onmiddellijk uitgeschakeld en de pc wordt opnieuw geïnstalleerd.
* De gebruikersaccount wordt onmiddellijk uitgeschakeld en de pc wordt opnieuw geïnstalleerd.
* De gebruiker wordt gevraagd over welke mail(s) het zou kunnen gaan.
* De gebruiker wordt gevraagd over welke mail(s) het zou kunnen gaan.
* Systeembeheer bekijkt wat er allemaal geïnfecteerd is – op basis van de gebruiker kan gemakkelijk nagegaan worden op welke mappen en bestanden die rechten had – en hoe de data te restoren valt.  
* Systeembeheer bekijkt wat er allemaal geïnfecteerd is en hoe de data te restoren valt.  
* Zo snel mogelijk wordt er begonnen met de geïnfecteerde mappen te verwijderen en terug te vullen met folders en bestanden uit de back-up.
* Zo snel mogelijk wordt er begonnen met de geïnfecteerde mappen te verwijderen en terug te vullen met folders en bestanden uit de back-up.
* Afhankelijk van het aantal MB, GB of TB duurt de restore van enkele minuten over enkele uren tot meer dan een dag.
* Afhankelijk van het aantal MB, GB of TB duurt de restore van enkele minuten over enkele uren tot meer dan een dag.

Versie van 6 jul 2016 14:01

Antivirus

Op alle computers in de hogeschool staat het antivirusprogramma McAfee geïnstalleerd. Elk bestand dat je opent of wegschrijft wordt gecontroleerd op de aanwezigheid van computervirussen.

Je herkent de aanwezigheid van het programma op je computer aan het rode schild rechtsonderaan op je scherm in het systeemvak.

Je kan binnenkort ook thuis gebruikmaken van deze beveiliging. Via ons raamcontract met Secutec kunnen we aan sterk verminderde prijzen enkele pakketten van McAfee aanbieden.


Antispam

Spam is een ware plaag geworden. Dagelijks wordt AP Hogeschool van buitenaf belaagd door zo'n 30.000 e-mails. Dat is gemiddeld 1 e-mail elke 3 seconden. Elke e-mail wordt grondig gecontroleerd op virussen, maar ook op mogelijk ongewenste inhoud: spam.

Wereldwijd is het aantal spammails wel sterk gezakt. Tot een paar jaar geleden was ruim 90% van het mailverkeer spam, ondertussen is dat zelfs geen 50% meer. Door allerlei beveiligingen komt er dus nog veel minder spam tot op onze servers. Maar zonder antispamcontrole zouden we nog steeds dagelijks honderden spammails ontvangen. De hogeschool maakt gebruik van het antispamsysteem van Microsoft Office 365 om een zo goed mogelijke beveiliging te garanderen. Er zullen echter steeds enkele mails door de mazen van het net glippen.


Cryptolockers

Wat is een CryptoLocker?

Een CryptoLocker is malware (kwaadwillende software) van het type ransomware dat bestanden 'gijzelt' door ze te versleutelen. Dat wil dus zeggen dat je je eigen bestanden niet meer kan openen, tenzij je betaalt aan de verspreider van het virus voor de decryptiesleutel. Het is een kwestie van zaken doen met criminelen of afscheid nemen van je bestanden.

Een CryptoLocker is relatief nieuw. In eerste instantie lijkt er niets te gebeuren. Er komt een mail met een bijlage binnen, dat kan eender welk type bijlage zijn. Zodra de gebruiker op die bijlage klikt, wordt de trojan geactiveerd en begint die met het versleutelen van bestanden. Alle bestanden waar de gebruiker schrijfrechten op heeft, worden versleuteld.

Vervolgens probeert de trojan via internet contact te maken met de server van de cybercriminelen en verschijnt er een boodschap in beeld waarin staat dat de bestanden versleuteld zijn en dat er binnen de 72 uur een bepaald bedrag betaald moet worden om de sleutel te krijgen voor het decrypteren van de versleutelde bestanden. Gebeurt dat niet binnen die tijd, dan wordt de sleutel vernietigd en zijn de bestanden voor altijd verloren.

Hoe verwijderen?

Hoewel het aannemelijk is dat de criminelen de sleutel daadwerkelijk teruggeven na het betalen van het losgeld, wordt er algemeen aangeraden om niet in te gaan op de losgeldeis. Het virus verwijderen is erg moeilijk en bovendien wijzigt dat niets aan de status van besmette bestanden. De enige manier om werkbare bestanden terug te plaatsen is via goede back-ups.

Verspreiding

AP staat zeker niet alleen als organisatie, onze ICT- en antivirusconsultants komen steeds meer klanten tegen die er mee te maken hebben. Via de overleggroep ICT van de VLHORA weten we ook dat alle hogescholen en universiteiten al meerdere keren met het fenomeen geconfronteerd zijn.

Ook internationaal blijft er niemand van gespaard, en oplossingen zijn vaak moeilijk of niet te vinden, zelfs wanneer politie of veiligheidsdiensten er betrokken bij worden: http://www.standaard.be/cnt/dmf20160217_02135167

Incidenten binnen AP

Tot hiertoe hebben we twee incidenten gehad met een CryptoLocker, telkens nadat iemand een kwaadaardige bijlage had geopend. In beide gevallen hebben we de bestanden kunnen redden door een back-up van enkele uren ervoor terug te zetten. Daar kruipt echter zeer veel werk in en het kopiëren duurt lang. Ook al hebben gebruikers relatief weinig rechten op mappen, toch gaat het al snel om enkele tienduizenden bestanden.

Doorlooptraject bij een incident

  • Het incident wordt gemeld door een gebruiker aan ICT.
  • Systeembeheer en de lokale helpdesk trachten te achterhalen van waar de cryptolocker is geactiveerd, vanop welk werkstation en van welke gebruiker.
  • De gebruikersaccount wordt onmiddellijk uitgeschakeld en de pc wordt opnieuw geïnstalleerd.
  • De gebruiker wordt gevraagd over welke mail(s) het zou kunnen gaan.
  • Systeembeheer bekijkt wat er allemaal geïnfecteerd is en hoe de data te restoren valt.
  • Zo snel mogelijk wordt er begonnen met de geïnfecteerde mappen te verwijderen en terug te vullen met folders en bestanden uit de back-up.
  • Afhankelijk van het aantal MB, GB of TB duurt de restore van enkele minuten over enkele uren tot meer dan een dag.
  • Nadien wordt er nog een extra check via scripting om er zeker van te zijn dat alle data correct zijn teruggeplaatst.

Voorzorgen

ICT is al jaren bezig met het risico op virussen te beperken via het gebruik van antivirus- en antispamsoftware. Let wel, een volledig sluitende oplossing bestaat niet. Je kan enkel proberen het risico zo klein mogelijk te maken.

De e-campus-omgeving is hiertegen vrij sterk gewapend door middel van “software restriction rules”. Dat wil zeggen dat alleen vooraf omschreven software mag worden uitgevoerd.

Phishing

Wat is phishing?

Phishing is een vorm van internetfraude. Het bestaat uit het oplichten van mensen door ze te lokken naar een valse (bank)website, die een kopie is van de echte website, om ze daar te laten inloggen met hun persoonlijke gegevens. Daardoor krijgt de fraudeur de beschikking over die gegevens met alle gevolgen van dien. De fraudeur doet zich meestal voor als een vertrouwde instantie, zoals een bank of telecomoperator.

De meeste vormen van phishing gebeuren via e-mail. De slachtoffers worden via de e-mail naar een valse website gelokt om "hun inloggegevens te controleren".

Wil je jezelf testen? Dan kan je deze phishing quizzen uitproberen:

Hieronder vind je enkele tips hoe je verdachte mails kan herkennen.


Wachtwoordbeleid

Alle personeelsleden moeten minimum één keer per jaar hun wachtwoord wijzigen. Een tweetal weken voordien krijg je een mail met de waarschuwing dat het tijd is om je wachtwoord te wijzigen. We zijn er ons van bewust dat dat wil zeggen dat er van sommige gebruikers het wachtwoord zal verlopen door hun beperkte opdracht en zij niet meer zullen kunnen aanmelden op bepaalde momenten. Via https://wachtwoord.ap.be kunnen mensen zelf hun wachtwoord resetten, de helpdesk kan ook steeds aangesproken worden om een reset te doen.