Leren van Cyberaanvallen
Geen enkele organisatie is veilig voor Cyberaanvallen. In een constant door ontwikkelende IT wereld moet het beveiligen van de IT omgeving één van je hoogste prioriteiten zijn. Bij ITwoon leren we graag van ervaringen van anderen. We zorgen daarom dat we altijd up-to-date zijn met betrekking tot de laatste ontwikkelingen. Dat beperkt zich niet altijd alleen tot woningcorporaties. De ransomware aanval bij de Universiteit van Maastricht is namelijk een mooi voorbeeld van hoe het mis kan gaan.
PingCastle
Zodra het onderzoeksrapport werd vrijgegeven hebben wij het doorgenomen om te controleren of er dingen in stonden waar wij iets van konden leren. We willen graag vertellen over 1 van de tools die de aanvallers gebruikten zodra ze toegang hadden tot de IT omgeving van de universiteit, namelijk PingCastle
Geleverde diensten
PingCastle is een Windows tool die vrij simpel werkt. Een van de mogelijkheden van PingCastle is het uitvoeren van een ‘health check’. Deze health check is bedoeld voor een beheerder om zwakke plekken in de Microsoft Active Directory aan te wijzen en geeft aanbevelingen om deze te verbeteren. Maar in dit geval hebben de hackers deze tool gebruikt om de zwakke plekken in de beveiliging op te sporen en daar misbruik van te maken. Dit ging vrij gemakkelijk want de health check is ook als gratis variant uit te voeren als normale gebruiker. Er zijn geen beheerdersrechten nodig en is daarmee heel laagdrempelig in gebruik.
ITwoon maakt ook gebruik van PingCastle. Wij draaien hiermee regelmatig de health check. Aan de hand van het rapport dat hier uit komt ondernemen we acties om de beveiliging van de Microsoft Active Directory aan te scherpen. Zo wordt health check score naar beneden gebracht. Hoe lager de score, hoe beter. PingCastle signaleert bijvoorbeeld verouderde servers, die doordat ze ‘out of support’ zijn, een makkelijk doelwit vormen.
Met één keer de health check uitvoeren ben je niet klaar. Bij iedere update van PingCastle worden er weer een aantal nieuwe checks toegevoegd aan het lijstje. Daarnaast is PingCastle bijvoorbeeld ook een heel handig instrument om te controleren of er geen fouten zijn gemaakt bij het aanmaken van gebruikers. Het is dus verstandig om de controles periodiek te blijven uitvoeren. Met een terugkerende audit op de Active Directory heb je zelf grip op de ‘gezondheid’ van je AD. En zo kunnen hackers dit niet tegen je gebruiken.
Het resultaat
Met programma’s zoals PingCastle houden wij zicht op de IT omgeving. Het draaien van PingCastle levert een mooie rapportage op waarin je per onderdeel kunt zien waar de verbeterpunten liggen. PingCastle geeft hierin simpele tips om de beveiliging beter te maken. Alles voor een zo goed mogelijk beveiligde Active Directory omgeving. Zo verkleinen we het succes van Cyberaanvallen, zoals die bij de Universiteit van Maastricht en –nog iets dichter bij huis- die van Gemeente Hof van Twente van begin december.
Ben je benieuwd hoe zo’n PingCastle rapportage er uit ziet, kijk dan even hier. En ben je benieuwd hoe we samen nog meer voor de beveiliging van jullie omgeving kunnen doen? Neem dan eens contact met ons op.