Over allesoverit
Wij geven helder en praktisch ICT-security advies voor mbo 4 gebruikers.
Ons advies
Praktische tips en oplossingen om jouw digitale veiligheid te versterken.
Projecten
Praktische ICT-beveiligingsoplossingen voor mbo-gebruikers
Netwerk Scan
Grondige analyse van netwerkbeveiliging
Risico Scan
Identificatie van kwetsbaarheden en risico's
Onze diensten
Praktisch security advies voor mbo 4 gebruikers en bedrijven.
Risicoanalyse
We brengen uw beveiligingsrisico's helder in kaart.
Advies op maat
Persoonlijk advies dat aansluit bij uw situatie.
Trainingen om bewustzijn en vaardigheden te vergroten.
Bewustwording
schrijf je tekst hier...wat is er aan de hand (context)
op srv002 draait een mysql database
daarin staat medische informatie
op een forum is data gevonden
dit wijst op een mogelijk datalek
jij moet onderzoeken, nog niets aanpassen
➡️ belangrijk:
eerst onderzoeken, pas later oplossen
wat wil de directie van jou weten (dit MOET in je verslag)
je moet antwoord geven op deze vragen:
hoe kon dit gebeuren?
welke kwetsbaarheden waren er?
hoe groot is het risico?
wanneer is het gebeurd?
welke informatie kan zijn gelekt?
hoeveel informatie is mogelijk gelekt?
alles wat je checkt moet hierop aansluiten
stap 1 – vaststellen waar je onderzoekt
welke machine?
srv002 = database server → HOOFDONDERZOEK
srv001 = domein/dns → alleen ter controle
➡️ focus altijd op srv002
stap 2 – netwerkcheck (eerste technische check)
wat check ik
klopt het ip?
klopt de dns?
klopt de gateway?
hoe check ik
ipconfig /all
waar let ik op
intern ip (172.16.x.x)
bekende dns-server
bekende gateway
waarom checken we dit
verkeerde dns of gateway = verkeer onderschept
wat schrijf ik op
de netwerkconfiguratie van srv002 is gecontroleerd op afwijkingen.
stap 3 – open poorten (HEEL BELANGRIJK BIJ DATABASE)
wat check ik
staat mysql open?
is hij extern bereikbaar?
hoe check ik
netstat -ano
waar let ik op
poort 3306 (mysql)
luistert hij op 0.0.0.0?
externe verbindingen?
waarom checken we dit
open database-poort = datalek
wat schrijf ik op
er is gecontroleerd of de mysql-database onnodig extern bereikbaar is.
stap 4 – firewall & firewall-log (SCOORT VEEL PUNTEN)
wat check ik
staat firewall aan?
wat staat er in de firewall-log?
hoe check ik
netsh advfirewall show allprofiles
en:
open de firewall-log (die uitsnede op het bureaublad)
waar let ik op
veel blokkeer-pogingen
steeds dezelfde ip
poort 3306 / 3389
waarom checken we dit
laat zien of iemand probeerde binnen te komen
wat schrijf ik op
in de firewall-log zijn verdachte verbindingspogingen zichtbaar / geen bijzonderheden aangetroffen.
stap 5 – gebruikers & adminrechten
wat check ik
wie heeft adminrechten?
zijn dat te veel mensen?
hoe check ik
net localgroup administrators
waarom checken we dit
admin = volledige toegang tot database
wat schrijf ik op
het aantal administratoraccounts is gecontroleerd op overmatige rechten.
stap 6 – processen & services (mysql!)
wat check ik
draait mysql?
draait er nog iets vreemds?
hoe check ik
tasklist services.msc
waar let ik op
mysql service actief
onbekende services
alles draait als admin?
waarom checken we dit
malware kan als service draaien
wat schrijf ik op
actieve services en processen zijn gecontroleerd op afwijkingen.
stap 7 – windows logs (MICROSOFT LOGS = EXAMENGOUD)
wat check ik
mislukte logins
verdachte aanmeldingen
hoe check ik
eventvwr.msc
kijk hier
security log
system log
waarom checken we dit
logs laten zien wanneer en hoe
wat schrijf ik op
de windows security logs zijn geanalyseerd op mislukte aanmeldingen en afwijkend gedrag.
stap 8 – antivirus & updates (simpel maar verplicht)
wat check ik
staat antivirus aan?
zijn updates actief?
hoe check ik
windows defender status
windows update
waarom checken we dit
geen av = malware kans
geen updates = bekende lekken
wat schrijf ik op
de endpointbeveiliging en update-status zijn gecontroleerd.
stap 9 – bepalen WAT gelekt kan zijn (AVG!)
wat check ik
wat staat er in de database?
antwoord (logisch redeneren)
naam
medicatie
medische gegevens
waarom belangrijk
medische data = hoog risico
meldplicht AVG
wat schrijf ik op
het betreft mogelijk bijzondere persoonsgegevens, wat de impact van het datalek vergroot.
stap 10 – interviews meenemen
wat doe ik
lees interviews links
waar let ik op
wachtwoorden delen?
phishing?
usb gebruik?
waarom
mens is vaak de zwakke schakel
wat schrijf ik op
uit interviews blijkt dat security awareness verbeterd moet worden.
stap 11 – risicoanalyse (DIT IS DE KERN)
je koppelt alles zo:
bevindingrisicoimpactopen poort 3306datalekhoogte veel adminsmisbruikhoogfirewall hitsaanvalmiddellage awarenessphishingmiddel
➡️ dit scoort maximaal
stap 12 – communicatie & vervolgstappen
wat adviseer ik
database alleen intern bereikbaar
mfa
adminrechten beperken
monitoring
awareness training
wettelijke plicht
avg
fg informeren
mogelijk autoriteit persoonsgegevens
voorbeeld eindzinnen (GEBRUIK DEZE!)
onderzoek
ik heb een technisch onderzoek uitgevoerd op srv002 om de oorzaak en impact van het datalek vast te stellen.
advies
ik adviseer het beperken van database-toegang, het toepassen van mfa en het verbeteren van monitoring en awareness.
communicatie
de bevindingen zijn vastgelegd en gecommuniceerd met de directie conform de avg.
dit is nu jouw checklist (volgorde!)
netwerkconfiguratie
open poorten (3306!)
firewall + firewall-log
adminrechten
processen & services
windows logs
antivirus & updates
interviews
risicoanalyse
advies & communicatie
➡️ doe je dit = geslaagd
ultieme examenzin (onthouden!)
ik heb het security-incident onderzocht, de oorzaak en impact geanalyseerd en op basis daarvan passende maatregelen en communicatie geadviseerd
top vraag 👍 dit zijn exact de dingen waar iedereen vastloopt.
ik leg het nu zo simpel uit dat je letterlijk weet wat “goed” en “fout” is.
dit is jip-en-janneke niveau, maar examen-proof.
1. hoe weet ik of dns en gateway juist zijn?
stap 1 – check het met een commando
windows
ipconfig /all
dns – hoe herken ik GOED vs FOUT
wat is dns (simpel)
dns = telefoonboek van internet
naam → ip-adres
dns is GOED als:
dns-server een intern ip is
bijvoorbeeld:172.16.1.1
192.168.x.x
of de domain controller (srv001)
dns is FOUT als:
dns-server:
8.8.8.8
1.1.1.1
iets onbekends
➡️ in een bedrijfsnetwerk hoort dit bijna nooit
wat schrijf je op
de dns-server is gecontroleerd en komt overeen met de interne infrastructuur / wijkt af van de verwachte configuratie.
gateway – hoe herken ik GOED vs FOUT
wat is gateway (simpel)
gateway = de deur naar het netwerk
gateway is GOED als:
gateway in zelfde netwerk zit
voorbeeld:ip: 172.16.1.2
gateway: 172.16.1.1
gateway is FOUT als:
leeg
ander netwerk
onbekend ip
➡️ verkeerde gateway = verkeer kan worden onderschept
wat schrijf je op
de gateway-instelling is gecontroleerd en correct / afwijkend bevonden.
2. hoe herken ik VEEL blokkeerpogingen in firewall-log?
wat is “veel” (simpel)
dezelfde ip meerdere keren
dezelfde poort meerdere keren
korte tijd → veel regels
hoe check je dat
open de firewall-log (die uitsnede op het bureaublad)
waar let je op (letterlijk dit)
verdacht:
10+ regels achter elkaar
steeds:
poort 3389 (rdp)
poort 3306 (mysql)
zelfde extern ip
normaal:
af en toe 1 blokkeerregel
verschillende ip’s
geen patroon
wat schrijf je op
in de firewall-log zijn herhaalde geblokkeerde verbindingspogingen zichtbaar, wat kan wijzen op een aanvalspoging.
(of als er niks is:)
de firewall-log toont geen afwijkend patroon.
3. welke “onbekende services” moet ik checken?
hoe check je services
services.msc
services die je KENT (meestal oké)
windows update
windows defender
mysql
dns
dhcp
services die VERDACHT zijn
vage namen:
updater123
system32helper
remoteaccess
geen beschrijving
draait als local system
onbekende fabrikant
➡️ malware draait vaak als service
wat schrijf je op
actieve services zijn gecontroleerd; er zijn geen / wel onbekende services aangetroffen.
4. wat check ik in SECURITY log?
open log
eventvwr.msc
→ windows logs
→ security
check ALLEEN dit (simpel!)
let op:
failed logon
account lockout
veel herhalingen
verdacht:
veel mislukte logins
login buiten werktijd
login van onbekend account
wat schrijf je op
in de security logs zijn mislukte aanmeldpogingen gecontroleerd.
5. wat check ik in SYSTEM log?
system log laat zien:
crashes
services starten/stoppen
fouten
let op:
service die steeds stopt
onverwachte herstarts
fouten rond netwerk of mysql
wat schrijf je op
de system logs zijn gecontroleerd op systeemfouten en instabiliteit.
6. hoe weet ik of antivirus aan staat?
hoe check je
open windows security
kijk of virusbeveiliging actief is
goed:
groen vinkje
realtime bescherming aan
fout:
uitgeschakeld
waarschuwing
wat schrijf je op
de antivirusbescherming is gecontroleerd en actief / niet actief bevonden.
7. dingen die je waarschijnlijk
wanneer mag ik iets aanpassen?
❌ tijdens onderzoek: NIET
✅ na kwetsbaarheden: WEL
zeg altijd:
eerst onderzoek uitgevoerd, daarna maatregelen geadviseerd.
hoe weet ik “wanneer het is gebeurd”?
kijk in logs
kijk in firewall-log
kijk naar eerste verdachte regel
je hoeft geen exacte seconde, alleen indicatie
email :
Geachte directie,
Hierbij informeren wij u over een mogelijk datalek binnen Apotheek AmeRijck.
Tijdens een technisch onderzoek op server SRV002 is vastgesteld dat er aanwijzingen zijn dat onbevoegden mogelijk toegang hebben gehad tot de database waarin medische gegevens zijn opgeslagen.
Wat is er gebeurd?
Er zijn signalen gevonden die wijzen op ongeautoriseerde toegang tot de databaseserver. De exacte oorzaak wordt verder onderzocht.
Welke gegevens zijn mogelijk betrokken?
Het kan hierbij gaan om persoonsgegevens en medische informatie van gasten, zoals namen en medische gegevens.
Wat is de impact?
Omdat het medische gegevens betreft, is er sprake van een verhoogd risico en mogelijk een meldplicht conform de AVG.
Welke maatregelen zijn genomen?
De situatie is onderzocht en risico’s zijn in kaart gebracht. Aanvullende beveiligingsmaatregelen worden geadviseerd om herhaling te voorkomen.
Vervolgstappen
Wij adviseren om passende beveiligingsmaatregelen te treffen en te beoordelen of melding bij de Autoriteit Persoonsgegevens noodzakelijk is.
Met vriendelijke groet,
[NAAM]
[FUNCTIE]
Apotheek AmeRijck