Beste,

ik ben benieuwd hoe (de kleine) webhosters omgaan met security.
hiervoor heb ik de aanname gedaan dat jullie geen professionele diensten inhuren die cyber security uit handen neemt.
de vraag hoeveel uur jullie per dag besteden aan security zal ik niet stellen, wat ik ben me bewust dat bedrijven met <5 FTE vaak weinig of geen tijd hebben om hier serieus mee om te gaan. toch ben ik specifiek benieuwd naar jullie reacties

open antwoorden zijn heel nuttig, maar voor jullie gemakt een aantal stellingen:

SIEM:
[] wij hebben een goede Security Event information management geimplementeerd.
[] wij weten hoeveel aanvallen we dagelijks te verwerken krijgen
[] wij blokkeren scanning hosts die we tegen komen in logboeken (ssh brute-force etc.)
[] applicatie logboeken (denk bijv. aan webmail of ftp software) worden bij ons bekeken

Vulnerabilities en exploits
[] wij blokkeren het gebruik van kwetsbare CMS plugins automatisch (o.a. wpscan, joomscan uniscan)
[] wij scannen regelmatig onze servers op kwetsbaarheden (zowel versies als configuratie)
[] wij maken gebruik van een Web Applicatie Firewall (ook mod_security telt mee)

Incident Response
[] is er een compleet incident response planbeschikbaar
[] weten klanten hoe en waar ze terecht kunnen met een cyber security incident
[] jullie houden je toch wel aan de meldplicht datalekken (en andere wettelijke afspraken)?


daarnaast ben ik benieuwd waar jullie tegenaan lopen, waar uitdagingen liggen en wat de veel gestelde vragen van jullie klanten zijn op gebied van security.

Beste TS,

Ik denk dat je op je vragen weinig antwoord gaat krijgen hier omdat geen enkele partij hierin in zijn kaarten gaat laten zien.
Wat ik wel denk - en ik spreek dan als kleine hoster - dat heel het GPDR gebeuren een ontzettend complexe materie is en dat vele kleine partijen zoals ons daar echt wel met heel wat vragen rond zitten...

Het oprichtten van een samenwerkingsverband tussen een aantal partijen om samen te bekijken wat moet, wat kan en hoe het kan gebeuren is hiervoor misschien geen slechte zaak..

...
de vraag hoeveel uur jullie per dag besteden aan security zal ik niet stellen, wat ik ben me bewust dat bedrijven met <5 FTE vaak weinig of geen tijd hebben om hier serieus mee om te gaan.

Dat is een hele rare aanname.

Zonder in detail te treden kan ik je vertellen dat menig kleine hoster zijn security beter voor elkaar heeft dan de grote bedrijven.

Maar als je je onderzoek vooringenomen begint, heeft het eigenlijk niet zoveel zin om door te vragen he [emoji6]

Zonder in detail te treden kan ik je vertellen dat menig kleine hoster zijn security beter voor elkaar heeft dan de grote bedrijven.
Precies dat :)

veel gestelde vragen van jullie klanten zijn op gebied van security
kun je helpen, ik heb een nieuwe PC en weet mijn email password niet meer

Dat is een hele rare aanname.

Zonder in detail te treden kan ik je vertellen dat menig kleine hoster zijn security beter voor elkaar heeft dan de grote bedrijven.
Maar als je je onderzoek vooringenomen begint, heeft het eigenlijk niet zoveel zin om door te vragen he [emoji6]

ben ik met je eens dat een onderzoek starten met aannamen niet goed is, daarom doe ik dat ook niet.
Ik heb slechts twee kleine hosters gesproken die iemand dedicated voor security hebben aangenomen, en die waren niet groter dan 5 FTE, maar wel 20+ PTE
Zij kwamen dan ook uit op +/- een uur per dag.

bedankt voor alle toekomstige serieuze reacties ;-)

Ik weet natuurlijk niet hoe serieus je wil dat mensen / bedrijven jouw (of je bedrijf) nemen maar als je op je website wat rondklikt en ziet dan dit dan weet ik niet of je wel direct zaken met zo'n bedrijf wil gaan doen..

12630

haha dus omdat ik een nieuwe OSSIM platform aan het instellen en configureren ben zouden bedrijven geen zaken met me willen doen?
deze dienst gaat vrijdag pas live, maar wel goed opgemerkt.

haha dus omdat ik een nieuwe OSSIM platform aan het instellen en configureren ben zouden bedrijven geen zaken met me willen doen?
deze dienst gaat vrijdag pas live, maar wel goed opgemerkt.

Met die ssl fout zal het wel meevallen, door te reageren met deze attitude verpest je het wel.

Het toont voor mij allessinds aan hoe serieus je het zelf neemt. Mij ben je als mogelijk toekomstige klant dan wel kwijt..

Als het vrijdag pas live gaat, wat staat het dan al op je website te dansen ?

Om security hoog te houden in je bedrijf moet je diverse dingen doen. Wat wij doen is zowizo bij alle Wordpress & Joomla websites, een default emailadres instellen waar alle mails heen gaan zodra er een update van een plugin oid is die moet toegepast worden. Bij veel klanten wordt je uiteraard doodgespamt van zodra een belangrijke plugin moet geupdate worden.

Het is echter heel belangrijk dat je met je klanten een afspraak hebt (eventueel een mailtje sturen) om dit soort updates door te voeren, of dat ze dit zelf doen. Als hun aangeven dit niet te kunnen, reken je gwn een vaste prijs per maand/jaar en hou je als dienst dit voor je klant in orde. Zodra wordpress en joomla sites al up to date zijn, zorg je dat je hosting al een pak veiliger is.

Zowizo limliteren wij het mailverkeer op elk hostingpakket tot max 100 berichten per dag (wat ruim voldoende is voor de normale mailer) zo voorkom je dat als er ooit een site gehackt wordt, je tenminste geen duizenden emails aan het spammen bent waardoor je hele ip of ipblock geblokkeerd word en je grotere problemen hebt.

Voor DDoS aanvallen hebben wij een afspraak in ons datacenter, waar wij een SLA betalen om gebruik te mogen maken van een zeer zware JUNIPER firewall, en op die manier geen grote investering moeten doen en toch altijd online kunnen zijn (ook tijdens een DDoS).

Daarnaast is het belangrijk dat je zelf je servers up to date houdt, en regelmatig eens de HTTPD en MYSQL processen herstart (op een moment dat dit kan)

Voor bruteforce is het simpel, je stelt gewoon in dat ip's maximaal 3 keer foutief mogen inloggen of ze gaan op een tijdelijke blacklist die na een uur verdwijnt, komen ze dan trg en gebeurd het weer, is permanent op de list.

Dat is een hele rare aanname.

Zonder in detail te treden kan ik je vertellen dat menig kleine hoster zijn security beter voor elkaar heeft dan de grote bedrijven.

Maar als je je onderzoek vooringenomen begint, heeft het eigenlijk niet zoveel zin om door te vragen he [emoji6]

Helemaal mee eens :)

Ik denk dat als "klein" bedrijf (wij zijn +/- 6 FTE) we juist veel zuiniger zijn op ons netwerk, servers en klanten dan een KPN. Denk hierbij aan:
- Verplicht wachtwoord veranderen iedere 30 dagen, óók onze klanten(!)
- Geen wachtwoorden verstrekken via de telefoon (je weet niet direct wie er belt), uitsluitend via ticket en vast contactpersoon
- Geen unsecure connecties (http, ftp)
- Firewall's (logische) met actieve monitoring
- Management netwerk (out of band)
- Periodiek een scan doen voor openstaande poortjes, het kan iedereen overkomen
- Windows servers nooit direct op internet
- Iedere klant/project in apart VLAN met firewalling

Misschien zijn wij er wel wat streng in maar naar mijn mening zit 80% van onze beveiliging niet in apparatuur maar in het opvoeden van onze eindgebruikers/klanten. Als een directeur zijn laptopje kwijtraakt en daarop alle wachtwoorden heeft opgeslagen (het gebeurd!) kan daarmee inbreuk worden gemaakt op bij ons draaiende diensten of opgeslagen data.

Naar mijn idee heeft het ook niet zoveel zin om te zien dat iemand probeert in te loggen op een Joomla site.

Je moet zorgen dat het veilig is en niet veilig maken. Dus als iemand iets doet wat niet veilig is, gaat hij dat oplossen en wij gaan dan niet zorgen dat zijn handelingen, of het gebrek eraan, veilig gemaakt worden.

En natuurlijk wordt iemand geblokkeerd als hij binnen 5 seconden 2x probeert in te loggen. Bepaalde scans worden ook geblokkeerd. Maar wij geloven in security by design.. Altijd de teugels strak houden. Nooit denken, ach, dit kan wel...

En nee, wij zitten niet hele dagen in logfiles te loeren. Wat ga je ervan leren? Dat iemand probeert een wachtwoord te raden? En dat het een Rus is? Hoe verrassend. Het hangt aan het internet... :-)

En nee, wij zitten niet hele dagen in logfiles te loeren. Wat ga je ervan leren? Dat iemand probeert een wachtwoord te raden? En dat het een Rus is? Hoe verrassend. Het hangt aan het internet... :-)

Nouja.... Als er een scriptje loopt wat een password guess doet kan het ook load of data veroorzaken. Dit blokkeren we dus wel automatische (gewoon ip filter).

Nouja.... Als er een scriptje loopt wat een password guess doet kan het ook load of data veroorzaken. Dit blokkeren we dus wel automatische (gewoon ip filter).


Uiteraard :-)
Zoals ik schreef..

En natuurlijk wordt iemand geblokkeerd als hij binnen 5 seconden 2x probeert in te loggen. Bepaalde scans worden ook geblokkeerd.