richardk/iso27diy-corp
1
0
Fork 0
Code Issues Pull requests Projects Releases Packages Wiki Activity Actions
iso27diy-corp/Clients/Humankind/Management samenvatting pentest Humankind door RK.md

2.5 KiB
Raw Permalink Blame History

mail 23 december

Beste Roxanne, Francis, Mendy en Tom,

Afgelopen vrijdag heeft Mathijs van der Pol de resultaten van de pentest gepubliceerd op het beveiligde portal van NFIR.

Belangrijkste bevinding:

Tijdens het onderzoek is vastgesteld dat het niet mogelijk was om extern en intern toegang te verkrijgen tot de infrastructuur. Wel zijn er onveilige wachtwoorden aangetroffen.

We kunnen dus met een gerust gevoel de feestdagen in!

Hieronder een samenvatting van het geconstateerde, met iets meer info dan de management rapportage.

NFIR rapporteert in vier categorieën: hoog, gemiddeld, laag en info.

Hoog

Er zijn 4 kwetsbaarheden in deze categorie. Twee daarvan betreffen het gebruik van gemakkelijk te raden wachtwoorden (94 gevallen). 

De derde is m.i. een configuratiefout (wachtwoordgegevens opgenomen in een registersleutel) die denk ik eenvoudig kan worden opgelost.

Tot slot is geconstateerd dat MFA niet volledig is uitgerold (was al bekend, wordt actie op ondernomen) 

Gemiddeld

De kwetsbaarheden van in deze categorie betreffen vooral configuraties van systemen, die ws. eenvoudig verholpen kunnen worden.

Acties (voorstel RK):

  • vaststellen wie voor deze configuraties verantwoordelijk is (Humankind, Ilionx of derden)
  • review van configuratie-beleid en richtlijnen
  • borgen van de naleving 

Op verschillende systemen is verouderde software aangetroffen.

Acties (voorstel RK):

  • vaststellen wie verantwoordelijk is voor het updaten van deze software (Humankind, Ilionx of derden)
  • updaten van de software, of zoeken naar alternatieven als het gaat om software die niet meer door de leverancier onderhouden wordt (end-of-life)
  • review en evt. aanscherpen van het patchbeleid
  • borgen van de naleving

Op SharePoint zijn documenten aangetroffen met instructies voor het inloggen op systemen en externe websites, inclusief gebruikersnamen en wachtwoorden. Deze documenten zijn toegankelijk voor iedereen met een Humankind wachtwoord. Dit wijst op onvoldoende bewustzijn bij medewerkers, onvoldoende richtlijnen voor de omgang met gevoelige informatie, en een te ruime toegangsmatrix voor informatie op SharePoint.

Dit zijn risicos die al door ons gesignaleerd zijn en waarop verbeteracties zijn geïdentificeerd.

Voor de categorieën laag en info verwijs ik naar de volledige rapportage op het portal van NFIR.

De management samenvatting van NFIR heb ik bijgesloten.