richardk/iso27diy-corp
1
0
Fork 0
Code Issues Pull requests Projects Releases Packages Wiki Activity Actions
iso27diy-corp/Clients/Humankind/Management samenvatting pentest Humankind door RK.md

50 lines
No EOL
2.5 KiB
Markdown
Raw Blame History

This file contains invisible Unicode characters

This file contains invisible Unicode characters that are indistinguishable to humans but may be processed differently by a computer. If you think that this is intentional, you can safely ignore this warning. Use the Escape button to reveal them.

This file contains Unicode characters that might be confused with other characters. If you think that this is intentional, you can safely ignore this warning. Use the Escape button to reveal them.

*mail 23 december*
Beste Roxanne, Francis, Mendy en Tom,
Afgelopen [vrijdag](canary:event?ts=756990005.00) heeft Mathijs van der Pol de resultaten van de pentest gepubliceerd op het beveiligde portal van NFIR.
Belangrijkste bevinding:
_**Tijdens het onderzoek is vastgesteld dat het niet mogelijk was om extern en intern toegang te verkrijgen tot de infrastructuur. Wel zijn er onveilige wachtwoorden aangetroffen.**_
We kunnen dus met een gerust gevoel de feestdagen in!
Hieronder een samenvatting van het geconstateerde, met iets meer info dan de management rapportage.
NFIR rapporteert in vier categorieën: hoog, gemiddeld, laag en info.
**Hoog**
Er zijn 4 kwetsbaarheden in deze categorie. Twee daarvan betreffen het gebruik van gemakkelijk te raden wachtwoorden (94 gevallen). 
De derde is m.i. een configuratiefout (wachtwoordgegevens opgenomen in een registersleutel) die denk ik eenvoudig kan worden opgelost.
Tot slot is geconstateerd dat MFA niet volledig is uitgerold (was al bekend, wordt actie op ondernomen) 
**Gemiddeld**
De kwetsbaarheden van in deze categorie betreffen vooral configuraties van systemen, die ws. eenvoudig verholpen kunnen worden.
Acties (voorstel RK):
- vaststellen wie voor deze configuraties verantwoordelijk is (Humankind, Ilionx of derden)
- review van configuratie-beleid en richtlijnen
- borgen van de naleving 
Op verschillende systemen is verouderde software aangetroffen.
Acties (voorstel RK):
- vaststellen wie verantwoordelijk is voor het updaten van deze software (Humankind, Ilionx of derden)
- updaten van de software, of zoeken naar alternatieven als het gaat om software die niet meer door de leverancier onderhouden wordt (end-of-life)
- review en evt. aanscherpen van het patchbeleid
- borgen van de naleving
Op SharePoint zijn documenten aangetroffen met instructies voor het inloggen op systemen en externe websites, _inclusief gebruikersnamen en wachtwoorden._ Deze documenten zijn toegankelijk voor iedereen met een Humankind wachtwoord. Dit wijst op onvoldoende bewustzijn bij medewerkers, onvoldoende richtlijnen voor de omgang met gevoelige informatie, en een te ruime toegangsmatrix voor informatie op SharePoint.
Dit zijn risicos die al door ons gesignaleerd zijn en waarop verbeteracties zijn geïdentificeerd.
Voor de categorieën laag en info verwijs ik naar de volledige rapportage op het [portal van NFIR](https://nfir.sharepoint.com/:f:/s/24203/EqR2LuUSeYFDp4QSrkOFToIBEkkm-7HCnwn4HgUqRPtuLA?e=GfWzxt).
De management samenvatting van NFIR heb ik bijgesloten.
Reference in a new issue View git blame Copy permalink