KerberosX zei:
Wat ik niet begrijp is dat er in zo'n groot bedrijf geen strikte scheiding is tussen het productienetwerk en het kantoornetwerk. Daar moeten toch koppen gaan rollen?
- ervanuit gaande dat "productie" alles met machines en interne logistiek te maken heeft, en "kantoor" alles waar de modale laptops van de werknemers aan kunnen die ook op internet kunnen
- nergens laten ze weten hoe het virus is binnen gekomen. dat kan zijn via mail ja maar dat kan ook via een usb stick in het productienetwerk zijn. het kan ook gekomen zijn via een "patch" van een of ander systeem. of via een laptop van een contractor die in productie werkt.
- het kantoornetwerk bevat de ERP systemen, facturatie, inkomende orders, mails... als dat eruit ligt dan ligt productie er dikwijls een paar uur later ook uit. zelfs al werken die computers van productie nog perfect.
- er zijn altijd linken tussen het productienetwerk en het kantoornetwerk. als je geluk hebt zit hier een firewall tussen. maar als dit bijvoorbeeld een firewall is die SMB trafiek toelaat om .xml bestanden uit te wisselen of dergelijke, en dat productienetwerk krijgt geen windows updates, dan kan je modale eternalblue exploit via die ene PC dat heel productienetwerk gijzelen
Ik ken geen enkel groot bedrijfs waar het management om productierapporten te zien eerst hun laptop moet inpluggen in het productienetwerk. Dus die linken zijn er altijd. Hoe veilig die linken zijn, is er firewall, is er DMZ, zijn een patchen... daar zal het wel aan gelegen hebben.
Ik volg een podcast "Darknet diaries" en je zou verschieten hoeveel grote bedrijven niet eens offline backups hebben van hun systemen.
Zelfs geen backups die op fysiek gescheiden netwerken zitten.