In de vorige blog gingen we in op de basis van een goede cybersecurity-oplossing. Deze minimale vereisten zijn de essentiële zaken om geregeld te hebben. Dit eerste niveau is de basis waarop de overige cybersecuritymaatregelen verder bouwen. In deze tweede blog uit de serie ‘keuzehulp voor cybersecuritymaatregelen’ bespreken we het volgende niveau.
Niveau 2: de basismaatregelen
Laten we er geen doekjes om winden, de minimale vereisten zijn zaken die binnen elke organisatie allemaal op orde moeten zijn. Deze vanzelfsprekendheid geldt echter niet per se voor de maatregelen die we in deze blog benoemen. Deze maatregelen passen bij een organisatie die graag stappen wil maken om haar organisatie beter te beschermen tegen cybercriminaliteit. Niveau 2: de basismaatregelen begint eigenlijk bij een stukje zelfkennis van de organisatie. Die zelfkennis vertaalt zich naar het inzichtelijk hebben van alle apparatuur die binnen je organisatie op de een of andere manier met het netwerk verbonden is.
Doe de juiste dingen
Het klinkt weer als een open deur, maar de juiste dingen doen is een van de lastigste uitdagingen in cybersecurity. Het betekent namelijk dat je moet weten welke dreigingen je aan moet pakken. Daarnaast moet je ervoor zorgen dat daar ook vanuit de directie steun voor is. Waar een IT-afdeling processen automatiseert die niet van henzelf zijn beschermt de security-afdeling informatie die niet van hen is. Het betrekken van het lijnmanagement in het definiëren van risico’s, het classificeren van data en het voeren van een DPIA is noodzakelijk. Het zijn immers risico’s in hun bedrijfsvoering die we weg proberen te nemen.
Kwetsbaarheden
Ken je kwetsbaarheden door periodiek (maandelijks sluit veelal mooi aan op het patchbeleid) je netwerk te scannen op kwetsbaarheden. Niet alleen servers en clients zijn kwetsbaar, maar ook netwerkcomponenten, appliances, VoIP-toestellen, printers, etc. Door kwetsbare apparatuur en programmatuur te ontdekken kan je tijdig maatregelen nemen en voorkomen dat een ander ze misbruikt. De praktijk leert dat het niet alleen verstandig is om je netwerk van binnenuit te scannen. Het is ook verstandig om dit vanaf het internet te doen.
Vooraf nadenken over ‘damage control’
Je kent je kwetsbaarheden en je hebt maatregelen genomen om misbruik te voorkomen. Een vervolgstap is de impact te verkleinen als het wel mis gaat. Beperk daarvoor rechten op het netwerk tot die informatie, shares of applicaties die voor die medewerker noodzakelijk zijn voor het uitvoeren van de werkzaamheden. Om dit te illustreren gaan we uit van een ransomware-aanval. Als medewerkers enkel bij die documenten kunnen die ze nodig hebben, betekent dat ook dat een cryptolocker op hun PC enkel die documenten zou kunnen versleutelen. Nog steeds erg vervelend natuurlijk, maar minder erg dan dat alles versleuteld wordt.
Voordat ransomware begint met het versleutelen van bestanden probeert het vaak eerst om andere apparatuur in het netwerk te besmetten. Door netwerksegmentatie toe te passen zorg je ervoor dat wederom de reikwijdte vanaf een enkele werkplek wordt ingedamd.
Het eenmalig inrichten van zo’n configuratie is vaak wel te doen, maar de kans is groot dat je vroeg of laat te maken krijgt met mutaties in je netwerk. Juist deze mutaties maken het lastig. Bij hoeveel medewerkers worden daadwerkelijk rechten ontnomen als ze voor een andere afdeling aan de slag gaan? Hoe zorg je ervoor dat de rechten op het netwerk de persoon of het apparaat volgen? Hoe vaak is tijdelijke toegang op termijn over gegaan in structurele toegang?
Inzicht
Weet wie en wat er op je netwerk aanwezig is. Veelal zijn de beheerde werkplekken wel bekend en met het scannen op kwetsbaarheden ontdek je ook je statische apparatuur. Maar Bring Your Own Device, gasten, mobiele telefoons en leveranciers brengen uitdagingen met zich mee. Immers, van deze onbeheerde apparatuur weet je vaak niet hoe veilig deze zijn. Je vertrouwt er maar op dat de eigenaar zijn zaken op orde heeft of je geeft weinig tot geen toegang tot bedrijfsmiddelen. Je kan dit probleem tackelen door gebruik te maken van toegangscontrole, of Network Access Control. Daarmee zorg je ervoor dat:
- Enkel geautoriseerde apparaten toegang hebben tot het netwerk
- Netwerktoegang het apparaat volgt (ook als je het op een andere locatie gebruikt)
- Je onbekenden toegang kan verstrekken, maar dat dit niet zonder je medeweten gebeurt
Inzicht hebben in de verbonden assets is ook bij de meeste normen en wetten een vereiste, denk aan de Wbni (specifiek artikel 2, lid 1 sub d van de uitvoeringsverordening) of Annex A8.1 van de ISO 27001. Zo krijg je meer grip op wie er op je netwerk zit.
Inzicht is uiteraard prettig, maar alleen die informatie beschermt je nog niet. Je wil ook detecteren als de apparatuur die je hebt toegestaan verdacht gedrag vertoont. Endpoint protectie, zoals antivirussoftware, doet dat voor alle apparaten die je in eigen beheer hebt. Het installeren van zaken als antivirussoftware op een printer, een router of een laptop van een leverancier dat gaat echter niet. Daarom is het van belang om verdacht gedrag te herkennen en hier ook bij deze apparaten op in te kunnen grijpen, door een apparaat op je netwerk te isoleren of het afwijkende verkeer te blokkeren.
Authenticatie en autorisatie
Door medewerkers expliciet (dus bewust) toegang te geven tot resources die ze nodig hebben voor hun werk, en te verifiëren dat het ook echt die medewerker is voorkom je misbruik in je netwerk. Zorg er daarom voor dat één account maar door één persoon gebruikt wordt, in de zorg is dit zelfs voorgeschreven in de NEN 7510. Daarnaast moet je maatregelen nemen om te bevestigen dat een persoon is wie hij zegt dat hij is. Dit kan je bereiken door sterke authenticatie toe te passen bijvoorbeeld door multi-factor authenticatie.
Zero Trust. Met het beperken van rechten, het bevestigen van identiteiten, het segmenteren van netwerken, het voeren van toegangscontrole en het monitoren van gedragingen op het netwerk hebben we stappen genomen richting Zero Trust principes. We gaan er van uit dat er altijd dreigingen op de loer liggen, zowel op het internet als binnen onze eigen netwerken. Door dat standpunt vertrouw je niets en verifieer je alles.
De mens als zwakke schakel
We kunnen het niet vaak genoeg zeggen, het hebben van een awareness-programma is zeer aan te raden. Het grootste deel van de cybersecurity-incidenten wordt veroorzaakt doordat een medewerker in moment van onoplettendheid op een link klikt, gegevens achterlaat of een bestand opent dat een stukje malafide software bevat. Door medewerkers te trainen in cybersecurity onderwerpen (phishing herkennen, clean desk, informatiedelen, het gebruik van externe datadragers etc.) kan je sturen op gedrag. Zoals vermeld in deel 1, is phishing nog steeds de meest gebruikte aanvalsvector. Dat is niet omdat e-mail slecht beveiligd is, maar omdat medewerkers erin trappen. Dat is overigens ook niet erg vreemd met de steeds professioneler wordende phishing-aanvallen.
De kracht zit in de herhaling. Herhalende trainingen, met natuurlijk wisselende en interactieve multimediale content, is nodig om de waakzaamheid op peil te houden aldus een recent Duits onderzoek aan de Karlsruher Institut für Technologie. Uiteraard klinkt dat leuk, herhalende trainingen, maar minstens zo belangrijk is natuurlijk om het effect van de trainingen te meten. Om te bepalen of het gewenste effect bereikt wordt wil je bevestigen dat niet alleen de kennis aanwezig is, maar er ook naar gehandeld wordt. Dit voer je uit met assessments zoals een mystery guest of een phishing-simulatie. Een organisatiespecifiek awarenessprogramma, waarbij de inhoud bepaald wordt op basis van risico-inventarisaties, zorgt er voor dat je bij blijft sturen op de dan geldende risico’s.
Een veilige inbox
Tot slot is het ook zeker het overwegen waard om de bescherming van e-mail naar een hoger plan te tillen. Met technische maatregelen kan je malafide e-mails herkennen op basis van allerlei kenmerken. Zo is een mail van een bedrijf dat jou doorgaans nooit mails stuurt, waar ook nog een bijlage bij zit, verdachter dan een mail met bijlage van een partij waar je vaker mailwisselingen mee hebt. Natuurlijk kan het ook legitiem zijn, maar in deze situaties is een extra waarschuwing richting de ontvanger een handig middel om je awareness-campagnes nog effectiever te maken.
Benieuwd hoe jij de cybersecurity van jouw organisatie naar een nog hoger plan kan brengen? In deel 3, het laatste deel van deze serie, gaan we in op een aantal geavanceerde maatregelen.
