Het belang van cybersecurity
Het is een noodzakelijk kwaad waar tijd een geld in gaat zitten. Vaak heb je niet eens zin om er over na te denken: cybersecurity. Maar we horen het steeds vaker: aanvallen met cryptolockers dwingen bedrijven om grote sommen geld te betalen aan criminelen, of erger, dwingen bedrijven om faillissement aan te vragen. Hacks via achterdeurtjes leggen de persoonlijke data van honderduizenden klanten bloot. En het gebeurt steeds vaker. Want wat is de kans? Is het risico wel groot genoeg om die extra investering te doen? Recente gebeurtenissen in mijn directe omgeving hebben mij aangespoord om deze post te schrijven. Ik schrijf dit vooral voor het bedrijfsleven. Maar iedereen, ondernemer of niet, heeft iets aan de inhoud.
Laten we beginnen met een retorische vraag: laat je thuis altijd je achterdeur wagenwijd open staan? Wat is er achter die deur? Een schutting waar makkelijk overheen te klimmen is of juist een uitzicht over je stad vanaf 20 hoog?
En wat is er achter de achterdeur van je IT omgeving? Een enkele server waar niet al te belangrijke data of services op staan en waar regelmatig backups van gemaakt worden op een off-site locatie, of een kritisch serverpark die het hele bedrijf in de lucht houdt en voor miljoenen schade zorgt wanneer ze plots allemaal tegelijk stil vallen – zonder backup, want die is ook geraakt?
Terwijl je als lezer kritisch denkt, stel ik voorop dat complexiteit in het netwerk ook complexiteit in security met zich mee brengt.
Daarom is mijn eerste tip: draai je nog volle bak op oud ijzer? Overweeg dan om gebruik te maken van de vele aaS oplossingen die er zijn. AD server in een Windows omgeving? Migreer naar Azure AD en richt Intune in. SQL met websites? Met hosted docker kun je heel ver gaan. Road Warriors? Ruim die lokale file server op en ga voor een cloud oplossing. Remote apps nodig? Bouw een web-based applicatie en wijs de RDS server de deur.
Kwaadwillenden maken gretig gebruik van de klassieke manier waarop men vroeger een IT landschap moest inrichten en dit nooit vernieuwd hebben. Dit betreft vaak de bedrijven die door IT bedrijven aan hun lot worden over gelaten. Ook kan het gaan om bedrijven waar veel te weinig budget wordt vrijgemaakt voor vernieuwing en vooruitgang. Maar waar vroeger enkel de mens en de postduif het werk deden, is het IT landschap nu het tweede hart van de organisatie.
Social engineering is een van de meest toegepaste taktieken wanneer je ergens binnen wil dringen. Op deze achterdeur ga je beperkt invloed hebben, maar is wel een van de gevaarlijkste. Daarom: train je personeel! Instrueer ze om enkel bijlagen en links te openen van mensen die ze kennen en waar ze bijlagen of links van verwachten. Laat ze afzenders checken. Het is heel makkelijk om een willekeurig mail adres aan te maken met de weergavenaam: Jan van Pico Bello BV. Gebruikers kennen Jan en denken: “Hey, daar is Jan van Pico Bello, eens kijken wat voor linkje hij heeft gestuurd!” Waar ze niet op hebben gelet, is dat deze link kwam van: janpicobellobv@gmail.com en niet van jan@picobellobv.nl, waar de gebruiker normaal mee mailt.
Leer je gebruikers daarnaast goede wachtwoordhygiene. Een gebruiker die al 5 jaar welkom01 als wachtwoord gebruikt is een lachertje voor een kwaadwillend persoon. Schaf een GOEDE wachtwoordmanager aan en laat ze hier gebruik van maken. Met een wachtwoordmanager maakt het niet uit als je wachtwoorden van 124 tekens hebt. Ze hoeven dit immers toch niet meer te onthouden! Laat ze de wachtwoorden uiterlijk iedere 3 maanden wijzigen. Een goed wachtwoord is minimaal 16 tekens, heeft kleine letters, hoofdletters, cijfers en speciale tekens.
Om voort te gaan over wachtwoorden: gebruik voor IEDERE service een serviceaccount met een zeer complex wachtwoord. Dus: stel, er zijn 3 SQL servers. Dan hebben alle 3 de servers een uniek account met een uniek wachtwoord waar de service op draait. Het belang is hier dat de wachtwoorden zo complex mogelijk zijn. Laat ze willekeurig genereren. Er zijn talloze websites en services te vinden waar dit mee te regelen is. Nog beter is het om zelfs de gebruikersnamen willekeurig te laten genereren.
Ik kan het ook niet vaak genoeg zeggen: bescherm je organisatie met MFA! Door MFA toe te passen op al je accounts loop misschien al wel 75% minder risico. Log je in op je service? Dan dien je eerst te bewijzen dat jij daadwerkelijk inlogt door de token in te voeren die naar jou werd gestuurd.
Minimaliseer je zogeheten “Area of Attack”. Gaat een gebruiker uit dienst? Ruim dan het account van de gebruiker op. Schakel het uit of verwijder het zelfs. Zorg dat de hardware vn de gebruiker terug komt. Wordt de hardware niet meer uitgegeven? Zorg er dan voor dat de hardware vernietigd wordt door een bedrijf dat gecertificeerd is voor gegevensvernietiging. Zo voorkom je dat er klantgegevens op straat komen te liggen, maar ook dat er wachtwoordhashes op straat komen te liggen.
Zet niet zomaar poorten open. Het is misschien makkelijk om poort 445 open te zetten zodat je shares vanuit de hele wereld te bereiken zijn. Maar dit is uiterst onveilig en hiermee vraag je om hacks. Idealiter worden er geen poorten meer open gezet. Is dit echt uiterst noodzakelijk, gebruik dan een oplossing die er voor is gemaakt om van buiten het netwerk gebruikt te worden. Dit kan VPN zijn, of wellicht een FTP/WEBDAV server.
Maak gebruik van DMZ wanneer het noodzakelijk is om in-house te hosten. Dit is een afgescheiden deel van je netwerk dat speciaal gemaakt is voor uitgaande services. Lees: Webserver, FTP server etc. Zorg dat het interne netwerk vanuit het DMZ niet te bereiken is. Wordt de DMZ gehackt? Dan is de kans groot dat je clients veilig blijven.
Ook kan het lonen om eens in de 6 maanden je netwerk te laten testen door een security bedrijf. Zij kunnen pen-tests uitvoeren en je een uitgebreid rapport sturen. Sommige security bedrijven bieden ook services om verbeteringen door te voeren. Ook kun je zelf white-hat hackers in dienst nemen, mocht je dit de moeite waard vinden.
Zet controlled folder access aan, een functie van Windows speciaal gemaakt om je clients te beveiligen tegen ransomware. Jij kan zelf nog wel naar een map schrijven, maar applicaties hebben specifiek jouw toestemming nodig om data te schrijven.
Als laatste, een minder populaire mening, maar omdat ik in het land van besturingssystemen niet onpartijdig ben: De cryptolocker aanvallen die ik heb gezien waren waarschijnlijk niet gebeurd op Linux. Dus leer die oude trouwe pinguïn kennen! 😉
Zoals je ziet zijn er manieren om jezelf te beschermen tegen dit soort aanvallen. Uiteraard zal er altijd een risico zijn. De kunst is om het risico zo laag mogelijk te houden. Met bovenstaande tips kan ook jij beginnen om je organisatie (of je privé leven!) beter te beveiligen.
Filed under: Geen categorie - @ 19 april 2023 18:44