Gevechtsinstructeurs gebruiken de term "zelfverdediging" met een reden. Het eerste wat een leerling leert, is puur om het ergste te voorkomen. “Blokkeer die schop, span je lichaam, houd je vuisten voor je gezicht”. Het equivalent in databeveiliging - de deuren vergrendelen, applicaties patchen, de mensen opleiden - is ook slechts de basis. Om de strijd met de hackers te voeren, hebben de databeveiligingsteams van vandaag behoefte aan actieve verdediging en tegenmaatregelen. Dus leren om de aanval af te slaan en te zorgen dat de aanvaller stopt door te laten zien dat er niets te halen valt.
Tegenmaatregelen op het gebied van databeveiliging betekent leren hoe de hacker van vandaag denkt. Het gaat om het anticiperen op zetten voordat ze worden gemaakt. Het actief wijzigen en bijwerken van strategieën terwijl het speelveld verandert, in plaats van te vertrouwen op een passieve "deur-dicht-en-niet-meer-naar-kijken"-aanpak. Effectieve tegenmaatregelen voegen enorme waarde toe aan de hygiënefactoren van mensen en beleid. En voor wat het waard is, het maakt het leven van een IT-professional veel aangenamer. Hier zijn zes tegenmaatregelen die meer dan de moeite waard zijn:
Tegenmaatregel 1: “Leer de waarde van data”
De belangrijkste drijfveer voor hacking is niet anders dan andere gebieden van menselijk streven: ‘geld’. Gestolen bedrijfsinformatie - van klantcreditcardnummers tot en met PowerPoints over strategie - heeft een waarde en die waarde wordt bepaald door de mensen die bereid zijn ervoor te betalen via het dark web en daarbuiten. Dat betekent dat het juiste budget, dat is toegewezen om dergelijke bedreigingen onschadelijk te maken, doorgaans een goed toegewezen budget is.
Hoe groot is deze zwarte markt in data? Fox Business meldde onlangs bijvoorbeeld dat een enkel creditcardnummer voor € 1,- gaat, oplopend tot € 25,- als een adres en e-mail zijn opgenomen. Dit betekent dat de Equifax-hack (alleen al aan het eind van vorig jaar 143 miljoen creditcardgegevens omvatte) de grens van € 3 miljard passeerde voordat zelfs maar één van die kaarten werd gebruikt.
Tegenmaatregel 2: “Blijf waakzaam binnen het proces, niet op basis van een incident”
Op netwerkniveau wordt het ondersteunen van de verdedigingslinie geholpen met een eenvoudig inzicht: ‘dichten van lekken is een levenscyclus’. Met andere woorden, het is een serie verbonden gebeurtenissen, geen eenmalige. Daarom adviseren IT-beveiligingsdeskundigen de denkprocessen aan te passen, en niet alleen te reageren op geïsoleerde gebeurtenissen. Een preventieve cyclus van controleren, patchen en penetratietesten ("pentesting") kan veel kwetsbaarheden opsporen en oplossen voordat ze worden misbruikt.
Een ander voordeel hiervan is dat het de dreiging als een aanhoudend risico in de toekomst behandelt. Herinner je nog al die malware en ransomware-namen waar we vorig jaar allemaal over gehoord hebben, met WannaCry, NotPetya en BadRabbit bovenaan de lijst? Ze zijn er allemaal nog steeds, muteren in nieuwe vormen en worden op nieuwe manieren gebruikt. De hack op de voorpagina is het verrassingsrisico van volgend jaar: focus op het denkproces betekent dat je niet verrast wordt in de toekomst.
Tegenmaatregel 3: “Blijf bij op het gebied van de wetgeving”
De Algemene Verordening Gegevensbescherming (AVG) heeft de Wet Bescherming Persoonsgegevens (Wbp) vervangen. Door de manier waarop deze EU-wet is geschreven, is er nog ruimte voor interpretatie van de regels, en de mogelijke overtredingen daarvan. En omdat de jurisprudentie over veel van de discussiepunten en interpretaties nog zal gaan volgen, zal daarmee een hoop ruis weggehaald gaat worden. Dit zorgt er wel voor dat het beveiligingsbeleid regelmatig getoetst moet worden de komende tijd.
Het is dus absoluut noodzakelijk voor alle organisaties om een consistent beveiligingsbeleid te maken, te handhaven en aan te passen aan de actualiteit als ze gebruikersgegevens bewaren - zelfs als de informatie niet persoonlijk identificeert. Natuurlijk, als ze creditcardnummers of financiële gegevens bevatten, zijn de risico's nog groter.
Tegenmaatregel 4: “Houd jouw belangrijkste medewerkers in de gaten”
Medewerkersbeheer is een complex proces en mensen die het bedrijf verlaten, zijn met name relevant voor IT-beveiligingsteams. In Europa is de gemiddelde uitstroom van werknemers 15%, met veel hogere percentages in bepaalde sectoren. Veel van die mensen zijn in meer of mindere mate technisch onderlegd. Sommigen hebben de organisatie in goede harmonie verlaten en anderen zullen wrok koesteren.
Toch volgt slechts 24% van de organisaties een procedure voor het verwijderen van de IT-rechten en privileges van ex-werknemers. Volgens een ruwe schatting zijn dat elke jaar vele honderdduizenden mensen in Nederland met toegang tot de IT-systemen van bedrijven waar ze niet langer voor werken. En het is niet beperkt tot alleen maar uittreders. Veel mensen wisselen van kantoor, worden gepromoveerd of veranderen van functie zonder een formele exit-procedure te volgen.
Dus een ander continu proces om te adopteren is om te weten wie wat kan doen, en sluit eventuele gaten in waar slecht beleid mogelijk escalatie van rechten of beheerderstoegang toestaat. Er is geen ontevreden ex-medewerker nodig om dingen gruwelijk de fout te laten gaan.
Tegenmaatregel 5: “Ken je mobiele footprint”
BYOD, IoT en Shadow IT zijn in de basis niet slecht: het biedt zelfs enorme kansen. Maar al die telefoons, tablets en laptops moeten net zo goed worden beheerd alsof het eigen IT is. Wat gebeurt er wanneer iemand zijn telefoon vervangt? Waar zijn die laptops gebleven? Waar wordt die iPad gebruikt als hij buiten kantoor is en wie heeft er toegang toe? Het compromitteren van een mobiel apparaat is een van de gemakkelijkste manieren om een gebruikersnaam of wachtwoord te bemachtigen. En zelfs zonder iemands inloggegevens te kennen, is het voor een aanvaller maar al te gemakkelijk om een met malware doordrenkte USB-stick erin te stoppen, onder de vermomming van een legitieme inhoud.
Aangezien het bereik en het aantal persoonlijke apparaten de laatste jaren explosief is toegenomen, is het belangrijk om te begrijpen welke technologie er wordt gebruikt en hoe (en waar) het wordt gebruikt. Houd lijsten bij van wat 'in dienst' is en werk het bij wanneer de rol van de werknemer (of de rol van het apparaat) verandert. Pas op voor Remote Desktop Protocol (zodat je van buitenaf kunt aanmelden) en zorg ervoor dat bij het inloggen sterke wachtwoorden worden gebruikt, evenals twee-factorenauthenticatie en authentiseer zowel apparaat als gebruiker met zowel zogenaamde ‘whitelist’ als ‘blacklists’.
Het houdt je op de hoogte van zaken wanneer iets verandert - wat in een middelgrote organisatie tientallen keren per dag zou kunnen zijn.
Tegenmaatregel # 6: Beveilig alle fysieke toegangspunten
‘Last but not least’: bij de meeste techneuten die voornamelijk als software-experts zijn opgeleid, kan het risico dat iemand fysieke toegang krijgt tot jouw meest waardevolle bedrijfsmiddelen vaak over het hoofd worden gezien. Het heeft geen zin om goede netwerkbeveiliging en sterke codering voor wachtwoorden te hebben als een hacker ‘vermomd’ als uitzendkracht zo de serverruimte kan binnenlopen. Dat maakt fysieke beveiliging - deuren die vergrendelen, toegang met sleutelkaarten, strikte toegangslijsten en beleid voor openbare ruimten van jouw bedrijf – in toenemende mate belangrijk.
Een verstandige aanpak van tegenmaatregelen heeft geen militaire budgetten nodig, maar heeft militaire precisie nodig. De meeste aanvalstactieken zijn voor de hand liggend; gewoon toepassen van best practices kan een groot percentage van de inbraakpogingen stoppen voordat ze beginnen. Het aannemen van een tegenmaatregelen-mindset waarbij verdediging actief is, niet passief, wordt inmiddels algemeen erkend als de beste manier om de volgende aanval te dwarsbomen.
Leermomenten:
- Er is een zwarte markt voor privé-informatie waar enorme bedragen in omgaan
- Ransomware blijft krachtig, ook lang nadat ze stoppen met ‘nieuws zijn’
- Zonder de wetgeving in de gaten te houden, ben je misschien ook in overtreding
- Wanneer medewerkers van baan veranderen, wijzig hun machtigingen voor toegang
- Fysieke beveiliging is net zo belangrijk als virtueel
Security Test Seminar
Op donderdag 8 november organiseren we een Security Test Seminar in het Philips Stadion. Tijdens dit seminar worden de meest voorkomende kwetsbaarheden behandeld waarvan we zien dat deze momenteel door hackers zowel technisch als via social engineering worden uitgebuit. Verdedigingen zijn eenvoudig, maar je hebt eerst de kennis nodig en dat is waar het bij dit seminar om draait... om je de kennis te geven om je bescherming beter voor te bereiden. Het Security Test Seminar is bedoeld voor infrastructuur- en informatiebeveiligingsmanagers, webontwikkelaars, beveiligingsanalisten, IT-managers, CIO’s, managers, IT-professionals en security-specialisten binnen de organisatie.
