Iedereen die dagelijks met ICT en security bezig is weet dat het internet steeds gevaarlijker wordt. De techniek wordt complexer en daarmee ook het risico dat er bij het ontwikkelen van deze nieuwe technologie iets is fout gegaan. Nieuwe bugs ontstaan op die manier. Dit artikel gaat over beveiliging en alles wat daarbij komt kijken. We geven een paar voorbeelden van bedreigingen en daarna passeren een aantal oplossingen de revue. Dit is geen complete security handleiding. Verre van. We willen een paar belangrijke security zaken bespreken zonder volledig te willen zijn.
Security threat no 1: Professionele hackerbendes en staatshackers
Op het internet bevinden zich lieden die handig gebruik van willen maken van foutjes in software. Dit zijn al lang niet meer de script kiddies van vroeger die met een paar commando’s een server konden laten crashen. De wereld van de cybercriminelen is volwassen geworden. En dat moet je niet alleen letterlijk nemen qua leeftijd van de doorsnee cybercrimineel.
Tegenwoordig verdienen hele bendes op deze manier hun “brood”. Soms zijn het cyber units die deel uitmaken van de cyberforce van een vreemde mogendheid (de Russische of Chinese hackers). Deze hackergroepjes hebben de meest geavanceerde apparatuur tot hun beschikking.
Soms beschikken ze over een uitbuitingsprogramma, een exploit, dat ze op de zwarte markt, het dark web, hebben gekocht. Als dergelijke exploits worden ingezet kunnen de aangevallen systemen daar niet veel tegen doen, omdat er nog geen patch (oplossing) voor bestaat. Deze exploits worden op de zwarte markt voor veel geld, soms honderd duizenden dollars gekocht of het equivalent daarvan in bitcoins. Om hun identiteit geheim te houden laten de meeste criminelen zich uitbetalen in bitcoins. Het doel van dit alles is geld verdienen over de rug van bedrijven maar ook het westen financiële schade toebrengen. Het wordt niet voor niets een cyberoorlog genoemd.
Security threat no 2: De ransomware pandemie
Een ander security probleem waar veel bedrijven de laatste jaren mee te kampen kregen is ransomware. Ransomware versleutelt al je bestanden. Dit gebeurt in een paar minuten tijd. Bestanden krijgen bijvoorbeeld een andere extensie waardoor ze niet meer werken. Het ransomware virus gaat als een lopend vuurtje je hele netwerk door. Vergelijk het met dominostenen. Totdat ze ergens gestopt worden, gaat het gewoon verder. Al snel komt de hele productie stil te liggen. Er breekt paniek uit in het bedrijf en er worden specialisten bijgehaald.
Als het bedrijf een goede back-up heeft is het vaak mogelijk om die terug te zetten. De criminelen vragen intussen om geld, waarna ze de bestanden weer zullen vrijgeven. De politie waarschuwt mensen om hier nooit op in te gaan. De kans dat je na betaling weer gewoon verder kunt werken is erg klein. Mocht dat toch gebeuren, dan is de kans zeer groot dat je binnenkort weer het slachtoffer gaat worden van dezelfde criminelen omdat ze iemand gevonden hebben dit heeft betaald.
Het is voor de IT-afdeling altijd belangrijk om de bron van de ransomware besmetting op te sporen. Nadat alles is hersteld en iedereen weer kan werken is het belangrijk om een gesprek met de veroorzaker aan te gaan. Waarom ging het fout? Is hier iets illegaals is gebeurd. Was het een gok website of misschien een pornosite die bezocht werd? Was het een onschuldig e-mailtje? Dit kan eventueel gevolgen hebben voor de “veroorzaker”.
Wat kun je ertegen doen?
We hebben nu wat voorbeelden gezien van ellende die veroorzaakt wordt door een ransomware, virusaanval of malware aanval. Maar wat kunnen we hier nu tegen doen? We kijken nu naar een paar mogelijke oplossingen om de grootste problemen buiten de deur te houden. En mocht je toch slachtoffer worden, welke maatregelen je uit de nood helpen.
De security scan
Eerst zal een security scan uitgevoerd moeten worden. Een gespecialiseerd bedrijf zal een software programma gebruiken dat het hele netwerk doorspit op zoek naar problemen of verkeerde instellingen. Deze scan zal de kwetsbare plekken van het netwerk bloot leggen. En de meeste netwerken hebben een of meerdere kwetsbare plekken. Die is een continu proces. Een scan die je 3 jaar geleden hebt laten uitvoeren is nu vrijwel waardeloos. Alle hardware moet regelmatig nagekeken worden op gevoeligheden. Bestaat er een firmware update? Is er een driver update beschikbaar? Het besturingssysteem kan security patches nodig hebben. Na de scan volgt ook nog een uitgebreide security checklist met een aantal punten. Deze lijst wordt handmatig ingevuld. De Scan en checklist vormen samen de basis voor de rapportage.
Na het scannen maakt men een rapportage van de problemen die zijn gesignaleerd, en hieruit volgt een risico analyse die met het bedrijf besproken wordt. Vaak vind je bij deze risico analyse ook een financiële component. Het kostenplaatje. Meestal zal het bedrijf dat de scan uitvoert aangeven wat er absoluut gedaan moet worden, en welke dingen je eventueel nog wat zou kunnen uitstellen. Al deze zaken zijn een goede start van elke security operatie. Met behulp van deze gegevens krijg je een goed idee hoe je ervoor staat. (een nulmeting)
Het is belangrijk dat het management team welwillend staat tegenover de acties die genomen moeten worden. In sommige organisaties moet eerst nog aan een security risk mindset gewerkt worden.
De security maatregelen
Uit die scan en het beveiligingsbeleid moeten natuurlijk een aantal acties komen. Er zullen weinig netwerken zijn die na zo’n eerste scan volledig geslaagd zijn. De praktijk leert dat er altijd wel ergens iets te verbeteren valt. Al was het maar de instructie aan de gebruikers om in ieder geval bewust te worden van de gevaren van e-mails en bijlages, ransomware en social enginering.
De maatregelen kunnen we opsplitsen in drie soorten. We hebben de fysieke maatregelen, de technische maatregelen en de organisatorische maatregelen.
Fysiek:
- Beveiliging van de IT-ruimte met een extra slot of toegangscode digitaal.
- Een bewaker
- Blusapparaten in geval van brand.
Technisch:
- De toegang tot bestanden beveiligen. (rechten toekennen, Active directory)
- Inlogprocedures aanscherpen (2FA)
- Gebruikersrechten onder de loep nemen.
- Antivirussoftware en anti-malware software
- Intrusion detection software installeren.
- Een back-up en restore procedure
- Een noodstroomvoorziening. (UPS)
Netwerk architectuur verbeteren: Zero Trust netwerk.
Organisatorisch:
- Het opstellen voor beleidsmaatregelen (security policy)
- procedures en richtlijnen om de gevaren het hoofd te bieden.
Security trainingen aan medewerkers (o.a. over social engineering en phishing)
Eigenlijk is deze laatste de voorbereidende fase waarna je aan de slag kunt met de fysieke en technische maatregelen door te voeren. Maatregelen om het personeel te trainen om beter voorbereid te zijn tegen de dreigingen kunnen we hier ook bij indelen. Er zijn nog steeds bedrijven waar hackers door middel van social engineering (telefonisch) erin slagen om belangrijke gegevens zoals wachtwoorden te ontfutselen van nietsvermoedende gebruikers. Dit doen ze door zich voor te doen als iemand van de afdeling ICT. Gebruikers zijn vaak erg bereidwillig om mee te werken aan alle verzoekjes. Door gebruikers bewust te maken dat deze praktijken nog regelmatig voorkomen worden ze voorzichtiger met het vrijgeven van hun wachtwoord en andere gegevens aan onbekenden.
Back-up en restore procedure
Hoe deze procedure eruit ziet hangt van het netwerk af. In de meeste gevallen betreft het een netwerk met een aantal werkplekken verbonden met centrale servers. Deze servers beheren de e-mail, de applicaties, de netwerkaccounts en de bestanden om de belangrijkste taken te noemen. Als eerste is het belangrijk dat er nergens lokaal bestanden opgeslagen kunnen worden. Alles móet op de server opgeslagen worden. Op deze manier hoef je alleen maar een back-up procedure voor de servers uit te werken.
De back-upprocedure moet ervoor zorgen dat er elke dag een back-up wordt gemaakt. Dat mag een gedeeltelijke versie (incremental) zijn en aan het eind van de week een volledige back-up (FULL back-up). Al deze back-up versies slaan we ergens centraal op, bijvoorbeeld in een storage omgeving. Deze netwerk storage omgeving (SAN) kan lokaal staan, of ergens in een datacenter. Het is sowieso belangrijk dat een deel van de back-ups elders, buiten het gebouw, bewaard worden in geval van calamiteiten.
Two Factor authentication (2FA)
Er dienen regels opgesteld te worden voor wachtwoorden, maar ook 2FA moet worden uitgerold. Je zult goed moeten nadenken op welke manier je 2FA gaat aanpakken en wat je hiervoor gaat gebruiken. Er zijn diverse mogelijkheden: een sms versturen, een token, een vingerafdruk of irisscan. Wat je ook kiest, het zal de veiligheid van het netwerk aanzienlijk verbeteren.
Gebruikersrechten onder de loep: niet teveel rechten.
Deel rechten uit op een “need to know” basis. Geef liever iets te weinig rechten dan teveel. Maak profielen aan waaraan je groepen, afdelingen, mappen en de rechten koppelt. Geef gastgebruikers zeer beperkte rechten.
De perfecte oplossing: Het Zero Trust model
Bij traditionele netwerken moet je inloggen, maar eenmaal binnen wordt je gezien als vertrouwd. Dat model gaat uit van een onveilige buitenwereld en de veilige binnenwereld achter de firewall. Door “Bring your own device”, webapplicaties, en klanten, leveranciers of patiënten die ook op het netwerk moesten kunnen werd het tijd om de security strategie opnieuw te bedenken. Het werd tijd voor een ander IT-security concept, een andere aanpak. Het Zero Trust model was geboren.
“Zero Trust gaat uit van het never trust always verify principe”
Je neemt niet aan dat iemand op je netwerk vertrouwd is, dat ga je valideren keer op keer. Mensen krijgen slechts toegang tot bronnen die ze nodig hebben voor hun werk. (“need to know basis”) De beveiliging van het netwerk is van binnen naar buiten gericht. Na analyse van de datastromen op het netwerk kun je groepen maken. Hieruit volgt een segmentatie van het netwerk. Er wordt stevig gebruik gemaakt van VLAN’s, netwerksegmenten die elkaar niet zien. Hierdoor zal een gast nooit op het bedrijfsnetwerk terecht kunnen komen.
Het moge duidelijk zijn dat de inrichting van een dergelijk netwerk een flinke voorbereiding nodig heeft. Ook de configuratie van dit alles is een hele klus maar wellicht is het de toekomst van elk bedrijfsnetwerk. Voor hackers is een Zero Trust omgeving een nachtmerrie. Hun aanvalsvector is behoorlijk klein geworden, maar voor ons levert het een betere nachtrust op.
Security policy
Elk zichzelf respecterend bedrijf zal een beleidsdocument moeten opstellen over de IT infrastructuur en het IT-beleid. Security houdt niet op bij het checken van hardware en software. Ook de medewerkers mogen niet vergeten worden. Het is binnen de IT wereld al lang bekend dat de gebruiker vaak een zwakke schakel is als het op beveiliging aankomt. Dit document dient men regelmatig bij te werken. Laat ook om de 3 à 4 jaar een uitgebreide security scan uitvoeren. De ontwikkelingen op software en hardware gebied staan niet stil. Het kan zijn dat je omgeving voortaan geheel gevirtualiseerd is. Dat vereist natuurlijk een nieuwe scan.
