Covid-19 heeft zowel ons privéleven als onze professionele activiteiten grondig door elkaar geschud en zal dat vermoedelijk nog zeker zes maanden blijven doen. Regeringen hebben strenge maatregelen getroffen en de meerderheid van de bevolking werkt intussen al wekenlang vanuit huis. Dat is voor werknemers en -gevers een enorme aanpassing, niet in het minst op het vlak van cybersecurity.
Werken op afstand brengt veel uitdagingen met zich mee, zeker als bedrijven van de ene dag op de andere verplicht zijn om op thuiswerk over te schakelen. De meeste organisaties zijn er eigenlijk niet klaar voor om meer dan een vijfde van hun werknemers tegelijk op afstand toegang tot hun infrastructuur te geven. En dat terwijl het risico op cyberaanvallen groter is dan ooit. We zijn door de uitbraak van het coronavirus immers minder op onze hoede voor hackers die dit als een uitgelezen kans beschouwen om in systemen in te breken. Never let a good crisis go to waste, luidt een bekend gezegde.
Gelukkig hoeven we niet machteloos toe te kijken. Met enkele eenvoudige maatregelen kun je hackers het leven een pak lastiger maken. In deze blog overloop ik acht belangrijke risico’s waar elke organisatie rekening mee moet houden.
Risico 1
Vpn is niet aangepast aan de schaal
De huidige vpn-infrastructuur is zo ingesteld dat ongeveer twintig procent van de medewerkers vanuit huis kan werken. Door Covid-19 is het aandeel thuiswerkers plots naar tachtig tot negentig procent gestegen. De capaciteit van de vpn-infrastructuur geraakt zo erg snel uitgeput, waardoor dure en tijdrovende upgrades nodig zijn.
Maatregel
Implementeer een oplossing die clientmachines toegang geeft tot cruciale servers zonder gebruik te maken van vpn. Er bestaat tegenwoordig technologie die een verhuld, cryptografisch peer-to-peernetwerk creëert tussen de eindpunten en de servers. Dat neemt de belasting van de vpn weg en biedt tevens toegang op basis van minimale privileges.
Risico 2
Vpn staat niet-noodzakelijk toegang toe
Een vpn geeft medewerkers normaal volledige toegang van zodra ze zich op het netwerk bekend hebben gemaakt. Dat kan volstaan wanneer ze zich binnen de muren van een kantooromgeving bevinden, maar niet als ze vanuit huis of op afstand werken. Zo’n tachtig procent van de werknemers heeft al genoeg aan toegang tot slechts twintig procent van de infrastructuur en applicaties. Om het potentieel voor hackers te beperken, kunnen we dus maar beter het principe van ‘least privilege’ volgen en gebruikers het absolute minimum aan rechten geven om hun werk uit te voeren.
Maatregel
Met dezelfde technologie krijgen gebruikers niet alleen op een veilige manier toegang tot essentiële toepassingen, maar wordt ook granulaire toegangscontrole op basis van identiteit mogelijk gemaakt. Dit beperkt dus de toegang tot de vereiste applicaties en het vermindert dankzij toegangscontrole ook de mogelijkheden voor hackers.
Risico 3
Verhoogd risico op phishing en andere aanvallen op eindpunten, servers en back-upinfrastructuur
Het is op dit moment al Covid-19 wat de klok slaat en daar maken aanvallers graag gebruik van. Onze interesse in het virus is voor cybercriminelen de ideale gelegenheid om phishing te verspreiden. Ze hopen gebruikers aan te zetten om op kwaadwillige links te klikken of om apps te downloaden die ransomware installeren, persoonlijke gegevens stelen, et cetera.
Maatregel
Andermaal zorgt de al vermelde technologie ervoor dat eindpunten en servers verhuld worden, waardoor ze onzichtbaar zijn voor network mapped (nmap) scans en bijgevolg ook moeilijker te hacken zijn. Het is ook mogelijk om deze technologie te integreren met uw ‘siem’ of andere beveiligingssoftware die, na detectie van een incident, de software kan vragen om het eindpunt of de server te isoleren en zo verdere besmetting tegen te gaan. Om te vermijden dat ransomware backups zou versleutelen, kan deze software uw backup-infrastructuur ook cryptografisch scheiden en verhullen.
Daarnaast blijft het uiteraard noodzakelijk om gebruikers in te lichten over de risico’s van phishing, het downloaden van schadelijke apps en andere voorzorgen die ze met betrekking tot cybersecurity moeten nemen. Ook een goede e-mail- en webfiltertechnologie helpt om phishingmails en andere schadelijke downloads geen kans te geven.
Risico 4
Aanvallen op eindpunten
Onder impuls van groeiende mobiliteit en bring your own device (byod) worden steeds meer eindpunten openbaar, waardoor hackers kwetsbaarheden kunnen benutten om in de bedrijfsomgeving binnen te dringen. Helaas kunnen bedrijven daar op dit moment weinig aan veranderen. Ze hebben immers niet genoeg laptops om al hun personeel naar een externe werkomgeving te verhuizen en moeten bijgevolg wel toestaan dat ze op hun eigen toestellen werken. Deze apparaten houden echter grote risico’s in, omdat ze niet over dezelfde controles beschikken als de bedrijfseindpunten.
Maatregel
Zoals we hierboven al gesteld hebben, zijn verhulde eindpunten bijna niet te hacken. Dit is dan ook essentieel als controle op byod-apparaten. De implementatie van geavanceerde malwarebescherming, inbraakdetectie, firewalls en adequate patching biedt aanvullende controles.
Risico 5
Man-in-the-middle-aanvallen
Aangezien de meeste gebruikers van thuiswerken, worden ook communicatiekanalen nu vaker het doelwit van hackers. Aanvallers proberen communicatie bijvoorbeeld via een gecompromitteerd draadloos toegangspunt te onderscheppen om zo met belangrijke gegevens zoals wachtwoorden aan de haal te gaan.
Maatregel
Dezelfde technologie uit de eerste vier puntjes zal ook al het verkeer tussen eindpunten en servers versleutelen met behulp van Ipsec vpn-tunnels. Aangezien dit efemere (kortstondige) sleutels zijn, vervalt de behoefte aan complex sleutelbeheer.
Het feit dat één technologie de vijf bovenstaande risico’s kan oplossen, heeft natuurlijk grote voordelen op het vlak van inzet en beheer. Merk ook op dat de meeste van deze controles belangrijk zijn in een ‘zero trust’-architectuur, vandaar dat een gemeenschappelijk controlevlak wordt gebruikt.
Risico 6
Kwetsbaarheden bij leveranciers en derde partijen
Wellicht worden leveranciers en andere partijen met dezelfde problemen geconfronteerd. Wees er dus zeker van dat ook zij de nodige controles uitvoeren om zichzelf en uw organisatie niet in gevaar te brengen.
Maatregel
Voer een open gesprek met leveranciers en derde partijen over de toegenomen risico’s die Covid-19 veroorzaakt. Ga na of ook zij relevante mechanismes hebben om hun eigen gegevens en die van u te beschermen. Als ze die niet kunnen voorleggen, beperkt u hun toegang tot omgevingen met behulp van de technologie uit de eerste vijf puntjes.
Risico 7
Denial of service-aanvallen en het verbergen van kwaadwillig verkeer
Het toegenomen externe verkeer in uw organisatie biedt aanvallers ook de kans om uw externe en web-infrastructuur onder druk te zetten met een denial of service-aanval, of om kwaadwillig verkeer tussen legitiem extern verkeer te verbergen en zo detectie te ontwijken. Dat kwaadwillig verkeer kan een gevolg zijn van gecompromitteerde eindpunten of gestolen persoonsgegevens. Door de snelle overgang naar een externe werkomgeving blijft dit gemakkelijk onopgemerkt.
Maatregel
Praat met uw telecomprovider en andere aanbieders van diensten om het risico op dit soort aanvallen te verzachten. Een extra investering in gedragsanalyse van gebruiker en netwerk, in combinatie met de hierboven besproken controles, kan helpen bij het opsporen van kwaadwillig verkeer dat zich probeert te verbergen.
Risico 8
Ontoereikende maatregelen in het kader van het business continuity plan (bcp) en het disaster recovery plan (drp)
Jammer genoeg waren veel organisaties gewoon niet voorbereid op de snelheid waarmee Covid-19 zich ontplooid heeft. Daardoor hebben ze heel snel faciliteiten voor thuiswerk moeten uitrollen en schoven de cybersecurityvereisten naar de tweede plaats. Dat biedt uiteraard mogelijkheden voor aanvallers om naar lekken in het systeem te zoeken.
Maatregel
Een belangrijke les die Covid-19 ons leert, is dat organisaties altijd veerkrachtig moeten zijn. Het is dan ook belangrijk dat u over een robuust, actueel en grondig getest bcp- en drp-plan beschikt.
Tot slot
We zullen zeker meer lessen uit de crisis kunnen trekken. Onder impuls van de klimaatverandering en het gemak waarmee we de wereld rondreizen, bestaat het risico dat we in de toekomst nog vaker met dit soort problemen geconfronteerd zullen worden. Ciso’s moeten er dus voor zorgen dat hun organisatie veerkrachtig genoeg is om een nieuwe ramp of de volgende uitbraak van Covid-19 het hoofd te kunnen bieden.
Neem daarom de tijd om eens naar uw bedrijf te kijken en de vraag te stellen of het veerkrachtig genoeg is. En maak dan meteen werk van een plan om eventuele lekken ten gevolge van Covid-19 zo snel mogelijk te dichten.