Toen de coronacrisis Nederland bereikte, werden organisaties gedwongen halsoverkop maatregelen te treffen om hun netwerkbeveiliging geschikt te maken voor thuiswerkers. Het resultaat: een vals gevoel van veiligheid. Door een gebrek aan een geïntegreerde aanpak zijn single points of failure ontstaan die bedrijven onnodig blootstellen aan cybercriminaliteit. Nu het duidelijk is dat thuiswerken een blijvend onderdeel hebben bedrijven stappen te maken om hun netwerkbeveiliging op de lange termijn te borgen.
It-professionals schakelden kort na het begin van de coronacrisis massaal over op virtual private network (vpn)-verbindingen om thuiswerkers te beveiligen. In Nederland steeg het vpn-gebruik met maar liefst 240 procent. Een dergelijke verbinding versleutelt het webverkeer van een gebruiker en stuurt het vervolgens via een privéverbinding naar het bedrijfsnetwerk. Hiermee krijgen werknemers een enigszins veilige toegang tot bedrijfsgegevens en applicaties. Zelfs remote desktop protocols (rdp) werden volgens een rapport van Reposify veelvuldig gebruikt om in te loggen – en dat terwijl een rdp zonder een vpn eigenlijk een no-go is.
Is een vpn veilig genoeg? In april van vorig jaar waarschuwde het Amerikaanse CISA dat cybercriminelen via een scala aan bekende kwetsbaarheden in onder meer vpn’s probeerden binnen te dringen. Het Nationaal Cyber Security Centrum (NCSC) nam deze waarschuwing vervolgens over. Kennelijk is waarschuwen niet voldoende: in augustus lagen de inloggegevens van ruim negenhonderd bedrijven – waaronder Nederlandse ondernemingen – op straat. Een hacker was binnengedrongen via, jawel, een vpn-verbinding. Een patch was al een tijd beschikbaar, maar zoals ook een vpn-hack een jaar eerder aantoonde, is patchmanagement niet de sterkste kant van ondernemingen.
Single points of failure
Hoewel veel bedrijven zich tot vpn-verbindingen hebben gewend om de veiligheidsuitdagingen van thuiswerken op te lossen, bieden veel van deze connecties niet het benodigde beveiligingsniveau.
Groot probleem ervan is dat je vertrouwt op een oplossing die in feite een single point of failure is. Wanneer een vpn faalt en een hacker binnendringt, ben je de pineut. En omdat vpn’s worden beschouwd als 24/7-infrastructuur, zijn bedrijven minder geneigd de nieuwste patches tijdig door te voeren. Gevolg: netwerken die wagenwijd openstaan voor aanvallen. Kijk naar de eerder genoemde vpn-hacks, waar een reeds uitgebrachte patch het indringers een stuk moeilijker had gemaakt.
Daarnaast werken we in omgevingen buiten het bedrijfsnetwerk. Denk aan cloudgebaseerde applicaties zoals Office 365 en Google Drive. Vpn’s worden daarom vaak gebruikt om toegang te krijgen tot slechts een klein deel van interne middelen, waardoor thuiswerkers alsnog worden blootgesteld aan bedreigingen wanneer ze cloudgebaseerde applicaties inzetten
Van single point of failure naar geïntegreerde beveiliging
Het is algemeen bekend dat geen enkele oplossing honderd procent veilig is. De weg voorwaarts is een integratie van securityoplossingen, met als voorwaarde inzicht in het gehele netwerk. Hierdoor versterken de beveiligingsmiddelen elkaar, in plaats van gescheiden naast elkaar te bestaan, wat ertoe kan leiden dat een gat in de ene oplossing de inspanningen van andere oplossingen teniet doet. Firewall, advanced threat detection, security information & event management, endpoint-security, netwerktoegangsbeheer en meer… Door het verbinden van protocollen, creëer je een overzichtelijk ecosysteem waarin it-teams snel bedreigingen kunnen opsporen en verhelpen.
Daarnaast is het van belang om de eerstelijnsverdediging van de organisatie onder de loep te nemen. In een situatie waarin veel gebruik wordt gemaakt van cloudapplicaties buiten het eigen netwerk, moet netwerkbeveiliging beginnen bij ddi, ofwel een reeks core-netwerkdiensten bestaande uit domain name server (dns), dynamic host configuration protocol (dhcp) en ip address management (ipam). Elke internetverbinding verloopt via deze eerste lijn. Wanneer deze gekaapt wordt door cybercriminelen (bijvoorbeeld door middel van dns cache poisoning) kunnen zij internetverkeer omleiden naar malafide websites.
Laten we eerlijk zijn: thuiswerken blijft permanent onderdeel van het bedrijfsleven. Door nu een strategie te implementeren die je netwerkbeveiliging samenbrengt tot één ecosysteem, én door deze beveiliging te bouwen rond een solide eerstelijnsverdediging – dns dus – zijn bedrijven beter in staat thuiswerkers beter te beveiligen, hun kritieke infrastructuur én gevoelige informatie te beschermen.
Auteur: Martin van Son, senior account executive bij Infoblox
