Remote desk protocol (rdp) is dé methode voor het op afstand beschikbaar stellen van computerresources voor thuisgebruikers, en veel bedrijven doen dat tegenwoordig (en gelukkig maar) netjes via een vpn of gateway. Andersom – rdp rechtstreeks aan een thuisnetwerk hangen – gebeurt ook. Want thuisgebruikers die het wel praktisch vinden om bij hun computer te kunnen. Of erger, systeembeheerders die op afstand bij bedrijfscomputers willen komen en daarom bepaalde poorten wagenwijd openzetten. Levensgevaarlijk. Brute force- en zero-day-aanvallen zijn gek op zo’n poort.
Shodan is een praktisch online-hulpmiddel om te kijken hoeveel rdp-poorten reageren op rdp-verkeer. Wereldwijd zijn dat er 4,7 miljoen. Na de VS, China, Duitsland en Japan staat Nederland met 130.000 poorten op de vijfde plaats: een schrikbarend aantal, evenals onze ranking in dezen. Iedereen heeft wel een computer thuis en iedereen kent wel iemand die een rdp-poort op het thuismodem kan openzetten. Systeembeheerders dienen er daarom alles aan te doen dat cybercriminelen nul kans krijgen om via het thuisnetwerk of een laptop te kunnen toeslaan. Bijvoorbeeld door het gebruik van beheertools (in plaats van rdp) op thuis gebruikte bedrijfscomputers.
Trainingen
Wat moet er gebeuren om je medewerkers ‘security aware’ te maken? Trainingen op dit gebied is wijdverspreid, maar deze gaan vaak over het herkennen van phishing en niet over het inrichten van een thuisnetwerk. Bedrijven zouden hun medewerkers hierbij kunnen helpen of, eenvoudiger, rdp-verbindingen naar laptops onmogelijk maken. Voor de toegang tot de bedrijfsservers geldt dat hoe makkelijker je het maakt om veilig te werken, hoe minder mensen geneigd zijn ‘eromheen’ te werken.
Allereerst voorkom je met een vpn-verbinding dat de hele wereld op een (thuis)poort binnenkomt. Met een vpn maak je meteen een einde aan het gerammel aan de hekken van de rdp-poort. Medewerkers met een eigen account kunnen wel gewoon werken c.q. bij het bedrijfsnetwerk maar met VPN slinkt het dreigingsoppervlak. Daarnaast zijn sterke wachtwoorden voor laptops en de serveromgeving noodzakelijk. En als derde, en niet de minst onbelangrijke, voorkom je met MFA dat credentials gestolen worden en dat er op deze wijze toegang tot servers en laptops wordt verleend. Elke machine waar boeven toegang toe hebben, is namelijk een opstapje naar een volgende machine. Met VPN en MFA kunnen medewerkers veilig binnen hun RDS-omgeving blijven werken.
En masse
Door corona werd iedereen van de een op andere dag min of meer verplicht thuis te werken. Laptops werden door werkgevers en masse aangeschaft en aan collega’s meegegeven. In sommige gevallen werden zelfs complete desktops naar huis versleept. Voor systeembeheerders in den lande betekende dit opeens een paar tandjes erbij: waar zij voorheen zaken op kantoor konden uitvoeren, moest alles opeens op afstand. Het domweg up-to-date houden van alle bedrijfsapparatuur en tegen gebruikers zeggen dat ze updates moeten uitvoeren. Als oud-systeembeheerder leef ik enorm met hen mee.
Maar staat de systeembeheerder er dan helemaal alleen voor? Nee. Een systeembeheerder moet ‘ook maar uitvoeren’ wat hem wordt opgedragen. De directie van een organisatie moet daarom scherp blijven en zich afvragen of het gebruik van resources en datacenters vanaf thuis veilig gebeurt. Het is essentieel dat een systeembeheerder binnen het bedrijf een sparringpartner heeft die met hem op een lijn zit. Die weet wat er speelt, en die de taal van de systeembeheerder spreekt. Een ciso is zo iemand die vragen kan stellen over vpn’s en gateways en alles wat meer zij. Systeembeheerder én ciso kunnen alleen de noodzaak ervan inzien dat machines en apparatuur goed beschermd worden gehouden.
Certificaten
De moraal van dit verhaal: bedrijven moeten een ciso in dienst nemen die met een systeembeheerder kan sparren. Desnoods besteed je de beheertaken uit en haal je een externe managed serviceprovider in huis. Zij doen niet alleen security-aangelegenheden, maar zorgen er ook voor dat bijvoorbeeld Office up-to-date is en certificaten geüpdatet worden. Wordt een bedrijf daadwerkelijk aangevallen, dan kom je bij een beveiligingssoft- en hardwarebedrijf terecht, die met response-oplossingen het cyberkwaad een halt kan toeroepen.
Want laten we eerlijk zijn: ransomware is niet een haperende vleesmachine bij de plaatselijke slager die zich eenvoudig laat vervangen. Ransomware legt je hele bedrijf plat: je kunt geen mail meer lezen of factuur verzenden. Haal daarom een partij in huis die je kunt vertrouwen en die weet waar het qua security om gaat. Zo’n partij kun je makkelijk inhuren maar is, net als veel andere dingen in het leven, niet gratis.
Auteur: John Veldhuis, senior sales engineer Sophos Benelux
Als eveneens oud-systeembeheerder weet ik als geen ander dat uitvoeren wat je opgedragen wordt nogal lastig wordt als je geen mandaat hebt, de aap op de schouders van het beheer als het gaat om beveiliging kan ik dan ook nog wel wat pinda’s voeren. Het punt is echter dat herstellen om de back-up gaat, sales engineer van Sophos vergeet dat het zenden van een factuur niet zo belangrijk is als het bewijs van het bonnetje. Ik heb geleverd en dus moet jij betalen kent procesmatig meer dan een factuur, een gratis advies is dan ook dat je eerst kijkt naar de processen voordat je een oplossing kiest.