Afstand houden, handen wassen, in je ellenboog hoesten. Standaard-hygiëneregels. Hetzelfde concept is op bedrijfsbeveiliging toe te passen. In het Engels heet het ook ‘security hygiene’. Met de grote security-problemen bij de GGD is het moment hier om de eigen security-hygiëneregels na te lopen. De fundamentele security best practices betreffen mensen, processen en technologie.
- Houd de mensen in de gaten
Deze regel kan op verschillende manieren worden gelezen. Mensen zijn het grootste goed van een organisatie, dus omzien naar hen is van groot belang. Toch vormen ze ook nog de zwakste schakel in een security-strategie. Het datalek is hiervan natuurlijk het actuele voorbeeld, met duidelijk opzet in het spel. Maar ook onbewust kunnen medewerkers ten prooi vallen aan social engineering- en phishing-technieken waarmee aanvallers zich toegang verschaffen tot waardevolle systemen en gegevens. Historisch gezien was hun slachtoffer degene met de meeste rechten, zoals it-beheerders en manager met geprivilegieerde toegang, maar in de virtuele werkomgevingen van nu is het vaak makkelijker om laag in te stappen bij een ‘onschuldige’ medewerker en stapsgewijs hogerop te komen.
- Werk continu aan bewustwording
Uit recent onderzoek blijkt dat bijna de helft van de werknemers geen specifieke cybersecurity-training heeft gehad. Er zijn weinig trainingen die opzettelijk data stelen en lekken voorkomen, maar medewerkers trainen in het herkennen van kwaadwillende acties van anderen heeft wel degelijk nut. Veel werknemers, of ze nu privileged access hebben of niet, zijn mogelijk niet voorbereid op een goed opgemaakte e-mail in de naam van hun ceo een malafide pdf-bijlage verhult. Regelmatige sessies om best practices op het gebied van cyberbeveiliging door te nemen, werken door in de praktijk. Zoals niet op links klikken of bijlagen openen voordat de afzender is geverifieerd, sterke, unieke wachtwoorden gebruiken, en processen volgen om privileged accounts te bewaken.
- Voer testen uit
Ethische phishing-oefeningen, waarbij een reeks realistische e-mails worden verstuurd om te zien hoe medewerkers daarop reageren vinden opgeld. Spear phishing-simulatie gericht op privileged gebruikers geven nog meer feedback, en de resultaten zijn te gebruiken in trainingen om ervoor te zorgen dat deze waardevolle accounts niet echt slachtoffer worden van een gerichte aanval. Overweeg ook penetratietests om verborgen kwetsbaarheden en aanvalsvectoren te helpen identificeren. Of neem deel aan aanval- en verdedigingssimulaties om te ervaren hoe een attack en de daarbij horende defence in zijn werk gaat.
- Check het zakelijke device-beleid
Onlangs waarschuwde de Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) voor toenemende aanvallen op apparaten van externe werknemers via phishing, brute force-inlogpogingen en andere methoden om toegang te krijgen tot zakelijke gegevens. Het bureau deed een aantal sterke aanbevelingen voor het versterken van cloudbeveiliging, zoals het implementeren van voorwaardelijke toegang, het afdwingen van sterke privileged access management (pam)-controles en het beperken van het doorsturen van e-mails. Daarbij kwam zelfs het verbieden van het gebruik van persoonlijke apparaten ter sprake. Hoewel sommige organisaties niet klaar of in staat zijn deze harde lijn te trekken, zeker net nu veel medewerkers zowel privé als zakelijke apparatuur verschillend te gebruiken tijdens het thuiswerken, moet elk bedrijf het device-beleid kritisch bekijken. Denk aan het invoeren van gebruiksregels en richtlijnen voor de beveiliging van het thuisnetwerk qua router-instellingen en het gebruik van sterke (wifi-)wachtwoorden.
- Stel vast wat normale netwerkactiviteit is
Analyses van basisgedrag zijn in te zetten om modellen en risiconiveaus te bepalen. Dit versnelt de detectie van abnormale gebeurtenissen, zoals een gebruiker met extra rechten die inlogt op een ongebruikelijk tijdstip of vanaf een ongebruikelijke locatie, of een export van grote hoeveelheden gegevens. Hiervoor is het dus ook nodig om het least privilege-principe toe te passen, te bepalen hoe beheerders en andere gebruikers met privileges mogen manoeuvreren door het netwerk en deze accounts grondig te beschermen.
- Vergrendel cruciale endpoints
Door lokale beheerdersrechten op servers, vm’s en andere kritieke infrastructuur te verwijderen, en identiteitsbeveiliging te implementeren, is te voorkomen dat aanvallers verticaal en lateraal door het netwerk bewegen om beheerderstoegang te krijgen. Dit dwingt aanvallers om methoden te gebruiken die hun aanwezigheid blootleggen.
- Schakel secundaire verificatiemethoden in
Het invoeren van multi-factorauthenticatie werpt een drempel op voor aanvallers doordat ze meer gebruikersspecifieke kenmerken moeten achterhalen.
- Breng de risico’s van derden in kaart
Om het risico van infiltratie in de supply chain te verkleinen, moet de leveranciersbeoordeling, on-boarding en lopende risicobepaling worden geijkt.
Vaker op de dag
Security is geen checkbox-taak, maar een continu proces. Net als de persoonlijke hygiëne, die als het goed is dagelijks (en vaker op de dag) aandacht krijgt, is het ook van belang de securityhygiëne op orde te houden en regelmatig te controleren.
Mijn reactie op voorgaande artikel van auteur ging over het personeelsbeleid, een stukje sturing waar je weinig zeggenschap over hebt bij uitbesteding. Want het waren dan ook niet de organisatorische risico’s van IT-beheerders en managers die voor een onwenselijke exploitatie van een exportfunctie zorgden bij de GGD maar het ontbreken van een goede audit op de toegang tot de systemen. En ik vraag me af of laatste gedaan kan worden met de oplossingen van Bart als de focus zoals vanouds ligt op de end-points.