De acht bouwstenen van een goede IT-beveiliging toegelicht

12 minuten, 45 seconden leestijd vrijdag 25 januari 2019 Veiligheid

Een 'bloemlezing' op basis van enkele recente onderzoeken: 25% van de gratis vpn-apps lekt gegevens, ruim 163 miljoen Windows-gebruikers gebruiken verouderde software boordevol beveiligingslekken en ook de IoT-apparaten blijken zelden klaar te zijn voor de nieuwste veiligheidsuitdagingen. Een ander onderzoek van Centraal Beheer toonde dan weer aan dat ruim 60% van het MKB zelf weinig beschermingsmaatregelen treft en de verantwoordelijkheid steevast legt bij de IT-dienstverlener. Problematisch, om het in een enkel woord samen te vatten.

Dat IT-security geen evidentie is, hoeven we jou vast niet te vertellen. Toch is het belang ervan groter dan ooit tevoren. Maar hoe ziet zo'n gedegen IT-veiligheidsbeleid eruit? Welke veiligheidslagen zijn onmisbaar en is ook een mentaliteitswijziging niet aan de orde? Dit alles lees je in dit blogartikel waar we het hebben over de acht bouwstenen van een gezond IT-veiligheidsbeleid. Kortom informatiebeveiliging.

#1. De nieuwe standaard: Nextgen Endpoint Protection

De laatste jaren is het IT-landschap grondig gewijzigd en doemden steeds meer nieuwe veiligheidsproblemen op. Zo gebruiken hackers steeds vaker andere manieren om jouw IT-systemen te infecteren. Zero-day malware noemen we het: aanvallers gaan op zoek naar onbekende beveiligingslekken in softwaretoepassingen om zo aanvallen met worms en trojans op poten te zetten.

De traditionele Endpoint Protection, het aloude antivirusprogramma, laat zich dan ook baseren op het verleden. Bestanden die reeds als malware bekend zijn, worden op een blacklist geplaatst. De ICT-beveiliging is met andere woorden afhankelijk van de historische kennis van een fabrikant. Niet eenvoudig, want dagelijks zouden er tot ruim 1.000.000 nieuwe bedreigingen het levenslicht zien. Tja, als het op ICT-beveiliging aankomt mogen we niet alleen naar het verleden kijken.

Bij Nextgen Endpoint Protection gaat het er anders aan toe. Aan de hand van het zogenoemde behavioral analytics kijkt het beveiligingsprogramma naar het gedrag van applicaties en software om, bij vreemde acties, meteen in te kunnen grijpen. Zo kan het ook zonder instructies van de fabrikant de IT-omgeving beschermen. Hieraan koppelt het overigens nog een aantal andere bekende en minder bekende technieken. Denk bijvoorbeeld aan traffic detection, exploit mitigation en het zogenoemde machine learning, waar we de komende jaren nog veel van zullen horen. Kortom: Nextgen Endpoint Protection- helpt het ongrijpbare alsnog te grijpen en dit terwijl de voordelen van de traditionele Endpoint Protection niet achterwege blijven.

Toch is het ook hier lang niet Nextgen Endpoint Protectionalleen een goednieuwsshow. Uit een recent onderzoek van het SANS Institute blijkt immers dat ruim 37% van de respondenten die een Next-Gen Endpoint Protection hadden aangekocht, dit onvoldoende hadden geïmplementeerd. Het onderzoek toonde aan dat dergelijke organisaties wel over de financiële middelen beschikken om dergelijke technologieën aan te schaffen, maar niet over de benodigde interne knowhow om het ook in de praktijk om te zetten. Beroep doen op externe expertise is hier de logische oplossing.

#2. Nextgen firewall

Nextgen firewall

Lang niet alleen wat Endpoint Protection betreft zijn we klaar voor een nieuwe generatie beschermingstools, ook voor onze firewall is dit ongemeen waar. Je weet wel, de muur tussen jouw IT-omgeving en het internet waar hackers en virussen floreren.

Het grote verschil met de vroegere generaties is het feit dat de nieuwe generatie aangepast is aan de hedendaagse computeromgeving waar applicaties die voortdurend met het internet communiceren de nieuwe standaard zijn geworden. Het grote probleem van de eerdere generaties, de openstaande netwerkpoorten die de packets inspecteren en zo graag door hackers worden misbruikt, wordt zo verholpen.

Een Nextgen firewall is vooral bijzonder omdat het verkeer tussen dergelijke applicaties en het internet niet alleen monitort maar ook begrijpt. Dit ook wanneer een nieuwe applicatie wordt geïnstalleerd. Bovendien onderneemt het razendsnel actie indien nodig, bijvoorbeeld door een waarschuwing te genereren of meteen het verkeer te blokkeren. Zowel inzake het gebruik van sociale netwerken als in het kader van Web 2.0 neemt zo'n Next-Gen firewall een prominente rol in. Het is een ideale handhaver voor het beveiligingsbeleid met betrekking tot deep packet inspection, sandboxing en inbraakpreventie. Waar Next-Gen Endpoint Protection als een inlichtingendienst fungeert, is de Nextgen firewall een slimme muur waar ene Donald anno 2019 alleen maar van kan dromen.

Er zijn verschillende leveranciers van dergelijke firewalls en stuk voor stuk trachten ze zich te onderscheiden. Vaak doen ze dit op basis van de integratie met andere beveiligingsdiensten of met mogelijkheden om uitgebreide rapporten te genereren. Handig, maar de voorwaarde voor dit laatste is natuurlijk wel dat je een beveiligingsexpert in huis hebt die dergelijke rapporten ook kan interpreteren. Bij twijfel over de keuze tussen de verschillende leveranciers in de NGFW-markt, laat je je dan ook maar beter begeleiden door echte experts.

Interesse om meer te weten?

Ik wil advies!

#3. MFA oftewel Multi-Factor authentication

MFA

Er mogen nog zoveel beveiligingslagen worden voorzien, op een bepaald moment moet men alsnog toegang krijgen tot gevoelige gegevens. Elk huis heeft zijn deur en voor die deur moeten we een bewaker plaatsen die de identiteit van alle bezoekers natrekt.

Gebruikersaccounts zijn op vlak van security echter dé achilleshiel bij uitstek. Extra beveiliging voorzien zoals banken dat doen? Dat kan, maar ook daar is men voortdurend op zoek naar nieuwe manieren om het gebruiksgemak te verhogen. Niemand wil keer op keer werken als een molenpaard om toch maar voorbij de bewaker te geraken. Het balanceren tussen gegevensbeveiliging en gebruikerscomfort is als balanceren op een dun koord. Toch hoor je de afwegingen inzake MFA te wikken en te wegen, terwijl je je moet realiseren dat je niet altijd kunt voldoen aan beide wensen.

Voor hackers zijn kwetsbare accounts een ideaal doelwit om toegang te krijgen tot systemen en data te kapen. Bij de ontdekking van zo'n infiltratie is het vaak te laat om nog curatief op te treden. Multi-Factor authentication zet daarom in op een preventieve aanpak en voegt extra beschermingslagen toe. Denk onder andere aan een fysieke actie, zoals het intikken van een code die per sms werd toegezonden of die via een fysieke generator in het leven werd geroepen. Alleen het wachtwoord volstaat met andere woorden niet meer. De beveiligingsagent zal ook om bijkomstige gegevens vragen. Wie enkel jouw wachtwoord heeft, komt er met andere woorden niet in. En maar goed ook.

Zoals eerder gezegd toornt een en ander wel aan het gebruiksgemak. Om in te loggen zou men bijvoorbeeld steeds de fysieke codegenerator bij moeten hebben, waardoor steeds vaker gekozen wordt voor smartphone-oplossingen. Denk hierbij aan een push notification op je smartphone via een applicatie. Op deze manier hoef je alleen nog het bericht te accepteren. Dit is dan ook een heel stuk makkelijker dan bijvoorbeeld codes over typen. Hiermee zorg je ervoor dat je niets verliest wat betreft het gebruikersgemak.

Er is met andere woorden niet één ideale oplossing. Multi-Factor authentication is steeds het resultaat van een aantal afwegingen waarbij eveneens een risico-inschatting dient te worden gemaakt. Een gedegen risicoanalyse zal zich dan ook opdringen.

#4. Single Sign-On

Single Sign-On

Het eerder aangehaalde gebruiksgemak brengt ons ook bij Single Sign On.

Hoewel de inlogprocedure in het kader van Multi-Factor authenticatie dus strikter mag zijn geworden, draagt men via Single Sign-on oftewel SSO op basis van SAML toch bij aan het gebruiksgemak. SSO is eenmalig inloggen om toegang te krijgen tot verschillende applicaties en gegevensbronnen. We kennen het voornamelijk van het Facebookaccount waarmee je op verschillende andere applicaties kan inloggen. Het draagt vooral bij aan het gebruiksgemak: door een enkele keer te authentiseren heeft men toegang tot verschillende platformen zonder telkens opnieuw te moeten inloggen. Dit werkt tevens andersom. Door eenmalig dit account te blokkeren wordt het direct onmogelijk gemaakt om op meerdere (zakelijke) platformen in te loggen.

Met SAML oftewel Security Assertion Markup Language gaat het om een XML-/HTML-basisstandaard voor het uitwisselen van autorisatie- en authenticatiegegevens om de veiligheid te verhogen. Hoewel Security Assertion Markup Language en Single Sign-on één en ander eenvoudiger maken voor de eindgebruiker en hierdoor bouwen aan een toegenomen productiviteit, brengt het ook extra zekerheid met zich mee. Een enkele aanmeldprocedure is immers eenvoudiger te beveiligen dan tientallen varianten, waardoor het risico op een veiligheidslek kleiner wordt. Is Single Sign-on minder aangewezen omdat bepaalde bronnen striktere beveiligingsniveaus vergen? Dan kan RSO oftewel Reduced Sign-On een ideaal alternatief zijn. Het heeft dezelfde kenmerken als Single Sign-on maar bij het raadplegen van een hoger beveiligingsniveau moet men zich nogmaals authentiseren.

MFA, SAML, SSO en RSO kaderen stuk voor stuk in een breder authenticatie-management waar allerhande afwegingen moeten worden gemaakt. Toch staat het beschermen van de zwakste schakels centraal, terwijl ook het gebruiksgemak moet worden gemaximaliseerd. Geen eenvoudige materie, zoveel is duidelijk.

Interesse om meer te weten?

Ik wil advies!

#5. De strijd tegen spam en mail protectie

Spam

Het nationaal E-mailonderzoek toonde aan dat elektronische post steeds meer invloed uitoefent op ons leven. Zo zijn tot 94% van de Nederlanders ingeschreven op één of meerdere nieuwsbrieven, terwijl 72% van de mensen al eens iets gekocht hebben naar aanleiding van een mail. In de praktijk vormt e-mail echter ook een ideaal hulpje voor hackers en oplichters. En zelfs al gaat spam dankzij e-mail filtering meteen naar de virtuele vergeetput, toch zouden werknemers volgens een onderzoek van de Sunday Telegraph dagelijks tot één uur verliezen aan mails. Een goede anti spam en e-mail filtering kan met andere woorden ook de productiviteit binnen de onderneming stimuleren. En daar kan je de vruchten van plukken.

Dit kan op verschillende manieren gebeuren. Softwarematig zijn er bijvoorbeeld uiteenlopende aanbieders van mail protectie. Zij combineren vaak de voordelen van de nieuwste virtuele technologieën, de cloud en hardware om aanvallen per mail eenvoudig af te slaan. Hiernaast wordt software ook steeds belangrijker om spam automatisch te herkennen en uit de mailbox te filteren.

Toch is het considerabel om ook verder te denken dan de loutere bescherming van de mailbox. Anti spam staat ook gelijk aan het afschermen van mailadressen en het beschermen van webformulieren via de bekende CAPTCHA-beveiliging.

Tot slot zijn er tegenwoordig ook steeds meer appliances die niet alleen voorzien in de bescherming tegen malware en spam, maar ook preventief werken inzake dataverlies én gelijktijdig mails encrypteren om aldus het geheim karakter ervan te bewaken.

#6. Back-up & archivering

Back-up

Ondanks alle inspanningen kan het altijd nog eens mislopen. Zelfs bij de grootste bedrijven is dit het geval. Een goede preventieve aanpak houdt daarom ook rekening met calamiteiten. Door back-ups te maken, kan men gegevens dan zo snel mogelijk herstellen. Het is belangrijk om voldoende vaak een back-up te maken opdat de gegevens zo actueel mogelijk blijven en de risico's van dataverlies worden beperkt. We noemen dit de retentie tijd. Hiernaast moet er goed gedacht worden over de locaties waarop de back-ups zich bevinden. Zowel een interne als een externe back-up dringen zich al snel op.

Binnen Microsoft Office 365 zijn er een aantal vangnetten. Bij het per ongeluk of met opzet verwijderen van een postvak of bestanden zijn er nog 30 dagen om dit te herstellen. Na deze periode ben je voorgoed je mail en je bestanden kwijt. Stel je voor dat een medewerker al tijdig weet dat hij/zij de organisatie gaat verlaten en vervolgens bestanden gaat verwijderen. De kans is dan groot dat je hier pas achter komt als de magische grens van 30 dagen al is overschreden. Je bent dan echt alles onherstelbaar kwijt. Met een back-up oplossing zorg je ervoor dat dit niet kan gebeuren. Er kunnen dan geen mails en bestanden verloren gaan.

Daartegenover staat dan weer archivering dat, in tegenstelling tot wat men soms lijkt te denken, geen synoniem is voor de aangehaalde back-ups. Bij het archiveren zet men immers in op de langetermijnopslag. De gegevens worden dan historisch opgeslagen. Denk bijvoorbeeld aan de archivering van de administratie om fiscale redenen. Hier hoeft het archiveren minder frequent te gebeuren dan wat we van back-ups gewoon zijn. Het is daarentegen belangrijker dat de gearchiveerde data vlot toegankelijk is. Terwijl we een back-up in het beste geval nooit raadplegen, is dit voor een archief immers volledig anders.

Om de historische gegevens te beschermen zal men overigens ook van een archief een back-up maken. Omdat het archief minder frequent wordt aangepast, hoeft zo'n back-up echter ook minder frequent te worden aangemaakt.

Interesse om meer te weten?

Neem contact op!

#7. Advanced threat analytics

Advanced threat analytics

De laatste bouwsteen van een gezond IT-veiligheidsbeleid vinden we tot slot bij de ATA of de Advanced Threat Analytics. Via zo'n ATA verzamelt men automatisch informatie omtrent malafide activiteiten op netwerken. Het brengt netwerkbeheerders daar meteen van op de hoogte en doet zo dienst als een speurhond die indicatoren van een cyberaanval opspoort opdat het eenvoudiger kan worden bestreden. Echter is het meer dan alleen een speurhond, want als waakhond is het ook gewapend tegen allerhande andere aanvallen zoals pass-the-hash- en Skeleton Key-attacks.

De werking van ATA is gebaseerd op een automatische analyse van gebruikersgedrag om zo normaal en abnormaal gedrag van elkaar te onderscheiden. Hierbij speelt machine learning een steeds belangrijkere rol. Het is dan ook een ideaal middel om jouw onderneming tegen geavanceerde aanvallen te wapenen.

#8. Awareness op de werkvloer

Awareness op de werkvloer

Alle beveiligingslagen werken natuurlijk niet goed indien een en ander onvoldoende wordt geïmplementeerd. Dat bewees ook het eerder aangehaalde onderzoek van Centraal Beheer. Vooral de implementatie door de individuele medewerker is hierbij niet onbelangrijk. Meer zelfs: in vele organisaties zijn de individuele medewerkers als eindgebruikers vaak de zwakste schakels.

Volgens specialisten is er ook goed nieuws. Een onderzoek van Kaspersky Lab toonde bijvoorbeeld aan dat iets meer dan de helft van de Nederlandse bedrijven voorlichting beschikbaar heeft. Zo worden medewerkers gewezen op de risico's van IT-middelen en het belang van bepaalde veiligheidsmaatregelen. Toch mogen we ook hier nog steeds onze kritische pen bovenhalen. De helft? Dat is voor ons eigenlijk nog steeds veel te weinig. Hiernaast geeft slechts 32% aan jaarlijks een training te voorzien, wordt de voorlichting te weinig geüpdatet en heeft het te weinig aandacht voor kwetsbare medewerkers. Dan ben je als bedrijf zo veilig als vlees in een hondekot, neem dat maar van ons aan.

Het niet aanwezig zijn van knowhow in de onderneming, zeker wat de nieuwste evoluties op vlak van digitale bedreigingen betreft, blijkt de grootste oorzaak te zijn. Heel kwestieus, want wat ben je bijvoorbeeld met een Citrix Netscaler Training zonder dat het rekening houdt met pakweg de nieuwste add-ons voor Disaster Recovery? Zelfs zij die al eens een Citrix Netscaler Training meemaakten, horen nog steeds jaarlijks een overzicht te krijgen van de nieuwste mogelijkheden op vlak van beveiliging. Uiteraard kunnen we dit ook doortrekken tot de andere aspecten van IT-beveiliging die voor de betrokken medewerkers relevant zijn.

Nochtans hoort awareness op de werkvloer een integraal onderdeel uit te maken van het IT-veiligheidsbeleid. Enkel indien medewerkers voldoende bewust en getraind zijn, is een efficiënt veiligheidsbeleid mogelijk. Een ketting is immers maar zo sterk als z'n zwakste schakel, om het met gevleugelde woorden samen te vatten.

IT-beveiliging blijft maatwerk

IT-security is geen eenvoudige materie. Alles heeft te maken met het feit dat een kant-en-klare handleiding onmogelijk is en dat het vakgebied razendsnel wijzigt. Op het moment van schrijven zijn bovenstaande bouwstenen voor ons onmisbaar. Toch gaat IT-security nog veel verder dan enkel dat. Het kleinste lek kan immers fataal zijn en met alleen bouwstenen bouw je nog geen muur. Een aanpak op maat waarbij diverse belangenafwegingen worden gemaakt, zal zich dan ook steeds opdringen. Bij DesktopToWork informeren we jou graag. Want ook in een online werkplek moet het nu eenmaal veilig vertoeven zijn.

Interesse om meer te weten?

Neem contact op!
Jasper Spaan Geschreven door Jasper Spaan op
vrijdag 25 januari 2019
Veiligheid

Volg ons


Werk beter. Leef beter. Hoe maken wij onze beloftes waar?

Door te hard te werken.

Online Desktop

Online Desktop

Wij maken in de cloud werken mogelijk. Zo werk je overal en ben je steeds bereikbaar. Uiteraard sleutelen we ook aan de vereenvoudiging van de processen. Waardoor je nog productiever bent!

Lees meer!
Office 365

Office 365

Via DesktopToWork kan je nu ook werken in de cloud met Office. En dit zonder dat je zelf hoeft te investeren in licenties en hardware. Niet alleen verlaag je de downtime, bovendien maak je gebruik van extra mogelijkheden. Denk maar onze uitgebreide support.

Lees meer!
VoIP en Mobiel

VoIP en Mobiel

De Online Werkplek vergt flexibiliteit. Door te kiezen voor VoIP introduceer je de vrijheid waar iedereen naar hunkert. Zo is eenieder overal bereikbaar, net zoals ook de klant het vraagt. En daar pluk je als bedrijf de voordelen van.

Lees meer!
Connectiviteit

Connectiviteit

Bij DesktopToWork verbinden we de voordelen van de cloud met die van een flexibele werkplek. Voor ons is verbinden nu eenmaal belangrijk. En daarom kennen we er alles van. Wij selecteren voor jou de beste internetlijn en leveren optimale netwerk- en wifi-oplossingen. Waardoor je voortdurend razendsnel werkt.

Lees meer!