Als het in de IT wereld over beveiliging gaat wordt er nogal snel naar “fear-based-selling”, verkopen op basis van angst, overgegaan. Een goed IT beveiligingsbeleid begint nochtans bij de basis en niet met de implementatie van een flashy oplossing uit de door slimme marketing mensen gemaakte alfabet-soep: EDR, MDR, XDR, SIEM, SOAR, … Deze tools hebben absoluut hun nut, maar hun effectiviteit zakt drastisch als de fundamenten van het IT beleid uit papier maché bestaan.
Dé oplossing die alle cyber security problemen de wereld uit zal helpen zal namelijk nooit bestaan; niets is onfeilbaar. Het gaat er altijd over de weerstand te verhogen, zodat de kans op een hack of een breach kleiner wordt. Zo kan je tools en oplossingen blijven op elkaar stapelen en swingen de kosten sneller de pan uit dan Felice Damiano’s energie ergens in een zweterige TV-studio rond het jaar 2000. Het is een kwestie van een goede balans te vinden die werkt voor jouw bedrijf.
De cyber security filosofie
Het “minste privilege”-principe
Medewerkers én jouw tech krijgen enkel toegang tot de software, platformen en data die minimaal nodig zijn om de toegewezen taken uit te voeren. Dat gaat over de netwerken waar ze zich mee kunnen verbinden, de mappen op de bestandsservers waar ze toegang tot hebben en meer. Dit wil ook zeggen dat niemand beheerder/administrator rechten heeft op zijn systeem, ook de systeembeheerder zelf niet. Maar die persoon kan natuurlijk wel de beheerdersrechten gebruiken als ze nodig zijn.
Alle accounts zijn uniek en strikt persoonlijk. Je kan je inbeelden dat als er één administrator-account is waarmee je alles kan beheren, een hack desastreuse gevolgen kan hebben. Een aparte beheerder-account voor het back-up systeem is dus een geweldig idee; gedeelde accounts absoluut niet. Als je dit beleid kan implementeren is doorgedreven auditen mogelijk en kunnen er meldingen gestuurd worden bij ongeoorloofd gebruik van data of systemen.
Wachtwoorden op een post-it
… of in een Excel werkblad ergens in een gedeelde map is iets waar de veiligheidsbewuste IT-er nerveus van wordt. Maar ook wachtwoorden hergebruiken is iets wat tot problemen durft leiden. Want ook al heb je een superveilig wachtwoord waar de namen van je kinderen/huisdieren/partner niet in verwerkt zitten, je weet nooit hoe het zit met de beveiliging van de diensten die je gebruikt. Als die hippe webshop gehackt wordt en jouw wachtwoord lekt, kunnen die hackers aan al je accounts.
Om het makkelijker te maken gebruik je best een wachtwoord manager. Die kan je gratis vinden, maar de betalende versies laten meer dingen toe zoals wachtwoorden delen met andere mensen. Het programma genereert en onthoudt dan al jouw unieke wachtwoorden (én vult ze in), jij onthoudt enkel jouw unieke, superveilige hoofdwachtwoord waarmee je het programma activeert.
Multi-factor authenticatie: yes, please
Tegenwoordig een must (en zeker bij die wachtwoordmanager van daarnet). Je keurt een login goed op jouw smartphone, met een roterende code of met een USB-sleutel die je in je toestel steekt. Als je wachtwoord gekend is door de verkeerde mensen kunnen ze niet verder zonder dat jij de login-poging goed keurt. Meer en meer platformen, zoals bijvoorbeeld Microsoft 365, maken dit verplicht en dat kunnen we alleen maar aanmoedigen.
De technologie
Hokjesmentaliteit voor jouw netwerk
Al die “slimme” IoT toestellen horen niet thuis op het netwerk van je servers en de bezoekers van jouw bedrijf horen niet thuis op het netwerk van jouw medewerkers. Je deelt je netwerk best op in fysieke of virtuele segmenten (VLANs). Daarna zorg je via je firewall-regels dat er enkel communicatie mogelijk is wanneer het nodig is. Die zeldzame, dure en onvervangbare machine die aangestuurd wordt door een niet-up-te-graden PC met Windows XP zal z’n ding kunnen doen zonder andere apparaten in gevaar te brengen.
Updates en patches
Niet alle updates zijn kritiek en met sommige updates wacht je beter even tot andere mensen tegen de bugs aan lopen. Maar met kritieke updates neem je beter geen risico: je past beter zo snel mogelijk toe op je IT infrastructuur. Dat geldt niet alleen voor besturingssystemen en software maar ook voor netwerkapparaten, camerasystemen en allom geliefde IoT apparaten zoals die slimme stofzuiger of kruimeldief.
Back-ups
Het back-up systeem is over het algemeen het laatste bastion bij een cyber-aanval. Als hier gegevens verloren gaan wordt het pas écht dramatisch. Het is dus essentieel dat dit systeem ontworpen wordt volgens de regels van de goede praktijk. Wat vaak vergeten wordt is dat de back-ups, buiten het monitoren van de uitvoering ervan, ook regelmatig op succesvol herstellen getest moeten worden. Pas na een ransomware aanval te weten komen dat je back-ups al maanden corrupt zijn heeft al in veel gevallen tot angstzweet en de aankoop van Bitcoins geleid.
Beveiligings software en diensten
Een traditioneel anti-virus pakket zal data gaan vergelijken met een database met bekende malware. Moderne beveiligingspakketten combineren dit met diensten uit de eerder aangehaalde alfabetsoep: EDR, MDR, XDR.
- EDR staat voor “Endpoint Detection and Response” en houdt zich vooral bezig met het analyseren van het gedrag van processen. Zo kan er ingegrepen worden als een proces dat niet verdacht is dingen begint te doen die dat dan wél zijn. Een goed voorbeeld hiervan is Powershell. Ontworpen door Microsoft om taken te automatiseren maar ook zeer populair bij mensen met hoodies en donkere zonnebrillen om minder koosjere activiteiten uit te voeren.
- XDR doet wat EDR doet maar dan voor meer dan je computers en servers. Ook cloud-omgevingen, e-mail, netwerk en meer worden in de gaten gehouden. Een goed “Extended Detection and Response”-pakket zorgt voor een centraal beheersportaal zodat monitoren en ingrijpen makkelijker wordt.
- MDR of “Managed Detection and Response” gaat nog een stapje verder door cyber security specialisten in de mix te gooien. Deze dienst is meestal een uitbreiding van EDR of XDR waar een legertje van slimme mensen alle incidenten opvolgt en ingrijpt waar nodig.
De keuze van de juiste beveiligingstools is een moeilijke oefening tussen hoeveel bescherming gewenst is en welk budget er tegenaan gegooid kan worden. Uiteindelijk is het doel van zo’n oplossing veel leed en kosten te besparen. Als een ransomeware-aanval, die jouw bedrijf een week zou lam leggen, kan vermeden worden, hoeveel heeft die oplossing dan bespaard?
De mensen
Volgens een recente studie uitgevoerd door de universiteit van Stanford werd 85% van de cyber security incidenten door een menselijke fout veroorzaakt. Het gaat dan over het downloaden en uitvoeren van besmette bestanden, het invullen van wachtwoorden op phishingwebsites maar even goed over die post-it die op een laptop plakt. Gelukkig kunnen jouw medewerkers zichzelf door de juiste training snel beter wapenen tegen de al maar inventievere technieken om hen data te ontfutselen.
Zorg voor een aanspreekpunt voor je medewerkers zodat ze met hun vragen of twijfels (“is dit phishing of stuurt die Groendlandse prins me echt 7 miljoen?”) bij iemand met genoeg technische kennis terecht kunnen.
Jouw bedrijf kan zelfs zonder extra kosten veel van bovenstaande tips implementeren. Zo zal de weerstand tegen IT-miserie verhogen wat efficiënt werken alleen maar ten goede komt. En daar worden we bij Techsquad als IT provider alleen maar blij van.
