De vergelijking met vroeger

Vroeger, toen we allemaal nog naar kantoor reden om daar onze werkzaamheden te doen zonder complexe IT omgevingen, zag de wereld van de beveiliging van het kantoor er niet zo heel anders uit dan vandaag de dag. Men zorgt over het algeheel nog steeds voor de volgende onderwerpen:

• Toegangscontrole/bewaking van het pand;
• Camera bewaking;
• Mogelijkheid tot het beveiligd opbergen van diverse zaken;
• Alarm centrale.

Van alle vier de zaken vinden we het volledig logisch dat ze bestaan. Er is voldoende budget vrijgemaakt om deze zaken in te vullen. Maar is dit in de digitale wereld ook zo? We moeten helaas vaak constateren dat dit niet altijd het geval is. Kijkend naar de vier genoemde onderwerpen vertaald naar de digitale wereld, spreken we onder andere over de volgende IT-security thema’s:

1. Identity en Access Management;
2. Authenticatie (Multi Factor, Single Sign On);
3. Inrichting van Active Directory (groepen/rollen onderverdeling);
4. Audit trailing en logging.

Vroeger werd je als werknemer aangemeld binnen het personeelsbestand en kreeg je toegang tot het kantoor. Of het met een sleutel en een alarmcode was, of met bijvoorbeeld de bekende druppel, of een pasje zodat de beveiligingsbeambte (of de lezer bij de betreffende deur) weet wie je bent en of je geauthenticeerd bent voor toegang. Er waren procedures met betrekking tot bezoek, aanmelden, pasjes uitdelen, alleen of begeleid door het pand etc. Alle procedures werden door alle afdelingen gevolgd en, belangrijker nog, ook begrepen.

Hoe is dit vandaag de dag digitaal geregeld? Stel jezelf de volgende vragen:

Hoe word ik vandaag de dag geïdentificeerd als medewerker als ik (al dan niet op afstand) inlog op mijn bedrijfssysteem?

Als je binnen kantoor bent, of op afstand inlogt, zijn er zeer veel vertrouwelijke bronnen waartoe je wel of geen toegang verkrijgt. Je zal je dus moeten melden bij de beveiliging en aan het systeem duidelijk moeten maken dat jij degene bent die het dossier opent (hier is goede authenticatie technologie voor nodig, zie punt 2). Ook zal je in de juiste groepen van medewerkers moeten worden geplaatst om er voor te zorgen dat je de juiste ‘digitale zones en kamers’ kan inlopen en ook sleutels hebt van de juiste ‘digitale dossierkasten’. Dit is terug te relateren op een het inrichten van goede rollen en groepen binnen het Active Directory (zie punt 3).

Hoe stelt men vast dat ik het ècht ben en geen kwaadwillende?

Als wij een groot kantoor van bijvoorbeeld een bank bezoeken, vinden we het heel normaal dat wij ons moeten legitimeren met een paspoort of ID kaart. Als we willen inloggen bij de belastingdienst vinden we het ook normaal dat we met DigID moeten inloggen en via bijvoorbeeld een SMS notificatie bewijzen dat we het écht zijn. De gedachte hierachter is eenvoudig. Op het moment dat je met je gebruikersnaam zegt dat je iemand bent, kan je met een aantal factoren bewijzen dat je dat het daadwerkelijk bent met bijvoorbeeld deze factoren:

• Iets dat je weet (wachtwoord);
• Iets dat je bent (bv. een vingerafdruk);
• Iets dat je hebt (bv, een sms code);
• De locatie waar je je bevindt (o.b.v. GPS of een IP adres);
• De tijd waarop je probeert aan te loggen.

Door deze of enkele van deze factoren (al dan niet gecombineerd) verplicht te maken bij het inloggen kan men waarborgen dat de juiste persoon echt bij de ‘ingang’ staat. Omdat men tegenwoordig bij veel plekken moet inloggen wordt het soms een tijdrovende bezigheid om je iedere keer dat je een applicatie opent meervoudig te legitimeren. Daarvoor bestaan er tegenwoordig hele handige en veilige ‘Single Sign On’ producten. Hiermee identificeer je jezelf één keer digitaal (bij voorkeur op basis van meerdere factoren) bij de ‘digitale beveiligingsbeambte’. Je krijgt dan daarna digitale toestemming om de bronnen en zones te betreden die bij je rol horen.

Waar krijg ik allemaal toegang toe (applicaties, databronnen, kroonjuwelen)?

Goed nadenken over waartoe medewerkers toegang hebben is van essentieel belang. Een voorbeeld uit onze eigen ervaring: een stagiaire op de IT afdeling was ingedeeld in de zogenaamde administrators-groep van de IT omgeving. De administrators hadden van oudsher bij de organisatie in dit voorbeeld alle rechten op de afdelingsschijven en de Sharepoint omgeving. De C-level directie was op dat moment bezig met een overname van de organisatie. De correspondentie omtrent deze overname stond in de directiemap op de fileserver. Je raadt het al, de stagiaire kon dus bij deze zeer vertrouwelijke informatie, maar ook alle medewerkers van de IT partij waar het beheer deels was ondergebracht. Dit was geen wenselijke situatie, die met de hoogste prioriteit moest worden aangepakt. In dit geval kwam de stagiaire niet per se in de verkeerde groep en rol terecht, maar werden er teveel digitale sleutels uitgedeeld aan de groepen.

Hoe en van waar kan ik toegang verkrijgen tot mijn bedrijfssysteem?

Het is zaak om mensen op de afdelingen verantwoordelijk te maken voor het indelen van zijn of haar personeel. Wij noemen dit eigenaarschap. Vroeger keken we iemand vreemd aan als hij een kast of la opende waarvan wij dachten dat het discutabel is. Nu is de informatie digitaal en zien we niet of iemand zich verdacht gedraagt door in bepaalde folders rond te ‘snuffelen’. Eigenaarschap is een onderwerp die vandaag de dag nog niet goed geadresseerd wordt in de IT security wereld.

Camera bewaking?

Hoe zien we nu echt wat er in onze digitale omgeving gebeurt? Kan ik zien wie welk bestand heeft geopend? Wie waar heeft ingelogd, van welk apparaat? Wie welke mail heeft gelezen? Welke gevoelige gegevens in de betreffende bestanden staat? De onderwerpen voor logging, en het bouwen van een audit trail (een digitaal spoor wat je achterlaat als je bestanden opent) zijn hier van toepassing. Zonder dit is er geen bewijslast bij een inbraak en wordt het lastig goede analyses te maken en in te schatten wat de impact is. Met alle gevolgen van dien.

Tot slot

Denk met medewerkers uit de gehele organisatie na over IT beveiligingsrisico’s. De business weet meer dan het algemene management en de IT-afdeling alléén. Maak gedegen risicoanalyses en wijs data eigenaren aan op de diverse afdelingen. IT security is in het belang van en belangrijker nog, de verantwoordelijkheid van alle medewerkers. Iedereen kent essentiële details die van waarde zijn in het opstellen van het beleid.

Meer weten? Neem gerust contact met ons op en maak eens tijd voor een verhelderende whiteboard sessie waar we jouw organisatie centraal zetten in deze metafoor. Door onze Managed Security Services kun je met een gerust hart gaan slapen!

Doordat deze vulnerability werd ontdekt konden medewerkers niet meer op afstand inloggen op bedrijfssystemen omdat organisaties ervoor kozen om de omgeving uit te schakelen. Dit om de risico’s ten aanzien van een mogelijke breach te beperken. Op de weg ontstonden zelfs “Citrix files” vanwege het extra woon-werkverkeer. Voor elke cybersecurity fabrikant en leverancier was dit een uitgelezen kans om de wereld nogmaals duidelijk te maken dat een digitale aanval vandaag de dag direct impact kan hebben op ons fysieke leven in de echte wereld.

Maar wat is er eigenlijk echt gebeurd, waarom ontstond deze paniek en belangrijker nog, hoe hadden we dit kunnen voorkomen? De cybersecurity wereld steekt eigenlijk niet heel anders in elkaar dan toen men nog oorlog voerde in loopgraven, op zee met kanonnen, of in de lucht met bommenwerpers… Echter het gevecht vindt nu digitaal plaats, tussen, met name, de “attackers” en de cybersecurity fabrikanten.

Vroeger bedacht men een nieuw wapen, bijvoorbeeld de lange afstandsraket, en als antwoord kwam er een meer geavanceerd luchtafweersysteem dat op basis van technologie de raket zag aankomen, het doel berekende, en vervolgens de raket uitschakelde op neutraal terrein in de lucht.

Maak gebruik van Threat Intelligence teams

Bij deze vulnerability hebben de cyberaanvallers een gedraging tussen de techniek van Citrix en de Apache webservers gevonden welke ze hebben misbruikt om zo zonder gebruikersnaam en wachtwoord toch binnen te komen in bedrijfssystemen. Op deze manier konden ze gevoelige bestanden stelen en ook kwaadaardige software achterlaten in het netwerk. Software, die bijvoorbeeld belangrijke data versleutelt (ransomware).

Voor de gebruiker is dit natuurlijk een serieus probleem want bestanden verliezen of gevoelige informatie lekken kan tot veel gevolgschade leiden voor de organisatie en haar klanten, medewerkers, studenten of (zorg)cliënten. De diverse Threat Intelligence Teams hebben deze breach dan ook hele hoge (het is nog net geen 10, en die zijn ook al eens aan Citrix uitgegeven…) scores gegeven als het gaat om gevoeligheid, risico en gevolgen (kritieke 9,8 CVSS v3.1 basisscore). Alle diepgaande technische details kan je ook vinden via dit artikel van dit artikel van Palo Alto Networks.

De gevolgen zijn bekend: ziekenhuizen, gemeentes en andere organisaties hebben onderzoeken uitgevoerd of er een breach heeft plaatsgevonden en omgevingen werden zo goed en zo snel als mogelijk geüpdatet. De patch met betrekking tot deze vulnerability was pas 20 januari beschikbaar. Mede hierdoor werd er ook besloten om de omgeving uit te schakelen om breaches te voorkomen.

Was misbruik te voorkomen?

De toonaangevende securityfabrikanten hadden (zonder dat veel organisaties dit wisten) al heel snel een bescherming beschikbaar voor deze vulnerability. Ook bij onze klanten hebben wij in o.a. firewalls sporen en logs gevonden van aanvalspogingen. Dit waren slechts pogingen en inmiddels was (om het eerdergenoemde voorbeeld nog eens te hanteren) het luchtafweersysteem geavanceerd genoeg om de raketten van de Citrix aanvallers op neutraal terrein onschadelijk te maken. De enige en allerbelangrijkste voorwaarde was dat alle beveiligingssystemen volledig up-to-date waren en volgens de aanbevolen configuratiestandaard waren ingericht.

Wat houdt dit concreet in? Onze klanten met een Next Generation Firewall van Palo Alto Networks waren automatisch al snel beschermd tegen dit lek. Daarvoor moesten zij “Strict Protection” gebruiken middels het zogenaamde “Threat Prevention” abonnement. De kenmerken heeft Palo Alto Networks opgenomen in de “Threat Prevention Signatures”: 57497 en 57570. Ook zijn er meer dan 20 IP-adressen opgenomen in de “Known Malicious Block” list. De technische details hieromtrent zijn ook te vinden in de eerder genoemde link.

Advies om je beter te beschermen tegen dergelijke cyberaanvallen

Het is goed om te weten dat als je een hoogwaardig security product selecteert om je bedrijf kritische informatie en je ICT-omgeving te beschermen, er een organisatie achter je staat die elke dag bezig is om aanvallers te analyseren. Het is essentieel om in een zo vroeg mogelijk stadium nieuwe aanvalsstrategieën te ontdekken en vervolgens nieuwe verdedigingsmethodieken en -technologie te ontwikkelen, die deze aanvallen blokkeren.

Wij adviseren dan ook om geregeld contact te hebben met je security leverancier. “Gewoon een goede firewall neerzetten” is niet meer voldoende. De veranderingen en ontwikkelingen zijn dagelijks. Dit betekent dus ook dat “de aanbevolen configuratiestandaard” ook regelmatig verandert. Onze security en netwerk specialisten zijn hier zeer goed van op de hoogte. We kunnen en moeten vanuit onze rol als cybersecurity specialist op elk moment hierover advies geven. Wij adviseren onder andere de volgende 4 zaken duidelijk in je organisatie te adresseren:

1. Security best-practice assessment

Voer geregeld een “security best-practice assessment” uit en overleg of er nog kwetsbaarheden zijn in de beveiligingsomgeving en zaken zoals de firewall rulesbase correct is ingesteld en up-to-date is. Dan kun je als de “publieke alarmbellen” afgaan rustiger gaan slapen en met plezier de volgende dag je laptop openslaan en met een veilig gevoel gaan werken.

2. Risicoanalyses

Voer periodiek risicoanalyses uit en maak inzichtelijk wat de gevolgen kunnen zijn van een breach, zodat er een plan gemaakt kan worden voor wat je moet doen als er een breach plaatsvindt.

3. Verwijderen van overbodige data

Kijk kritisch naar de aanwezige informatie in jouw digitale omgeving. Is alle data die beschikbaar is nog nodig? Of is er een heleboel oud, niet meer relevant en dus overbodig. Waarom zouden we die dan nog beschikbaar houden? Alle beveiligingsrisico’s zijn voor overbodige data ook aanwezig. Bij een breach wordt de impact dus onnodig hoog. Onze ervaring leert dat gemiddeld 60 tot 70% van de beschikbare data overbodig is.

4. Cybersecurity strategie

Maak samen met een vakbekwaam persoon een “cybersecurity strategie” die rekening houdt met de roadmap van de business. Realiseer je, dat als je de koers van de organisatie wijzigt, je ook de cybersecurity strategie moet bijsturen.

Ben je nieuwsgierig geworden naar hoe wij deze diensten bij onze klanten invullen of hoe dergelijke assessments in zijn werk gaan? Bel ons dan gerust, zonder enige verplichting want wij delen graag onze kennis en zijn zeer graag voor nog meer bedrijven een meerwaarde in het veilig uitvoeren van de business.