Voor veel organisaties en afdelingen was thuiswerken in de coronaperiode een gewoonte. Mede door gewenning en het feit dat het mogelijk blijkt, blijft thuiswerken naar verwachting een populaire optie. Over het beveiligen van werken op afstand moet dan ook goed worden nagedacht. Want waar moet je precies op letten?
Steeds vaker gaat het over hoe we werken in de post-coronaperiode. Een precieze invulling is moeilijk te voorspellen, al lijkt hybride werken voor velen een mogelijkheid. Daarbij gaan er mensen naar kantoor, wat in de praktijk alweer veel gebeurt sinds de overheid het thuiswerkadvies heeft geschrapt. Zonder twijfel zullen ook meer werknemers op afstand werken dan voor corona. Daar moeten bedrijven rekening mee houden, want het vraagt een andere inrichting van de IT-omgeving. De beveiliging mag daarbij niet vergeten worden. Over het algemeen wordt al meer dan anderhalf jaar gewerkt aan een veiligere thuiswerkomgeving, maar organisaties blijken nog steeds kwetsbaar via de remote werkplek.
Hackers zien werken op afstand als kans
Goede reden om na te denken over de beveiligen van de thuiswerkplek, is dat hiermee cybercriminelen minder succesvol nieuwe methodes kunnen toepassen. Hackers zijn namelijk innovatief en zoeken altijd manieren om opnieuw toe te slaan. Ze misbruiken thuiswerken onder andere voor hun phishing campagnes, door zich voor te doen als de HR-afdeling die het thuiswerken managet. De valse website en links verstoppen ze onder een boodschap als ‘Je moet een aantal stappen doorlopen om goed thuis te kunnen werken’, om te proberen achter waardevolle informatie te komen.
Een misschien nog wel grotere kans die hackers zien, is inspelen op de verandering in het gebruik van infrastructuur, netwerken, endpoints, data en software. Bedrijfsapparatuur kan bijvoorbeeld gebruikt worden voor persoonlijke doeleinden, terwijl werknemers ook bedrijfsnetwerken gebruiken met slecht beveiligde persoonlijke devices. Daarnaast hadden organisaties veel securitymaatregelen voor corona in de perimeter van het netwerk zitten. Door thuiswerken waren sommige beveiligingsstappen dan ook niet meer bruikbaar. De verdediging werd dus eigenlijk zwakker, met nieuwe kwetsbaarheden tot gevolg. Dat zien hackers als enorme kansen en dus komen ze met aanvallen om in te spelen op kwetsbaardere organisaties.
Tip: API’s zijn onmisbaar, maar ook een securityrisico
Endpoints kwetsbaar punt
Van alle securitystappen die je kan nemen, resulteren gerichte maatregelen op endpoints vaak ineens in een veiligere omgeving. Verschillende onderzoek tonen namelijk regelmatig aan dat het merendeel van de kwetsbaarheden beginnen bij endpoints. Zeker voor grote organisaties met doorgaans duizenden devices een groot probleem. Daarmee zijn er in potentie voor de hacker duizenden punten om de organisatie binnen te komen.
Met antivirus is er software die zich al langere tijd richt op het beschermen van die endpoints. Voor het beschermen van endpoints wordt dan ook vaak geadviseerd om zogeheten next-generation antivirus te gebruiken. Men noemt dit doorgaans next-generation door het gebruik van algoritmes voor het opsporen van bekende en onbekende dreigingen. Een stap voorwaarts ten opzichte van oudere antivirus. Legacy antivirus is voor detectie afhankelijk van signatures: het herkent bekende patronen om een dreiging waar te nemen. Nieuwere antivirus vertrouwt op zijn beurt meer op artificial intelligence en machine learning om de eerste stappen van een hacker en verdacht gedrag op het apparaat te detecteren. Next-generation antivirus is daarnaast cloud-gebaseerd en loopt minder snel achter de feiten aan: traditionele antivirus vereist regelmatige updates van de signature-database om goed te blijven werken.
Endpointbescherming centraal regelen
Met de juiste antivirus implementeer je dus een eerste verdedigingsmiddel om verdachte stappen te detecteren. Voor een completer beeld en bredere aanpak in de organisatie zijn echter ook detectie- en responsemogelijkheden gewenst. Daar gebruiken bedrijven vaak een Endpoint Detection and Response (EDR)- of Extended Detection and Response (XDR)-platform voor. EDR monitort en verzamelt endpointdata voor het opsporen van geavanceerde dreigingen. Als antivirus iets niet waarneemt omdat het zeer geavanceerd is, dan is er een grote kans dat een EDR-platform dat wel doet. Dit door het gebruik van veel threat intel, artificial intelligence en diepe analyses. Als deze middelen wat verdachts detecteren, blokkeert het platform de malware en helpt het bij de analyse.
XDR doet eigenlijk een schep bovenop EDR en kijkt ook naar data uit netwerken en cloudtoepassingen. Hiermee krijgen securityteams een centraal overzicht van dreigingen binnen de gehele infrastructuur. Door deze aanpak kan endpointbeveiliging ook meer afgestemd worden op andere securityonderdelen, zoals het bedrijfsnetwerk.
Een derde stap die je organisatie op endpointgebied veiliger maakt zit hem in het up-to-date houden van alle devices. Hackers profiteren namelijk nog vaak van het feit dat een basismaatregel als patching vergeten wordt. Het kan gemakzucht zijn, want patching is doorgaans relatief eenvoudig. Toch kan de beveiligingsstap ook achterlopen omdat het veel handmatig werk oplevert. In dat geval kan je kijken naar middelen voor het centraal regelen van systeemupdates en een goed patchbeleid hanteren, om het simpel te houden en het ook echt na te leven.
Beveiligen van data dient opnieuw bekeken te worden
Door het werken op afstand zijn we naast endpoints ook data anders gaan gebruiken. Voor werken op afstand zijn cloud storage-oplossingen ideaal. Hierdoor zijn werknemers niet meer afhankelijk van lokale bestanden en kunnen ze vanuit hun thuislocatie bij de data. Vanuit beveiligingsoogpunt levert cloudopslag eveneens voordelen op. Door data op een centrale plek op te slaan, is het namelijk te beschermen met sterke securitymaatregelen van je bedrijf, zoals firewalls, en van de storage provider. Idealiter wordt data dus zoveel mogelijk centraal opgeslagen, waardoor het zeker geen kwaad kan om te checken of werknemers dat daadwerkelijk doen.
Daarnaast moet de datastrategie ook in het backupbeleid passen. Het centraal regelen van gegevensopslag kan daarbij helpen, maar feit blijft dat data zich overal bevindt. Voor het beschermen van die data zijn allerlei veiligheidstappen te nemen, al biedt het geen garantie dat de organisatie veilig is. Daarom is het advies om goede backups te maken, ook van data gegenereerd op de thuiswerkplek. Hiermee valt te voorkomen dat data echt helemaal kwijtraakt, zelfs bij een ransomware-aanval.
Ben je benieuwd hoe je databescherming goed regelt? Luiste dan ook eens onze podcast over ransomware en de rol van backups.
Verantwoordelijkheden van werknemers
Uiteindelijk wil je als bedrijf een zo cyberveilig mogelijke werkomgeving creëren. Toch zal ook de werknemer mee moeten in het veiliger maken van de thuiswerkplek. Sommige stappen kan alleen de werknemer zelf zetten. Zo is het goed als de medewerker ook eens nadenkt of hijzelf de basis wel op orde heeft. Is er genoeg kennis om niet in phishingmails te trappen en kwaadaardige links te herkennen? Als two-factor authentication ondersteund wordt, doorloopt de medewerker dan de extra verificatiefactor bovenop wachtwoorden? Wordt er gebruikgemaakt van sterke wachtwoorden voor zakelijke accounts en devices? En zijn alle security-updates daadwerkelijk geïnstalleerd? Al jaren waarschuwen en adviseren professionals over deze kwesties, maar niet iedere medewerker blijkt daadwerkelijk de adviezen op te volgen.
Zeker bij thuiswerken kan de basis eens nalopen handig zijn. Zo hebben bedrijven vaak op locatie een veilige netwerkomgeving gecreëerd, terwijl daar thuis soms minder aandacht voor is. Tijdens een recent rondetafelgesprek hoorden we hoe kwetsbaar thuisnetwerken zijn, simpelweg omdat er weinig beveiliging is ingebouwd. Als medewerkers hun router leren kennen, kunnen ze bijvoorbeeld een sterk wachtwoord instellen, de routerinstellingen updaten voor het versleutelen met WPA3 Personal of WPA2 Personal en zichtbaarheid creëren. Dat laatste kan handig zijn om oude apparaten te vinden en van het netwerken los te koppelen.
Daarnaast kan het handig zijn om netwerksegmentatie toe te passen op de thuisrouter. Doorgaans gebruiken bedrijven segmentatie om in netwerken zones te creëren en de juiste securitymaatregelen daarop toe te passen, maar. Thuisrouters ondersteunen met gastnetwerken ook vaak segmentatieopties. Na het opzetten van zo’n gastnetwerk, is het vanuit beveiligingsoogpunt handig er bijvoorbeeld smart home-devices aan te hangen. Op die manier kan een hacker, bij het infiltreren van een smart home-apparaat op het gastnetwerk, moeilijk bij een pc op het algemene netwerk komen en daarmee ook lastiger het bedrijf aanvallen.
Bedrijfsnetwerk inrichten voor overal werken
Voor de werknemer geldt dus dat hij tot op zekere hoogte zelf voor een veilige thuiswerkplek kan zorgen. In de ideale wereld creëert een enterprise organisatie echter een omgeving waar iedereen zo veilig mogelijk is, ook de thuiswerker. Veel securityleveranciers zien in het zero trust-concept het ideale middel om zo’n veilige omgeving te creëren. Zero trust gaat in de basis om het dichttimmeren van het netwerk en diensten die met elkaar praten. Vervolgens wordt alles wat buiten het netwerk valt niet vertrouwd. “Never trust, always verify”, is het idee achter zero trust. Het concept is inmiddels zo ontwikkeld dat het eigenlijk niets meer vertrouwt: apparaten en personen moeten altijd geverifieerd worden, zelfs wanneer ze al eens met het bedrijfsnetwerk verbonden waren. Daarmee verzekert zero trust een bedrijf ervan dat alleen de juiste personen en apparaten toegang krijg tot het netwerk.
Zero trust is ideaal voor alle verschillende werklocaties door onder meer de identiteit te controleren en zo verdachte activiteiten buiten de deur te houden. Als organisatie word je minder afhankelijk van securitymaatregelen in de perimeter.
Daarnaast is in het kader van een schoon netwerk meer zichtbaarheid gewenst. Hoe ziet de IT-infrastructuur eruit en wat speelt er in het bedrijfsnetwerk? Wanneer alle met het netwerk verbonden punten in beeld zijn, zijn bijvoorbeeld ongebruikte apparaten of persoonlijke apparaten die helemaal niet in het bedrijfsnetwerk horen te vinden. Dergelijke endpoints kunnen beter van het netwerk af, aangezien ze verhoogde risico’s op kwetsbaarheden lopen doordat ze geen patches meer krijgen of überhaupt slecht beveiligd zijn.
Allemaal naar een veiligere werkomgeving
De thuiswerkplek is plotseling een veel belangrijker punt geworden om op te nemen in de securitystrategie. Veel te nemen maatregelen zijn zinvol. Niet alleen de thuiswerkplek wordt er veiliger van, ook zijn ze nuttig voor het overal kunnen werken. Denk aan een verkoopmedewerker die onderweg zijn laptop openklapt en door de extra bescherming ook veilig met het netwerk kan verbinden. Het maakt de investering extra interessant en zorgt ervoor dat we allemaal naar een veiligere werkomgeving gaan
Dit artikel is onderdeel van het Techzine securitydossier, waarin we dieper ingaan op een aantal actuele en relevante securityontwikkelingen. Lees ook ons eerste artikel over de stand van cyberdreigingen en tweede artikel over hoe gevaarlijk ransomware is en wat je ertegen kan doen.