Het volume aan cyberaanvallen neemt elk jaar toe. Van al die cyberaanvallen voeren volgens recente data ransomware en phishing-aanvallen de boventoon. Vaak is de netwerkinfrastructuur van een organisatie het belangrijkste doelwit van aanvallers. Maar juist deze infrastructuur wordt steeds belangrijker voor de business, door de verschuiving naar remote werken, de transitie naar de cloud en de nadruk op digitale processen en internet-of-things (IoT). Het is daarom belangrijke om opnieuw te kijken naar de netwerkinfrastructuur van uw organisatie en deze – waar nodig – beter te beveiligen.
Dat dit nodig is, blijkt wel uit een recent voorbeeld. Het ging namelijk kortgeleden mis bij de bibliotheek van Rotterdam waarbij een ransomware-aanval systemen plat legde. Bibliotheekbezoekers hadden tijdelijk geen toegang meer tot de computers, kopieerapparaten en het wifinetwerk. Dit is slechts één van de vele voorbeelden van de afgelopen maanden. Maar met problemen komen ook nieuwe oplossingen. Zo zijn er verschillende manieren waarop organisaties hun infrastructuur cyberveilig kunnen maken.
Veel voorkomende dreigingen voor IT en netwerkinfrastructuur
Netwerkinfrastructuur bevat vaak waardevolle en vertrouwelijke data en is op meerdere punten kwetsbaar voor aanvallen. De toenemende interconnectiviteit van hardware devices en software applicaties biedt zakelijke voordelen, maar brengt ook nadelen met zich mee. Organisaties kunnen hiermee innoveren en groeien zonder plaatsgebonden te zijn, maar het zorgt ook voor nieuwe risico’s en kansen voor cyberaanvallen.
Netwerken zijn kwetsbaar voor tal van dreigingen. Zo noemt 70% van manager, ransomware als grootste zorg in 2021, maar noemen ze ook DDoS-aanvallen als een belangrijk risico. Deze DDoS-aanvallen zijn de eerste helft van 2021 met 203% gestegen.
Andere dreigingen zijn:
- Social engineering-aanvallen, zoals phishing
- Diefstal van logingegevens
- Datadiefstal
Wat als uw netwerk verbonden is met kritieke infrastructuur?
Veel netwerken van organisaties strekken zich buiten de eigen digitale muren uit tot de kritieke infrastructuur van een stad, regio of land. Dit zorgt voor meer risico, omdat de gevolgen van een aanval zich kunnen uitstrekken tot die gebieden, met potentieel rampzalige gevolgen. Cybercriminelen richten zich met ransomware de laatste jaren vaak op dit soort netwerken omdat deze organisaties vaker bereid zijn om te betalen.
Naast deze organisaties zijn ook overheden belangrijke doelwitten geweest van dit soort aanvallen. In mei riep Costa Rica zelfs de noodtoestand uit na zo’n aanval.
Infrastructure Security?
De security van de infrastructuur kan er per organisatie anders uitzien. Dit is namelijk afhankelijk van de bedrijfs- en securitybehoeften van een organisatie. Toch is het duidelijk dat veel organisaties de security missen die nodig is om veilig te blijven bij een dreigingslandschap dat zich in een hoog tempo blijft ontwikkelen. Zo maken vrijwel alle (99%) van de door Arctic Wolf onderzochte organisaties gebruik van ten minste één cloud applicatie, maar maakt slechts een op de vijf (19%) gebruik van cloud security. Toch zijn er een aantal concrete, eenvoudige stappen die iedere organisatie kan nemen om de security te verbeteren.
Vijf manieren om uw netwerkinfrastructuur (beter) te beveiligen:
Voer periodieke kwetsbaarheidscans uit en stel patchprocedures op
Kwetsbare, via internet toegankelijke servers bieden aanvallers een gemakkelijk doelwit voor een eerste data-inbraak. Het is dan ook verstandig om ‘vulnerability scanning tools’ in te zetten, die kritieke kwetsbaarheden kunnen identificeren. Maar voordat u dat doet, moet er wel een beleid opgesteld worden voor het scannen op en patchen van kwetsbaarheden. Er is geen pasklare oplossing, maar een aantal punten waar u rekening mee moet houden zijn:
- Hoe vaak moeten deze scantools worden gebruikt?
- Als er een oplossing voor een geïdentificeerde kwetsbaarheid beschikbaar is, hoe snel kan er dan gepatcht worden?
- Hoe wordt er prioriteit toegekend aan het installeren van patches wanneer er meerdere kwetsbaarheden zijn geïdentificeerd?
- Wat is de impact op de eindgebruiker? Hoelang duurt de downtime? Is er misschien een manier om de functionaliteit te beperken, in plaats van een service volledig uit te schakelen?
Zorg voor strenge wachtwoordcontrole
Bij veel recente aanvallen zijn brute-force logintechnieken gebruikt voor de eerste inbreuk. Tegenwoordig moeten wachtwoorden dan ook meer op ‘ikWcN%#@kLO09!’ lijken dan op ‘wachtwoord123’. Een logische eerste stap is daarom om ervoor te zorgen dat geen enkel device dat met het internet is verbonden, nog een standaardwachtwoord zoals ‘wachtwoord123’ kent. Richt processen in om ervoor te zorgen dat dit soort standaardwachtwoorden altijd direct worden gewijzigd en overweeg het gebruik van wachtwoordbeheerprogramma’s die helpen bij het genereren van sterke wachtwoorden. Daarnaast is het verstandig om multi-factor authenticatie (MFA) te verplichten, vooral voor toegangspunten die leiden naar bedrijfskritische delen van het netwerk.
Schakel Network Level Authentication (NLA) in
Ook het Remote Desktop Protocol (RDP) wordt vaak gebruikt door aanvallers. Alle met internet verbonden gerichte servers die via RDP toegankelijk zijn, moeten zodanig worden geconfigureerd dat Network Level Authentication (NLA) vereist is voor RDP-sessies. Dit dwingt een gebruiker om zichzelf te authenticeren voordat hij het Windows-aanmeldingsscherm te zien krijgt.
Het is ook nuttig zijn om SMBv1 (Server Message Block v1), dat bij de WannaCry-aanvallen vaak door aanvallers werd gebruikt, volledig uit te schakelen.
Vergroot de kennis en het bewustzijn van gebruikers
Proactieve security is altijd beter dan reactieve security. Naarmate dreigingen zich verder ontwikkelen en de diefstal van gegevens toeneemt, vormen de interne gebruikers de eerste verdedigingslinie. Houd regelmatig cybersecurity awareness trainingen en stel een trainingsprogramma op dat gebruikmaakt van micro-learning, samen met innovatieve inhoud die actuele dreigingen behandelt.
Overweeg Security Operations
De kern van het NIST-raamwerk voor cybersecurity bestaat uit vijf gelijktijdige belangrijke componenten functies: identify, protect, detect, respond en recover. De verouderde aanpak om alleen te investeren in endpoint- en perimeterverdediging richt zich alleen op het ‘protect’ onderdeel van dit raamwerk. Dat is een gevaarlijke strategie, zeker als je bedenkt dat uit onderzoek van IBM blijkt dat bedrijven er in 2021 gemiddeld 277 dagen over deden om een inbreuk te detecteren en te verhelpen.
Effectieve security operations zijn nodig om datacenters en servers, inlogactiviteiten van gebruikers, SaaS-applicaties, cloud workloads, e-mailsystemen, laptops en andere endpoints continu te bewaken. Een Security Operations Center (SOC) stelt IT in staat om correlaties te leggen tussen gebeurtenissen in meerdere, verschillende systemen. Dit levert bruikbare informatie op waarmee dreigingen effectief opgespoord en aangepakt kunnen worden.
Helaas kan het beheren en bemannen van een volledig operationeel SOC erg kostbaar zijn, wat het probleem voor kleine en middelgrote bedrijven nog ingewikkelder maakt. In dat geval kan samenwerken met een deskundige partner de beste optie zijn.
Dit is een ingezonden bijdrage van Arctic Wolf. Via deze link vind je meer informatie over de mogelijkheden van het bedrijf.
2 dagen geleden
