Help mij!
Zero-trust-identiteit

Cybersecurity - Deel 1: Identiteit

Ging jij als eens surfen op het “Dark web”? Het is de plek bij uitstek om met hackers in contact te komen, e-mailadressen met bijhorende paswoorden te kopen of gewoon een cyber-aanval te bestellen. Je hebt er niet veel voor nodig: een speciale verkenner (Thor) om je weg te vinden en een startpagina zoals bijvoorbeeld Hidden Wiki- 100+ Active Dark Web Links 2022-TheHidden.wiki

Ik ging bladeren in het aanbod en zag dat ik malware kon bestellen voor een bedrag vanaf 3.000€ tot 400.000€ voor code die niet herkend wordt door bestaande afweersystemen. Een computer of mobiele telefoon overnemen om van daar een aanval uit te voeren, kan vanaf enkele eurocenten per toestel. Ik vind er zelfs “ransomware as a service”. Als ik potentiële ‘klanten’ aanbreng, kan ik tot 30% commissie verdienen op de uitbetaalde sommen. Verder vind ik er databanken met visakaartgegevens, paswoorden en mailadressen. Hoe recenter de gegevens, hoe minder goedkoop. Want goedkoop is het, a rato van enkele euro’s voor enkele tienduizenden gegevens.

Ik vraag me af wie zich daar mee bezig houdt. Wanneer we de explosie in het aantal cyberaanvallen bekijken moeten het wel aardig wat mensen en organisaties zijn die hier een verdienmodel op hebben gebouwd. Welke maatregelen kan jij nemen om je hier maximaal tegen te beschermen? Onder de noemer “CYBERSECURITY” zet ik ze op een rijtje:

Wat is cybersecurity?

De term “cybersecurity” gebruiken we als verwijzing naar de principes waarop je een moderne beveiliging bouwt. Microsoft vat het samen in drie principes en zes aandachtspunten:

  1. Altijd verifiëren wie of wat zich wil verbinden
  2. Geen onnodige rechten geven aan gebruikers
  3. Altijd aannemen dat er lekken zullen zijn

 

De zes gebieden waarop we die principes toepassen, zijn:

  1. Identiteiten
  2. Apparaten
  3. Toepassingen
  4. Infrastructuur
  5. Netwerk
  6. Gegevens

 

Aan de slag met cybersecurity

In deze, en komende, blogs inspireren we je rond hoe je kan starten met het toepassen van de Zero-trust principes. Aan het eind van serie heb je een beter zicht op het traject dat je kan afleggen op weg naar maximale beveiliging gecombineerd met een comfortabele werkomgeving.

Identiteit

In deze blog starten we met het beheer en de beveiliging van de identiteiten in je bedrijf. We hebben het dan over de gegevens en methodes die gebruikt worden door medewerkers om in te loggen op software en gegevens (mail, office 365, boekhouding, CRM, …)

Vragen

Je personeel is één van de belangrijkste troeven van je organisatie. Het is ook een van de kwetsbaarste, zeker in combinatie met technologie. Ik begin graag met het stellen van volgende vragen:

 

  • Hoe lang duurt het en welke inspanning vraagt het voor een nieuwe medewerker qua ICT 100% operationeel is?
  • Hoe lang duurt het en welke inspanning vraagt het om een medewerker die het bedrijf verlaat alle toegang tot systemen en data te ontzeggen?
  • Hoe vaak moeten medewerkers per dag inloggen op software die ze gebruiken?
  • Hoe vertrouwd zijn medewerkers met de risico’s die ze lopen?
  • Op hoeveel plaatsen staan er logingegevens van medewerkers?

 

Je voelt het al aankomen. Hoe centraler je werkt, hoe veiliger het wordt. Wanneer je vandaag met Microsoft 365 of Office 365 werkt, zit het beheer van de gebruikersgegevens automatisch in Azure Active Directory. Naast Microsoft gebruik je wellicht ook nog andere software en toepassingen met logingegevens. Die toepassingen draaien op een server in je bedrijf of op het internet. De paswoorden en gebruikersnamen moeten voor elk van die toepassingen ook worden beheerd. Hoe meer gegevens, hoe meer plaatsen waar die beheerd worden en hoe groter het risico. Wanneer één van die namen of paswoorden wordt gehackt, komt het hele systeem immers in gevaar. Dat hacken start in meer dan 2/3 van de gevallen met phishing mails. Via dat soort mails, onderscheppen hackers gebruikersgegevens of installeren ze kwaadaardige software op een computer om daarmee verder je netwerk te verkennen op zoek naar bruikbare lekken.

 

Hoe kunnen we het voor hackers zo onaantrekkelijk mogelijk maken om met onze gegevens aan de haal te gaan?

Centraliseren

  1. Eerst en vooral verkleinen we hun “speelveld”. Dat kunnen we doen door het beheer van onze gebruikers in één enkele plaats te centraliseren : Azure Active Directory.
  2. Vervolgens activeren we Meervoudige Authenticatie (MFA) voor alle gebruikers. Wanneer gegevens lekken, kan een niet bevoegde buitenstaander er niks mee aanvangen zonder de Authenticator app die op de smartphone van de gebruiker draait.
  3. Dan koppelen we via “bedrijfstoepassingen” alle software die gebruikers nodig hebben aan die ene veilige login. Dat kan voor toepassingen die ergens op het wereldwijde web draaien en voor software of data die op een server in je bedrijf draait (Toepassingsproxy).
  4. Via “voorwaardelijke toegang” bepalen we regels en voorwaarden om het inloggen maximaal te beveiligen en tegelijk comfortabel te maken: zo kunnen we een reeks voorwaarden definiëren die, wanneer ze allemaal zijn vervuld, er voor zorgen dat een gebruiker gewoon zelfs niet hoeft in te loggen. Tegelijk kunnen we ook regels maken die elke verdachte login detecteert en tegenhoudt.

 

Deze 4 stappen vormen een uitstekende basis om verder op te werken. Dat doen we via een doordachte set van beleidsregels die we vervolgens aan de gebruikers toekennen. Een beleidsregel (policy) is een set van parameters die voor een bepaalde gebruiker, of groep gebruikers van toepassing wordt wanneer je die regel aan de gebruiker verbindt. Dat brengt ons bij het tweede principe van zero-trust : geef nooit méér rechten dan nodig.

 

Beheren

Microsoft hoeven we niet niet enkel te zien als leverancier van talrijke diensten. We kunnen hen ook bekijken als referentie: hoe doen zij het om een van ’s werelds grootste (en wellicht meest aangevallen) privé-netwerken te beschermen? Wat kunnen we daarvan leren?

 

Bij Microsoft werkt men met Just in Time en Just Enough Rechten. Wanneer ICT’ers een datacenter van Microsoft mogen betreden om er bijvoorbeeld onderhoudswerken uit te voeren, krijgen ze enkel voor de duur van de operatie net voldoende rechten om de operatie te kunnen uitvoeren. Wanneer klaar vervallen alle rechten terug. Dat is maar goed ook. We zagen daarnet dat hackers op slinkse wijzen je netwerk proberen binnen te komen om er dan “zijdelings verder te zoeken” naar beheerders en hun paswoorden om uiteindelijk het hele bedrijf en alle gegevens over te nemen. We kunnen die laterale zoektocht bijna nutteloos maken door het JiT en JE principe toe te passen.

 

Opvoeden

Zijn we dan helemaal gerust? Nee. Ook Zero-Trust is niet waterdicht. Je systeem is maar zo veilig als de zwakste schakel. Die schakel is vaak nog steeds de gebruiker. Een degelijke begeleiding van gebruikers is cruciaal. Je kan trouwens via Converge-IT op geregelde tijdstippen een (ongevaarlijke) phishing mail laten landen in de inbox van je gebruikers en vervolgens feedback krijgen over hoeveel mensen zich lieten vangen.

Het team van IT Partner stelde voor jou een unieke formule samen voor een maximale beveiliging van je IT. Neem alvast met hen contact op voor een vrijblijvende audit of gesprek.

In het volgende artikel leer je hoe je apparaten en toepassingen kan beveiligen volgens het zero-trust principe.

Een veiligere KMO met de Cybersecurity Gids

Dit is deel 1 van onze reeks, wil je alles leren? Download dan onze allesomvattende gids en word een cybersecurity expert! In deze gids leggen we je het ABC van cyberveiligheid uit en ontdek je stap voor stap hoe je zelf een cybersecurity model kan uitrollen binnen je organisatie.

Download Gids
IT-PARTNER_Logo_Yellow_RGB
spotify-logo-1200x494
Soundcloud
Nieuwsbrief
Facebook Linkedin Instagram

Marketing FiZZ. All rights reserved.

Finish-line-amico.png
Je behaalde: 34 / 40
Fantastisch!

Je hebt al een hele weg afgelegd. Toch nog ruimte voor verbetering? De finish is in zicht! Wat brengt je nog dichter bij het ultieme digitale comfort?

Jouw Digitale Comfort Krakers

Deze digitale comfort krakers kunnen nog voor verbetering zorgen gebaseerd op jouw score.

Converge_it-bannerpodcast-general.png
jonas-2.png
SLUIT ALLE ACHTERPOORTJES

Digitale comfort kraker van +1

Beluister
podcastteams.jpg
stijn-1.png
BEVEILIG JE BURCHT

Digitale comfort kraker van +1

Beluister
Bekijk al jouw digitale comfort krakers