Waar moet je nu écht op letten wanneer je de digitale veiligheid van je onderneming hoog in het vaandel draagt? Beveiligingsverkopers hebben heel wat antwoorden en bijhorende producten, maar wij polsen eens aan de andere kant. Waar investeer je best in volgens een hacker?
Endpointbescherming, firewalls, IPS en intrusiedetectie, realtime monitoring, SOCaaS en ga zo maar even door. Om je onderneming te beveiligen, bestaan er genoeg oplossingen. Meer is niet altijd beter en daarom kloppen we aan bij Thomas Hayen, Mickey De Baets en Robin Bruynseels. Zij houden zich als onderdeel van de Red- en Blue-teams van Easi bezig met phishen en hacken van bedrijven. Ze hebben natuurlijk een witte pet op, en doen dat als onderdeel van penetratietests om de beveiliging van ondernemingen op te schroeven. Welke basiszaken moet je volgens de ethische hackers zeker op orde hebben?
1. 2FA boven alles
“Alles begint bij authenticatie”, zegt Hayen. Het gros van de succesvolle aanvallen loopt immers niet via speciale bugs in software, maar langs gekraakte accounts. “Implementeer 2FA. Iedere vorm van multifactorauthenticatie helpt.” De cijfers staan aan de kant van Hayen. Microsoft liet pas nog weten dat organisaties die Azure AD gebruiken en 2FA omarmen 80 procent minder vaak cyberincidenten ervaren dan hun tegenhangers die dat niet doen.
lees ook
Waar je moet op letten bij 2FA of tweestapsverificatie
“Soms kiezen organisaties ervoor om geen 2FA te implementeren omdat dat niet tof is voor gebruikers”, zucht De Baets. Het belang is nochtans niet te onderschatten. “Voor phishing is 2FA één van de belangrijkste vormen van bescherming”, valt Bruynseels bij. “Zeker in combinatie met Microsoft 365.”
2. Maandag patchdag
“Beveiliging zit op vele lagen”, zegt Hayen. “Om de infrastructuurlaag veilig te houden, moet je weinig meer doen dan opzoek gaan naar kwetsbaarheden en periodiek patchmanagement.” Toch gebeurt dat vaak niet. Het gros van de aanvallen die de voorpagina’s van de krant halen, treffen infrastructuur die met de meest recente patch eigenlijk immuun is.
“Kies iedere week of desnoods iedere maand een dag die je blokkeert in je agenda om patches te installeren, en voer meteen ook een eenvoudige kwetsbaarheidsscan uit. Dat is al bij al niet zoveel werk, maar het is zo belangrijk.”
3. Geen beveiliging zonder beleid
Bruynseels wijst voor de derde tip naar het belang van de juiste policies. “Veel bedrijven met grote middelen schermen met tools van hier en van daar, maar zonder goed beleid raak je niet verder. Eerst teken je het beleid uit, dan pas begin je te bouwen.
Eén essentiële vorm van beleid is least privileges, waarbij een gebruiker nooit meer toegang krijgt dan eigenlijk nodig. De Baets: “Veel gebruikers met een admin-account gebruiken die continu om alles te doen, maar als een administrator ingelogd is geweest en een toestel is niet gereboot, dan kan een hacker belangrijke gegevens uit de cache halen en heeft hij opties. Het is simpel om daarop te letten.”
Langs de andere kant is het wachtwoordbeleid relevant. “Zorg ervoor dat dat goed zit en een gebruiker het niet beu wordt om constant wachtwoorden in te geven”, zegt Hayen. “Dwing mensen ook niet om hun wachtwoord iedere maand te veranderen, want dan kiezen ze iets eenvoudigs zoals Hondje1, Hondje2 en Hondje3. Een wachtwoordmanager of een kluis goedgekeurd door het bedrijf zelf is een ideale optie.”
4. Een ongeteste back-up is geen back-up
Tip vier zorgt ervoor dat je voorbereid bent wanneer er toch iets gebeurt. Iedere organisatie heeft een back-up nodig, maar ergens een back-up-tool draaien volstaat niet. Hayen: “Eerst en vooral heb je back-ups op meerdere plaatsen nodig.” Dat kunnen twee sites van je bedrijf zijn, maar het kan net zo goed om een back-up in de cloud gaan.
lees ook
Laat je eens hacken: het wat en waarom van pentests
Bruynseels voegt daar aan toe. “Je moet de back-ups ook testen natuurlijk.” Al te vaak vertrouwen organisaties blind op hun back-up, zonder ooit te checken of en hoe snel ze die kunnen terugplaatsen. Een back-up waarmee je niet vlot kan herstellen, is eigenlijk geen back-up.
5. Zet zelf een wekker
Tot slot hopen de experts dat organisaties tijdig wakker schieten. De Baets merkt dat er nog te vaak pas actie wordt ondernomen wanneer een bedrijf tegen een muur is gekomen. “We horen dikwijls dat deze of gene gebeurtenis toch een wake up call was. Dat pas volgt er budget, en mogen organisaties blij zijn dat er nog herstel mogelijk was”, zegt Bruynseels.
Het is aan bedrijven om zelf tijdig wakker te schieten en niet te wachten tot ze door het oog van de naald kruipen. Met 2FA, een duidelijke patch- en back-up-strategie en ietwat doordacht beleid kom je al een heel eind.