Vier valkuilen in je bedrijfsbeveiliging: zo trap je er niet in

Hoewel de beveiliging van bedrijven en werknemers vandaag actueler is dan ooit, blijven veel ondernemingen blind voor valstrikken. Ze focussen op gekende best practices, maar zien terwijl nieuwe en steeds vaker voorkomende risico’s over het hoofd.

De interesse voor een afdoende cyberbeveiliging groeit, zeker bij ondernemingen die aanvankelijk misschien wat trager waren om hun beveiliging naar een volgend niveau te tillen. Daar speelt de corona-pandemie een belangrijke rol in. “Bestuurders maken zich oprecht zorgen dat ze failliet zouden gaan na een ransomware-aanval”, zegt Simen Van der Perre, Strategic Advisor bij Orange Cyberdefense (OCD). “De bedrijven ondervinden al een grote impact van het coronapandemie met een omzetdaling tot gevolg. De gevolgen van een cyberaanval kunnen daar niet meer bij.”

Daarom gaan de ondernemingen proactief op zoek naar een betere beveiliging. Met zijn ervaring ziet Van der Perre vaak dezelfde inschattingsfouten terugkomen. Er zijn vier domeinen waarin het belangrijk is om best practices over de hele lijn te volgen, want voor je het weet blijft er ergens een poort open staan.

Endpoints en mobiele toestellen

Eerst en vooral kijkt Van der Perre naar de endpointbeveiliging. Laptops worden doorgaans wel goed beveiligd, maar smartphones glippen vaak door de mazen van het net. “Het klopt dat het aantal aanvallen dat expliciet gericht is op mobiele toestellen vandaag nog meevalt”, zegt de expert, “maar dat risico stijgt.”

Werknemers hebben een eigen telefoon of krijgen er één van het werk en die wordt met het netwerk verbonden. Vervolgens gebruiken medewerkers bedrijfskritische applicaties, waarvan email het meest voor de hand liggende voorbeeld is. “De toestellen hebben dezelfde toegang als laptops of desktops en moet je ook zo beheren”, vindt Van der Perre. Het grootste probleem schuilt volgens hem bij het updatebeleid.

“Toestellen die dezelfde toegang hebben als laptops of desktops, moet je ook zo beheren.”
Simen Van der Perre, Strategic Advisor OCD

“In ieder bedrijf is er een significante minderheid van gebruikers die bewust updates blijft negeren, ook al worden ze aangeboden door de leverancier. Een aantal mensen patcht nooit en loopt zo gigantisch ver achter op het gebied van beveiliging. Hun toestellen bevatten kwetsbaarheden die gekend zijn, maar omdat de telefoons niet beheerd worden door het IT-departement heeft niemand daar een goed zicht op.”

OCD kan onder andere door firewalls bij klanten anoniem monitoren met welke versie van een besturingssysteem iemand verbindt, waardoor het probleem aan het lichtkwam. Hoewel Van der Perre pleit voor een uitgebreide device management-strategie, eventueel met een mobile device management-suite, kunnen ondernemingen eenvoudiger beginnen. “Het is belangrijk om minstens een strategie te hebben. Veel toestellen worden in de praktijk enkel gebruikt voor mail. Aan de back-end kan je al instellen dat smartphones een minimale softwareversie nodig hebben om te verbinden. Met een te oud toestel raken mensen dan niet aan hun email waarna ze automatisch bij IT terecht komen. Daar kan het updateprobleem meteen worden verholpen. Met een dergelijke kleine ingreep kan je al heel wat controle uitoefenen.”

De kwaliteit van threat intelligence

Threat Intelligence is een volgend struikelblok. Bedrijven weten dat het iets is wat ze nodig hebben, maar stellen zich onvoldoende vragen. Van der Perre: “Threat Intelligence verzamelt bijvoorbeeld IP-adressen of url’s van gekende malafide domeinen. Dergelijke domeinen worden wereldwijd verzameld en in lijsten gestopt. Beveiligingssoftware baseert zich op die lijsten om verbindingen met verdachte internetdomeinen te stoppen.”

“De domeinen evolueren echter constant. Een gehackte site kan opgeschoond worden en een betrouwbare website kan gekraakt worden. Het is belangrijk om informatie vanuit meerdere bronnen samen te voegen en te combineren met andere indicatoren van malafide gedrag. Zo worden valse positieven vermeden en ook obscuurdere domeinen geblokkeerd.”

Het is volgens Van der Perre daarom niet gewoon belangrijk om het vinkje achter ‘Threat Intelligence’ af te vinken wanneer je een beveiligingsoplossing zoekt. De feeds waar de informatie vandaan komt, moeten betrouwbaar zijn. “Vraag dus door bij een beveiligingsprovider en kijk na of die zelf informatie genereert in plaats van een enkele lijst van derden doorpubliceert naar de oplossing on-premises.”

Wachtwoorden, zinnen en 2FA

Wachtwoorden blijven helaas een eeuwig pijnpunt. Ook daar schiet het beleid van ondernemingen tekort. De enige echt veilige oplossing is gebaseerd op tweestapsverificatie waarbij je meer dan een wachtwoord nodig hebt, maar daar staan bedrijven nog steeds eerder terughoudend tegenover.

Van der Perre: “Tweestapsverificatie (2FA) wordt vaak als ongebruiksvriendelijk gezien, maar dat is onterecht. Er is een perfecte balans mogelijk tussen beveiliging en gebruiksvriendelijkheid.” De strategisch adviseur verwijst naar het model dat Google en Facebook hanteren. “Log je van een gekend toestel in op een betrouwbaar netwerk, dan zal je je eenmalig of heel af en toe via tweestapsverificatie moeten aanmelden.” Wie met zijn bedrijfslaptop van thuis uit werkt, moet dus niet constant wachten op een sms met een code.

2FA wordt vaak als ongebruiksvriendelijk gezien, maar dat is onterecht.
Simen Van der Perre, Strategic Advisor OCD

“Het is pas wanneer de context verandert, dat je opnieuw met 2FA te maken krijgt”, verduidelijkt Van der Perre. Wanneer je met diezelfde laptop bijvoorbeeld via een publiek netwerk inlogt, of iemand met je gegevens vanop een ongekend toestel en een niet eerder locatie wil inloggen. Misschien ben je op vakantie of zakenreis, of misschien gaat het om een hacker.

Het is dus perfect mogelijk om 2FA in te voeren op een manier die weinig tot geen impact heeft op de productiviteit van werknemers, maar dat wil niet zeggen dat je wachtwoord slecht mag zijn. “Mensen kiezen hun wachtwoord op basis van het beleid van hun organisatie. Moet je het wachtwoord één keer per jaar veranderen, dan kan je er vanop aan dat heel veel wachtwoorden het jaartal zullen bevatten.”

“De grap is dat hackers het beleid vaak kennen en die policy meenemen in hun kraaksoftware.” Ze kunnen dat beleid extrapoleren aan de hand van gelekte wachtwoorden, maar te vaak volstaat het om een nieuw wachtwoord aan te vragen. “Bij een online wachtwoordverandering geven veel organisaties te snel prijs hoe het nieuwe wachtwoord er moet uitzien. Zo kan een aanvaller daar rekening mee kan houden.” Die informatie pas delen wanneer iemands identiteit geverifieerd is, mag vanzelfsprekend zijn.

Tot slot: als je een wachtwoord kiest, is lengte het belangrijkste aspect dat de veiligheid bepaalt. “Gebruik bijvoorbeeld een zin die je aan jezelf kan vertellen, waarin je ook hoofdletters en speciale tekens kan gebruiken.”

Laat je hacken door een professional

Tot slot wil Van der Perre er op wijzen dat penetratietesting (pentest) niet exclusief is weggelegd voor grote bedrijven. Dergelijke tests wijzen op kwetsbaarheiden in je IT-omgeving die hackers kunnen uitbuiten. Door eenvoudig vindbare achterpoortjes preventief te sluiten, verliezen veel hackers al snel interesse. “Cybercriminelen willen uiteindelijk zo veel mogelijk verdienen met zo weinig mogelijk moeite.”

Pentests nemen verschillende vormen aan. “Je kan iedere keer wanneer je IT-omgeving een update krijgt een team van hackers inhuren om lekken op te sporen.” Gaat je onderneming bijvoorbeeld met gevoelige financiële informatie om, dan is dat geen slecht idee. Voor een kleinere organisatie is dat natuurlijk onbetaalbaar en overkill.

Beveiliging organisaties in het gedrang door te traag patchregime

“Je kan ook met automatische scans werken”, weet Van der Perre. “Die vinden al de belangrijkste problemen, zodat je die kan patchen. Die scans zijn volgens mij echt het absolute minimum voor iedere organisatie.” Of je verder ook mensen wilt inschakelen voor complexere pentests, hangt volgens Van der Perre af van de maturiteit die je wenst voor je organisatie. Hij vindt het in ieder geval niet overdreven. “Een logische frequentie voor een kleinere organisatie met een minder groot risico is om één tot twee keer per jaar te testen. Daar heb je één expert voor nodig en dat kost natuurlijk iets, maar het gaat echt niet om een onoverkomelijk groot budget.”

De vier kernpunten

Samengevat roept Van der Perre organisaties op om vier belangrijke zaken in het oog te houden:

Voorzie een strategie voor al je toestellen, ook mobiele telefoons
Thread Intelligence komt in verschillende smaakjes: informeer je over de kwaliteit
Wachtwoorden zijn onveilig: gebruik 2FA en kies minstens voor goede wachtwoorden en een degelijk wachtwoordbeleid dat niet zomaar op straat ligt.
Pentests zijn toegankelijk voor iedereen. Voer minstens automatische scans op kwetsbaarheden uit, en overweeg een jaarlijkse test door een expert.

Met die minder gekende best practices in het achterhoofd, kan je de maturiteit van je organisatie naar omhoog krikken op een efficiënte manier. De grootste vergissing die je immers kan maken, is zwaar investeren in één aspect van de beveiliging terwijl aan de achterkant een eenvoudig te dichten poortje wagenwijd openstaat.

Dit is een redactionele bijdrage in samenwerking met Orange Cyberdefense. In deze white paper vind je meer informatie over best practices inzake cyberbeveiliging.

Cookie	Duration	Description
__gads	1 year 24 days	De __gads-cookie, ingesteld door Google, wordt opgeslagen onder het DoubleClick-domein en houdt bij hoe vaak gebruikers een advertentie zien, meet het succes van de campagne en berekent de inkomsten. Deze cookie kan alleen worden gelezen vanaf het domein waarop hij is ingesteld en zal geen gegevens traceren tijdens het surfen op andere sites.
_ga	2 years	Dit is een basis cookie van Google Analytics, om gebruikers te identificeren op onze website. We gebruiken standaard een gelimiteerde versie van Google Analytics voordat cookies zijn geaccepteerd. Hierbij is data geanonimiseerd en marketingfuncties uitgeschakeld.
_gid	1 day	Dit is een basis cookie van Google Analytics, om gebruikers te identificeren op onze website. We gebruiken standaard een gelimiteerde versie van Google Analytics voordat cookies zijn geaccepteerd. Hierbij is data geanonimiseerd en marketingfuncties uitgeschakeld.
cli_user_preference	1 year	Deze cookie zorgt ervoor dat onze cookiemelding goed functioneert. Je voorkeuren worden opgeslagen in een cookie, zodat we dat ook weten bij je volgende bezoek.
CONSENT	2 years	YouTube plaatst deze cookie via ingesloten YouTube-video's en registreert anonieme statistische gegevens.
cookielawinfo*	1 year	Deze cookie zorgt ervoor dat onze cookiemelding goed functioneert. Je voorkeuren worden opgeslagen in een cookie, zodat we dat ook weten bij je volgende bezoek.
IDE	1 year 24 days	Google DoubleClick IDE-cookies worden gebruikt om informatie op te slaan over de manier waarop de gebruiker de website gebruikt om hem relevante advertenties te presenteren en volgens het gebruikersprofiel.
itdaily_lang	1 year	Deze cookie is nodig om de landnotificatie te verbergen. De landnotificatie wordt getoond als je vanuit een land de website bezoekt, waardoor we ook een specifieke Techzine-editie aanbieden. Die melding kan je verbergen middels deze cookie.
itdaily_theme	1 year	Deze cookie slaat op of je de darkmode of de normale versie wilt inschakelen.
PHPSESSID	1 day	Deze cookie komt vooruit uit standaard PHP-applicaties. De cookie wordt gebruikt om een gebruikerssessie op te slaan en te identiiceren. Het is een sessiecookie die direct wordt gewist bij het sluiten van de browser.
test_cookie	15 minutes	De test_cookie wordt ingesteld door doubleclick.net en wordt gebruikt om te bepalen of de browser van de gebruiker cookies ondersteunt.
viewed_cookie_policy	1 year	Deze cookie zorgt ervoor dat onze cookiemelding goed functioneert. Je voorkeuren worden opgeslagen in een cookie, zodat we dat ook weten bij je volgende bezoek.
wordpress_*	30 days	Wordpress gebruikt meerdere cookies om de website goed te laten functioneren, bijvoorbeeld om het redactioneel team te laten inloggen.
wp-*	1 day	Wordpress gebruikt meerdere cookies om de website goed te laten functioneren, bijvoorbeeld om het redactioneel team te laten inloggen.

Cookie	Duration	Description
_li_id.*	2 years	Deze cookie wordt gebruikt door het Leadinfo platform, dit wordt gebruikt door ITdaily voor het versturen en opbouwen van de nieuwsbrief en personalisatie diensten.
_li_ses.*	30 minutes	Deze cookie wordt gebruikt door het Leadinfo platform, dit wordt gebruikt door ITdaily voor het versturen en opbouwen van de nieuwsbrief en personalisatie diensten.
itdaily_views	1 hour	Dit is een basis cookie om bezoekersaantallen per artikel te berekenen.

Cookie	Duration	Description
__gads	1 year 24 days	De __gads-cookie, ingesteld door Google, wordt opgeslagen onder het DoubleClick-domein en houdt bij hoe vaak gebruikers een advertentie zien, meet het succes van de campagne en berekent de inkomsten. Deze cookie kan alleen worden gelezen vanaf het domein waarop hij is ingesteld en zal geen gegevens traceren tijdens het surfen op andere sites.
_li_id.*	2 years	Deze cookie wordt gebruikt door het Leadinfo platform, dit wordt gebruikt door ITdaily voor het versturen en opbouwen van de nieuwsbrief en personalisatie diensten.
_li_ses.*	30 minutes	Deze cookie wordt gebruikt door het Leadinfo platform, dit wordt gebruikt door ITdaily voor het versturen en opbouwen van de nieuwsbrief en personalisatie diensten.
IDE	1 year 24 days	Google DoubleClick IDE-cookies worden gebruikt om informatie op te slaan over de manier waarop de gebruiker de website gebruikt om hem relevante advertenties te presenteren en volgens het gebruikersprofiel.
test_cookie	15 minutes	De test_cookie wordt ingesteld door doubleclick.net en wordt gebruikt om te bepalen of de browser van de gebruiker cookies ondersteunt.
VISITOR_INFO1_LIVE	5 months 27 days	Een cookie dat door YouTube wordt geplaatst om de bandbreedte te meten en dat bepaalt of de gebruiker de nieuwe of de oude spelersinterface krijgt.
YSC	session	YSC-cookie wordt ingesteld door YouTube en wordt gebruikt om de weergaven van ingesloten video's op YouTube-pagina's bij te houden.