Vijf zwakke beveiligingsplekken

In 2020 zal naar verwachting meer dan honderd miljard dollar aan ict-beveiliging worden uitgegeven, 38 procent meer dan in 2016. Hoewel bedrijven meer in cyberbeveiliging investeren, neemt het aantal datalekken toe. Gericht investeren in de juiste technologie kan helpen. Net zoals hackers hun aanvalstactieken aanpassen en op nieuwe plekken naar kwetsbaarheden zoeken, moeten bedrijven een poging doen ondergewaardeerde zwakke plekken te beveiligen.

Zwakke plek 1: Internetapplicaties

Internetapplicaties vertegenwoordigen het grootste deel van het aanvalsoppervlak. Volgens het ‘2016 Verizon Data Breach Investigations Report’ (DBIR) was 82 procent van alle datalekken in de financiële sector het gevolg van aanvallen op internetapplicaties. Dit percentage bedroeg 57 procent in de ict-sector en vijftig procent in de entertainmentsector. Sommige grotere ondernemingen maken gebruik van letterlijk duizenden internetapplicaties, terwijl er al diverse kwetsbaarheden aanwezig zijn in backoffice-databases en klantgerichte systemen. Als organisaties hun focus niet op de applicatiebeveiliging richten, zal het aantal datalekken onvermijdelijk toenemen.

• Bescherm elke internetapplicatie met een web application firewall.
• Zorg ervoor dat internetapplicaties geen directe toegang hebben tot databases en dat de databases waar ze wel toegang toe hebben louter toegang bieden tot de informatie die ze werkelijk nodig hebben.
• Controleer uw meest bedrijfskritische applicaties voortdurend op kwetsbaarheden en geef prioriteit aan het verhelpen van beveiligingslekken die de schadelijkste datalekken kunnen opleveren.
• Schakel de hulp van het management en de ontwikkelaars in voor het ontwikkelen van een aanpak die bijdraagt aan veilige programmatuur.

Zwakke plek 2: Hybride omgevingen

De meeste bedrijven zetten minimaal een paar netwerkcomponenten over van traditionele, fysieke datacenters naar cloud-omgevingen. Veel van hen verkeren in de onterechte veronderstelling dat de cloudprovider daar vervolgens voor verantwoordelijk is. In werkelijkheid is er bij dit hybride model sprake van een gedeeltelijke verantwoordelijkheid. De cloudprovider draagt zorg voor de beveiliging van de cloud-infrastructuur, terwijl de klant verantwoordelijk is voor de beveiliging van de ict-bronnen die deze in de cloud host.

Een cloudprovider heeft geen controle op applicaties, en kan dan ook niet weten of er sprake is van een datalek in een workload. En een zero day-aanval op een internetapplicatie zal op het eerste gezicht geen tekenen van kwaadaardige activiteit vertonen. Bedrijven moeten daarom de eigen beveiliging naar deze hybride omgevingen brengen.

Als u uw internetapplicaties onderbrengt in de publieke cloud of gebruikmaakt van SaaS-oplossingen als Office 365, moet u in de cloud dezelfde mechanismen voor beveiliging en toegangscontrole gebruiken als voor uw infrastructuur op locatie.

• Doe een beroep op de flexibiliteit en veerkracht van de cloud om meer firewalls op de juiste locaties in te zetten en het netwerk- en applicatieverkeer in de cloud te beschermen.
• Maak voor data in SaaS-applicaties zoals Office 365 en Salesforce gebruik van dezelfde encryptietechnieken als op locatie.
• Bescherm uw hybride omgevingen met dezelfde maatregelen voor identiteit- en toegangsbeheer als andere onderdelen van uw infrastructuur.

Zwakke plek 3: Mobiele medewerkers

Cybercriminelen proberen even vaak misbruik te maken van ‘menselijke netwerken’ als van computernetwerken, en het is moeilijker om bescherming te bieden aan werknemers die zich buiten de fysieke omtrek van het netwerk bevinden. Alle gebruikers moeten worden beschermd tegen aanvalstechnieken als phishing, spear phishing, typo-squatting en social engineering.

In dit verband worden er drie eisen aan ciso’s en cio’s gesteld. Ten eerste moet u ervoor zorgen dat de beveiliging tussen filialen, primaire bedrijfslocaties en internet even sterk is. Ten tweede moet er toegang worden verleend aan werknemers die zich buiten kantoor bevinden, en deze verbinding moet veilig zijn. Ten derde moet u ervoor zorgen dat SaaS- en andere line of business-applicaties optimaal beschikbaar zijn en dat gegevens altijd veilig blijven, waar medewerkers zich ook bevinden.

• Geografisch verspreide netwerken vragen om een geavanceerdere firewall-infrastructuur. Elk filiaal kent weer andere aanvalskanalen, zoals het dataverkeer tussen gebruikers en diensten en verbindingen tussen gebruikers en de cloud. De inzet van een firewall op elke locatie kan deze aanvalskanalen beveiligen en bijdragen aan verbeterde productiviteit van eindgebruikers.
• De installatie van firewalls op alle locaties biedt ook de mogelijkheid van netwerkbrede microsegmentatie in plaats van alleen op het hoofdkantoor.
• Effectieve menselijke beveiliging vraagt om het toepassen van beveiligingsregels, het bewaken van de activiteiten van gebruikers en het voorlichting geven aan werknemers over security, ongeacht waar die werknemers zich bevinden.

Zwakke plek 4: Advanced Persistent Threats

Advanced persistent threats (APT’s) worden van binnenuit of buitenaf in een e-mailsysteem achtergelaten en verschuilen zich totdat het juiste moment is aangebroken. Zo zijn er APT’s die op een bepaalde datum worden geactiveerd of stilletjes informatie verzamelen. Als u niets aan APT’s doet, kunnen ze uitgroeien tot een reëel probleem, ongeacht uw inspanningen om uw infrastructuur veilig te houden voor nieuwe dreigingen.

• Scan regelmatig op de aanwezigheid van APT’s binnen uw infrastructuur.
• Voorkom dat uw ‘interne’ netwerk uitgroeit tot een biotoop voor hackers. Microsegmentatie draagt vaak bij aan de detectie van verdacht gedrag. Ga er altijd vanuit dat een of meer van uw gebruikersaccounts en apparaten reeds zijn geïnfiltreerd.
• Scan op locatie gebaseerde of gehoste internetapplicaties regelmatig op kwetsbaarheden en installeer de benodigde patches.
• Investeer niet alleen in de juiste technologieën, maar ook in de juiste mensen; uw beveiligingsmedewerkers moeten in staat zijn om APT-activiteit binnen uw systemen te detecteren.

Zwakke plek 5: Toevoerketen

Het grote aantal leveranciers binnen de toevoerketen van een organisatie vertegenwoordigt een van de grootste beveiligingsrisico’s. De meeste bedrijven beschikken over controlemechanismen voor de beveiliging van de toevoerketen, maar zien vaak de kleine en middelgrote leveranciers over het hoofd. Beveiligingsteams zijn vaak van mening dat de tijd en inspanning die het kost om de beveiliging van elke kleine en middelgrote partner te controleren niet opweegt tegen de risico’s die zij vertegenwoordigen. Hackers zijn echter actief op zoek naar de zwakste schakel in de toevoerketen.

• Neem een op risico’s gebaseerd plan voor het beheer van de informatiebeveiliging op in uw leveranciersbeheerprogramma.
• Beperk de toegang van externe partijen tot de gegevens en kernsystemen die zij werkelijk nodig hebben.
• Verleg de focus van papieren beleidsregels en audits naar het financieren van de beveiliging van leveranciers, zodat u de koppelingen met uw systemen bij de bron kunt controleren.
• Zorg ervoor dat beleidsregels voor databescherming worden toegepast op alle externe partijen die toegang hebben tot bedrijfskritische activa.

Een kanttekening bij veelgebruikte aanvalskanalen

Twee op de vijf zwakke plekken die vaak over het hoofd worden gezien, komen terug in de lijst van vijf populairste aanvalskanalen van cybercriminelen: e-mail, de netwerkrand, endpoints, internetapplicaties en externe gebruikers. Elk aanvalskanaal vraagt om speciale bescherming. Het is daarom belangrijk om over de juiste tools, mensen en processen te beschikken om alle dreigingen te ondervangen. Het kan verleidelijk zijn om plug-and-play-technologie tegen het probleem aan te gooien, maar de complexiteit van het gebruik en beheer van ongelijksoortige beveiligingsoplossingen kan uiteindelijk leiden tot beveiligingslekken. Als bedrijven gebruikmaken van gebruiksvriendelijke oplossingen, consistente user interfaces en een gecentraliseerd beheer en bewaking hoeft minder tijd aan beheer worden besteed. Hier ontstaat een uitgebreide beveiligingsinfrastructuur en is er meer tijd om op zoek te gaan naar zwakke plekken die mogelijk in het volle zicht zijn verborgen.