Vorige week was ik op InfoSec in Londen, waar vooral leveranciers komen spreken, maar het is ook fijn om te praten met deelnemers in de gangen en ontmoetingsruimtes. Bijna allemaal hadden ze persoonlijke ervaring met spear-phishing of een ransomware-aanval.
Op de conferentie beloven producenten producten om dat tegen te gaan, maar eigenlijk komt het neer op vijf lagen die je - zij het met een product, tool of andere manier - moet beveiligen om je netwerk te beschermen tegen een aanval.
1. E-mailgateway
Het is duidelijk dat de meerderheid van de datadiefstallen tegenwoordig begint met een e-mail. Die kan een link hebben naar een site waar identiteiten worden gestolen, instructies bevatten voor het overmaken van geld of een malafide bijlage. Spear-phishing, whaling, ransomware, spam, malware - allemaal serieuze dreigingen of lastposten waar je organisatie aan wordt blootgesteld.
Er moet daarom een gateway zijn voor e-mail die in de gaten houdt wat er binnenkomt en het snoodaards lastig maakt. Dat kan geïnstalleerde software op de server en/of endpoints zijn, een cloudgebaseerde tool of een appliance. Je kunt het best een gelaagde aanpak gebruiken waarbij je de bestaande tools uitbreidt, zoals met Exchange of Exchange Online.
2. DNS-beveiliging
Het gebruik van een DNS-beveiligingstool als OpenDNS is een vaak genegeerde optie om te beschermen tegen aanvallers. Elke link die een gebruikers aanklikt loopt via een DNS-server die het adres resolvet en een tool die leert van al die DNS-verwijzingen kan een waardevol schild opleveren.
3. Endpoint-bescherming
Vanuit een technisch oogpunt is de endpoint (de client) je laatste moment van bescherming tegen een aanval. Enpoint-tools lopen van antimalwaresoftware tot VPN's en multifactor-authenticatie. Je hebt meerdere endpoint-tools nodig om de bescherming volledig te maken.
4. Gedragsanalytics
Analytics-tools kijken naar gebruikerstrends waaraan je kunt aflezen of bepaald gedrag afwijkend is en mogelijk malafide, zoals een gebruikers die normaal tien documenten per dag download en er opeens 1000 binnenhaalt. Een Big Brother-tool in de organisatie is nodig omdat aanvallen tegenwoordig van binnenuit wordt uitgevoerd en daarom door het systeem wordt vertrouwd.
5. Phishingtests en traning
Gebruikers moeten bewuster worden en je verbetert de zwakste schakel met onderwijs. Daar zijn dan ook tools voor, bijvoorbeeld om gebruikers regelmatig te testen om te zien hoe ze reageren op een echte aanval en daaraan gekoppeld traning te leveren. Alleen zo krijg je mensen gezond paranoïde genoeg om na te denken of een link er wel goed uitziet voor ze erop klikken.
Uiteindelijk kan een gerichte aanval mogelijk door deze lagen heen prikken, maar je minimaliseert het risico al flink met een beveiligingsstrategie die deze componenten omvat.
En weer wordt de belangrijkste laag vergeten. De homo eraticus.
Mijn collega Stan betrad het leslokaal voor een les IT-beveiliging als monteur in overall, petje, nepsnor en bril om even wat aan de computer te fixen. Als attribuut had hij een Pingelsverpakking bij zich waarvan de aluminium binnenkant prima als antenne is te gebruiken. Bij dat soort dingen begint de malaise.
Bewustwording en geseling dat is de basis van de oplossing
Ontsla maar eens iemand, desnoods gefingeerd vlak voordat hij toch al op vakantie zou gaan. En doe dat nadat het E-mail verkeer van zijn afdeling er voor 10 minuten uit lag dankzij de welwillende medewerking van enkele systemadmins die beslist in zijn voor een serieus "geintje".
Reageer
Preview