Afgelopen week publiceerde samen met leden van de community onderstaande tips om de cyberweerbaarheid te verhogen.
Deel 1: wachtwoorden
Wachtwoorden zijn zo oud als de straat, maar jammer genoeg loopt het toch hier nog vaak fout. Niet in het minst omdat wachtwoorden heel veel beveilingssystemen kunnen omzeilen, door mensen met verschillende rollen en verantwoordelijkheden in staat stellen acties uit te voeren op de systemen. Het verliezen (post it, datalek, raadbaar, te eenvoudig, ...) van zo'n wachtwoord ondermijnd dan ook de hele opzet en kan - zoals we onlangs, maar ook in het verleden al gezien hebben - catastrofale gevolgen hebben.
In volgorde van prioriteit daarom deze concrete acties, gelinkt aan kennisartikelen of links die eerder al op deze site verschenen:
Deel 2: Ken uw netwerk.
Kennis over het eigen netwerk en vooral de actoren die zich er dagdagelijks op bevinden is cruciaal. Het is daarom belangrijk dit voldoende in kaart te brengen, maar vooral ook de situatie te onderhouden en up to date brengen op regelmatige tijdstippen. Onderstaande tips kunnen hier bij helpen:
- Breng in kaart welke inkomende en uitgaande verbindingen je hebt
- Zorg voor netwerksegmentatie
- Administratief netwerk versus server netwerk versus …
- Controleer de accounts die gekend zijn op het netwerk:
- Wie is de eigenaar van de account
- Is dit een persoon of een service account
- Vermijd generieke accounts die door meerdere eindgebruikers worden gedeeld
- Disable of verwijder ongebruikte accounts
- De toegangen van deze account
- Welke machtigingen kreeg de account op het netwerk
- Mag verkeer dat werd gegenereerd door de deze user zomaar naar buiten (firewall?)
- Welke machtigingen kreeg de account op de fileshares
- Tot welke applicaties heeft deze account toegang en wat is de rol
- Laat je hier bijstaan door mensen die bezig zijn met informatieveiligheid (toegangsmatrix, verwerkingsregister, …)
- Welke machtigingen heeft de account op het eigen toestel
- Vermijd admin of installatierechten op het eigen toestel
- Sluit geen compromissen met gebruikers die niet mee willen.
- Meestal zijn die gebruikers leidinggevenden of mandatarissen.
- Controleer de toestellen die gekend zijn op het netwerk:
- Maak op windows netwerken gebruik van LAPS (Local Administrator Password Solution) en vermijd vaste, lokale administrators
- Verwijder op Active Directory alle objecten die niet meer bestaan
- Zorg dat alle toestellen die uit dienst zijn correct worden vernietigd of minstens losgekoppeld van het netwerk
- Vermijd publiek toegankelijke fysieke aansluitingen op het netwerk.
- Controleer kopieerlokalen, balies, ...
- Controleer de instellingen van de firewall
- Spijker dicht wat te open staat
- Zorg dat je voor elke rule op de firewall weet waarom die er is gekomen (documenteer!)
- Indien niet zeker => verwijder en wacht op de ‘klagende’ gebruiker om op orde te zetten en te documenteren.
- Bekijk niet alleen verkeer dat van buiten naar binnen komt, maar minstens evenzeer wat van binnen naar buiten gaat. Blokkeer protocollen en poorten die niet nodig zijn.
- Zet een slot op permanent openstaande connecties, bijvoorbeeld naar leveranciers
- Maak afspraken met de leveranciers over het tijdslot waarin ze updates en onderhoud doorvoeren. De rest van de tijd hou je de connectie stil.
- Voor alle onbekende gebruikers of toestellen die connectie proberen te maken met het netwerk
- -> zero trust, zet alles per definitie dicht. Geen uitgaand verkeer, geen toegangen.
- Na de basishandelingen van hierboven: denk na over de implementatie van geautomatiseerde detectie en monitoring systemen om verdacht verkeer dat afwijkt van bovenstaande strenge regels, te spotten en automatisch te reageren.
- Zoek een leverancier die je vertrouwt en die je kan bijstaan in het onderhoud van je netwerk
- Geef hen de opdracht je op de hoogte te brengen over nieuwe ontwikkelingen
- Laat hen eventueel de logs en meldingen doornemen en acties inplannen om eventuele sluimerende problemen weg te werken.
Deel 3: Patchmanagement.
De versheidsdatum van de software die je op je omgeving draait is zeer belangrijk. Software is immers mensenwerk en dus zeer foutengevoelig. Daarom is het essentiëel om de updates van alle software die je gebruikt op te volgen en op geregelde tijdstippen up-te-daten.
Belangrijk : dit geldt niet enkel voor je windows endpoints en/of servers maar voor elk toestel binnen je omgeving dat software draait. Hoe goed linux ook is, je moet deze machines ook up-to-date houden net als de printers, switches, IOT-toestellen en camera’s. Ook deze toestellen kunnen en zullen misbruikt worden door aanvallers.
- Controleer ook de veiligheid van de update indien dit mogelijk is.
- Meestal is er een hash of een andere cryptografische controle beschikbaar die ervoor zorgt dat je kan checken of de patch wel van de leverancier komt en veilig is.
- Zorg voor een goeie inventaris van alle systemen in productie
- Minimum alle besturingssystemen en applicaties die in gebruik zijn
- Denk ook aan netwerkcomponenten en componenten die bepaalde firmware versie draaien
- Gebruik deze inventaris als baseline wanneer je start met patchmanagement. Je kan deze dan gebruiken om de huidige staat van patching te analyseren en er conclusies uit te trekken.
- Er bestaat software om deze informatie automatisch te verzamelen, maar je kan (afhankelijk van de grootte van je organisatie) ook manueel verzamelen.
- Standaardiseer je systemen zoveel mogelijk
- Bekijk welke versies van besturingssystemen, applicaties of firmware je draait en tracht te upgraden naar dezelfde versie.
- Wanneer je besturingssystemen upgrade, hou dan rekening met de software die er op moet draaien. Overleg indien nodig met je leverancier, maar sluit geen compromissen als het aankomt op veiligheid.
- Hou ook rekening met aangesloten of gebruikte hardware.
- Bv: Windows 11 verwacht een “Trusted Platform Module 2.0 chip”, niet elk systeem beschikt hierover.
- Categoriseer elk object volgens risico en prioriteit
- In een eerste fase kan het aantal patches en upgrades van de systemen in productie zeer omvangrijk zijn. Al deze installaties tegelijk plannen is zeer risicovol.
- Analyseer daarom de risico’s van elk object. Niet elke toepassing, of hardware is even kwetsbaar voor aanvallen. Gebruik deze informatie om prioriteiten te bepalen, maar pak dan ook de lagere prioriteiten aan.
- Laat kritische updates als eerste aan de beurt komen.
- Creëer een testomgeving
- The proof of the pudding is in the eating. Laat updates en patches niet direct los op je productieomgeving, maar voorzie een testomgeving.
- Betrek eindgebruikers om bepaalde belangrijke applicaties door te testen na een update/upgrade vooraleer de testfase af te ronden.
- Beveiligingsupdates – hoe precair ook – worden meestal zo snel mogelijk verspreid en kunnen op hun beurt ook bugs bevatten.
- Volg eventuele na-patching voor cruciale componenten mee verder op.
- Identificeer te patchen endpoints
- Gebruik hiervoor een goede patch management applicatie om dit in kaart te brengen en filterbaar te maken
- Plan de uitrol van patches naar de productieomgeving
- Netwerkcomponenten of andere cruciale onderdelen waarover intern weinig kennis aanwezig is laat je beter patchen door professionele leveranciers.
- Indien je dit zelf doet: zorg dat je een hulplijn hebt, let op met dit ’s nachts of in het weekend te plannen
- Hou er rekening mee dat patches op het toestel van de gebruiker het systeem kunnen vertragen
- Zorg er voor dat het binnenhalen van patches de performantie van het netwerk niet aantast. Zorg desnoods voor een lokale mirror of WSUS applicatie.
- Zorg zoveel mogelijk voor een terugweg als de patch foutgaat.
- Voor een belangrijke (virtuele) server kan je bijvoorbeeld een snapshot nemen. Vergeet deze snapshots na het degelijk doortesten ook niet te wissen.
- Leg aan gebruikers uit waarom patching noodzakelijk is.
- Zij zullen geconfronteerd worden met de occasionele bug. Wanneer ze begrijpen waarom patching noodzakelijk is tonen ze (hopelijk) meer begrip
- Voorzie een ultimatum: patches moeten geinstalleerd zijn tegen uu:mm, anders volgt de verplichte installatie. ( sluit hen desnoods van het netwerk en bijhorende diensten af)
- Documenteer de situatie voor en na patching.
- Op die manier kan je achteraf sneller te weten komen of een probleem te maken heeft met een upgrade of patch.
Deel 4: Backups en restore
Backups zijn je meest doeltreffende wapen tijdens een cyberaanval. Wanneer je na het lezen van onderstaande tips weet of twijfelt dat je backups niet volgens deze richtlijnen zijn ingesteld, dan moet het in orde brengen van je backup de eerste prioriteit zijn.
- Hanteer het 3-2-2
- Neem 3 kopieën van je cruciale data en gegevens
- Bewaar ze op minstens 2 verschillende opslagmedia (harde schijf, tape, cloud, …)
- Zorg voor 2 offsite backups (andere locatie, cloud, …)
- Test de backups regelmatig
- Wet van Schrödinger voor backups: een backup is maar zo goed als zijn laatste succesvolle restore
- Stel duidelijke notificaties in wanneer een backup faalt
- Check de notificaties, maar check de backups ook los van de meldingen
- Vergeet je cloud applicaties (SaaS, …) niet te backuppen
- Voor M365 bestaan reeds voldoende tools
- Bespreek dit met aanbieders van custom software hoe je controle kan nemen over je eigen backups.
- Zorg voor contractuele garanties en leveranciers die deze tips toepassen.
- Online backups zijn niet heiligmakend
- Hackers kunnen deze overnemen, wissen en vernietigen
- Zelfs bepaalde immutable systemen
- Beste oplossing:
- Offline backups -> tape (om snelheid te nemen kunnen ook externe disks gebruikt worden)
- Offsite backups -> slim over nadenken of ze werkelijk niet te wissen zijn
- Zorg dat alles is meegenomen in je backup
- Configs van alle elementen van je infrastructuur
- Alle software die je gebruikt
- Alle data
- VOORAL ook de backupsoftware zelf
- Bekijk de mogelijkheden van IaS (infrastructure as code)
- IaS kan je in staat stellen om je hele infrastructuur van scratch, door middel van scripts, opnieuw op te bouwen
- Vooral interessant voor sterk gevirtualiseerde omgevingen.
- Pas op met de versleuteling van backups
- Zorg dat je de sleutels nog hebt (key escrow)
- Neem backup mee op in je Business continuity plan en disaster recovery plan (zorg dat je er 1 hebt).
- Zorg voor een backup plan waarin je nadenkt over:
- Het tijdstip van de backup
- De hoeveelheid data die over het netwerk (of offsite) wordt getrokken en de performantie van dat netwerk, of de verbinding
- De RPO (Recovery Point Objective) – Hoeveel tijd mag er tussen mijn laatste backup en het huidig tijdstip zitten.
- Bespreek dus als onderdeel van je BCP/DRP met het management
- Zorg dat je backupserver niet binnen hetzelfde domein zit en niet bereikbaar is door niet geautoriseerde medewerkers of accounts
- Zorg voor bewustzijn bij je gebruikers
- Is het nodig om die documenten op die plaats op te slaan
- Rekening houdend met bewaartermijnen moeten ze ook nadenken over het verwijderen van data die niet meer nodig is.
- Vergeet nieuwe software of databronnen niet op te nemen in je backups.
- Voer hier regelmatig controles op uit
- Gebruik eventueel het verwerkingsregister en de inventaris van software/hardware als hulpmiddel
- Zoek een goeie, betrouwbare, stabiele tool die je helpt met het automatiseren van backups
- Let op met exotische pakketten die hun dienst nog niet hebben bewezen.
Neem vandaag nog actie om deze tips in je organisatie door te voeren. Heb je vragen? Hetzij technisch (welke tools gebruik ik, zijn er leveranciers die mij kunnen helpen?), hetzij organisatorisch (hoe overtuig ik mijn management om werk te maken van BCM en DRP), geef ons een sein! V-ICT-OR en zijn partners staan paraat om je verder te helpen.