NIS2: Bent u in het toepassingsgebied?
De nieuwe Belgische cybersecurity-wet treedt in kracht. Bekijk het nu.
“Defacing” betekent het wijzigen en/of vervangen van de oorspronkelijke inhoud van een website. Hackers hanteren deze methode om berichten te verspreiden of activiteiten te verstoren door gebruik te maken van de constante beschikbaarheid van websites, waardoor ze veel mensen kunnen bereiken.
“Defacing” is een specifieke cyberaanval, in die zin dat cybercriminelen over het algemeen niet proberen om informatie te stelen. Ze hebben als doel zo veel mogelijk wanorde te scheppen. Zo delen de hackers hun meningen of opvattingen op de gehackte website of tonen ze gewoon een witte of zwarte pagina en foto's of video's naar hun keuze. In beide gevallen kan de website zijn oorspronkelijke functie niet meer vervullen, of het nu gaat om informatieverstrekking of dienstverlening.
In het algemeen doen “hacktivisten” aan defacing. Ze proberen hun politieke opvattingen te verspreiden of een sociale verandering teweeg te brengen via hacking of andere computeraanvallen. De doelwitten zijn dus vaak de websites van overheids- of religieuze instanties. Gewone hackers, die niet per se specifieke ideologieën willen verspreiden, kunnen echter ook aan defacing doen, waarbij iedereen een doelwit kan zijn.
Een website is het uithangbord van een organisatie. Zulke berichten of storingen geven aan dat aanvallers de server van een organisatie konden binnendringen en mogelijk toegang hebben tot vertrouwelijke en persoonlijke informatie. Dit kan de reputatie van de organisatie ernstig schaden en het vertrouwen van klanten en leveranciers beschadigen.
De aanvaller zoekt een of meer beveiligingslekken waardoor ze toegang krijgen tot de omgeving van een organisatie. Eens hij in de omgeving is, heeft hij als doel toegangsrechten te verkrijgen om toegang te krijgen tot een beheerdersaccount, te kunnen bewerken wat hij wil en te kunnen controleren wat bezoekers van de website kunnen zien. Zodra ze toegang hebben tot een beheerdersaccount, kunnen hackers bovendien toegang krijgen tot andere bronnen in de organisatie en andere soorten aanvallen of storingen in gang zetten.
Aangezien het hoofddoel van cybercriminelen is om zoveel mogelijk wanorde te scheppen, zullen de wijzigingen op de beoogde website duidelijk zichtbaar zijn. Dat is het belangrijkste teken van een aanval via defacing. Er kunnen echter detectiemiddelen worden ingezet om na te gaan of er sprake is of is geweest van een indringing. Het bewaken van alle kritieke systemen die de werking van een organisatie garanderen, is essentieel voor het waarborgen van een goed beschermingsniveau tegen een aanval via defacing. Als er een aanval plaatsvindt, kunnen de IT-verantwoordelijke en zijn team ingelicht worden door vooraf geplande waarschuwingen. Daarnaast bestaan er verschillende websitemanagementtools die kunnen helpen bij het opsporen van wijzigingen in de inhoud en andere wijzigingen op een website (een hacker probeert de site te koppelen aan nieuwe domeinen etc.).
Wanneer een organisatie overweegt om websitemanagementtools in te zetten, moet ze de kosten afwegen tegen de voordelen. Meestal kunnen deze tools drie aspecten monitoren: de beschikbaarheid, de snelheid en de inhoud. Bij defacing zal de nadruk liggen op de inhoud. Er bestaat echter geen universele oplossing. De totale kosten zijn afhankelijk van de mate waarin en de regelmaat waarmee een organisatie de inhoud van haar website wil monitoren. Ze zullen dus voor elke organisatie verschillend zijn, afhankelijk van de behoeften en vereisten van de organisatie: als de website een sleutelrol speelt bij de dagelijkse activiteiten of dienstverlening aan klanten, kan er best worden geïnvesteerd in monitoringtools voor de website.
Websitemonitoringtools zijn een belangrijke troef, maar de gekozen oplossing moet op het vlak van veiligheid en prestaties altijd worden gevalideerd door de IT-verantwoordelijke van de organisatie.
Je medewerkers kunnen niet correct reageren op verdachte gebeurtenissen als ze zich niet bewust zijn van de gevaren die gepaard gaan met het gebruik van informatie- en communicatietechnologieën. Elke organisatie moet alle huidige cyberrisico's analyseren, beslissen hoe ze kunnen worden beperkt en een reeks beleidslijnen uitstippelen om de juiste gedragscode te communiceren. Al deze maatregelen zijn echter nutteloos als ze niet correct aan de medewerkers worden meegedeeld en zij deze maatregelen bijgevolg niet begrijpen. Daarom is het belangrijk ervoor te zorgen dat iedereen weet hoe defacing moet worden geïdentificeerd en welke interne processen nodig zijn om een incident te melden en op te lossen.
De medewerkers van een bedrijf vormen de eerste verdedigingslinie. Ze kunnen echter niet de juiste reflexen op cyberaanvallen aannemen als ze die niet kennen.
Cybercriminelen kunnen verschillende technieken gebruiken om te proberen de contactgegevens van de medewerkers te stelen en zo toegang te krijgen tot de bronnen van een organisatie. Het is dus belangrijk om regelmatig informatiesessies te organiseren om de medewerkers te leren niet te veel informatie te delen op sociale media en niet op een link te klikken of een bestand te openen zonder eerst de herkomst te analyseren.
Een Web Application Firewall bewaakt het inkomende en uitgaande netwerkverkeer om communicatie toe te staan of te weigeren op basis van gedefinieerde beveiligingsregels. Hij fungeert als een controller tussen de server en de klant en analyseert gebruikersverzoeken om netwerktoegang door het verkeer te ontsleutelen. Als hij dus een activiteit detecteert die verdacht is volgens de configuratieregels, kan hij waarschuwingen genereren en deze doorsturen naar de IT-verantwoordelijke en zijn team, zodat die kunnen beslissen welke actie moet worden ondernomen.
De Web Application Firewall (WAF) beschermt tegen aanvallen vanaf het internet. Een WAF is geen vervanging voor een perimeterfirewall, die ongeoorloofde toegangen blokkeert en aanvallen vanaf andere toegangspunten detecteert.
Cybercriminelen zijn altijd op zoek naar kwetsbaarheden om misbruik van te maken. Het is daarom belangrijk dat alle systemen up-to-date blijven om ervoor te zorgen dat de nieuwste en veiligste versie wordt gebruikt.
Net als bij alle informatie- en technologiesystemen is het van cruciaal belang om de onderdelen van de website te updaten om ervoor te zorgen dat bekende kwetsbaarheden worden gecorrigeerd en dat hackers geen kans hebben om er misbruik van te maken.
Typische onderdelen van een internetserver zijn onder andere:
Er zijn maar weinig organisaties die hun website volledig zelf maken. In de meeste gevallen doen ze een beroep op derden die veel plugins en thema's aanbieden. Zorg ervoor dat je ook die up-to-date houdt Ontwikkelaars van derden zoeken voortdurend naar nieuwe kwetsbaarheden. Het is daarom van cruciaal belang dat de updates worden uitgevoerd om de minst kwetsbare versie van de gebruikte onderdelen te verkrijgen.
Zoals hierboven is uiteengezet, is het up-to-date houden van een contentbeheersysteem en de bijbehorende plug-ins een belangrijke stap voor de beveiliging ervan. Cybercriminelen zijn altijd op zoek naar nieuwe kwetsbaarheden, en er worden beveiligingspatches ontwikkeld om deze kwetsbaarheden aan te pakken. Het is dus belangrijk om de updates te installeren zodra deze beschikbaar zijn.
Een andere manier om het CMS te beschermen is door nooit de standaardconfiguratie van accounts en wachtwoorden te gebruiken, maar door je eigen beheerdersaccount aan te maken met een voldoende sterk wachtwoord en met gebruik van multifactorauthenticatie (MFA). Bij multifactorauthenticatie moet een gebruiker minstens twee verschillende methodes hanteren (bv. een wachtwoord en pincode, een pincode en een code via sms) om zijn identiteit te controleren en toegang te krijgen.
Tot slot moet het toegangsbeheerproces een regelmatige evaluatie van de gebruikerslijst omvatten. Dit geldt niet alleen voor gebruikers die toegang hebben tot het contentbeheersysteem, maar ook voor alle andere gebruikers van de organisatie in het algemeen. Met deze controle kan de organisatie zich ervan verzekeren dat er geen testgebruikers meer actief zijn en dat er geen gebruikers zijn toegevoegd die er niet horen te zijn.
Het https-protocol wordt op internet gebruikt om de communicatie en de gegevensoverdracht op een computernetwerk te beveiligen. Dit is de beveiligde versie van het http-protocol. Net als http wordt https gebruikt om gegevens te verzenden tussen een browser en een webserver. Het verschil is dat https de gegevens versleutelt om de beveiliging van de gegevensoverdracht te verbeteren. Door alle communicatie tussen een browser en een webserver te versleutelen, zorgt het https-protocol ervoor dat niemand van buitenaf de communicatie kan afluisteren. Zelfs als een hacker de gegevens kan onderscheppen, kan hij ze niet begrijpen of gebruiken omdat ze versleuteld zijn.
Gegevens zijn een van de meest waardevolle bezittingen van een organisatie. Ze moeten dan ook correct worden beschermd. Het is belangrijk dat gegevens in rusttoestand (d.w.z. wanneer ze in de database zijn opgeslagen en niet worden gebruikt) worden versleuteld en dat de toegang tot die database strikt wordt gecontroleerd.
Bovendien moet een back-up van deze databases worden gemaakt om ervoor te zorgen dat zelfs bij een incident alle belangrijke gegevens kunnen worden hersteld. Test deze back-ups regelmatig om er zeker van te zijn dat ze altijd kunnen worden gebruikt wanneer dat nodig is, na een incident. Update niet alleen de databases maar ook de website en de configuratie ervan. Test deze back-ups ook zodat je zeker bent dat ze kunnen worden hersteld indien nodig.
Door te bladeren door de directory's krijgen websitebezoekers toegang tot de inhoud van de directory, dat wil zeggen tot alle bestanden en mappen.
Bladeren door de directory's moet worden uitgeschakeld, zodat hackers de gegevens van een organisatie niet zomaar met behulp van zoekmachines kunnen vinden. Bovendien mogen de bestanden niet worden opgeslagen op standaard- of openbaar toegankelijke locaties.
Cybercriminelen gebruiken vaak een bestaand account om toegang te krijgen tot de bronnen van een organisatie. De toegangscontrole moet correct worden beheerd en goed zijn verankerd in de organisatie. Pas de “least privilege”- en “need-to-know”-basisprincipes toe: gebruikers mogen alleen over de toegangen beschikken die ze nodig hebben voor hun werk. Ze moeten altijd over de minimale toegang beschikken en niet over extra toegangen "voor het geval dat”.
Bovendien moet er een proces voor de provisioning van de gebruikerstoegangen worden geïmplementeerd. In dit proces wordt de procedure beschreven voor het verwijderen of wijzigen van toegang voor werknemers die van functie veranderen of de organisatie verlaten. Geen enkele organisatie is veilig voor een aanval van insiders, ook al zijn de voormalige medewerkers altijd loyaal geweest. Ze kunnen anders tegenover de organisatie gaan staan als ze niet vrijwillig zijn vertrokken.
Het testen van een website op zoek naar de meest voorkomende kwetsbaarheden is een uitstekende manier om te bepalen of de website veilig online kan worden gezet. Door bestaande kwetsbaarheden te identificeren, is er meer tijd om ze te corrigeren, zonder schade, voordat een cybercrimineel ze gebruikt en daadwerkelijk grote schade aanricht. Beveiligingsexperts kunnen je helpen met het uitvoeren van penetratietests en audits, bijvoorbeeld om de veiligheid van een website te beoordelen.
We zijn geneigd zwakke wachtwoorden te gebruiken, omdat we ze gemakkelijker kunnen onthouden. Maar een wachtwoord dat je gemakkelijk kan onthouden, is ook gemakkelijk te hacken. Daarom is het belangrijk dat je alleen sterke wachtwoorden toestaat, die bestaan uit een combinatie van hoofdletters, kleine letters, cijfers en symbolen. Bovendien is de instelling van multifactorauthenticatie , zoals eerder vermeld in aanbeveling 6, een extra accountbeveiligingslaag.
Je kan verschillende stappen volgen wanneer je geconfronteerd wordt met een aanval via defacing:
• Meld het incident aan de IT-verantwoordelijke van de organisatie
Je moet de IT-verantwoordelijke van de organisatie onmiddellijk op de hoogte brengen van eventuele wijzigingen op de website, zodat hij de onderstaande stappen kan uitvoeren.
• Koppel de gecompromitteerde toestellen af van het internet en van het organisatienetwerk
Om te voorkomen dat de aanval en de schade erdoor uitbreidt naar het hele netwerk van de organisatie, moeten alle geïnfecteerde toestellen worden losgekoppeld van het internet. Dit kan door de ethernetkabel los te koppelen of door de wifi rechtstreeks op de toestellen uit te schakelen.
• Verzamel al het benodigde bewijsmateriaal
De defacing van een website is een cybermisdaad die aan de politie moet worden gemeld. Er kunnen verschillende elementen worden samengevoegd om het dossier te vervolledigen met het oog op het indienen van een klacht: screenshots van de aangevallen website, screenshots van alle ongebruikelijke inhoud die op toestellen wordt weergegeven en opgeslagen firewall- en servergeschiedenis.
• Meld het incident aan de politie en dien een klacht in
Een aanval via defacing van een website is strafbaar en moet aan de autoriteiten worden gemeld, zodat zij een onderzoek kunnen instellen naar de verantwoordelijken en zo nog meer aanvallen kunnen voorkomen.
• Maak een kopie van alle gecompromitteerde toestellen
Indien mogelijk moeten alle geïnfecteerde toestellen op een fysieke drager worden gekopieerd om het onderzoek te vergemakkelijken.
• Inventariseer alle gevoelige informatie die werd geraadpleegd of gestolen
Dit helpt om de omvang van de aanval in te schatten en te voorspellen wat de hacker in de toekomst zou kunnen gebruiken om nieuwe aanvallen uit te voeren.
• Identificeer alle kwetsbaarheden die zijn gebruikt om toegang te verkrijgen en deze te verhelpen.
Door precies te bepalen hoe de aanvaller toegang kreeg tot een bron, kunnen de nodige corrigerende maatregelen genomen worden om ervoor te zorgen dat deze kwetsbaarheid niet meer kan gebruikt worden voor andere aanvallen. Bijvoorbeeld: installeer een beveiligingspatch of wijzig een gecompromitteerd wachtwoord.
• Informeer de websiteprovider
De meeste organisaties ontwikkelen hun websites niet intern. Wanneer de organisatie een beroep heeft gedaan op een externe leverancier, moet deze worden gecontacteerd en op de hoogte worden gebracht van het incident, zodat hij ook de nodige maatregelen kan nemen om het incident te verhelpen.
• Neem indien nodig contact op met officiële externe beveiligingsdeskundigen
Niet alle organisaties beschikken over voldoende middelen om cyberincidenten doeltreffend te verhelpen. Er kunnen meerdere beveiligingsexperts worden ingeschakeld om je te helpen het probleem op te lossen. Deze specialisten mogen uitsluitend voor officiële organisaties werken, zoals bekende adviesbureaus, om te voorkomen dat er een oplichter in dienst wordt genomen.
Het doel van deze inhoud is om goede cyberbeveiligingspraktijken te delen en onder de aandacht te brengen.
Sommige van deze adviezen kunnen anders van toepassing zijn, afhankelijk van de context van uw organisatie.
Houd u altijd aan het beleid en de instructies die binnen uw organisatie van kracht zijn.
Vraag bij twijfel altijd eerst advies aan uw IT-manager.