Om een veilig netwerk te bouwen, moeten we verschillende componenten gebruiken, elk met een specifieke rol op het vlak van beveiliging. Om dit document duidelijk te structureren verdelen we deze componenten in twee categorieën: Inhoud filteren (content filtering) en verkeer monitoren (traffic monitoring).

Het eerste onderdeel, inhoud filteren, groepeert elementen die actief ingrijpen op het netwerk en verkeer kunnen manipuleren (goedkeuren, weigeren, wijzigen, enz.). Dit omvat:

• Firewalls die netwerkstromen filteren en de communicatie tussen hosts met verschillende beveiligingsgevoeligheden streng controleren.
• Forward Proxy, deze controleren uitgaande communicatie naar het onveilige internet.
• Network Access Control (NAC), deze vorm van toegangsbeheer beperkt fysieke, kwaadwillige of toevallige indringing in het netwerk.
• Virtual Local Area Network (VLAN), hosts en diensten worden gesegmenteerd in combinatie met firewalls.
• Virtual Private Networks (VPN), meerdere interne netwerken worden vanop afstand veilig met elkaar verbonden ook al gebruiken ze het onveilige internet, indien nodig.

De tweede categorie, verkeer monitoren, bestaat uit elementen die alleen het netwerk in de gaten houden en dus het dataverkeer niet sturen. Dit gebeurt voornamelijk via Intrusie Detectie Systemen (IDS)

• Intrusion Detection System (IDS) houdt verkeer in de gaten en detecteert ongewenst gedrag.
• Endpoint Detection and Response (EDR), beveiligingsoplossing voor eindpunten die continu apparaten van eindgebruikers controleert om cyberbedreigingen zoals ransomware en malware te detecteren en erop te reageren.

Voor al deze elementen gelden een aantal best practices die toegepast moeten worden om de doelstellingen te halen en die moeten op de juiste manier genest worden.

Firewalls

De juiste firewall kiezen

Over het algemeen zijn er 3 soorten firewalls: stateless, stateful en next-generation.

De stateless en stateful firewalls inspecteren beide de packet headers voordat ze een beslissing nemen. Ze kijken dus enkel naar het IP-adres en de poort, bron en bestemming. Stateful firewalls slaan daarnaast informatie op over actieve verbindingen. Bij een open verbinding houdt de firewall een intern statusrecord bij dat bijgewerkt wordt wanneer nieuwe pakketten worden geïnspecteerd. Dat biedt de mogelijkheid om afwijkingen te detecteren. Bijvoorbeeld een DNS-respons zonder bijhorend verzoek.

We raden dus altijd aan een stateful firewall te gebruiken in plaats van een stateless.

Een Next-Generation Firewall (NGFW) daarentegen kan de payload van meeste pakketten inspecteren. De verwerkingscapaciteit en dus de prijs hiervan zijn natuurlijk hoger. Maar dit is momenteel de beste firewalltechnologie op de markt.

System

Als vuistregel geldt dat we de blootstelling van onze systemen aan risico's zoveel mogelijk willen verkleinen en dat alles wat toegankelijk blijft streng gecontroleerd moet worden.

We kijken dus vooral naar de configuratie en het onderhoud van de firewall zelf. We adviseren dan ook het gebruik van accounts op naam, idealiter geverifieerd via een directoryservice die gebruikt maak van het LDAP-protocol, met multifactor authenticatie en een geldig certificaat voor goede beveiliging.

Lees ons artikel over Multi-Factor Authenticatie: https://www.cert.be/nl/paper/accounts-beter-beschermen-met-multifactorauthenticatie 

Het serviceaccount die wordt gebruikt om de actieve directory te bevragen moet zo min mogelijk rechten hebben.
Alle accounts op naam moeten ingericht zijn volgens het principe van least privilege. Zo krijgt een analist enkel leesrechten, terwijl een beheerder over lees- en schrijfrechten beschikt. Dit wordt best ingesteld via groepen van rollen in de directoryservice, om een wildgroei aan rechten te voorkomen. De inloggegevens van de lokale beheerder moeten veilig worden bewaard in een kluis en mogen nooit worden gebruikt, tenzij er geen andere keuze mogelijk is.

De lijst met accounts die toegang hebben tot de firewall moet worden bijgewerkt als werknemers worden aangeworven, de organisatie verlaten of een andere functie krijgen. Deze lijst moet minstens één keer per jaar worden herzien.

Qua netwerkconfiguratie moeten we absoluut een fysieke interface van de firewall toewijzen voor beheerstoegang in het beheers-VLAN. Netwerkinterfaces die niet gebruikt worden, moeten worden uitgeschakeld, de blootstelling aan veiligheidsrisico's zoveel mogelijk te beperken.
Het is ook belangrijk dat de firewall over statische routes beschikt voor alle interne netwerken die niet rechtstreeks verbonden zijn met de firewall. Dit om eventuele DNS- en spoofing-aanvallen te voorkomen.

Filterbeleid

Bij het instellen van het filterbeleid raden we aan om expliciete regels te gebruiken. Dit betekent dat u alles opschrijft wat u wilt doen, in een logische volgorde. Dit zonder uit te gaan van impliciete regels die misschien in de firewall zijn ingebouwd. Dit maakt het voor u en toekomstige beheerders ook gemakkelijker om het beleid te begrijpen en bij te werken. Het is ook eenvoudiger om specifieke parameters voor een regel te verfijnen. Kies er bijvoorbeeld voor om verkeer niet te loggen als bekend is dat er veel ruis op zit.

Pas ook het principe van de least privileges toe: open alleen de poorten die nodig zijn voor het goed functioneren van het bedrijf en de werknemers, en niet meer. Weiger ook niet om elke poort te openen, maar volg liever het principe van de "goede huisvader".

Alles wat niet expliciet wordt toegestaan door het filterbeleid moet ook expliciet worden geblokkeerd. Daarom is het belangrijk dat de instelling eindigt met een laatste regel die alles blokkeert en logt.

We zullen de logische volgorde van de regels van dichterbij bekijken, waardoor ze efficiënter, gemakkelijker te lezen en te onderhouden zijn. We onderverdelen deze in drie types:

• De firewallbeveiliging:
  • Verkeer naar de firewall (meestal voor beheersdoeleinden) en verkeer gegenereerd door de firewall zelf (meestal voor updates) toestaan en loggen.
  • Al het netwerkverkeer met de firewall als bestemming blokkeren. Bij deze regel hoort natuurlijk ook loggen en we moeten ervoor zorgen dat elke interface van de firewall hierdoor gedekt wordt.
• De bedrijfsregels:
  • Laat alle netwerkverkeer dat verband houdt met de bedrijfsvoering zo specifiek mogelijk toe en dit moet gelogd worden.
• De regels inzake ruis:
  • Indien nodig, schakel het loggen van bekende ruis uit.
• Al de rest blokkeren (final block)
  • Blokkeer en log alles wat niet is toegestaan. Bij sommige configuraties kan deze blokkering ook aan het begin worden toegepast. Dan wordt alles geblokkeerd behalve de gevallen die vervolgens worden toegestaan, maar in dat geval wordt al het verkeer gelogd. Het principe is echter hetzelfde.

Hier ziet u een beknopte weergave van hoe dit eruit zou zien:

Forward Proxies

We willen de uitgaande internetverbindingen in de hand houden om verkeer van het type "Command & Control" (C2) of geheime kanalen te detecteren en de toegang tot malware of kwaadaardige websites te blokkeren. Daarvoor dient een proxy.

Positie en encryptie

De proxy moet voldoende performant zijn om verkeer te ontsleutelen en analyseren. De proxyserver is dus een gateway tussen de gebruiker en de bestemmingsserver. De server behandelt alle verzoeken en reacties namens de gebruiker. In deze rol kan de proxy de inhoud van elke verbinding lezen en de gewenste filters toepassen.

Een proxy moet ook zorgen voor een veilige verbinding tussen zichzelf en de andere betrokken actoren. Men gebruikt hiervoor best TLS 1.3. Zorg ervoor dat er nooit toestemming wordt gegeven voor een downgrade van de versleutelingsmethoden. Met andere woorden, we willen expliciete proxies gebruiken in plaats van "bump-in-the-wire" (of transparante) proxies, die tekort schieten bij versleuteld verkeer.

De proxy moet ook beschikken over alle moderne protocolanalysemogelijkheden: HTTPv3, QUIC, DoT, DoH, DoQ, media streaming, enz.

We willen netwerktelemetrie kunnen volgen om anomalieën te identificeren (zeer waardevol bij exfiltratiedetectie) en ook netwerk captures (PCAP) om toekomstige bedreigingen op te sporen. Het loggen van HTTP-headers is ook interessant om gegevenslekken te vinden. Dit valt buiten het bestek van dit artikel, maar als u meer informatie of implementatiemethoden wilt, kunt u het volgende artikel raadplegen: https://cqr.company/web-vulnerabilities/information-leakage-via-http-headers/.

Authenticatie van gebruikers

Hiermee bepaalt u hoe apparaten van gebruikers worden gevalideerd als ze toegang willen tot het internet. De authenticatie van proxies moet ingeschakeld worden, om nieuw beleid te kunnen maken voor gebruikers of groepen. 

Er kunnen twee methoden worden gebruikt om een gebruiker te verifiëren, via het IP-adres van het apparaat of via een gebruikersnaam en wachtwoord. De tweede optie is uiteraard de beste, maar is niet mogelijk voor elk onderdeel van het netwerk, bijvoorbeeld servers. Vervolgens maken we een lijst met toegestane bronhosts en bestemmingen op basis van technische behoeften (updateservers). Servertoegang tot het internet is het gemakkelijkst te misbruiken door aanvallers om gegevens te stelen. Elke toegang die niet geauthenticeerd is of niet op de lijst staat, moet worden geblokkeerd.

Door gebruikers te verifiëren moet de proxy in staat zijn om lokale of domeinbeheerders, bevoorrechte accounts of serviceaccounts te detecteren en hun toegang tot het internet te blokkeren.

Configuratie van de host

Bij een expliciete proxy gebruiken we meestal een Proxy Auto-Configuration (PAC) bestand of Web Proxy Auto-Discovery (WPAD). Dit beschrijft aan de client host hoe men toegang krijgt tot bronnen, afhankelijk van de URL, hostnaam of IP. Dit bestand moet worden opgeslagen op een manier die gemakkelijk en snel toegankelijk is voor de gebruikers, maar niet van buitenaf. Enkel gebruikers met de juiste privileges kunnen het wijzigen.

Met dit bestand is het mogelijk om bepaalde verbindingen te configureren zodat ze de proxy (DIRECT) omzeilen, maar de risico's die dit met zich meebrengt moeten zorgvuldig worden afgewogen.

Configuratie van de proxy

Binnen het kader van dit beleid moet de proxy worden geconfigureerd om:

• Uitvoerbare bestanden, bibliotheken, scripts, installatieprogramma's of andere toepassingen te beperken tot een vooraf goedgekeurde lijst.
• De mogelijkheid te beperken om niet-goedgekeurde bestandstypen te downloaden.
• Actieve of niet scanbare inhoud te blokkeren, zoals bestanden met macro's of versleutelde bestanden.
• Gebruik te maken van de categorieën van websites. Deze informatie wordt meestal aangeleverd door de leverancier. Zo verleent men enkel toegang tot websites afhankelijk van de behoeften van de rol van de gebruiker. Aangezien er steeds nieuwe malwaresites bijkomen, is het verstandig om nieuwe websites of websites die niet tot een categorie behoren, te blokkeren.
• Malware via heuristiek, reputatie en handtekening te detecteren en blokkeren.

Network Access Control (NAC)

Als we het risico willen beperken dat een malafide apparaat fysiek verbonden wordt met het netwerk is Network Access Control (NAC) een goede oplossing. Met de NAC-oplossing kan de toestemming en het toegangsniveau van elk apparaat of elke gebruiker worden gecontroleerd alvorens deze verbinding maakt met het netwerk. Het apparaat of de gebruiker wordt eerst in een apart VLAN geplaatst en als de authenticatie en autorisatie zijn gevalideerd, wordt deze op het netwerk aangesloten.

De invoering van dergelijke oplossingen valt buiten het bestek van dit document, maar hier volgen enkele basisaanbevelingen:

• Aangezien MAC-authenticatie gemakkelijk te omzeilen valt met MAC-spoofing zetten we prioritair in op 802.1x-authenticatie.
• Bepaalde apparaten zoals printers ondersteunen het 802.1x protocol doorgaans niet. Ze moeten dus in een ander netwerk geplaatst worden.
• Omdat een aanvaller een hub zou kunnen plaatsen en de authenticatie van een legitiem apparaat zou kunnen gebruiken om het netwerk binnen te dringen, is het beter dat apparaten zich sneller opnieuw moeten authenticeren.
• Alle ongebruikte netwerkpoorten moeten worden uitgeschakeld.
• Het beschikbaar maken van informatie zoals IP-adressen of MAC-adressen kan het leven van een aanvaller makkelijker maken. Daarom moet deze informatie streng worden bewaakt.
• Werknemers moeten leren om kritisch te zijn en de juiste mensen in te lichten als ze nieuwe of verdachte apparaten zien die ergens zijn aangesloten.
• Er zijn een paar dingen die gecontroleerd kunnen worden via de NAC oplossing en die kunnen wijzen op een aanval:
  • Ongebruikelijke link up and link downs
  • Wijzigingen in de netwerksnelheid en -duplex
  • Wijzigingen in framegrootte
  • Wijzigingen in TTL's

Een NAC kan niet alleen de gebruiker authenticeren, maar ook de beveiligingsconfiguratie van de client host valideren om te zien of deze voldoet aan het beveiligingsbeleid. Bijvoorbeeld beschikken over een up-to-date antivirusprogramma, enz. 

Virtual Private Networks (VPN)

VPN's worden gebruikt om gescheiden hosts of netwerken via het internet op een beveiligde en vertrouwelijke manier met elkaar te verbinden.

Er zijn meerdere soorten VPN's. We zullen ons hier beperkten tot de twee belangrijkste: IPsec en SSL VPN-oplossingen. Het belangrijkste verschil is het protocolniveau: IPSec is ingebed in TCP/IP terwijl SSL/TLS een laag bovenop TCP/IP is.

Welke VPN-technologie er ook gekozen wordt, het is belangrijk om de gebruikelijke beveiligingsadviezen te volgen, afhankelijk van wat er beschikbaar is: goede authenticatie, goede toegangscontrole en goede logging. Dit valt buiten het bestek van dit document en zullen we in andere publicaties behandelen.

IPsec

IPsec VPN's bestaan uit drie hoofdprotocollen: Internet Key Exchange (IKE), Authentication Header (AH) en Encapsulating Security Payload (ESP).

• IKE wordt eerst gebruikt voor de authenticatie van beide partijen door middel van een uitwisseling van sleutels. Dit creëert een zogenaamde 'security association' tussen twee apparaten. IKE ondersteunt zowel PSK (Pre-Shared Keys) als certificaatverificatie. Voor een betere beveiliging moeten we certificaten gebruiken die zijn ondertekend door een vertrouwde certificaatautoriteit.
• AH slaat op de twee uiteinden van de communicatie en garandeert dat er niet geknoeid is met pakketten tijdens het transport.Bij de bron wordt het berekeningsresultaat, Integrity Check Value (ICV) genoemd, in een speciale header gezet. De bestemming voert dezelfde berekening uit en vergelijkt het resultaat met de ICV-waarde om de integriteit van het pakket te controleren. AH levert geen encryptie.
• ESP is verantwoordelijk voor de encryptie. Dankzij de eerder uitgewisselde symmetrische sleutels wordt de inhoud van het bericht versleuteld. 

Als u een VPN-concentrator gebruikt, raden we het gebruik aan van Dead Peer Detection (DPD). Dat is een mechanisme waarmee de twee peers van een IPsec-tunnel kunnen detecteren of de andere peer niet meer bereikbaar is. De IKE security association vervalt dan. 

Om nog verder te gaan, kunnen we een up-to-date state-of-the-art referentie hebben voor alles wat te maken heeft met de encryptiemechanismen in de NIST Special Publication 800-77. 

SSL VPN

SSL VPN's werken grotendeels op dezelfde manier als andere SSL/TLS-technologieën, zoals HTTPS. Concreet betekent dit dat de tunnel tot stand komt via vier stappen (de befaamde "four-way handshake"), namelijk de initiële controle, de serverauthenticatie, de encryptie-onderhandeling en dan de sleuteluitwisseling. De gegevens worden dan doorgestuurd in de tunnel die is gemaakt voor de eindpunten of netwerken waarvoor de VPN is geconfigureerd met de encryptiemechanismen en sleutels die zijn uitgewisseld.

Aangezien dit allemaal vrij standaard is, is de invoering en het onderhoud van dergelijke tunnels vrij eenvoudig.

Vergeet echter niet om een certificaat van redelijke grootte te kiezen (RSA 2048-bits voor een Let's Encrypt-certificaat is meer dan voldoende). Dit prachtige hulpmiddel van de Mozilla Foundation zou u veel moeten helpen: https://ssl-config.mozilla.org/   

Het voorkomt het maken van fouten wanneer je een SSL-configuratie nodig hebt voor een dienst waar je niet veel vanaf weet.

Hieronder volgt de gebruikelijke minimale aanbeveling voor het gebruik van versleutelingsalgoritmen in SSL VPN op het moment van publicatie:

Bron: ANSSI - Agence Nationale de la Sécurité des Systèmes d’Information. (2020, 1 januari). Guide des mécanismes cryptographiques. ANSSI. https://www.ssi.gouv.fr/uploads/2021/03/anssi-guide-mecanismes_crypto-2.04.pdf 

Verkeer monitoren

IDS/IPS

IDS (Intrusion Detection Solution) en IPS (Intrusion Protection Solution) zijn oplossingen die bedreigingen in het netwerk kunnen opsporen en uiteindelijk blokkeren. Meer details hierover leest u in een van onze toekomstige artikelen.

WAF

WAF's (Web Application Firewalls) zijn apparaten die voor een webserver wordt geplaatst om de webservices te beschermen tegen aanvallen op applicatieniveau. Deze technologie wordt in een ander artikel besproken.

Virtual Local Area Networks (VLAN)

Om het netwerk op te delen in segmenten gebruiken we het concept van een VLAN (Virtual Local Area Network). Met deze technologie kunnen we binnen een router of een Layer-3 switch verschillende afzonderlijke virtuele netwerken creëren. En dit zonder de kosten en complexiteit van het inrichten van fysiek gescheiden netwerken.

Het grootste risico bij het gebruik van VLAN's in vergelijking met fysieke afscheiding zijn aanvallen die gebruik maken van VLAN-hopping. Hierbij gebruikt een aanvaller een mechanisme om van een minder gevoelig VLAN naar gevoeliger VLAN te "springen" en zo de beveiligingsmaatregelen die het gevoelige VLAN zouden moeten beschermen te omzeilen. Dit type aanval kan met een minimum aan voorbereiding worden afgeweerd. Dit nadeel weegt dus absoluut niet op tegen de voordelen van VLAN's.

We kunnen de risico's beperken door een paar aanbevelingen te volgen, die we zullen beschrijven in het volgende hoofdstuk "Configuratie van netwerkapparaten".

We zullen ook beschrijven hoe VLAN's kunnen worden misbruikt om een heel netwerk te creëren in het hoofdstuk "Traditionele netwerkbeveiliging".

Configuratie van netwerkapparaten

Netwerkapparaten zijn in feite geen beveiligingsapparaten en mogen ook niet als zodanig beschouwd. Ze spelen echter wel een centrale rol hierin en kunnen gemakkelijk worden misbruikt door aanvallers. Hun configuratie verdient dus bijzondere aandacht vanuit beveiligingsoogpunt.

Er moet dus een aantal maatregelen worden genomen om de beveiliging van routers en switches robuuster te maken:

• Gecentraliseerde authenticatie en rechtenbeheer gebruiken. Lokale administratoraccounts mogen alleen gebruikt worden als laatste redmiddel. Gebruikers moeten zo min mogelijk rechten hebben op elk apparaat, afhankelijk van hun rol. Zo krijgen analisten enkel leesrechten en technici lees- en schrijfrechten.
• Omdat de standaard inloggegevens van beheerdersaccounts meestal publiekelijk bekend zijn, moeten deze instellingen worden gewijzigd in veiligere instellingen voordat het apparaat met een netwerk wordt verbonden. Standaardgroepen van beheerders moeten ook worden uitgeschakeld.
• Om te beschermen tegen brute force aanvallen moet er een limiet zijn op het aantal mogelijke authenticatiepogingen en een aanmeldvertraging in geval van mislukte authenticatie. Het beste is 3 aanmeldpogingen of minder toestaan met een wachttijd van 1 seconde tussen elke poging.
• Alle apparaten moeten hun klokken synchroniseren via NTP vanuit een gecentraliseerde tijdserver.
• Onveilige en clear-text protocollen moeten worden uitgeschakeld: Telnet, HTTP, SNMP versie 1 en 2... Als algemene regel moeten alle diensten die niet worden gebruikt, worden uitgeschakeld.
• IP source routing moet worden uitgeschakeld omdat het misbruikt kan worden om beveiligingsapparatuur te omzeilen.
• Standaard VLAN 1 wordt vaak toegewezen aan verschillende diensten, waaronder beheerprotocollen. Daarom moeten we VLAN 1 uitschakelen en een nieuw native VLAN aanmaken voor de trunk poorten en een nieuw VLAN voor de toegangspoorten. We moeten ook een management-VLAN hebben dat volledig gescheiden is van alle andere VLAN's.
• Dynamische trunking kan worden misbruikt om toegang te krijgen tot een VLAN dat niet toegankelijk zou moeten zijn vanaf een specifieke poort. Een aanvaller die controle heeft over een werkstation dat met een dynamische poort is verbonden, kan het bijvoorbeeld herconfigureren om direct toegang te krijgen tot het interne server-VLAN. Deze functie mag daarom nooit worden gebruikt en moet worden uitgeschakeld. Trunk-poorten moeten zodanig worden geconfigureerd dat enkel de vereiste VLAN's toegelaten zijn.
• Fysieke toegangsrisico's zijn moeilijk te beperken, maar poortbeveiliging is een stap in de goede richting. Hierbij wordt het aantal MAC-adressen dat verbinding kan maken met een netwerkpoort beperkt. Deze beveiliging moet dan ook worden geactiveerd.
• In dezelfde geest dienen ongebruikte poorten uitgeschakeld te worden zodat een aanvaller met fysieke toegang deze niet kan misbruiken.
• De router of switch mag het verkeer niet rechtstreeks van het ene VLAN naar het andere sturen, maar het naar een firewall sturen die toegestane communicatie filtert.
• Het monitoren van poorten kan nuttig zijn voor debuggen, maar kan ook misbruikt worden door een aanvaller. Doorgaans moet deze functie dus uitgeschakeld worden.
• Proxy ARP moet uitgeschakeld worden omdat het risico bestaat dat het misbruikt wordt voor ARP spoofing.

Traditionele netwerkbeveiliging

Om een compleet en veilig netwerk te bouwen met behulp van de hierboven beschreven componenten, zullen we het concept van segmenteren gebruiken. Dit concept vereist dat er een minimale risicoanalyse wordt uitgevoerd op de infrastructuur die we willen inrichten.

Die risicoanalyse zier eruit als volgt:

• Sommige hosts zijn toegankelijk vanaf het internet. Deze hosts zijn daarom vatbaarder voor inbrekers en bevatten dus best geen gegevens (front-end).
• Sommige hosts zijn niet bereikbaar vanaf het internet en die slaan de gegevens op (back-end).
• Sommige hosts moeten enkel toegankelijk zijn vanaf een subset van computers van power-users (beheer).
• Tot slot moeten de computers van gebruikers worden beschouwd als een risico.

Op basis van bovenstaande analyse kunnen we de volgende zones maken:

• De DMZ (DeMilitarized Zone) met de front-endservers.
• De interne zone met de back-endservers.
• De Beheerzone met de beheerinterfaces van alle IT-componenten en de computers die door beheerders worden gebruikt. 
• De Gebruikerszone.

Vervolgens willen we al deze zones virtueel of fysiek van elkaar scheiden. Hier ziet u een voorbeeld van een dergelijke architectuur:

Hier gebruiken we een enkele firewall voor alle VLAN's en een enkele switch met een VLAN voor elke zone. Bij een duurdere en iets complexere opstelling krijgen we het volgende:

Hier gebruiken we twee firewalls, die van twee verschillende leveranciers kunnen zijn om het risico te beperken van een 0-day op één leverancier. Maar het risico is dat kennis/vaardigheden verwateren en in plaats van één goed geconfigureerd apparaat, heeft het bedrijf een goed geconfigureerd apparaat en een minder goed geconfigureerd apparaat. Dat laatste kan dan een veel gemakkelijker doelwit worden en het tegenovergestelde effect hebben van wat de bedoeling was. Kies dus zorgvuldig.

We gebruiken ook een fysiek gescheiden DMZ om de risico's van een 0-day op de switch en het risico van VLAN-hopping te beperken.

Deze voorbeelden laten zien dat het aantal beveiligingszones en -apparaten sterk kan variëren. Daarom is het belangrijk om een risicoanalyse uit te voeren als men een goede infrastructuur wil inrichten.

Zero Trust Network (ZTN)

Zero Trust is een concept dat wordt gebruikt om een uiterst veilige infrastructuur te creëren waarin we verder gaan dan de traditionele architectuur die we eerder zagen.

Zoals blijkt uit de naam is er in deze architectuur geen impliciet vertrouwen gebaseerd op de netwerklocatie. Elke gebruiker of elk systeem dat toegang probeert te krijgen tot bronnen zal zich dus op een robuuste manier moeten authenticeren, bijvoorbeeld met multifactor authenticatie (MFA) Toegang zal al dan niet worden verleend afhankelijk van een toegangsbeleid met de minste privileges.

Ook op het vlak van microsegmentatie gaat dit concept een stap verder. Systemen worden immers strikter van elkaar gescheiden, met beschermingen en controles bij elke stap.

Een ZTN valt buiten het bestek van dit document, maar de NIST Special Publication 800-207 geeft een diepgaandere definitie van wat een Zero Trust Network is en de NIST SP 1800-35 legt in detail uit hoe een architectuur op basis van Zero Trust wordt geïmplementeerd.

In dit artikel hebben we een breed scala aan basistechnologieën en -strategieën voor beveiliging belicht. Dit een goede eerste stap, maar we raden u aan om uw kennis en vaardigheden steeds bij te spijkeren. In onze volgende publicaties zullen we ons richten op meer specifieke aspecten om u nog beter te beschermen.

• ANSSI - Agence Nationale de la Sécurité des Systèmes d’Information. (2013, March 30). Premier Ministre - Agence nationale de la Sécurité des Systèmes D... Recommandations pour la définition d’une politique de filtrage réseau d’un pare-feu. https://www.ssi.gouv.fr/uploads/IMG/pdf/NP_Politique_pare_feu_NoteTech.pdf 

• ANSSI - Agence Nationale de la Sécurité des Systèmes d’Information. (2020, January 1). Guide des mécanismes cryptographiques. ANSSI. https://www.ssi.gouv.fr/uploads/2021/03/anssi-guide-mecanismes_crypto-2.04.pdf

• ANSSI - Agence Nationale de la Sécurité des Systèmes d’Information. (2021, April 2). Recommandations pour une configuration sécurisée d’un pare... RECOMMANDATIONS POUR UNE CONFIGURATION SÉCURISÉE D’UN PARE-FEU STORMSHIELD NETWORK SECURITY. https://www.ssi.gouv.fr/uploads/2017/12/anssi-guide-recommandations_configuration_securisee_pare_feu_stormshield_network_security_version_3.7.17.pdf 

• Australian Government. (2022, July 29). Gateway security guidance package: Gateway technology guides. Gateway Security Guidance Package: Gateway Technology Guides | Cyber.gov.au. http://www.cyber.gov.au/resources-business-and-government/maintaining-devices-and-systems/system-hardening-and-administration/gateway-secuirty-guidance/gateway-technology-guides 

• Bhardwaj, R., Ipwithease, & Rashmi BhardwajMore From This AuthorI am here to share my knowledge and experience in the field of networking with the goal being - "The more you share. (2022, December 22). Proxy vs PAC file: Detailed comparison. IP With Ease. https://ipwithease.com/proxy-vs-pac-file/ 

• Cisco. (2022, August 31). VLAN best practices and security tips for Cisco Business Routers. Cisco. https://www.cisco.com/c/en/us/support/docs/smb/routers/cisco-rv-series-small-business-routers/1778-tz-VLAN-Best-Practices-and-Security-Tips-for-Cisco-Business-Routers.html 

• Crawford, W. by    Douglas, Crawford, D., Carroll, L., Lorraine, (R)., Eng. T. H. 4000, Douglas Crawford    replied to Eng. Tarek Herik 4000 (R)., Johnny, johnny, D. C. replied to, Foster, K., & Douglas Crawford    replied to kristy foster. (2020, June 30). VPN encryption types: Openvpn, IKEV2, PPTP, L2TP/IpSec, SSTP. ProPrivacy.com. https://proprivacy.com/vpn/guides/vpn-encryption-the-complete-guide 

• Kozierok, C. M. (2005, September 20). IP Security (IPSec) Protocols. The TCP/IP guide - IP security (IPSec) protocols. http://www.tcpipguide.com/free/t_IPSecurityIPSecProtocols.html 

• Merchant, S. (2021, September 26). TLS 1.3 is moving forward: What you need to know today to get ready. Gigamon Blog. https://blog.gigamon.com/2018/05/10/tls-1-3-is-moving-forward-what-you-need-to-know-today-to-get-ready/ 

• Michali, C. (2023, March 20). Stateful vs. stateless firewall. Check Point Software. http://www.checkpoint.com/cyber-hub/network-security/what-is-firewall/what-is-a-stateful-firewall/stateful_vs_stateless_firewall/#:~:text=Stateful%20and%20stateless%20firewalls%20largely,valid%20based%20on%20predefined%20rules 

• Network Access Control. Network Access Control - The Hacker Recipes. (n.d.). http://www.thehacker.recipes/physical/networking/network-access-control 

• NIST - National Institute of Standards and Technology. (n.d.). Guide to IPsec VPNS. National Institute of Standards and Technology. https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-77r1.pdf 

• NSA - National Security Agency. (2022, June). Network Infrastructure Security Guide - U.S. Department of Defense. National Security Agency. https://media.defense.gov/2022/Jun/15/2003018261/-1/-1/0/CTR_NSA_NETWORK_INFRASTRUCTURE_SECURITY_GUIDE_20220615.PDF 

• Palic, J. (2022, November 23). Comparing IPsec vs. SSL VPNS. ONLC. http://www.onlc.com/blog/comparing-ipsec-vs-ssl-vpns/#:~:text=The%20main%20difference%20between%20IPsec,or%20application%20on%20the%20network 

• Speaker, M. C. (2023a, May 16). Full proxy. Technology Focused Hub. https://network-insight.net/2015/10/22/full-proxy/ 

• Speaker, M. C. (2023b, May 28). Dead peer detection. Technology Focused Hub. https://network-insight.net/2015/01/13/dead-peer-detection/ 

Ceo-fraude vindt plaats in twee stappen: verkenning en uitvoering. Cybercriminelen vergaren eerst lange tijd online informatie en doen onderzoek om meer te weten te komen over een organisatie en haar medewerkers. Vervolgens proberen ze via e-mail, chat of telefonisch contact op te nemen met deze medewerkers om specifieke informatie te weten te komen over de leidinggevenden van de organisatie, de processen voor het uitvoeren van een betaling, de klanten en leveranciers. Nadat ze alle nodige informatie voor hun oplichting hebben vergaard, nemen cybercriminelen de identiteit van een hooggeplaatst persoon binnen de organisatie over, om het vertrouwen van de medewerkers te winnen zodat ze minder snel zullen twijfelen aan de herkomst van het ontvangen bericht. Zodra ze de identiteit van de ceo of van een leidinggevende hebben overgenomen en het vertrouwen van het slachtoffer hebben gewonnen, zullen de oplichters proberen om geld en/of vertrouwelijke gegevens te stelen.

1.    Maak de medewerkers bewust van oplichting met als doel toegangsgegevens te stelen

De medewerkers van een bedrijf vormen de eerste verdedigingslinie. Je medewerkers moeten in staat zijn om oplichting en valse boodschappen te herkennen om de juiste reflexen te ontwikkelen. Cybercriminelen kunnen verschillende technieken gebruiken om te proberen de contactgegevens van de medewerkers te stelen en zo toegang te krijgen tot de bronnen van een organisatie. Phishing-e-mails  zijn een van de meest voorkomende vormen van oplichting. Cybercriminelen proberen hun slachtoffer ervan te overtuigen zijn wachtwoorden of vertrouwelijke informatie te delen. Het is dus belangrijk om regelmatig informatiesessies te organiseren om de medewerkers te leren niet te veel informatie te delen op sociale media en niet op een link te klikken of een bestand te openen zonder eerst de herkomst te analyseren.

2.    Maak je medewerkers bewust van de signalen die op ceo-fraude wijzen

Wanneer het verzoek in een bericht betrekking heeft op ongebruikelijke transfers of er sprake is van hoge bedragen of wanneer er ongebruikelijke redenen of uitzonderlijke omstandigheden worden aangevoerd om het verzoek toe te lichten, gaat het waarschijnlijk om oplichting.

3.    Maak je werknemers bewust van veilig telewerken

Telewerk is de nieuwe norm, wat ceo-fraude in de hand werkt. Cybercriminelen profiteren van individuele medewerkers omdat het gemakkelijker is hen te overtuigen een betaling uit te voeren. Het telewerken kan echter wel veilig gebeuren door middel van verschillende goede praktijken, zoals het gebruik van sterke wachtwoorden en multifactorauthenticatie voor alle toegangen op afstand. Bij multifactorauthenticatie moet een gebruiker minstens twee verschillende methodes hanteren (bv. een wachtwoord en pincode, een pincode en een code via sms) om zijn identiteit te controleren en toegang te krijgen.

Daarnaast moet de organisatie richtsnoeren en regels voor telewerk opstellen, zodat de medewerkers zich de juiste reflexen eigen maken, bijvoorbeeld hun werkpost vergrendelen wanneer ze deze verlaten of geen geschreven en toegankelijke wachtwoorden achterlaten.

Tot slot dient de organisatie beveiligingscontroles uit te voeren, zoals het versleutelen van al het verkeer van/naar de telewerker, het installeren van een antivirus en een lokale firewall op de apparaten met toestemming om op afstand in te loggen, het updaten van alle apparaten en software zodra dit mogelijk is, het regelmatig back-uppen van de kritieke bedrijfsmiddelen en het beveiligen van de werkposten door de elementen te controleren waartoe toegang op afstand mogelijk is.

4.    Stel duidelijke procedures op voor de identificatie van de personen die een transactie aanvragen en de goedkeuring van de uitvoering van een transactie, en deel deze procedures

Ongeacht wie om informatie vraagt, de medewerkers moeten op de hoogte zijn van het geldende beleid inzake de gegevensclassificatie, de overdracht en uitwisseling van informatie en het aanvaardbare gebruik van informatie. Bovendien verkleint het invoeren van een goedkeuringsprocedure voor elektronische overmakingen het risico op dit soort oplichting, omdat een medewerker uiteindelijk altijd zal merken dat het verzoek fake is en er geen gevolg aan moet worden gegeven. Ten slotte moet er ook een procedure worden ingevoerd om de identiteit van de afzender te controleren, bijvoorbeeld door zijn naam of bankrekening te vergelijken met een lijst die intern wordt bijgehouden of door te proberen hem op een andere manier te bereiken. Elke wijziging van deze interne lijst moet worden goedgekeurd door een hiërarchische meerdere.

5.    Let op wat je online publiceert

Via sociale media en de website van een organisatie kunnen veel klanten worden bereikt. Het is echter niet altijd mogelijk om het publiek dat toegang heeft tot de gepubliceerde informatie en berichten volledig te controleren. Persoonlijke of vertrouwelijke informatie hoort niet thuis op deze platformen, omdat ze voor kwaadwillige doeleinden zou kunnen worden gebruikt, bijvoorbeeld om medewerkers van de financiële dienst te identificeren die waarschijnlijk beter in staat zijn om een dringende overschrijving naar hun ceo uit te voeren.

6.    Beveilig de toegang tot je accounts

Accounts zijn een toegangspoort tot de gehele omgeving van een organisatie. Daarom moeten ze worden beschermd met sterke, verschillende wachtwoorden voor elke account. Een sterk wachtwoord bestaat uit ten minste twaalf tekens en een combinatie van hoofdletters, kleine letters, cijfers en symbolen. Multifactorauthenticatie dient zoveel mogelijk te worden geactiveerd, in combinatie met sterke wachtwoorden. Bij multifactorauthenticatie moet een gebruiker minstens twee verschillende methodes hanteren (bv. een wachtwoord en pincode, een pincode en een code via sms) om zijn identiteit te controleren en toegang te krijgen.

1. Meld het incident onmiddellijk aan je IT-verantwoordelijke.
2. Verwittig je collega's dat ze misschien een bericht gaan krijgen van iemand die zich voordoet als je ceo of als een van de leidinggevenden van je organisatie, maar dat ze daar niet mogen intrappen.
3. Wijzig alle opgeslagen wachtwoorden (indien van toepassing) op alle accounts die je gebruikt.
4. Als de oplichting betrekking had op bankgegevens, contacteer dan onmiddellijk je financiële instelling om het incident te melden. Als je merkt dat er geld van je bankrekening is gestolen, dien dan klacht in bij de politie.
5. Als je de beheerder bent van deze bankrekening, bel dan Card Stop op het nummer +32 78 170 170 en controleer je rekeningafschriften. Als je een verdachte activiteit herkent, bel dan onmiddellijk je bank zodat ze je kan helpen.

Elke organisatie communiceert met een of meer derden (bv. partners, klanten, leveranciers etc.) om haar activiteiten uit te voeren.

 Cybercriminelen proberen voordeel te halen uit deze uitwisselingen: via overreding, dreiging of een andere vorm van druk proberen ze het slachtoffer ervan te overtuigen dat het ofwel een ongeplande en dringende overschrijving moet uitvoeren, ofwel vertrouwelijke informatie moet verstrekken.

 Het doel is het slachtoffer ervan te overtuigen onmiddellijk actie te ondernemen om een lopende kritieke operatie af te sluiten of te deblokkeren.

 Bovendien proberen ze het slachtoffer ervan te overtuigen dit verzoek niet met iemand anders te delen vanwege de vertrouwelijkheid.

 Cybercriminelen doen zich meestal voor als een derde partij van de organisatie, zodat het slachtoffer denkt dat het verzoek legitiem is.

 De bankrekening is echter niet die van de derde partij, maar bij gebrek aan controle van de juistheid van de gegevens en aan goedkeuringsprocedures beseft het slachtoffer niet dat het verzoek vals is. Deze oplichting kan zich ook voordoen wanneer de cybercriminelen zich uitgeven voor de CEO of directeur (CEO-fraude) of technische ondersteuning (oplichting met valse technische ondersteuning).

Hoe bescherm je je tegen oplichting via valse overschrijving?

1.    Maak de medewerkers bewust van oplichting met als doel vertrouwelijke informatie te stelen

De medewerkers van een bedrijf vormen de eerste verdedigingslinie. Al je medewerkers moeten in staat zijn om oplichting en valse boodschappen te herkennen om de juiste reflexen te ontwikkelen. Cybercriminelen kunnen verschillende technieken gebruiken om te proberen de contactgegevens van de medewerkers te stelen en zo toegang te krijgen tot de bronnen van een organisatie. Phishing-e-mails zijn een van de meest voorkomende vormen van oplichting. Cybercriminelen proberen hun slachtoffer ervan te overtuigen zijn wachtwoorden of vertrouwelijke informatie te delen. Het is dus belangrijk om regelmatig informatiesessies te organiseren om de medewerkers te leren niet te veel informatie te delen op sociale media en niet op een link te klikken of een bestand te openen zonder eerst de herkomst te analyseren.

2.    Stel duidelijke procedures op voor de identificatie van de personen die een transactie aanvragen en de goedkeuring van de uitvoering van een transactie, en deel deze procedures.

Ongeacht wie om informatie vraagt, de medewerkers moeten op de hoogte zijn van het geldende beleid inzake de gegevensclassificatie, de overdracht en uitwisseling van informatie en het aanvaardbare gebruik van informatie. Bovendien verkleint het invoeren van een officiële goedkeuringsprocedure voor elektronische overmakingen het risico op dit soort oplichting, omdat een medewerker uiteindelijk altijd zal merken dat het verzoek fake is en er geen gevolg aan moet worden gegeven. Ten slotte moet er ook een procedure worden ingevoerd om de identiteit van de afzender te controleren, bijvoorbeeld door zijn naam of bankrekening te vergelijken met een lijst die intern wordt bijgehouden of door te proberen hem op een andere manier te bereiken. Verzoeken tot wijziging van deze lijst moeten door de hiërarchie worden goedgekeurd, wat inhoudt dat de veiligheids- en betalingsregels strikt moeten worden nageleefd (bijvoorbeeld dat betalingen boven een bepaald bedrag door meerdere werknemers moeten worden ondertekend). Deel ten slotte nooit mee hoe je bedrijf betalingen aan onbekenden uitvoert. Bewaar al deze procedures voor intern gebruik.

3.    Let op wat je online publiceert

Via sociale media en de website van een organisatie kunnen veel klanten worden bereikt. Het is echter niet altijd mogelijk om het publiek dat toegang heeft tot de gepubliceerde informatie en berichten volledig te controleren. Persoonlijke of vertrouwelijke informatie hoort niet thuis op deze platformen, omdat ze voor kwaadwillige doeleinden zou kunnen worden gebruikt, bijvoorbeeld om medewerkers van de financiële dienst te identificeren die waarschijnlijk beter in staat zijn om een overschrijving uit te voeren.

4.    Beveilig de toegang tot je accounts

Accounts zijn een toegangspoort tot de gehele omgeving van een organisatie. Daarom moeten ze worden beschermd met sterke, verschillende wachtwoorden voor elke account. Een sterk wachtwoord bestaat uit ten minste twaalf tekens en een combinatie van hoofdletters, kleine letters, cijfers en symbolen. Multifactorauthenticatie dient zoveel mogelijk te worden geactiveerd, in combinatie met sterke wachtwoorden. Bij multifactorauthenticatie moet een gebruiker minstens twee verschillende methodes hanteren (bv. een wachtwoord en pincode, een pincode en een code via sms) om zijn identiteit te controleren en toegang te krijgen.

1. Meld het incident onmiddellijk aan je IT-verantwoordelijke
2. Verwittig je collega's dat ze misschien een bericht gaan krijgen van iemand die zich voordoet als een klant of een specifieke leverancier, maar dat ze daar niet op in mogen gaan.
3. Wijzig alle opgeslagen wachtwoorden (indien van toepassing) op alle accounts die je gebruikt.
4. Als de oplichting betrekking had op bankgegevens, contacteer dan onmiddellijk de financiële verantwoordelijke om het incident te melden. Als je merkt dat er geld van je bankrekening is gestolen, dien dan klacht in bij de politie.
5. Als je de beheerder bent van deze bankrekening, bel dan Card Stop op het nummer +32 78 170 170 en controleer je rekeningafschriften. Als je een verdachte activiteit herkent, bel dan onmiddellijk je bank zodat ze je kan helpen.

Spam is een ongevraagd bericht voor reclame, marketing of kwaadaardige doeleinden. Er zijn twee soorten spam:

• Elektronisch: verzonden via e-mail, instant messaging of sociale media, meestal voor marketingdoeleinden waarbij geen toestemming van de klant is gevraagd. Dit kan ook kwaadaardige vormen aannemen, zoals een verzoek om geld over te schrijven of een poging tot phishing of malware.
• Telefoon: verzonden via sms, mms of via een telefoongesprek, meestal voor marketingdoeleinden. Dit kan ook kwaadaardige vormen aannemen, zoals het sturen van berichten naar een betaalnummer of een poging tot phishing.

1.    Kijk uit voor onverwachte berichten

Je kunt worden opgelicht via sms, e-mail of sociale media. Aangezien het tijdstip van een potentiële cyberaanval onmogelijk te voorspellen is, moet je goed opletten bij alle onverwachte berichten. De meest bekende cyberaanval waarbij gebruik wordt gemaakt van onverwachte berichten is phishing.

2.    Gebruik een filter- of anti-spamsoftware

Filter- of anti-spamsoftware kan helpen het aantal ontvangen spamberichten te beperken. Bij sommige antivirusprogramma's kan je deze optie instellen.

3.    Let op wanneer je een inschrijvingsformulier invult, bestellingen doet of deelneemt aan wedstrijden

E-mailadressen kunnen in de verkeerde database terechtkomen en gebruikt worden voor spamming, zonder toestemming van de gebruiker. Controleer de legitimiteit van de website voordat je enige vorm van communicatie of inschrijving aanvaardt:

• Controleer het adres van de website en let op voor websites die authentiek lijken maar het niet zijn (bijvoorbeeld mijnorganisatie [.]be in plaats van mijn[.]organisatie [.]be);
• Controleer de reputatie van de website;
• Ga na hoe ongelooflijk en fantastisch de aanbiedingen en promoties zijn; en
• Controleer hoe de betaling wordt gevraagd (bijvoorbeeld via een pakjes- of vervoersdienst).

4.    Meld je af van niet-gebruikte accounts of verwijder ze

Zodra een account niet meer wordt gebruikt, is het beter om het volledig te verwijderen om ervoor te zorgen dat de informatie die het bevat niet meer toegankelijk is zonder medeweten van de eigenaar.

5.    Maak verschillende e-mailadressen aan op basis van je behoeften

Een goede praktijk is het gebruik van afzonderlijke accounts voor verschillende doeleinden, bv. sociale media, persoonlijke, professionele, commerciële sites, etc.

6.    Leer van goede praktijken om je sociale-media-accounts te beveiligen

Sociale media zijn voor organisaties een belangrijke bron van communicatie en informatie geworden. Ondanks de voordelen van deze openbaar toegankelijke platforms, kunnen ze ook een gigantisch aanvalsterrein worden en gebruikt worden voor spam. Elke organisatie moet ervoor zorgen dat al haar sociale media correct worden beveiligd. Dat kan bijvoorbeeld door de volgende goede praktijken toe te passen:

• de toegang tot accounts beveiligen met sterke wachtwoorden;
• de vertrouwelijkheidsparameters herbekijken en de zichtbaarheid van persoonlijke informatie beperken;
• aandacht besteden aan wat de organisatie en anderen posten;
• toepassingen van derden beheren; of
• het gebruik van openbare wifi en een openbare computer vermijden.

Alle informatie over het beveiligen van sociale media vind je in ons artikel hierover.

1.    Antwoord er niet op, open geen enkele bijlage en klik niet op de links

Het belangrijkste wat je moet doen als je een spambericht krijgt, is er niet op ingaan.

2.    Deel nooit bankgegevens waar via sms of e-mail om wordt gevraagd

Geen enkele bank zal ooit een directe link geven om in te loggen op een bankrekening via sms of e-mail. Ze zullen ook nooit vragen om pincodes of geheime codes, noch schriftelijk, noch telefonisch.

3.    Meld het spambericht en verwijder het

Het spambericht moet worden gemeld aan de IT-verantwoordelijke en aan de bevoegde nationale autoriteit (verdacht@safeonweb.be (NL/DE); suspect@safeonweb.be (FR); suspicious@safeonweb.be (EN)) en onmiddellijk worden verwijderd. Wanneer een bericht al in de map Spam staat, mag je het zeker niet vertrouwen.

1. Meld het incident onmiddellijk aan je IT-verantwoordelijke
2. Waarschuw je medewerkers dat ze misschien hetzelfde spambericht gaan krijgen en dat ze het niet moeten vertrouwen.
3. Wijzig alle gegeven wachtwoorden (indien van toepassing) op alle gebruikte accounts.
4. Als de oplichting bankgegevens betreft en je merkt dat er geld is gestolen van je eigen bankrekening, dien dan een klacht in bij de politie.
5. Bel onmiddellijk naar Card Stop op +32 78 170 170 en controleer zeker je rekeningafschriften. Als je verdachte activiteiten vaststelt, bel dan onmiddellijk je bank zodat zij je kunnen helpen.

Onder malware of kwaadaardige software verstaan we alle kwaadaardige codes en programma's die zijn gemaakt om een informatiesysteem te beschadigen. Malware kan veel schade toebrengen: diefstal, versleuteling of verwijdering van gegevens, wijziging of verwijdering van een systeemfunctie en spionage van alle activiteiten op het geïnfecteerde toestel. In het algemeen proberen cybercriminelen geld te verdienen door malware op een toestel te installeren en het slachtoffer te dwingen te betalen voor ofwel een dienst om het probleem op te lossen, ofwel om opnieuw toegang te krijgen tot het toestel.

De meest voorkomende soorten malware zijn:  

• virus: vermenigvuldigt zich in programma's om toegang te krijgen tot gegevens of om functies te wijzigen;
• ransomware: blokkeert en versleutelt de toegang tot bronnen en vereist een betaling om die opnieuw te krijgen;
• Trojaans paard: bestaat uit een functie die het slachtoffer mogelijk nodig heeft en die het kan downloaden (toepassing, software, spel etc.) om toegang te krijgen tot de bronnen van het toestel en, uiteindelijk, vertrouwelijke informatie te stelen of een virus of ransomware te installeren;
• spyware: is bedoeld om alle activiteiten van het slachtoffer te bespioneren en door te geven aan cybercriminelen;
• adware: is ontworpen om ongewenste nieuwe advertenties op het scherm van het slachtoffer weer te geven, over het algemeen wanneer die op een webpagina probeert te surfen.

In de meeste gevallen infecteren cybercriminelen een toestel via internet of berichten-/communicatiediensten. In beide gevallen hebben ze als doel het slachtoffer te misleiden om op een specifieke link te klikken en zo de malware te installeren.

Je kan de malware opsporen door antivirussoftware op alle toestellen te installeren en de waarschuwingen erop te bekijken. Naast deze waarschuwingen zijn er duidelijke aanwijzingen dat een toestel geïnfecteerd is: ongewone fouten verschijnen op het scherm, het apparaat werkt trager, loopt vast of crasht vaak, er verschijnen ongewenste pop-upberichten, het toestel schakelt zichzelf uit en start zichzelf opnieuw op, de toegang tot bepaalde applicaties of programma's is geblokkeerd etc.

1.    Installeer op alle toestellen een antivirusprogramma, configureer het en werk het bij

Zorg ervoor dat de antivirussoftware correct is geïnstalleerd en dat de programma's en handtekeningen regelmatig worden bijgewerkt. De realtime-beveiliging voor de analyse van alle inkomende en uitgaande stromen moet correct zijn geconfigureerd. Bovendien is het nuttig om de parameters en de werking te testen om zeker te zijn dat de antivirussoftware voldoet aan de oorspronkelijk bepaalde behoeften. Tot slot kan een uitgebreide hardwareanalyse helpen voorkomen dat er tussen twee updates een virus werd geïnstalleerd dat aanvankelijk onbekend was.

2.    Maak de medewerkers bewust van oplichting met als doel vertrouwelijke informatie te stelen

De medewerkers van een bedrijf vormen de eerste verdedigingslinie. Je medewerkers moeten in staat zijn om oplichting en valse boodschappen te herkennen om de juiste reflexen te ontwikkelen. Cybercriminelen kunnen verschillende technieken gebruiken om te proberen de contactgegevens van de medewerkers te stelen en zo toegang te krijgen tot de bronnen van een organisatie. Phishing-e-mails  zijn een van de meest voorkomende vormen van oplichting. Cybercriminelen proberen hun slachtoffer ervan te overtuigen zijn wachtwoorden of vertrouwelijke informatie te delen. Het is dus belangrijk om regelmatig informatiesessies te organiseren om de medewerkers te leren niet te veel informatie te delen op sociale media en niet op een link te klikken of een bestand te openen zonder eerst de herkomst te analyseren.

3.    Update je toestellen en software zo snel mogelijk

Slechts één kwetsbaarheid in een systeem, applicatie of toestel volstaat voor cybercriminelen om schade aan te richten en toegang te krijgen tot informatie. Bijgevolg is het cruciaal om updates te installeren zodra deze beschikbaar zijn. Dit zorgt ervoor dat je cyberdefensie degelijk is en dat de leverancier de versie van het gebruikte systeem altijd blijft ondersteunen.

4.    Beveilig de toegang tot je accounts

Accounts zijn een toegangspoort tot de gehele omgeving van een organisatie. Daarom moeten ze worden beschermd met sterke, verschillende wachtwoorden voor elke account. Een sterk wachtwoord bestaat uit ten minste twaalf tekens en een combinatie van hoofdletters, kleine letters, cijfers en symbolen. Multifactorauthenticatie dient zoveel mogelijk te worden geactiveerd, in combinatie met sterke wachtwoorden. Bij multifactorauthenticatie moet een gebruiker minstens twee verschillende methodes hanteren (bv. een wachtwoord en pincode, een pincode en een code via sms) om zijn identiteit te controleren en toegang te krijgen.

5.    Maak regelmatig back-ups van kritieke gegevens

Maak een back-up van alle systemen, applicaties, servers en gegevens om ervoor te zorgen dat je zelfs bij een incident alle belangrijke informatie kan herstellen. Het is ook belangrijk dat je deze back-ups test om na te gaan dat ze, indien nodig, nog bruikbaar zijn na een incident.

6.    Gebruik alleen officiële websites en platformen om applicaties en andere software te downloaden

Gehackte applicaties en software worden meestal niet geïnfecteerd met malware. Het is daarom van groot belang dat er goed op wordt gelet dat alleen de officiële versies worden geïnstalleerd en gedownload, via de officiële platforms en websites van de verkopers.

7.    Beperk het aantal acties die met een beheerdersaccount kunnen worden uitgevoerd

Beperk het aantal beheerdersaccounts of bevoorrechte accounts tot een absoluut minimum. Niemand heeft beheerdersrechten voor dagelijkse opdrachten. Als iedereen beheerdersrechten heeft, kunnen cybercriminelen gemakkelijker de controle over het toestel overnemen of malware installeren.

8.    Controleer de installatie van software op bedrijfstoestellen door een lijst met gemachtigde software op te stellen

Een medewerker die op zoek is naar specifieke software en weinig of geen kennis heeft van cyberbeveiliging zal minder geneigd zijn om te controleren wat hij op het internet vindt. Daarom is het van primoridaal belang dat de IT-verantwoordelijke ermee instemt dat alle gedownloade software veilig en efficiënt is. Bovendien kan de IT-verantwoordelijke een witte lijst opstellen, namelijk een lijst met software die medewerkers op hun zakelijke apparaten mogen installeren.

9.    Implementeer processen voor toegangscontrolebeheer en gebruikersprovisioning

Cybercriminelen gebruiken vaak een bestaand account om toegang te krijgen tot de bronnen van een organisatie. De toegangscontrole moet correct worden beheerd en goed zijn verankerd in de organisatie. Pas de “least privilege”- en “need-to-know”-basisprincipes toe: gebruikers mogen alleen over de toegangen beschikken die ze nodig hebben voor hun werk. Die moeten altijd over de minimale toegang beschikken en niet over extra toegangen "voor het geval dat”.

Bovendien moet er een proces voor de provisioning van de gebruikerstoegangen worden geïmplementeerd. In dit proces wordt de procedure beschreven voor het verwijderen of wijzigen van toegang voor werknemers die van functie veranderen of de organisatie verlaten. Geen enkele organisatie is veilig voor een aanval van insiders, ook al zijn de voormalige medewerkers altijd loyaal geweest. Ze kunnen anders tegenover de organisatie gaan staan als ze niet vrijwillig zijn vertrokken.

10.    Vermijd wifi of openbare computers

Wifi of openbare computers zijn handig, omdat je hiermee vrijwel overal toegang krijgt tot professionele bronnen, kunt surfen op websites of je sociale media kunt beheren. Zoals de naam al aangeeft, zijn ze echter openbaar en heeft iedereen er toegang toe, ook de oplichters en cybercriminelen. Als ze slecht zijn geconfigureerd, kunnen ze worden gebruikt om de activiteiten van mensen die ermee verbonden zijn te controleren en hun informatie te stelen. Geef steeds de voorkeur aan het wifinetwerk van je organisatie en professionele apparaten om toegang te krijgen tot je bedrijfsmiddelen.

11.    Wees extra voorzichtig bij het surfen

Vermijd onbetrouwbare of illegale websites, zoals platforms met vervalste producten of software of illegale streamingdiensten. Op dergelijke websites word je vaker opgelicht, omdat cybercriminelen er makkelijker toegang toe krijgen.

12.    Beperk het gebruik van verwijderbare media  

Gebruik alleen verwijderbare media die door de IT-verantwoordelijke werd goedgekeurd om te controleren of ze niet zijn geïnfecteerd of ze je toestel niet kunnen beschadigen.

Een veelvoorkomend voorbeeld van oplichterij met valse technische ondersteuning is dat cybercriminelen een slachtoffer via telefoon, e-mail of een andere chatdienst laten weten dat zijn toestel op het punt staat uit te vallen wegens een technisch probleem. Vervolgens bieden ze een oplossing voor het genoemde probleem en vragen ze het slachtoffer snel te reageren door op een link te klikken, een bepaald telefoonnummer te bellen of een overschrijving uit te voeren. Via de gedeelde link proberen de aanvallers een phishing-aanval te lanceren om vertrouwelijke gegevens te stelen of een virus te installeren. Het telefoonnummer dient om het slachtoffer op zijn gemak te stellen door hem te laten denken dat het bij een officiële ondersteuningsdienst hoort. Maar daarop moet hij een aantal handelingen uitvoeren waarmee uiteindelijk ook vertrouwelijke gegevens worden vrijgegeven of een virus wordt geïnstalleerd.

1.    Informeer je medewerkers over oplichtingspraktijken bedoeld om vertrouwelijke informatie te stelen

De medewerkers van een organisatie vormen haar eerste verdedigingslinie. Je medewerkers moeten weten hoe ze oplichtingspraktijken en nepberichten kunnen herkennen, om de juiste reflexen aan te nemen. Cybercriminelen proberen op verschillende manieren de gegevens van medewerkers te stelen om toegang te krijgen tot de middelen van een organisatie. Een veel voorkomende manier is het gebruik van een phishing-e-mail, waarmee cybercriminelen hun slachtoffer proberen te overtuigen om wachtwoorden of vertrouwelijke informatie te delen. Het is dus belangrijk om regelmatig informatiesessies te houden om de medewerkers ervan te overtuigen dat ze niet te veel moeten delen op sociale media en nooit op een link moeten klikken of een bestand moeten openen zonder eerst te analyseren waar het vandaan komt.

2.    Let op wat je online plaatst

Sociale media en de website van een organisatie bereiken veel klanten. Het is echter niet mogelijk om het publiek dat toegang heeft tot de gedeelde informatie en berichten altijd volledig te controleren. Je deelt beter geen persoonlijke of vertrouwelijke informatie op die platforms, omdat ze voor kwaadaardige doeleinden kunnen worden gebruikt, zoals het achterhalen welke medewerkers op welke afdeling werken. De kans is dan groter dat zij niet weten hoe de technische ondersteuning hen kan bereiken.

3.    Beveilig de toegang tot je accounts

Accounts zijn een toegangspoort tot de hele omgeving van een organisatie. Ze moeten dus worden beschermd met sterke wachtwoorden die voor elke account anders zijn. Een sterk wachtwoord bestaat uit ten minste 12 tekens en heeft een combinatie van hoofdletters en kleine letters, cijfers en symbolen. In combinatie met een sterk wachtwoord moet waar mogelijk ook multifactorauthenticatie worden ingeschakeld. Bij multifactorauthenticatie moet een gebruiker ten minste twee verschillende methoden hanteren (bv. wachtwoord en pincode, pincode en een via sms ontvangen code) om zijn identiteit te verifiëren en hem toegang te verlenen tot de bron die hij probeert te bereiken.  

4.    Update je toestellen en software zo snel mogelijk

Aangezien cybercriminelen slechts één kwetsbaarheid in een systeem, applicatie of toestel nodig hebben om schade te veroorzaken en toegang te krijgen tot informatie, is het van cruciaal belang om updates te installeren zodra deze beschikbaar zijn. Dat versterkt cyberdefensie en is een garantie dat de gebruikte systeemversie nog steeds door de leverancier wordt ondersteund.

5.    Stel antivirus en lokale firewalls in op apparaten

Er zijn verschillende manieren waarop een apparaat door een virus kan worden geïnfecteerd: het openen van een bijlage, het klikken op een link, het aansluiten van een USB-stick of gewoon surfen op een website. Een virus is kwaadaardige software die tot doel heeft bronnen te beschadigen, bestanden te verwijderen, prestaties te vertragen of vertrouwelijke informatie te stelen. Als een virus eenmaal op de computer zit, kost het tijd, moeite en financiële middelen om het te verwijderen. Daarom is het beter om alle apparaten die verbinding mogen maken met het netwerk van de organisatie vooraf te beschermen met een antivirussoftware.

Bovendien moet een firewall worden gebruikt om de verzoeken om toegang tot het bedrijfsnetwerk te controleren en te filteren op basis van vooraf vastgestelde beveiligingsregels. De firewall fungeert als een muur tussen het bedrijfsnetwerk en een niet-vertrouwd netwerk (bv. thuisnetwerk, internet). Het stelt de organisatie in staat de externe toegang uitsluitend te beperken tot bevoegde personen.

6.    Kijk uit waar je surft

Vermijd het surfen op onveilige of illegale websites, zoals platforms die namaakgoederen of -software aanbieden, of illegale streamingdiensten. Op dit soort websites komt vaker oplichting voor omdat het voor cybercriminelen gemakkelijker is om er binnen te dringen.

7.    Gebruik alleen officiële websites en platforms om toepassingen en software te downloaden

Gepirateerde toepassingen en software zijn meestal geïnfecteerd met malware, dus zoek alleen naar installaties en downloads van officiële toepassingen, via de officiële platforms en websites van de leveranciers.

8.    Beperk de acties die kunnen worden uitgevoerd met een beheerdersaccount

Beperk het aantal beheerders- of bevoorrechte accounts tot het absolute minimum. Niemand mag beheerdersrechten hebben voor dagelijkse taken. Door de privileges die aan beheerdersaccounts verbonden zijn, wordt het voor cybercriminelen gemakkelijker om het apparaat over te nemen of malware te installeren.

9.    Maak regelmatig een back-up van uw kritieke bestanden

Maak een back-up van alle systemen, toepassingen, servers en gegevens om ervoor te zorgen dat, zelfs als zich een incident voordoet, alle belangrijke informatie nog steeds kan worden hersteld. Het is belangrijk om die back-ups regelmatig te testen om te bevestigen dat ze daadwerkelijk kunnen worden gebruikt als dat nodig is, na een incident.

1. Bel niet naar het nummer dat vermeld wordt in het bericht.
2. Rapporteer het incident onmiddellijk aan je IT-verantwoordelijke.
3. Laat niemand die je niet kent de controle over je apparaat overnemen.
4. Herstart je toestel.
5. Maak je browsergeschiedenis schoon door cache en cookies te verwijderen en alle parameters opnieuw te initialiseren. Als dat niet volstaat, verwijder dan je profiel volledig en maak er een nieuw aan.
6. Verwijder alle toepassingen of software die vreemd lijken of waarvan je je niet herinnert dat je ze geïnstalleerd hebt.
7. Scan je toestel met een antivirus.
8. Waarschuw je collega's dat ze misschien een bericht gaan krijgen van iemand die zich voordoet als technische ondersteuning, en dat ze dit niet moeten vertrouwen.
9. Wijzig alle gegeven wachtwoorden (indien die er zijn) op alle gebruikte accounts.
10. Als de oplichting bankgegevens betreft, neem dan onmiddellijk contact op met de financieel verantwoordelijke om hem op de hoogte te brengen van het incident. Als je merkt dat er geld is gestolen van je eigen bankrekening, dien dan zeker een klacht in bij de politie.
11. Als jij de verantwoordelijke bent van die bankrekening, bel dan Card Stop op +32 78 170 170 en controleer zeker je rekeningafschriften. Als je verdachte activiteiten vaststelt, bel dan onmiddellijk je bank zodat zij je kunnen helpen.

Er wordt gesproken over "accounthacking" wanneer een onbevoegde toegang krijgt tot een account en alle informatie erop en dat gebruikt voor kwaadaardige doeleinden, zoals diefstal van gevoelige gegevens of het bereiken van een groter netwerk van mensen waarmee het slachtoffer is verbonden. Deze oplichting kan betrekking hebben op eender welk online account: (persoonlijke en zakelijke) mailbox, sociale media, administratieve websites, online platforms, bedrijfstoepassingen, chatdiensten etc. Accounthacking kan rampzalige gevolgen hebben, zoals geld- of identiteitsdiefstal.

De hackers kunnen op verschillende manieren toeslaan:

• voordeel halen uit zwakke wachtwoorden,
• phishingaanvallen uitvoeren en slachtoffers overtuigen hun contactgegevens te delen, of
• specifieke virussen gebruiken om wachtwoorden te stelen.

1.    Maak de medewerkers bewust van oplichting met als doel vertrouwelijke informatie te stelen

De medewerkers van een bedrijf vormen de eerste verdedigingslinie. Je medewerkers moeten in staat zijn om oplichting en valse boodschappen te herkennen om de juiste reflexen te ontwikkelen. Cybercriminelen kunnen verschillende technieken gebruiken om te proberen de contactgegevens van de medewerkers te stelen en zo toegang te krijgen tot de bronnen van een organisatie. Phishing-e-mails  zijn een van de meest voorkomende vormen van oplichting. Cybercriminelen proberen hun slachtoffer ervan te overtuigen zijn wachtwoorden of vertrouwelijke informatie te delen. Het is dus belangrijk om regelmatig informatiesessies te organiseren om de medewerkers te leren niet te veel informatie te delen op sociale media en niet op een link te klikken of een bestand te openen zonder eerst de herkomst te analyseren.

2.    Beveilig de toegang tot je accounts

Accounts zijn een toegangspoort tot de gehele omgeving van een organisatie. Daarom moeten ze worden beschermd met sterke, verschillende wachtwoorden voor elke account. Een sterk wachtwoord bestaat uit ten minste twaalf tekens en een combinatie van hoofdletters, kleine letters, cijfers en symbolen. Multifactorauthenticatie dient zoveel mogelijk te worden geactiveerd, in combinatie met sterke wachtwoorden. Bij multifactorauthenticatie moet een gebruiker minstens twee verschillende methodes hanteren (bv. een wachtwoord en pincode, een pincode en een code via sms) om zijn identiteit te controleren en toegang te krijgen.

3.    Update je toestellen en software zo snel mogelijk

Slechts één kwetsbaarheid in een systeem, applicatie of toestel volstaat voor cybercriminelen om schade aan te richten en toegang te krijgen tot informatie. Bijgevolg is het cruciaal om updates te installeren zodra deze beschikbaar zijn. Dit zorgt ervoor dat je cyberdefensie degelijk is en dat de leverancier de versie van het gebruikte systeem altijd blijft ondersteunen.

4.    Bescherm je toestellen met lokale antivirussoftware en firewalls

Een virus kan een toestel op verschillende manieren infecteren: wanneer je een bijlage opent, op een link klikt, een USB-stick aansluit of gewoon op een website surft. Een virus is malware die erop gericht is bronnen te beschadigen, bestanden te verwijderen, prestaties te vertragen of vertrouwelijke informatie te stelen. Zodra een virus je computer heeft geïnfecteerd, zal het tijd, moeite en geld kosten om het te verwijderen. Daarom is het beter om alle toestellen die verbinding kunnen maken met het netwerk van de organisatie vanaf het begin te beschermen met een antivirussoftware.

Je wordt ook aangeraden om een firewall te installeren voor het waken over en filteren van verzoeken tot netwerktoegang van het bedrijf op basis van vooraf bepaalde beveiligingsregels. De firewall fungeert als een muur tussen het bedrijfsnetwerk en een onbetrouwbaar netwerk (thuisnetwerk, internet etc.). Bijgevolg kan de organisatie de externe toegang beperken tot enkel de gemachtigde personen.

5.    Wees extra voorzichtig bij het surfen

Vermijd onbetrouwbare of illegale websites, zoals platforms met vervalste producten of software of illegale streamingdiensten. Op dergelijke websites word je vaker opgelicht, omdat cybercriminelen er makkelijker toegang toe krijgen.

6.    Controleer webadressen

Cybercriminelen gebruiken vaak een webadres dat lijkt op het echte adres van de beoogde organisatie (bijv. myorganisation[.]be in plaats van my[.]organisation[.]be) om hun oplichterij te verhullen. Ze kunnen ook een ander domein gebruiken dan het echte domein (bijv. .org in plaats van .com of .be ).  Ze kunnen ook spelen met letters en cijfers om mensen wijs te maken dat ze op de juiste website surfen. Ze gebruiken dan een hoofdletter "i" om de letter "l" of een nul om de letter “o” te vervangen.

7.    Vermijd wifi of openbare computers

Wifi of openbare computers zijn handig, omdat je hiermee vrijwel overal toegang krijgt tot professionele bronnen, kunt surfen op websites of je sociale media kunt beheren. Zoals de naam al aangeeft, zijn ze echter openbaar en heeft iedereen er toegang toe, ook de oplichters en cybercriminelen. Als ze slecht zijn geconfigureerd, kunnen ze worden gebruikt om de activiteiten van mensen die ermee verbonden zijn te controleren en hun informatie te stelen. Geef steeds de voorkeur aan het wifinetwerk van je organisatie en professionele apparaten om toegang te krijgen tot je bedrijfsmiddelen.

8.    Controleer regelmatig je accountlogins

Als de website het toestaat, kan je alle logins op een account nagaan, alsook met welke toestellen er werd aangemeld Controleer die lijst regelmatig om er zeker van te zijn dat er alleen bekende toestellen en locaties zijn gebruikt om in te loggen op een account. Wanneer een onbekend apparaat of een onbekende locatie in de lijst wordt weergegeven, moet je dit onmiddellijk verwijderen en moet je je wachtwoord onmiddellijk wijzigen.

9.    Verwijder ongebruikte accounts

Als je een account niet meer gebruikt, is het beter om het volledig te verwijderen om ervoor te zorgen dat de informatie op het account niet meer toegankelijk is zonder dat de eigenaar hiervan op de hoogte is.

10.    Vul alleen de strikt noodzakelijke gegevens in

Bepaalde persoonlijke gegevens zijn niet nuttig voor specifieke diensten. Je hoeft je rijksregisternummer bijvoorbeeld niet op te geven om iets te kopen. Als een website vraagt om ongebruikelijke informatie voor de dienstverlening, dan kan dat wijzen op oplichting.

11.    Meld je altijd af van je accounts

Meld je altijd af van de accounts die je niet aan het gebruiken bent. Op die manier kan iemand die toegang krijgt tot het toestel, niet onmiddellijk toegang krijgen tot alle accounts vanop het toestel.

1. Meld het incident onmiddellijk aan je IT-verantwoordelijke.
2. Waarschuw je collega's dat ze mogelijk een bericht krijgen van iemand die zich voor jou uitgeeft, maar dat ze er niet op in mogen gaan.
3. Wijzig alle opgeslagen wachtwoorden (indien van toepassing) op alle gebruikte accounts.
4. Als je de accounts niet meer kan openen, gebruik dan de herstelopties om opnieuw toegang te krijgen, wijzig vervolgens al jouw wachtwoorden.
5. Analyseer je toestel met een antivirussoftware.
6. Als de oplichting betrekking had op bankgegevens, contacteer dan onmiddellijk je financieel verantwoordelijke om het incident te melden. Als je merkt dat er geld van je bankrekening is gestolen, dien dan klacht in bij de politie.
7. Als je de beheerder bent van deze bankrekening, bel dan Card Stop op het nummer +32 78 170 170 en controleer je rekeningafschriften. Als je een verdachte activiteit herkent, bel dan onmiddellijk je bank, zodat ze je kan helpen.
8. Controleer je posts en bestellingen. Als je merkt dat er een wijziging is aangebracht of dat iemand anders een bestelling heeft geplaatst, sla dan het bewijsmateriaal op, verwijder de posts of annuleer de bestellingen en neem contact op met de betreffende diensten om een klacht in te dienen.

Een Distributed Denial of Service (DDoS)-aanval verstoort de normale werking van de webhost of -server van een organisatie door deze te overbelasten met een enorme hoeveelheid paginaverzoeken. In het echte leven is dat te vergelijken met een monsterfile: een auto wil van punt A naar punt B, maar andere auto's blijven tussen hem en de eindbestemming komen, zodat hij vast komt te zitten. De denial of service-aanval maakt de webpagina en de diensten ze levert onbeschikbaar totdat de aanval stopt, wat kan leiden tot een aanzienlijk financieel en productiviteitsverlies voor de organisatie omdat ze deze diensten niet meer kan aanbieden.

Een goed uitgangspunt is naar je eigen websites surfen als was je een externe gebruiker. Als de website onbeschikbaar is, kan dat erop wijzen dat ze gecompromitteerd is en dat het om een DDoS-aanval gaat. De IT-verantwoordelijke moet een onderzoek instellen om de oorzaak van de onbeschikbaarheid van de website vast te stellen en het type aanval te bepalen.

Daarnaast kunnen detectiemiddelen worden ingesteld om vast te stellen of een indringing aan de gang is of al heeft plaatsgevonden. Het monitoren van alle kritieke systemen die de werking van een organisatie garanderen, is van cruciaal belang om te zorgen voor een goed beschermingsniveau tegen een websitehack. Als er daadwerkelijk iets aan de hand is, kunnen de IT-verantwoordelijke en zijn team worden gewaarschuwd via meldingen die ze vooraf hebben ingesteld. Daarnaast bestaan er verschillende websitebewakingstools die kunnen helpen bij het opsporen van (inhoudelijke) wijzigingen van een website, zoals een aanvaller die probeert de website te linken aan nieuw opgezette domeinen.

Wanneer een organisatie overweegt websitebewakingstools te implementeren, is het belangrijk om de kosten af te wegen tegen de baten. Er zijn doorgaans drie aspecten die deze tools kunnen controleren: beschikbaarheid, snelheid en inhoud. Er bestaat echter geen pasklare oplossing. De totale kosten zullen afhangen van hoe zwaar en regelmatig een organisatie de inhoud van haar website wil bewaken. Dat is verschillend voor elke organisatie, afhankelijk van de behoeften en eisen: als de website een sleutelelement is voor het uitvoeren van de dagelijkse werkzaamheden of het verlenen van diensten aan klanten, is het beter om te investeren in websitebewakingstools.

1.    Activeer en configureer een Web Application Firewall

De Web Application Firewall controleert inkomend en uitgaand netwerkverkeer om communicatie toe te staan of te weigeren op basis van gedefinieerde beveiligingsregels. Hij fungeert als een controleur tussen de server en de client en door het verkeer te ontsleutelen analyseert hij de verzoeken van de gebruikers om toegang tot het netwerk. Als hij dan volgens zijn configuratieregels iets verdachts detecteert, kan hij meldingen genereren en naar de IT-verantwoordelijke en zijn team sturen, die vervolgens beslissen welke acties er moeten worden ondernomen.

2.    Update alle software, besturingssystemen en internetbrowsers

Cybercriminelen zoeken altijd naar kwetsbaarheden om uit te buiten, dus het is belangrijk om alle systemen up-to-date te houden. Op die manier wordt steeds de laatste en veiligere versie geïnstalleerd.

3.    Hou alle webservercomponenten up-to-date

Zoals voor alle informatie- en technologiesystemen zijn ook updates van websitecomponenten van cruciaal belang om ervoor te zorgen dat bekende kwetsbaarheden worden verholpen, zodat hackers geen kans krijgen om ze uit te buiten.

De typische componenten van een webserver omvatten:

• de BIOS/firmware van de hardware waarop de organisatieserver draait;
• het besturingssysteem van de server;
• de gebruikte webservice (bv. Apache, nginx, IIS etc..);
• het content management-systeem (bv. Drupal, Joomla, WordPress etc.);
• optioneel de virtualisatielaag.

Zeer weinig organisaties bouwen hun website vanaf nul. Ze doen meestal een beroep op derden, die een grote hoeveelheid plug-ins en thema's aanbieden. Zorg ervoor dat die ook up-to-date zijn. De ontwikkelaars van derden zijn voortdurend op zoek naar nieuwe kwetsbaarheden. Het uitvoeren van updates is dus cruciaal om over de minst kwetsbare versie van de gebruikte componenten te beschikken.

4.    Beveilig de toegang tot en update het content management-systeem  

Zoals eerder vermeld, is een van de belangrijke stappen om een content management-systeem te beveiligen, het up-to-date houden van het systeem en de plug-ins. Cybercriminelen zijn altijd op zoek naar nieuwe kwetsbaarheden om uit te buiten, maar er worden beveiligingspatches uitgebracht om die kwetsbaarheden te verhelpen. Het is dus belangrijk om de updates te installeren zodra ze beschikbaar zijn.

Daarnaast kan het content management-systeem worden beschermd door geen gebruik te maken van de standaardconfiguratie voor accounts en wachtwoorden, maar een eigen admin-account aan te maken met een voldoende sterk wachtwoord, aangevuld met multifactorauthenticatie. Bij multifactorauthenticatie moet een gebruiker ten minste twee verschillende methoden hanteren (bv. wachtwoorden en pincode, pincode en een code via sms) om de identiteit te verifiëren en toegang te krijgen tot de bron die hij probeert te raadplegen.

Ten slotte moet het toegangsbeheerproces voorzien in een regelmatige herziening van de gebruikerslijst. Dit geldt niet alleen voor gebruikers die toegang hebben tot het content management-systeem, maar ook voor alle andere gebruikers binnen de organisatie in het algemeen. Door deze herziening kan de organisatie nagaan of er geen testgebruikers meer actief zijn, en of er geen onnodige gebruikers zijn toegevoegd.

5.    Gebruik sterke wachtwoorden en multifactorauthenticatie

Mensen hebben de neiging zwakke wachtwoorden te gebruiken omdat die gemakkelijker te onthouden zijn. Een gemakkelijk te onthouden wachtwoord is echter ook gemakkelijk te hacken. Het is dus belangrijk om alleen sterke wachtwoorden toe te staan, die hoofdletters en kleine letters, cijfers en symbolen bevatten. Daarnaast voegt multifactorauthenticatie een extra laag toe om de accounts te beschermen.

6.    Verzeker je ervan dat je internetprovider duidelijke procedures heeft om op een aanval te reageren en deze te voorkomen

Het is belangrijk om te bepalen of je organisatie rechtstreeks met het internet verbonden is, dan wel of ze een Internet Service Provider (ISP) gebruikt. Als er een contract is met een Internet Service Provider, kijk dit contract grondig na en ga na wat hun procedures zijn in geval van een aanval. Internet Service Providers vormen de poort tussen een organisatie en het internet. Dat leidt tot steeds meer bezorgdheid over DDoS-aanvallen en de complexiteit ervan. De meeste providers investeren fors in het voorkomen van die aanvallen.

Als jouw organisatie haar eigen netwerken beheert, denk er dan aan om verschillende beveiligingszones in het netwerk te creëren (bv. basisnetwerksegmentatie door middel van VLAN's of andere mechanismen voor netwerktoegangscontrole) en controleer/bewaak het verkeer tussen deze zones. Zorg er daarnaast voor dat ongebruikte diensten worden uitgeschakeld of uit het netwerk worden gefilterd en laat nooit het standaardwachtwoord op de internetrouter of andere systemen staan. Ten slotte moeten besturingssystemen, programma's en routers automatisch worden bijgewerkt.

7.    Beperk het aantal paginaverzoeken per gebruiker

Beperk het aantal paginaverzoeken dat een gebruiker kan verzenden, bijvoorbeeld tot duizend verzoeken per persoon per 24 uur. Dat beperkt de mogelijkheid dat het netwerk overbelast wordt.

8.    Verkies clouddiensten boven lokaal gehoste diensten

Clouddiensten zijn veel beter beschermd tegen DDoS-aanvallen dan lokaal gehoste diensten, vooral als het gaat om e-maildiensten of andere online platforms. De extra beschermingslaag die de cloud biedt, is dat de diensten ruim beschikbaar blijven.

9.    Analyseer de website om de meest voorkomende kwetsbaarheden op te sporen

Een website testen op bekende kwetsbaarheden is een goede manier om vast te stellen of ze vanuit beveiligingsoogpunt klaar is om live te gaan of niet. Door de bestaande kwetsbaarheden te identificeren, is er meer tijd om ze te verhelpen voordat een cybercrimineel ze gebruikt en daadwerkelijk aanzienlijke schade veroorzaakt. Beveiligingsexperts kunnen bijstand verlenen door bijvoorbeeld penetratietests en audits uit te voeren om de veiligheid van een website te beoordelen.

1.    Meld het incident aan de IT-verantwoordelijke van de organisatie

Zodra een ongebruikelijke verandering op de website wordt vermoed, moet dit onmiddellijk worden gemeld aan de IT-verantwoordelijke binnen de organisatie, zodat deze de nodige herstelstappen kan nemen.

2.    Verzamel alle noodzakelijke forensische gegevens

Een DDoS-aanval is een cybermisdaad die bij de politie moet worden aangegeven. Om een klacht in te dienen, kan je verschillende elementen verzamelen om het dossier aan te vullen: screenshots van de aangevallen website, screenshots van alles wat vreemd lijkt op de apparaten en logbestanden van de firewall en de servers.

3.    Maak een kopie van alle gecompromitteerde apparaten

Indien mogelijk moeten alle geïnfecteerde apparaten voor forensische doeleinden op een fysieke drager worden gekopieerd.

4.    Meld het incident bij de politie en dien een klacht in

Een DDoS-aanval is strafbaar en moet aan de autoriteiten worden gemeld, zodat ze de verantwoordelijken kunnen opsporen en voorkomen dat ze andere aanvallen uitvoeren.

5.    Wijzig alle eventueel doorgegeven wachtwoorden  

Deze wachtwoorden moeten worden gewijzigd op alle gebruikte accounts.

6.    Maak een inventaris van alle gevoelige informatie waartoe toegang is verkregen of die is gestolen

Dit helpt om de omvang van de aanval te beoordelen om te anticiperen op wat de hacker in de toekomst zou kunnen doen om andere aanvallen uit te voeren.

7.    Identificeer en verhelp alle kwetsbaarheden die werden gebruikt om toegang te krijgen

Door precies te bepalen hoe de aanvaller toegang kreeg tot een bron, kunnen de nodige herstelmaatregelen worden genomen om ervoor te zorgen dat deze kwetsbaarheid niet opnieuw kan worden gebruikt voor andere aanvallen. Dit kan bijvoorbeeld door het installeren van een beveiligingspatch of het wijzigen van een gecompromitteerd wachtwoord.

8.    Informeer de websiteprovider en de Internet Service Provider

Als er een externe provider betrokken is, moet deze worden gecontacteerd en geïnformeerd over het incident, zodat deze ook de nodige stappen kan ondernemen om het probleem te verhelpen.

9.    Neem indien nodig contact op met officiële externe beveiligingsspecialisten

Niet elke organisatie beschikt over voldoende middelen om een cyberincident efficiënt te verhelpen. Er zijn verschillende beveiligingsspecialisten die kunnen worden ingehuurd om het incident te helpen oplossen. Die specialisten mogen alleen afkomstig zijn van officiële organisaties, zoals bekende adviesbureaus, om te voorkomen dat er een oplichter wordt ingehuurd.

Cybercriminelen bereiden een cyberaanval grondig voor om ervoor te zorgen dat hun plan slaagt. Zo georganiseerd als een cyberaanval is, zo methodisch moet ook de oplossing zijn om deze te verhelpen. Het beheer van zo'n crisis moet op het hoogste niveau van de organisatie plaatsvinden, waarbij de IT-verantwoordelijke, zijn team en, indien de organisatie er een heeft, het beveiligingsteam, betrokken zijn. De onmiddellijke doelstellingen zijn de impact van de aanval beperken, zorgen dat de activiteiten zo snel mogelijk kunnen hervatten en bijkomende veiligheidsmaatregelen opstellen die moeten voorkomen dat het incident opnieuw gebeurt.

Het beheer van cyberbeveiligingsincidenten is geen lineair proces; het is een cyclus die voorbereiding, detectie, inperking van het incident, mitigatie en herstel omvat. Tot slot moeten lessen worden getrokken uit het incident om het proces te verbeteren en zich voor te bereiden op toekomstige crisissen. Communicatie met interne en externe stakeholders is in dit onderdeel van de cyclus van cruciaal belang.

Dit artikel heeft als doel organisaties die het slachtoffer zijn van een cyberaanval of die zich er zo goed mogelijk op willen voorbereiden, te helpen bij het herkennen van de belangrijkste acties om het incident te kunnen afhandelen.

Er kunnen specifieke acties worden ondernomen om een lopende cyberaanval te verhinderen en de risico's ervan te beperken:

1.    Licht je IT-verantwoordelijke onmiddellijk in

De IT-verantwoordelijke zal best weten hoe hij het incident kan afhandelen en het zo snel mogelijk kan oplossen. Als je organisatie geen IT-verantwoordelijke heeft, neem dan contact op met een directielid en volg de instructies op.

2.    Isoleer geïnfecteerde bronnen

Door alle verbindingen van geïnfecteerde bronnen met het internet en het lokale bedrijfsnetwerk te verbreken, blokkeer je de toegang voor cybercriminelen, die niet van het ene systeem naar het andere kunnen gaan om de aanval te verspreiden. Schakel de beschadigde computers NIET uit, anders verwijder je de sporen die de daders van de cyberaanval achterlieten.

3.    Wijs een crisisbeheerteam aan

Het beheer van de acties op de verschillende betrokken gebieden (technisch, HR, financieel, communicatie, juridisch etc.) is een sleutelelement in het beheer van een cybercrisis. Het crisisbeheerteam moet toezien op de specifieke acties die moeten worden ondernomen op elk gebied tijdens de crisis. Gevoelige communicatie over de evolutie van het incident dient via een afzonderlijk en beveiligd kanaal te gebeuren.

4.    Hou een register bij van alle gebeurtenissen en uitgevoerde acties

Hou een register bij van alle gebeurtenissen en uitgevoerde acties om deze aan de onderzoekende autoriteit te kunnen voorleggen en om de IT-verantwoordelijke te helpen vast te stellen welke lessen uit het incident kunnen worden getrokken.

5.    Bewaar al het bewijs van de aanval

IT-specialisten voeren deze taak uit. Ze zullen de beschadigde computer onderzoeken en proberen te achterhalen wie de infectie heeft veroorzaakt aan de hand van bijvoorbeeld wijzigingen in het systeem, configuratiebestanden of bedrijfsgegevens. Ze zullen ook vaststellen of de daders van de infectie kwaadaardige software hebben geïnstalleerd. Tot slot is het belangrijk om alle logbestanden op het systeem grondig te onderzoeken.
Bewaar alle ontvangen berichten, getroffen toestellen, verbindingslogs etc. als bewijs. Deze elementen zullen van belang zijn voor het verdere onderzoek, net als de registratie van de gebeurtenissen en acties.

1.    Werk noodoplossingen uit

Bepaal welke andere bronnen kunnen worden gebruikt ter vervanging van geïnfecteerde bronnen om de continuïteit van kritieke activiteiten te waarborgen. Als de organisatie een bedrijfscontinuïteitsplan of noodherstelplan heeft, kunnen die worden gebruikt om te bepalen welke maatregelen nodig zijn om de crisis te beheren.

2.    Meld het incident aan de bevoegde autoriteiten

De melding van een incident kan niet alleen bijdragen tot de analyse van de situatie, maar kan ook andere organisaties helpen om niet het slachtoffer te worden van dezelfde aanval. In sommige gevallen kan een melding ook wettelijk verplicht zijn.

•    Politie
In geval van geldverlies of -afpersing word je aangeraden het incident te melden aan de politie. Je kan een klacht indienen bij de lokale politie. Wanneer je klacht indient, is het belangrijk om zoveel mogelijk informatie (relevante bankafschriften, screenshots, afdrukken etc.) te verstrekken.

•    Bank en Card Stop
Neem contact op met je bank en Card Stop op 078 170 170 als je je bankrekeninggegevens hebt doorgegeven, als er geld van je bankrekening is verdwenen of je geld aan een oplichter hebt overgemaakt. Frauduleuze transacties kunnen dan worden geblokkeerd. Als je wil dat de oplichting wordt gemeld, kun je je bank telefonisch contacteren via het nummer op https://beschermjezelfonline.be/

•    Safeonweb
Als je een verdachte e-mail of een verdacht bericht hebt ontvangen, stuur het dan naar verdacht@safeonweb.be en verwijder het.

•    Meldingsplicht voor NIS-incidenten
Je moet je meldingen doen via het NIS-meldingsplatform (https://nis-incident.be/nl). Je kan naar het platform surfen via een beveiligde verbinding en met een unieke identificatiesleutel voor elke DDV en AED (login/gebruikersnaam en wachtwoord). Indien het platform niet beschikbaar is, moet het incident worden gemeld via de CCB-website. Het platform zorgt ervoor dat het verslag bij het CCB, het Nationaal Crisiscentrum en de betrokken autoriteiten wordt ingediend.
Voor meer informatie, zie [https://ccb.belgium.be/nl/wettelijk-kader-voor-aanbieders-van-essenti%C3%ABle-diensten-aed] en [https://ccb.belgium.be/nl/wettelijk-kader-voor-digitaledienstverleners-ddv].

3.    Bepaal de oorsprong en de omvang van de aanval

Door het beginpunt van de aanval en het aantal geïnfecteerde bronnen te identificeren, kunnen er geschikte maatregelen worden genomen om bestaande veiligheidsproblemen te verhelpen en te vermijden dat de situatie opnieuw voorkomt.

4.    Beheer de crisiscommunicatie

Bepaal de mate van detail en transparantie die nodig is om informatie te delen met alle betrokkenen (bijvoorbeeld medewerkers, klanten, leveranciers, stakeholders, media etc.)

Communiceer snel en vaak en hou je interne medewerkers, leveranciers, dienstverleners en klanten op de hoogte. Meestal is het geen goed idee om een aanval te verbergen, omdat het de reputatie van je organisatie kan schaden. Wees zo transparant mogelijk over de aanval tegenover je medewerkers, stakeholders, klanten of gebruikers en de pers. Zelfs als je niet alle antwoorden hebt, is het van essentieel belang om de stakeholders te informeren.

5.    Vergeet je wettelijke verplichtingen niet

Er bestaan wettelijke verplichtingen om autoriteiten zoals DPA/GBA/APD in kennis te stellen van een vermoedelijk datalek (doorgaans binnen de 72 uur). https://www.gegevensbeschermingsautoriteit.be/burger/acties/contact (internetsite beschikbaar in NL en FR). Contacteer je Data Protection Officer (DPO). Het juridisch team en/of de DPO kunnen eveneens een klacht indienen bij de lokale politie.

Wat moet je doen na de crisis?

6.    Hervat de werkzaamheden geleidelijk

Controleer of de aanvallers de veiligheid en integriteit van je back-upsysteem niet hebben gecompromitteerd.
Herstel je authenticatiesysteem, werk het bij, start het opnieuw op en stel de multifactorauthenticatie in. Herstel een systeem niet met back-ups die meteen voor of na de aanval werden gemaakt. Pas de vorige richtlijnen eerst toe en begin pas daarna met de heropbouw van je systeem op basis van back-ups. Zorg ervoor dat je geen gezonde systemen opnieuw infecteert tijdens het herstelproces. Nadat het systeem is hersteld, moet je ervoor zorgen dat er geen sporen van de aanval op het systeem achterblijven voordat je het systeem opnieuw in je netwerk opneemt. Herstel je systemen volgens de prioriteiten van de kritieke diensten. Herstel eerst de servers en daarna de eindpunten. Verwijder of isoleer oude systemen en protocollen volledig.

7.    Trek lessen uit de aanval

Geen enkele organisatie wil dezelfde aanval opnieuw meemaken. Daarom is het belangrijk om zoveel mogelijk lessen te trekken uit de incidenten en om een actieplan op te stellen om te bepalen welke veiligheidsmaatregelen en investeringen (bijvoorbeeld financieel, menselijk, contractueel etc.) moeten worden door gevoerd om de bescherming van de middelen te verbeteren.

8.    Voorkom een nieuwe aanval

Je antivirussoftware moet absoluut up-to-date zijn, evenals alle applicaties die op je werkstation zijn geïnstalleerd. Installeer een firewall en een inbraakdetectiesysteem. Implementeer een beleid voor veilig wachtwoordbeheer en installeer multifactorauthenticatie waarbij een gebruiker twee of meer verschillende methoden moet hanteren (bijvoorbeeld een wachtwoord en een pincode, een pincode en een sms-code) om zijn identiteit te verifiëren en toegang te krijgen tot de bron die hij wil raadplegen.

Hoe langer, hoe beter. Lange wachtwoorden zijn efficiënter omdat ze voor cybercriminelen moeilijker te hacken zijn, gezien de vele mogelijkheden die het aantal tekens kan geven. Wachtwoorden moeten uit minstens 12 tekens bestaan, waarbij kleine letters, hoofdletters, cijfers en symbolen worden gecombineerd om de complexiteit te vergroten.

Een goede techniek om een sterk wachtwoord in te stellen is het maken van een 'wachtwoordzin', bv.: "Alice is op het strand in Oostende". Kort de namen in en hou het gewenste aantal letters over, bv.: "Ae is op ht str in Oo". Maak dit wachtwoord nog sterker door enkele letters toe te voegen of te vervangen door cijfers en/of symbolen. Vervang een ‘e’ bijvoorbeeld door het cijfer 3 of een 's' door het cijfer 5. Kies een willekeurig getal en symbolen, maar zorg ervoor dat je de uiteindelijke volgorde onthoudt.

Cybercriminelen kunnen phishingtechnieken gebruiken of een website hacken om wachtwoorden te stelen en toegang te krijgen tot persoonlijke informatie, of de gelekte identificatiegegevens te verkopen op het dark web. Met die gestolen informatie willen ze schade toebrengen door geld te stelen of gevoelige informatie te gebruiken om ongewenste en/of illegale diensten te verkrijgen. Zodra ze één wachtwoord kennen, zullen ze dat wachtwoord ook op andere accounts uitproberen en trachten toegang te krijgen tot meer diensten om nog meer schade aan te richten, of ze zullen zich binnen het organisatienetwerk proberen te verplaatsen om toegang te krijgen tot meer informatie. Om het risico op compromittering van meerdere accounts te beperken, is het dus van groot belang dat je verschillende wachtwoorden gebruikt voor verschillende accounts.

Multifactorauthenticatie is een betrouwbare manier om het gebruik van wachtwoorden te versterken. Bij multifactorauthenticatie worden meerdere manieren – factoren – gebruikt om aan te tonen dat je bent wie je beweert te zijn en toegang te krijgen tot je account.

Die factoren kunnen zijn:

• Iets dat je weet (wachtwoord of PIN),
• Iets dat je hebt (telefoon of token) of
• Iets dat je bent (vingerafdrukken of gezicht).

Multifactorauthenticatie vereist de combinatie van minstens twee van deze factoren om je toegang te geven tot een account. Je kan bijvoorbeeld een wachtwoord gebruiken en een code die via een tekstbericht naar je mobiele telefoon wordt verzonden. Daarnaast kan bij multifactorauthenticatie ook gebruik worden gemaakt van een verificatie-app. Itsme® bijvoorbeeld is een gratis Belgische app waarmee elke inwoner op een veilige, gemakkelijke en betrouwbare manier zijn identiteit kan bewijzen of transacties kan bevestigen. Naast deze app kunnen ook andere bekende verificatie-apps worden gebruikt: Google Authenticator, Microsoft Authenticator of Authy.

De meest gebruikte diensten bieden een vorm van tweestapsverificatie  en hebben een korte instructiepagina. Je vindt al deze diensten en instructies op https://www.safeonweb.be/nl/tweestapsverificatie-toevoegen-hoe-doe-ik-dat.

Hoewel het geen wondermiddel is, zal dit het een aanvaller toch moeilijker maken om jou of je organisatie te compromitteren. Meestal is dit voldoende om een opportunistische aanvaller af te schrikken.

Wachtwoordkluizen: een gemakkelijke manier om al je wachtwoorden te onthouden

Verschillende, sterke wachtwoorden voor verschillende accounts kunnen helpen om informatie te beschermen. In het dagelijks leven gebruiken mensen echter veel verschillende accounts en kan het behoorlijk lastig zijn om een wachtwoord voor elk van die accounts te onthouden. Dit betekent niet dat ze voor alle accounts hetzelfde wachtwoord moeten gebruiken en het risico om gehackt te worden moeten aanvaarden. Er werd hier immers een specifieke oplossing voor ontwikkeld: de wachtwoordkluis.

Wachtwoordkluizen helpen alle verschillende wachtwoorden te beheren door ze veilig op te slaan. Sommige wachtwoordkluizen kunnen zelfs willekeurige wachtwoorden genereren en ervoor zorgen dat ze sterk genoeg zijn. Stel één sterk wachtwoord in om toegang te krijgen tot de wachtwoordkluis.

Veel wachtwoordkluizen zijn beschikbaar in een gratis of betalende versie. Je kan je ICT-verantwoordelijke raadplegen voor advies over de keuze van een wachtwoordkluis. Die dient wel in overeenstemming te zijn met het beleid van de organisatie. Om je te helpen vind je hier een lijst met een aantal wachtwoordkluizen:

• Bitwarden
• Keeper
• Dashlane
• KeePassXC
• Keepass
• Lastpass
• LogMeOnce
• 1Password

Zoals elke technologische oplossing kunnen ook wachtwoordkluizen kwetsbaarheden vertonen waarvan misbruik kan worden gemaakt. De fabrikanten doen er echter alles aan om het product veilig te houden. Om een extra beschermingslaag toe te voegen, raden we aan om multifactorauthenticatie te gebruiken om toegang te krijgen tot de wachtwoordkluis.

Als er aanwijzingen zijn dat een wachtwoord werd onthuld of gedeeld, verander dan onmiddellijk al je wachtwoorden. Vergeet niet om de wachtwoorden grondig te wijzigen. Slechts één letter of cijfer toevoegen zal geen groot effect hebben, aangezien de meeste hackers een lijst bijhouden van combinaties van gehackte accounts.

Werd je professioneel wachtwoord onthuld of gedeeld, neem dan contact op met je ICT-verantwoordelijke en volg zijn instructies.