Nieuwe risico’s: stay sharp!

Met de komst van het coronavirus en de daarbij horende maatregel dat er veel mensen vanuit huis werken (Microsoft zag afgelopen week een groei van 12 miljoen Microsoft Teams gebruikers), zie ik als security expert ook het aantal cybersecurity aanvallen significant stijgen. Zo werd het Amerikaanse ministerie van gezondheid aangevallen, maar ook ziekenhuizen in Spanje zijn aangevallen door cybercriminelen. Deze instanties worden gevraagd om digitaal geld (Bitcoin) over te maken, terwijl criminelen gevoelige informatie ‘gegijzeld’ houden en systemen niet beschikbaar zijn. Dit soort grote aanvallen op hele belangrijke instanties zijn enorm gevaarlijk, maar er worden ook kleinere aanvallen uitgevoerd. Zo worden er zeer veel phishing mails verstuurd met zogenaamde informatie over het coronavirus zoals bijvoorbeeld bestanden met de naam: ‘CORONAVIRUS_COVID-19.vbs’.

Als Security expert bij InSpark vind ik het belangrijk om iedereen erop te wijzen dat ze voorzichtig moeten zijn met dit soort cyberaanvallen. Wij als wereldwijde #1 security partner van Microsoft zijn goed beschermd, maar een cyberaanval zit in een klein hoekje. Met deze blog wil ik mensen en organisaties bewust maken van de risico’s, en ook de handvatten bieden om de risico’s van een cyberaanval te verkleinen door kennis te vergroten.

Zakelijk vs. privé

Corona (COVID-19) heeft impact op alle lagen van de bevolking, zowel op zakelijk als persoonlijk vlak. De gekozen aanpak om verspreiding te voorkomen (minimaliseren), is het vermijden van contact tussen mensen. Voor organisaties betekent dit vooral thuiswerken. Persoonlijk werk ik al met de Microsoft Cloud sinds 2010 (BPOS, de voorloper van Office 365), met de komst van Microsoft Office 365 is het een zeer volwassen product. De keten van Office 365 componenten heet de modern workplace, waarbij medewerkers plaatsonafhankelijk (toegang van het publieke internet), tijdsonafhankelijk (24×7 beschikbaar) en werkplekonafhankelijk (van Windows en Mac tot Android en iOS) toegang krijgen tot zakelijke applicaties en data.

Veiligheid in vier componenten

De modern workplace is onderverdeeld in 4 componenten: identiteiten, apparaten, applicaties en data.

Een gebruiker logt in met een identiteit op een device om toegang te krijgen tot data via applicaties. Doordat mensen plaats- tijd- en device onafhankelijk werken, brengt dit extra beveiligingsrisico’s met zich mee. Een defense in-depth beveiliging betekent op alle lagen in de keten beveiliging toepassen. Stel dat een cybercrimineel door de 1e laag komt, dan kan de 2e laag bescherming bieden om uiteindelijk toegang tot data (kroonjuwelen) te beschermen. Cybercriminelen gaat het in 99% van de gevallen om het verkrijgen van toegang tot zakelijke data, deze te versleutelen (ransomware) en digitaal geld te eisen (Bitcoin) om de data na betaling weer vrij te geven, om data te stelen (intellectueel eigendom) of om data te vernietigen (NotPetya ransomware, een nation state aanval om landen of organisaties te ontwrichten).

We zien helaas tijdens de corona crisis het aantal cyberaanvallen bij extreem kwetsbare instanties zoals ziekenhuizen toenemen.

Maatregelen: aan de slag met drie quickwins

Door de toename van het aantal medewerkers dat thuiswerkt, zien we dat er organisaties zijn die nog niet goed hebben nagedacht over werken in de public Cloud. Zij worden nu in een kort tijdsbestek gedwongen, maar dit creëert extra beveiligingsrisico’s. Met de toename van het aantal cyberaanvallen is het des te belangrijker om goed na te denken over een minimale basis security, waarmee jouw werknemers veilig kunnen werken in een public Cloud. Ik zal kort drie beveiligingsmaatregelen beschrijven die het risico op een cyberaanval tot 99,9% procent kunnen verminderen.

1. Identity

Een gebruikersnaam en wachtwoord alleen zijn niet meer veilig. Een 2e authenticatie factor vermindert het aantal cyberaanvallen met 99,9%. Denk hierbij aan MFA (Multi factor authenticatie) en password-less werken. Hiermee log je niet in met een wachtwoord alleen, maar gebruik je bijvoorbeeld ook aanvullend gezichtsherkenning of een security key. Vergeet niet in de Microsoft Cloud ook legacy authenticatie (traditionele e-mail protocollen zoals IMAP, POP3 en SMTP) te blokkeren, omdat deze niet met MFA overweg kunnen en MFA overgeslagen wordt als beveiliging.

Samenvattend: zet MFA aan voor alle gebruikers (en beheerders) en blokkeer het gebruik van legacy authenticatie protocollen.

2. Apps & Data

E-mail is in 91% van alle aanvallen de eerste stap in een cyberaanval. Je herkent deze mails bijvoorbeeld aan het aantal spelfouten en slechte grammatica, een verkeerde aanhef en gekke bestandstypes als bijlage. Het beschermen van e-mail is in een Cloud (en on-premises) omgeving zeer belangrijk om beveiligingsrisico’s te minimaliseren.

  • SPF, DKIM en DMARC zijn e-mail authenticatie protocollen om spam en spoofing (zich voordoen als iemand anders) tegen te gaan.
  • De SCL (Spam Confidence Level) staat standaard op 7, het advies is 6 (nieuwe standard) of zelfs 4 (strict).
  • Als laatste oplossing is EOP (Exchange Online Protection) de oplossing voor het beschermen van e-mail tegen bekende aanvallen (signature-based), Office 365 ATP (Advanced Threat Protection) is de Microsoft oplossing voor bescherming van e-mail tegen onbekende (zero-day) aanvallen via malicious links of bijlagen, deze worden in een geïsoleerde omgeving (sandbox) geanalyseerd en vrijgegeven als ze veilig zijn.

Samenvattend

1) Zet SPF, DKIM en DMARC aan.

2) Wijzig de SCL naar minimaal 6 (bij 4 goed testen en communicatie naar gebruikers dat ze nog meer dan voorheen de Junk folder moeten nakijken).

3) Implementeer Microsoft Office 365 ATP.

3. Devices

Voor devices geldt dat Windows Defender (built-in AV) een oplossing is om malware tegen te houden. Windows 10 is het OS van Microsoft en is ontwikkeld om veilig te werken in een Cloud wereld. Wij zien vaak dat Windows 10 wordt ingericht, zonder dat er na wordt gedacht over de security features (bijv. credential guard, smartscreen, exploit guard, tamper protection etc.). Dan is het meer de Windows 10 interface die net zo (on)veilig is als Windows 8. Het is dus van groot belang om devices goed te beveiligen. Een eenvoudig voorbeeld is om tamper protection aan zetten. Dit voorkomt dat cybercriminelen antivirus programma’s kunnen uitzetten. Dit gebeurde in 2019 bij de Universiteit van Maastricht.

Conclusie

Wil jij meer weten over hoe je jouw organisatie snel optimaal kunt beveiligen? Wij kunnen met ons security team bij InSpark meedenken en helpen. Zo kunnen wij in een dag een assessment afnemen waarin we jouw omgeving scannen en aanbevelingen doen om eventuele lekken te dichten. Zo beveiligen we jouw organisatie en medewerkers optimaal. Je kunt me ook altijd mailen met een concrete vraag. Stay safe allemaal!

SHARE
Derk van der Woude
Share

Gerelateerde blogs

Derk van der Woude

Principal Consultant Security & Compliance

Hulp nodig?
Ik heb je graag met het organiseren en inrichten van een veilige organisatie.
Altijd up to date?
Blijf op de hoogte van de laatste innovaties. Geef aan welke mailings jij maandelijks wil ontvangen. Schrijf je nu in!