Vijf stappen voor een betere IT-beveiliging voor thuiswerkers

Thuiswerken is niet tijdelijk. Ook na corona wil het merendeel van de wereldwijde beroepsbevolking niet meer fulltime op kantoor werken. Welke gevolgen heeft dat voor cybersecurity? In vijf stappen naar zero trust. 

Cybercriminelen zijn sinds 2020 massaal misbruik gaan maken van de plotselinge toename van het aantal thuiswerkers. Met zoveel devices buiten de bedrijfsmuren, via privénetwerken verbonden met de bedrijfsinfrastructuur, zijn de beveiligingsrisico’s enorm gestegen, evenals de kosten. Zo’n 80 procent van de organisaties over de hele wereld had in 2020 te maken met phishing-aanvallen, en alleen al in het derde kwartaal steeg de gemiddelde betaling van losgeld naar aanleiding van ransomware met 31 procent ten opzichte van het kwartaal ervoor. Dit resulteerde in een wereldwijd kostenplaatje van meer dan 1 biljoen dollar aan kosten als gevolg van cybercriminaliteit. We moeten er dus alles aan doen om dit getal in 2021 niet te overstijgen.

Zero trust als veilige basis

Voor de pandemie werd de beveiliging van externe medewerkers vaak als bijzaak gezien. Dat kan nu echt niet meer. Werken met een verspreid personeelsbestand is een blijvende situatie en de risico’s van passiviteit zijn te groot. Gelukkig zijn er stappen die bedrijven vandaag kunnen nemen om die situatie te verbeteren. Om te beginnen zouden ze een zero-trust security-framework moeten overwegen. Naar verwachting zal dit beveiligingsmodel de komende jaren de norm worden, zowel voor IT op locatie als in de cloud en op externe locaties. Zero trust gaat ervan uit dat er altijd kwaadwillenden op het bedrijfsnetwerk actief zijn, ondanks alle aanwezige beveiligingsmaatregelen. Daarom geldt de regel never trust, always verify. Maar hoe implementeer je zero trust? Met deze vijf stappen ben je goed op weg.

1: Valideer elk device dat toegang heeft tot het netwerk 

Een bedrijf kan verschillende modellen hanteren voor het gebruik van IT-middelen. Devices kunnen bedrijfseigendom zijn, BYOD, edge-devices, on-premise of in de cloud, en die moeten allemaal toegang krijgen tot bedrijfsgegevens. Of die devices geen bedreiging zijn, moet worden gecontroleerd voordat deze toegang krijgt. Daarvoor is een platform noodzakelijk dat de zogenaamde provisioning van elk device mogelijk maakt, zowel die van het bedrijf als van medewerkers. Dit geeft IT-teams maximaal zicht op alle endpoints die worden gebruikt om toegang te krijgen tot bedrijfsgegevens.

2: Gebruikersnamen en wachtwoorden zijn niet meer genoeg

In plaats van te vertrouwen op wachtwoorden en gebruikersnamen, zouden bedrijven nieuwe en veiligere technologie moeten inzetten. Denk aan digitale certificaten, gecombineerd met biometrische mogelijkheden als vingerafdruk- en gezichtsherkenning. Dit zorgt voor een sterke verbetering in de veiligheid van gebruik waar de IT-organisatie structureel naar op zoek is. Werknemers hoeven hierdoor niet meer consequent sterke wachtwoorden te bedenken en onthouden, en verbetert ook de gebruikerservaring significant door single sign-on of waar mogelijk zelfs zero sign-on (helemaal geen wachtwoord meer hoeven invullen) te gebruiken om toegang tot bedrijfsdata te ontsluiten. 

Daarnaast is het van belang om een contextuele relatie te leggen tussen de gebruiker en de gegevens waartoe hij toegang heeft. Zomaar toegang verlenen tot alle data na het invoeren van de juiste inloggegevens is niet genoeg. Volgens het Verizon Data Breach Investigations Report van 2020 zijn gestolen wachtwoorden verantwoordelijk voor 81 procent van alle hacking-gerelateerde datalekken. Het beperken van de mogelijkheden en toegang van individuele gebruikers zou voor elk bedrijf een belangrijk aandachtspunt moeten zijn, zowel op basis van hun functie als contextuele zaken als de geografische verbindingslocatie, het gebruikte device en het tijdstip. Als iemand ineens middernacht verbinding maakt uit China zouden de alarmbellen moeten gaan rinkelen. Door dit soort beveiligingskenmerken over gebruikers en hun devices continu en consequent te monitoren, ontstaat een veilige zero trust relatie. 

3: Begrijp welke applicaties toegang hebben tot je gegevens

Het feit dat Salesforce.com een gevestigd merk is, betekent nog niet dat elke app die verbinding maakt met de service te vertrouwen is. Er zijn talloze handige apps die gebruikmaken van de gebruikersnaam en het wachtwoord van de gebruiker voor Salesforce die bedrijfsgegevens uit Salesforce kunnen downloaden en zelfs delen met andere cloud-diensten van derden, maar die kunnen natuurlijk ook malware bevatten die data stelen of ongeautoriseerde toegang verlenen. 

Bedrijven moeten daarom alleen toegang tot gegevens verlenen via apps die ze vertrouwen en die ze zelf beheren. Ook voor vertrouwde apps moet een DLP-beleid (Data Loss Prevention) geïmplementeerd worden, dat bepaalt hoe en met wie gegevens gedeeld mogen worden. Dit was dus duidelijk niet het geval bij het recente datalek bij de GGD. Als een app, een gebruiker of een device niet meer vertrouwd is, zouden bedrijven in staat moeten zijn om de toegang tot een dienst of gegevens direct te kunnen intrekken, een onbetrouwbare app kunnen verwijderen of patchen en gevoelige gegevens van het device kunnen verwijderen. 

4: Verifieer via welke netwerken gewerkt wordt

Een ander belangrijk onderdeel van zero trust is de mogelijkheid om beleidsregels in te stellen voor de toegang tot bedrijfsinfrastructuur via onveilige netwerken, zoals hotspots in cafés of andere open wifi-netwerken. Voor niet-kritieke gegevens kan dat acceptabel zijn, maar voor toegang tot meer gevoelige gegevens zou een vertrouwd netwerk de regel moeten zijn. Onvertrouwde netwerken hebben onder andere het risico van Man in the Middle-aanvallen. Hier doet een hacker zich voor als een vertrouwd wifi-netwerk voor de gebruiker om deze connectie te laten maken en vervolgens misbruik te maken van de informatie die de gebruiker deelt/opvraagt.

Verder zouden bedrijven VPN-verbindingen verplicht moeten stellen voor toegang tot bedrijfsgegevens, omdat deze gegevens dan versleuteld over het internet gaan. Verreweg de beste en veiligste gebruikerservaring voor medewerkers op afstand is een ‘per-app VPN’. Die biedt de gebruiker via het openbare internet een versleutelde split-tunnel, waarmee hij via een beveiligde SSL-verbinding verbinding kan maken met persoonlijke apps en websites. Alleen door het bedrijf goedgekeurde apps (in tegenstelling tot malware) hebben toegang tot de beveiligde tunnel en uiteindelijk tot de beschermde bedrijfsmiddelen. 

5: Bescherm in realtime tegen bedreigingen 

Hackers richten zich steeds vaker op externe werknemers met mobiele phishing-aanvallen via sms, messaging-apps, e-mail, maar ook via sociale media. Uit het Verizon Data Breach Investigations Report van 2020 blijkt dat 22 procent van de inbreuken te maken had met aanvallen via sociale media. Bescherming tegen phishing zou dus een topprioriteit moeten zijn, vooral met externe medewerkers die via een grote verscheidenheid aan devices (zowel zakelijke als privé-devices) toegang hebben tot bedrijfsgegevens. 

Om hiertegen op te treden zijn automatisering en machine learning (ML) effectieve middelen om bedreigingen proactief te detecteren en kwaadaardige links te blokkeren voordat gebruikers erop klikken.

Inzicht krijgen in het risicoprofiel van een device is daarom van cruciaal belang. Heeft het device de mogelijkheid om phishing URL’s, malware, zero-day exploits en risicovolle netwerken te detecteren? Bij mobiele devices is het belangrijk om te weten of een oplossing voor detectie van mobiele bedreigingen (Mobile Threat Defense) aanwezig is. En voor desktop devices is het de vraag of er endpointbeveiliging aanwezig is. Voor een optimale beveiliging moeten alle aanvalsvectoren in kaart gebracht worden, om vervolgens in realtime bedreigingen te detecteren en erop te reageren. Een goede oplossing doet dit bij voorkeur grotendeels zelfstandig, eventueel aangevuld met een waarschuwing aan de gebruiker, of het automatisch blokkeren van toegang. Misschien wil je zelfs gegevens verwijderen van een onbetrouwbaar endpoint. 

Automatisering en zelfservice

Wat alle eerdere stappen versterkt, is de mogelijkheid om het uitrollen, beveiligen en beheren van IT-middelen zoveel mogelijk te automatiseren. Dit is vele malen efficiënter en minder foutgevoelig dan te vertrouwen op menselijke handelingen en procedures van de helpdesk. Bovendien kan je medewerkers hiermee voorzien van zelfservicemogelijkheden, waardoor ze ook bij het aanvragen van bepaalde applicaties of toegang tot gegevens minder in de wacht staan bij de helpdesk. En door het hele proces rond beveiliging geautomatiseerd te laten verlopen, kan een organisatie veel sneller op bedreigingen reageren dan enkel op basis van meldingen van een security-dashboard. 

2020 was voor beveiligingsteams het drukste jaar ooit, dus het is van cruciaal belang om in 2021 serieus te overwegen deze vijf stappen te doorlopen op weg naar zero trust-beveiligingsmodel. Bedrijven die dat doen, zullen na de pandemie veel beter in staat zijn hun gebruikers optimaal te ondersteunen, ongeacht waar of met welk device ze werken.

Over de auteur: Arjan Veenboer is area sales director Benelux bij Ivanti.