Weiger de toegang voor hackers, gebruik een deurbeleid!

Weiger de toegang voor hackers, gebruik een deurbeleid!

In elke IT-omgeving bevinden zich kwetsbaarheden. Al deze kwetsbaarheden brengen risico’s met zich mee; soms beperkt en zelfs theoretisch. Maar in veel gevallen zijn deze risico’s ook op jouw organisatie van toepassing. De vlieger 'dit overkomt mij toch niet', gaat in veel gevallen echt niet meer op.

De omvang en aard van een organisatie maakt niets meer uit, elke organisatie kan vandaag de dag doelwit worden van een aanval. Maar altijd geldt: de gelegenheid maakt de dief. Als de deur op een kiertje staat, dan zal de dief gebruik maken van dit kiertje om je huis te betreden. Maar hoe kun je een dief, de hacker in dit geval, het beste buiten de deur houden?

Maak apparatuur op jouw netwerk inzichtelijk

Om risico’s goed te kunnen beheersen is het noodzakelijk om te weten wat er op een netwerk gebeurt. Om dit inzichtelijk te maken zal eerst geïdentificeerd moeten worden welke apparatuur er ontsloten is op het netwerk. Wellicht gebruikt jouw organisatie al een systeem om te zorgen dat alleen bevoegde systemen gebruik kunnen maken van jouw netwerk (Network Access Control of afgekort NAC)? https://www.jouwconnectiviteit.nl/dienst/network-access-control-nac Ook dan blijft het van belang dit te blijven monitoren om er zeker van te zijn dat systemen die op het netwerk gekoppeld zijn, daar ook geautoriseerd voor zijn. 

Zodra jij alle apparatuur inzichtelijk hebt, kan worden bepaald in welke mate deze kwetsbaarheden bevat en hoe groot het risico van misbruik kan zijn. Pas dan kun je een inschatting maken van de bedreigingen van een ICT-omgeving, de mogelijke impact van deze bedreigingen en de maatregelen die getroffen moeten worden om deze bedreigingen het hoofd te bieden. Op basis van deze inschatting kan de prioriteit van tegenmaatregelen bepaald worden en kunnen deze maatregelen gefaseerd uitgevoerd worden.

Verkrijg inzicht in jouw kwetsbaarheden

Maatregelen om het gevaar van risico’s te beperken kunnen erg basaal zijn. Een eenvoudige maar zeer effectieve maatregel is het zorgen voor een goed patch- en updatebeleid. Het is echter niet altijd mogelijk om software te patchen. Zaak dus om alle risico’s op een rijtje te zetten en te bepalen wat de juiste werkwijze is om deze risico’s af te dekken. Er zijn legio kwetsbaarheden met risico’s tot gevolg, en legio aan mogelijkheden om deze risico’s af te dekken. Een voorbeeld van zo’n risico is een systeem dat voor archiveringsdoeleinden noodzakelijk is, maar waarvan het besturingssysteem niet meer geüpgraded kan worden naar de nieuwste versie.

Eén van de oplossingen om dit risico te beperken is om het desbetreffende systeem te isoleren van het netwerk en de toegang daartoe te beperken tot een minimum, waarbij het risico tot een acceptabel niveau gedaald is. Een analyse van jouw ICT-omgeving zal alle kwetsbaarheden blootleggen; je kunt maatregelen nemen om het risico te verkleinen.

Geen ICT-omgeving is hetzelfde

Het mag duidelijk zijn dat geen enkele ICT-omgeving hetzelfde is en dat een gestandaardiseerde aanpak een utopie is. Cruciaal is om inzicht te verkrijgen in de kwetsbaarheden die er zijn voor jouw organisatie; stel een beleid op waarin je de risico’s van kwetsbaarheden kunt bespreken.  Vergeet vervolgens niet om te (blijven) monitoren of jouw IT-omgeving nog compliant is aan het beleid.

Wij ondersteunen organisaties op al deze punten, zodat zij in control blijven en het aanvalsoppervlak binnen de organisatie zo klein mogelijk is. Wij kunnen een netwerk op regelmatige basis scannen, via maandelijkse rapportages en dashboards inzicht verschaffen in het effect van de genomen maatregelen maar ook een check doen op de status van compliancy. Hierdoor ben jij altijd op de hoogte van de risico’s die er voor jouw organisatie zijn en hoe je hiertegen beschermd bent.

Neem contact op met onze securityspecialisten!

Over Bas Marquering

Sinds 1998 begeeft Bas zich binnen de wereld van IT-infrastructuren. Op verschillende gebieden heeft hij ervaring opgedaan, altijd met als rode draad de security van de infrastructuur. Bas maakt onderdeel uit van het Securityteam van Unica ICT Solutions en helpt organisaties dagelijks als consultant met uiteenlopende securityuitdagingen. Dit heeft geresulteerd in het behalen van de CISSP en CCSP status van (ISC)2.