Zo bescherm je je tegen de meestgebruikte aanvalsroutes van cybercriminelen

De meest misbruikte zwakke plekken aanpakken, helpt enorm om het probleem van cybersecurity-incidenten terug te dringen. Cybercriminelen kiezen namelijk altijd voor de makkelijkste weg; een kwestie van ROI (return-on-investment). Een alliantie van de US Cybersecurity and Infrastructure Security Agency (CISA), de FBI, de National Security Agency (NSA), het Nederlandse NCSC (Nationaal Cyber Security Centrum) en vergelijkbare nationale cybersecurity-organisaties uit Canada, Nieuw-Zeeland en het Verenigd Koninkrijk roepen op om nu eens te stoppen met de 10 dingen die het cybercriminelen makkelijk maken.

Het gaat om vijf methodieken die kwaadwillenden gebruiken om ergens binnen te komen, en tien securityfouten die dat mogelijk maken. Gelukkig zijn er ook veel methodes om je hiertegen te beschermen, die onder te verdelen zijn in vijf aandachtspunten:

1. Sterke inloggegevens en MFA

Drie van de veelgemaakte fouten die het internationale securitysamenwerkingsverband noemt, gaan om inloggegevens. Zo worden standaardinloggegevens lang niet altijd vervangen, is er geen beleid dat sterke wachtwoorden afdwingt, en wordt multifactor authenticatie (MFA) niet altijd of overal afgedwongen.

Het gebruik van standaardinloggegevens – die samen met het apparaat of de software zelf geleverd worden – wordt al jaren afgeraden. Deze inloggegevens zitten namelijk op het apparaat zelf geplakt - waardoor iedereen met fysieke toegang ze kan aflezen en gebruiken - of ze worden gedeeld op het internet, waar cybercriminelen ze kunnen vinden en misbruiken. Diverse fabrikanten, zoals de makers van de Raspberry Pi, zijn al gestopt met gebruik van een ingebakken standaardaccount. Bij ICT-apparatuur of software waar dat niet het geval is, wordt dus geadviseerd om deze accounts en default-wachtwoorden direct te veranderen.

Daarnaast wordt met klem geadviseerd om beleid (policies) door te voeren voor het afdwingen van sterke wachtwoorden. Laat werknemers bijvoorbeeld een wachtwoordmanager mét wachtwoordgenerator gebruiken, om zo voor ieder account een sterk én uniek wachtwoord aan te laten maken. Of ga nog een stap verder en gebruik waar het kan de ‘passkey’ van de FIDO Alliance, waarmee het wachtwoord helemaal afgezworen wordt.

De derde stap voor betere beveiliging is het afdwingen van multifactor authenticatie, wat door steeds meer ICT-leveranciers ook wordt afgedwongen. Mocht een aanvaller dan toch inloggegevens in handen krijgen, dan moet er voor een geslaagde aanval nog een extra stap worden gezet. Namelijk het verkrijgen van de aparte beveiligingscode die toegestuurd wordt aan gebruikers, of het invoeren van een fysieke beveiligingssleutel om toegang te krijgen tot het account.

2. Toegangsbeheer

Cybercriminelen maken daarnaast dankbaar gebruik van slecht toegangsbeheer. Toegangsrechten worden namelijk op veel plekken niet goed ingesteld, er ontbreekt vaak een check op ongeoorloofd gebruik van remote dienstverlening – zoals een VPN-dienst – en diverse organisaties laten netwerkpoorten open staan, waardoor criminelen vrij toegang kunnen krijgen.

Het samenwerkingsverband adviseert daarom om een zero trust-beveiligingsmodel in te zetten. Daarbij worden mensen, diensten en andere elementen constant geverifieerd aan de hand van real-time informatie uit meerdere bronnen. Daarnaast bestaat er bijvoorbeeld een framework om toegangsbeheer goed te organiseren als er werk of dienstverlening wordt uitbesteed.

Ook wordt geadviseerd om te voorkomen dat lokale administratoraccounts op afstand kunnen inloggen – mocht het account dan zijn overgenomen, dan kunnen de aanvallers er op afstand nog niets mee. Daarnaast is er het advies om te beperken wie toegang heeft tot data en diensten. Geef werknemers dus alleen toegang tot de data en systemen die ze nodig hebben om hun werk uit te voeren en niet voor andere zaken. Bewaak dit ook bij veranderende functies en rollen!

Zorg verder dat er regels zijn voor toegangscontrole en VPN-verbindingen, waarmee bepaald wordt hoe werknemers verbinding kunnen maken met het netwerk en clouddiensten. En zorg tot slot dat alle machines – ook de cloudgebaseerde virtuele machines – geen openstaande RPD-poorten hebben. Hebben ze dat wel en is dat écht nodig, zorg dan dat het systeem achter een goede firewall staat en dat gebruikers een VPN-dienst moeten gebruiken om er toegang toe te krijgen, zo adviseert de CISA.

3. Patch en update op tijd

Er is geen ontkomen aan: ieder bedrijf gebruikt software, apparatuur of softwarecomponenten van derde partijen. Maar dergelijke elementen kunnen kwetsbaarheden bevatten die cybercriminelen gebruiken om binnen te dringen. Het belang van updaten en patchen is de afgelopen jaren met iedere aanval dan ook duidelijker geworden, maar toch blijkt ook hier nog veel mee fout te gaan, zo getuigt de lijst van het samenwerkingsverband.

Op de vraag waarom er slecht gepatcht wordt, zijn meerdere antwoorden mogelijk - die ieder ook valide kunnen zijn. Zo komen er te veel patches op beheerders af, zijn er te weinig securitywerknemers om die updates te controleren en te installeren, komt lang niet alle informatie over dreigingen (en over inhoud en werking van patches) ook echt bij bedrijven binnen, kunnen sommige bedrijven zich het risico van downtime écht niet veroorloven, en komen vele organisaties er ook gewoon mee weg om niet te patchen. De 'business case' voor een goed geoliede patch-aanpak kan dus lastig te maken zijn.

Toch zijn er diverse dingen die gedaan kunnen worden. Breng goed in kaart welke assets er allemaal aanwezig zijn – ook wat er aan componenten van derde partijen in de eigen software gebruikt wordt – en of dit up-to-date is. Stel vervolgens prioriteiten: wat zijn de belangrijkste processen en systemen? Die moeten in ieder geval gepatcht worden. Probeer verder zoveel mogelijk risico’s te mitigeren, bijvoorbeeld met netwerksegmentatie. En als er iets uitbesteed wordt naar een managed service provider, maak daar dan harde afspraken mee.

4. Configuratiemanagement

Net als patching is ook het goed configureren van bijvoorbeeld clouddiensten nog een veelgemaakte fout, aldus de security-advieslijst van onder meer het NCSC. Cybercriminelen zoeken naar clouddiensten met slechte configuraties, zodat ze gevoelige data kunnen stelen of een dienst kunnen gebruiken om heimelijk cryptovaluta te ontginnen (cryptomining). Dit kan ook 'traditionele' applicatieservers raken.

Een deel van de oplossing werd eerder al genoemd: zorg dat er duidelijke toegangscontroleregels en VPN-regels zijn die bepalen hoe gebruikers verbinding kunnen maken met het netwerk of clouddiensten. Daarnaast adviseert het samenwerkingsverband om tools van de clouddienstprovider te gebruiken om te veel gedeelde cloudopslag te detecteren en te monitoren op afwijkende toegang, bijvoorbeeld als er vanaf een vreemde locatie wordt ingelogd.

5. Monitoring, logging en antivirus

Als al het andere faalt, ben je uiteindelijk aangewezen op oplettendheid en een goede eerstelijnsverdediging. Met andere woorden: zorg ervoor dat er goede monitoring, logging en antivirus aanwezig is binnen het bedrijf. Die 'bewakingssystemen' moeten dan niet alleen voor daadwerkelijke malware zijn, maar ook om bijvoorbeeld te scannen op phishing-pogingen.

Laatstgenoemde heeft goed geholpen bij de Hogeschool van Amsterdam en de Universiteit van Amsterdam die in maart 2021 een ransomware-aanval hebben afgeslagen. Zij detecteerden de criminele operatie en wisten die tegen te houden voordat de aanvallers tot uitvoering van ransomware konden overgaan. En ook beveiligingsbedrijf Fox-IT adviseert met klem om hierop in te zetten. "Als je goed bovenop de monitoring van het netwerk en de logs zit, kun je de aanvallers al detecteren terwijl ze nog bezig zijn met hun voorbereiding”, zei beveiligingsexpert Frank Groenewegen – destijds nog in dienst bij Fox-IT – in februari 2020.