De ‘hardening’ held

Wat is hardening?

Hardening is het proces van het verbeteren van de beveiliging van de IT-systemen door het verwijderen of uitschakelen van onnodige of kwetsbare functies, diensten, accounts, poorten, protocollen en andere elementen. Hardening daarnaast ook het toepassen van de meest veilige en passende instellingen. Het doel is om daarmee het aanvalsoppervlak te verkleinen en de kans op inbreuken, malware, datalekken en andere cyberdreigingen te verminderen.

Waarom is hardening zo belangrijk?

Hardening is één van de belangrijkste onderdelen van een effectieve cybersecurity strategie. Het helpt om te beschermen tegen bekende en onbekende kwetsbaarheden, die vaak worden misbruikt door (ethische) hackers om toegang te krijgen tot het netwerk, data en systemen. Door continue hardening toe te passen, kun je de weerbaarheid verhogen en de risico’s verminderen.

Naast dat het echt veiliger zal worden is hardening belangrijk voor het voldoen aan de wettelijke en normatieve eisen op het gebied van informatiebeveiliging. Veel standaarden en frameworks, zoals ISO 27001, NIST SP 800-53, PCI DSS en GDPR/AVG, vereisen dat organisaties aan hardening doen als onderdeel van hun beveiligingsmaatregelen. Het niet naleven van deze eisen kan leiden tot juridische gevolgen, boetes en reputatieschade.

Waarom is hardening bij veel bedrijven onderbelicht?

Hoewel hardening één van de belangrijkste aspecten van cybersecurity is, wordt het vaak over het hoofd gezien of verwaarloosd door veel organisaties. Dit kan verschillende redenen hebben, zoals:

• Gebrek aan kennis of bewustzijn over de voordelen en best practices van hardening.
• Gebrek aan tijd of middelen om hardening uit te voeren of te onderhouden.
• Gebrek aan ondersteuning of betrokkenheid van het management of de stakeholders.
• Vrees voor verstoring van de bedrijfsvoering of de gebruikerservaring door het wijzigen van de systeemconfiguratie.
• ‘False sense of security’ door het vertrouwen op andere beveiligingsmaatregelen, -lagen of -oplossingen.

Dit zijn bekende oorzaken om hardening te negeren, maar negeren is niet de oplossing. Integendeel, het niet toepassen van hardening kan juist leiden tot meer problemen, kosten en risico’s op de lange termijn. Het is daarom belangrijk om hardening te zien als een prioriteit en een continu proces, dat regelmatig moet worden gecontroleerd, bijgewerkt en gevalideerd.

Word een hardening held: hoe kun je hardening effectief implementeren?

Om hardening effectief te implementeren, raadt PQR aan de volgende stappen te nemen:

• Identificeer en inventariseer alle IT-systemen, inclusief servers, werkstations, netwerkapparatuur, mobiele apparaten, cloud-diensten, applicaties en IoT-apparaten.
• Classificeer de systemen op basis van hun bedrijfskritisch belang, gevoeligheid en blootstelling aan cyberdreigingen.
• Bepaal de minimale functionaliteit en beveiligingsniveau die nodig zijn voor elk systeem om zijn doel te vervullen.
• Verwijder of schakel alle onnodige of kwetsbare functies, diensten, accounts, poorten, protocollen en andere elementen uit die niet voldoen aan de minimale eisen.
• Configureer de overgebleven elementen volgens de beveiligingsrichtlijnen en -standaarden die van toepassing zijn op de sector, regio en organisatie.
• Test en valideer de werking en beveiliging van je systemen na het toepassen van de wijzigingen.
• Monitor en audit de systemen regelmatig om eventuele afwijkingen, incidenten of kwetsbaarheden te detecteren en te verhelpen.
• Maak afspraken met de IT-leveranciers, want hardening is geen standaard onderdeel van de dienstverlening en hardening is qua uitvoer vaak maatwerk.
• Herhaal dit proces periodiek of wanneer er nieuwe updates, patches of bedreigingen beschikbaar zijn.
• Creëer een proces waarin alle afspraken en werkwijzen omtrent hardening duidelijk weergegeven zijn, inclusief de verantwoordelijkheden en train je mensen erop.

Om te helpen bij het uitvoeren van hardening, kun je gebruik maken van verschillende tools en bronnen, zoals:

• Hardening checklists en gidsen, die stap voor stap instructies en aanbevelingen geven voor het beveiligen van de systemen. Je kunt bijvoorbeeld de CIS Benchmarks, de NIST Security Configuration Checklists of de Microsoft Security Baselines raadplegen.
• Hardening tools en software, die automatisch of semi-automatisch helpen om de systemen te scannen, analyseren, configureren en beheren. Maak bijvoorbeeld gebruik van de CIS-CAT Pro, NIST SCAP of de Microsoft Security Compliance Toolkit.
• Hardening diensten en experts, die professioneel advies en ondersteuning kunnen bieden bij het ontwerpen, implementeren en onderhouden van de hardening strategie. Je kunt bijvoorbeeld een beroep doen op een gespecialiseerd cybersecurity bedrijf zoals PQR.

Conclusie

Hardening is één van de meest effectieve en efficiënte manieren om je IT-infrastructuur te beveiligen tegen cyberaanvallen. Vanuit PQR zien we het effect ervan bij onze pentesten: veel van de bevindingen in een Pentest hebben te maken met hardening maatregelen die niet zijn genomen en hadden dus proactief aangepakt kunnen worden. Hardening helpt om het aanvalsoppervlak te verkleinen, de cyberweerbaarheid te verhogen en naleving van maatregelen en beleid te verbeteren. Vergeet niet dat het geen eenmalige actie, maar een continu proces is dat aandacht, tijd en middelen vereist. Het is wat ons betreft cruciaal om hardening te zien als een investering de cybersecurity en bedrijfscontinuïteit.