Versterk je cyberbeveiliging met Defense in Depth (DiD)

Het aantal cyberbedreigingen zijn de afgelopen jaren explosief gestegen. Deskundigen schatten dat cybercriminaliteit met bijna 300% is toegenomen.¹  Met deze wetenschap is het niet de vraag of maar wanneer je te maken krijgt met cyberbedreigingen. Een robuuste cyberbeveiliging is daarom van groot belang. Omdat geen enkele beveiligingstechnologie of -maatregel feilloos is, is het vertrouwen op één standaard beveiligingsoplossing hierbij niet voldoende. Dit is waar een aanpak als Defense in Depth (DiD) zijn relevantie vindt.

DiD is een strategie waarbij meerdere defensieve beveiligingsmaatregelen in lagen worden gecombineerd om de IT-omgeving te beschermen. Aangezien geen enkele individuele beveiligingsoplossing bescherming kan bieden tegen elke cyberbedreiging, is het combineren van meerdere beveiligingslagen effectiever. Als een bedreiging door één beveiligingsoplossing wordt gemist kunnen andere beveiligingsoplossingen helpen de schade aan het hele netwerk te beperken. Het gebruik van slechts één beveiligingsoplossing creëert daarentegen maar één enkel faalpunt. Als dit gecompromitteerd wordt loopt de hele IT-omgeving risico.

Deze gelaagde aanpak werd voor het eerst bedacht door de National Security Agency (NSA) en is geïnspireerd op een militaire tactiek met dezelfde naam. In het leger helpen verdedigingslagen tijd te winnen. Maar in de IT is deze aanpak bedoeld om een incident helemaal te voorkomen.

“Zoals we ons zijn gaan realiseren is het idee dat cyberbeveiliging begint en eindigt met de aankoop van een kant-en-klare firewall simpelweg misleidend.”  -Art Wittmann, VP Business Technology Network

Het is belangrijk om DiD te onderscheiden van een ander concept dat layered security wordt genoemd. Terwijl layered security gebruikmaakt van verschillende beveiligingsoplossingen om een bepaald beveiligingsaspect aan te pakken (zoals e-mailfiltering), is DiD veelomvattender. Een DiD strategie bestaat uit meerdere beveiligingsmaatregelen om afzonderlijke bedreigingen met betrekking tot de gehele IT-omgeving aan te pakken.

Hoewel DiD van cruciaal belang is om je bedrijf te beschermen tegen de steeds evoluerende cyberdreigingen, kan het zonder kennis en ervaring een flinke uitdaging zijn. Schakel daarom hulp in bij het implementeren van een effectieve DiD strategie om fouten te voorkomen.

Beveiligingslagen van DiD (praktisch: oplossingen/maatregelen)

Hoewel DiD strategieën variëren afhankelijk van de behoeften en de beschikbare middelen, omvatten ze gewoonlijk één of meer beveiligingsoplossingen of maatregelen uit de volgende categorieën:

1.  Fysiek

Fysieke beveiligingsoplossingen beschermen IT-systemen, bedrijfsgebouwen, datacenters en andere fysieke activa tegen bedreigingen zoals manipulatie, diefstal of ongeoorloofde toegang. Hierbij kan het gaan om verschillende soorten toegangscontrole en bewakingsmethoden, zoals beveiligingscamera’s, alarmsystemen, ID-kaartscanners. Fysieke beveiligingsoplossingen dienen continu of periodiek gecontroleerd te worden.

2. Technisch

Technische beveiligingsoplossingen omvatten de hardware en software die nodig zijn om de IT-omgeving te beschermen tegen cyberaanvallen, datalekken en andere bedreigingen. Een aantal voorbeelden hiervan zijn: firewalls, configuratiebeheer, schijf-/gegevensencryptie, patchbeheer, VPN verbinding, inbraakdetectie- of -preventiesystemen (IDS/IPS) en anti-malwaresoftware. Het is belangrijk periodiek de technische beveiligingsoplossingen te evalueren en aan de hand van de risico-inventarisatie te bekijken of deze nog afdoende veiligheid bieden.

3. Administratief

Het beleid en de procedures binnen het bedrijf vallen onder administratieve beveiligingscontroles. Deze controles zorgen ervoor dat de juiste procedures beschikbaar zijn en dat het beveiligingsbeleid wordt gevolgd. Voorbeelden hiervan zijn procedures voor gegevensverwerking, informatiebeveiligingsbeleid, risicobeheer voor verkopers en derde partijen, strategieën voor het beheer van informatierisico’s, etc.

Een ander belangrijk onderdeel hiervan is security awareness (bewustzijn) trainingen. Regelmatige trainingen zorgt ervoor dat medewerkers bewust zijn van beveiligingsrisico’s en weten hoe ze moeten handelen als ze ermee geconfronteerd worden.

Essentiële elementen van DiD

Een effectieve DiD strategie bestaat uit verschillende elementen om de kans te verkleinen dat bedreigingen door de mazen van het net kruipen. Deze elementen zijn onder andere:

1. Firewalls

Een firewall kan tegenwoordig een stuk complexer zijn dan ‘alleen een apparaat wat achter de router werd geplaatst’. Moderne Firewalls kunnen nog steeds een hardware device zijn maar steeds vaker wordt dit geïnstalleerd als een virtuele appliance, software dat het netwerk kan beschermen door onnodig verkeer uit te filteren en ongeoorloofde toegang tot de gegevens te blokkeren. Ook in het geval van een hardware device is de passieve rol verleden tijd en is actieve content monitoring een belangrijke taak geworden.

2. Inbraakdetectie- of -preventiesystemen (IDS/IPS)

Een Intrusion Detection System (IDS) is een geautomatiseerd systeem dat ongeautoriseerde toegang tot een informatiesysteem of netwerk detecteert. Dit betekent dat als een potentiële cyberbedreiging wordt gedetecteerd, het systeem een waarschuwing afgeeft. Het systeem zelf doet niets om de bedreiging te voorkomen, maar laat die verantwoordelijkheid over aan de systeembeheerder of andere technologie.

Een Intrusion Prevention System (IPS) is een geautomatiseerd systeem dat activiteiten op het netwerk monitort op ongewenst gedrag. In tegenstelling tot  IDS zal een IPS na het detecteren van een bedreiging wel actief te werk gaan om de bedreiging te voorkomen. De reactie kan bestaan uit het blokkeren van inkomend netwerkverkeer, het afbreken van een kwaadaardig proces, het in quarantaine plaatsen van een bestand, etc.

Vaak wordt IDS/IPS uitbesteed aan een SOC, Security Operation Center, waar specialisten 24×7 alle incidenten die op het netwerk optreden evalueren en waar nodig alarm slaan of direct actie ondernemen.

3. Endpoint Detection and Response (EDR) 

Endpoint Detection and Response (EDR) oplossingen werken door endpoints voortdurend te monitoren om verdacht of kwaadaardig gedrag in realtime op te sporen. Een endpoint kan bijv. een laptop, mobiele telefoon of Internet-of-Things-apparaat zijn. EDR-oplossingen zijn in de eerste plaats een waarschuwingsinstrument in de plaats van een beveiligingslaag, maar de functies kunnen afhankelijk van de leverancier worden gecombineerd.

Ook hier kan een SOC deze taak op een efficiënte en daardoor vaak financieel interessante prijs overnemen.

4. Netwerksegmentatie

Bij netwerksegmentatie wordt het netwerk verdeeld in kleinere virtuele netwerksegmenten, zogenoemde Virtual Local Area Networks (VLAN’s). Het verkeer tussen deze segmenten controleer of blokkeer je met behulp van een firewall. Netwerksegmentatie voorkomt dat een virus of aanvaller zich kan verspreiden in het gehele netwerk.

5. Het principe van de minste privilege (PoLP)

Dit principe houdt in dat een gebruikersaccount of toepassing alleen toegang krijgt tot de gegevens die essentieel zijn om de taak uit te voeren. Een gebruikersaccount met als enig doel het maken van backups hoeft bijvoorbeeld geen software te installeren. Hij heeft dus alleen rechten om backup- en backup-gerelateerde toepassingen uit te voeren en alle andere rechten zijn geblokkeerd.

6. Sterke wachtwoorden

Het gebruik van standaard wachtwoorden zoals “1234” of “admin” kan het netwerk in gevaar brengen. Even riskant is de gewoonte om dezelfde wachtwoorden voor meerdere accounts te gebruiken. Om te voorkomen dat accounts worden gehackt, is het essentieel om sterke wachtwoorden te gebruiken. Daarnaast is het aanbevolen om een extra beveiligingslaag aan te brengen door gebruik te maken een multifactorauthenticatie (MFA).

7. Patchbeheer

Beveiligingsproblemen die niet worden opgelost als gevolg van slecht patchbeheer kunnen het netwerk kwetsbaar maken voor cyberbedreigingen. Zodra een nieuwe patch wordt uitgebracht, implementeer deze dan meteen om het beveiligingsrisico’s te beperken. Controleer regelmatig of de patches ook zijn uitgevoerd, het kan voorkomen dat ze door een medewerker worden weg geklikt.

Dit zijn enkele elementen die in een DiD strategie moeten worden toegepast. Aangezien de aanvalsmethoden zich blijven ontwikkelen om kwetsbaarheden in bestaande beveiligingsproducten uit te buiten, moeten beveiligingsoplossingen zich blijven ontwikkelen. Controleer op regelmatige basis of je huidige cyberbeveiliging nog actueel is.

Starten met DiD

Om de geavanceerde cyberbedreigingen op afstand te houden, heb je een robuuste DiD-strategie nodig. Je strategie moet meerdere verdedigingsmethoden in lagen omvatten, zoals firewalls, inbraakpreventie- en detectiesystemen, netwerksegmentatie, enzovoort. Om zo een solide beveiligd netwerk te creëren.

Een DiD strategie implementeren en onderhouden is een uitdaging die zonder kennis en ervaring veel tijd en inspanning vereist. Schakel daarom hulp in van een partner zodat er geen beveiligingslekken binnen je IT-omgeving ontstaan. Neem contact met ons op om de eerste stap te zetten in het versterken van jouw cyberbeveiliging.

Bronnen:

1. FBI Report