Cybersecurity en kunstmatige intelligentie
In het laatste deel van deze 3-delige serie aandacht voor ‘defence in depth’ en ‘supply chain’-aanvallen. In het eerste deel van deze serie is uitgelegd dat de mens met betrekking tot digitale veiligheid de zwakste schakel is en blijft. In het tweede deel is toegelicht hoe een bedrijfsnetwerk kan worden beveiligd en in dit laatste deel gaat een ethisch hacker, inmiddels een ervaren cybersecurity specialist, in op ‘defence in depth’. Uitgelegd wordt wat de risico’s zijn van een ‘supply chain’-aanval en hoe bedrijven zich hiertegen kunnen beschermen.
Aan een ‘supply chain’-aanval ontkomt praktisch géén enkel bedrijf in de wereld. Elk bedrijf kan slachtoffer worden en het meest vervelende hieraan is nog dat een bedrijf dan nul controle hierover heeft. Een bekende ‘supply chain’-aanval in 2020 was de aanval op SolarWinds, een bedrijf dat technische netwerkondersteuning biedt aan bedrijven. Malware werd geplaatst in hun ‘Orion’ software. 18.000 van de in totaal 33.000 klanten zijn getroffen door de hack. De meeste ‘winst’ voor een hacker is te behalen bij grote bedrijven met veel (belangrijke) klanten en/of afnemers.
Supply chain-aanval
Wat zijn ‘supply chain’-aanvallen eigenlijk? Supply chain-aanvallen zijn aanvallen waarbij een derde partij wordt gehackt, waardoor een organisatie volledig buiten haar schuld erg kwetsbaar wordt. Op de vraag hoe dat precies werkt, antwoordt de cybersecurity specialist: “Elke organisatie installeert software van externe partijen op haar systemen. Daar is geen ontkomen aan. Stel een kwaadwillende slaagt erin om ‘malware’ in de broncode van WordPress of een beveiligingspakket als Norton te plaatsen, dan wordt binnen ‘no time’ de halve wereld getroffen. Een bedrijf kan zich hiertegen wapenen door een gedegen ‘defence in depth’-strategie te hanteren.
Defence in depth
Een ‘defence in depth’-strategie is eigenlijk niets anders dan een meerlaagse beveiligingstrategie. Belangrijk daarbij is om niet alleen een strenge netwerkbeveiliging te hebben, maar ook om alle onderliggende lagen te beveiligen en daarvoor zijn talloze mogelijkheden. Voordat data van een willekeurig computersysteem op het ‘Wilde Westen’-internet belanden moeten er namelijk diverse lagen gepasseerd worden. Ter illustratie: als de netwerkbeveiliging wordt aangevallen, dan is het cruciaal dat de ‘endpoint’-beveiliging, de applicatiebeveiliging en de databeveiliging goed op orde zijn om te beschermen tegen de ‘supply chain’-aanval.
Beveiligingslagen
Een computersysteem kent in totaal 5 lagen die beveiligd kunnen worden. Het begint allemaal met 1. databeveiliging, 2. applicatiebeveiliging, 3. beveiliging van de server waar de applicatie(s) op draai(t)en, 4. interne netwerkbeveiliging en monitoring en 5. beveiligen en monitoren van de toegang tot het netwerk. Daarnaast moet de computerapparatuur ook nog fysiek worden beveiligd en dient een streng (digitaal) toegangsbeleid te worden gehanteerd.
Beveiligingsmogelijkheden
Databeveiliging
De gouden standaard voor een bedrijf om zich te wapenen tegen ransomware (dat is malware waarmee de databestanden van gebruikers worden versleuteld, met als doel om deze in een later stadium in ruil voor losgeld weer te ontsleutelen) op dataniveau is als volgt: elk draaiend computersysteem in een bedrijf dient te worden uitgerust met een betrouwbaar, ‘read only’, ‘back-up’-systeem. Daarnaast heeft zo’n systeem ook nog een ‘offsite back-up’. Een ‘back-up’-systeem dat volledig is losgekoppeld van de eerstgenoemde ‘back-up’. En voor zeer kritieke data adviseert de cybersecurity specialist om ook nog een zogeheten ‘cold storage back-up’ op te zetten. Dat kan bijvoorbeeld een harde schijf zijn die in een gebouw aan de andere kant van de wereld of in de kelder ligt, zolang deze maar niet is aangesloten.
Applicatiebeveiliging
‘Access management’ is ‘key’ op dit niveau van beveiliging. Breng dan ook goed in kaart welke gebruikers toegang dienen te hebben tot welke applicaties. Geef gebruikers die bevoegd zijn om in te loggen op een bepaalde applicatie eigen inloggegevens. Bij voorkeur met multifactor authenticatie. Zorg verder op dit niveau voor een goede ‘firewall’ en laat aanwezige ‘blue‘- en ‘red’-teamers regelmatig de applicatiebeveiliging testen.
‘End point’-beveiliging
De mogelijkheden op dit niveau van beveiliging zijn gelijk aan applicatiebeveiliging, dus multifactor authenticatie, logging en DLP (preventie van gegevensverlies). Extra beveiligingsmogelijkheden op deze laag zijn schijfversleuteling en ‘remote management’. Met de laatstgenoemde technologie kan de schijf van een computer op afstand worden gewist als deze is verloren of gestolen. Met behulp van deze techniek kan dus worden voorkomen dat kwaadwillenden de schijf inlezen.
Netwerkbeveiliging
Naast de eerdergenoemde beveiligingsmogelijkheden, zoals multifactor authenticatie, logging en een firewall, is het op dit niveau mogelijk om apparaten te ‘whitelisten’ op basis van een MAC-adres. Elk apparaat heeft namelijk een uniek MAC-adres. In de network-configuratie wordt dan vastgelegd met welke apparaten (met uniek MAC-adres) communicatie is toegestaan. Op de vraag of dat dan absoluut veilig is, antwoordt de cybersecurity-specialist: “Nee, whitelisting werkt alleen tegen de minder slimme aanvallers. Het is vrij eenvoudig om de computer waarmee je toegang wil hebben, een ander MAC-adres te laten noemen. Verstandig is het dus om MAC-adressen te gebruiken in combinatie met digitale certificaten. Deze digitale certificaten moeten op het betreffende apparaat worden gezet. Als een computer het betreffende certificaat niet heeft, dan is verbinding onmogelijk. Is de computer daarentegen wel voorzien van het juiste certificaat dan accepteert het netwerk de communicatie wel omdat het wordt versleuteld met het certificaat en het scheiden van de netwerken (zie deel 2 in Process Control, 2/2024).
RISICO VOOR ELK BEDRIJF”
‘Perimeter’-beveiliging
Dit is de ‘hoogste’ beveiligingslaag voor bedrijfssystemen. Ook op deze laag kan gebruik worden gemaakt van multifactor authenticatie, firewall, logging en fysieke veiligheid. Interessant op deze laag is verder de mogelijkheid om softwarematige ‘honey pots’ te plaatsen. Op deze apparaten draait niets meer dan monitoring en logging. Deze apparaten hebben een signaalfunctie voor ‘blue’-teamers, want geen enkele normale gebruiker heeft in een ‘honey pot’-systeem wat te zoeken. Belangrijk is dus goed in de gaten te houden of er op wordt ingelogd. Is dat het geval, dan is het of per ongeluk of het is een kwaadwillende. Omdat veel hobbyisten willen weten wat er allemaal op het internet gebeurt, staat het internet vol met ‘honey pots’.
Slecht beveiligd
Helaas hebben nog teveel bedrijven hun beveiliging niet op bovenstaande wijze ingericht. Dat heeft alles te maken met het feit dat er nagenoeg altijd comfort moet worden ingeleverd ten koste van beveiliging. Wil je dus op elke hierboven genoemde laag een gedegen ‘access management’ hebben, dan zijn er voor elke laag bijvoorbeeld eigen inloggegevens nodig, die ook nog regelmatig wisselen. Dit is uitermate arbeidsintensief. Een gebruiksvriendelijke oplossing hiervoor is het gebruik van ‘single sign on’. In zo’n geval dient maar één keer te worden ingelogd en dan krijgt de gebruiker een gesigneerd bericht terug dat alles gecheckt en in orde is. Vanaf dat moment kan de gebruiker inloggen in verschillende omgevingen en applicaties met het gesigneerde bericht.
Tenslotte
In deze 3-delige serie over cybersecurity is een zo compleet mogelijk beeld geschetst om bedrijven te helpen bij het inrichten van hun digitale veiligheid. De artikelen bevatten praktische handvatten om zo goed mogelijk grip te krijgen op deze ongrijpbare wereld. Toch nog een prangende vraag, mail dan naar redactie@processcontrol.nl.
Rectificatie
In deel 2 (2/2024) van deze 3-delige serie over cybersecurity wordt gesproken van ‘blu’-teams, maar het moet zijn ‘blue’-teams. Dit was het gevolg van een auto-correctie.
Het magazine fysiek ontvangen? Klik hier om een kennismakingsabonnement af te sluiten.
Vacatures bekijk je via de vacaturepagina.
