Het beschermen van je digitale middelen kan overweldigend lijken. Toch kun je je basisbeveiliging op veel punten eenvoudig naar een hoger niveau tillen. Met onze checklist en een beetje tijdsinvestering kom je in ieder geval al een heel eind. 

In dit artikel lichten we effectieve strategieën toe om je organisatie en je data te beschermen tegen cyberaanvallen. Zodat je vandaag nog kunt beginnen met een paar praktische stappen. Want cybersecurity is niet langer een luxe, maar een noodzaak.

1. Sluit belangrijke machines niet aan op het internet.

Laten wij gelijk met de deur in huis vallen: Kritische processen en de systemen wil je koste wat kost beschermen en te allen tijde nooit openbaar toegankelijk maken. De meeste rampverhalen over hacks, dataverlies en datadiefstal komen neer op dezelfde fundamentele fout: Je bent binnen het bereik van elke ‘digitale hooligan’ ter wereld.

2. Wees voorbereid dat je netwerk en communicatie via zowel IPv4 als IPv6 op orde is.

Nagenoeg elk netwerk communiceert standaard via IPv4. Voor elke beheerder een wel bekend systeem die eenvoudig te begrijpen is. Ondertussen is IPv6 al jarenlang op de achtergrond standaard actief met alle gevolgen van dien. Wees je er dan ook bewust van dat die onschuldig uitziende router je systemen zonder omkijken aan het openbare internet kan verbinden.

3. Stel je domeinnamen veilig.

Wanneer je je domein uit handen verliest, raak je niet alleen toegang tot diensten en communicatie kwijt. Het zet de deur open wagenwijd open voor kwaadwillende om toegang te verkrijgen tot extern afgenomen diensten door simpelweg e-mail verkeer en dus wachtwoord resets uit te voeren.

Zorg er dus voor dat je domeinnamen onder controle zijn, en bij voorkeur zijn geregistreerd bij een Nederlandse provider. Ook is het van belang dat de domein registratie provider is aangesloten bij het SIDN voor onder andere .NL domeinen en ICANN/VeriSign voor o.a. .COM. Kies ook voor een provider die financieel gezond is en voldoet aan o.a. ISO standaarden. Dit verruimt de mogelijkheden om domeinregistraties terug in handen te krijgen in geval van verlies of administratieve fout.

Je huidige hosting/domeinregistratie (provider) controleren?

• Bron (1): https://www.sidn.nl/nl-domeinnaam/registrar-zoeken
• Bron (2): https://www.icann.org/en/registry-agreements

4. Splits Domeinnaam, DNS (nameservers) en contactinformatie.

Maak een duidelijke scheiding tussen administratief, technisch en eigendom. Hierdoor kun je vanuit drie verschillende verantwoordelijkheden waarborging realiseren.

• Zorg ervoor dat de domeinnamen zijn geregistreerd op de juiste bedrijfsnaam. Deze moeten altijd eigendom zijn van de eigenaar, bijvoorbeeld de B.V.

• Maak een logische splitsing tussen bedrijfseigendom en technisch beheer. Door de DNS (nameservers) elders onder te brengen, kan de beheerder technische werkzaamheden voor o.a. DNS verrichten terwijl het domein administratief is afgeschermd.

• Tot slot: met de splitsing van contactinformatie ontstaat er een strikte scheiding tussen eigenaar, administratief en technisch beheer.

5. Zorg voor backups, die je altijd, overal, snel en zorgeloos kan herstellen.

We kunnen het niet vaak genoeg blijven herhalen. Maak backups en wees er zeker van dat deze moeiteloos kunnen worden teruggezet met minimaal verlies van data.

Wees ook extra kritisch bij het gebruik en afname van clouddiensten. Hier kun je er namelijk niet van uitgaan dat er backups worden gemaakt en laat staan dat deze eenvoudig kunnen worden teruggezet. Je huurt immers de systemen, opslagruimte en connectiviteit van een ander, die bij voorkeur helemaal niet verantwoordelijk wil zijn voor jouw data en backups.

Wees er dus van bewust dat:

• De backups nooit bij dezelfde provider en locatie worden geplaatst. Kies minimaal voor een off-site (andere locatie/provider) opstelling of nog beter:

• een 3-2-1 backup configuratie waarbij geldt: 3 backups, op twee verschillende type media waarvan er een volledig off-site is.

• of de 6-4-2 configuratie waarbij geldt: 6 backups, op vier verschillende type media waarvan er twee volledig off-site zijn. Ondanks dat dit klinkt als overdreven: De investeringen in o.a. data opslag als verkeer zijn dusdanig laag dat er geen reden is om het niet te doen.

• Valideer dat backups ‘immutable’ zijn, oftewel: dat backup bestanden (de data) niet kunnen worden aangepast. Hierdoor zorg je ervoor dat zowel data als system zorgenloos kunnen worden hersteld zonder dat je de ransomware weer terug krijgt of ander verlies van data plaatsvindt.

• Maak duidelijk onderscheid tussen volledige systeem backups en die van data(base). Een volledige systeem backup moet zorgen voor snel en eenvoudig herstel van het systeem en de separate data(base) backups om verlies van data te beperken tot een minimum.

• Zorg ervoor dat je systemen en data eenvoudig kan herstellen. Wees er dan ook van dat dit met regelmaat wordt getest. Om er zeker van te zijn dat de werking van de systemen en data na herstel in orde is, voer je herstel bij voorkeur uit op een omgeving en systeem die zich op een geheel andere locatie en netwerk bevindt, alleen zo weet je zeker dat je altijd kan herstellen.

• Stel een schema op die ook de garantie biedt dat je van verschillende dagen, weken, maanden en zelfs jaren kan herstellen.

• Wees er zeker van dat de backups veilig en versleuteld worden opgeslagen. Nog belangrijker, dat toegang tot de backup systemen/dienst goed is beveiligd en de decryptie sleutels ook voor handen zijn.

• Valideer eerst onder welke omstandigheden je genoodzaakt bent, backup herstel uit te voeren. Als het om een verloren document gaat kun je deze probleemloos uitvoeren, wanneer er spraken is van herstel na bijvoorbeeld virus/malware/ransomware aanval zul je extra maatregelen moeten treffen, namelijk:
  • Herstel altijd in een volledig separate omgeving, bij voorkeur nog zonder enige vorm van netwerk/internet connectiviteit.
  • Breng het systeem na herstel eerst up-to-date en scan het systeem/data op eventuele sporen van virus/malware/ransomware indicaties.
  • Wees er zeker van dat na herstel de systemen ook weer in de reguliere backup cyclus worden meegenomen.

• Tot slot: biedt eindgebruikers de mogelijkheid om zelf backups van bestanden te kunnen herstellen. Dit kan bijvoorbeeld met behulp van Data Loss Prevention (DLP).

6. Houd strikt toezicht op updates.

Wanneer je backup strategie op orde is, kun je zorgeloos update(s) in snel tempo uitvoeren. Controleer dan ook actief of de update(s) daadwerkelijk worden toegepast en of er software op systemen aanwezig is die gebruikers zelf kunnen plaatsen/installeren. Denk hierbij aan browsers (Firefox, Chrome), Muziekdiensten (Spotify) en overige tooling die geen beheerders rechten nodig heeft om te functioneren.

> Tip 1: Deze software kun je veelal terugvinden onder de persoonlijke gebruikersaccounts:

• Windows: C:\Users\<gebruikersnaam>\AppData
• Mac: /Users/<gebruikersnaam>/Applications
• Linux: /home/<gebruikersnaam>, /usr/local/bin, /usr/local/sbin en /opt

> Tip 2: Check en monitor ook locaties zoals temp, downloads en documenten.

7. Blokkeer het uitvoeren van scripts.

Het uitvoeren van scripts, command-line (CMD) of Powershell wil je actief blokkeren. Er is geen enkele noodzaak dit te willen toestaan, sterker nog: doordat je vormen van uitvoeren van “commando’s” of scripts actief blokkeert wordt het uitvoeren van malware of andere ongewenste software een stuk lastiger.

8. Niemand heeft standaard beheerders ‘administrator’ rechten.

Niets of niemand heeft doorlopende beheerdersrechten nodig om standaard taken uit te voeren. Verkrijg aanvullende rechten, enkel wanneer relevant en bij voorkeur via systemen die dit eerst controleren voordat deze aanvullende rechten (tijdelijk) worden toegewezen.

Enkele voorbeelden van deze oplossingen:

• Privileged Access Management (PAM)
• Just-In-Time Access (JIT Access)
• Identity-Aware-Proxy (IAP)

9. Implementeer aanvullende beveiliging.

Verplicht altijd het gebruik van 2FA/MFA voor al je oplossingen, geen uitzonderingen. Versterk deze met een afgedwongen wachtwoord combinatie beleid en een wachtwoord-beheersysteem. Zo beheer je eenvoudig complexe wachtwoorden en toegang tot systemen en diensten.

    > Aanvulling (1): Oplossingen zoals wachtwoordbeheer-systemen zijn een must-have voor proactief monitoren. Tevens bieden de meeste oplossingen de mogelijkheid een oogje in het zeil te houden of je wachtwoorden voldoen aan de gewenste complexiteit, de inloggegevens en/of e-mail zijn uitgelekt of in handen zijn gekomen van kwaadwillenden.

    > Aanvulling (2): Verplicht ook dat alle applicaties, inclusief externe gebruikers en leveranciers, beschikken over 2FA/MFA. Dwing dit automatisch af in de configuratie of met policies.

    > Aanvulling (3): Blokkeer alles wat niet (actief) wordt gebruikt. Accounts, mailboxen en systemen die al langere tijd niet zijn gebruikt schakel je na bijvoorbeeld een week automatisch uit. Laat logging, auditing en monitoring het zware werk doen en melding maken wanneer iets afwijkt. Denk ook goed na of er voor bepaalde zaken wel een mailbox (waarop je kan aanmelden) nodig is, of dat een groep ook afdoende is voor het ontvangen van e-mails.

    > Aanvulling (4): Valideer of het gebruik van wachtwoord vervangers als: passkeys, FIDO2/WebAuthn en U2F een bruikbare optie zijn. Gebruik deze bijvoorbeeld voor kritische onderdelen of voor beheerders.

10. Versleutel 2FA/MFA backup codes.

Versleutel altijd 2FA/MFA backup codes zodat je aanvullende beveiliging niet alsnog kan worden omzeild. Bewaar de codes bijvoorbeeld in je wachtwoord manager (mits deze de data kan versleutelen).

11. Bied ethische hackers een eenvoudige manier om contact met je op te nemen.

Bied de mogelijkheid om externe diensten en ethical hackers snel en eenvoudig contact op te nemen met de juiste personen. Implementeer bijvoorbeeld: security.txt

> Aanvulling: Zorg er voor dat de spelregels op voorhand duidelijk zijn, hoe wil je dat er contact wordt opgenomen en wat je eventueel biedt ter vergoeding mocht er iets worden gevonden en waarover je niet wil worden geïnformeerd.

> Aanvulling (2): Stel bij voorkeur de teksten op in het Engels.

12. Moderniseer en centraliseer je aanmelding met bijvoorbeeld Single Sign-On (SSO).

Met het gebruik van oplossingen als Single Sign-On (SSO) kun je toegang centraal regelen en monitoren. Hierdoor kun je je eigen beveiligingsstandaard afdwingen en heb je niet voor elk systeem/dienst een uniek wachtwoord nodig.

Tevens kun je gebruikers (accounts) hierdoor actief beschermen. Wordt bijvoorbeeld een aanval gedaan op iemands mailbox, kun je vanuit een centraal perspectief, automatisch het account vergrendelen zodat je tijd en ruimte hebt om de oorzaak te achterhalen en de beveiliging te valideren.

13. Waarborg je basis beveiliging.

Wees er zeker van dat de basis beveiliging op orde is én blijft. Denk hierbij aan:

• Het standaard inschakelen van firewalls op alle apparaten. Dat is inclusief je werkstations en specifiek op mobiele apparaten zoals laptops aangezien deze normaal gesproken helemaal geen inkomende verzoeken hoeven te verwerken en zichzelf buiten je reguliere bedrijfsnetwerken ook moeten kunnen beveiligen.

• Voorkom dat er open verbinding kan worden gemaakt met het netwerk. Implementeer bijvoorbeeld het 802.1X protocol om fysieke connectiviteit actief te monitoren zodat alleen gebruikers en systemen, die op voorhand zijn toegestaan en voldoen aan de beveiligingsprofiel, toegang wordt verleend.

• Verplicht jezelf dat er standaard versleuteling van apparaten wordt toegepast en nog specifieker: op de volledige schijf. Mocht het apparaat kwijtraken zullen de kwaadwillende een stuk meer moeite moeten doen om de data te herstellen.

• Vergrendel automatisch systemen bij inactiviteit met bijvoorbeeld automatische screensaver met wachtwoord verificatie. Maak gebruikers en beheerders er ook bewust van dat ze de systemen zelf vergrendelen als deze niet wordt gebruikt.

• Verplicht update(s) en het automatisch uitschakelen van systemen wanneer deze voor lange tijd inactief zijn.

• Zorg dat elke vorm van toegang via een persoonlijke inlog verloopt. Dit is inclusief het verkrijgen van toegang tot netwerken. Dit kan bijvoorbeeld met certificaten (SCEP of PKI) of gebruikersnaam/wachtwoord/token.

• Implementeer actieve monitoring op alle basiscomponenten. Besteed zorg en aandacht dat de systemen die je aan het monitoren bent niets te melden hebben, lees: alles onder controle. Hierdoor zorg je ervoor dat afwijkingen meteen opvallen en dat er gericht kan worden gezocht naar de oorzaak. Ook kunnen hierdoor systemen zoals Anomaly Detection eenvoudig worden toegepast.

14. Beveilig externe communicatie en data uitwisseling.

Deel data via eigen systemen in plaats van e-mail of data uitwisseling platformen. Nodig externe uit tot jouw omgeving (Google Drive, Microsoft Sharepoint, Teams etc..) zodat je grip en zicht hebt op wat er met jouw data en informatie wordt uitgevoerd.

Ter aanvulling voor het uitwisselen van informatie en gegevens kun je oplossingen zoals Microsoft berichtversleuteling, S/MIME, PGP/GPG en BIMI om versleutelde e-mails en afzenders te valideren.

15. Reserveer tijd om met regelmaat, zichtbaar te testen t.b.v. herstel.

De e-mail met ‘de backup is gelukt’ of de mooie woorden van de beheerder en leverancier ‘ja, de backup werkt’ is onvoldoende. Er is simpelweg geen excuus om het niet te doen en behoort tot de standaard beheertaken.

16. Houdt data weg van individuele systemen.

In bijna alle gevallen kan data (informatie) rechtstreeks van de server worden opgevraagd. Hierdoor is de kans dat data of toegang tot de systemen waar deze data wordt opgeslagen doel is van data gijzeling of datalek.

Enkele voorbeelden die je actief wil blokkeren:

• E-mail protocollen zoals POP en IMAP
• Data synchronisatie zoals Microsoft One Drive, Google Drive en Dropbox
• Legacy protocollen zoals SMB (Microsoft File Share) en NFS

17. Toets geregeld de afgenomen oplossingen.

Hierdoor behoud je niet alleen grip of de oplossingen nog relevant zijn, maar ook of:

• Updates en ontwikkeling beschikbaar zijn;
• de system up-to-date worden gehouden;
• de kosten nog in verhouding staan tot de oplossing.

18. Bied geen open connectiviteit richting het internet. Uitgaande communicatie is geblokkeerd, tenzij.

Beperk de protocollen, poorten en diensten waarmee verbinding kan en mag worden gemaakt. Hierdoor kun je actief filteren en actieve beveiliging aanbrengen op de gemaakte verzoeken. Ook biedt de actieve beveiliging je de mogelijkheid om privacy zaken te optimaliseren, door het blokkeren van o.a. tracking, malware of andere kwaadaardige servers en websites.

Enkele belangrijke zaken die je volledig in eigen beheer en toezicht wil houden:

• Verzoeken en filtering via eigen DNS, het liefst in combinatie met versleuteling als DNS-over-HTTPS (DoH) en DNS-over-TLS (DoT).

• Enkel versleutelde communicatie is mogelijk, bijvoorbeeld: HTTPS (443/TCP)

19. Implementeer Zero Trust.

Gebruik de Zero Trust mindset en aanpak: Je vertrouwt niets en doet altijd een verificatie. Op deze manier bescherm je elk systeem doorlopend en actief en krijg je inzage in wat er zo al gaande is en wordt je tijdig geïnformeerd als er zaken afwijken.

Bijvoorbeeld:

• De groep ‘administratie’ is enkel actief van maandag tot en met vrijdag tussen 08:30 en 17:00 en heeft enkel toegang tot Excel en een financiële applicatie/online dienst. Alles wat buiten deze regel valt krijgt geen toegang.

• Een gebruiker logt in op de e-mail vanuit het buitenland, extra vragen ter verificatie worden gesteld en bij afwijking gaat het account op slot en worden de beheerders geïnformeerd.

• Een apparaat probeert verbinding te maken met een systeem terwijl hier geen enkele noodzaak voor is. Doordat dit niet op voorhand is toegestaan krijgt het apparaat geen toegang.

• Een systeem maakt verbinding met een externe dienst. Eerst wordt er gecontroleerd of het systeem is voorzien van de benodigde beveiliging (firewall, antivirus/antimalware), de updates zijn gedaan en de gebruikte applicatie up-to-date is. En tot die tijd krijgt het systeem geen toegang.

• Zero Trust kun je vaak combineren met het gebruik van Single Sign-On. Hierdoor kun je automatisch meeliften op de aanvullende beveiligingen die Zero Trust biedt, zelfs als de achterliggende applicatie/dienst deze niet standaard heeft.

20. Je interne netwerk is niet veilig.

Je interne netwerk is vaak een groot, open netwerk. Een soort van wild westen waarin iedereen vrij met elkaar kan communiceren. Beschouw je interne netwerk dan ook als onveilig en focus op dat apparaten, systemen en diensten zichzelf kunnen beveiligen met o.a. actieve firewall. Immers, het systeem buiten je eigen netwerk of in andermans netwerk is zonder actieve beveiliging kwetsbaar.

21. Verplicht dat alle communicatie versleuteld is en voldoet aan minimale encryptie standaarden.

Wacht niet tot andere hun systemen optimaliseren, verplicht je eigen systemen enkel via moderne encryptie standaarden mogen communiceren.

Enkele voorbeelden:

• Verplicht het gebruik van minimaal TLS 1.2
• Sta alleen verbindingen middels SSL (HTTPS) toe, blokker bij voorkeur ook poort (80/TCP)
• Blokkeer de optie om certificaat (fout)meldingen en meldingen over onveilige websites te omzeilen.
• Verplicht het gebruik van DNS-over-TLS of DNS-over-HTTPS, en helemaal wanneer het gaat om mobiele apparaten en communicatie over het mobiele netwerk.

22. Vermijd legacy VPN oplossingen als IPSEC en PPTP

Een legacy VPN biedt in de meeste gevallen niet veel meer dan enkel data versleuteling en toegang tot systemen in een ander netwerk. Het grootste nadeel is dat je een systeem/dienst moet openstellen om vanaf extern verbinding te maken. Daar komt bij dat er vaak geen enkele restrictie is als het gaat om met welke systemen er kan worden verbonden als de VPN verbinding actief is.

23. Zorg voor logging/monitoring, realtime en bij voorkeur extern.

Middels de logs en monitoring ben je in staat zijn om oorzaak en boosdoener te achterhalen. Hierdoor kan je zorgeloos nieuwe maatregelen treffen, zelfs als het kwaad al is geschied.

24. Single Source of Truth (SSoT)

Leg je infrastructuur en configuraties op voorhand vast. Gebruik enkel deze bron om apparatuur, systemen en configuraties mee bij te werken.

> Toelichting: Het heel normaal dat je wijzigingen rechtstreeks aanbrengt in bijvoorbeeld je server, router, of cluster. Deze worden dan weer ‘automatisch’ door monitoring en controlesystemen in de gaten gehouden. Middels een Single Source of Truth leg je eerst vast wat de rol, locatie en functies zijn die het desbetreffende oplossing moet gaan vervullen, waarna configuratie systemen de inrichting voor je voorzien. Hierdoor is het (her)bruikbaar, centraal te overzien en globaal in te regelen.

25. Versleutel je data(base).

Hier doelen wij op de data zelf, niet enkel schijf encryptie. Door je data(base) te versleutelen is deze voor kwaadwillende op voorhand waardeloos. Hierdoor minimaliseer je kansen op een datalek aangezien het voor derden niet bruikbaar is.

26. Monitor je oplossingen en taken.

Dat techniek en infrastructuur zo nu en dan faalt mag geen verrassing meer zijn. Implementeer dan ook een monitoring strategie zodat je tijdig wordt geïnformeerd als er zaken niet langer functioneren zoals verwacht. Hierdoor kun je tijdig de organisatie informeren en een oogje in het zeil houden of de stabiliteit van de oplossing voldoet. Ook wanneer het gaat om taken, zoals het dagelijks uitvoeren van updates, wil je dit actief monitoren. Denk hierbij aan: Is de taak gestart, wat is de doorlooptijd van de taak en is deze succesvol gestopt. Door deze drie acties doorlopend te monitoren creëer je waarborging en kost het bijzonder weinig moeite om eventuele storingen te achterhalen.

Met deze basiselementen kun je eenvoudig en snel je organisatie en bedrijfsvoering waarborgen. Het zijn oplossingen die beheerders en leveranciers standaard zouden moeten aanbieden. Is dit niet het geval dan is het raadzaam om snel naar alternatieve oplossingen te zoeken.

Punten van aandacht waar je verder op kan toetsen:

1. Netwerk segmentatie: Maak gescheiden netwerken voor systemen en apparatuur. Plaats bijvoorbeeld je servers in segment 1 en je werkstations in segment 2. Zorg er ook voor dat onderlinge communicatie, middels firewall regels (ACL) enkel toestaat wat noodzakelijk is.

2. Actieve netwerk (en internet) monitoring: Er zijn voldoende systemen die je actief helpen beschermen als er verzoeken naar kwaadaardige systemen, netwerk en diensten worden gedaan. Tevens krijg je door actief te controleren op netwerk ook inzage als er onbekende apparaten zich aanmelden.

3. Zorg ervoor dat alle communicatie via versleutelde middelen verloopt. Denk hierbij aan internetverkeer via SSL (https://), DNS via DoT (DNS-over-TLS) of DoH (DNS-over-HTTPS) en beperkt toegang tot deze onderdelen op basis van leverancier.

4. Niemand heeft standaard beheerdersrechten. Ook de beheerders zelf niet. Breng dit onder een separaat ‘beheer’ account incl. de monitoring.

5. Houd documentatie en procedures up-to-date. Zeker bij oplossingen die deel uitmaken van de primaire processen of met een kritische afhankelijkheid.

6. Download software en updates alleen vanuit vertrouwde bronnen.

7. Houd geen systemen of oplossingen in stand die niet langer worden ontwikkeld of voorzien van updates.

8. Wees kritisch op de oplossingen. Zorg er altijd eerst voor dat de basis op orde is voordat je gaat investeren in extra tooling en monitoring. In de meeste gevallen heb je helemaal geen aanvullende fancy monitoring en/of security diensten nodig. Besef dat extra controles tijd, kennis en investeringen kosten. Meer is niet per se beter.

9. Maak security een team effort. Stel een groep op waar alle security vraagstukken en incidenten samenkomen en waar diverse personen in worden meegenomen.

10. Informeer en leidt je eindgebruikers op als het gaat om cybersecurity. Vergeet hierbij niet het sociale element.

11. Houd je website up-to-date. En zorg ervoor dat communicatie via bijvoorbeeld contact fomulieren direct worden doorgezet naar afgesloten CRM systemen i.p.v. deze onbeveiligd en onbewaakt te bewaren.

12. Bied de mogelijkheid om externe diensten en ethical hackers snel en eenvoudig contact op te nemen met de juiste personen. Implementeer bijvoorbeeld: security.txt

Wil je weten hoe je organisatie ervoor staat? Bijvoorbeeld je cybersecurity, systeembeveiliging of de kosten die worden gemaakt omtrent ICT/technology?

Neem contact met ons op en wij helpen je graag verder.