9 Dec 2021
Gert Lambers

Technologie evolueert razendsnel, en dat zal in de toekomst niet anders zijn. Spannende tijden dus, maar ook veel nieuwe mogelijkheden! Helaas vergeten bedrijven dat hackers steeds slimmer en creatiever worden. U kan dus maar beter niet zomaar blijven vertrouwen op uw goede oude beveiligingsinfrastructuur, want een oplossing die twee jaar geleden veilig was, is dat ondertussen allang niet meer. 

Gelukkig komen er ook steeds nieuwe beveiligingsoplossingen op de markt die uw organisatie beschermen. Maar welke bouwstenen heeft u allemaal nodig voor een veilige IT-infrastructuur? We sommen graag enkele belangrijke onderdelen van IT-security voor u op!

Basisbegrippen voor een veilige IT-omgeving 

Voor we elke bouwsteen apart gaan bekijken, leggen we graag twee essentiële begrippen uit: 

Gelaagde beveiliging of layered security 

Als we ervan uitgaan dat er in elk beveiligingssysteem ‘gaten’ kunnen zitten, is het onverstandig om maar op één beveiligingslaag te rekenen. U gebruikt beter meerdere IT-technologieën die elkaar overlappen: de beperkingen van de ene oplossing worden dan opgevangen door de andere, zodat u algemeen toch voldoende beschermd bent. We noemen dit ‘gelaagde beveiliging’ of ‘layered security’. 

Layered security

Defense-in-depth  

Uiteindelijk is het slechts een kwestie van tijd voor hackers toch door je beveiligingsmuur dringen. Daarom is het cruciaal dat u het cybercriminelen zo moeilijk mogelijk maakt, en ze zoveel mogelijk vertraagt. Een efficiënte beveiligingsstrategie gaat dus onvermijdelijk dieper dan enkel een gelaagde beveiliging. Het omvat ook alles wat errond zit: patching, monitoring, back-ups, het vermijden van menselijke fouten enzovoort.  

Bouwstenen van een veilige IT-omgeving 

Een strategische beveiliging van uw IT is altijd opgebouwd uit deze fundamentele elementen: 

Updates & patching 

De meeste software die u aankoopt, bevat bugs. Hackers maken dan ook al te graag misbruik van deze bugs om uw IT-systemen binnen te dringen. Softwareleveranciers brengen gaandeweg wel patches en updates uit om deze bugs te verhelpen, maar deze worden helaas vaak genegeerd door bedrijven, met alle gevolgen van dien. Vaak heeft dat te maken met de zware workload van IT-teams, die nauwelijks de tijd hebben om de patches uit te voeren. Jammer, want zo krijgen hackers vrij spel. 

Updates en patching vormen dan ook de allereerste basisvoorwaarde voor een veilige IT-omgeving. De meest recente versie van uw besturingssystemen zijn immers steeds beter bestand tegen de nieuwste dreigingen.  

Vergeet ook zeker niet de firmware op uw hardware te updaten. Het gaat dan om de software die ingebouwd is in uw hardware om deze zo goed mogelijk te laten werken. De updates van firmware zorgen ervoor dat bugs of programmeerfouten hersteld worden, er extra functionaliteiten toegevoegd kunnen worden en uw hardware beschermd is tegen cybercrime. 

Firewall

Een firewall is een soort gatekeeper of bewaker van uw bedrijfsnetwerk. Hij screent alle inkomende en uitgaande informatie, zodat er geen kwaadaardige data op uw netwerk raken. Zo weet u niet alleen welke toegangen er open staan, maar ook welk verkeer er voorbijkomt en of dat wel toegestaan is.

Firewall

Vele besturingssystemen hebben een ingebouwde firewall. Het is belangrijk deze altijd te laten aanstaan. Gebeurt er iets op uw netwerk terwijl de firewalls uitgeschakeld of omzeild zijn, dan kan het gevaar zich razendsnel over uw hele netwerk verspreiden. Zorg er ook voor dat enkel die poorten open staan die nodig zijn voor uw applicaties. 

Sandboxing

Kiest u voor een oplossing als Exchange Online Advanced Threat Protection of WatchGuard APT Blocker? Dan kan u dreigingen voortijdig opsporen. Mails met bijlagen komen dan niet meteen in uw mailbox terecht, maar worden eerst in een beveiligde cloudomgeving – een sandbox – geopend. Zijn ze niet veilig, dan stuurt de sandbox de mail niet door en wordt de gebruiker op de hoogte gebracht van de vastgestelde problemen. Op die manier krijgen malware, virussen en andere dreigingen van buitenaf geen kans om uw netwerk te beschadigen.  

Sandboxing wordt trouwens ook gebruikt als methode om nieuwe software te testen. Zo is de veiligheid van uw IT-infrastructuur steeds verzekerd wanneer er iets misloopt.  

Back-up & Disaster Recovery 

Wat als uw systeem toch faalt? Beschikt u dan over een back-up, een reserviekopie van uw bedrijfsdata? Zo ja, waar bewaart u deze? Weet u wie u moet contacteren indien er zich een incident voordoet zoals brand, waterschade, diefstal enzovoort? En kent elke betrokken werknemer zijn/haar rol om het systeem zo snel mogelijk weer up and running te krijgen? Al deze vragen moet u op voorhand beantwoorden en verwerken in een Disaster Recovery Plan, een belangrijk onderdeel van uw back-upstrategie. 

Wanneer u een back-upstrategie voorziet, vergeet dan zeker niet het 321-backupprincipe: 

  • Zorg dat u van elk bestand minstens 3 kopieën hebt, waarbij het origineel als 1 versie telt  
  • Sla deze kopieën op minstens 2 verschillende manieren op (tape, harde schijven, …)    

  • Bewaar minstens 1 kopie off-premise, bijvoorbeeld in de cloud of in externe datacenters. Fysieke scheiding tussen kopieën is zeer belangrijk, want als er een back-up verloren gaat of niet te herstellen is, dan heeft u tenminste nog andere mogelijkheden. 

Antivirus en antispam 

Malware, zoals virussen en ransomware, wordt steeds complexer, gevaarlijker en moeilijker te detecteren. Denk maar aan de Cryptolocker-virussen die ware ravages aanrichten in bedrijven. Omdat het gevaar van één besmet toestel niet beperkt blijft tot het toestel zelf, is het essentieel dat alle computers beschermd worden door een antivirus.

Antivirus

Spammail is niet alleen ontzettend vervelend, hij is ook ronduit gevaarlijk, omdat hij is ontworpen met de bedoeling u of uw organisatie te schaden. Spam kan valse links bevatten naar kwaadaardige websites die informatie proberen te ontfutselen of vanwaar stiekem malware op uw computer wordt geïnstalleerd. Ook hier kan u zich tegen beschermen met een antispamprogramma. 

Paswoord policy  

Een paswoord is een goede verdediging tegen dreigingen, tenminste als u enkele beleidsregels opstelt en afdwingt om ervoor te zorgen dat paswoorden moeilijk te achterhalen zijn. Zaken waarmee u best rekening houdt: 

  • Denk aan de complexiteit en lengte van paswoorden  

  • Maak een nieuw paswoord aan na een bepaalde periode 

  • Lijst van af te raden of verboden paswoorden   

  • Paswoordbescherming: u kan ook gebruikmaken van Azure ADPassword Protection om uw bedrijf te beschermen. Het detecteert en blokkeert zwakke paswoorden.  

Nog beter dan goede paswoord policy is echter om over te schakelen naar multifactor authenticatie voor uw gebruikers. 

Multifactor authentication 

Bij meerfactorauthenticatie heeft u minstens twee factoren nodig om toegang te krijgen tot apps of bepaalde programma’s. Na het ingeven van uw logingegevens zoals gebruikersnaam en wachtwoord wordt er u ook een extra bevestiging gevraagd via apps zoals Microsoft Authenticator. Daarmee kunnen anderen niet inloggen, ook al kennen ze uw wachtwoord. Heeft u geen smartphone? Dan kan u ook gebruikmaken van tokens of een ander geschikt alternatief.  

Mobile Device Management

Mobile Device Management of MDM is een manier om datasecurity in uw bedrijf te verbeteren door het monitoren, beheren en beveiligen van de mobiele apparaten die in uw organisatie gebruikt worden zoals laptops, smartphones en tablets. Dit kan ook een goede optie zijn wanneer u een BYOD-policy (Bring Your Own Device) hanteert binnen uw bedrijf.  

Om MDM te voorzien kan u gebruikmaken van Microsoft Intune, een cloudgebaseerde service. Zo bepaalt u steeds hoe uw bedrijfsapparaten, inclusief mobiele telefoons, tablets en laptops gebruikt worden. U kunt ook specifieke policies configureren om applicaties te beheren. U kan bijvoorbeeld verhinderen dat er e-mails worden verzonden naar mensen buiten uw organisatie.   

URL-scanning

Van sommige URL’s kan u op voorhand niet zeker weten of ze wel veilig zijn. Eén verkeerde klik kan volstaan om virussen te activeren of om de download van schadelijke elementen op uw computer te triggeren, zonder dat u ook maar iets in de gaten heeft. De meeste browsers hebben tegenwoordig een ingebouwde smartscreen filter die waarschuwt voor zogenaamde malicious URL’s. 

Daarnaast kan Exchange ATP ook een extra bescherming bieden, het controleert namelijk alle URL’s in uw e-mails zowel op het moment van ontvangst als op het moment dat u erop zou klikken. Cybercriminelen maken er immers een sport van om de URL pas na ontvangst te veranderen. Zo kan hij/zij toch uw mailbox binnenglippen en dreigt u alsnog op een kwaadaardige URL te klikken. 

Toegangscontrole

Onder het motto ‘voorkomen is beter dan genezen’ beperkt u naast de digitale toegang tot uw IT-omgeving ook best de fysieke toegang. Wie fysiek toegang heeft tot uw servers kan eigenlijk alles kraken. Plaats uw servers dus in een aparte serverruimte met gecontroleerde toegang. Geef uw werknemers ook enkel toegang tot de elementen die ze echt nodig hebben, de rest schermt u best af.

Toegangscontrole

Adminrechten

Zorg dat beheerders of admins voldoende rechten krijgen om hun taken uit te voeren, maar geef hen zeker niet standaard ‘alle rechten’. Dat werkt niet alleen Shadow IT in de hand, maar kan ook leiden tot het betalen van boetes voor bestanden en tools waar u als bedrijf geen geldige licentie voor heeft. Uw IT-admins moeten steeds de gatekeepers blijven over wat er kan en mag geïnstalleerd worden op uw toestellen.   

In uitzonderlijke gevallen kan u tijdelijke local admin-rechten toekennen voor het downloaden en installeren van een bepaalde software of tool, maar slechts voor die ene taak en gedurende de periode van installatie. Daarna verdwijnen deze toegekende rechten weer. 

U kan op verschillende manieren admin-rechten bepalen:

  • Just Enough Admin (PowerShell): users krijgen net genoeg rechten om hun specifieke taken te kunnen uitvoeren en niet meer dan dat.  

  • Role Based Access Control (Microsoft Azure): toegang wordt verleend op basis van de rol die de user vervult. 

  • Privileged Identity Management (Windows domain): beperkte rechten die na een bepaalde tijd vervallen.  

Monitoring

Tot slot is het belangrijk uw omgeving permanent in de gaten te houden. Er bestaan verschillende uitstekende monitoringsoplossingen, die u tijdig melding geven van eender welke onregelmatigheid. Zo kan u onmiddellijk actie ondernemen. Monitoring vinden we bij  Aurelium trouwens zo belangrijk dat het ook standaard in het  Adepto-samenwerkingspakket voorzien is. 

Uw IT-omgeving veiliger maken met professionele hulp

Bent u niet zeker of alle benodigde bouwstenen wel aanwezig zijn in uw IT-omgeving? Download dan onze checklist om na te gaan wat u kan verbeteren of neem contact op met ons! Onze security-expert helpt u graag verder naar een veilige en optimale IT-infrastructuur.  

Is uw ICT-infrastructuur wel optimaal beveiligd? Download onze gratis Security Checklist.