De 3 belangrijkste vragen over (cyber)security die elke systeembeheerder moet kunnen beantwoorden
Je kunt vandaag geen nieuwswebsite raadplegen of er wordt wel melding gemaakt van ICT storingen. Van relatief kleine problemen zoals het zichtbaar hebben van klantgegevens, tot zeer zware storingen die bijvoorbeeld vliegvelden of overheden voor lange tijd ernstig platleggen, met enorm financiële schade tot gevolg.
Een van de grootste zorgen op dit gebied is dat je de meeste inbraken simpelweg niet in de gaten hebt.
Systeembeheer is geen securitybeheer
De security van de IT infrastructuur is bij veel organisaties op dit moment een specialisatie die sterk onderschat wordt. Systeembeheer heeft het druk met brandjes blussen en eigenlijk loopt systeembeheer altijd één stap achter de feiten aan. Er is dan ook weinig speciale aandacht voor de beveiliging van het hele spul. De meeste organisaties gaan er nog steeds van uit dat het zo’n vaart niet zal lopen. “Het werkt nu toch goed?” of “Ik word toch niet gehackt”. Bovendien hebben andere systeembeheerproblemen vaak voorrang.
Unhackable bestaat niet
Er draaien op elk moment van de dag, wereldwijd vele duizenden scripts of geautomatiseerde programma’s die het internet afscannen naar kwetsbare plekken en minder goed beveiligde computers. Dit kunnen ‘script kiddies’zijn op een zolderkamer, of solo hackers, maar ook organisaties die zeer professioneel te werk gaan.
Een veelgebruikte methode is tegenwoordig ‘social engineering’. In dit geval doet de hacker zich voor als een bekende en stuurt schijnbaar betrouwbare documenten met een foute link. Klikken op de link activeert een kettingreactie waar je op dat moment geen enkel idee van hebt.
Soms kom je er pas dagen later achter dat er iets niet klopte maar dan is het kwaad al geschied.
Begin 2020 werd de Universiteit van Maastricht op deze wijze ongemerkt geïnfiltreerd. Lange tijd konden de hackers uit Rusland hun werk doen. Uiteindelijk hadden ze alle bestanden van de Universiteit versleuteld. Alleen tegen betaling van Bitcion ter waarde van ca €200.000,- kon de Universiteit weer beschikken over hun data.
Maar ook hebben we te maken met de volle dadendrang van veel geheime- en minder geheime diensten ter wereld. Recent bleek bijvoorbeeld dat Iran Nederlandse universiteiten had gehackt om lesmateriaal te ontvreemden.
De reden om iemand te hacken kan uiteenlopen. Bijvoorbeeld gebruik maken van andermans serverruimte met bitcoin mining is een veel geziene inbreuk. In dit geval maakt iemand anders gebruik van jouw serverruimte zonder dat je dit in de gaten hebt. Hooguit denk je dat je systeem trager is dan je gewend bent. Datadiefstal is een zeer lucratieve tak van sport en afpersing komt op steeds grotere schaal voor.
Elke IT configuratie kan gehackt worden. Met de steeds grotere complexiteit van IT infrastructuur in organisaties is de mogelijkheid van een kwetsbare plek steeds groter. Wat kun je doen om erger te voorkomen?
De meeste IT configuraties maken gebruik van de volgende instellingen: Firewall > Poorten dicht > Virus scanner > Data protectie. (zie illustratie) Dit lijkt een goed uitganspunt maar tegenwoordig is er meer nodig om je systeem te beveiligen.
Deze 3 vragen je helpen om de juiste stappen te zetten:
1. Hoe houd je iemand buiten?
2. Hoe kun je het zien als iemand binnen probeert te komen in je systeem?
3. Hoe zie je het als iemand al binnen is en iets veranderd in jouw systeem?
1. Hoe houd je iemand buiten?
De meest kwetsbare plek in elk netwerk is de mens. Kennis en inzicht hoe je verstandig moet omgaan met afwijkende meldingen is vaak niet aanwezig bij gebruikers. Klikken op een verkeerde link in een e-mail of soortgelijk bericht van buitenaf is de oorzaak voor verreweg de meeste computerinbraken. Het voortdurend trainen en voorlichten van gebruikers is een belangrijke eerste stap voor een veilige PC of netwerk.
Daarnaast komen inbraken met behulp van hardware altijd nog veel voor. Je moet hierbij denken aan USB sticks of andere informatiedragers die je direct aansluit op een computer of netwerk. Het voorkomen dat dit mogelijk is een belangrijke eerste stap. Zorg ervoor dat in kritische omgevingen je simpelweg niks van buitenaf in een PC kunt stoppen. Daarnaast moet je een anti-virus scanner geïnstalleerd hebben die hardware eerst scant voordat je het kunt gebruiken.
2. Hoe kun je het zien als iemand binnen probeert te komen in je systeem?
Hiervoor is het belangrijk om een Intrusion Prevention System (IPS) of Intrusion Detection System (IDS) te installeren. Dit is een geautomatiseerd systeem dat hackpogingen en ongeautoriseerde toegang tot een informatiesysteem of netwerk detecteert.
3. Hoe zie je het als iemand al binnen is en iets veranderd in jouw systeem?
File Integrity Monitoring (FIM) zorgt ervoor dat de inhoud van bestanden op een PC of netwerk voortdurend in de gaten wordt gehouden. Zodra wijzigingen worden aangebracht krijg je daar een melding van. Dit moet ook altijd aan staan.
Auditing (en Log Analyser)
In de meeste Operating Systems zit de Auditing functionaliteit. Hiermee houdt het systeem alle wijzigingen in de gaten en kun je als eerste constateren dat er wijzigingen zijn aangebracht. Maar omdat het daadwerkelijk alles in de gaten houdt kun je door de bomen het bos niet meer zien. Om hier slim mee om te kunnen gaan kun je gebruik maken van een “Log Analyser”. Je kunt hiermee onder andere de informatie vanuit Auditing en andere bronnen filteren en combineren zodat je makkelijker inzicht krijgt wat de actuele status is.
Zorg ervoor dat je een logische procedure hebt waarmee je de status van je netwerk en de instellingen naloopt. Sommige instellingen moet je dagelijks controleren, weer andere wekelijks of maandelijks. Met een vaste procedure zorg je ervoor dat je geen stappen overslaat. Net zoals een piloot altijd voor de vlucht een vaste checklist afloopt. Hierbij horen niet alleen de taken van een systeembeheerder of security manager maar ook permanente voorlichting in de organisatie zodat iedereen weet wat hij of zij moet doen als er een verdachte situatie zich voordoet.
Voorkom een data overdosis
Het instellen van verschillende signaleringssystemen is noodzakelijk voor een veilige PC of netwerk. Maar je kunt flink de weg kwijtraken als je alle mogelijke waarschuwingssignalen altijd aan hebt staan. Je krijgt dan zoveel informatie dat je niet meer in staat bent om hoofd en bijzaken te scheiden. Een dergelijke monitoring kan beslag leggen op alle beschikbare tijd die er is. Daarom is het belangrijk om goed te onderzoeken welke waarschuwingen belangrijk zijn en welke minder.
Goede afspraken met iedereen in de organisatie die betrokken is bij systeembeheer, inclusief directie, zijn belangrijk om een werkbaar proces te hebben en een veilig PC netwerk.
Who you gonna call?
Zorg ervoor dat je het telefoonnummer van een cyber security specialist snel kunt vinden. (dus niet alleen in het adresboek op je PC). Als je echt een probleem hebt is het belangrijk om snel te kunnen reageren. Het gebeurt maar al te vaak dat er één security expert is in de organisatie en dat deze persoon nou net niet te bereiken is om het juiste moment. Op zo’n moment kun je niet rustig gaan zitten wachten maar moet je direct een hulplijn in kunnen schakelen. (Het nummer van Datadigest is: 088 711 86 22)
Datadigest
De mensen van Datadigest zijn specialisten die in staat zijn logica te zien in chaos en structuur in wanorde. Dit zorgt ervoor dat wij complexe projecten snel kunnen doorzien en begrijpen welke stappen er nodig zijn voor een snelle en succesvolle aanpak. Dit doen wij voor IT projecten in de Infra sector en complexe projecten voor de IT sector.
