NCSC: ontkoppel infrastructuur met gevoelige informatie
Doelgerichte digitale aanvallen worden 'Advanced Persistent Threats' genoemd, maar in werkelijkheid zijn ze eenvoudig van aard en vooral succesvol door het ontbreken van adequate detectie en beveiligingsmaatregelen binnen organisaties. Dat stelt het Nationaal Cyber Security Center (NCSC) van de overheid in een nieuwe factsheet genaamd 'De aanhouder wint'.
Updates
Veel gerichte aanvallen vinden plaats via websites die het doelwit uit zichzelf bezoekt en op maat gemaakte e-mails met bijlagen of links die misbruik van beveiligingslekken in populaire software maken, zoals Adobe Reader, Microsoft Office, Java en Flash Player. Vaak zijn er beveiligingsupdates voor deze kwetsbaarheden aanwezig, maar zijn die niet door de aangevallen organisatie geïnstalleerd.
Hoewel de meeste aanvallen via bekende lekken verlopen, worden APT's vaak met zogeheten 'zero-days' in verband gebracht. Kwetsbaarheden waarvoor nog geen update beschikbaar is. Het aantal zero-days is echter zeer beperkt. Zo werden er vorig jaar 14 ontdekt.
Kennis
Volgens het NCSC bestaat ten onrechte de indruk dat tegen doelgerichte aanvallen weinig maatregelen te nemen zijn. Veel organisaties zijn echter onwetend dat dit soort aanvallen kunnen plaatsvinden en zijn daarom niet voorbereid, waardoor de aanvallen ondanks hun eenvoud toch zeer succesvol kunnen zijn.
"Het management ontbreekt vaak de nodige ICT-kennis, waardoor het besef van de cyberrisico’s en het belang van beveiligingsmaatregelen onderbelicht blijven en niet een integraal onderdeel uitmaken van het primair (besluitvorming)proces", aldus de factsheet.
Daarin staat echter ook dat een goed georganiseerde aanval, bijvoorbeeld door een vreemde mogendheid, uiteindelijk een grote slagingskans heeft.
Maatregelen
Toch zijn er allerlei maatregelen die bedrijven kunnen nemen om aanvallen te voorkomen, de impact te beperken of aanvallers in een vroeg stadium op te merken. Het NCSC verdeelt de aanpak in vier delen: detectieve maatregelen, incident response, infrastructuur en techniek en governance.
Zo krijgen organisaties het advies om de infrastructuur, waaronder het beheernetwerk, te segmenteren. "Ontkoppel de infrastructuur met gevoelige informatie en/of vitale processen en de omgevingen met internettoegang. Indien er toch een internetverbinding gewenst is, gebruik dan een combinatie van technieken als proxy’s, applicatie- middleware, datadiodes, firewalls, ids, monitoring, whitelisting en encryptie, et cetera."
Ook wordt aangeraden om niet alle gevoelige informatie te concentreren, maar deze versleuteld over verschillende segmenten en systemen te verspreiden. "Installeer onder andere crypto-containers per afdeling voor de opslag (en versleuteling) van gevoelige informatie."
Detectie
Het NCSC concludeert dat snelle detectie, netwerk- en informatiesegmentatie organisaties de mogelijkheden geeft om schade te beperken en (tegen)maatregelen te nemen tijdens de aanval.
"Het houden van red-team-oefeningen en de inrichting van een incidentresponse-proces en/of een Security Operationele Center (SOC) zijn onmisbare aanvullende maatregelen om als organisatie, snel en kundig, te kunnen reageren."
De meeste organisaties hebben wel iets beters te doen dan de hele dag bezig te zijn met ICT-beveiliging. ICT moet werken zoals het water uit de kraan komt en het licht gaat branden wanneer je op een knopje drukt. En dat voor een redelijke prijs. Iedere minuut en iedere euro die je er extra aan moet besteden gaat ten koste van waar je voor bent.
Het is één van de oudste beginselen van ICT-beveiliging, 'Maak niet toegankelijk wat niet toegankelijk hoeft te zijn, maak niet decentraal beschikbaar wat niet decentraal beschikbaar hoeft te zijn, hang niet aan een netwerk wat niet aan het netwerk hoeft'.
En NCSC komt met 'ontkoppel infrastructuur met gevoelige informatie'. Hoezo 'ontkoppel', het had er nooit aan mogen hangen tenzij noodzakelijk. Kijk ook eens bij art. 12 Besluit voorschrift informatiebeveiliging rijksdienst – bijzondere informatie
Zo zijn we over opnieuw 30 jaar nog net zo bezig.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime
Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.