Inloggen Geen profiel? Registreer hier.

Eenvoudige tips om de weerbaarheid tegen een cyberaanval te verhogen. Deel 2: ken uw netwerk.

14/12/2022

Stilaan vangen we informatie op uit de lokale besturen die onlangs het slachtoffer werden van een cyberaanval. Het valt onder andere op welke geavanceerde combinatie van (oude) technieken, vernuft en planning in zo’n aanvallen kruipen.

Wat echter meer opvalt is hoe een aantal zeer eenvoudige principes en beveiligingsmaatregelen in sommige gevallen een hele boel problemen hadden kunnen vermijden.

Daarom nemen we onze leden de komende dagen mee op een trip door het verleden en herhalen we deze eenvoudige suggesties en maatregelen.

Dit doen we door middel van artikels en steekfiches, maar eveneens via een besloten Teams meeting die we samen met Jan Guldentops organiseren op 15/12 om 15u00.

Vandaag deel 2: ken uw netwerk.

Kennis over het eigen netwerk en vooral de actoren die zich er dagdagelijks op bevinden is cruciaal. Het is daarom belangrijk dit voldoende in kaart te brengen, maar vooral ook de situatie te onderhouden en up to date brengen op regelmatige tijdstippen. Onderstaande tips kunnen hier bij helpen:

  • Breng in kaart welke inkomende en uitgaande verbindingen je hebt
    • Netwerkschema
  • Zorg voor netwerksegmentatie
    • Administratief netwerk versus server netwerk versus …
  • Controleer de accounts die gekend zijn op het netwerk:
    • Wie is de eigenaar van de account
      • Is dit een persoon of een service account
      • Vermijd generieke accounts die door meerdere eindgebruikers worden gedeeld
      • Disable of verwijder ongebruikte accounts
    • De toegangen van deze account
      • Welke machtigingen kreeg de account op het netwerk
        • Mag verkeer dat werd gegenereerd door de deze user zomaar naar buiten (firewall?)
      • Welke machtigingen kreeg de account op de fileshares
      • Tot welke applicaties heeft deze account toegang en wat is de rol
        • Laat je hier bijstaan door mensen die bezig zijn met informatieveiligheid (toegangsmatrix, verwerkingsregister, …)
      • Welke machtigingen heeft de account op het eigen toestel
        • Vermijd admin of installatierechten op het eigen toestel

  • Sluit geen compromissen met gebruikers die niet mee willen.
    • Meestal zijn die gebruikers leidinggevenden of mandatarissen.
  • Controleer de toestellen die gekend zijn op het netwerk:
    • Maak op windows netwerken gebruik van LAPS (Local Administrator Password Solution) en vermijd vaste, lokale administrators
    • Verwijder op Active Directory alle objecten die niet meer bestaan
    • Zorg dat alle toestellen die uit dienst zijn correct worden vernietigd of minstens losgekoppeld van het netwerk
  • Vermijd publiek toegankelijke fysieke aansluitingen op het netwerk.
    • Controleer kopieerlokalen, balies, ...
  •  Controleer de instellingen van de firewall
    • Spijker dicht wat te open staat
    • Zorg dat je voor elke rule op de firewall weet waarom die er is gekomen (documenteer!)
    • Indien niet zeker => verwijder en wacht op de ‘klagende’ gebruiker om op orde te zetten en te documenteren.
    • Bekijk niet alleen verkeer dat van buiten naar binnen komt, maar minstens evenzeer wat van binnen naar buiten gaat. Blokkeer protocollen en poorten die niet nodig zijn.
  • Zet een slot op permanent openstaande connecties, bijvoorbeeld naar leveranciers
    • Maak afspraken met de leveranciers over het tijdslot waarin ze updates en onderhoud doorvoeren. De rest van de tijd hou je de connectie stil.
  • Voor alle onbekende gebruikers of toestellen die connectie proberen te maken met het netwerk
    • -> zero trust, zet alles per definitie dicht. Geen uitgaand verkeer, geen toegangen.

  • Na de basishandelingen van hierboven: denk na over de implementatie van geautomatiseerde detectie en monitoring systemen om verdacht verkeer dat afwijkt van bovenstaande strenge regels, te spotten en automatisch te reageren.
  • Zoek een leverancier die je vertrouwt en die je kan bijstaan in het onderhoud van je netwerk
    • Geef hen de opdracht je op de hoogte te brengen over nieuwe ontwikkelingen
    • Laat hen eventueel de logs en meldingen doornemen en acties inplannen om eventuele sluimerende problemen weg te werken.

Neem vandaag nog actie om deze tips in je organisatie door te voeren. Heb je vragen? Hetzij technisch (welke tools gebruik om dit werk te verlichten?), hetzij organisatorisch (hoe overtuig ik mijn management om mij hier tijd voor te laten vrij maken?), geef ons een sein! V-ICT-OR en zijn partners staan paraat om je verder te helpen.


Wil je de besloten Teams meeting met Jan Guldentops op donderdag 15/12 meevolgen? Dat kan - als je lid bent van V-ICT-OR. Een link naar deze sessie kan je aanvragen via dit formulier. KLIK HIER.