Nauwelijks bekomen van WannaCry, waar we toch goed wegkwamen, heeft de volgende ransomwareuitbraak zich alweer aangediend: Petya. Naarmate er meer digitalisering plaatsvindt in het bedrijfsleven, komen ransomwareaanvallen en andere securitydreigingen natuurlijk steeds vaker voor. Niet voor niets probeert het bedrijfsleven met allerlei sloten de infrastructuur zo goed mogelijk dicht te houden.
Wat echter vaak vergeten wordt, is dat organisaties niet alleen naar zichzelf moeten kijken, maar ook naar de externe leveranciers die toegang hebben tot het bedrijfsnetwerk. Hoe hebben zij de security geregeld en hoe ga je om met het verstrekken van inloggegevens aan derden?
Externe toegang tot bedrijfssystemen
Uit onderzoek van Bomgar blijkt dat datalekken door externe partijen op brede schaal voorkomen. Externe leveranciers zijn een kernonderdeel van de bedrijfsprocessen. Gemiddeld krijgen in één week tijd 181 leveranciers toegang tot bedrijfsnetwerken. Van de 650 IT-professionals die wereldwijd aan het onderzoek hebben meegewerkt, zegt ruim twee derde (67 procent) dat datalekken binnen de organisatie ‘zonder meer’ (35 procent) of ‘mogelijk’ (34 procent) te herleiden vallen tot een externe leverancier.
Vanwege het hoge slagingspercentage en de eenvoud van de methode, is de phishingmail het meest populair om malware te verspreiden en bedrijfsnetwerken te infiltreren. Daarnaast wordt phishing ook veelvuldig ingezet om slachtoffers te verleiden tot het delen van hun inloggegevens. Volgens het onderzoek is 61 procent van de IT-professionals bezorgd dat inloggegevens van privileged users, zoals externe leveranciers, door middel van phishing in verkeerde handen terechtkomen. Succesvolle phishing maakt het voor hackers ook mogelijk om netwerken over een lange tijd te infiltreren en zo structureel waardevolle data binnen te halen. Dergelijke aanvallen staan bekend als Advanced Persistent Threats (APT).
Risico’s van VPN
Nog altijd werken de meeste organisaties met traditionele remote access-oplossingen die gebruikmaken van een VPN voor het leveren van toegang aan derden. Dit betekent dat leveranciers op een ongecontroleerde manier support verlenen. Door hen via VPN toegang te geven tot het interne netwerk en de bedrijfssystemen, krijgen cybercriminelen de kans het netwerk binnen te dringen zonder dat je dat ziet. Eenmaal binnen in de VPN-connectie, is het een open tunnel naar het netwerk. Met het stijgende aantal cyberaanvallen, waarbij inloggegevens vaak het belangrijkste doelwit zijn, wordt de bescherming van inloggegevens steeds belangrijker.
Hoe kunnen organisaties zich beter voorbereiden en wapenen tegen ransomware- en andere cyberaanvallen?
- Sluit de leverancierstoegang af wanneer je gebruikmaakt van VPNs en het Remote Desktop Protocol (RDP) – Het klinkt misschien drastisch, maar als je de controle wilt bewaren over de veiligheid van je systemen heb je eigenlijk geen keus. WannaCry heeft bijvoorbeeld zo’n 100.000 organisaties geïnfecteerd, dus hoe weet je bij een ransomwareaanval zeker dat leveranciers en andere externe dienstverleners geen risico vormen voor jouw organisatie? Door onveilige toegangswegen tot de IT-infrastructuur direct af te sluiten voor externe leveranciers, voorkom je dat malware via die weg alsnog binnenkomt.
- Beheer en controleer geautoriseerde toegang tot systemen – Implementeer een beleid gebaseerd op ‘weinig privileges’, waarbij gebruikers toegang krijgen op basis van hun behoeften, rol of functie. Denk daarbij ook aan externe leveranciers en service- of helpdesks die vaak meer privileges hebben dan nodig.
- Implementeer multi-factor authenticatie – Zorg ervoor dat je zeker weet dat gebruikers zijn wie ze zeggen door ze via multifactor authenticatie toegang te geven tot bedrijfssystemen.
- Check policies regelmatig en train mensen – Technologie kan security eenvoudiger maken, maar het is slechts een klein aspect van een complete oplossing. Zorg ervoor dat iedere medewerker en externe leverancier op regelmatige basis getraind wordt over de security best practices.
- Monitor, registreer en analyseer gedrag – Creëer en analyseer een auditspoor voor alle activiteiten van privileged users op het netwerk en controleer op afwijkingen of vreemd gedrag.
Externe partijen met speciale toegangsrechten vertegenwoordigen tal van risico’s voor de security. Naarmate het ecosysteem van leveranciers groeit, zal het beheer van externe partijen met speciale toegangsrechten effectiever moeten worden ingericht. Dit is mogelijk met behulp van technologie en processen die inzicht bieden in wie toegang zoekt tot het bedrijfsnetwerk en wanneer.
