10 veelgemaakte fouten bij het configureren, beheren en beveiligen van systemen zorgen ervoor dat cybercriminelen nog altijd weten in te breken bij organisaties en toegang krijgen tot netwerken en data. Hiervoor waarschuwen de Amerikaanse, Britse, Canadese, Nederlandse en Nieuw-Zeelandse overheid in een gezamenlijk advies. Welke tien fouten zijn dit en hoe kan je deze aanpakken?

De makkelijkste weg

Cybercriminelen kiezen altijd voor de makkelijkste weg. Door een aantal veelgemaakte fouten is het voor cybercriminelen mogelijk om binnen te dringen in de IT-systemen van organisaties. Deze fouten worden bij aanvallen misbruikt of maken aanvallen juist mogelijk. Een internationaal samenwerkingsverband heeft met de FBI en het Nederlandse Nationaal Cyber Security Centrum

(NCSC) de belangrijkste aanvalstechnieken en meest gemaakte fouten op een rij gezet. Ook worden er adviezen gegeven over hoe je deze fouten kan aanpakken om het aantal beveiligingsincidenten terug te dringen.

De technieken

Cybercriminelen gebruiken vaak de volgende vijf technieken om binnen te dringen:

1. Ze maken misbruik van publiek toegankelijke systemen.
2. Ze maken misbruik van externe remote services.
3. Ze gebruiken phishing-aanvallen.
4. Ze maken misbruik van vertrouwde relaties.
5. Ze maken misbruik van geldige accounts.

De 10 veelgemaakte fouten

In het advies worden de tien veelgemaakte fouten genoemd die cybercriminelen de mogelijkheid biedt bovenstaande technieken toe te passen. Welke 10 fouten dit zijn en hoe je je hiertegen kan beschermen heb ik voor je onder elkaar gezet:

1. Multifactorauthenticatie (MFA) wordt niet afgedwongen
Heel veel digitale aanvallen richten zich op wachtwoorden. Voor een aanvaller is dat het makkelijkst. Een wachtwoord stelen is heel eenvoudig; je stuurt een paar phishing-e-mails met een link naar een neppe inlogpagina en als je er genoeg hebt verstuurd is er altijd wel iemand die hapt. Als je eenmaal een wachtwoord gestolen hebt, kan je op een netwerk binnendringen en heel veel narigheid aanrichten zonder dat het wordt opgemerkt. Door het afdwingen van MFA wordt dit lastiger. Als een aanvaller dan toch inloggegevens in handen krijgt, dan moet er voor een geslaagde aanval nog een extra stap worden gezet. Namelijk het verkrijgen van de aparte beveiligingscode die toegestuurd wordt aan gebruikers, of het invoeren van een fysieke beveiligingssleutel om toegang te krijgen tot het account.

2. Toegangsrechten zijn niet goed ingesteld
Cybercriminelen maken dankbaar gebruik van slecht toegangsbeheer. Toegangsrechten worden namelijk op veel plekken niet goed ingesteld. Het is belangrijk dat er controle is op iemands toegangsrechten vanaf het moment van indiensttreding tot en met de beëindiging van het contract. Dit geldt voor zowel toegang tot bepaalde applicaties als toegang tot bepaalde ruimtes en/of gebouwen. Ook moeten bij functiewijzigingen van medewerkers en uitdiensttreding autorisaties zo spoedig mogelijk worden aangepast. Alleen, autorisatiebeheer binnen je organisatie inrichten én op orde houden, is vaak een lastige en tijdrovende klus. Om dit proces rondom autorisaties goed in te richten, kun je een autorisatiematrix gebruiken. Hoe je dit doet lees je in onze eerdere blog ‘Tien stappenplan voor het opstellen van een autorisatiematrix’.

3. Software is verouderd
Door achterstanden in updates kunnen er kwetsbaarheden in software, hardware en besturingssystemen ontstaan, waar cybercriminelen maar al te graag misbruik van maken. En dit wordt steeds makkelijker. Dit komt o.a. doordat je via online scans kwetsbare systemen kan opsporen. Wanneer hier misbruik van wordt gemaakt, kan dit grote gevolgen hebben voor de beschikbaarheid, integriteit en vertrouwelijkheid van systemen. Zo kunnen er gegevens worden gestolen (datalek), gewijzigd of versleuteld (ransomware). Dit kan voor grote schade zorgen. Het is daarom belangrijk om een kwetsbaarheid zo snel mogelijk te verhelpen zodra een update beschikbaar is. Kortom, patchen en updaten is van groot belang voor de informatiebeveiliging van je organisatie. Door je systemen up-to-date te houden, kunnen veel incidenten voorkomen worden. Benieuwd hoe je een patchmanagementproces inricht? Lees dan onze blog ‘Het belang van patchmanagement’.

4. Er wordt gebruik gemaakt van standaard wachtwoorden
Tegenwoordig heb je voor bijna alles een gebruikersnaam en een wachtwoord nodig. We moeten zoveel wachtwoorden onthouden, dat we steeds vaker voor makkelijk te onthouden wachtwoorden kiezen, of vaak hetzelfde wachtwoord gebruiken voor verschillende accounts. Zo weten we allemaal dat 123456 niet het veiligste wachtwoord is. Toch is het anno 2022 nog altijd het meestgebruikte wachtwoord (en dus ook het makkelijkst te kraken). Het is daarom belangrijk om een sterk en veilig wachtwoord te gebruiken. Een sterk wachtwoord is minstens 12 tekens lang en bevat een combinatie van hoofdletters, kleine letters, cijfers en symbolen.

5. Diensten voor werken op afstand, bijv. een Virtual Private Network (VPN), zijn niet goed beveiligd
Vaak ontbreekt er een check op ongeoorloofd gebruik van remote dienstverlening, zoals een VPN-dienst. Een VPN zorgt voor een beveiligde verbinding tussen jou en het internet. Via het VPN wordt al je dataverkeer door een versleutelde virtuele tunnel geleid. Dit verbergt je IP-adres wanneer je het internet gebruikt, waardoor de locatie ervan voor iedereen onzichtbaar is. Het is belangrijk dat er duidelijke regels zijn voor toegangscontrole en VPN-regels die bepalen hoe gebruikers verbinding kunnen maken met het netwerk.

6. Er is geen wachtwoordbeleid dat sterke wachtwoorden afdwingt
Er wordt sterk geadviseerd om beleid door te voeren voor het afdwingen van sterke wachtwoorden. Laat werknemers bijvoorbeeld een wachtwoordmanager mét wachtwoordgenerator gebruiken. Een wachtwoordmanagers is een soort virtuele ‘kluis’ op je mobiele telefoon, tablet of computer waarin wachtwoorden veilig worden bewaard in een versleutelde database. Naast het opslaan en onthouden van complexe wachtwoorden, kan een wachtwoordmanager ook veilige en sterke wachtwoorden voor je bedenken (zie ook fout 4). Bovendien worden de wachtwoorden ook nog eens automatisch ingevuld als je ergens wilt inloggen. Dit maakt het makkelijker om voor elk account een ander wachtwoord in te stellen. Hiermee beperk je het risico dat als eenmaal één account is gekraakt, een cybercrimineel ook gemakkelijk bij alle andere accounts kan komen. Lees alles over het gebruik van een wachtwoordmanager in onze blog ‘Wachtwoorden beheren? Gebruik een wachtwoordmanager!’.

7. Clouddiensten zijn niet goed geconfigureerd en beveiligd
Net als patchen is ook het goed configureren van bijvoorbeeld clouddiensten nog een veelgemaakte fout, En cybercriminelen zoeken naar clouddiensten met slechte configuraties, zodat ze gevoelige data kunnen stelen of een dienst kunnen misbruiken. Zorg ook hier dat er duidelijke regels zijn voor toegangscontrole die bepalen hoe gebruikers verbinding kunnen maken met de clouddiensten. Ook is het advies om tools van de clouddienstprovider te gebruiken om te veel gedeelde cloudopslag te detecteren en te monitoren op afwijkende toegang, bijvoorbeeld als er vanaf een vreemde locatie wordt ingelogd. Voer ook penetratietesten uit om verkeerde configuraties te identificeren.

8. Open poorten bieden criminelen vrij toegang
Ook laten veel organisaties netwerkpoorten open staan. Dit is een van de meest voorkomende kwetsbaarheidsbevindingen waardoor cybercriminelen vrij toegang krijgen tot het netwerk. Cybercriminelen gebruiken scantools om open poorten op te sporen en gebruiken deze om hun aanvallen op uit te voeren. Een geslaagde aanval op een service op een host kan cybercriminelen in staat stellen om toegang te krijgen tot het netwerk om vanuit daaruit vervolgens andere tactieken en procedures te gebruiken om verder een organisatie binnen te dringen.

9. Scan op phishingaanvallen ontbreekt
Phishingaanvallen zijn het meest effectieve wapen van cybercriminelen. Bij dit soort aanvallen proberen ze gevoelige gegevens te verkrijgen via een vervalst bericht. Dit kunnen e-mails zijn die kwaadaardige macro’s bevatten, bijvoorbeeld in Word-documenten of Excel-bestanden, waarmee ze een computersysteem kunnen infecteren. Dit gebeurt op het moment dat iemand op een link klikt of zo’n schadelijk Word-document opent. Phishing is een enorm groot probleem en heeft serieuze consequenties voor organisaties die erdoor worden getroffen. Daarom is het belangrijk om dit soort phishingpogingen te onderscheppen en/of te blokkeren. Zorg daarom voor goede monitoring en antivirusscans binnen je organisatie. Deze kunnen worden gebruikt om bijvoorbeeld te scannen op phishingaanvallen.

10. Detectie op omzeilen beveiligingsapparatuur ontbreekt
Tot slot, gebruiken cybercriminelen verborgen kwaadaardige scripts en codes, zonder ontdekt te worden door de gangbare beveiligingsapparatuur. Powershell is een krachtig Windows-gereedschap dat vaak misbruikt wordt om beveiligingsapparatuur te omzeilen en aanvallen uit te voeren. In deze fase wordt al voorzichtig de omgeving van de geïnfecteerde computer verkend, op zoek naar kwetsbaarheden en waardevolle data. Deze technieken zijn moeilijk te detecteren en beschermen. Implementeer endpoint- en detectieresponstools. Deze tools bieden een hoge mate van zichtbaarheid in de beveiligingsstatus van endpoints en kunnen helpen bij een effectieve bescherming tegen cybercriminelen.

Het belangrijkste advies?

Een van de belangrijkste adviezen is het instellen van multifactorauthenticatie en het gebruik ervan afdwingen, zeker wanneer je als organisatie het Remote Desktop Protocol (RDP) inzet om medewerkers op afstand te laten werken. Zwakheden in de beveiliging van RDP is de meest gebruikte route om ransomware binnen te smokkelen. En de dreiging van ransomware neemt wereldwijd toe. Deze kwaadaardige software kan elke organisatie treffen, neem de hack bij gemeente Hof van Twente. De laatste jaren is er ook een nieuwe trend zichtbaar: cybercriminelen voeren meer gerichte ransomware-aanvallen uit, op doelwitten die een hoger losgeldbedrag kunnen betalen. Kortom, wees voorbereid en bescherm je organisatie tegen ransomware-aanvallen.

Meer informatie?
Heb je na het lezen van deze blog vragen of hulp nodig bij het uitvoeren van een van bovenstaande acties? Laat ons dit dan weten en neem contact met ons op.