“We kunnen er niet meer zeker van zijn dat we de hackers buiten houden,” schreef Mike Gault van WIRED Magazine vorig jaar.” Laten we ervoor zorgen dat we ze kunnen pakken wanneer ze hebben ingebroken.” Precies. Netwerken moeten niet alleen zorgvuldig worden bewaakt om aanvallers te pakken te krijgen, maar ook om hun werkwijze te detecteren.
Echter, als we weten dat hackers uiteindelijk toch wel binnenkomen, zouden we er dan niet meer aan moeten doen om ervoor te zorgen dat ze niet te veel schade aanrichten wanneer ze eenmaal binnen zijn?
Deze strategie heet ‘containment’ en onze cyberbeveiligingsadviseur Erka Koivunen is van mening dat jouw bedrijf waarschijnlijk juist dat aspect van cyberverdediging negeert.
Voorkomen, detecteren en herstellen maken allemaal deel uit van een beveiligingsstrategie. Als je je echter alleen op deze gebieden richt, kan het zijn dat je niet weet hoe je de schade moet beperken die jouw werknemers mogelijk maken door onvoorkoombare menselijke fouten.
“Als je grenzen en limieten instelt voor wat gebruikers en systemen kunnen doen en tot welke gegevens ze toegang hebben, worden die grenzen en limieten ook toegepast op aanvallers die binnen weten te dringen,” aldus Erka.
Hoe ziet dit er in de praktijk uit?
“Vanaf een laptop in het kantoor van Londen zou het niet mogelijk moeten zijn om toegang te krijgen tot een laptop in het kantoor van Tokyo,” zegt hij. “Het netwerk zou computers niet eens de mogelijkheid moeten bieden om dergelijke toegang te proberen te verkrijgen. De laptop in dit scenario zou trouwens ook geen toegang mogen kunnen krijgen tot andere laptops in Londen!”
In deze wereld vol geavanceerde bedreigingen lijkt het logisch dat een server niet uit zichzelf verbindingen zou moeten kunnen maken.
“De server moet gewoon zijn werk doen: wachten op binnenkomende verbindingspogingen en deze verwerken,” aldus Erka.
Dit principe draait niet alleen om het beperken van de toegang die machines hebben. “Een beheerder zou ook geen toegang mogen hebben tot het Postvak IN van anderen en andersom,” zegt hij. “Internetten als beheerder of met een rootaccount zou eveneens niet moeten kunnen.” Onthoud dit: als je ontwerpt met gebruiksgemak als doel, maak je het voor binnendringers ook eenvoudiger.
“Vrije gebruikersprivileges en een ‘vlakke’ netwerktopologie (waarbij iedereen toegang heeft tot alle middelen in het netwerk, van waar dan ook binnen het netwerk) zijn vaak de factoren die bijdragen aan een geslaagde eerste inbraak, het verzekeren van een sterke positie en het eenvoudig verkrijgen en exfiltreren van gegevens.”
Hoe begin je aan het proces van containment?
Erka raadt aan om ‘old school’ te beginnen:
“Ik zou oude trucjes gebruiken die tegenwoordig helaas minder gebruikt worden: taken scheiden, zo min mogelijk privileges en beperkte gebruikerstoegang. Dat betekent dat gebruikers- en serviceaccounts, toepassingen en systemen zo min mogelijk machtigingen en toegangsrechten krijgen en dat volledig afzonderlijke taken altijd moeten worden uitgevoerd met een afzonderlijke reeks referenties en gescheiden systemen.”
Je zult je hier echt in moeten verdiepen wanneer je de schade van de volgende aanval probeert te minimaliseren. Een beetje spelen met het idee is niet voldoende.
“Het opdelen in compartimenten is een ontwerpprincipe dat vanaf dag één moet worden opgevolgd. Alleen dan presteert je endpoint beveiliging het beste,” aldus Erka.
Als je de kans op menselijke fouten en binnendringing beperkt, wordt ook de kans op storingen beperkt. De belangrijkste taken zijn dan niet gekoppeld aan externe systemen en gegevenssets.
Maak jij containment onderdeel van jouw aanpak?
Bekijk dan deze webinar van Erka om te ontdekken hoe containment in een algemene aanpak voor cyberbeveiliging past.
Categorieën