De basislijn voor cyberbeveiliging die elk bedrijf moet hebben

Bij de meeste bedrijven die met een ernstig cyberincident te maken kregen, ontbrak het niet aan geavanceerde beveiligingstools. Ze misten de basis. Niet-gepatchte systemen, zwakke inloggegevens, geen werkende back-ups en onbeperkte toegang zijn verantwoordelijk voor het merendeel van de succesvolle aanvallen. Het op orde krijgen van de basisprincipes is geen startpunt voordat het echte veiligheidswerk begint. Voor de meeste organisaties is dit het echte beveiligingswerk.

Deze gids behandelt de controles die een geloofwaardige cyberbeveiligingsbasis vormen voor een klein of middelgroot bedrijf. Geen van hen vereist gespecialiseerde hardware of grote budgetten. Ze verminderen allemaal de kans op en de impact van een beveiligingsincident aanzienlijk.

Waarom basisbeveiliging het punt is waar de meeste incidenten beginnen

Aanvallers volgen de weg van de minste weerstand. Voor het midden- en kleinbedrijf loopt die weg bijna altijd via controles die nooit ten uitvoer zijn gelegd, en niet via controles die zijn verijdeld. Phishing slaagt omdat MFA niet aanwezig was. Ransomware verspreidt zich omdat systemen niet zijn gepatcht. Gegevens worden geëxfiltreerd omdat de toegangscontroles te breed waren. Herstel mislukt omdat back-ups nooit zijn getest.

Uit het Verizon Data Breach Investigations Report blijkt consequent dat bij de overgrote meerderheid van de succesvolle aanvallen gebruik wordt gemaakt van bekende kwetsbaarheden, gestolen inloggegevens of phishing in plaats van van geavanceerde technieken. Dit betekent dat de meest effectieve investering voor de meeste organisaties niet bestaat uit geavanceerde detectietools. Het zorgt ervoor dat de basis aanwezig is en wordt onderhouden.

De basiscontroles

Authenticatie met meerdere factoren

MFA is de meest waardevolle besturing voor de meeste bedrijven. Het betekent dat een gestolen wachtwoord alleen niet voldoende is om toegang te krijgen tot een account. Schakel het in voor e-mail, externe toegang, cloudservices en elk systeem dat toegankelijk is van buiten het netwerk. Authenticator-apps zijn aanzienlijk veiliger dan op sms gebaseerde codes. MFA zou verplicht moeten zijn, en niet optioneel, voor elk account met toegang tot gevoelige gegevens of administratieve functies.

Patchbeheer

Besturingssystemen, applicaties en firmware moeten volgens een gedefinieerde cyclus worden gepatcht. Kritieke beveiligingspatches, vooral voor internetgerichte systemen, moeten binnen 72 uur na release worden toegepast. De meeste ransomwarecampagnes maken misbruik van kwetsbaarheden waarvoor al maanden patches beschikbaar zijn. Een gedocumenteerd patchbeheerproces, zelfs een eenvoudig proces, overbrugt de kloof tussen het beschikbaar zijn en het toepassen van een patch.

Eindpuntbescherming

Elk apparaat dat toegang heeft tot bedrijfssystemen moet beschikken over moderne eindpuntbescherming. Dit betekent meer dan oudere antivirusprogramma's. De huidige tools voor eindpuntdetectie en -respons identificeren en beheersen bedreigingen die op handtekeningen gebaseerde tools missen. Zorg ervoor dat de dekking zich uitstrekt tot laptops die op afstand worden gebruikt, en niet alleen tot apparaten op het kantoornetwerk. Onbeheerde persoonlijke apparaten die toegang hebben tot bedrijfse-mail of -bestanden vormen een aanzienlijk risico dat vaak over het hoofd wordt gezien.

Toegangscontrole en minimale privileges

Gebruikers mogen alleen toegang hebben tot de systemen en gegevens die hun rol vereist. Beheerderaccounts mogen niet worden gebruikt voor het dagelijkse werk. Bevoorrechte toegang moet regelmatig worden gecontroleerd en worden ingetrokken wanneer deze niet langer nodig is. Verouderde accounts van voormalige werknemers, contractanten of testaccounts zijn een veelvoorkomend toegangspunt. Een driemaandelijkse beoordeling van wie toegang heeft tot wat kost minder tijd dan het incident dat het voorkomt.

Back-up en getest herstel

Back-ups zijn alleen nuttig als ze werken en snel genoeg kunnen worden hersteld. Volg de 3-2-1-regel: drie kopieën van gegevens, op twee verschillende mediatypen, waarvan één extern wordt opgeslagen of in een afzonderlijk cloudaccount dat niet is verbonden met de primaire omgeving. Test wordt minimaal elk kwartaal hersteld. Ransomware richt zich vaak specifiek op back-upsystemen, dus air-gapped of onveranderlijke back-ups moeten deel uitmaken van het ontwerp van elke organisatie die gevoelige gegevens verwerkt.

Netwerksegmentatie

Platte netwerken zorgen ervoor dat een aanvaller die toegang krijgt tot het ene systeem, zich vrijelijk naar andere kan verplaatsen. Basissegmentatie, waarbij gast-WiFi wordt gescheiden van het bedrijfsnetwerk, operationele technologie wordt geïsoleerd van IT-systemen en server-naar-server-communicatie wordt beperkt, beperkt de straal van een compromis. Hiervoor is geen complexe infrastructuur nodig. Voor de meeste MKB-omgevingen is VLAN-configuratie op een managed switch voldoende.

E-mailbeveiliging

E-mail is het belangrijkste bezorgmechanisme voor phishing, malware en zakelijke e-mailcompromissen. Configureer minimaal SPF-, DKIM- en DMARC-records om domeinspoofing te voorkomen. Gebruik een e-mailgateway of filterservice die bijlagen en links inspecteert voordat deze worden bezorgd. Train uw personeel om phishing te herkennen, maar vertrouw niet alleen op training. Technische controles vangen op wat het bewustzijn mist.

Incidentresponsplan

Een incidentresponsplan hoeft niet lang te zijn. Het moet drie vragen beantwoorden: wie beslist wanneer een incident ernstig genoeg is om te escaleren, wie wordt gebeld wanneer dat het geval is, en wat doen we in de eerste vier uur. Organisaties zonder plan nemen onder druk slechtere beslissingen, doen er langer over om incidenten onder controle te krijgen, en maken deze vaak nog erger door de verkeerde eerste actie te ondernemen. Schrijf het op voordat je het nodig hebt.

Kaders die aansluiten bij deze basislijn

Als uw organisatie in een gereguleerde sector opereert of cyberverzekeringen overweegt, zijn er twee raamwerken die de moeite waard zijn om te begrijpen in relatie tot deze basislijn.

Cyber-essentials (VK) omvat vijf technische controles: firewalls, veilige configuratie, toegangscontrole, bescherming tegen malware en patchbeheer. Certificering is relatief eenvoudig voor organisaties die de basis op orde hebben en biedt een nuttige validatie door derden van uw beveiligingspositie. Veel contracten in de publieke sector en sommige verzekeraars vereisen dit.

ISO 27001 gaat aanzienlijk verder en vereist een volledig informatiebeveiligingsbeheersysteem. Het is geschikt voor organisaties met wettelijke verplichtingen, grote klantenbestanden of aanzienlijke verantwoordelijkheden op het gebied van gegevensverwerking. De hier beschreven basiscontroles vormen een subset van wat ISO 27001 vereist. Zie onze ISO 27001-gids voor het MKB voor een meer gedetailleerde uitleg.

NIS2 is van toepassing op organisaties in kritieke sectoren in de hele EU en legt verplichte incidentrapportage en minimale vereisten voor beveiligingsmaatregelen op. De basiscontroles in dit artikel sluiten nauw aan bij wat NIS2 op fundamenteel niveau vereist. Ons NIS2-gids bestrijkt het volledige scala van verplichtingen.

Waar te beginnen als u helemaal opnieuw begint

Alles in één keer proberen te implementeren werkt zelden. Prioriteer in deze volgorde:

• MFA over e-mail en externe toegang: deze week
• Patchbeheerproces: definiëren, documenteren en binnen een maand uitvoeren
• Back-up testen: bevestig dat back-ups bestaan ​​en kunnen worden hersteld
• Toegangsbeoordeling: verwijder verouderde accounts en overtollige rechten
• Eindpuntbescherming: controleer de dekking op alle apparaten
• Configuratie van e-mailbeveiliging: SPF, DKIM, DMARC
• Incidentresponsplan: één pagina, opgeschreven

Een beveiligingsbeoordeling geeft u een duidelijk beeld van waar u zich bevindt ten opzichte van deze basislijn, wat de hiaten zijn en wat de prioriteitsvolgorde voor uw specifieke omgeving zou moeten zijn. Het is een sneller en betrouwbaarder startpunt dan proberen jezelf te beoordelen.