Welkom bij deze blogserie, waarin de belangrijkste beveiligingsuitdagingen voor organisaties worden belicht en wordt besproken hoe je ze kunt overwinnen. Elk artikel in deze serie van vijf richt zich op een specifieke uitdaging en geeft richtlijnen om te bepalen welke methoden voor jou werken en bovendien voldoen aan de unieke behoeften van jouw organisatie om elke uitdaging te overwinnen.
Gezien de verschillende behoeften, vereisten, budgettaire beperkingen en regionale locatie van elke organisatie, moet je de richtlijnen die hier worden gegeven niet zozeer als normatief zien (dus als iets wat je moet doen), als wel als een opsomming van de mogelijke opties, met hun respectieve sterke en zwakke punten. Hiermee kunnen organisaties en de hen ondersteunende beheerteams de beveiligingsstrategie ontwikkelen die het beste voor hen werkt, en tegelijk de bedreigingen, aanvallen en zorgen van het moderne bedreigingslandschap aanpakken die de grootste gevolgen hebben voor hun bedrijfsactiviteiten, processen, gebruikers en natuurlijk gegevens.
In de vorige blog bespraken we de uitdagingen die worden gevormd door onvoorziene bedrijfsrisico's in verband met bedreigingen voor de cyberbeveiliging, zoals hackinggroepen, in het oog springende doelwitten en de rol van bedreigingen van binnenuit, om er maar een paar te noemen. In ons vierde artikel richten we onze aandacht op de voorbereiding op en de aanpak van bedreigingen voor de cyberbeveiliging van buiten de organisatie, zoals:
- Gerichte aanvallen van natiestaten
- Risico's die werknemers introduceren door hun persoonlijke apparaten te gebruiken
- Gebruik van niet-goedgekeurde software en services op het werk
- Onontdekte bedreigingen binnen de infrastructuur
Zullen we maar meteen beginnen?
Natiestaten
Overheidstoezicht op burgers. Onderdrukkende controle. 'Big Brother'. Afhankelijk van het land waarin je woont, kan elk van deze eufemismen in de beschrijving van een natiestaat of een gesponsorde bedreiging passen. Hiermee bedoelen we absoluut niet dat elk soort toezicht, en dan met name toezicht dat het grotere doel dient van het waken over burgers in de openbare ruimte, zoals op snelwegen, in winkelcentra en bij haltes van het openbaar vervoer, een stap verder dan machtsmisbruik is. Nee, we willen hiermee alleen maar aangeven dat niet alle regeringen berusten op dezelfde principes en dit geldt ook voor hun visie op hun bevolking.
Vanuit het oogpunt van de bescherming van de soevereiniteit van een land bekeken leveren verschillende agenda's vaak verschillende resultaten op, en dat houdt in dat de tactieken die landen wereldwijd gebruiken zich vanzelf uitbreiden naar het digitale domein met tactieken als spionage, sabotage en zelfs grootschalige oorlogen met als inzet het cyberlandschap (waarover later meer).
Wie loopt er gevaar bij aanvallen door natiestaten?
Simpel gezegd: iedereen kan het doelwit zijn van een aanval gesteund door een natiestaat. Gezien de enorme hoeveelheid beschikbare resources, zoals toegang tot communicatie en apparatuur en de beste dreigingsactoren, vormen aanvallen door natiestaten ook een aanzienlijke bedreiging voor organisaties. Hierbij maakt het niet uit of ze banden hebben met een overheid of dat het zuiver particuliere entiteiten zijn die hun bedrijfsactiviteiten uitvoeren.
Wat is hun doel?
Dergelijke aanvallen richten zich meestal op een reeks verschillende vectoren, maar uiteindelijk kun je ze altijd onderbrengen in een paar hoofddoelen:
- Activiteiten/infrastructuur verstoren of saboteren
- Desinformatie verspreiden of informatie wijzigen
- Kritieke informatie verkrijgen, zoals vertrouwelijke en gevoelige gegevens
- 'Klokkenluiders' de mond snoeren
Op welke doelwitten zijn de aanvallen van natiestaten meestal gericht?
Hoewel iedereen en elke organisatie in het vizier kan komen van een natiestaat of gesponsorde aanval, is de motivatie voor de aanvallen meestal te herleiden tot de agenda van een land. De aanvallen richten zich het vaakst op de volgende doelwitten:
- Iedereen die als een nationale bedreiging wordt gezien, zoals dissidenten, journalisten en groepen die zich actief tegen het land uitspreken of oneerlijke praktijken aan het licht brengen
- Kritieke infrastructuren, zoals nutsbedrijven, financiële instellingen en organisaties in de communicatie en gezondheidszorg
- Militaire doelen, zoals wapensystemen, informatiedatabases en intelligence, zoals plannen, bewegingen en locaties
- Politieke campagnes, stemfraude of inmenging in de verkiezingen, en openbare en afgeschermde websites van de overheid
Hoe kunnen bedrijven zichzelf en hun gebruikers het beste beschermen tegen aanvallen door natiestaten?
Onderschat aanvallen van natiestaten vooral niet. Om te beginnen kunnen ze, net als de meeste andere cyberbedreigingen, risico's misbruiken om hun doel te bereiken en als er eenmaal een aanvalsvector is gevonden, kan de aanval in relatief korte tijd leiden tot een datalek. Maar in tegenstelling tot andere cyberbedreigingen of gelegenheidsaanvallen zijn aanvallen door natiestaten vaak zeer goed gefinancierd en goed voorbereid, en hebben de aanvallers toegang tot krachtige hulpmiddelen om geavanceerde aanvallen uit te voeren. En hoewel motivatie een centraal thema is, is het niet per se vereist: het is bekend dat natiestaten in het verleden cyberaanvallen uitvoerden zonder een duidelijke missie, dat ze heel geduldig bleven wachten, de tijd namen voor verkenning en pas daarna hun aanvallen planden. En dit kon soms jaren duren.
IT- en beveiligingsteams moeten zich er dan ook van bewust zijn dat er geen wondermiddel of confectieoplossing bestaat waarmee ze elke bedreiging kunnen indammen, laat staan een zorgvuldig geplande bedreiging.
Zorgen dat je zo weinig mogelijk risico loopt om slachtoffer te worden van bedreigingen door natiestaten is eigenlijk het beste wapen in je wapenkist. Ontwikkel een sterke, gelaagde verdedigingsstrategie die je beveiligingspositie en die van de apparaten die verbinding maken met en toegang hebben tot resources van de organisatie versterkt. Bijvoorbeeld:
- Een cruciale eerste stap is dat je een risicobeoordeling uitvoert om inzicht te krijgen in bedreigingen vanuit natiestaten en in de soorten aanvallen die ze uitvoeren, en om te bepalen welke van je resources risico lopen.
- Implementeer veilige configuraties op apparaten en dwing deze af via beheer van mobiele apparaten (MDM) om verkeerde configuraties van apparaten van het bedrijf en van medewerkers zelf tegen te gaan.
- Implementeer een patchbeheerplan dat ervoor zorgt dat op apparaten altijd de recentste patches voor besturingssystemen en apps zijn geïnstalleerd.
- Integreer een identiteitsprovider (IdP) in de cloud met je beheer- en beveiligingsoplossingen om toegangsworkflows te beveiligen en tegelijk machtigingen en beveiligingen op je hele infrastructuur toe te passen.
- Vereis MFA en contextgevoelige voorwaardelijke toegangscontrole voor alle apparaten, lokaal en op afstand, met echt schaalbare, veilige bescherming in elk netwerk met Zero Trust Network Access (ZTNA).
- Bewaak de eindpuntnaleving en stream loggegevens naar de SIEM-oplossing van je voorkeur om realtime inzicht te geven in de gezondheid van je apparaten.
- Zet in-network en on-device eindpuntbescherming in voor je hele vloot, afgestemd op beveiligingsstructuren om malware te voorkomen en risico's te minimaliseren.
- Spoor onbekende bedreigingen op en maak ze onschadelijk met geavanceerde gedragsanalyse om verdacht gedrag te identificeren en kwaadaardige bedreigingen te detecteren voordat ze leiden tot een gegevensinbreuk.
- Licht partners door om ervoor te zorgen dat je toeleveringsketen de juiste maatregelen neemt om te voorkomen dat risico's via een infectie bij een extern bedrijf in je organisatie komen, zodat eindpunten bij elke stap in de pijplijn worden beschermd.
- Geef kennis over cyberbedreigingen door via regelmatige bewustmakingstrainingen voor eindgebruikers over beveiliging, zodat gebruikers meer kennis krijgen om social engineering-bedreigingen te identificeren en tegen te houden.
Bring Your Own Device (BYOD)
BYOD-programma's bestaan nu al een tijdje. Het was de introductie van de iPhone in 2007 die de explosieve groei van de moderne smartphone echt in gang heeft gezet en ertoe leidde dat deze smartphone op grote schaal wordt gebruikt voor zowel privé- als zakelijke doeleinden.
Het gebruik van de smartphone bleef maar toenemen en steeds meer gebruikers kozen voor mobiele apparaten vanwege hun flexibiliteit, gebruiksgemak en efficiënte prestaties vergeleken met de grotere, loggere mobiele computers. Deze mobiele computers waren ook zwaarder en moesten vaker worden opgeladen om te voorkomen dat het apparaat na een paar uur intensief gebruik zou worden uitgeschakeld. En dan hebben we het nog niet eens over het eeuwenoude probleem van ondersteuning van meerdere besturingssystemen op verschillende soorten apparaten, dat zeker bijdroeg tot de werkdruk voor IT- en beveiligingsteams die hun best deden om apparaten en het bedrijfsnetwerk veilig te houden.
De oplossing voor de uitdagingen van het ondersteunen van mobiele apparaten met behoud van de beveiliging? Beheer van mobiele apparaten (MDM).
MDM heeft, in combinatie met de ondersteuning van Apple via zijn beveiligingsstructuren, het beheer van mobiele apparaten echt opgevoerd en ook in een ware stroomversnelling gebracht door een compleet nieuw framework te ontwerpen dat beveiliging en gebruikersprivacy ondersteunt. Oplossingen als Jamf Pro bieden volledige ondersteuning voor het fundament dat Apple heeft gelegd en breiden dat verder uit, met ondersteuning voor alle eigendomsmodellen en ondersteuning op dezelfde dag. En dit is een solide basis voor IT om alle macOS-, iOS/iPadOS- en tvOS-apparaten die toegang hebben tot bedrijfsnetwerken op een veilige manier te beheren
Organisaties die hun beheer- en beveiligingsworkflows uitbreiden naar alle apparaten, of die nu privé-eigendom of bedrijfseigendom zijn, beperken daarmee tegelijkertijd de risico's veroorzaakt door apparaten:
- Die verkeerd geconfigureerd of helemaal niet geconfigureerd zijn
- Waarop de nieuwste beveiligingsupdates ontbreken
- Waarop niet de noodzakelijke apps en updates zijn geïnstalleerd
- Die niet terug te halen zijn of waarvan gegevens niet kunnen worden gewist na verlies of diefstal
- Die niet aan de regels voldoen omdat er niet-goedgekeurde apps/services (schaduw-IT) op staan
- Die gegevens verwerken en opslaan in onbeveiligde volumes
- Die onversleuteld communiceren over niet-vertrouwde netwerken
- Waarop gegevens onversleuteld toegankelijk zijn doordat er geen toegangscodes worden gebruikt
- Die niet worden niet gemonitord en niet in realtime essentiële gezondheidsgegevens melden
- Die niet kunnen worden beheerd door IT/beveiliging, zodat ze incidenten niet effectief kunnen inperken
Deze lijst is verre van volledig als het gaat om het beveiligen van je apparaten op het werk. Desondanks volgen hierna enkele manieren waarop organisaties met MDM kunnen zorgen voor een soepele overgang naar de inzet van persoonlijke apparaten van gebruikers, en tegelijk de resources van hun bedrijf veilig kunnen houden:
- Inschrijving op initiatief van de gebruiker, waardoor eindgebruikers bedrijfsbrede beveiliging voor bedrijfsresources kunnen ontvangen in een afzonderlijk, beveiligd volume, waarbij de privacy en persoonlijke gegevens van gebruikers intact blijven
- Instellingen vergrendelen op apparaten, zoals de installatie van configuratieprofielen om de verbinding met draadloze netwerken en bedrijfsresources te beveiligen
- Ervoor zorgen dat apparaten altijd zijn voorzien van de recentste systeem- en beveiligingsupdates om kwetsbaarheden te verhelpen
- Implementatie van ondersteunde, vooraf geconfigureerde apps zodat gegevens veilig en gebruikers productief blijven
- Afdwingen van naleving van bedrijfsregels en regelgeving met beheer op basis van beleid
- Implementatie van beheerde Apple ID's voor zakelijk gebruik en een aparte Apple ID voor consumenten voor persoonlijk gebruik, inclusief back-up van gegevens en instellingen in de cloud
- Activering van functies en opties voor betere beveiliging, zoals het vereisen van toegangscodes en volumeversleuteling
- Gebruikmaken van de Self Service-catalogus van vooraf goedgekeurde bedrijfsapps om gebruikers meer mogelijkheden te geven en tegelijk de vereiste services te implementeren, zoals ZTNA voor veilige externe toegang tot bedrijfsresources
- MDM en oplossingen voor eindpuntbeveiliging integreren om de gezondheid van apparaten in realtime te bewaken en automatische herstelworkflows mogelijk te maken
- Bedreigingen actief voorkomen, zowel op het apparaat als in het netwerk, zodat apparaten altijd beschermd zijn
Schaduw-IT
In het vorige gedeelte hebben we het gehad over de uitdagingen van BYOD. En hoewel dit soms op één hoop wordt gegooid met schaduw-IT, is het in wezen zo dat goedgekeurde BYOD-programma's, mits goed uitgevoerd, een van de mogelijke oplossingen is voor de bedreigingen van schaduw-IT. Bij de bedreigingen van schaduw-IT gaat het echter om meer dan alleen het gebruik van niet-ondersteunde apparaten voor het werk. Het gaat ook om het gebruik van niet-goedgekeurde apps en services, die niet zijn doorgelicht door IT- en beveiligingsteams, om bedrijfsgegevens te openen, verwerken, op te slaan of te verzenden.
Hoewel schaduw-IT niet per se kwaadaardig van aard is, begonnen de risico's zich af te tekenen toen eindgebruikers, vaak gefrustreerd door de ontoegankelijkheid of het gebruiksonvriendelijke karakter van officiële, door het bedrijf goedgekeurde apps en services, werden opgevolgd door gebruikers die vertrouwden op betere hardware en eenvoudigere, efficiëntere software om productief te blijven op manieren die waarde toevoegen aan het werk in plaats van er afbreuk aan te doen.
Zoals met de meeste dingen op het gebied van beveiliging, is een hulpmiddel slechts een hulpmiddel. Het is de bedoeling van de gebruiker die het hulpmiddel gebruikt die bepaalt of het kwaadaardig is of niet. Maar in tegenstelling tot andere hulpmiddelen is bij cyberbeveiliging bedoeling (of opzet) niet de enige component van het risico-element. Het gaat er ook om of de gebruiker bewust of onbewust risico's heeft geïntroduceerd die vaak gepaard gaan met opzet.
Het valt echter buiten het bestek van deze blog om vast te stellen of er sprake is van kwade bedoelingen. We willen alleen de risicofactoren van schaduw-IT identificeren en, nog belangrijker, kijken hoe je die effectief kunt beperken om de beveiligingspositie van je organisatie tegen gegevensinbreuken te versterken.
Dat is immers de 3,08 tot 5,02 miljoen-dollarvraag, volgens IBM's Cost of Breach-rapport van 2022, waarin wordt geconcludeerd dat "tegenstanders profiteerden van configuratiefouten en mogelijke kwetsbaarheden binnen apps, waarvan er veel niet waren gedetecteerd doordat werknemers niet-goedgekeurde services gebruikten.”
Hoe kunnen bedrijven zich beschermen tegen gevaren waar ze zich niet van bewust zijn?
Door schaduw-IT te omarmen.
Voor de duidelijkheid, dit betekent niet dat je eindgebruikers alle hardware en softwaretools zonder toezicht moet laten gebruiken. Het betekent ook niet dat we terug moeten naar het eind van de jaren 90 en de jaren 2000 door een "ijzeren vuist" te hanteren bij het beheren van IT. Nee, het betekent gewoon gebruikmaken van moderne beveiligingstools, -praktijken en -procedures die flexibeler zijn en toch bedrijfsresources beschermen tegen toegang en gebruik van gegevens zonder toestemming.
Hoe houd je je bedrijfsmiddelen veilig voor bedreigingen van schaduw-IT?
De eerste stap is om te begrijpen waarom gebruikers hun toevlucht nemen tot schaduw-IT, welke resources worden gebruikt en waarom ze een betere oplossing bieden dan wat de organisatie biedt. Gewapend met deze informatie kan het bedrijf beter begrijpen welk(e) risico('s) schaduw-IT introduceert en uiteindelijk antwoord krijgen op de oorspronkelijke vraag: hoe kunnen bedrijfsmiddelen het best beveiligd worden.
Dus nu weet ik wat ik waarom moet beschermen: maar hoe ga ik dat dan doen?
Bovenstaande suggestie om schaduw-IT te omarmen houdt onder meer in dat je duidelijk moet begrijpen dat het simpelweg niet genoeg is om eindgebruikers alleen te vertellen dat ze een bepaald apparaat, een bepaalde app of een bepaalde service niet kunnen gebruiken. Waar het gaat om gegevensbeveiliging, moet je iemand niet zomaar op zijn woord geloven: je wilt kunnen verifiëren of er bescherming is, je wilt bescherming afdwingen en je wilt dat bedreigingen actief worden beperkt.
Dit is haalbaar met een meerlaagse strategie om resources effectief te beschermen terwijl je de flexibiliteit van keuzemogelijkheden blijft bieden die gebruikers vragen (of zelfs nodig hebben) om zo productief mogelijk te zijn.
- Implementeer werknemerskeuze- of goedgekeurde BYOD-programma's die werknemers in staat stellen te werken met de technologieën waar ze zich het prettigst bij voelen, en zorg ervoor dat apparaten op de juiste manier worden geconfigureerd door de MDM-oplossing van het bedrijf voor een betere zichtbaarheid en beveiliging.
- Stem schaduw-IT af op de standaarden en protocollen van de organisatie, zoals het inzetten van technologieën voor eindpuntbeveiliging die integreren met beheer en identiteit om apparaten, gebruikers en gegevens holistisch te beschermen.
- Ontwikkel je beveiligingen. Bijvoorbeeld met een Zero Trust Network Access (ZTNA)-oplossing om bedrijfsresources te beveiligen tegen ongeautoriseerde toegang en gecompromitteerde apparaten door gebruikersgegevens en de gezondheidsstatus van eindpunten te verifiëren telkens wanneer toegang wordt gevraagd en voordat die wordt toegekend om blootstelling en gegevenslekken te minimaliseren.
- Ontwikkel hardware-/softwarevereisten voor toegang tot beschermde bedrijfsresources en vereis dat apparaten aan deze standaarden voldoen, bijvoorbeeld dat versleuteling is ingeschakeld voor opslag op apparaten en op netwerken.
- Stroomlijn activiteiten, geef prioriteit aan IT-middelen die het grootste voordeel bieden voor de beveiliging van eindpunten, gebruikers en gegevens, en pas je aan de behoeften van verspreid werkende medewerkers aan, terwijl je tegelijk de kosten verlaagt door resources te elimineren die niet meer compatibel zijn en onvoldoende presteren.
Threat hunting
Eindpuntbescherming is wel een beetje een open deur, vind je niet? Voor de beveiliging van eindpunten is malware ongetwijfeld een van de meest in het oog springende bedreigingen. Kwaadaardige code in zijn talloze vormen blijft een van de belangrijkste bedreigingen voor cyberbeveiliging. En terwijl eindpuntbescherming een uitstekende beveiligingslaag biedt tegen bekende soorten bedreigingen, beschermen de gedragsanalyses in veel van deze oplossingen apparaten door bekende bedreigingen te voorkomen op basis van hun handtekeningwaarden.
Maar dat is maar een deel van het verhaal, toch? Het andere deel zit verborgen in het binnenste van je apparaten, diep begraven onder regels code in applicaties die zijn geïnstalleerd in het besturingssysteem (soms liggen deze onbekende bedreigingen gewoon te wachten), zoveel mogelijk informatie verzamelend over de activiteiten van je bedrijf, wachtend op het juiste moment om toe te slaan.
Het inzichtelijke citaat van Jonathan Raymond vat dit gevoel perfect samen: "Je kunt niet weten wat je niet weet. Je kunt niets weten over dingen die je nog moet ontdekken." Maar het is de tweede zin die IT- en beveiligingsteams een ingang biedt om een fundamentele nieuwsgierigheid te bevredigen, want hij roept de vraag op: wat kunnen we doen om meer te ontdekken en dus meer te weten?
Het antwoord hierop is threat hunting.
Zoals eerder aangestipt gedragen niet alle dreigingsactoren zich hetzelfde. Hun acties zijn net zo verschillend als hun doelwitten. Terwijl sommigen hun tools gebruiken om snel te profiteren van een buitenkansje, maken anderen zorgvuldig plannen voor de lange termijn: ze houden hun doelwitten voor onbepaalde tijd in de gaten, slaan gegevens op en gebruiken deze als informatie voor de tools om hun slachtoffers strategisch en op het meest geschikte moment te kunnen aanvallen. En als dat moment er nog niet is, creëren ze dat wel.
Beide zijn gevaarlijk voor de beveiligingspositie van een bedrijf, maar deze laatste methode vormt een langdurige bedreiging die veel langer kan blijven hangen dan de aanval zelf duurt. En terwijl dit IT- en beveiligingsteams misschien onzeker maakt, biedt het ze ook een kans: aanvallen stoppen voordat ze de kans krijgen om uit te groeien tot iets veel ergers, zoals een gegevensinbreuk.
Bij threat hunting gaat het erom de jager op te jagen. Met andere woorden, de bedreigingen die zijn binnengedrongen in bedrijfsapparaten moeten worden opgespoord en geëlimineerd door een team van IT- en beveiligingsprofessionals die tijd en resources besteden aan het verzamelen, vergelijken en analyseren van telemetriegegevens om identificeerbare afwijkingen van de baseline te ontdekken. Vervolgens moeten ze deze verborgen bedreigingen opsporen en indammen binnen het kader van een defense-in-depth beveiligingsplan.
Teams die zich bezighouden met threat hunting kunnen groot of klein zijn en bestaan uit professionals met allerlei verschillende IT-gerelateerde achtergronden. Het is niet ongebruikelijk dat teamleden expert zijn op het gebied van datawetenschappen of programmeren of enorm veel ervaring als beveiligingsmedewerker hebben. Veranderingen in cyberbeveiligingstools hebben er echter voor gezorgd dat ook kleinere teams zonder uitgebreide ervaring of expertise threat hunting-taken kunnen uitvoeren om het risico te verkleinen dat onbekende bedreigingen binnen de infrastructuur van je organisatie op de loer liggen.
Als je je eigen threat hunting-team hebt opgericht, kunnen ze onder andere de volgende taken uitvoeren om hun doel te bereiken:
- Constante, realtime monitoring en controles van de gezondheidsstatus van apparaten met actueel inzicht in de gezondheid van eindpunten
- Geavanceerde engines voor machine learning (ML) en informatie over bedreigingen inzetten om teams te helpen bij het opsporen en onschadelijk maken van bedreigingen door grote, complexe hoeveelheden gegevens te analyseren
- Eindpuntlogboeken streamen naar een SIEM-oplossing voor granulaire rapportage die op een centrale plaats informatie biedt over bedreigingen, riskante apps en verdacht gedrag en systeemprocessen
- Apparaat- en netwerkbeveiligingsposities standaardiseren door baselines te creëren. Als ze worden afgestemd met beveiligingsstructuren zoals die van MITRE ATT&CK, NIST en CIS, is compliance gegarandeerd
- Analytische, situationele en inlichtingenmethodologieën tot één geheel samensmelten om een volgroeid niveau van consistentie en schaalbaarheid te bereiken voor een steeds effectievere aanpassing aan de huidige en toekomstige situatie
Beveilig je Apple-vloot tegen de externe beveiligingsrisico's van vandaag en morgen.
Breng de beveiliging en privacy van apparaten, gebruikers en gegevens in balans en beperk de risicofactoren met de oplossingen van Apple en Jamf.
Schrijf je in voor de Jamf blog
Ontvang markttrends, Apple-updates en Jamf-nieuws rechtstreeks in je inbox.
Raadpleeg ons Privacybeleid voor meer informatie over de manier waarop we uw gegevens verzamelen, gebruiken, bekendmaken, verplaatsen en bewaren.