Hoewel het zeker verstandig is om de eerste reparaties uit te voeren om je verdediging te versterken, moeten deze acties regelmatig worden toegepast.
Een nieuw rapport over hoe je jouw netwerken tegen aanvallen kunt beschermen, kan een nuttig document zijn dat veel verschillende bases in het cyberbeveiligingslandschap bestrijkt. Het rapport, Proactive Preparation and Hardening to Protect Against Destructive Attacks, is geschreven door verschillende cybersecurity-analisten "op basis van eerstelijnsexpertise die organisaties helpt bij het voorbereiden, beheersen, uitroeien en herstellen van potentieel destructieve dreigingsactoren en incidenten".
De visie uit dit rapport kan enorm nuttig zijn en dienen als blauwdruk voor hoe IT- en beveiligingsmanagers zich kunnen voorbereiden op de onvermijdelijke aanval, ongeacht de grote van jouw bedrijf. Het rapport bestrijkt een aantal specifieke gebieden die versterking nodig hebben, deze worden hieronder samengevat.
Active Directory-verharding en back-ups
Organisaties moeten controleren of back-ups (aanbevolen zijn back-ups van systeemstatus) voor domeincontrollers en kritieke activa beschikbaar zijn en of deze beschermd zijn tegen ongeoorloofde toegang of wijziging. Het rapport bevat ook tal van suggesties over malware 'tekens' waar beveiligingsmanagers op kunnen letten, zoals ongeautoriseerde gebruikers die toegang krijgen tot back-up media of schaduwkopieën die worden verwijderd (een veelvoorkomende gebeurtenis die voorafgaat aan een ransomware-aanval).
Netwerksegmentatie
Organisaties moeten zowel een fysieke als een logische scheiding hebben tussen IT-domeinen en operationele technologische processen en controles. Dit betekent dat er aparte AD en netwerksegmenten moeten zijn, samen met IP-protocollen en poorten die de kloof tussen de twee domeinen kunnen overbruggen. Een veelvoorkomende indicatie van een mogelijk compromis is wanneer een mislukte aanmelding tussen domeinen wordt geprobeerd, waarbij een aanvaller probeert de inloggegevens opnieuw te gebruiken om zich door je infrastructuur te verplaatsen.
Schakel beheerderstoegang uit waar mogelijk
Het controleren en beperken van deze toegang is een ander beveiligingsmechanisme, aangezien veel organisaties veel te veel accounts hebben aangemaakt met een brede verzameling machtigingen. Het rapport stelt voor om registry key-wijzigingen te gebruiken, bepaalde serviceaccounts te stoppen (of groepsbeleid te gebruiken om dit onder controle te krijgen), en biedt de nodige commando's om deze accounts op te sporen en te vergrendelen, samen met het detecteren en voorkomen van misbruik van andere geprivilegieerde accounts.
RDP-verharding
Een Remote Desktop Protocol (RDP) kan een belangrijke manier zijn voor aanvallers om jouw netwerken binnen te komen. Organisaties moeten periodiek hun openbare IP-adresbereiken scannen om zeker te zijn dat alle systemen geen open poorten 445 en 3389 hebben. O.a. het gebruik van netwerk- authenticatie-instellingen op niveau in groepsbeleid en het gebruik van de beperkte beheerdersmodus van RDP kan hierbij helpen.
Veel organisaties hebben geen regelmatige follow-ups om te zien of wijzigingen aan hun netwerkinfrastructuur of het beveiligen van de accounts van voormalige werknemers daadwerkelijk zijn doorgevoerd. Hoewel het zeker verstandig is om de eerste reparaties uit te voeren om je verdediging te versterken, moeten deze acties regelmatig worden toegepast.
Meer weten over het beschermen van je netwerk, cyber security of data protection in het algemeen? Vul het contactformulier in of plan een afspraak met een van onze adviseurs via de MSP Support pagina of onderstaande knop.