Defensie (bijna) gehackt door China, hoe zit het met uw organisatie?

Vorige week maakte de MIVD bekend dat het geavanceerde Chinese spionagesoftware heeft aangetroffen op een computersysteem van de Nederlandse krijgsmacht. Het ging om malware waarmee de Chinezen gebruik maakten van een bekende kwetsbaarheid in FortiGate-apparaten van Fortinet. Volgens de MIVD en de AIVD past deze aanval binnen een bredere trend, waarin publiek benaderbare edge devices, zoals firewalls, VPN-servers en e-mailservers worden misbruikt om een organisatie binnen te dringen. Niet alleen om te spioneren, maar ook om die organisaties plat te leggen. In dit artikel geven we u een aantal tips om uw organisatie hiertegen te beschermen.

Wat kunt u doen om uw organisatie te beschermen: 10 tips

Nu maakt vrijwel iedere organisatie tegenwoordig gebruik van edge devices. En niet iedere organisatie neemt voldoende maatregelen om zich te beschermen. Zo troffen de ethical hackers van Hoffmann vorige week tijdens een pentest dezelfde malware aan als bij Defensie!

Welke 10 maatregelen moet u nemen om uw organisatie te beschermen?

1.

Maakt u gebruik van edge devices? Laat dan regelmatig een risicoanalyse uitvoeren, bijvoorbeeld op het moment dat u nieuwe functionaliteiten toevoegt.

2.

Beperk toegang zoveel mogelijk, door bijvoorbeeld alleen bepaalde IP-adressen toe te laten. Maar ook door tot het internet van edge devices ongebruikte poorten en functionaliteiten uit te schakelen. Maak daarnaast de management-interface niet toegankelijk vanaf het internet.

Weet u nog dat de gemeente Hof van Twente in 2020 werd getroffen door een hack, met miljoenen euro schade tot gevolg? Dit was mogelijk omdat het Remote Desktop Protocol (een management interface) kon worden benaderd vanaf het internet. Ook was het wachtwoord van het beheerdersaccount van de server wel erg makkelijk te achterhalen: ‘Welkom2020’. 
 

3.

Zorg dat uw applicaties en systemen voldoende loggegevens genereren en stuur deze gegevens door naar een beveiligde, separate omgeving zodat de integriteit ervan gewaarborgd is.

4.

Voer regelmatig analyses uit op de loggegevens om afwijkende activiteit te detecteren. Denk hierbij aan herhaalde inlogpogingen of inlogpogingen op rare tijdstippen, onbekende (buitenlandse) IP-adressen of ongeautoriseerde configuratiewijzigingen. Blokkeer IP-adressen als de logging laat zien dat deze niet legitieme inlogpogingen doen.

5.

Installeer de meest recente beveiligingsupdates zo snel mogelijk wanneer deze beschikbaar worden gesteld door de leverancier. Maak daarnaast gebruik van mogelijke extra beschermingsmaatregelen die door leveranciers beschikbaar worden gesteld.

Cybercriminelen staan er namelijk om bekend razendsnel gebruik te maken van nieuwe kwetsbaarheden, vaak al op de dag waarop ze worden gepubliceerd. 

6.

Vervang hard- en software die niet meer ondersteund wordt door de leverancier.

7.

Maak gebruik van netwerksegmentatie. Zo voorkomt u dat een hacker die binnen is kan doordringen tot het gehele netwerk, en daarmee dus ook uw vitale systemen kan platleggen. 

8.

Zorg voor sterke wachtwoorden en dwing waar nodig multifactor authenticatie (MFA) af, vooral voor edge devices. Gebruik bij voorkeur phishing resistant MFA. 

9.

Zorg dat uw organisatie forensic ready is. Mocht er toch een incident plaatsvinden kunnen specialistische onderzoekers met tactisch en digitaal onderzoek proberen te achterhalen wat er precies aan de hand is en vaststellen wat er is gebeurd.

10.

Laat regelmatig een pentest uitvoeren. Tijdens een pentest proberen ethical hackers van buitenaf uw interne netwerk binnen te dringen, onder meer via edge devices. Ook onderzoeken zij, als zij eenmaal binnen zijn (of bij een zogenaamde Greybox test binnen zijn gelaten) hoe ver zij binnen kunnen dringen en welke mogelijkheden zij hebben. Dit is dus een veilige manier om te onderzoeken of u de hiervoor genoemde maatregelen op orde heeft.

Lees ook: ‘Waarom regelmatig pentesten ook voor uw organisatie een must is’.