Nou ja, simpel… Je moet er wel wat voor doen natuurlijk. Bijna alles wat we doen in computerbeveiliging is informatiebeveiliging: we willen data veilig houden. Een stappenplan om dit effectiever aan te pakken volgt hieronder:

 

We zetten antimalwaresoftware, strakkere configuraties en firewalls in om ervoor te zorgen dat gegevens niet zomaar de organisatie uitlekken. De eeuwige uitdaging is in de kern dat gebruikers deze gegevens moeten kunnen aanspreken, anders was het immers niet nodig die data niet op te slaan. Daarom richten de meeste middelen zich op het handhaven van autorisatie van vertrouwde partijen.

 

1. Weet waar alles staat

Je kent het advies inmiddels wel: identificeer je kroonjuwelen. Maar die zijn moeilijker te vinden dan je denkt. Een CIO hield me jaren geleden eens voor: “Als je weet waar al je data zich bevindt, houd je jezelf voor de gek.”

 

Waardevolle data staat overal: in databases, repository’s van applicatiedata, de cloud en op back-up-media en verwisselbare schijven. Kostbare gegevens zijn ook kritieke subsystemen die daadwerkelijk data afleveren en beveiligen, inclusief AD-domeincontrollers, databases met credentials, DNS, DHCP, netwerkrouters en andere diensten – allemaal met hun eigen beveiligingsmiddelen.

 

Alle data moet gecategoriseerd worden op basis van bedrijfswaarde en gevoeligheid, zodat je inzicht krijgt in welke gegevens daadwerkelijk van het hoogste belang zijn. Je moet gaan voor minimalisatie om deze groep zo klein mogelijk te houden: de kleinste hoeveelheid die daadwerkelijk nodig is, moet worden opgeslagen. Er is immers niets zo veilig als data die in de eerste plaats niet eens zijn opgeslagen.

 

Alle data heeft een eigenaar; de persoon die de gegevens bezit weet in welke staat het zich bevindt, wat ermee moet gebeuren en of ze geldig zijn. Al deze data moet gemarkeerd worden met een looptijd waarin het nuttig is en aan het eind van zijn levensduur moet het vernietigd worden.

 

2. Schoon credentials op

Zorg voor gezonde credentials. Minimaliseer het aantal adminaccounts met hoger rechten, het liefst naar nul of zo goed als nul. Beheertaken moeten worden uitgevoerd met zo min mogelijk rechten of machtigingen. Deze moeten alleen worden gegeven als ze daadwerkelijk nodig zijn en alleen voor de duur dat de taak kost om uit te voeren, JIT-toegangsbeheer dus.

 

Elke organisatie zou al moeten beginnen met het nalopen van de vaste leden van alle groepen met hoge rechten en accounts ontkoppelen van werknemers die geen permanente fulltime toegang nodig hebben. Als je dat grondig en analytisch aanpakt, leidt dit uiteindelijk in de meeste gevallen tot minder dan een handvol permanente groepsleden. In het beste geval heb je zelfs helemaal geen of slechts één gebruiker die deze rechten heeft.

 

De meerderheid van beheerders moet verhoogde privileges toegewezen krijgen in zeer beperkte mate. Het beste is het om de beheerder als het ware te laten uitchecken na zijn of haar werk, door een beperkte houdbaarheidsperiode op de toewijzingen te zetten.

 

Goed omgaan met credentials is essentieel voor sterke databasebeveiliging, omdat hackers vaak, zo niet altijd, zoeken naar dit soort accounts om toegang te krijgen tot gevoelige of kritieke systemen. Het risico dat deze accounts worden misbruikt door malafide gebruikers verklein je flink door het aantal permanente admin-accounts te verkleinen.

 

3. Stel strikte grenzen in

De tijd dat een firewall op netwerkgrenzen toereikend leek ligt ver achter ons. Nu moeten de belangrijkste centra van het bedrijfsnetwerk gesegmenteerde, geïsoleerde delen zijn waar alleen vooraf ingestelde accounts toegang toe mogen hebben. Strikte interne grenzen kun je bereiken met host gebaseerde firewalls, interne routers, VLAN’s, VPN’s, IPSec en een keur aan andere methodologieën voor toegangscontrole.

 

Hoewel de grote meerderheid van gebruikers toegang heeft tot bijvoorbeeld de front-end van een webapplicatie, zouden maar bar weinig mensen toegang moeten hebben tot de database in de back-end. Enkel goedkeurde database-admins en een paar ondersteunende servers en gebruikers zouden de database-server moeten aankunnen samen met de front-end web-database en eventuele middleware-diensten. Op die manier kunnen aanvallers geen databases bereiken zonder de benodigde credentials, of kan er op zijn minst een waarschuwing worden ingesteld.

 

4. Encryptie moet met de data meegaan

Beveiliging heeft twee vormen van versleuteling: encryptie gedurende datatransport en encryptie bij opgeslagen data. De tweede methode gaat er vanuit dat de kwaadwillenden niet allang in bezit zijn van de benodigde credentials, wat helaas wel vaak het geval is. Als je data goed wilt beveiligen, moet je ervoor zorgen dat data versleuteld blijft, vooral als het naar een illegale locatie wordt gekopieerd. Niets is frustrerender voor aanvallers.

 

Veel oplossingen versleutelen individuele datacomponenten en houden ze versleuteld waar ze ook heengaan. Sommige zijn applicatiediensten zoals Microsofts Active Directory Rights Management Service en anderen versleutelen de data rechtstreeks in de database, zoals SQL Transparent Data Encryption van Microsoft. De slimme manier van versleuteling zorgt ervoor dat data-encryptie intact blijft en nutteloos – zelfs als het gestolen wordt.

 

5. Bescherm de client

Hackers breken maar zelden direct in op servers. Het gebeurt wel, neem SQL-injectie-aanvallen en bufferoverloop op serversystemen bijvoorbeeld, maar het komt veel meer voor dat aanvallers zich op clients richten. Als je data wilt beschermen, bescherm dan de mensen die daar toegang toe hebben. Dat betekent vooral dat kritieke patches snel moeten worden toegepast, gebruikers worden voorgelicht over social engineering en werkstations beveiligd worden geconfigureerd.

Bron: computerworld.nl

 

Om dit proces ook erg gemakkelijk en gecontroleerd te houden kunt u ook gebruik maken van Netwrix. Met de software van Netwrix Auditor krijgt uw organisatie duidelijk leesbare data en een rapportage over de rechten met betrekking tot de IT-infrastructuur. En assisteert Netwrix bij het stellen van diagnoses bij eventuele problemen die naar voren komen. Daarnaast wordt aangegeven wie welke bestanden heeft gelezen, of een poging daartoe heeft gedaan en wanneer. Netwrix helpt bij het voorkomen van beveiligingslekken van binnen uit, en vereenvoudigd het werk bij audits en compliance trajecten.

 

Per 1 januari 2016 wordt de Meldplicht Datalekken van kracht. Deze nieuwe Europese privacywetgeving heeft direct impact op een organisatie die persoonsgegevens verwerkt in de vorm van opslag, bewerking en verspreiding. Het is van belang dat u zich goed voorbereid en dat u de juiste informatie tot uw beschikking heeft. Met Netwrix houdt u controle over de rechten binnen de IT-infrastructuur en wordt het gevaar tot beveiligingslekken geminimaliseerd.

 

Wilt u meer informatie of eens verder praten over de mogelijkheden neem dan contact met ons op via: 030-6000600