blog, informatiebeveiliging
Een interview met Mathijs Verschuuren (WhiteHats) en Joris van der Sligte (Ratho):
Cybercriminelen hebben maar één zwakke plek in de beveiliging nodig om in te breken. Een cybersecurityscan kan die mogelijke ingang aan het licht brengen, nog voordat het te laat is. Maar wat komt daar allemaal bij kijken? We vroegen het aan Joris van der Sligte, Security Officer bij Ratho, en Mathijs Verschuuren, ethisch hacker en Security Consultant bij WhiteHats.
Het onderzoeken van de beveiliging van webapplicaties en interne netwerken is voor Mathijs Verschuuren dagelijkse kost. “Ik kijk dan of het mogelijk is om binnen te komen zonder dat de klant het merkt, en hoe de beveiliging beter kan.” Soms wordt de ethical hacker ingeschakeld als het eigenlijk al te laat is en er sprake is van een digitale inbraak. “Dan probeer je te achterhalen wat er precies is gebeurd en of er nog iemand op het netwerk zit die daar niet thuishoort.”
Dat doet de ethical hacker voor de klanten van WhiteHats, een securitybedrijf dat webapplicaties en kantooromgevingen onderzoekt op kwetsbaarheden. “Maar het kan ook zijn dat wij voor onze klanten de hulp van Mathijs inschakelen, bijvoorbeeld als er sprake is van een escalatie”, vertelt Ratho’s Security Officer Joris van der Sligte. “WhiteHats ondersteunt ons bovendien bij onze eigen interne beveiliging.”
Hoe verloopt zo’n beveiligingsonderzoek?
Mathijs: “Allereerst stellen we samen met de klant de scope vast. Wat moet er precies onderzocht worden? Als het om het interne netwerk gaat, voeren we het onderzoek op klantlocatie uit en kijken we welke mogelijke ingangen er zijn tot het netwerk. Alle bevindingen - zowel goed als slecht - verwerken we in een uitgebreid rapport.
“Ook bieden we altijd een passend advies. Wat kan deze specifieke klant aan de hand van een risico-inschatting nú het beste doen? Dat advies bespreken we met de klant. Na de implementatie van de aanvullende beveiligingsmaatregelen vindt er mogelijk nog een hertest plaats om te kijken hoe effectief de maatregelen zijn.”
Welke informatie heeft een ethical hacker nodig voor het onderzoek?
Mathijs: “Dat hangt af van het soort onderzoek. Bij een black box-onderzoek heeft de ethisch hacker eigenlijk alleen maar de naam van de klant. Vervolgens gaat hij of zij zonder verdere informatie op zoek naar een zwakke plek in de beveiliging.
“Wij zijn meer voorstander van het white box-onderzoek, omdat we niet één ingang maar het liefst alle ingangen in het netwerk willen blootleggen. Dan heb je een zo volledig mogelijk onderzoek nodig. Dat kan alleen efficiënt worden uitgevoerd als je bepaalde voorkennis hebt en bijvoorbeeld weet hoe het netwerk in elkaar zit en beschikt over inlogcodes.”
Wat zijn de zaken die meestal aan het licht komen?
Joris en Mathijs halen vijf veel voorkomende problemen aan:
1. Slecht geconfigureerde services
Mathijs: “Zeker bij clouddiensten is vaak de gedachte: die zet ik aan, en dan is het wel veilig. Maar dat is niet zo. Er is altijd nog een configuratie nodig om het gebruik van die diensten veilig te maken. Je moet daar nog je eigen draai aan geven.”
2. Open poorten
Joris: “Een terugkerend probleem is dat onnodig veel poorten openstaan voor het hele internet. Een open poort biedt toegang tot het netwerk en is daarmee een beveiligingsrisico. Ons uitgangspunt is om zoveel mogelijk dicht te zetten en daar waar nodig poorten gecontroleerd open te zetten.”
3. Slecht wachtwoordbeleid
Mathijs: “Nog te vaak komen we tegen dat er geen gebruik wordt gemaakt van een wachtwoordmanager of van multifactorauthenticatie. Ook gebeurt het dat privéwachtwoorden zakelijk worden gebruikt. Met een gestolen wachtwoord kan een aanvaller dan ook binnenkomen bij de organisatie waar het slachtoffer werkt.”
4. Ontbrekende updates
Joris: “Het consequent doorvoeren van patches en updates blijft een uitdaging. We komen eigenlijk altijd wel missende updates tegen. Het is dan ook een van de grootste moeilijkheden in IT-beheer. Iedere computer reageert anders op een update. Je wil niet dat computers door een update niet opstarten of dat er bestanden verloren gaan.”
5. Geen netwerksegmentatie
Mathijs: “Heb je te maken met machines die lastig zijn te updaten? Zorg er dan voor dat die in een apart segment komen te staan. Een ongepatchte computer biedt dan geen toegang tot de rest van het netwerk. Helaas zien we dat segmentatie nog altijd te weinig wordt toegepast. Zeer veel bedrijven hebben hun netwerk helemaal niet gesegmenteerd.”
Welk advies zouden alle organisaties ter harte moeten nemen?
Mathijs: “Zorg ervoor dat je een goed beeld hebt van je netwerk. Weet wat je allemaal hebt staan, wat daarop draait en hoe je ervoor zorgt dat alles up-to-date is. En denk na over een andere manier van bescherming als machines niet zijn te updaten.
“Minstens even belangrijk is het trainen van de medewerkers, bijvoorbeeld in het herkennen van phishingmails. Dat wordt nog te weinig gedaan. Heeft een medewerker toch op een link in een phishingmail geklikt? Dan moet die persoon ergens terechtkunnen en de vergissing zonder schroom kunnen melden. Melden moet worden beloond, niet bestraft.”
Wil je weten welke stappen je kunt nemen, download dan ons stappenplan.
Weten hoe je je organisatie online beschermt?
