Het massale thuiswerken vergt pentesten!

Het is een bijzondere tijd en misschien wel een nieuwe normaal. Door de COVID-19 pandemie zagen vrijwel alle organisaties zich genoodzaakt het roer om te gooien en het thuiswerken versneld te uitrollen. Veel organisaties moesten hierdoor bestaande procedures en afspraken een beetje oprekken, met wat minder testen nieuwe tools accepteren en gebruikers met extra privileges vanuit andere locaties toegang geven. Uiteindelijk moet de business natuurlijk doordraaien, maar de gevolgen van de versnelde, en soms gehaaste aanpak, kunnen groot zijn.

In de toekomst lijkt dit niet te gaan veranderen. Uit onderzoek blijkt dat meer dan de helft van de ondervraagde thuiswerkers vaker op een andere locatie dan kantoor wil blijven werken. De wens van de werknemer is duidelijk: 100% flexibiliteit! Maar de overstap naar regelmatig werken op afstand brengt organisatie brede securityrisico’s met zich mee en is daarmee laaghangend fruit voor hackers.

Als we kijken naar de recentere pentesten die ons red-team heeft uitgevoerd dan zien we hierin de negatieve effecten terug van die soms overhaaste Corona acties.

Waar moet u onder andere op letten:

  • De NCSC meldde reeds dat zij een sterke toename ziet in open poorten die recentelijk via het internet zijn ontsloten. Versnelde uitrol van samenwerkingstools (Microsoft 365, Teams, etc), videoconferencing apps, VPN’s, Virtualisatie platformen, etc, hebben ertoe geleid dat onverlaten kwetsbaarheden in die poorten kunnen uitbuiten als ze via het web benaderbaar zijn. Zet ze dus achter de DMZ en zorg dat de servers gepatcht en gehardend zijn.
  • In lijn met de voorgaande bullet adviseren wij extra aandacht aan de (nieuwe) VPN verbindingen te besteden. Statelijke actoren zijn namelijk een stuk actiever geworden om deze na het scannen ook te exploiteren.
  • De endpoints zijn nu meer dan ooit de toegangspoort tot je bedrijf. Zorg daarom dat de end-points deugdelijke beveiliging hebben zoals mobile device management (MDM), antivirus en antimalware, auto-update, encryptie en goede toegangscontrole. Configureer ook uw huidige anti-malware oplossing aan de hand van best practices, vaak is er uit bestaande tools nog veel meer te halen. Zorg dat de gebruikers voldoende rechten hebben om het apparaat goed te kunnen bedienen maar zeker niet meer (en zeker geen local admin).
  • Om meer geavanceerde aanvallen vroegtijdig te detecteren is het verstandig te gaan kijken naar Endpoint Detection and Response oplossing (EDR). Middels EDR kan eventuele besmetting en uitbraak hiervan voorkomen worden. Ordina Cybersecurity & Compliance levert de Endpoint Detection and Response-tool van ESET die het mogelijk maakt endpoint-activiteit continue en in realtime uitgebreid te monitoren, verdachte processen uitvoerig te analyseren en onmiddellijk te reageren op incidenten en inbreukpogingen. Dankzij bijvoorbeeld de mogelijkheid endpoints automatisch te isoleren biedt EDR de mogelijkheid je te verdedigen tegen deze geavanceerde aanvalsvormen die juist in deze tijd zich richten op kwetsbare endpoints. Zelfs hackers adviseren EDR.
  • Zorg voor MultiFactor Authenticatie (MFA) en sterke wachtwoorden op de deuren naar binnen toe. Te vaak nog geven gebruikers hun credentials prijs en kan er door hackers op eenvoudige wijze ingelogd worden. Nieuwe, snel uitgerolde, cloud diensten zonder single sign-on koppeling kunnen zo een stepping stone worden voor verdere exploitatie. Ordina Cybersecurity and Compliance levert specifieke kennis voor het inregelen van uw Microsoft 365-omgeving maar ook generieke oplossingen die cloud-onafhankelijk werken.
  • Sommige organisaties hebben versneld helpdesk systemen uitgerold omdat ze de toename in aantal thuiswerk gerelateerde tickets niet meer aan konden. Door slechte acceptatietesten en misconfiguratie kunnen externe partijen zichzelf nu aanmelden, inloggen en allerlei handelingen uitvoeren die niet zouden mogen kunnen (wachtwoord en MFA reset, toegangspas aanvragen, VPN whitelisten, etc). Dubbelcheck ook hier de verborgen deuren die mogelijk open staan.
  • Recentelijk zijn er van overheidswege diverse wettelijke regelingen doorgevoerd die met spoed in nieuwe processen vertaald moesten worden. Organisaties hebben hiertoe snel nieuwe apps gebouwd en formulierenstromen in het leven geroepen die kwetsbaar kunnen zijn voor aanvallen met datalekken tot gevolg. Blijf waakzaam op deugdelijke kwaliteitscontrole en secure software development procedures. Een ongeluk zit in een klein hoekje.

Bovenstaande aandachtspunten zijn slechts een kleine greep uit de bevindingen die wij dagelijks opdoen tijdens het beoordelen van infrastructuren, software en processen. Het Red Team van Ordina biedt een scala aan testmogelijkheden, waarvan de bekendste de phishing-campagnes, de code-reviews, het pentesten en red teaming zijn. Mochten er nog strikte aanwezigheidsprotocollen gelden, dan kunnen wij uw organisatie-infrastructuur ook remote beoordelen middels een proxyserver. Zo hoeven wij niet per se on site te komen.

Mocht uw organisatie in de vaart der volkeren dus een security-steekje hebben laten vallen dan zal ons red team dit detecteren en direct adviseren hoe de kwetsbaarheid verholpen kan worden. Naast Ahead of Change willen we namelijk ook graag Ahead of Hacks zijn!

Dimitri van Zantvliet Rozemeijer MBA CISSP CISM CISA CIPP/E CIPM FIP, schrijver van deze blog, is senior principle expert bij Ordina Cyber Security & Compliance.

Wilt u hier meer over weten, neem dan contact op met Wouter Doderer en we plannen een afspraak in. Digitaal of op locatie. Wel op anderhalve meter afstand, daar hebben wij helaas nog geen oplossing voor.

Meer informatie over het Red Team van Ordina? Stel uw vraag aan Wouter.

Wouter Doderer
Wouter Doderer
Business Lead | Red Team Services
Klik om direct telefonisch contact op te nemen: +31612058449 Klik om direct contact op te nemen via WhatsApp Bekijk mijn profiel op Linkedin Stuur een email