GlobalSign Blog

06 aug. 2019

Startups moeten ook apparaten van personeelsleden beveiligen: hier is hoe

Het mislukt nooit... Elke dag gebruiken werknemers op kantoor dezelfde laptop die thuis wordt gebruikt. Anderen nemen hun telefoons mee en maken verbinding met de Wi-Fi van het bedrijf. Hoewel het misschien onschadelijk lijkt, kan deze gewoonte diepgaande problemen veroorzaken voor het bedrijfsnetwerk - en gevaarlijke gevolgen hebben voor startups.

Om deze dreiging goed te kunnen opvangen, is het van cruciaal belang om de kwetsbaarheden te beoordelen. Zodra een apparaat het kantoor heeft verlaten, heeft het bedrijf heel weinig controle over de beveiliging. Het hebben van een solide IT-beleid en een strategie voor schadebeperking is dus een vereiste - zelfs voor startups met weinig personeel.

De belangrijkste zorgen met externe werknemers en Bring Your Own Devices (BYOD) zijn verschillende:

  • Fysieke diefstal - Bedrijfs- of klantinformatie opgeslagen op een verkeerd geplaatst of gestolen apparaat vormt een groot probleem en het kan zeer duur zijn om te herstellen.
  • Malware - U moet op gebruikers vertrouwen om apparaten vrij te houden van malware en virussen die enorme informatie-inbreuken of systeemfouten kunnen veroorzaken.
  • Onderschepping van gegevens - de meeste mensen coderen informatie niet die naar collega's wordt verzonden. Indien verzonden vanaf een aangetast apparaat, kan het mogelijk door een aanvaller worden onderschept. Velen hebben ook GPS ingeschakeld, wat betekent dat apparaten over de hele wereld kunnen worden gevolgd.
  • Bedreigingen van binnenuit - een ontevreden werknemer kan opzettelijk iets kwaadaardigs in het bedrijfsnetwerk invoeren.

De risico's zijn reëel. En zodra een aanvaller de verdediging van het bedrijf doorbreekt, is het al te laat. Veel problemen doen zich voor indien beveiliging wordt beschouwd als een bijkomende functie in plaats van een integraal onderdeel van ontwikkeling. Zoals elke IT-beveiligingsprofessional u zal vertellen: Beveiliging MOET worden meegebakken, niet opgespoten.

Enkele van de gevaarlijkste bedreigingen voor de beveiliging waarmee startups worden geconfronteerd worden veroorzaakt door personeel dat niet de juiste beleidsregels en procedures volgt. Dit kan zeer schadelijke en langdurige gevolgen hebben:

  • Schending van geheimhouding en verlies van PII - Indien er persoonlijk identificeerbare informatie (PII) wordt gestolen kan het bedrijf juridisch aansprakelijk zijn en mogelijk publiekelijk worden aangekondigd, waardoor het vertrouwen verloren gaat.
  • Afluisteren - Privécommunicatie kan worden onderschept via de microfoon van een gecompromitteerd apparaat of data die via een onbeveiligd netwerk worden verzonden. Kanttekening: indien u nog steeds een fax gebruikt ... nu meteen stoppen! Faxinformatie wordt in platte tekst verzonden, kan eenvoudig worden onderschept en ontvangers kunnen niet verifiëren wie het heeft verzonden.
  • Denial of service (DOS) - Deze aanval kan ervoor zorgen dat uw netwerk niet meer goed werkt, wat tijdsverlies en ongelukkige klanten veroorzaakt.
  • Wormen - Een enkel met een worm geïnfecteerd apparaat kan een heel netwerk beschadigen met een zichzelf vermenigvuldigend virus, dat zich verspreidt via aangesloten apparaten, of zelfs e-mailadressen.

Dus wat kunt u doen om te voorkomen dat dit soort problemen zich ooit voordoen?

Het zou vanzelfsprekend moeten zijn dat alle data die op het terrein van het bedrijf worden opgeslagen ten alle tijde gecodeerd zou dienen te zijn indien niet gebruikt - en hetzelfde geldt voor de selectie van opslag in de cloud. Maar het simpelweg beschermen van inactieve data is niet genoeg wanneer werknemers persoonlijke apparaten naar kantoor meebrengen of laptops van het werk mee naar huis nemen.

Hier volgen zes "must follow" beveiligingsbeleidsregels indien u BYOD toestaat:

Authenticatie handhaven met gebruik van digitale certificaten

Sterke authenticatieoplossingen maken gebruik van Digitale Certificaten voor gemakkelijke en veilige op certificaten gebaseerde en token-gebaseerde tweestapsauthenticatie voor de bescherming van bedrijfsnetwerken, gegevens en applicaties. Deze omvatten: Domeincontrollerservers, Machinecertificaten, Mobiele apparaten, Smartcardaanmelding, Cloud Services, USB-tokens (goedgekeurde, zie hieronder), VPN's, Gateways en WiFi-netwerken.

Schakel Bluetooth uit

Bluetooth is wezenlijk onveilig. Stimuleer medewerkers om het altijd uit te schakelen, behalve wanneer het tijdelijk in gebruik is.

Maar waarom is Bluetooth zo kwetsbaar?

Het gevaarlijkste aspect van Bluetooth is dat het heel eenvoudig is om apparaten aan te zetten en aan te sluiten, zoals een draadloze luidspreker. Helaas vergeten veel gebruikers het uit te schakelen. Hierdoor blijven apparaten een constant beveiligingsrisico. Zelfs als medewerkers Bluetooth-hoofdtelefoons van en naar het kantoor gebruiken, biedt deze open verbinding hackers voldoende gelegenheid om de volgende aanvallen uit te voeren:

  • Bluejacking - aanvallers sturen berichten naar het apparaat via Bluetooth. Dit is gebruikt voor guerrilla-advertenties in dichtbevolkte gebieden. Het gevaar komt wanneer aanvallers een schadelijke link in het bericht invoeren, die het apparaat zodra erop is geklikt verder kan aantasten.
  • Bluesnarfing - een aanvaller krijgt via Bluetooth toegang tot informatie die op een apparaat is opgeslagen. Gestolen gegevens kunnen onder andere lijsten met contactpersonen, SMS- en belgegevens, e-mail en media en bestanden zijn. Aanvallers kunnen eenvoudig bedrijfsdocumenten stelen die op telefoons zijn opgeslagen - en niemand weet het tot het te laat is.
  • Bluebugging - Een aanvaller krijgt op een hoger niveau dan Bluesnarfing toegang tot de telefoon - waardoor hij mogelijk de controle over de hele telefoon verkrijgt, die hij gebruikt om berichten te verzenden, te bellen, af te luisteren en het apparaat te volgen m.b.v. GPS. Eenmaal gecompromitteerd, kan het aan verdere aanvallen worden onderworpen, zelfs wanneer Bluetooth is uitgeschakeld.

Moedig sterke wachtwoorden aan

Iedereen zou sterke wachtwoorden moeten gebruiken. Dat betekent niet de naam van hun huisdier met vervanging van een paar letters door cijfers. Het betekent een reeks tekens die algoritmisch moeilijk te kraken is.

Door een wachtwoordbeheerder te gebruiken kunnen er sterke codes worden gegenereerd en met codering opgeslagen. Voor gebruik in het bedrijf kan de toegang tot deze wachtwoorden tussen gebruikers worden gedeeld zonder het wachtwoord zelf te delen. Gebruikers dienen een hoofdwachtwoord te hebben om in te loggen. Deze wachtwoorden moeten ook sterk zijn, maar niet onmogelijk om te onthouden.

Ontmoedig (sterke) Jailbreaking of Rooting van apparaten

Dit is moeilijk te controleren, maar uiterst belangrijk voor het beschermen van de integriteit van kantoornetwerken. "Jailbreaking" en "Rooting" zijn termen voor soortgelijke dingen - het verwijderen van softwarebeperkingen van de besturingssystemen van een apparaat om toegang te krijgen tot anders beperkte functies van het apparaat.

Jailbreaking vindt plaats op iOS-apparaten en maakt installatie van software mogelijk die Apple niet toestaat. Rooting vindt plaats op Android, waardoor een veel hoger toegangsniveau van de hardware van het apparaat mogelijk is dan bij normale uitvoering van Android. Een geroot Android-apparaat heeft toegang tot vrijwel elk aspect van het besturingssysteem

Rooting geeft veel geavanceerde functies vrij op Android-apparaten, waardoor ze aan aanvallen kunnen worden blootgesteld. Als een kwaadwillende app of hacker toegang tot de root van een apparaat krijgt is het volledig in hun handen. Ze kunnen elke operatie op de telefoon uitvoeren - van luisteren via de microfoon en toegang tot de internetverbinding krijgen tot het aanmelden bij apps via het account van de gebruiker.

U wilt niet dat dit gebeurt met een apparaat op kantoor. Een "faalveilige" oplossing is om alle geroote of gejailbreakte apparaten helemaal uit het kantoor te verbannen. Als het absoluut noodzakelijk is om geroote apparaten te gebruiken, zorg er dan voor dat er een degelijk systeem van regelmatige controles is ingevoerd.

Codeer de internetverbinding van het kantoor

Grote kantoren hebben in het algemeen een IT-team en routers op bedrijfsniveau, maar startups gebruiken mogelijk alleen de door de ISP verstrekte router - met standaardbeveiliging en geen codering van het internetverkeer.

Van regeringen, ISP's en zelfs sommige internetdiensten is bekend dat ze de online activiteiten van gebruikers volgen - en er kan niet worden aangenomen dat hetzelfde niet met kleine bedrijven gebeurd. Sterker nog, iemand die een geïnfecteerd apparaat op het netwerk brengt kan hackers in staat stellen om internetverkeer te onderscheppen en zelfs te wijzigen.

Voor startups met minder dan 25 werknemers kan een op privacy gerichte router worden gebruikt om alle via het netwerk verzonden gegevens te versleutelen met behulp van een VPN op de router zelf. VPN's kunnen veroorzaken dat een internetverbinding iets langzamer dan normaal is, maar met een router van hoge kwaliteit zou dit minimaal moeten zijn.

Handhaaf een download- en antivirusbeleid

Malware kan eenvoudig naar kantoor worden gebracht door thuis gedownloade software. Maar er zijn andere manieren waarop machines kunnen worden geïnfecteerd. Het is gewoon niet realistisch om alle downloads via het bedrijfsnetwerk te blokkeren, maar u kunt alle medewerkers wel vertellen dat ze niets mogen downloaden zonder eerst contact op te nemen met degenen die verantwoordelijk zijn voor het IT-beleid.

Populaire tv-series worden steeds meer het doelwit van hackers die malware in het bestand injecteren en die vervolgens via BitTorrent via P2P-netwerken worden gedeeld. Torrenting van auteursrechtelijk beschermd materiaal is op de meeste plaatsen illegaal, maar dat weerhoudt miljoenen mensen er niet van om de nieuwste serie van Game of Thrones te downloaden in plaats van te wachten tot deze op HBO wordt vertoond.

Het stoppen van deze downloads op kantoor zal slechts de helft van de bescherming van het netwerk ten goede komen. Als een apparaat thuis wordt aangetast verspreidt het risico zich over het gehele netwerk zodra er verbinding wordt gemaakt met Wi-Fi op kantoor. Alle medewerkers moeten een hoogwaardig en up-to-date antivirusprogramma op apparaten gebruiken zodat ze regelmatig worden gescand. Individuele downloads moeten ook worden gescand voordat ze worden geopend.

Verbied USB-sticks

USB-sticks zijn klein, handig en onveilig, maar een van de grootste zorgen is dat ze zelden versleuteld zijn en gemakkelijk verkeerd geplaatst worden. In een zakelijke context kan dit betekenen dat een medewerker het ergens achterlaat, zoals in een café, en het door iemand wordt opgepakt die de gegevens voor snode activiteiten kan gebruiken. Dit is vaak gebeurd in kleine en grote bedrijven en zelfs bij de overheid. Een opmerkelijk voorbeeld is een Britse overheidscontractant  die een geheugenstick verliest met informatie over alle gevangenen in Engeland en Wales.

En dat is alleen maar als iemand de USB-stick verliest.

Een ander ernstig probleem is een USB-stick met malware en aangesloten op een netwerkapparaat. Dit kan ervoor zorgen dat de malware zich snel over alle apparaten in het netwerk verspreidt. De grootste inbreuk in de Amerikaanse militaire geschiedenis gebeurde zelfs toen een geïnfecteerde USB-stick op een computer werd aangesloten en malware inbreuk maakte op geclassificeerde informatie - die mogelijk operationele plannen, personeelsgegevens en militaire geheimen aan de vijand afleverde.

Voorkomen is beter dan genezen

De filosofie voor kleine bedrijven is dit: Voorkomen is makkelijker dan genezen. Door preventieve maatregelen om het netwerk te beschermen te nemen kunt u uw bedrijf redden van mogelijk rampzalige gevolgen.

Indien medewerkers hun eigen apparaten meenemen naar het werk of laptops van het werk mee naar huis nemen, zorg er dan voor dat u duidelijke regels opstelt voor het gebruik - en dat elke medewerker zijn of haar verantwoordelijkheden begrijpt.

Bronlink:

Voor meer informatie over het uitdagende landschap van cyberbeveiliging - en hoe uw zaak veilig kan blijven, lees meer:

Digitale Certificaten voor Sterke Authenticatie

Ransomware, wat is dat nu ook alweer precies?

Zes beveiligingstoold en -diensten die elk bedrijf nodig heeft

5 signalen dat uw netwerk is gehackt

Over de auteur:

Joe Robinson is expert op het gebied van cyberbeveiliging en gegevensbescherming bij Sabai Technology en VPN-leraar en wil dat u uw gegevens beveiligt.

Share this Post

7 redenen om digitale certificaten te gebruiken voor mobiele authenticatie

Een start-up beschermen tegen ransomware