Kies veilige instellingen

We gaan er vanuit dat als een apparaat of een besturingssysteem geïnstalleerd wordt, dat deze altijd goed ingesteld staat. Dat is in de praktijk soms anders. Denk aan de firewalls met de inlog admin. Gelukkig wordt steeds vaker automatisch gevraagd om na de eerste keer inloggen het wachtwoord te veranderen. Desondanks zijn er genoeg IT-omgevingen waar standaard-instellingen niet veranderd worden, omdat het wel ‘goed genoeg leek’. Of omdat men denkt dat iemand met meer IT-kennis dit al gedaan heeft. Instellingen gaan echter voornamelijk uit van gemak en niet van de beste veiligheid.

 

Naast deze snelle en minder veilige instellingen, is het ook nog steeds zo dat we vergeten om kwetsbaarheden te dichten. Denk aan Microsoft Exchange of Microsoft RDP-kwetsbaarheden. Hiervoor zijn allang patches beschikbaar, maar gemiddeld genomen wordt er te veel niet gepatcht of gedicht. De NIS2-richtlijn geeft aan dat kwetsbaarheden gedicht moeten worden zodra ze bekend zijn: om misbruik tegen te gaan; om aansprakelijkheid te voorkomen.

 

Verdere adviezen zijn:

  • Gebruik veilige, sterke en verschillende wachtwoorden. Bedenk dat een wachtwoord van 8 locaties met hoofd en kleine letters, leestekens en cijfers, tegenwoordig in 8 uur gekraakt kan worden. Als datzelfde wachtwoord 10 karakters heeft, dan doet men er nu 5 jaar over, wat aanzienlijk langer is voor 2 extra karakters.
  • Daarnaast wordt sterk aangeraden om multi-factor authenticatie in te stellen.
  • Naast deze oplossingen die al simpelweg voorhanden zijn in de meeste omgevingen, is het instellen van de firewall op de endpoints nog steeds aan te raden.
  • Hou vast aan een firewall.

 

Om zogeheten laterale aanvallen te voorkomen, adviseren we nog steeds om naast een firewall voor edge-toepassingen de endpoint-firewall aan te hebben staan. Mocht er dan toch een end-point een besmetting oplopen of gehackt worden, dan kan de aanval binnen het netwerk vertraagd of zelfs tegengehouden worden. Vergelijk dit met een kantoor waarvan alle ruimtes beschermd zijn met een duur slot waarvan de sleutel niet na te maken is. Als alle reservesleutels in een kastje hangen met een simpel slot, dan kan bij een geslaagde inbraak de inbreker toch alle ruimtes eenvoudig openen. Last but not least, zorg dat alle platformen en oplossingen die je inzet, voldoende logging vastleggen. Deze logging kan jou of je IT-aanbieder helpen bij het uitvinden wat er wel en niet goed gaat, maar ook wie wat heeft gedaan op welk moment. Ook hier geldt: controleer regelmatig of de situatie verandert en of de instellingen nog steeds kloppen. Hou in de gaten of er geen shadow IT ontstaat waarvan soft- of hardware alsnog eenvoudig te hacken instellingen heeft.

Banner afbeelding