De kans is groot dat jij nu ook in je hoofd aan het tellen bent: “We hebben zoveel medewerkers, dus dat zal ongeveer…”.
Je kan het uiteindelijke getal niet genoeg overschatten. Of weet je precies hoeveel netwerkprinters, smartphones, tablets, IoT-apparaten, slimme presentatieschermen, voip- en conferentietools, camerasystemen, slimme speakers, smart watches, access points, switches, servers, slimme schakelaars, gevirtualiseerde toestellen, firewalls… zich in je netwerk bevinden?
We merken regelmatig dat netwerkbeheerders dit getal dramatisch onderschatten. En dat is alarmerend, want weet dat iéder netwerkapparaat in principe een aanvalsvector kan zijn. Je zal moeten inspelen op minstens 4 factoren om de veiligheid van je netwerk extra te waarborgen.
1. NAC met Conditional Access
Meten is weten. Network Access Control (NAC) brengt de honderden, zo-niet duizenden apparaten binnen je netwerk in kaart. Je kan ze beveiligen en toegang tot het netwerk geven of ontnemen. Het is zo goed als onmogelijk om dit manueel te doen. Gelukkig kan je met NAC zelf enkele voorwaarden instellen en kan je dit proces geautomatiseerd laten lopen. Bv.
- Zit het toestel in je domein?
- In de juiste VLAN?
- Zijn de juiste certificaten aanwezig?
- Zijn alle patches toegepast?
- Zijn de antivirus en EDR actief?
- Waar bevind het toestel zich?
- …
Een toestel dat buiten je NAC valt en verbinding wilt maken met je internet (bv. bezoekers of een smartwatch van een collega), wordt ofwel per definitie geweigerd, of kan sowieso niet aan je bedrijfsnetwerk.
2. Deepscan
Met deepscan (Deep Packet Inspection) wordt het netwerkverkeer van alle toestellen via je firewall geïnspecteerd en gecontroleerd op malware of verdachte handelingen. Maar het is niet zomaar mogelijk om ook versleuteld SSL/TLS-verkeer te inspecteren. En dat betreft al gauw 70% van alle verkeer binnen je netwerk. Dankzij een goed opgezette NAC is je firewall wel in staat om ook het versleutelde verkeer van gekende toestellen te controleren en beveiligen, omdat je in dit geval de certificaten zelf beheert.
Maar versleuteld verkeer kan dus niet geïnspecteerd worden bij bezoekers of externe apparaten die niet binnen NAC vallen.
3. Patch management
Nu alle toestellen in je netwerk bekend zijn, is het van uitermate belang om hun soft- en firmware zo goed mogelijk up to date te houden. Je wil ten alle koste voorkomen dat een bekend lek, waarvoor misschien al enige tijd een patch bestaat, misbruikt wordt om hackers of ransomware toegang te geven tot je bedrijfsnetwerk.
Al je toestellen manueel updaten zodra een nieuwe patch uitgerold is, is een gigantisch werk zonder einde, daar is geen beginnen aan. Dankzij ‘patch management’ kan dit grotendeels geautomatiseerd gebeuren. Deze dienst vind je bv. in onze Managed Services. Er bestaan uiteraard ook ongedichte lekken, de zogenaamde zero-days. Hoe je je hier zo goed mogelijk tegen kan weren lees je hier.
4. MFA
Nu alle toestellen in het netwerk gekend en optimaal beschermd zijn, rest ons nog één extra beveiligingsmaatregel.
Want hoe kan je zeker zijn dat de personen die de toestellen of services gebruiken, weldegelijk je collega’s zijn? Wachtwoorden zijn namelijk een kwetsbaarheid; Ze kunnen lekken, geraden of geforceerd worden, en mensen gebruiken regelmatig hetzelfde wachtwoord…
Je kan strengere wachtwoord-policies opzetten, maar dat werkt vaak contraproductief (post-its…) en wekt veel frustraties en tijdverlies op. De beste oplossing is Multi-Factor Authentication (MFA). Gebruikers moeten zich in dit systeem aanmelden met 2 of meerdere unieke sleutels: enkele voorbeelden:
- Hun wachtwoord + hun vingerafdruk.
- Via gezichtsherkenning + een tijdelijke, uniek gegenereerde code op hun smartphone.
- Een smartcard + gezichtsherkenning + een pin code
- …
Een hacker kan zich op deze manier – zelfs met een gestolen toestel van een collega, met de juiste credentials én binnen je bedrijfsmuren- nog steeds niet aanmelden.
Uiteraard zijn er nog tal van manieren om je netwerk nóg beter te beveiligen, maar met deze tips kom je al een heel eind. Wil je weten hoe we je netwerk helemaal in kaart kunnen brengen en/of hoe je al deze andere zaken kan configureren? Dan helpen we je graag.
btw nr.*
