Header Image overlay

In 4 stappen naar een veiliger bedrijfsnetwerk

“Hoeveel apparaten zitten er in ons bedrijfsnetwerk?” Op deze eenvoudige vraag kunnen weinig netwerkbeheerders juist antwoorden. Maar waarom is het zo belangrijk om dit toch te weten?

De kans is groot dat jij nu ook in je hoofd aan het tellen bent: “We hebben zoveel medewerkers, dus dat zal ongeveer…”.

Je kan het uiteindelijke getal niet genoeg overschatten. Of weet je precies hoeveel netwerkprinters, smartphones, tablets, IoT-apparaten, slimme presentatieschermen, voip- en conferentietools, camerasystemen, slimme speakers, smart watches, access points, switches, servers, slimme schakelaars, gevirtualiseerde toestellen, firewalls… zich in je netwerk bevinden?

We merken regelmatig dat netwerkbeheerders dit getal dramatisch onderschatten. En dat is alarmerend, want weet dat iéder netwerkapparaat in principe een aanvalsvector kan zijn. Je zal moeten inspelen op minstens 4 factoren om de veiligheid van je netwerk extra te waarborgen.

1. NAC met Conditional Access

Meten is weten. Network Access Control (NAC) brengt de honderden, zo-niet duizenden apparaten binnen je netwerk in kaart. Je kan ze beveiligen en toegang tot het netwerk geven of ontnemen. Het is zo goed als onmogelijk om dit manueel te doen. Gelukkig kan je met NAC zelf enkele voorwaarden instellen en kan je dit proces geautomatiseerd laten lopen. Bv.

  • Zit het toestel in je domein?
  • In de juiste VLAN?
  • Zijn de juiste certificaten aanwezig?
  • Zijn alle patches toegepast?
  • Zijn de antivirus en EDR actief?
  • Waar bevind het toestel zich?

Een toestel dat buiten je NAC valt en verbinding wilt maken met je internet (bv. bezoekers of een smartwatch van een collega), wordt ofwel per definitie geweigerd, of kan sowieso niet aan je bedrijfsnetwerk.

2. Deepscan

Met deepscan (Deep Packet Inspection) wordt het netwerkverkeer van alle toestellen via je firewall geïnspecteerd en gecontroleerd op malware of verdachte handelingen. Maar het is niet zomaar mogelijk om ook versleuteld SSL/TLS-verkeer te inspecteren. En dat betreft al gauw 70% van alle verkeer binnen je netwerk. Dankzij een goed opgezette NAC is je firewall wel in staat om ook het versleutelde verkeer van gekende toestellen te controleren en beveiligen, omdat je in dit geval de certificaten zelf beheert.

Maar versleuteld verkeer kan dus niet geïnspecteerd worden bij bezoekers of externe apparaten die niet binnen NAC vallen.

Schema security NAC en Deepscan | VanRoey.be

3. Patch management

Nu alle toestellen in je netwerk bekend zijn, is het van uitermate belang om hun soft- en firmware zo goed mogelijk up to date te houden. Je wil ten alle koste voorkomen dat een bekend lek, waarvoor misschien al enige tijd een patch bestaat, misbruikt wordt om hackers of ransomware toegang te geven tot je bedrijfsnetwerk.

Al je toestellen manueel updaten zodra een nieuwe patch uitgerold is, is een gigantisch werk zonder einde, daar is geen beginnen aan. Dankzij ‘patch management’ kan dit grotendeels geautomatiseerd gebeuren. Deze dienst vind je bv. in onze Managed Services. Er bestaan uiteraard ook ongedichte lekken, de zogenaamde zero-days. Hoe je je hier zo goed mogelijk tegen kan weren lees je hier.

4. MFA

Nu alle toestellen in het netwerk gekend en optimaal beschermd zijn, rest ons nog één extra beveiligingsmaatregel.

Want hoe kan je zeker zijn dat de personen die de toestellen of services gebruiken, weldegelijk je collega’s zijn? Wachtwoorden zijn namelijk een kwetsbaarheid; Ze kunnen lekken, geraden of geforceerd worden, en mensen gebruiken regelmatig hetzelfde wachtwoord…

Je kan strengere wachtwoord-policies opzetten, maar dat werkt vaak contraproductief (post-its…) en wekt veel frustraties en tijdverlies op. De beste oplossing is Multi-Factor Authentication (MFA). Gebruikers moeten zich in dit systeem aanmelden met 2 of meerdere unieke sleutels: enkele voorbeelden:

Een hacker kan zich op deze manier – zelfs met een gestolen toestel van een collega, met de juiste credentials én binnen je bedrijfsmuren- nog steeds niet aanmelden.

Uiteraard zijn er nog tal van manieren om je netwerk nóg beter te beveiligen, maar met deze tips kom je al een heel eind. Wil je weten hoe we je netwerk helemaal in kaart kunnen brengen en/of hoe je al deze andere zaken kan configureren? Dan helpen we je graag.

btw nr.*

“Een hacker kan zich op deze manier -zelfs met een gestolen toestel van een collega, de juiste credentials én binnen je bedrijfsmuren- nog steeds niet aanmelden.”

deel dit bericht:

Bescherming tegen Zero-Days?
Wat als ongekende malware zich toch in je netwerk nestelt? Hoe snel kan je het detecteren én isoleren?

Geschreven door:

Els Bleys
Security Engineer

Els is ‘een echte VanRoeyer’ en doorliep alvast een boeiend groeipad binnen VanRoey.be. Ze startte vele jaren geleden als Service Desk Engineer en groeide door naar Support Engineer voor bedrijven. Daarna stootte ze door tot Support Teamleader. Haar passie en interesse in security oplossingen, gecombineerd met bergen ervaring, maken van haar vandaag een ijzersterke Security Engineer.