Security op de thuiswerkplek: tijd om het serieus te nemen

Eerder dit jaar spraken we met Eddy Willems, security evangelist bij G Data CyberDefense, over de impact van corona op beveiliging van de thuiswerkplek. Drie maanden later, met een potentiële nieuwe lockdown in zicht, blijken veel organisaties het nog altijd niet op orde te hebben. We bespreken de risico’s en hoe je je wél kan beschermen.

CSO  >  ransomware / security threat
Zephyr18 / Getty Images

We spreken Willems net als eerder dit jaar via een Zoom-verbinding: thuiswerken is zeker onder IT’ers en zij die erover schrijven nog de norm. Ook in andere organisaties is thuiswerken een vast onderdeel van de werkmethodes geworden, al sporen veel bedrijven hun werknemers aan om meer naar kantoor te komen. Met stijgende besmettingscijfers is de vraag hoelang dat vol te houden is, en hoelang het duurt voor de kantoren weer noodgedwongen verlaten moeten worden. Des te relevanter is de vraag of de thuiswerksecurity nu op orde is – en wat te doen als dat nog niet zo is.

Willems gaf in ons eerdere gesprek al aan dat ‘alle oude bedreigingen er nog zijn’, wijzend op het feit dat malware waartegen beveiligd moet worden eigenlijk weinig verandert, en ook nu benadrukt hij dat er inhoudelijk eigenlijk weinig anders is aan de cyberdreigingen. Als er een verschil is, is het wel dat er veel meer aanvallen zijn, en dat die meer op particulieren zijn gericht. Het aantal phishing-aanvallen is verdubbeld ten opzichte van voor de coronacrisis, en dat hoge aantal is constant gebleven sinds maart en april. Zoals bij elke grote gebeurtenis spelen de partijen hierachter slim in op de crisis van het moment: veel phishing-pogingen zijn gerelateerd aan het thema ‘corona’.

Het is veelzeggend dat dit beeld in augustus hetzelfde was als in maart, want het geeft aan dat dit kennelijk een succesvolle strategie is voor de cybercriminelen. Dat heeft, aldus Willems, alles te maken met een gebrek aan bewustzijn bij met name kleinere bedrijven en zzp’ers. “Bij grotere bedrijven wordt hier wel aandacht aan besteed in de vorm van cursussen, maar niet bij het MKB”, zo stelt hij. Dit terwijl een cursusreeks op het gebied van cyber awareness zowel qua kosten als qua tijd geen heel grote investering is: de cursussen die G DATA aanbiedt kosten 15 minuten per stuk, en met een keer in de week een kwartiertje zorg je voor een regelmatige reminder op het vlak van cyber bewustzijn. Voor het grootste deel van een jaar, want de cursus omvat 40 delen.

Een goed geconfigureerde verbinding

Naast bewustzijn op het vlak van phishing en andere cyberdreigingen is en blijft het zaak de thuiswerkplek goed en veilig in te richten. Dat begint in veel gevallen met een goede configuratie van de VPN-verbinding. Net als we enige tijd geleden in een ander gesprek konden noteren, geloof ook Willems niet in de stelling dat VPN niet meer relevant is: “Wie zegt dat VPN end of life is, weet niets van security.”

Daarbij is wel van belang dat VPN goed wordt ingezet, wat er nauw mee samenhangt hoe van buitenaf verbinding maakt met het eigen netwerk. Vooral in het MKB is zichtbaar dat dit vaak niet goed gaat. “Remote desktop of Citrix servers staan daar vaak open op het internet”, een shockerende constatering. “Het betekent dat als je een niet-gepatchte vulnerability hebt, die misbruikt kan worden. Dit terwijl de oplossing eenvoudig is: “Door gebruik te maken van VPN kan je dat eenvoudig voorkomen.” Nog een stap beter is het netwerk netjes te segmenteren en de Citrix, RDP- en andere servers die bereikbaar zijn van buitenaf af te zonderen in het netwerk, aldus Willems. Dat is wat lastiger, maar “door gebruik te maken van specialisten los je al veel op.” Een bezwaar is vaak dat hier hogere kosten aan verbonden zijn, maar de kosten van een geslaagde cyberaanval zijn ook niet mis.

Bovendien zijn er genoeg andere zaken die wel eenvoudig en snel te implementeren zijn, die het de cybercrimineel lastig maken: “Zorg ervoor dat je niet eindeloos wachtwoord en gebruiksnaam combinaties kunt proberen”, bijvoorbeeld. Het is heel simpel, maar wordt toch vaak niet gedaan, door vergeetachtigheid of gebrek aan kennis. Ook two factor authentication wordt vaak vergeten, terwijl het in veel producten standaard als optie aanwezig is. Simpelweg 2FA aanzetten “zou al een hele verbetering zijn”.

Ook de werknemer heeft een verantwoordelijkheid

Alle genoemde zaken liggen in het domein van de werkgever, maar ook de werknemer heeft een verantwoordelijkheid (waar de werkgever uiteraard wél op kan en moet wijzen), zo stelt Willems. Bijvoorbeeld de eigen router thuis: “Is die bijgewerkt en goed ingesteld? Staat er een wachtwoord op dat geen standaard wachtwoord is?” Dat laatste is zeker bij oudere modellen vaak eenvoudig te achterhalen is. Ook updaten veel routers zichzelf niet automatisch – en voor oudere modellen komen geen updates uit. Als werknemer dien je ervoor te zorgen dat je router voldoende bij de tijd is én voorzien van de laatst beschikbare updates. Daarnaast is het uiteraard van belang dat de wifi-verbindingen versleuteld zijn en dat toegang tot de router een nieuw, voldoende complex wachtwoord vereist.

Ook op het vlak van veiligheid van bedrijfsdata heeft de werknemer een verantwoordelijkheid, zeker bij gebruik van een eigen laptop of desktop pc. Data zou alleen moeten worden opgeslagen in bedrijfsapplicaties en -netwerklocaties via VPN, niet lokaal. De laatste (beveiligings-) updates voor het besturingssysteem en up to date antimalware software zouden vanzelfsprekend moeten zijn, maar is het nog altijd niet.

Willems: “In Duitsland biedt G DATA sinds enige tijd een quickscan van netwerk en security. Er is sprake van om dat ook in andere landen in te zetten.” Een dergelijke scan zou werknemers en werkgevers helpen om een veilige thuiswerksituatie te creëren.

Dit doet goede anti-malware software

Tot die tijd moet men zelf de beschreven checklist aflopen, bij voorkeur met enige regelmaat. Met goede anti-mailware software kan een thuiswerkplek in elk geval tegen een aantal typen aanvallen beschermd worden. Twee oudere technieken die nog altijd zeer effectief zijn in G DATA CyberDefense helpen om de financiën buiten schot te houden. De eerste, BankGuard, beschermt tegen aanvallen in de browser, door bepaald dll-bestanden te monitoren. Indien daarmee is geknoeid, overschrijft BankGuard deze onmiddellijk met de originele versie. Het voordeel van deze benadering is dat het effectief werkt tegen alle malware die deze bestanden proberen te corrumperen, ongeacht hoe nieuw deze is. De tweede bewezen technologie van G DATA CyberDefense is de anti-ransomware voorziening, die op basis van gedrags- cq. patroonherkenning een ransomware aanval kan stoppen voordat deze goed en wel begonnen is. Vermits deze bescherming actief is – sommige malware deactiveert als eerste de bescherming hiertegen – “voorkomt deze technologie 99,999% van de ransomware aanvallen,” aldus Willems.

Nieuwere technieken in de G DATA pakketten zijn BEAST en DeepRay. De eerste is een antivirus detectie, niet op basis van signatures (de klassieke methode) maar door het monitoren van processen op een device. Op basis hiervan maakt BEAST een grafische analyse, waarbij aanpassingen aan zaken als het bestandssysteem, het register, netwerkverbindingen en communicatie tussen processen worden vastgelegd in een database. Bij elke wijziging wordt de weergave van de nieuwe systeemtoestand geanalyseerd op verdacht gedrag. Wordt geconstateerd dat hier sprake van is, dan plaatst BEAST het device terug naar de toestand waarin alles nog in orde was. Het grote verschil tussen BEAST en standaard gedragsanalyse zit in het vermogen aanpassingen in een context te plaatsen, omdat het ook combinatie van gebeurtenissen in kaart kan brengen. Dat maakt dit een bijzonder krachtig wapen in de strijd tegen malware.

DeepRay ten slotte is misschien wel de meest onderscheidende voorziening van G DATA CyberDefense. Er zijn meer anti-malware pakketten die werken met procesanalyse op basis van kunstmatige intelligentie, maar DeepRay draait op het device zelf en is dus niet afhankelijk van een verbinding met de cloud. Daardoor blijft DeepRay effectief, ook wanneer de netwerkverbinding – bijvoorbeeld door malware – is verbroken. Deze technologie analyseert een 150-tal verschillende zaken op basis van een neuraal netwerk. Door deze data in een driedimensionale grafiek te plaatsen ontstaat een context, waarbinnen iets als ‘er draait een proces dat veel files delete’ kan worden geclassificeerd als een normale situatie – want er is verder niets aan de hand – of juist een abnormale – omdat tegelijkertijd andere alarmbellen afgaan. Een beperking van DeepRay is dat er daadwerkelijk iets moet gebeuren voordat dit systeem kan optreden, maar dan kan het ook direct ingrijpen.

De beste security? Begin met erin investeren

Hoe dan de security op de thuiswerkplek het beste in te richten? Zoals vaker is dat een afweging die per organisatie anders zal uitvallen. Zo is een vraag al of je alles bij één leverancier inkoopt, of diverse opties combineert. Willems: “Er is een aantal aanbieders dat een totaaloplossing heeft, maar dat betekent onvermijdelijk een compromis op bepaalde punten. Vergelijk het met een goede hifi-installatie: een echte audiofiel kiest voor de beste componenten, en die zijn niet per se allemaal van hetzelfde merk.”

Tegelijkertijd moeten we constateren dat voor veel muziekliefhebbers ook een goede nieuwe set van één merk een flinke verbetering zou zijn, en allicht meer zou bevallen dan waar veel mensen standaard naar luisteren. Hetzelfde geldt voor thuiswerksecurity: het is beter om als bedrijf te beginnen met een investering voor de belangrijke zaken – zoals bewustzijn, een fatsoenlijke basisconfiguratie van netwerkverbindingen en goede anti-malware, dan dat je niets doet. Zeker nu het ernaar uitziet dat er weer méér thuisgewerkt moet gaan worden, is het zaak de security ook op die werkplek in orde te krijgen.

Copyright © 2020 IDG Communications, Inc.