Het ontwerp van uw netwerk is van cruciaal belang om de aanvalsoppervlakte te beperken, alsook een optimaal overzicht te hebben over wat normaal is binnen het netwerk.

Het doel hier is om aan volgende principes te voldoen binnen de beschikbare middelen.

Netwerk exposure beperken

Enkel de diensten naar buiten toe tonen die noodzakelijk zijn.

Dit betekent dat uw publieke bedrijfswebsite toegankelijk dient te zijn voor het grote publiek, maar dat uw boekhouding niet voor de hele wereld toegankelijk hoort te zijn.

Dit zorgt ervoor dat er minder diensten zijn die aangevallen kunnen worden.

Netwerk segregatie

Het opdelen van het netwerk dient ervoor dat indien een onderdeel aangevallen wordt en soms overgenomen wordt, neit het volledige bedrijf kan aanvallen.

Sommige onderdelen zijn toegankelijk vanop internet, andere kunnen niet zo goed gepatcht worden, of nog andere zijn toegankelijk voor leveranciers... Hierdoor is het belangrijk te beseffen dat niet elke asset de hoogste of noodzakelijke basis cyberveiligheidshygiëne in plaats heeft.

Netwerk design

Drie niveau's om netwerken te beschermen

• Enkel de perimeter: de grens naar en uit uw bedrijf afschermen
• Lage segmentering intern: bepaalde aspecten in het bedrijf die vaak statisch zijn splitsen van de dynamische assets bvb. HVAC, camera versus laptop of desktop
• Hoge segmentering intern: segmentering van de aspecten die functioneel of technisch niet met elkaar moeten praten. En desnoods enkel de connecties toelaten die noodzakelijk zijn.

Deze vorm van indeling zorgt voor een betere:

• Identificatie: hoe kleiner de segmenten hoe beter te identificeren wat erin thuis hoort
• Bescherming: door segmenten los of minimaal te koppelen verklein je de aanvalsvector
• Detectie: abnormale pogingen of communicaties worden beter detecteerbaar. Verschil tussen normaal en abnormaal is beter te onderscheiden
• Response: dankzij het afsplitsen van segmenten is er een impact beperking van gecompromitteerde systemen
• Recover: het is makkelijker om kleinere segmenten te herstellen doordat de blastradius kleiner is

Mogelijke maatregelen

Virtual Private Network

Gebruiksscope: netwerk perimeter

Een VPN heeft als doel een beveiligde tunnel te maken over een onbeveiligd netwerk.

Voorbeelden hiervan zijn:

• Ondersteuning op afstand bieden voor computers of machines;
• Remote access voor verkoopspersoneel dat vaak op de baan is;
• Thuiwerk met verbindingen naar het bedrijf...

Gouden regels

• Diensten die vanop afstand toegankelijk moeten zijn voor medewerkers enkel over een VPN toegankelijk maken.
• Indien het hoge risico verbindingen omvat zoals beheer van het ICT_park, alle verkeer over de VPN sturen en niet toelaten dat er connecties rechtstreeks naar het internet gaan.
• Interactieve verbindingen beëindigen na een bepaalde tijd, bv. maximaal één werkdag.

Proxy{mlang en}Proxy{mlang}

Gebruiksscope: netwerk perimeter

Een proxy heeft als doel het uitgaande verkeer naar het internet te gaan classificeren op basis van black- of whitelisting en zo enige controle te hebben over de legitimiteit van verbindingen.

Voorbeelden hiervan zijn:

• Websites blokkeren die niet toegelaten zijn in het beleid;
• Het detecteren van connecties naar gekende slechte website die gebruikt worden bij hacks, dit zijn zogenoemde Command & Control of C2-kanalen gebruikt door hackers om te communiceren met uw netwerk of om er informatie over naar buiten te halen...

Firewall

Gebruiksscope: netwerk perimeter en intern netwerk

Een (next-gen) firewall dient ervoor om verkeer tussen hosts al dan niet toe te laten.

Het principe hier hoort te zijn dat standaard geen connectie mogelijk mag zijn, uitgezonderd wanneer er expliciet een regel is die de verbinding toelaat.

Dit is een heel efficiënte maatregel qua beheer van scheiding van taken (segregation of duties). Indien een connectie niet toegelaten wordt, dan is dit niet mogelijk.

Governance of goed bestuur van deze regels is van essentieel belang. Daarom is het belangrijk dat wanneer een connectie naar een bepaald netwerk segment of dienst wordt opengesteld, dat de aansprakelijke van de toegankelijke asset hiervoor de toestem geeft.

Gouden regels:

• Elke regel heeft een eigenaar
• Laatste regel is blokkeren of droppen van alle verbindingen
• Need-to-know principe: enkel openstellen wat strikt noodzakelijk is
• Basis hygiëne: wanneer niet geëncrypteerde protocols worden aangevraagd, zien of er geen veilige variant bestaat

Virtual LAN

Gebruiksscope: interne segregatie

Het zijn vrij statische indelingen van het netwerk die als het ware functionele delen horen te vormen. De opsplitsing hoort binnen de context van de organisatie gezien te worden.

Gouden regels:

• Camerainstallatie een eigen VLAN geven, bij voorkeur de toegang voor toezicht op de NVR op één aparte VLAN
• Machines in een andere VLAN onderbrengen dan de bureautica
• Werkstations hun eigen VLAN geven
• Printers, scanners een eigen VLAN geven
• Onderdelen die remote support krijgen van leveranciers segmenteren volgens leverancier

Network Access Control

Gebruiksscope: intern netwerk

NAC of 802.1X is een manier om toestellen zich te laten authenticeren op een switch vooraleer ze kunnen communiceren over het netwerk.

Dit voorkomt dat niet geauthenticeerde toestellen toetreden tot het netwerk.

Deze NAC kan ook gekoppeld worden om na auithenticatie en identificatie in een bepaalde VLAN gestopt te worden.

Indien een toestel NAC niet ondersteunt dan

1. MAC filtering activeren
2. Een apart segment maken voor deze toestellen met strikte firewall regels

Honeypot

Gebruiksscope: netwerk perimeter en intern netwerk

Een honeypot of tripwire is een soort boobytrap of struikeldraad. Het is een asset die opzettelijk toegankelijk is, maar geen deel uitmaakt van de standaard operationele assets.

Het is een asset die nooit gebruikt hoort te worden, en dus zeker nooit aangeraakt (geconnecteerd op de één of andere manier) moet worden.

Typische honeypots zijn bijvoorbeeld gevoelig aan:

• HTTP of HTTPS webconnecties
• Netwerk scans
• Pings

Elke vorm van communicatie met deze honeypots wordt gezien als een security breach en dient dus opgevolgd te worden.

Het is één van de meest kost opportune manieren om netwerk pivoting of netwerkwandelen detecteertL Wanneer een host of computer gehackt is, en de hacker wil verder doordringen in het netwerk, is eens rondkijken rondom zich op het netwerk een veel gebruikte techniek Dit kan een fluisterstille methode zijn, maar hoe dan ook als er een connectie gemaakt wordt met de honeypot hoe stil ook, dient dit een alarmbel te triggeren.

Gouden regels:

• De minste connectie moet een alarm doen afgaan;
• In elke segment op het netwerk plaats je een honeypot die toegankelijk is voor vanuit het hele segment;
• Werk van buiten naar binnen. Het is meer waarschijnlijk dat internet toegankelijke toestellen gehackt worden.
• Indien u kroonjuwelen of diensten hebt met heel veel waarde voor uw bedrijf, plaats dan daar ook een honeypot.

Cloud bescherming

Cloud Access Security Broker

CASB is meestal een clouddienst die ervoor zorgt dat:

• Je controle hebt over wie er naar wat kan verbinden
• Dit zorgt ervoor dat shadow-IT beter gecontroleerd kan worden
• Inzicht krijgen over wie er verbindt naar wat

Content Delivery Network

CDN is een clouddienst die ervoor zorgt dat:

• Opvangen van zware workload
• Diensten die wereldwijd beschikbaar gesteld dienen te worden kunnen lokaal aangeboden worden
• Security aspecten opnemen voor hoofdzakelijk websdiensten die aangeboden worden