In deze serie kijkt onze pentester Kasper naar de trends en ontwikkelingen die hem dit jaar zijn opgevallen. In het eerste deel hebben we ingezoomd op aanvallers en hun tactieken. In deze tweede editie kijken we naar de verdediging. Hoe bescherm je je in 2025 tegen aanvallen? Welke technieken zijn daarbij belangrijk? En hoe zit het met verschillende soorten organisaties? Hoe moet je naar je eigen verdediging kijken? Kasper vertelt het je.
De belangrijke uitgangspunten
Je verdediging begint niet bij een product, maar bij je uitgangspunt. Kasper zegt het helder: “Het belangrijkste om te beseffen is dat de vraag niet is of je gehackt wordt, maar wanneer.” En zoiets begint heel erg vaak bij het menselijke stukje. Uit onderzoek blijkt dat maar liefst 77% van alle aanvallen begint met phishing en social engineering. Als een gebruiker dan op een verkeerde link klikt of reageert op een malafide mail, dan begint de ellende: account takeovers, credential theft en malware-downloads. Kasper: "Organisaties zouden daarom veel meer vanuit zero trust-principes en assume breach moeten gaan redeneren. Verifieer alles altijd, gebruik het laagst mogelijke toegangsniveau voor een account, en ga ervan uit dat alles binnen het netwerk potentieel al gecompromitteerd is: accounts, applicaties, netwerken, enzovoorts.”
“Het belangrijkste om te beseffen is dat de vraag niet is of je gehackt wordt, maar wanneer.”
En om daar goed zicht op te hebben, is het belangrijk dat je inzicht hebt in al die zaken. Anders gezegd: wat je aanvalsoppervlak precies is. Hebben organisaties dat over het algemeen eigenlijk wel goed scherp? “Nee, absoluut niet,” zegt Kasper. “Sommige organisaties of branches zullen dat wel hebben, maar over het algemeen zie ik dat een goed beeld van het aanvalsoppervlak ontbreekt. Vanuit NIS2 is het overigens wel zo dat organisaties dit in kaart moeten brengen en moeten monitoren. Dat is een positieve ontwikkeling, maar ik zie dat dit zeker nog een verbeterpunt is.” Duidelijk! Zicht op je omgeving, je netwerk en je kwetsbaarheden zijn dus cruciaal.
Verschillen tussen bedrijven?
En ‘speaking of’ branches: ziet Kasper in het implementeren van cybersecurity-maatregelen eigenlijk nog verschillen in hoe bepaalde branches daarmee omgaan? “Dat is een lastige vraag. Uit eigen ervaring maar ook uit wat ik om me heen hoor, lijkt het erop dat (private) zorginstellingen nog meer werk te verzetten hebben. En waar het vaak goed gaat zijn toch de technische bedrijven. Maar ik kan voor beide branches ook weer voorbeelden bedenken die precies het tegenovergestelde laten zien. Uitzonderingen zul je ook altijd blijven houden.” Kortom: écht duidelijk aanwijsbare verschillen tussen branches zijn er niet. Over de breedte genomen, lijkt het erop dat de meeste organisaties nog flinke stappen te zetten hebben.
Praktische verdedigings-tips
Leuk, dat bedrijven stappen moeten gaan zetten. Maar welke stappen zijn dat dan? Waar begin je? We vragen het Kasper: “De situatie maakt gelijk het belang van goede backups duidelijk. Zorg daarbij ook dat je altijd een immutable backup hebt. Volgens mij heeft Veeam ooit de 3-2-1-regel gehad: 3 backups, op 2 verschillede media, waarvan 1 offline & offsite.” Maar backups zijn een oplossing voor als het fout gaat. Liever nog willen we natuurlijk dat het überhaupt niet fout gaat. Kasper geeft ons daarom een top 3 van zaken waar je je het beste op kunt focussen voor je digitale verdediging:
“Allereerst blijft personeel de zwakste schakel. Dus train mensen en blijf de kennis actueel houden. Ten tweede: zoals ik eerder al aanhaalde: gebruik de principes van Zero Trust en Assume Breach. Gebruik daarom ook altijd phishing-resistant tools bij cloud-omgevingen, zoals een hardware-token of authenticator-app.
Kasper's Top 3: Train je mensen. Gebruik de principes van Zero Trust en Assume Breach. Monitor je aanvalsoppervlak.
Ten derde in de top 3 staat dan denk ik toch het monitoren van je aanvalsoppervlak. Dan heb je het naast apparaten ook over of je data bijvoorbeeld op het darkweb wordt gelekt. En wat daar ook bij hoort is een gebruiksvriendelijke passwordmanager zodat je niet overal dezelfde wachtwoorden gebruikt. Zo verklein je ook het aanvalsrisico.”
Wat opvalt aan de bovenstaande top 3: slechts een enkele opmerking over tools. Terwijl dat toch vaak is waar men begint met het inrichten van security. Daarom nog een afsluitende, belangrijke opmerking van Kasper: “Techniek is natuurlijk mooi, maar je merkt dat mensen te snel op tooling vertrouwen. Want je kunt de meest fantastische, moderne EDR- of XDR-oplossingen uitrollen, maar als je een paar assets vergeet, ben je evengoed de Sjaak.”
Hoe begin je?
Het toepassen van Kasper’s tips is makkelijker gezegd dan gedaan. Want hoe train je personeel goed, en -nog belangrijker- hoe zorg je ervoor dat die kennis ook op peil blijft? Hoe implementeer je zero trust-principes? Hoe breng je dat aanvalsoppervlak nu precies in kaart en hoe kun je dat dan goed monitoren?
Allemaal complexe vragen die per organisatie weer enorm verschillen. Maar dat is precies waar we bij MyDigitals bedrijven mee helpen: de juiste, werkbare securitymaatregelen in kaart brengen, implementeren en ondersteunen. Zodat jij je gewoon kunt focussen op je core business.
Wil je eens sparren over jouw situatie? Een second opinion over je security stack? Of een gerichte demo van onze nieuwste SOC-tools, uitleg van de Incident Response stappen of het detecteren van gerichte social engineering? We vertellen je er graag meer over! Bel of mail gewoon.
Meer weten?
Mark Schager helpt je graag verder. Je kunt hem bereiken op: mark@mydigitals.nl