"Goede cyberhygiëne kan 80% aanvallen voorkomen"
Goede cyberhygiëne die uit een aantal basisregels bestaat kan 80% tot 90% van alle cyberaanvallen op organisaties voorkomen, zo stelt Jane Holl Lute, voormalig adjunct-secretaris van het Amerikaanse Ministerie van Homeland Security en op dit moment de president van de Council on CyberSecurity.
Lute is daarnaast ook consulterend professor aan het Centrum voor Internationale Veiligheid en Samenwerking aan de Stanford Universiteit. Ze sprak deze week tijdens het 'cybersecurity boot camp' op de universiteit over cybersecurity, de problemen op het web en de maatregelen die genomen kunnen worden. "Het is niet langer mogelijk om het probleem te negeren", liet Lute weten. "Het online leven is fundamenteel onveilig."
Ze stelde dat de meeste organisaties echter maatregelen kunnen nemen om 80% tot 90% van de aanvallen te voorkomen. De "goede cyberhygiëne" die Lute voorstaat bestaat uit vijf punten en kan helpen bij het voorkomen van veel problemen. "We kunnen vandaag de dag beter. We weten veel, maar doen het gewoon niet." Concreet komt het op de volgende vijf zaken neer:
- Breng geautoriseerde en ongeautoriseerde apparaten in kaart.
- Breng geautoriseerde en ongeautoriseerde software in kaart.
- Ontwikkel en beheer veilige configuraties voor alle apparaten.
- Voer continu assessments uit naar kwetsbaarheden en los ze op.
- Beheer en controleer actief het gebruik van adminrechten.
Lute benadrukte dat de wereld tegenwoordig zeer afhankelijk van het internet is. Tegenover deze afhankelijkheid staat dat veel bedrijven en websites de meest basale maatregelen om hun netwerken te beschermen niet volgen. "Niets dat je online doet is veilig", zo liet ze weten. Daarnaast vertelde ze dat geen enkel land internetveiligheid op dezelfde manier aanpakt en elk land zijn eigen unieke perspectief hierover heeft. Ook is het vertrouwen in overheden sinds de groei van internet aan het afnemen, waardoor het lastig is om overeenstemming te bereiken over de rol van de publieke sector.
7. Installeer waar nodig encryptie. In ieder geval op apparatuur dat het bedrijfspand kan verlaten.
Wie nog meer?
Internationaal is het overal terug te vinden.
Specifiek voor Nederland:
Het is benoemd bij de DNB als aanwijzing voor financiele instellingen. Het staat ook bij NCSC genoemd evenals vele andere technische details. Met overheidsorganen is het http://www.noraonline.nl/wiki/NORA_online en voor de medische wereld als https://www.nen7510.org/publicaties/3887.
De papieren tijger is erm alleen een klein detail in de praktische uitvoering.
Controles en gevolgen bij falen zijn er niet.
Als aanwijzing naar het het hogere management komt het niet ver, daar spelen andere belangen.
Vanuit de werkvloer wordt het alleen maar als lastig gezien en onnodig moeilijk.
Dat is nou juist het probleem. Er zijn geen veilige configuraties die 100% beschermen tegen 0 days. Met EMET hou je een hoop zooi tegen maar tegen in APT die EMET ingecalculeerd heeft als te omzeilen maatregel moet je nog veel extra zaken inregelen. Bovendien is het niet een kwestie van pure preventie, maar ook van snelle detectie na besmetting en goede afhandeling erna...
My two cents...
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
