Categorie op Security

Ransomware-bescherming is niet alleen voor jezelf

Bedrijven en organisaties zien bijna dagelijks de bedrijfsvoering na weer een succesvolle aanval vastlopen en ondervinden daardoor grote financiële schade. Het is daarom van belang dat elke organisatie werk maakt van goede bescherming, niet alleen voor zichzelf maar ook voor anderen. Door gezamenlijk op te trekken tegen cybercrime is het verdienmodel van criminelen aan te pakken.

Waar in het verleden grote organisaties en bedrijven het slachtoffer van ransomware waren, zijn het daarnaast nu steeds vaker de middelgrote bedrijven die succesvol worden aangevallen. Grote organisaties lijken meer te investeren in voorzorgsmaatregelen, zoals goede backups waarmee zij in het geval van een succesvolle aanval de belangrijkste negatieve gevolgen van een aanval redelijk kunnen beperken. Dat lijkt bij middelgrote en kleine organisaties minder hoog op de agenda te staan.

Double extortion

We zien dat double extortion een belangrijke trend is. Hackers richten zich niet meer alleen op een slachtoffer maar proberen via een ingang of endpoints netwerken binnen te dringen en vandaar zich te verspreiden naar andere systemen binnen de infrastructuur. Op deze manier proberen zij tot zoveel mogelijk systemen toegang te krijgen. Voordat ze deze systemen op slot gooien, worden alle data gedownload en gezocht naar de meest gevoelige data. Mocht een bedrijf over goede backups beschikken, dan zullen hackers niet om geld vragen voor toegang tot de systemen maar dreigen ze met het publiceren van gevoelige data om zo een geldbedrag af te dwingen.

Lees hier verder. © Computable

16 wachtwoordmanagers getest: welke is de beste?

Een wachtwoordmanager is een digitale kluis die je gebruikersnamen en wachtwoorden van onlinediensten veilig bewaart, net als betaalgegevens en persoonlijke notities. De inhoud van de kluis moet ondanks de strenge beveiliging gemakkelijk te gebruiken zijn. Bijvoorbeeld doordat de wachtwoordmanager inloggegevens automatisch invult. De kluis zelf is daarbij het liefst toegankelijk vanaf meerdere apparaten via internet of een goede app. Wij testen zestien wachtwoordmanagers op functionaliteit, gebruiksgemak én prijs en kijken welke onze goedkeuring krijgen.

Laten we eerlijk zijn, er is weinig zo vervelend als inloggen. Zeker wanneer voor iedere website of onlinedienst een apart wachtwoord is gemaakt dat voldoet aan het beveiligingsadvies om toch maar lange en complexe wachtwoorden te gebruiken. Begrip voor iedereen die overal hetzelfde korte wachtwoord gebruikt, neemt dan al snel toe. Toch zijn eenvoudige wachtwoorden net als hergebruik niet aan te raden. Lekt het wachtwoord uit, dan is geen enkel account nog veilig. Het repareren van zo’n datalek is, als het al nog mogelijk is, een helse klus. Een betere oplossing voor de spagaat tussen irritatie en veiligheid, is het gebruik van een wachtwoordmanager. Dat is een applicatie of webdienst die jouw wachtwoorden en gebruikersnamen veilig bewaart in een versleutelde database, net als bijvoorbeeld betaalgegevens en persoonlijke documenten zoals je paspoort en rijbewijs en notities. De toegang tot de versleutelde database wordt afgeschermd met een hoofdwachtwoord. Omdat dat het enige wachtwoord is dat je nog hoeft te onthouden, mag dat best lang en complex zijn.

Met een wachtwoordmanager is één wachtwoord genoeg om toegang te krijgen tot al je opgeslagen wachtwoorden in de kluis.

Lees hier verder. © Computer Totaal

Neem de controle op encryptiesleutels in eigen hand

Het gebruik van (verschillende) clouddiensten heeft het voeren van een goed digitaal securitybeleid nog belangrijker gemaakt. Encryptie en versleuteling van zijn daarvoor essentieel, maar dat ook dat je een goed uitgedacht beheer van de verschillende encryptiesleutels nodig hebt.

Het beheer van encryptiesleutels is een essentieel onderdeel van een goed security-beleid. Het gaat om het aanmaken, beheren en opslaan van sleutels die medewerkers in staat stellen beschermde informatie te ontsluiten en toegang te krijgen tot die gegevens. In de praktijk wordt dit aspect vaak over het hoofd gezien, en dat brengt de integriteit van encryptie in gevaar. Wat heb je immers aan het versleutelen van informatie als je niet zorgvuldig omgaat met de sleutels? Deze vraag wordt echt belangrijk nu veel organisaties grote delen van hun infrastructuur in de cloud hebben staan.

Dag na dag neemt het aantal organisaties dat bedrijfskritische data en business-applicaties naar de cloud migreert toe. De ambities zijn duidelijk: operationele flexibiliteit, kosten-efficiency en snel kunnen opschalen. Daarbij kiezen ze in toenemende mate voor verschillende Cloud Service Providers (CSP’s) om een nadelige vendor lock-in te voorkomen. We zien dan ook een multi-cloud omgeving ontstaan waarin ruimte is voor diensten van zowel Azure, als AWS, Google Cloud Platform en Alibaba Cloud (om maar een paar grote partijen te noemen).

Verantwoordelijkheid en aansprakelijkheid

Lees hier verder. © Emerce

Ons wacht (eindelijk) een wachtwoordvrije toekomst

Traditionele authenticatie met een gebruikersnaam en wachtwoord is al jaren de basis van digitale identiteit en veiligheid. Toch zijn er al decennialang problemen met wachtwoorden. Dat geldt niet alleen voor individuen, maar vooral ook voor bedrijven.

Nog altijd zijn simpele wachtwoorden een zwakke schakel in de beveiligingsketen. Want met één gestolen wachtwoord van een werknemer verschaft een cybercrimineel zich eenvoudig toegang tot de bedrijfsinfrastructuur en gevoelige gegevens.

Toch vindt ongeveer de helft van de Nederlanders een uniek wachtwoord voor al hun accounts en apparaten te veel gedoe. Dit blijkt uit onderzoek van I&O Research dat in opdracht van het ministerie van Economische Zaken werd uitgevoerd onder iets meer dan duizend Nederlanders.

We maken slechte wachtwoorden aan, die over het algemeen gemakkelijk geraden worden. Denk aan namen, geboortedatums en gebruikelijke combinaties zoals ‘1234’ en ‘welkom123’. De beste wachtwoorden zijn lange en willekeurige combinaties van letters (hoofd- en kleine letters!), cijfers en leestekens. Om die reden leggen we een lijstje aan met alle inloggegevens die we hebben. Vaak gebeurt dat in een simpel Word-bestand. Dat is ten zeerste af te raden. Bijna alle malware scant documenten op interessante data, inloggegevens zijn dan absoluut niet veilig. Daarnaast gebruiken we ook vaak hetzelfde wachtwoord voor meerdere diensten. Gezien ons leven zich steeds vaker digitaal afspeelt, is dit niet verstandig. Het wordt daarom tijd om te kijken naar gebruiksvriendelijke alternatieven en anders over wachtwoorden te gaan denken.

Alternatieven

Er zijn vele nieuwe mogelijkheden om de wachtwoorddruk te doen afnemen. Wachtwoordmanagers zijn bijvoorbeeld een handig alternatief. Dit is een programma dat sterke wachtwoorden verzint en inloggegevens kan versleutelen, om deze vervolgens in een digitale kluis te bewaren. Het voordeel hiervan is dat inloggegevens altijd en overal zijn op te roepen. Een nadeel is dat gebruikers volkomen afhankelijk zijn van de betrouwbaarheid van de service. Het kopen, installeren en beheren van nog een extra softwareprogramma kan een hindernis zijn, en het gebruik ervan tussen verschillende apps en apparaten verloopt meestal nog niet helemaal naadloos.

Voor organisaties bestaat er een betere oplossing, namelijk het inzetten van een single sign-on (sso)-oplossing. Dit heeft alle voordelen van een wachtwoordmanager en maakt het leven een stuk eenvoudiger. Gebruikers hoeven geen meerdere wachtwoorden te onthouden en in te voeren. Daarnaast is het niet meer nodig om vergeten wachtwoorden te resetten. Bovendien maken sso-oplossingen achter de schermen gebruik van moderne protocollen, zoals SAML 2.0 en OpenID Connect. Hierdoor hebben gebruiker ook voor verbindingen met moderne applicaties geen wachtwoorden meer nodig. Sso maakt het toevoegen van sterke multi-factorauthenticatie gemakkelijk en helpt toegang tot alle geïntegreerde applicaties te beschermen.

Vingerafdruk

Een andere mogelijkheid is biometrische authenticatie, waarmee gebruikers zichzelf kunnen identificeren via een vingerafdruk, irisscan of een gezichtsscan. Dat is heel veilig want alleen de gebruiker heeft toegang tot zijn vingerafdruk of oog. Zo bestaan er usb-sticks met een vingerafdruklezer waardoor het niet meer nodig is een wachtwoord in te stellen voor de sleutel. Biometrische beveiliging is al goed te combineren met andere beveiligingsoplossingen om digitale identificatie gebruiksvriendelijk te maken.

Een wat bekender alternatief is – het al genoemde – multi-factorauthenticatie. Deze methode is een stuk veiliger omdat naast een gebruikersnaam en wachtwoord ook nog een extra code ingevoerd moet worden die zich per login-sessie aanpast. Deze code is te verkrijgen via een speciaal apparaatje met afleesscherm of via een app. Op deze manier wordt inloggen een stuk veiliger, want zelfs als een wachtwoord onderschept wordt zal de cybercrimineel nog altijd in bezit moeten komen van de extra gegeneerde code om in te kunnen loggen.

Elimineren

Kortom, de technologische innovaties van de afgelopen tien jaar hebben organisaties een heel scala van nieuwe mogelijkheden gegeven om met identificatie om te gaan. Organisaties kunnen nu al verschillende methodes, zoals biometrie, combineren met traditionele methoden die veilig zijn om te gebruiken en zo inadequate methoden helemaal elimineren. Na jaren van valse voorspellingen is er eindelijk licht aan het einde van de tunnel van de wachtwoordvrije toekomst.

© Computable

Data in de cloud bij meerderheid bedrijven niet veilig

Ondanks het toenemende aantal cyberaanvallen waarbij gegevens worden buitgemaakt, versleutelt de overgrote meerderheid van de bedrijven niet alle gevoelige data die in de cloud worden opgeslagen. Terwijl in het afgelopen jaar maar liefst 44% van de Nederlandse bedrijven te maken heeft gehad met een datalek, lijken bijvoorbeeld klantgegevens min of meer voor het grijpen te liggen. Dat constateren onderzoekers van 451 Research in de Thales Global Cloud Security Study.

Het gebruik van opslag in de cloud is volgens de onderzoekers mede door de coronacrisis versneld toegenomen. Zij vroegen 2.600 zakelijke besluitvormers uit 16 landen, verantwoordelijk voor IT- en informatiebeveiliging, naar de stand van zaken op dit gebied.

Een meerderheid (57%) van de respondenten wereldwijd zegt gebruik te maken van twee of meer cloudproviders. Bijna een kwart (24%) zegt dat ze het overgrote deel van hun workloads en data in de cloud hebben ondergebracht. Dat betekent dat de cloud niet louter wordt gebruikt voor gegevensopslag, maar ook voor dataverwerking bij transacties en de ondersteuning van de dagelijkse bedrijfsvoering. Helaas is het met de beveiliging van die data en processen niet best gesteld.

Van alle bedrijven heeft 40% het afgelopen jaar te maken gehad met een datalek. In Nederland ging het zelfs om 44%. Als oplossing voor het beveiligen van data noemt 50% van de respondenten multi-factor authenticatie (MFA), waarbij voor toegang tot gegevens meer wordt gevraagd dan een gebruikersnaam en wachtwoord. Het onderzoek toont echter aan dat slechts 17% van de respondenten meer dan de helft van de data in de cloud werkelijk heeft versleuteld. Van de Nederlandse bedrijven is dit nog minder (14%). Dat terwijl voor 21% van de bedrijven geldt dat het merendeel van alle data die in de cloud worden opgeslagen, gevoelige data is.

Clouddiensten te ingewikkeld

Wanneer bedrijven hun data met encryptie beveiligen, laat 34% het beheer van de sleutels over aan dienstverleners in plaats van zelf de regie in handen te houden. Hoewel externe toegangspunten een risico kunnen vormen voor datalekken, geeft bijna de helft van de respondenten toe dat hun organisatie geen zero trust-strategie hanteert. Een kwart overweegt dit niet eens.

Een veel gegeven reden voor het uitbesteden van databeheer in de cloud is de toenemende complexiteit van clouddiensten. Bijna de helft (46%) van alle respondenten geeft aan dat het beheer van de privacy en gegevensbescherming in de cloud complexer is dan in omgevingen op locatie. Voor Nederlandse bedrijven geldt dat nog sterker (56%).

Betere beveiliging is noodzaak

Sebastien Cano, senior vice president Cloud Protection & Licensing Activities bij Thales: “Overal ter wereld worstelen organisaties met de groeiende complexiteit die gepaard gaat met het toenemende gebruik van cloudoplossingen. Een robuuste security-strategie is van essentieel belang om data en bedrijfsprocessen veilig te houden. Tegenwoordig is bijna elk bedrijf tot op zekere hoogte afhankelijk van de cloud. Daarom is het van cruciaal belang dat security-teams in staat zijn om alle data in kaart te brengen, te beschermen en er grip op te houden.”

© Customer Talk

© MeT-Groep