Continue bewaking van jouw netwerkinfrastructuur door Qbit

Hoe groot of klein je organisatie ook is; de kans is groot dat je voor je werk veel gebruikmaakt van het internet en/of een intern netwerk. Hier vindt een eindeloze uitwisseling van (privacygevoelige) informatie plaats. In dat geval is het een fijne gedachte dat er ‘iemand’ is die in de gaten houdt of alle gegevens die je intern en extern deelt goed beschermd zijn en of al je systemen naar behoren werken. Daarom is er de Qbit Security Monitor. Deze security monitor bestaat uit verschillende modules die we in dit blog toelichten. Daarnaast geven we voorbeelden van kwetsbaarheden en risico’s die in de systemen van jouw organisatie kunnen voorkomen.

Geplaatst op 17 juni 2020 in Blog.

Passieve en actieve scanners

Allereerst is het goed om te weten dat we voor onze security monitor dienst gebruikmaken van verschillende scanners. De één scant je webapplicaties op kwetsbaarheden, de ander controleert al je netwerkverkeer, weer een ander houdt je servers in de gaten - en zo zijn er nog veel meer. Deze verschillende (virtuele) scanners kun je indelen in twee verschillende categorieën: passieve en actieve. Voor het monitoren van bijvoorbeeld het netwerkverkeer gebruiken we een passieve scanner. Deze installeren we in je netwerk waarna jij niets meer hoeft te doen. Je kunt ‘m vergelijken met een agent die op een afstandje in de gaten houdt wat er op straat gebeurt en die ingrijpt als dat nodig is. Zo kijkt de scanner naar dat wat je via je netwerk verstuurt en met welke applicatie je dat doet. Hij ziet bijvoorbeeld dat je een e-mail via Outlook verstuurt en welke versie van dit mailprogramma je gebruikt.

Een actieve scan kun je vergelijken met een agent die zonder directe aanleiding op je afstapt en vraagt wat er in je rugzak zit. Dit type scanner bekijkt niet het netwerkverkeer, maar controleert computers en losse systemen, zoals pc’s en databases, op kwetsbaarheden. Ook deze scanners installeren we voor je, maar zetten we, in tegenstelling tot de passieve scanner, met een bepaald interval aan het werk; bijvoorbeeld wekelijks op zondag. De reden dat we aanraden deze scans in het weekend of ‘s avond uit te voeren, is dat je medewerkers overdag en doordeweeks ook informatie opvragen van de computer of het systeem. Als je op dat moment ook de scanner aan het werk zet om te controleren op kwetsbaarheden, kunnen de computers en/of systemen overbelast raken.

De verschillende Qbit Security Monitor modules

Kortom, onze security monitor bestaat uit verschillende type scans die allemaal een ander component van je netwerkinfrastructuur controleren. Die verschillende scans vallen bij Qbit onder drie aparte modules: de network security, de application security en de network monitoring module. Bij de network security module gebruiken we een actieve scan die kwetsbaarheden of misconfiguraties identificeert in alle losse systemen en computers die jouw organisatie gebruikt, zoals servers, routers, pc’s en firewalls. Zo kan de scan ontdekken dat je bepaalde systeemupdates gemist hebt of dat de versie die je gebruikt een bug bevat, die een potentiële ingang is voor een hacker.

Met de application security module scannen we al je webapplicaties. Denk hierbij aan je intranet, je loonadministratieprogramma of gewoon je eigen website. De (actieve) scanner identificeert en rapporteert bekende beveiligingsproblemen binnen dit soort webapplicaties. Een veelvoorkomend probleem is ‘cross site scripting’ (XSS). In dat geval plaatst een hacker, bijvoorbeeld, een code in het contactformulier op jouw website, waarmee hij de gegevens van jouw potentiële klanten op zijn computer binnenhaalt.

Tot slot gebruiken we een passieve scanner voor de network monitoring module die continu je netwerkverkeer in de gaten houdt en aan de bel trekt zodra hij een afwijking detecteert. Zo hebben grote bedrijven verschillende netwerken waarop verschillende systemen of programma’s draaien. Onze scanner houdt in de gaten of het internetverkeer daadwerkelijk via het juiste netwerk gaat en geeft een seintje zodra dat niet het geval is. Denk bijvoorbeeld aan een groot ziekenhuis die veel privacygevoelige patiëntgegevens verwerkt. Voor zo’n organisatie is het verstandig om een apart netwerk te gebruiken voor het patiëntenportaal en ziekenhuisapparatuur en één voor ander internetverkeer, bijvoorbeeld een apart netwerk waarop personeel gebruikmaakt van WhatsApp. Zo zorg je ervoor dat je kritieke systemen of apparatuur niet blootstelt aan bedreigingen, zoals malware dat via telefoons of laptops het netwerk kan infecteren.

Voorbeelden van kwetsbaarheden

Om bovenstaande te concretiseren, geven we afsluitend een aantal voorbeelden van kwetsbaarheden die we vaak tegenkomen en wat wij dan adviseren:

  • Outdated software zoals een oude versie van Windows of Chrome kan kwetsbaarheden bevatten. Uiteraard bevelen wij in dit geval een softwareupdate aan, maar in sommige gevallen is dit niet mogelijk. Soms is een oude versie van een applicatie nodig om bepaalde processen binnen een organisatie draaiende te houden. Denk aan hartmonitoren in het ziekenhuis of lopende banden in een fabriek. Die kun je niet een-twee-drie updaten. De specialisten van Qbit denken met je mee hoe je het gevaar van de kwetsbaarheid op een andere manier kunnen indammen.

  • Bekende kwetsbaarheden in applicaties zijn credential leaks. Denk aan gelekte wachtwoorden. We zien dit vaak bij oude services zoals Telnet, waarmee je op afstand op een machine kunt inloggen om ‘m te besturen. Wij adviseren om dergelijke oude services uit te schakelen, vooral als die verbonden zijn met het internet. In plaats van Telnet adviseren we om bijvoorbeeld een VPN in combinatie met Secure Shell (SSH) te gebruiken. SSH is een netwerkprotocol dat met behulp van cryptografische versleuteling van gegevens, veilige communicatie mogelijk maakt tussen twee computers.

  • Zwakkere vormen van encryptie - oftewel; een minder goede versleuteling van gegevens die je uitwisselt door middel van netwerkprotocollen. Een netwerkprotocol is een computervoorschrift waarin staat beschreven hoe informatie van de ene computer naar de andere moet worden verstuurd. Het is dus een techniek om computers met elkaar te verbinden in een netwerk. Wanneer we zwakkere vormen van encryptie tegenkomen, zoals SSL3.0 en TLS1.0, adviseren wij om die uit te schakelen en voor de nieuwere versie TLS1.2 of 1.3 te gaan.

Je leest: er komt nogal wat kijken bij de bewaking van de netwerkinfrastructuur van jouw organisatie. Wil jij up-to-date blijven over het beveiligingsniveau van je organisatie, zodat jij onbezorgd kunt ondernemen en je medewerkers of collega’s prettig kunnen werken? Neem dan gerust contact met ons op. Onze experts kijken wat jouw organisatie nodig heeft en passen de security monitor dienst daarop aan.

Martin Knol

By Martin Knol

Hacking & Testing

Heb je vragen over deze blog of onze diensten? E-mail me of bel me op +31 85 8 222 800.

Contact

Wereldwijd groeit de vraag naar cybersecurity. Qbit biedt inzicht en laat zien hoe we als partners kunnen samenwerken.

Contact ons

Newsletter