De opmars van Bring Your Own Device die een paar jaar geleden startte maakte een gedegen endpoint-beveiliging belangrijk. Het massale thuiswerken heeft zowel BYOD als de belangstelling van cybercriminelen voor endpoints versterkt. Het inrichten en monitoren van een goede endpoint-beveiliging biedt kansen voor MSP’s.
Bij het thuis- of hybride werken én bij BYOD gaat het, vanuit een security-perspectief bekeken, in essentie om het gebruik van endpoints. Slechts één gestolen of kwetsbaar apparaat kan criminelen toegang tot het complete netwerk verschaffen, gevoelige gegevens blootleggen en de gehele infrastructuur in gevaar brengen. Dit heeft voor de organisatie mogelijk grote financiële consequenties, nog afgezien van reputatieschade.
Daar staat tegenover dat de massale omarming van cloud- en saas-diensten ertoe leidt dat aanvallen eigenlijk pas op het endpoint van de gebruikers daadwerkelijk zichtbaar worden. Dit biedt kansen voor Managed Service Providers die inzetten op het monitoren van de klantomgeving om zo cyberincidenten te voorkomen.
Elf tips voor MSP’s die endpoints van hun klant optimaal willen beveiligen
- 1. Installeer Mobile Device Management op alle devices die werknemers gebruiken. Leg dit vast in een BYOD-overeenkomst als (ook) op privé-devices wordt gewerkt.
- 2. Separeer. Zorg ervoor dat privé-data en zakelijke informatie op elk device gescheiden is. Dus ook op de zakelijke toestellen. Het is immers simpelweg niet te voorkomen dat zakelijke devices ook privé worden gebruikt.
- 3. Beveilig de endpoints adequaat. Dat gaat verder dan alleen de combinatie gebruikersnaam-wachtwoord. Denk bijvoorbeeld aan FIDO (Fast IDentity Online) , in de vorm van hardwaretokens in combinatie met een pincode, of biometrische beveiliging.
- 4. Versleutel de data op de endpoints. Vergeet daarbij niet dat printers, scanners en point-of-sales-apparatuur (zoals kassasystemen) ook endpoints zijn die veel gegevens verwerken, soms ook (tijdelijk) opslaan en een connectie hebben met het netwerk. Ook via deze devices kunnen criminelen toegang krijgen tot de bedrijfsomgeving. Encryptie is een belangrijke drempel die voorkomt dat data in verkeerde handen terechtkomen bij aanvallen, verlies of diefstal van het device. Veel encryptie-oplossingen integreren naadloos met Windows en MacOS.
- 5. In het verlengde daarvan: let op details. Een niet-versleutelde draadloze muis is tot op 180 meter te hacken en vormt daarmee een groter risico dan je zou verwachten. Raad klanten dus een muis met versleuteling aan en verkoop pc’s of laptops die geen USB-dongle nodig hebben.
6. Beperk de impact van phishing-gerelateerde datalekken. Ga er dus in zekere zin van uit dat de organisatie vroeg of laat te maken krijgt met phishing. Aanvallers zijn steeds inventiever in hun mailtjes aan medewerkers en toeleveranciers van bedrijven. Voorzie de apparatuur van jouw klanten daarom van een sandbox-omgeving waar medewerkers na het klikken op een misleidende link ‘landen’. Op dezelfde manier kunnen zij ook PDF’s en Office-documenten (relatief) veilig openen. - 7. Vergroot het cyberbewustzijn binnen de klantorganisatie. Er zijn trainingen van leveranciers die je als MSP kunt leveren aan eindgebruikersorganisaties. Het platform van KnowBe4 is een goed voorbeeld.
-
Vergroot het cyberbewustzijn bij de eindgebruikersorganisatie die BYOD toestaat
- 8. Blokkeer schermen voor ongewenste meekijkers. Ook beeldschermen met daarop privacygevoelige informatie vormen een risico. Zeker in publiekelijk toegankelijke ruimtes –en dat hoeft niet meteen een dokterspraktijk te zijn. Als medewerkers van een organisatie op het vliegveld of in de trein werken is een beeldscherm ook voor meerdere mensen te zien. De eindklanten denken er vaak niet aan, maar er zijn simpele applicaties op de markt die bij inschakeling zorgen voor een soort privacy-modus op het beeldscherm. Die verkleint de inkijkhoek sterk en beschermt zo de privacy van betrokkenen en de bedrijfsgegevens van de onderneming.
- 9. Zet in op het gebruik van multifactor-authenticatie. Accountgegevens zijn al decennia belangrijke targets voor cybercriminelen. Hiermee krijgen zij toegang tot endpoints, en dus tot het netwerk en de data van een onderneming. Multifactor-authenticatie maakt dit een stuk lastiger voor kwaadwillenden. Dat kan in de vorm van FIDO (hardwarematig) of door het verzenden van codes per SMS. De combinatie met Single Sign-On (SSO) maakt multifactor-authenticatie minder belastend voor de gebruiker.
- 10. Verzorg voor de klant het correct verwijderen van afgedankte apparaten. Dit aspect wordt nogal vaak vergeten. Let erop dat jouw klantorganisaties oude laptops en tablets niet zomaar tijdens het jaarlijkse Sinterklaasfeest weggeven, of afgedankte pc’s verloot. Afgeschreven apparaten kunnen namelijk nog veel privacygevoelige data bevatten. Bied zelf aan de toestellen leeg te maken, of werk samen met een gespecialiseerde partner.
- 11. Zorg ervoor dat devices zichtbaar zijn zodra ze connectoren met het netwerk van de klant. Er bestaan applicaties die daarbij meteen monitoren om welke hardware het gaat en of zowel de devices als de applicaties up to date zijn.
Security 2.0-model nodig bij BYOD
Een feit blijft dat de privéapparatuur van de werknemers niet volledig geïntegreerd is in de ‘basis-IT’ van een bedrijf. En dat de bedrijfstoestellen, ook binnen de muren van de organisatie, steeds vaker ook privé gebruikt worden. Dat maakt een overkoepelend beheer noodzakelijk, volgens een Security 2.0 model.
Door de security van de klant als MSP holistisch in te vullen, wordt de beveiliging niet alleen vanuit technisch oogpunt, maar ook vanuit het perspectief van de gebruiker geoptimaliseerd. Zeker bij het vaststellen van rechten en plichten bij BYOD mogen we de gebruiker niet vergeten. Het device is immers zijn eigendom.
Het is daarom van groot belang dat je als MSP jouw klanten helpt bij het opstellen van een beveiligings- en compliancecode. Die moet niet alleen gedragsregels op het gebied van gegevensbescherming adresseren, maar nadrukkelijk ook de manier waarop de organisatie het optimaal functioneren van privé-devices waarborgt. In dit artikel lees je meer over de juridische aspecten van BYOD.
Een MSSP gaat verder
In feite kan bijna elke MSP bovenstaande diensten leveren. Of klanten op beveiligingsaspecten wijzen. Een Managed Security Service Provider (MSSP) zal nog een paar stappen verder kunnen gaan. Met een Security Operations Center (SOC) en managed security services kan die dienstverlener ook sectorspecifieke dreigingsinformatie leveren aan zijn klanten. En direct op die dreigingen reageren om de impact en benodigde tegenmaatregelen steeds actueel te houden.
Mobiele endpoints belangrijke targets
Wereldwijd verdubbelde het aantal mobiele devices dat cybercriminelen met malware wisten te infecteren afgelopen jaar. Concreet steeg dat aantal van 3% in 2020 naar 6% in 2021. Ruim een derde (36%) van de bedrijven ontdekte in 2021 aanwijzingen voor kwaadaardig netwerkverkeer op een remote device. Dit blijkt uit onderzoek van Jamf. Zorgelijk is daarbij dat vier op de tien organisaties (39%) het gebruik van devices met bekende kwetsbaarheden bleef toestaan. Dit zonder de toegang tot gevoelige data te beperken. In 2020 goldt nog voor drie op de tien organisaties (28%).
Onveilige verbinding met de cloud
Van de gecompromitteerde zakelijke devices werden in 2021 7% nog steeds gebruikt om verbinding te maken met een opslagdienst in de cloud, zoals OneDrive, Google Drive en Dropbox. Een kwart van deze devices (25%) maakte verbinding met e-maildiensten in de cloud zoals Gmail en/of Outlook. Wanneer we devices meetellen met een potentieel riskante configuratie (bijvoorbeeld doordat patches niet zijn uitgevoerd), dan stijgen deze aantallen tot respectievelijk 9% en maar liefst 48%.
