Leer hoe systeemverhardingsmethoden kunnen helpen uw netwerken, hardware en waardevolle data te beschermen door uw totale bedreigingsprofiel te verkleinen.
Cyberbeveiliging is een van de populairste onderwerpen geworden in zowel de informatietechnologie- als de bedrijfswereld, maar het onderwerp kan nogal overweldigend lijken voor de gemiddelde bedrijfseigenaar of C-level executive. Cybersecurity is nu eenmaal een complexe aangelegenheid, en zelfs inzicht in een handvol geavanceerde beveiligingsprotocollen of een set conformiteitsnormen kan al een hele uitdaging zijn.
Gelukkig is cybersecurity een meerlaags raamwerk en kunnen we het beschermen van een organisatie voor een belangrijk deel al begrijpen door naar een van de lagen aan het oppervlak te kijken: systeemverharding. Systeemverharding legt het fundament voor een veilige IT-infrastructuur — vergelijkbaar met een ‘grote schoonmaak’ voorafgaan aan de introductie van meer geavanceerde tools en protocollen die samen een volledige beveiligingsstrategie vormen.
In dit bericht wordt het volgende besproken:
- Wat betekent systeemverharding?
- Waarom is systeemverharding belangrijk?
- Normen en best practices op het gebied van systeemverharding
- De vijf gebieden van systeemverharding
- Voorbeeld van een checklist voor systeemverharding
Waarom is systeemverharding belangrijk?
Systeemverharding verwijst naar de tools, methoden en best practices die worden ingezet ter verkleining van het aanvalsoppervlak in technologie-infrastructuur, inclusief software, datasystemen en hardware. Het doel van systeemverharding is om het totale ‘bedreigingsprofiel’ ofwel de kwetsbare delen van het systeem te verkleinen. Systeemverharding betreft een methodische aanpak van auditering, identificatie en herstel van mogelijke zwakke plekken in de beveiliging waar dan ook binnen een organisatie, vaak met nadruk op hett aanpassen van verschillende standaardinstellingen en -configuraties om deze veiliger te maken.
Bij systeemverharding is het doel om zoveel mogelijk beveiligingsrisico’s te elimineren. Als het aanvalsoppervlak tot een minimum wordt beperkt, hebben partijen met slechte bedoelingen minder toegangsmogelijkheden of potentiële houvasten om een cyberaanval in te kunnen zetten.
Het aanvalsoppervlak is gedefinieerd als een combinatie van alle mogelijke fouten en achterdeurtjes in technologie die benut zouden kunnen worden. Deze zwakke plekken omvatten doorgaans:
- Standaardwachtwoorden of -aanmeldingsgegevens die in toegankelijke bestanden zijn opgeslagen
- Ongepatchte software en firmware
- Ongecodeerde data
- Slecht geconfigureerde infrastructuurapparaten
- Het achterwege blijven van het correct instellen van gebruikersmachtigingen
- Onjuist ingestelde cyberbeveiligingstools
Wat zijn de voordelen van systeemverharding?
Het harden van systemen is een essentiële functie voor zowel beveiliging als compliance en een cruciaal onderdeel van een bredere informatiebeveiligingsstrategie. Het duidelijkste voordeel van systeemverharding is het verminderde risico van cyberaanvallen en bijbehorende downtime en boetes van regulerende instanties.
Vanuit een beveiligingsoogpunt is systeemverharding een belangrijke prioriteit voor/in combinatie met de implementatie van beveiligingsoplossingen zoals EDR-tools. Gebruik van dergelijke oplossingen op slecht geconfigureerde systemen is immers alsof men een huis voorziet van tralies en voor de ramen en beveiligingscamera’s, maar vervolgens de achterdeur open laat staan. Hoe geavanceerd de beveiligingstools ook zijn, een onverhard systeem zal waarschijnlijk nog steeds zwakke plekken hebben die het mogelijk maken deze maatregelen te omzeilen.
Systeemverharding moet gedurende de hele IT-levenscyclus in overweging worden genomen, vanaf de oorspronkelijke installatie, via configuratie en onderhoud tot aan dee voltooiing van de gebruikscyclus. Systeemverharding wordt ook geëist door alle vooraanstaande conformiteitsraamwerken, zoals PCI, DSS en HIPAA.
5 typen systeemverharding
Hoewel de definitie van systeemverharding voor de hele IT-infrastrcuuur van een organisatie van toepassing is, zijn er voor verschillende subsets van het concept verschillende benaderingen en tools nodig.
1) Netwerkverharding
Netwerkapparaten worden verhard ter bestrijding van niet-geautoriseerde toegang tot de infrastructuur van een netwerk. Bij dit type verharding worden zwakke plekken in apparaatbeheer en -configuraties opgespoord en gecorrigeerd om te voorkomen dat deze worden benut door partijen met kwade bedoelingen die toegang tot het netwerk willen krijgen. Steeds vaker maken hackers gebruik van zwakke plekken in netwerkapparaatconfiguraties en routeringsprotocollen om aanwezig te blijven in een netwerk in plaats van specifieke eindpunten aan te vallen.
2) Serververharding
Het hardeningproces van een server draait om het beveiligen van de gegevens, poorten, componenten, functies en rechten van een server. Deze protocollen worden systeembreed op de hardware-, firmware- en softwarelagen uitgevoerd.
3) Toepassingsverharding
Bij toepassingsverharding gaat het om software die op het netwerk is geïnstalleerd. Een belangrijk aspect van toepassingverharding — soms ook wel softwareverharding of softwaretoepassingsverharding genoemd — betreft het uitvoeren van patches en updates gericht op zwakke plekken. Patchbeheer via automatisering vormt vaak een belangrijke tool bij deze aanpak.
Toepassingsverharding omvat ook het bijwerken of herschrijven van toepassingscode voor verdere verbetering van de beveiliging ervan, of de implementatie van aanvullende op software gebaseerde beveiligingsoplossingen.
4) Databaseverharding
Databaseverharding draait om het terugdringen van zwakke plekken in digitale databases en databasebmanagementsystemen (DBMS). Het doel is verharding van data-archieven en van de software die wordt gebruikt voor interactie met die data.
5) Verharding van besturingssystemen
Bij verharding van besturingssystemen gaat het om het beveiligen van een algemeen doel van cyberaanvallen: het besturingssysteem van een server. Zoals ook bij andere typen software geldt, gaat het bij verharding van een besturingssysteem in het algemeen om patchbeheer waarbij updates, patches en servicepacks automatisch gemonitord en geïnstalleerd kunnen worden.
Wat zijn de best practices voor het harden van systemen?
Begin met het uitstippelen van uw aanpak van systeemverharding. Verharding van een volledig netwerk kan een nogal imponerende taak lijken, en daarom is het ontwikkelen van een strategie op basis van progressieve wijzigingen meestal de beste manier om het proces te beheren. Ken prioriteiten toe aan de risico’s die binnen uw technologisch ecosysteem zijn geïdentificeerd en pas een incrementele aanpak toe om de defecten in een logische volgorde onder handen te nemen.
Pak patchen en updaten onmiddellijk aan. Een geautomatiseerde en uitgebreide tool voor patchbeheer is essentieel voor het harden van systemen. Deze stap kan meestal heel snel worden uitgevoerd en zal een grote bijdrage leveren aan het afsluiten van potentiële instappunten.
Best practices voor netwerkverharding
- Ervoor zorgen dat uw firewall juist is geconfigureerd en dat alle regels regelmatig geauditeerd en waar nodig bijgewerkt worden.
- Externe-toegangspunten en gebruikers via externe toegang beveiligen
- Eventuele onnodige netwerkpoorten blokkeren
- Ongebruikte of overbodige protocollen en services uitschakelen en verwijderen
- Netwerkverkeer coderen
- Gratis resource: PowerShell-script voor het uitvoeren van externe poortscans van CyberDrain
Best practices voor serververharding
- Alle servers moeten zich in een veilig datacenter bevinden
- Servers verharden voordat deze met het internet of externe netwerken worden verbonden
- Installatie van onnodige software op een server vermijden
- Servers compartimenteren vanuit een beveiligingsperspectief
- Het principe van minste privilege toepassen bij het instellen van superuser- en beheerdersrollen
- Gratis resource: Checklist Endpoint Hardening
- Gratis resource: Checklist voor verharding van Windows Server van Netwrix
Best practices voor toepassingsverharding
- Onnodige componenten of functies verwijderen
- Toegang tot toepassingen beperken op basis van gebruikersrollen en context
- Standaardwachtwoorden verwijderen of opnieuw instellen
- Software-integraties auditeren en onnodige integraties of privileges verwijderen
- Gratis resource: Gids over verharding van Microsoft Office 365 van het Australian Cyber Security Centre
Best practices voor databaseverharding
- Toegangsbeheer en machtigingen gebruiken om te beperken wat gebruikers in een database kunnen doen
- Ongebruikte accounts verwijderen
- Node-controle voor gebruikersverificatie inschakelen
- Data tijdens overdracht en in rust coderen
- Beveiligde wachtwoorden afdwingen
Best practices voor verharding van besturingssystemen
- Een patchbeheertool gebruiken om updates en patches van besturingssystemen automatisch toe te passen
- Onnodige stuurprogramma’s, software en services verwijderen
- Lokale opslag coderen
- Register- en andere systeemmachtigingen beperken
- Significante activiteiten, fouten en waarschuwingen vastleggen
- Gratis resource: Beheer van BitLocker-schijfcodering via externe toegang
- Gratis resource: Spiekbriefje voor Windows-logs
Naast het bovenstaande moet bovendien worden benadrukt dat het opsporen en verwijderen van onnodige accounts en privileges binnen heel uw IT-infrastructuur cruciaal is voor effectieve systeemverharding.
En in geval van twijfel: CIS. Alle vooraanstaande conformiteitsraamwerken, inclusief PCI-DSS en HIPAA, verwijzen naar CIS Benchmarks als alom aanvaarde best practice. Als uw organisatie conform een of meer raamwerken moet blijven, is inachtneming van CIS Benchmarks dus vereist. Leer meer over CIS Benchmarks en CIS Controls.
Voorbeeld van een checklist voor systeemverharding
Netwerkverharding
- Firewallconfiguratie
- Regelmatige netwerkauditering
- Gebruikers beperken en toegangspunten beveiligen
- Ongebruikte netwerkpoorten blokkeren
- Netwerkverkeer coderen
- Geen anonieme toegang toestaan
Serververharding
- Beheerstoegang en -rechten evalueren en toewijzen (minste privilege)
- Servers bevinden zich in een beveiligd datacenter
- Het in gang zetten van uitschakeling zonder verificatie niet toestaan
- Onnodige software verwijderen
Toepassingsverharding
- Toepassingstoegangsbeheer instellen
- Patchbeheer automatiseren
- Standaardwachtwoorden verwijderen
- Best practices voor hygiëne van wachtwoorden implementeren
- Beleid voor accountvergrendeling configureren
Databaseverharding
- Beheerdersbeperkingen bij toegang implementeren
- Data tijdens overdracht en in rust coderen
- Nodeherstel inschakelen
- Ongebruikte accounts verwijderen
Verharding van besturingssystemen
- Pas noodzakelijke updates en patches automatisch toe
- Onnodige bestanden, bibliotheken, stuurprogramma’s en functionaliteit verwijderen
- Alle activiteiten, fouten en waarschuwingen vastleggen
- Gebruikersmachtigingen en groepsbeleid instellen
- Bestandssysteem- en registermachtigingen configureren
→ Verbeter uw IT security door NinjaOne’s Endpoint Hardening Checklist te downloaden
Hoe kan NinjaOne helpen?
NinjaOne is een krachtig, gebruiksvriendelijk platform voor bewaking en beheer op afstand dat één enkel overzicht biedt van alle eindpunten binnen een organisatie, en alle tools die IT-teams nodig hebben om de levering te verbeteren. Ons platform vereenvoudigt en automatiseert het dagelijks werk van managed service providers en IT-professionals, zodat die op complexe, meerwaarde biedende services, op de relatie met eindgebruikers en op strategische projecten kunnen focussen.
- Van maand tot maand: geen langetermijncontracten
- Flexibele prijzen per apparaat
- Gratis onbeperkte onboarding
- Gratis onbeperkte training
- De nummer 1 op het gebied van support