Beveiliging

10 minuten

Zorgorganisaties slaan persoonlijke en mogelijk gevoelige klantgegevens op. Financiële instellingen slaan rekeningnummers, saldo's en transactiegeschiedenissen op. Retailers slaan aankoopgeschiedenis, accountgegevens en demografische gegevens van klanten op. Door een beveiligingsincident zouden deze gevoelige gegevens openbaargemaakt kunnen worden, wat klanten in verlegenheid kan brengen of financiële schade met zich kan meebrengen. Hoe zorgt u voor de integriteit van de gegevens van uw klant en zorgt u ervoor dat uw systemen veilig zijn?

In deze les leert u meer over de belangrijke elementen van de beveiligingspijler.

Wat is beveiliging?

Beveiliging is uiteindelijk het beveiligen van de gegevens die uw organisatie gebruikt, opslaat en verzendt. De gegevens die uw organisatie opslaat of verwerkt, moeten goed worden beveiligd. Deze gegevens omvatten mogelijk gevoelige gegevens over klanten, financiële gegevens over uw organisatie of kritieke line-of-business-gegevens ter ondersteuning van uw organisatie. Het beveiligen van de infrastructuur waarop de gegevens bestaan, samen met de identiteiten die worden gebruikt om deze te openen, is ook van cruciaal belang.

Uw gegevens kunnen onderhevig zijn aan strengere wettelijke en wettelijke vereisten. Deze extra vereisten zijn afhankelijk van waar u zich bevindt, het type gegevens dat u opslaat of de branche waarin uw toepassing werkt.

Zo geldt voor de gezondheidszorg in de Verenigde Staten bijvoorbeeld een wet die HIPAA (Health Insurance Portability and Accountability Act) wordt genoemd. In de financiële sector wordt voor de verwerking van creditcardgegevens de Payment Card Industry Data Security Standard oftewel de standaard voor de betaalkaartenbranche en gegevensbeveiliging toegepast. Organisaties die gegevens opslaan waarop deze wetten en standaarden van toepassing zijn, moeten ervoor zorgen dat bepaalde waarborgen gelden voor de bescherming van die gegevens. In Europa worden in de AVG (Algemene Verordening Gegevensbescherming), in het Engels de GDPR (General Data Protection Regulation) geheten, regels voor de bescherming van persoonsgegevens voorgeschreven en de rechten van personen met betrekking tot opgeslagen gegevens vastgelegd. Sommige landen/regio's vereisen dat bepaalde typen gegevens hun grenzen niet verlaten.

Wanneer er een beveiligingsschending optreedt, kan dit een aanzienlijk effect hebben op de financiën en reputatie van zowel organisaties als klanten. Een beveiligingsschending breekt het vertrouwen af dat klanten bereid zijn om in te voeren in uw organisatie en kunnen de status van de organisatie op de lange termijn beïnvloeden.

Diepgaande verdediging

Een meerlaagse benadering voor het beveiligen van uw omgeving verhoogt het beveiligingspostuur. Deze beveiliging is algemeen bekend als diepgaande verdediging. We kunnen deze in de volgende lagen opdelen:

Gegevens
Toepassingen
VM/compute
Netwerken
Perimeter
Beleid en toegang
Fysieke beveiliging

Elke laag richt zich op een ander gebied waar aanvallen kunnen plaatsvinden en creëert een diepte van beveiliging als één laag uitvalt of een aanvaller deze omzeilt. Als u zich op slechts één laag zou richten, zou een aanvaller ongehinderd toegang hebben tot uw omgeving als ze via deze laag zijn gekomen.

Door beveiliging aan te pakken in lagen zorgt u ervoor dat een aanvaller veel beter zijn best moet doen om toegang te krijgen tot uw systemen en gegevens. Elke laag heeft verschillende beveiligingscontroles, technologieën en mogelijkheden die van toepassing zijn. Wanneer u bepaalt welke beveiligingsmaatregelen moeten worden genomen, is het vaak belangrijk wat het gaat kosten. U moet kosten in balans houden met de bedrijfsvereisten en het totale risico voor het bedrijf.

An illustration that shows defense in depth with data at the center. The rings of security around data are: application, compute, network, perimeter, identity and access, and physical security.

Geen enkel beveiligingssysteem, besturingselement of technologie beschermt uw architectuur volledig. Beveiliging is meer dan technologie alleen. Het gaat ook over mensen en processen. Het maken van een omgeving die holistisch kijkt naar beveiliging en maakt het standaard een vereiste om ervoor te zorgen dat uw organisatie zo veilig mogelijk is.

Beveiligen tegen veelvoorkomende aanvallen

Bij elke laag zijn er enkele veelvoorkomende aanvallen die u wilt beveiligen. De volgende lijst is niet uitputtend, maar geeft een indruk hoe elke laag kan worden aangevallen en welke soorten beveiliging u waarschijnlijk nodig hebt.

Gegevenslaag: het beschikbaar maken van een versleutelingssleutel of het gebruik van zwakke versleuteling kan uw gegevens kwetsbaar maken als onbevoegde toegang plaatsvindt.
Toepassingslaag: schadelijke code binnenbrengen en uitvoeren zijn kenmerkende aanvallen in de toepassingslaag. Veelvoorkomende aanvallen zijn SQL-injectie en XSS (cross-site scripting).
VM-/computelaag: schadelijke software is een veelgebruikte methode om een omgeving aan te vallen. Hierbij wordt schadelijke code uitgevoerd om in te breken in een systeem. Nadat malware op een systeem aanwezig is, kunnen verdere aanvallen optreden die leiden tot blootstelling van referenties en laterale verplaatsing in de hele omgeving.
Netwerklaag: Het gebruik van onnodige open poorten op internet is een veelvoorkomende aanvalsmethode. Open poorten kunnen ook het verlaten van de SSH- of RDP-protocollen omvatten die openstaan voor virtuele machines. Als deze protocollen openstaan, kunnen uw systemen met brute kracht worden aangevallen terwijl de aanvallers proberen toegang te krijgen.
Perimeterlaag: DoS-aanvallen (Denial of Service) vinden vaak plaats op deze laag. Via deze aanvallen wordt geprobeerd netwerkbronnen te overstelpen, waardoor ze offline gaan of niet meer kunnen reageren op legitieme aanvragen.
Beleid en toegangslaag: in deze laag vindt verificatie plaats voor uw toepassing. Deze laag omvat bijvoorbeeld moderne verificatieprotocollen, zoals OpenID Connect, OAuth of verificatie op basis van Kerberos, zoals Active Directory. Op deze laag bestaat het risico dat aanvallers toegang krijgen tot aanmeldingsgegevens en het is belangrijk de machtigingen van identiteiten te beperken. U wilt ook bewaking hebben om te zoeken naar mogelijke gecompromitteerde accounts, zoals aanmeldingen die afkomstig zijn van ongebruikelijke locaties.
Fysieke laag: Onbevoegde toegang tot faciliteiten via methoden, zoals het opstellen van deuren en diefstal van beveiligingsbadges, kan op deze laag plaatsvinden.

Beveiliging met gedeelde verantwoordelijkheid

Als we het model van gedeelde verantwoordelijkheid opnieuw bekijken, kunnen we dit model herframeen in de context van beveiliging. Afhankelijk van het type service dat u selecteert, worden sommige beveiligingsbeveiligingen ingebouwd in de service, terwijl andere uw verantwoordelijkheid blijven. Zorgvuldige evaluatie van de services en technologieën die u selecteert, om ervoor te zorgen dat u de juiste beveiligingscontroles voor uw architectuur levert.

An illustration that shows how cloud providers and customers share security responsibilities under different types of cloud service models: on-premises, infrastructure as a service, platform as a service, and software as a service.

Test uw kennis

Voor welke van de volgende typen gegevens moeten mogelijk beveiligingsmaatregelen worden getroffen?

Klantgegevens die persoonlijke gegevens bevatten.

Financiële gegevens die bedrijfsactiviteiten ondersteunen.

Intellectueel eigendom.

Al deze typen gegevens hebben mogelijk beveiligingsbeveiliging nodig.

Welke van de volgende voorbeelden is een aanval die u kunt zien in de beleid- en toegangslaag?

Weergegeven referenties die online zijn geplaatst.

Een SYN-overstromingsaanval.

Een werknemer in een datacenter volgen zonder referenties te presenteren.

Ransomware waarmee de schijven van een virtuele machine worden versleuteld.