Netwerkbeveiliging is meestal de laatste plaats waar je even lekker gaat experimenteren. Omdat je bedrijfsdata en het bedrijfssysteem puur en veilig moet houden, ga je niet gauw rommelen met trucjes die juist beveiligingslekken kunnen opleveren.

Ondertussen blijven ICT-bedreigingen zich verder ontwikkelen, dus soms is het verstandig om creatief na te denken om snoodaards een stapje voor te blijven. En soms moet je een beetje gek doen.

De ICT-wereld is vaak behoorlijk conservatief. Bedenk een nieuwe methode om systemen te beveiligingen en je zult ongetwijfeld op weerstand stuiten. Soms moet je juist tegen de stroom inzwemmen. Door verstokt ICT-denken te omzeilen, boek je succes.

Daarom volgen hier tien ideeën die vaak genegeerd worden, maar die behoorlijk goed werken om bedrijfsgegevens uit handen van kwaadwillenden te houden. Bedrijven die deze tien gekke trucs toepassen malen niet om boe-roepers en kijken naar wat echt belangrijk is: goede resultaten.

1. Admin-accounts hernoemen

De naam van het administrator-account is vaak 'Administrator'. Een andere naam verzinnen, wordt vaak gezien als tijdverspilling. Deze misvatting wordt gezien als het overdreven toepassen van het security through obscurity-beginsel. Maar in de praktijk blijkt deze strategie te werken. Als een hacker niet weet hoe het hoofdaccount genoemd is, kan hij ook geen aanval op het wachtwoord uitvoeren.

In de hele geschiedenis van geautomatiseerde malware die het heeft voorzien op servers en werkplekken, heeft schadelijk software alleen maar gebruikgemaakt van standaardaccountnamen. Door van deze naamgeving af te stappen, ben je hackers en malwaremakers met één simpele zet voor. Daarbij is het stukken eenvoudiger om illegale inlogpogingen op het oude administrator-account te ontdekken als je deze zelf niet meer gebruikt.

2. Admin-accounts verwijderen

Weg met die overkoepelende accounts. Een groep of account met alle rechten - denk aan domain admin, enterprise admin, etc. - vormt een potentieel beveiligingsrisico, dus beperk deze accounts. Deze suggestie wordt vaak weggelachen door netwerkbeheerders, net zoals destijds mensen niet aan het idee wilden om lokale admin op Windows-pc's uit te schakelen. Microsoft volgde de aanbeveling om lokale admin standaard uit te schakelen op bij elke Windows-versie sinds 2008. En honderden miljoenen computers later draait de wereld nog steeds.

In Windows kun je nog altijd een alternatieve administrator-account aanmaken. Maar de meest vooruitstrevende beveiligingsexperts raden aan om zulke ingebouwde accounts met alle rechten te schrappen. Nog altijd zien veel netwerkbeheerders dit als een brug te ver. Toch is er op z'n minst één bedrijf in de top-100 van Fortune dat geen ingebouwde accounts meer gebruikt. En het werkt prima. De firma is niet blootgesteld aan een APT. En niemand klaagt over het gebrek aan rechten. Waarom zouden ze ook, want ze worden niet gehackt.

3. Gebruik honeypots

Honeypots bestaan al sinds de dagen dat Clifford Stoll de KGB-hacker Markus Hess in de val lokte. Toch worden ze nog niet veel ingezet. Voor de oningewijden, een honeypot is een (deel)systeem dat ervoor is gemaakt om hackers te lokken. Ze hebben dan ook geen productiewaarde. Ze zitten daar maar te wachten tot iemand ze aanvalt. Zodra dat gebeurt, stuurt de honeypot een signaal naar de beheerder zodat de zaak onderzocht kan worden.

Bedrijven die honeypots inzetten, zijn snel op de hoogte van actieve pogingen om in te breken op het netwerk. Voor tijdige waarschuwing werkt niets beter dan een honeypot. Nou ja, één ding: meerdere honeypots, wat in dat geval een honeynet heet. Toch zijn collega's en klanten niet snel overtuigd als ik de honeypot ter sprake breng. Mijn advies is dan ook altijd hetzelfde: besteed een dag aan het opzetten van een honeypot en vertel me een maand later wat je ervan vindt.

4. Vermijd standaardpoorten

Zet diensten niet op standaardpoorten. Net als het hernoemen van admin-accounts werkt deze security through obscurity-tactiek geweldig. Als bijvoorbeeld een zero day-kwetsbaarheid gevaarlijk wordt omdat wormen en virussen ze misbruiken, gaan ze altijd - en alleen maar - voor de standaardpoorten. Dit geldt voor sql-injecties, http-wormen en programma's die de ssh-communicatie aftasten.

Symantecs pcAnywhere en Microsofts RDP waren onlangs het slachtoffer van remote exploits. Zodra hackers hier gebruik van gingen maken, was het een race tegen de klok voor netwerkbeheerders om de lekken te dichten voordat virussen hun weg erdoorheen wurmden. Als deze diensten op een niet-standaardpoort draaien, hoeft die race niet eens van start te gaan. Geautomatiseerde malware gaat immers alleen maar voor de standaardpoort.

Critici zeggen dat hackers de alternatieve poort maar al te vlug ontdekken en dat is waar. Je hebt er alleen maar een portscanner als Nmap voor nodig om de app op de niet-standaardpoort te ontdekken. In de praktijk steken hackers er meestal niet de moeite in om alternatieve poorten te vinden. Er zit vaak al genoeg interessants op de standaardpoorten.

Als experimentje zette ik een paar jaar geleden mijn RDP-poort van 3389 naar 50471 en loofde ik een beloning uit voor de eerste persoon die de nieuwe poort vond. Twee mensen ontdekten de poort vrijwel direct en dat was natuurlijk geen grote verrassing. Omdat ik ze had verteld wat ik had gedaan, was het makkelijk de juiste plek te vinden. Waar ik wel stomverbaasd van stond, is dat duizenden wannabe-hackers Nmap gebruikten, maar niet beseften dat als je de standaardinstellingen gebruikt hij alleen standaardpoorten aftast. Dat bewijst dat een simpele actie als het verplaatsen van een poort beveiligingrisico's aanzienlijk verkleint.

5. Vermijd standaardmappen

Dit is weer zo'n securtity through obscurity-methode die wat aan kracht heeft ingeboet. De meeste aanvallen gebeuren op bestandsniveau, maar toch heeft het vermijden van standaarddirectories nog steeds waarde. Dat zit 'm vooral in het feit dat - wederom - malware meestal zoekt in standaardmappen. Als malware het systeem inkruipt, zoekt het naar systeembestanden in bekende mapstructuren. Installeer het OS en applicaties naar een eigen mapstructuur en je maakt de malware meteen onschadelijk.

Op veel van m'n eigen honeypots installeer ik het OS naar aangepaste mappen, bijvoorbeeld naar C:/Win7 in plaats van C:/Windows. Ik maak vervolgens wel neppers van de echte mapstructuur aan en ik vind zo makkelijk malware terug in een nepmap als C:/Windows/System32. Het veranderen van de standaardmappen heeft niet zoveel effect als veel andere tips hier, maar omdat je een hoop malware om de tuin leidt, heeft het wel degelijk zin.

6. Gebruik tarpits

De eerste tarpit die ik tegenkwam was LaBrea. Deze is ontworpen in 2001 toen de Code Red-worm hoogtij vierde. Computerwormen kopiëren zichzelf naar systemen die dezelfde exploits hebben waar ze misbruik van kunnen maken. LaBrea voorkomt dat de worm via de exploit binnenkomt door alleen verbindingsverzoeken te behandelen van machines die niet bekend zijn in het netwerk. Vervolgens neemt LaBrea uitvoerig de tijd om de potentiële worm te vertragen door TCP-trucs als lange timeouts, retransmission, et cetera.

Vandaag de dag hebben veel netwerken (en honeypots) zo'n tarpit-functionaliteit ingebouwd die verbindingspogingen van onbekende bronnen frustreert. Als ik een penetratietest op zo'n netwerk uitvoer, zijn mijn scans en aanvallen opeens blaartrekkend traag. Ze worden daardoor praktisch onbruikbaar en dat is precies de bedoeling van een tarpit. Er is een nadeel: tarpits kunnen verbindingen van bekende machines voorbarig vertragen als een legitieme server te traag reageert. Daarom moet je een tarpit blijven afstellen om een false positive te voorkomen.

7. Analyseer netwerkverkeer

Een netwerkanalysetool is een makkelijke manier om datadiefstal te ontdekken. Er zijn zoveel programma's beschikbaar, zowel gratis (bijvoorbeeld ntop) als commerciële pakketten (bijvoorbeeld de NAM van Cisco). Met deze software bepaal je eenvoudig wat een normale hoeveelheid verkeer is. Als er opeens honderden gigabytes onverwacht het netwerk verlaten, kun je op onderzoek uitgaan. De meeste APT's kunnen worden voorkomen als de potentiële slachtoffers een idee hebben van welke data waarheen gesluisd wordt en op welke tijdstippen.

8. Gebruik schermbeveiliging

Schermbeveiligers die een wachtwoord vereisen, zijn een simpele maar effectieve manier om interne veiligheidsrisco's te beperken. Het systeem wordt zo automatisch vergrendeld als gebruikers erbij weglopen. Deze maatregel is lange tijd bekritiseerd door mensen die dat ontgrendelen na een koffiepauze maar lastig vonden. Inmiddels is deze beveiliging een feature op alle computers, van pc's en laptops naar tablets en smartphones.

Ik raakte ooit in een ruzie verzeild met een taxichauffeur over de route die hij had gereden en het daardoor hoger prijskaartje van de rit. In alle ophef liet ik m'n smartphone op de achterbank liggen. Omdat ik net met m'n vrouw had gebabbeld via de telefoon, maakte ik me zorgen over m'n gegevens die open en bloot voor iedereen zichtbaar waren. Gelukkig wist ik dat de schermbeveiliging ieder moment aan kon springen. Ik heb het toestel helaas nooit teruggevonden, maar ik heb ook geen rare telefoontjes of een hoge telefoonrekening gekregen.

9. Zet de browser uit op servers

Gebruikers stellen zich het meeste bloot aan gevaarlijke software wanneer ze internetten. Bedrijven die browsers uitschakelen en internettoegang weren op servers die dit niet per se nodig hebben, verkleinen het risico op malafide software. Je wilt liever niet dat verveelde systeembeheerders die wachten op een patch hun e-mail checken of berichten op sociale netwerken plaatsen.

Blokkeer daarom alles wat niet noodzakelijk is. Bedrijven die Windows Server gebruiken, kunnen User Account Control (UAC) uitschakelen. UAC minimaliseert risico's op desktops, maar deze kwetsbaarheden zijn niet aanwezig op de server. UAC veroorzaakt hier en daar beveiligingsissues, dus het uitschakelen ervan kan een voordeel zijn voor menig organisatie.

10. Ontwikkel met beveiliging als speerpunt

Iedere organisatie die zelf software maakt, moet al tijdens de ontwikkeling rekening houden met beveiliging. Daarmee wordt de veiligheid van de geproduceerde code vanaf het begin gecontroleerd. Zo beperk je zonder twijfel het risico dat kwetsbaarheden in de omgeving uitgebuit kunnen worden.

Deze aanpak, soms SDL (Security Development Lifecycle) genoemd, verschilt per ontwikkelaar, maar er zijn een aantal overeenkomende kenmerken: gebruik veilige programmeertalen, vermijd bekende onveilige functies, redigeer gemaakte code en voer penetratietesten uit. SDL omvat een waslijst aan andere middelen om de kans te verkleinen een product vol bugs te produceren.

Microsoft heeft SDL het aantal veiligheidsissues met software sinds de implementatie van SDL sterk weten te verkleinen. Het bedrijf leert mensen SDL-praktijken en biedt gratis tools voor programmeurs op de SDL-website van Microsoft.