De telefoon van Jeff Bezos was gehackt. En als de rijkste persoon ter wereld kwetsbaar is, is de kans groot dat jouw bedrijf ook kan worden gehackt. Het goede nieuws is dat je als klein bedrijf geen groot doelwit bent. Maar zodra je je eerste medewerker in dienst neemt, is het tijd om na te denken over het toepassen van basisbeveiliging om ervoor te zorgen dat je minder kwetsbaar bent. Niets is perfect veilig op internet, maar je kunt het risico beperken.
Hier vind je de top 10 cyber security tips voor startups (en vooruit, voor alle bedrijven ongeacht hun omvang).
1. Gebruik HTTPS-protocol
HTTPS-protocol moet een prioriteit zijn voor alle website-eigenaren. Het is niet alleen van vitaal belang voor een veilige communicatie tussen een webserver en een gebruiker, maar het verbetert ook de basisbeveiligingsstandaard voor alle websites.
Ten eerste stelt het gebruikers gerust dat alle communicatie via de website veilig is. HTTPS-protocol vertelt de websitebezoeker in wezen dat de informatie die zij van de webserver opvragen of bekijken, niet door derden kan worden onderschept of gewijzigd.
Ten tweede identificeren en markeren webbrowsers zoals Google Chrome alle websites die HTTPS-beveiligingsprotocollen missen. Elke keer dat een bezoeker de website bezoekt, ontvangt hij een melding dat deze niet veilig is. Dit kan nieuwe bezoekers ontmoedigen om de site te bezoeken, wat resulteert in verminderde online interacties met klanten.
HTTPS-beveiliging voorkomt ook dat hackers toegang krijgen tot alle codes waaruit de website is opgebouwd. Hackers veranderen soms de code van een website zonder HTTPS-beveiliging om alle informatie die bezoekers verstrekken tijdens de interactie met de website te controleren en te openen. Die informatie kan persoonlijke gegevens bevatten, zoals creditcardgegevens, wachtwoorden en gebruikersnamen of geboortedata. Wat nog belangrijker is, is dat een HTTPS-protocol een website in staat stelt om zijn SEO-ranking te verbeteren. Een zoekmachine als Google beloont websites met HTTPS-protocol door ze hoger in de zoekresultaten te tonen.
Hoe pak je dit aan? Vul de HTTPS-beveiligingsmaatregelen van je bedrijfswebsite aan door een SSL-certificaat (Secure Socket Layer) te implementeren. SSL-beveiliging codeert alle communicatie tussen een server en een websitegebruiker. Dit voorkomt niet dat hackers malware verspreiden of aanvallen uitvoeren. Maar het codeert de informatie wel dusdanig dat deze niet toegankelijk is bij een succesvolle aanval. Door SSL-beveiliging te implementeren, blijven gebruikersgegevens beschermd tegen man in the middle (MITM) -aanvallen. SSL-certificeringen zijn met name vereist voor websites die veel persoonlijke gegevens verwerken, zoals e-commerceplatforms. Maar ongeacht de service of het product dat jouw bedrijf aanbiedt, moet de website beveiligd zijn met HTTPS- en SSL-certificeringen.
2. Update software regelmatig
Websites vereisen het gebruik van verschillende software-tools om effectief te werken. Denk bijvoorbeeld aan contentmanagementsystemen (CMS's), website-plug-ins of WordPress-software. Het bijwerken van software-tools is van vitaal belang om de veiligheid van de website te waarborgen.
Niet alleen lost een software-update problemen en bugs op, ze installeren ook de nieuwste beveiligingsmaatregelen. Hackers kunnen zich richten op verouderde software-tools om kwetsbaarheden te misbruiken en zo toegang te krijgen om aanvallen op een website uit te voeren.
Bovendien maken hackers ook gebruik van technologieën zoals kunstmatige intelligentie (AI) om cyberaanvallen te automatiseren. Dit gebeurt door intelligente bots te maken die continu zoeken naar kwetsbare websites, deze aan te vallen om ze uiteindelijk te kunnen exploiteren. Denk aan een gehackte server die wordt gebruikt om spam-berichten te versturen. Als de nieuwste updates niet zijn geïmplementeerd, neemt de kwetsbaarheid van de site toe.
Hoe pak je dit aan? Als website-eigenaar moet je overwegen geautomatiseerde oplossingen te gebruiken die zoeken naar software-updates en deze installeren zodra ze worden vrijgegeven. Door dit te doen, kun je ervoor zorgen dat alle software-tools steeds zijn bijgewerkt en geen exploiteerbare kwetsbaarheden bevatten.
3. Wijzig (complexe) wachtwoorden regelmatig en gebruik multi-factor authenticatie
We kunnen niet genoeg benadrukken hoe belangrijk een effectieve oplossing voor wachtwoordbeheer is. Ondanks dat wachtwoorden de makkelijkste manier zijn om een website te beveiligen, vormen ze ook de hoogste beveiligingsrisico's als ze niet goed worden beheerd. Een onderzoek toonde aan dat 25% van de aangemaakte wachtwoorden in minder dan drie seconden kon worden gekraakt. Daarom moet je wachtwoordbeheer echt serieus nemen. Iedereen met basisvaardigheden kan hacktools zoals John the Ripper gebruiken om een wachtwoord te hacken. Wat zijn nu de aanbevolen methoden voor wachtwoordbeveiliging waarmee een bedrijf de beveiliging van zijn website kan verbeteren?
Hoe pak je dit aan? Ten eerste is het regelmatig wijzigen van wachtwoorden een uitstekende voorzorgsmaatregel. Zo verklein je het risico dat het wachtwoord gekraakt wordt. Ook moeten de wachtwoorden complex genoeg zijn zodat ze niet kunnen worden gekraakt, maar toch eenvoudig genoeg om te onthouden. Ingewikkelde wachtwoorden met een combinatie van verschillende letters, cijfers en tekens, zijn echter moeilijker om te onthouden. Dat is de reden waarom tools voor wachtwoordbeheer zoals 1Password beschikbaar zijn. Met de tools kunnen lange, complexe wachtwoorden worden gemaakt en veilig worden opgeslagen voor veilig gebruik.
En misschien wel het meest belangrijk is het gebruik van twee-factor of multi-factor authenticatie. Dit vormt een extra beveiligingslaag. Iedereen kan een geldige gebruikersnaam en wachtwoord opgeven, maar alleen de rechtmatige gebruiker kan de vereiste authenticator verstrekken. Voordat er toegang is, moet de gebruiker bijvoorbeeld een unieke code opgeven die alleen toegankelijk is voor de rechtmatige gebruiker (bijvoorbeeld via mail of telefoon). Dit voorkomt oneigenlijk gebruik van wachtwoorden.
4. Beveilig persoonlijke apparaten goed
Veel bedrijven richten zich op de implementatie van beveiligingsprocedures voor de website, waarbij ze vergeten dat hun persoonlijke apparaten ook een risico vormen. Hackers richten zich vaak op personal computers om toegang te krijgen tot een beveiligde website. Door bijvoorbeeld FTP-aanmeldingen te stelen, kunnen hackers malware gebruiken om schadelijke gegevens en bestanden in een website te injecteren. Bovendien vinden hackers het eenvoudiger om website-aanvallen uit te voeren door personal computers als toegangspoort te gebruiken. Daarom moet het beveiligen van een PC, laptop of telefoon ook prioriteit hebben. Er zijn verschillende manieren waarop je persoonlijke apparaten van jezelf of medewerkers kunt beveiligen.
Hoe pak je dit aan? Gebruik allereerst antivirus- en antimalware producten. Hoewel de effectiviteit soms ter discussie staat, zijn dergelijke producten essentieel. Ze beschermen gebruikers door het downloaden of installeren van schadelijke bestanden te voorkomen. Ze identificeren ook onmiddellijk malware die aanwezig is op een geplaatste USB-stick of harde schijf, waardoor de toegang tot de computer blokkeert. Het gebruik van sterke firewalls kan inkomende kwaadaardige verbindingen blokkeren.
Kortom, de beveiliging van een bedrijfswebsite is sterk afhankelijk van beschermde toegangspoorten zoals persoonlijke apparaten. En daarom moet je ervoor zorgen dat deze maximale beveiligd zijn.
5. Beheer 'access control' goed en maak gebruik van specifieke rollen
Toegangscontrole is een integraal onderdeel van elk succesvol beveiligingsprogramma en hetzelfde geldt voor websitetoegang. Bedrijven die een website exploiteren, moeten de toegangsrechten definiëren voor verschillende gebruikers. Zo’n 95% van de cyberaanvallen is te wijten aan menselijke oorzaken zo blijkt uit recent onderzoek. Werknemers met toegangsmachtigingen tot specifieke websitegebieden kunnen fouten maken die leiden tot desastreuze aanvallen. Om de risico's aan te pakken, moeten website-eigenaren robuuste toegangscontrolemechanismen inzetten.
Toegangscontroles verbeteren de websitebeveiliging door het aantal personen te beperken wiens activiteiten tot fouten kunnen leiden. Geef bijvoorbeeld niet alle werknemers toegang en ken specifieke rollen voor specifieke toegang toe. Alleen een ontwikkelaar of een websitebeheerder mag toegang tot de gehele website hebben. Externe ontwikkelaars, gastbloggers, consultants of ontwerpers geef je slechts beperkte toegang.
Hoe pak je dit aan? Dit kan met behulp van het principe van ‘minimaal privilege’, ook wel de ‘minste autoriteit’ genoemd. Dit geeft werknemers of uitbestede arbeid alleen toegang tot het gedeelte dat ze nodig hebben om de klus te klaren. Dat elimineert de kans op een fout die mogelijk leidt tot ongewenste toegang tot de website.
6. Wijzig standaard configuratie-instellingen
Het wijzigen van de standaard instellingen is een maatregel die veel bedrijven over het hoofd zien. Zoals eerder vermeld, gebruiken hackers vaak bots die zijn ontworpen om geautomatiseerde aanvallen op kwetsbare websites uit te voeren. De bots scannen daarbij ook websites die software-tools gebruiken met standaard configuratie-beveiligingsinstellingen. Echter, de standaardinstellingen bieden mogelijk niet de beveiliging en bescherming die nodig is om aan de unieke behoeften van een bepaalde omgeving te voldoen. Hierdoor zijn programma's die de standaardinstellingen gebruiken zeer kwetsbaar voor aanvallen. Bots identificeren websites met dezelfde standaardinstellingen, zodat eerder gebruikte virussen of malware opnieuw hun werk kunnen doen.
Hoe pak je dit aan? Na de implementatie van een website wijzig je de standaardinstellingen van bijvoorbeeld content beheer. Bekijk ook goed of het raadzaam is om de standaardinstellingen van den volgende onderdelen te wijzigen:
- Gebruikersbesturing
- Bestandsrechten
- Opmerkingen-instellingen
- Zichtbaarheid van informatie
7. Maak regelmatig een back-up van de website
Uitgangspunt voor alle beveiligingsprocedures is om voorbereid te zijn op het moment dat je wordt aangevallen. Regelmatig een back-up maken van een website is een essentiële maatregel om de privacy en veiligheid van alle bijbehorende informatie te behouden. Een website-back-up bestaat uit een momentopname van alle essentiële sitecomponenten. Hiermee kun je kritieke gegevens bewaren en herstellen als een aanval de website uitschakelt. Essentiële componenten om in een back-up van een website op te nemen, omvatten thema's, plug-ins, databases en essentiële bestanden.
Back-ups zijn van vitaal belang omdat ze de ‘schone’ oude versie van een website snel live kunnen zetten na een hack of als een software-update leidt tot een gecrashte website. Back-ups zijn een uitstekende beveiligingsmaatregel omdat ze zowel gemakkelijk als essentieel zijn voor het behoud van integriteit, beschikbaarheid en vertrouwelijkheid.
Hoe pak je dit aan? De meeste hosting providers bieden eenvoudige manieren waarmee je back-ups kunt maken en beheren. Ze gebruiken bijvoorbeeld meegeleverde deelvensters voor klantbeheer om de back-ups te onderhouden of ze gebruiken back-up plugins die zich in hulpprogramma's zoals WordPress bevinden. Vraag je hosting provider naar de mogelijkheden.
8. Thread detection: monitor de website op kenmerkende issues
Website-eigenaren kunnen malware en virussen niet identificeren, omdat deze zich verbergen of ongrijpbaar zijn. Daarom zijn malwareprogramma's één van de meest voorkomende bedreigingen voor websitebeveiliging. Met continue en consistente monitoring kun je echter activiteiten identificeren die wijzen op de aanwezigheid van malware of andere illegale programma's.
Onderstaand een aantal cruciale signalen die wijzen op beveiligingsproblemen: a. Inloggegevens van gebruikers worden gebruikt of gewijzigd zonder hun toestemming. b. Websitebestanden worden gewijzigd of verwijderd zonder medeweten of toestemming van de eigenaar. c. De website loopt herhaaldelijk vast en crasht. d. De resultaten van zoekmachines geven veranderingen aan, zoals waarschuwingen voor schadelijke inhoud of vermelding op zwarte lijsten. e. Het verkeer van de website neemt in korte tijd snel toe of af.
Hoe pak je dit aan? De aanwezigheid van bovenstaande signalen kan wijzen op een geïnfecteerde website. Je kunt ervoor kiezen om handmatig de website te monitoren op deze punten, waarbij beveiligingspersoneel de verantwoordelijkheid draagt voor het bewaken van de websiteactiviteiten. Maar menselijke bewaking biedt geen 24/7 monitoring, waardoor sommige beveiligingsincidenten onopgemerkt kunnen blijven. Daarom raden wij je sterk aan om geautomatiseerde bewaking te gebruiken. Geautomatiseerde scanners zijn effectiever (en goedkoper) omdat ze een website continu kunnen monitoren terwijl de website normaal werkt. Daarbij zijn sommige monitoring-tools ontworpen om niet alleen afwijkend gedrag te identificeren, maar ook om corrigerende maatregelen te nemen.
9. Firewalls inzetten
Het gebruik van firewalls is één van de meest toegepaste beveiligingsmaatregelen voor websites. Een firewall beschermt een website door kwaadaardige verbindingen te blokkeren. Hierbij maakt een firewall gebruik van beveiligingsregels die moeten voldoen aan de beveiligingsbehoeften in de context van de services en omgeving van het bedrijf. De firewallregels die voor een e-commerceplatform zijn gemaakt, verschillen bijvoorbeeld van die voor een registratieportal. Er zijn twee soorten firewalls die worden gebruikt om de beveiliging van websites te verbeteren. Dit zijn firewalls voor netwerk- en webapplicaties.
Netwerkfirewalls worden meestal gebruikt door serverbeheerders en hosting providers. Deze firewalls zorgen voor de beveiliging van websites door schadelijke scripts tussen webservers binnen een netwerk, te identificeren en te blokkeren.
Firewalls voor webapplicaties worden gebruikt om een specifieke website te beveiligen. Deze voorkomt dat kwaadwillende scripts toegang krijgen tot een webserver. Het blokkeren van schadelijk verkeer beveiligt een website en bespaart ook de bandbreedte en de laadtijd.
10. Tot slot: maak een cyber security Incident Response Plan (IRP) en committeer je hieraan
Als je bovenstaande maatregelen hebt doorgevoerd, is het belangrijk dat de websitebeveiliging ook in de toekomst op orde blijft. En dat iedereen binnen je bedrijf weet wat er moet gebeuren als er een breach is. Maak daarom een uitvoerbaar en gedetailleerd Incident Reponse Plan (IRP). Beschrijf daarin de doelstellingen en wie welke stappen moet doorlopen om een datalek zo snel mogelijk te ondervangen en op te lossen. Lees hier hoe een IRP is opgebouwd.
Lees hier het originele artikel op CyberExperts