Hoe beveilig je jouw medewerkers op afstand?

February 8, 2022

Door COVID-19 is er de dringende behoefte ontstaan voor organisaties en werknemers om veilig op afstand te kunnen werken. De meeste medewerkers zijn ondertussen wel gewend geraakt aan een flexibelere werkomgeving. In korte tijd hebben organisaties dan ook ontdekt hoe ze volledig op afstand kunnen functioneren en krijgen werknemers tegenwoordig alle technische middelen die ze nodig hebben om thuis te kunnen werken. Over het algemeen realiseren hierdoor steeds meer organisaties dat het mogelijk is om een sterke, gezonde, remote bedrijfscultuur in stand te houden, terwijl werknemers fulltime vanuit huis werken, maar zich tegelijkertijd ook verbonden blijven voelen met de organisatie.

Door een combinatie van videoconferenties, nadruk op de balans tussen werk en privé en samenwerking tussen teams op afstand, ondergaat het wereldwijde perspectief op werken op afstand een grote verandering. Deze verandering vereist echter wel nieuwe gedrags- en handelingspatronen van organisaties; veranderende patronen waar kwaadwillende hackers maar al te graag van profiteren om nieuwe cyberaanvallen te lanceren. En het is deze verandering die organisaties zou moeten dwingen om de volgende vragen te stellen:

  • Hoe kunnen we een volledig remote personeelsbestand aan?
  • Hoe beheren we werknemers op afstand?
  • Hoe beveiligen we ons mobiele personeelsbestand?

Vanuit technologisch oogpunt kunnen de meeste bedrijven die traditioneel niet volledig op afstand werken wel de nodige hardware en infrastructuur aan werknemers leveren om een vast percentage thuis te laten werken. Maar het beveiligen van het volledige personeelsbestand op afstand zal de sleutel zijn om de bedrijfscontinuïteit te blijven garanderen. Werknemers kunnen bijna net zo gevaarlijk zijn voor de beveiliging van een bedrijf als hackers en cybercriminelen. Phishing, malware en social engineering blijven nog steeds de meest voorkomende aanvalstypes en drie grootste risico's die hoogtij vieren bij het werken op afstand.

VPN & SASE

Nu het werken op afstand het ‘nieuwe normaal’ wordt, verhuizen organisaties in allerlei sectoren buiten de perimeter van het hoofdkantoor, maar werknemers hebben nog steeds een veilige manier nodig om toegang te krijgen tot applicaties en gegevens om te kunnen werken.

De belangrijkste methode om toegang op afstand te verlenen is via een virtual private network (VPN) verbinding. Met een VPN kun je veilig verbinding maken met een ander netwerk via internet door de verbinding vanaf een persoonlijk apparaat te coderen. Er zijn twee soorten VPN: Site-to-site VPN en Remote Access VPN.

ⓘ Site-to-site VPN wordt gebruikt om filialen via internet met een centraal kantoor te verbinden wanneer de afstand directe netwerkverbindingen verhindert.
ⓘ Remote access VPN stelt individuele gebruikers in staat om op afstand verbinding te maken met een centraal netwerk. In dit geval worden de apparaten ‘endpoints’ genoemd

Een VPN stuurt apparaatverkeer door van en naar het beoogde netwerk via de beveiligde verbinding. Hierdoor kunnen werknemers en kantoren op afstand veilig verbinding maken met een bedrijfsnetwerk. Het verbergt ook IP-adressen voor hackers en nieuwsgierige gluurders. In theorie is een VPN veilig omdat het een privénetwerk is, maar het vereist nog steeds het juiste beleid en de juiste controles. (Vergeet daarom niet de gebruikers te verifiëren en authentiseren!) Als het gaat om VPN-protocollen, is IPsec meestal het protocol bij uitstek. IPsec ondersteunt namelijk verschillende coderingsschema's (waarbij sommige veiliger zijn dan andere).

ⓘ Met een VPN gaan gegevens het internet over via een beveiligd tunnelingprotocol, waar het wordt versleuteld om te voorkomen dat derden jouw gegevens lezen terwijl het zich verplaatst.

De twee meest populaire netwerkprotocolsuites voor codering zijn:

  1. Secure Sockets Layer (SSL) of, meer recentelijk, Transport Layer Security (TLS)
  2. Internetprotocolbeveiliging (IPsec)

Een recentere benadering is het gebruik van een Secure Access Service Edge (SASE) die de mix van VPN's en endpoints vervangt door een combinatie van netwerk- en netwerkbeveiliging geleverd als een service vanuit de cloud.

Met SASE hoef je geen aparte standalone proxy of VPN te onderhouden. In plaats daarvan maken de gebruikers van jouw netwerkverbinding met een SASE-oplossing (die toegang biedt tot de cloud en het datacenter) met consistente beveiliging.

Het inrichten van je VPN: kiezen voor schaalbaarheid of veiligheid?

Er zijn een aantal manieren om je VPN op te zetten. Een eerste manier is een full tunnel VPN waarbij al het netwerkverkeer van een endpoint door de tunnel moet. Hierbij wordt al het verkeer eerst teruggetrokken naar de volledige netwerkbeveiligingsstack. Dit is een veilige verbinding, maar dit vereist echter wel dat netwerkbeheerders eventueel extra hardware in moeten zetten om de capaciteit te schalen. Ook kan het netwerkverkeer op weg naar het internet voor opstoppingen zorgen op de internetverbinding van het datacenter.

Een tweede manier is een split-tunnel VPN. Deze verbinding is niet per se veilig, maar is beter schaalbaar dan een full-tunnel VPN. Alleen verkeer dat bestemd is voor jouw datacenter gaat dan via een VPN. Al het andere verkeer, zoals internetverkeer, kan er omheen en wordt mogelijk niet gecontroleerd. De endpoints worden hierbij helaas wel potentieel een achterdeurtje naar jouw bedrijfsnetwerk. Ook hier blijft de schaalbaarheid een uitdaging.

Een derde manier is de cloud-proxy aanpak. In het geval van een cloudproxy wordt de VPN-server gehost bij een cloudprovider in plaats van binnen jouw bedrijfsnetwerk. Het probleem bij een cloud-proxy aanpak is dat de meeste poorten en protocollen niet worden geïnspecteerd. Dit leidt in de praktijk vaak tot ondermaatse beveiligingsfunctionaliteiten en inconsistentie tussen gebruikers op locatie en op afstand. In de cloud zitten namelijk vaak nalevingstools die gemakkelijk kunnen worden omzeild door malware en ervaren gebruikers. En helaas, ook dit soort multitenant-architecturen beperken nog steeds de schaalbaarheid.

De vraag is die overblijft is dan: hoe beveilig je remote access op een adequate manier?

Het beveiligen van remote access

Een VPN is noodzakelijk om gegevens veilig te houden wanneer jouw personeel online of op een openbaar netwerk werkt. GroupSecure biedt meerdere oplossingen die jou kunnen helpen om jouw medewerkers op afstand te beveiligen

Als het draait om veiligheid, kunnen we ervoor zorgen dat jouw netwerkbeveiliging gebaseerd is op de juiste firewalls. Al onze firewalls beschikken namelijk over de noodzakelijk on-premise, ingebouwde VPN-oplossingen. Door gebruik te maken van de juiste firewall mogelijkheden en bijvoorbeeld te controleren of het endpoint een actieve virusscanner heeft alvorens een VPN-verbinding toe te staan, verkrijg je meer inzicht in al het verkeer, gebruikers, apparaten en applicaties. De meest recente endpoint securityoplossingen zoals de Sophos Intercept X oplossing blokkeren automatisch bekende en zero-day-aanvallen, en bieden de nodige zichtbaarheid die er nodig is om er adequaat op aanvallen te reageren.

Door de firewall en de endpoint beveiliging met elkaar te synchroniseren, versterk je jouw verdediging met oplossingen die ‘met elkaar praten’. Doordat ze realtime informatie delen, bescherm je jezelf tegen geavanceerde bedreigingen en ben je minder tijd kwijt aan het reageren op incidenten. Op deze manier kun je een consistent beveiligingsbeleid uitbreiden naar alle gebruikers, terwijl je blinde vlekken voor externe toegang wegneemt en daarmee jouw beveiliging versterkt.

Wanneer de Endpoint Protection oplossing en de firewall met elkaar informatie uitwisselen, dan kan door de toevoeging van Extended Detection en Response (XDR) nog meer inzicht en controle worden verkregen. XDR is een SaaS-gebaseerde, leverancier-specifieke tool voor het opsporen van beveiligingsbedreigingen. Het geeft de mogelijkheid om te reageren op mogelijke incidenten die één enkele beveiligingsoplossing overstijgen en combineert daarmee de data van meerdere bronnen in één samenhangend systeem. Hiermee kunnen incidenten doeltreffend worden gesignaleerd, geanalyseerd en op basis van alle informatie kunnen potentiële bedreigingen worden voorkomen.

Heb vragen over remote access, stel ze gerust. Wij helpen je graag!

Abonneer op onze nieuwsbrief
Thank you! Your submission has been received!
Oops! Something went wrong while submitting the form.

Klaar om jouw cybersecurity naar een hoger niveau te tillen?

Let's get started!