Hoe een nieuw model voor mobiele beveiliging risicovolle bedrijven ten goede kan komen ISMS.online

Hoe een nieuw model voor mobiele beveiliging bedrijven met een hoog risico ten goede kan komen

Door Phil Muncaster • 13 juni 2024

Er zit tegenwoordig meer rekenkracht in één smartphone dan er beschikbaar was naar missiecontrole tijdens de maanlanding van Apollo 11. Dat is het soort vuurkracht dat een enorme productiviteit onderweg mogelijk maakt. Maar het is ook een magneet voor bedreigingsactoren die gesprekken willen afluisteren en zich willen richten op bedrijfsnetwerken en clouddataopslag. Dergelijke geavanceerde aanvallen vormen misschien niet een bedreiging voor alle organisaties, maar dat biedt weinig troost voor degenen die zich in het vizier bevinden.

Gelukkig heeft het Britse National Cyber Security Centre (NCSC) een nieuw model bedacht dat netwerkverdedigers zou kunnen helpen terug te dringen tegen hun cybervijanden. De jarenlange ontwikkeling van Advanced Mobile Solutions (AMS) zou organisaties met een hoog risico kunnen helpen de dreiging van ernstige data- en systeemcompromissen te beperken.

Waarom bedreigingen mobiel zijn geworden

Mobiele dreigingen bestaan al heel lang. Maar de laatste jaren commerciële spywaremakers hebben het risicolandschap veranderd door hun onderzoek en exploitatie van zero-day-kwetsbaarheden – vooral op iOS-apparaten. Ze verkopen aan de hoogste bieder, waardoor vaak zero-touch cyberaanvallen mogelijk zijn die doelapparaten kunnen compromitteren zonder gebruikersinteractie. Hun klantenbestand bestaat uit autocratische regeringen, met als doelwitten vaak dissidenten, journalisten en andere 'onruststokers'. Maar dergelijke instrumenten kunnen net zo goed worden gebruikt om topfunctionarissen en andere spraakmakende doelwitten in gevaar te brengen.

De uitdaging, zoals uitgelegd door NCSC beveiligingsarchitect “Chris P” is dat de meeste organisaties niet investeren in op maat gemaakte, zeer veilige apparaten. In plaats daarvan gebruiken de medewerkers kant-en-klare consumententoestellen – die complex en krachtig zijn, maar waarschijnlijk ook kwetsbaarheden bevatten.

Deze kunnen niet alleen worden aangevallen om berichten die door het apparaat gaan of de locatie van het individu te monitoren, maar ook om de kerninfrastructuur van de onderneming, zoals e-mailservers, te monitoren, waarschuwt het NCSC. Het is een probleem dat wordt benadrukt in de nieuwe ISMS.online Rapport Staat van Informatiebeveiliging 2024, die BYOD een grote uitdaging vindt voor Britse respondenten. Ongeveer 30% noemde het dit jaar, tegenover 25% in 2023.

Maak kennis met AMS

Dit is waar het nieuwe model van het bureau in beeld komt. AMS stelt dat:

⦁ Afzonderlijke apparaten kunnen af en toe worden aangetast en sommige gegevens gaan verloren – dat is de prijs van productiviteit
⦁ Volledige apparatenparken moeten worden beschermd tegen compromissen
⦁ Elk compromis mag de grote hoeveelheden gegevens of de veiligheid van gevoelige systemen niet in gevaar brengen
⦁ Het systeemrisico (van personeel dat minder veilige systemen en tijdelijke oplossingen gebruikt) moet worden verminderd

Ervan uitgaande dat nationale en goed uitgeruste cybercriminaliteitsgroepen toegang zullen hebben tot zero-day exploits en geavanceerde social engineering-technieken, wil AMS drie principes volgen:

1) Mobiele apparaten zijn niet te vertrouwen en netwerken moeten zo worden ontworpen dat apparaten en gegevens worden beschermd als een of twee van deze apparaten worden aangetast.

2) Kernnetwerken en -diensten moeten worden beschermd met een “robuuste grens” tussen de mobiele infrastructuur en het kernnetwerk.

3) Gevoelige gegevens in platte tekst mogen nooit worden samengevoegd in de mobiele infrastructuur. Dit omvat gegevens die tussen servers worden verzonden en op servers worden opgeslagen

Een zespuntsarchitectuur

Het risicomodel wordt ondersteund door zes belangrijke architecturale elementen die zijn ontworpen om snel compromissen te detecteren en snel opnieuw in te zetten om te herstellen:

Gebruik mobiel apparaatbeheer (MDM) om apparaten veilig te beheren en apps op de toelatingslijst te zetten. Gebruik altijd externe browserisolatiegateways om toegang te krijgen tot op internet aangesloten apps. MDM-implementatieconfiguraties kunnen worden ontworpen met cross-domein technologie om inbreuken op het hele wagenpark te beschermen.

Gebruik de beste commerciële technologie in zijn soort om gegevens op wereldwijde netwerken te beschermen.

Gebruik hoogwaardige of kortstondige VPN-terminators om het risico op directe aanvallen vanaf internet te verminderen. En monitoringregels om het DDoS-risico te verminderen en kwaadwillige activiteiten te identificeren.

Bescherm de externe toegangszone – de infrastructuur tussen het internet en domeinoverschrijdende gateways die de belangrijkste bedrijfssystemen beschermen. Zorg ervoor dat slechts een paar services, of delen van gebruikersgegevens, gedurende sessies blijven bestaan, waardoor het voor aanvallers moeilijker wordt om de persistentie te behouden en het risico op diefstal van grote hoeveelheden gegevens wordt verminderd. Cryptografielagen op dit niveau helpen ook het risico op openbaarmaking van gegevens te verminderen.

Bescherm kernnetwerken en -systemen via domeinoverschrijdende oplossingen die zijn gebouwd op op hardware (FPGA) gebaseerde domeinoverschrijdende gateways om alle gegevens die kernnetwerken binnenkomen te inspecteren. Op cryptografie gebaseerde gebruikersidentiteit helpt beschermen tegen data-exfiltratie op deze laag.

Een werk in uitvoering

Het NCSC begrijpt dat geen twee organisaties hetzelfde zijn. Daarom schrijft het bedrijf momenteel risicorichtlijnen, zodat individuele beveiligingsteams begrijpen welke afwegingen ze moeten maken door af te wijken van de architectuur. Volgens Chris P is er al een beheerde dienst op basis van AMS beschikbaar bij de overheid, en wil de dienst de “patronen en technologie” van het model uitbreiden naar andere sectoren van de kritieke nationale infrastructuur.

Mayur Upadhyaya, CEO van APIContext, verwelkomt de AMS als een “goed gestructureerde routekaart” om organisaties met een hoog risico te helpen de mobiele toegang tot gevoelige gegevens te verbeteren.

“De belangrijkste sterke punten liggen in het realistische dreigingsmodel, de gelaagde beveiligingsarchitectuur en de nadruk op continue monitoring en snelle respons”, vertelt hij aan ISMS.online. “Beveiligingsexperts zullen deze aspecten waarschijnlijk waarderen, vooral de focus op het aannemen van compromissen en netwerksegmentatie.”

Sommige organisaties kunnen echter moeite hebben om AMS ongewijzigd te implementeren, voegt hij eraan toe.

“Het model is sterk afhankelijk van geavanceerde technologieën zoals hoogwaardige cryptografie op consumentenapparaten, die misschien niet direct beschikbaar zijn. Bovendien zou de complexe, gelaagde architectuur met op hardware gebaseerde beveiliging en geavanceerd beheer van mobiele apparaten voor sommige organisaties veel middelen kunnen vergen”, betoogt Upadhyaya.

“Verder is het vinden van een balans tussen veiligheid en bruikbaarheid cruciaal. Strenge controles kunnen de gebruikerservaring en de flexibiliteit van de mobiele workflow belemmeren. En het voorkomen van data-aggregatie op mobiele netwerken zou de functionaliteiten van datagestuurde mobiele applicaties kunnen beperken.”

Cybereason-CISO op mondiaal gebied, Greg Day, voegt eraan toe dat Apple's introductie van sideloading in iOS onder druk van de EU waarschijnlijk zal leiden tot een toename van het aantal mobiele bedreigingen. Dat zal risicobeheer nog belangrijker maken voor bedrijven die voor hun productiviteit afhankelijk zijn van draagbare apparaten, zegt hij.

“Hoewel de AMS-richtlijnen het belang van MDM benadrukken, is het verrassend dat Mobile Threat Defense (MTD) niet ook wordt benadrukt als een cruciale vereiste. MDM is effectief bij het opzetten van basiscontroles, maar schiet tekort bij het detecteren van geavanceerde bedreigingen zoals gejailbreakte of geroote apparaten”, vertelt Day aan ISMS.online.

“In tegenstelling tot MDM, dat zich vooral richt op het controleren van de toegang tot appstores en het op de zwarte lijst zetten van apps, evalueert MTD het risico van elke app op basis van de functionaliteiten ervan. Bovendien kan MTD netwerk- en phishing-aanvallen detecteren, waardoor geavanceerdere URL-filtermogelijkheden worden geboden.”

Uiteindelijk zijn er geen snelle oplossingen voor de uitdaging van de beveiliging van mobiele apparaten. Gebruikerseducatie en segmentatiestrategieën zijn echter een goed beginpunt, betoogt hij.

“Organisaties moeten prioriteit geven aan zichtbaarheid en risicozwemroutes opzetten, waarbij onderscheid wordt gemaakt tussen gegevens met een laag, gemiddeld en hoog risico”, besluit Day. “Het is van cruciaal belang om te voorkomen dat gegevens met een hoog risico in categorieën met een lager risico terechtkomen.”

Phil Muncaster

Phil Muncaster is al vijftien jaar IT-journalist. Hij begon in 20 als verslaggever van de IT-titel IT Week en klom op tot nieuwsredacteur voordat hij vertrok om een freelance carrière na te streven. Sindsdien heeft Phil geschreven voor titels als The Register, waar hij meer dan twee jaar als Azië-correspondent werkte terwijl hij in Hong Kong woonde, MIT Technology Review, SC Magazine, Infosecurity Magazine en anderen.

Lees meer van Phil Muncaster

Cyber security 6 januari 2026

Vijf trends op het gebied van beveiliging en compliance om in 2026 in de gaten te houden.

Hoe ziet het komende jaar eruit voor professionals in cybersecurity en compliance? We hebben het nieuws doorgenomen en de voorspellingen van branchegenoten bestudeerd...

Phil Muncaster

Cyber security 11 December 2025

Is een beveiligingslek door AI-agenten onvermijdelijk in 2026?

Is een beveiligingslek in AI-agenten in 2026 onvermijdelijk?

Het is misschien wel drie jaar geleden dat ChatGPT een nieuwe technologische wapenwedloop ontketende, maar alle ogen zijn nu gericht op AI-agenten. Voorstanders beweren dat het...

Phil Muncaster

Informatiebeveiliging 9 December 2025

Een jaar in naleving: vijf dingen die we in 2025 hebben geleerd - banner

Een jaar in compliance: vijf dingen die we in 2025 hebben geleerd

De afgelopen 12 maanden hebben opnieuw bewezen dat het cybersecuritylandschap zelden een tekort aan incidenten kent. Grote beveiligingsinbreuken kosten organisaties ...

Phil Muncaster