We support browsers, not dinosaurs. Please update your browser if you want to see the content of this webpage correctly.

Wat houdt diepteverdediging in?

Diepteverdediging is een strategie waarbij meerdere beveiligingsmaatregelen worden gebruikt om de integriteit van gegevens te beschermen. Doel hiervan is alle aspecten van de bedrijfsbeveiliging te beschermen door deze zo nodig dubbel uit te voeren. Als de ene verdedigingslinie in gevaar komt, staan er extra verdedigingslagen klaar om te voorkomen dat dreigingen door de ontstane scheuren naar binnen glippen. Bij deze methode worden de onvermijdelijke beveiligingslekken in het netwerk aangepakt die een risico vormen voor de technologie, het personeel en de bedrijfsvoering.

Cyberdreigingen veranderen voortdurend, de toegepaste tactieken worden steeds schadelijker en de processen verlopen steeds vaker geautomatiseerd. Diepteverdediging is dan ook een robuuste, alomvattende en moderne beveiligingsaanpak voor IT-professionals.

De grote noodzaak blijkt wel uit recente gegevens in het Data Breach Investigations Report van Verizon uit 2020 (DBIR). Voor het rapport van dit jaar werden meer dan 32.000 beveiligingsincidenten en bijna 4000 bevestigde lekken wereldwijd geanalyseerd. Hieronder volgen enkele alarmerende feiten:

  • Meer gegevenslekken: sinds het DBIR van 2019 is het aantal gegevenslekken verdubbeld.
  • Aanvallen in de cloud: de aanvallen op webtoepassingen zijn met 43% gestegen. Dat is het dubbele van afgelopen jaar.
  • Aanvallen met een financieel motief: maar liefst 86% van de gegevenslekken had een financieel oogmerk (71% in het vorige DBIR).
  • E-mail en aanmeldingsgegevens: bij 67% van de aanvallen ging het om phishing, misbruik van zakelijke e-mail, en diefstal van persoonsgegevens.

De kracht van diepteverdediging is dat verschillende geavanceerde beveiligingstools worden gebruikt om kritieke gegevens te beschermen en dreigingen te onderscheppen voordat ze eindpunten en netwerken bereiken. Eindpuntbescherming, waarbij onder meer gebruikgemaakt wordt van antivirus en firewalls, blijft een belangrijk onderdeel van de beveiligingsmaatregelen, maar steeds vaker worden er strategieën op basis van diepteverdediging gebruikt. Maatregelen voor netwerkbeveiliging alleen volstaan namelijk niet meer om de hedendaagse beroepsbevolking te beschermen.

De beveiligingsrisico's liggen tegenwoordig nog meer onder een vergrootglas, aangezien mensen in diverse bedrijfsgeledingen over de hele wereld nog steeds van huis uit moeten werken. Dat er buiten de traditionele bedrijfsmuren (perimeter) wordt gewerkt en gegevens op afstand worden benaderd en via cloud-apps gedeeld, is niet alleen invloed op het welslagen van initiatieven op het gebied van de digitale transformatie. Het brengt ook nieuwe aanvalsrisico's met zich mee.

IT- en beveiligingsprofessionals zijn het er over eens dat internet de nieuwe kantoorruimte is geworden en dat deze om een nieuwe en alomvattende bescherming vraagt. Hier komt diepteverdediging om de hoek kijken. Bij deze vorm van cyberbeveiliging wordt namelijk onderkend dat er op macroniveau beheersmaatregelen moeten worden getroffen om netwerken optimaal te beschermen, met inbegrip van de fysieke, technische en administratieve aspecten daarvan.

De volgende drie beheersmaatregelen vormen samen de basis van een diepteverdedigingsstrategie:

Fysieke beheersmaatregelen: de beveiligingsmaatregelen die IT-systemen beschermen tegen fysieke schade. Fysieke beheersmaatregelen zijn bijvoorbeeld het inzetten van bewakers en het gesloten houden van deuren.

Technische beheersmaatregelen: de beschermingsmethoden waarmee netwerksystemen worden beveiligd. Hardware, software en bescherming op netwerkniveau zijn voorbeelden van de specifieke technische beheersmaatregelen van een bedrijf. Ook inspanningen op cyberbeveiligingsgebied behoren tot deze categorie.

Administratieve beheersmaatregelen: de door een organisatie of bedrijf opgestelde beleidsregels en procedures die zijn gericht op de medewerkers. Zo kan de medewerkers in het kader van een administratieve beheersmaatregel bijvoorbeeld worden aangeleerd bepaalde bedrijfs- of privacygevoelige informatie als “vertrouwelijk” aan te merken of privébestanden in de juiste mappen te bewaren.

Hoe en waar is diepteverdediging ontstaan?

Het begrip diepteverdediging heeft zijn oorsprong in een militaire strategie waarbij barrières worden opgeworpen om de opmars van indringers te vertragen. Dat geeft de verdedigers de tijd om de bewegingen van de aanvallers te volgen en een tegenaanval voor te bereiden. Deze methode heeft tot doel het oprukkende leger te vertragen in plaats van meteen een tegenaanval te doen.

Voordat internet in zwang kwam en mensen massaal van huis uit gingen werken, maakten bedrijven uitsluitend gebruik van fysieke datacenters die met tal van tastbare lagen werden beschermd. Het kantoorgebouw was alleen toegankelijk voor medewerkers met een pasje en om bestanden te kunnen openen had je waarschijnlijk een Active Directory-account en een bedrijfslaptop met de juiste machtigingen nodig. In het ongunstige geval kreeg iemand van de marketingafdeling per ongeluk toegang tot een map met technische informatie. Daar is heel snel en drastisch verandering in gekomen.

Wat zijn de hedendaagse uitdagingen op cyberbeveiligingsgebied?

De digitale transformatie komt op gang en onze werkzaamheden en bedrijfsprocessen spelen zich grotendeels online en in de cloud af. Hoewel een diepteverdedigingsstrategie onmisbaar blijft, zijn er veel geavanceerdere beheersmaatregelen nodig om bedrijven en personeel online te beschermen.

Grote cloudserviceproviders beschikken over een ultramoderne beveiliging en gestandaardiseerde procedures, maar de effectiviteit van deze maatregelen staat of valt met het gedrag van medewerkers en gebruikers. Gebruikers worden vaak de dupe van phishing en schadelijke koppelingen online. Daardoor wordt het netwerk blootgesteld aan criminelen die internet afstruinen naar kwetsbare privégegevens. In de cloud hebben gebruikers geen medewerkerspasje of specifiek bedrijfsapparaat nodig om zich toegang te verschaffen tot bestanden. Vaak zijn een paar klikken genoeg om het netwerk bloot te stellen aan dreigingen die op de loer liggen op het world wide web.

Waar cyberbeveiligingsstrategieën vaak tekortschieten

  • Het opsporen van virussen of malware duurt te lang
  • Medewerkers worden slachtoffer van phishingtactieken waardoor het netwerk wordt blootgesteld aan dreigingen
  • Bekende fouten worden niet gepatcht en updates worden genegeerd
  • Beveiligingsbeleid wordt niet gehandhaafd of is niet bekend bij medewerkers en gebruikers
  • Versleuteling ontbreekt of is gebrekkig geïmplementeerd
  • Er is geen bescherming tegen malware
  • Thuiswerken brengt nieuwe risico's met zich mee doordat werknemers op afstand verbinding maken met onbeveiligde netwerken, waardoor gegevens op straat komen te liggen
  • Problemen met de fysieke beveiliging
  • Zakelijke partners of leveringsketens zijn niet altijd volledig beveiligd

Hoe kan diepteverdediging helpen?

Cybercriminelen gaan tegenwoordig zo gewiekst en snel te werk dat één beveiligingslaag simpelweg niet volstaat. Bij de diepteverdedigingsstrategie wordt de beveiliging van het netwerk verbeterd door bepaalde beschermingsmethoden in meerdere lagen toe te passen of dubbel uit te voeren om de kans op beveiligingslekken te beperken.

Door een reeks verschillende verdedigingslagen aan te brengen, zoals firewalls, antivirussoftware, inbraakdetectie, poortscans en beveiligde gateways, kunnen bedrijven de gaten dichten en achterdeurtjes sluiten die normaliter optreden als het netwerk van slechts één beveiligingslaag afhankelijk is. Als de netwerkbeschermingslaag bijvoorbeeld wordt gekraakt door een hacker, biedt diepteverdediging beheerders en technici extra tijd om updates en tegenmaatregelen toe te passen, terwijl de antiviruslaag en de firewall-laag klaarstaan om erger te voorkomen.

Wat is het verband tussen diepteverdediging en meerlagige beveiliging?

Bij kleine en middelgrote bedrijven (mkb) wordt een vorm van meerlagige beveiliging gebruikt op basis van een combinatie van verschillende cyberbeveiligingsoplossingen om het aanvalsoppervlak zo klein mogelijk te houden en dit op alle flanken te beschermen.

Deze benadering loopt parallel aan de opkomst van mobiel werken, IoT-apparaten en de toegenomen afhankelijkheid van internet in het bedrijfsleven. Eindpuntapparaten, cloudservices en webtoepassingen vormen nu de sleutel tot gegevens waarvan cybercriminelen dollartekens in hun ogen krijgen. Toen de gegevens nog letterlijk achter slot en grendel zaten in een afgesloten gebouw, volstonden één of twee beschermingslagen.

Het aantal aanvalsoppervlakken binnen het mkb neemt in snel tempo toe. Er worden namelijk voortdurend nieuwe apparaten geïntroduceerd en toegevoegd om de bedrijfsvoering efficiënter te maken. Gegevens worden vervolgens verzameld en opgeslagen in toepassingen van derden of in de cloud. De aanvalsmogelijkheden zijn nu in feite onbeperkt. Een firewall alleen is niet meer genoeg.

Meerlagige beveiliging is een essentieel onderdeel van de technische beheersmaatregelen in het kader van de diepteverdediging. Hierbij ligt het accent op cyberbeveiliging en het volledig beschermen van eindpunten en netwerken. Bij diepteverdediging wordt ervan uitgegaan dat totale beveiliging niet haalbaar is, maar dat bedrijven het beste kunnen worden beveiligd door dreigingen te vertragen totdat het gevaar is geweken. Diepteverdediging biedt een hoger beschermingsniveau. Het is namelijk ook gericht op de administratieve en fysieke beheersmaatregelen die bedrijven, naast cyberbeveiliging, inzetten om zich te beschermen (als ze verstandig zijn).

Wat voor beveiligingslagen heeft het mkb nodig?

Om te bepalen welke lagen nodig zijn, inventariseert u eerst wat voor vertrouwelijke gegevens u hebt, waar deze zich bevinden en wie er toegang toe heeft. Apparaten, gegevens en mensen spelen vaak een sleutelrol bij het inschatten van uw beveiligingsrisico. Zodra u weet welke gegevens of apparaten risico lopen, kunt u beter bepalen welke lagen u nodig hebt en hoe die in te bedden in uw algehele beveiligingsaanpak.

Het kan zijn dat een aantal van de onderstaande beveiligingsservices en -producten dubbelop lijken of al opgenomen zijn in de functies van een andere beveiligingslaag. Toch worden ze hier afzonderlijk genoemd omdat ze zelf een belangrijke taak uitvoeren of omdat ze dubbel moeten worden uitgevoerd om de bescherming te versterken.

Welke cyberbeveiligingslagen worden aanbevolen voor het mkb?

De cyberbeveiligingsproducten en -services hieronder worden beschouwd als de “kern” voor een middelgroot of klein bedrijf. Ze bieden namelijk bescherming tegen ernstige dreigingen die bij bedrijven snel kunnen leiden tot onnodige downtime, kosten en reputatieschade.

  • Antivirus
  • Beveiligde webgateway
  • Beveiligde internetgateway
  • Firewall
  • Patchbeheer
  • Back-up en herstel

Externe toegang tot bedrijfsnetwerken is een blijvertje. Daarnaast neemt het aantal cloudservices dat bedrijven gebruiken en aanbieden toe. Daarmee winnen de volgende beveiligingslagen aan belang:

  • Tweevoudige verificatie
  • Inbraakdetectie- en preventiesystemen (IDS)
  • Versleuteling*
  • Preventie van gegevensverlies*
  • Virtueel privénetwerk (VPN)

*Afhankelijk van uw marktsegment en in overeenstemming met uw specifieke nalevingsvereisten