Initiële Toegang Voorkomen

Rechten Omlaag, Controle Omhoog

Aanvalspaden worden klein zodra rechten, segmenten en beheerkanalen consequent zijn ingericht.

Voor Initiële Toegang Voorkomen blijft de basis hetzelfde: minder impliciet vertrouwen en meer zicht op afwijkend gedrag.

Zo beperk je niet alleen de kans op incidenten, maar vooral ook de omvang en duur als er iets misgaat.

Directe maatregelen (15 minuten)

• Start met MFA, least privilege en tiering voor beheeraccounts.
• Voer segmentatie en expliciete firewallregels door op kritieke paden.
• Borg logging, detectie en hersteltests als structurele operatie.

Waarom dit telt

De kern van Initiële Toegang Voorkomen is risicoreductie in de praktijk. Technische context ondersteunt de maatregelkeuze, maar implementatie en borging staan centraal.

Verdediging: hoe je dit voorkomt

Dit is het punt waar we even onze aanvallerspet afzetten en praktisch worden. Want het is leuk om kwetsbaarheden te vinden, maar het is nuttiger om ze te voorkomen.

Wachtwoordbeleid

• Blokkeer veelgebruikte wachtwoorden: gebruik een banned password list met seizoenen, bedrijfsnamen en bekende patronen
• Langere wachtwoorden: dwing minimaal 14 karakters af, liever 20+
• Passphrases aanmoedigen: mijn hond eet graag kaas is beter dan P@ssw0rd1!
• MFA overal: TOTP, FIDO2, of push-notificaties – alles is beter dan alleen een wachtwoord
• Account lockout met monitoring: lockout na 5 pogingen, maar monitor ook de mislukte pogingen

Patch management

• Jenkins: update regelmatig, beperk toegang tot /script en /manage
• WordPress: automatische updates voor plugins en themes
• PHP: upgrade naar ondersteunde versies, schakel allow_url_include uit
• Office: schakel macro’s uit voor bestanden van internet (Mark-of-the-Web)

Netwerk segmentatie

• Jenkins: niet op het gebruikersnetwerk, niet op het internet
• FTP: vervang door SFTP, of beperk tot specifieke IP-adressen
• Management interfaces: alleen bereikbaar vanuit een jump host of VPN

E-mail filtering

• Blokkeer macro-enabled bestanden: .docm, .xlsm, .pptm als bijlagen
• Sandboxing: open bijlagen in een sandbox voor analyse
• SPF, DKIM, DMARC: implementeer alle drie om spoofing te voorkomen
• Gebruikerstraining: ja, het helpt. Niet perfect, maar het helpt

Monitoring en detectie

Verdediging is niet alleen preventie – het is ook detectie. Zelfs de beste preventieve maatregelen falen soms. Zorg dat je het merkt wanneer dat gebeurt:

• Mislukte logins monitoren: een plotselinge golf van mislukte logins op meerdere accounts is een duidelijk teken van password spraying
• Anomaliedetectie: een gebruiker die plotseling inlogt om 3:00 ’s nachts vanuit een onbekend IP-adres verdient aandacht
• Endpoint Detection and Response (EDR): detecteert verdachte processen, shellcode-injectie en laterale beweging
• Network monitoring: ongebruikelijke uitgaande beheersessies naar onbekende IP-adressen
• Honeypots: nep-accounts met eenvoudige wachtwoorden die een alert triggeren wanneer iemand probeert in te loggen
• Jenkins audit logging: wie heeft de Script Console gebruikt? Wie heeft Jobs gewijzigd?

De ironie is dat veel van deze aanvallen maanden onontdekt blijven – niet omdat de detectie zo moeilijk is, maar omdat niemand naar de logs kijkt. Een SIEM die logs verzamelt maar waar niemand op reageert, is een duur meubelstuk.

Samenvatting

Initiele toegang voorkom je door drie dingen consequent te doen:

1. Toegang hardenen: MFA, sterk wachtwoordbeleid, lockout en least privilege.
2. Invoerkanalen beperken: veilige mailflow, macrobeleid, web-inputvalidatie, afgeschermde beheerinterfaces.
3. Detectie borgen: centrale logging, anomaliedetectie en snelle opvolging van alerts.

De grootste winst zit niet in complexiteit, maar in discipline op basismaatregelen.

Defensieve validatiecheck