Datalekken binnen het bedrijfsnetwerk

oude domeinnamen vormen een securityrisico

“Door zelf altijd goed na te denken over de gevolgen van een verandering in het netwerk, hoe eenvoudig dit ook op het eerste gezicht lijkt, kun je securityincidenten al voor een deel voorkomen.”

- Barry Huis in 't veld, COO & CISCO bij iunxi

oorzaken

Netwerkproblemen komen in de praktijk nogal eens voort uit, op het eerste gezicht, simpele oorzaken. Aanpassingen die marginaal lijken maar ongemerkt toch een impact of zelfs securityrisico in ons bedrijfsnetwerk veroorzaken. Zo hebben veel bedrijven meerdere domeinnamen geregistreerd. Deze namen zijn niet altijd actief en zijn op een bepaald moment niet meer in gebruik. Na het opzeggen van de domeinnaam gaat deze minimaal 40 dagen in quarantaine of zal niet actief zijn; voordat de naam weer beschikbaar komt voor anderen. Het probleem zit hem niet zozeer in de domeinnaam zelf maar in het feit dat aan de domeinnaam e-mailadressen gekoppeld zijn. Deze e-mailadressen worden na het opheffen niet meer gebruikt. En daar ontstaat dus een potentieel gevaar.

risico's

Naar deze opgezegde domeinnamen wordt meestal nog wel mailverkeer verstuurd en die e-mails kunnen tot een datalek leiden. Het risico bestaat dat een nieuwe domeineigenaar toegang krijgt tot voor jou bestemde mails die nog naar jou verstuurd worden. Via deze e-mails kan gevoelige informatie in handen van derden komen en zo hebben we met een datalek te maken met mogelijk ernstige gevolgen. Het probleem heeft zich in het verleden al eens voorgedaan binnen de politie en bij zorginstanties. Organisaties dus, die veel met privacygevoelige data te maken hebben. Voor dergelijke bedrijven is het cruciaal goed na te denken over het vervallen van domeinnamen en met name de bijbehorende e-mails.

quarantaineperiode

Door ‘simpelweg’ het e-mailverkeer gekoppeld aan niet meer gebruikte domeinnamen naar de een andere plek te laten forwarden wordt al veel ellende voorkomen. Men houdt als bedrijf dan zicht op binnenkomend verkeer. Een andere optie is om bij opheffing van het domein deze ‘intern’ nog minimaal een jaar aan te houden en zo het e-mailverkeer te blijven monitoren. Op die manier blijf je als organisatie in controle over informatie en data die via de e-mailadressen worden uitgewisseld en kun je tijdens deze monitoringperiode maatregelen nemen. Na deze ‘afkoelingsperiode’ is het risico minimaal dat er alsnog verkeer zal binnenkomen.

Inmiddels heeft ook het SIDN de mogelijkheid mailverkeer van opgezegde domeinnamen op activiteit te scannen. Zij kunnen tijdens de quarantaine periode van het betreffende domeinnaam een voormalige gebruiker waarschuwen als er nog activiteit via de e-mailadressen zichtbaar is. SIDN geeft aan dat minimaal 73% van alle .nl-domeinnamen een DNS-mailserverrecord heeft. Op hun statistiekenwebsite zie je ook dat er tot wel 100 miljoen zoekopdrachten per dag voor dit soort records verwerkt worden. Dat zegt iets over het aantal mailtjes dat via .nl-domeinnamen worden uitgewisseld. Let wel het bereft hier alleen de .nl-domeinnamen.

Het risico is er natuurlijk niet alleen voor de .nl-domeinnamen. Het bereik dat bijvoorbeeld een .com-domein genereert is wereldwijd aanzienlijk groter als ook de mate van cybercriminaliteit. Daarmee vergroot dit het risico evenredig op misbruik van de .com-domeinnaam en de gekoppelde .com-e-mailadressen. Neem voor alle domeinnamen maatregelen alvorens deze zomaar op te zeggen.

veranderingen hebben consequenties

We hoeven niet uit te leggen dat e-mailing een security gevoelig systeem is waar hackers zich met bijvoorbeeld phishing graag op richten. Zo zijn cybercriminelen uiteraard ook geïnteresseerd in recent opgezegde domeinnamen van instanties, helemaal als daar mogelijk gevoelige data in het spel kan zijn. We kunnen dus diverse veiligheidsmaatregelen optuigen in de ICT-omgeving maar als vervolgens onzorgvuldig met dit soort zaken wordt omgesprongen helpt daar geen security-oplossing tegen.

Door zelf altijd goed na te denken over de gevolgen van een verandering in het netwerk, hoe eenvoudig dit ook op het eerste gezicht lijkt, kun je securityincidenten al voor een deel voorkomen. Iedere aanpassing heeft nu eenmaal consequenties en het is onze taak als netwerkbeheerders daar goed over na te denken. Niet alleen de ‘nazorg’ van opgeheven e-mailadressen is belangrijk maar zorg altijd voor zorgvuldige registratie van domeinnamen en mailadressen. Onze specialisten zijn getraind op het registreren van alle zaken, devices en applicaties die met de door ons beheerde bedrijfsnetwerken verbonden zijn. Weet wat er speelt en actief is binnen het netwerk dan heb je ook zicht op veranderingen en consequenties ervan.