Een hype is maar voor een korte periode, een trend zien we jaren achter elkaar. Vorig jaar schreven we al hoe aanvallers mee naar de cloud verplaatsen, hoe ransomware-aanvallen toenemen en over cyber security als onderdeel van bedrijfsculturen. Nu kijken we naar 2023. In dit artikel een overzicht van de trends die ons deze keer het meest opvielen.
Offensive trends
1. AI maakt hackers efficiënter
AI-tools (zoals die van OpenAI) zijn nog nooit zoveel besproken als in 2022. Misschien gaan de ontwikkelingen daarin nog wel sneller dan we hadden verwacht. Het roept vragen op. Want hoe geavanceerd gaat het worden? Gaan banen eronder lijden? Of veranderen? Eén ding is zeker: AI heeft nu al invloed op ons leven. Het kan het een stukje makkelijker maken. Maar: het leven van de hackers ook.
In 2023 is een nog grotere toename in AI-ondersteunde hacks zeker niet ondenkbaar. Van AI die aanvallers helpt phishingmails nóg persoonlijker en geloofwaardiger te maken, tot AI die volledige aanvallen zodanig verhult dat het nagenoeg ondetecteerbaar is. Zoek het fenomeen “polymorphic malware” maar eens op.
2. Cybercrime toegankelijk als “carrière pad”
Vorig jaar schreven we al hoe dankzij Ransomware-as-a-Service ook tech-savvy tieners ransomwareaanvallen kunnen uitvoeren. Gaat de groei van de kwaliteit van AI-tools hackers in spe nóg verder op weg helpen? Er zijn tenslotte al werkende codes ten behoeve van cyberaanvallen gegenereerd door AI-tools! (Ook al zijn dergelijke codes al met de juiste zoekopdrachten te achterhalen)
Ook zien we een groei in “Bot-as-a-Service”. Het kopen van deze prefab Botnet aanvallen maakt het voor iedereen met een beetje IT-kennis mogelijk zulke aanvallen op te zetten. Botnet aanvallen zijn geautomatiseerde aanvallen met – daardoor – een groot bereik.
3. Van laptop naar smartphone
We zagen het voorgaande jaren eigenlijk al: er werd stiekem steeds meer malware verstopt in smartphone apps en ook de phishing-SMSjes vlogen om de oren. Hackers hebben de telefoon als nieuw doelwit erbij. Logisch, want we doen er alles op. Tot bankzaken beheren aan toe!
Zolang we er niet voldoende bij stilstaan dat een smartphone net zo kwetsbaar (of zelfs kwetsbaarder) is als een laptop, is het een lucratief doelwit voor hackers. En niet alleen particulieren hebben ze in het oog. Want hoeveel mensen in de wereld hebben inmiddels wel geen zakelijke telefoon met bedrijfsgegevens erop?
4. Gehackte auto’s
Sceptici van elektrische auto’s hebben misschien toch een vooruitziende blik gehad. De vraag “Kan mijn auto gehackt worden?” is een terechte. Want eerlijk? Alles dat op eentjes en nulletjes werkt, is hackbaar. Dus ook de auto anno 2023 die vaak ook nog eens met het internet verbonden is.
De vraag is of iedereen een interessant genoeg doelwit is om de airbag spontaan af te laten gaan (of erger). Maar het is wel mogelijk. Verkeersongelukken door gehackte auto’s gaan ons (hopelijk) zeker niet om de oren vliegen. Maar de WiFi verbinding en spraakassistenten maken het voor hackers – misschien – wel aantrekkelijk CEO’s voortaan in hun auto af te luisteren. – Lees hier meer over hacks in de auto industrie.
5. Aanvallen in space
Wat er nu gebeurt, zegt veel over wat er gaat gebeuren. En Rusland heeft laten zien dat het prima mogelijk is een Oekraïense satelliet te verstoren. Gezien er meer belangrijke processen via de ruimte verlopen, is het op zijn zachtst gezegd vrij onwenselijk dat satellieten kwetsbaar genoeg zijn voor een aanval. Gelukkig lijkt het erop dat de EU alle technologie in de ruimte mee gaat nemen in de lijst van kritische infrastructuren.
Defensive trends
1. Toename cyber security betrokkenheid vanuit overheid
De laatste offensive trend brengt ons meteen naar de eerste defensive trend: namelijk de betrokkenheid van overheden. In Nederland zijn het – door de overheid opgerichte – NSCS en DTC druk bezig met het verbeteren van de cyber security in het bedrijfsleven. Voornamelijk door informatie te verschaffen.
Om te blijven genieten van de voordelen van de digitale techniek komt er in 2023 een uitbreiding van de cyber security wetgeving, conform de nieuwe NIS 2 richtlijnen. NIS is een afkorting voor “Netwerk- en Informatiesystemen”. NIS 2 is de opvolger van NIS 1 en is een cyber security wet voor essentiële sectoren binnen de EU. De lijst van essentiële sectoren is in de NIS 2 uitgebreider dan die van NIS 1.
2. AI maakt security tools krachtiger
Ja, we hebben het wéér over AI (sorry!). Security tools als SentinelOne hebben voorgaande jaren al bewezen hoe Artificial Intelligence securityoplossingen een stuk doeltreffender maken. In het geval van SentinelOne weet de AI threats te herkennen op basis van gedrag, in plaats van aan de hand van een lijst aan virusdefinities. Fijn, want zo’n lijst is nooit 100% up-to-date met nieuwere en onbekendere malware.
We zien voor onze ogen al hoe de geavanceerde GPT 3.0 (gebruikt door onder andere OpenAI) een nóg slimmere opvolger GPT 4.0 krijgt in 2023. Bovenstaand voorbeeld is dus maar het topje van de ijsberg als het gaat om wat er nog meer kan in de toekomst.
3. Zelfherstellende Endpoints
Over AI in securitysoftware gesproken: inmiddels zijn we op het punt dat Endpoints zoals laptops zichzelf kunnen herstellen. Endpoint Detection & Response software maakt dat mogelijk. De software detecteert dan een – bijvoorbeeld – ransomware aanval en komt dan meteen in actie. Zo kan het een apparaat isoleren en een rollback uitvoeren.
Apparaten die geautomatiseerd in actie komen tegen een aanval klinkt als een utopie. Maar als we kijken naar wat er nu al mogelijk is met EDR, zijn de ontwikkelingen in de toekomst nog veelbelovender.
4. Cyber security in bedrijfscontinuïteitsplan
Dat een brand grote impact heeft op de bedrijfscontinuïteit zijn de meesten het over eens. Maar wanneer het gaat over een cyberaanval heerst nog vaak de opvatting “ons overkomt dat niet” en “wij zijn geen doelwit”. De Supply Chain Attacks waar we het vorig jaar over hadden, hebben al bewezen dat meer bedrijven doelwit zijn dan ze zelf denken.
Grote organisaties hebben cyber security vaak al in hun bedrijfscontinuïteitsplan opgenomen. Met de focus van de overheden op cyberweerbaarheid komt het onderwerp vast in steeds meer plannen terecht.
5. Transparantie over cyber security maatregelen
Hoe meer we het als maatschappij hebben over cyber security, hoe meer we elkaar ook verantwoordelijk houden ervoor. Want willen we wel klant zijn bij een organisatie die de beveiliging van klantgegevens niet zo serieus neemt?
Van het openbaar melden van een datalek tot pentestrapporten op de bedrijfswebsite zetten: transparantie over cyber security komt de business ten goede.
2023: Hackers slimmer, wij slimmer
Bij voetbal zien we hetzelfde: alle teams blijven trainen. Dat gaat in de cyber security ook op. De ontwikkelingen die ons als securityprofessionals helpen cyber security nog beter te maken, helpen de hackers ook. We gaan er niet van uit dat er ooit een tijd gaat komen dat de securityprofessional achterover kan leunen.
Niet alleen criminelen maken gebruik van het Dark Web: ook cyber security specialisten. Waarom is het zo belangrijk dat zij daar rondkijken?
Het zijn vaak de cyber security specialisten die het onderste uit de kan willen halen die op het Dark Web zitten. Dat heeft alles te maken met wat er op het Dark Web besproken en verkocht wordt. Nee, zelf kopen of verkopen ze niets. Ze kijken alleen. Waarnaar? Daar gaan we dieper op in.
Het Dark Web inzetten voor security
Cyberveiligheid en het Dark Web: de tegenstelling kan gevoelsmatig haast niet groter. Toch is het juist dat Dark Web dat cyber security specialisten nóg beter maakt in hun werk. Cybercriminelen delen er nogal wat inside-information. Informatie die voorkomt dat cyber security specialisten achter de feiten aan lopen.
Wat is belangrijk is voor cyber security specialisten?
Wat die belangrijke informatie is? Dat varieert van communicatie over (dreigende) threats tot gestolen data. We hebben het een en ander – met uitleg over de relevantie voor cyber security – op een rijtje gezet.
Gelekte corporate data
Een datalek of datadiefstal is niet in alle gevallen zichtbaar. Te vaak blijven data breaches onopgemerkt omdat organisaties niet zijn ingericht op detectie. In deze gevallen levert een zoektocht op het Dark Web veel verrassingen op.
Cyber security specialisten zoeken – als het nodig is – naar de naam van een organisatie om te achterhalen of er gevoelige data is gelekt. Dat stelt ze in staat een inventarisering te maken van potentiële threats én daarop in te spelen. Niet alleen om incidenten te voorkomen: het helpt organisaties ook iets te doen tegen dreigende reputatieschade.
Wachtwoorden & accounts staan te koop
Niet alleen privé accounts staan te koop: vooral corporate accounts zijn in trek. Denk bijvoorbeeld aan e-mailadressen voor CEO- en CFO-fraude, of de credentials van het adminaccount van een slordige systeembeheerder. U kunt zich voorstellen dat dat gevaarlijk is.
Ook gelekte privéwachtwoorden van medewerkers vormen een potentieel gevaar. Dit heeft alles te maken met wachtwoordhergebruik. Hackers zijn er goed van op de hoogte dat mensen hun privéwachtwoorden soms ook zakelijk gebruiken.
En… dan zijn er uiteraard nog de gelekte (corporate) PayPal-accounts en zelfs creditcardgegevens. Alle informatie over deze gelekte gegevens maakt het mogelijk een zo precies mogelijke risicoanalyse te maken. Het helpt als het ware ontgrendelde deuren op de digitale bouwtekeningen te markeren.
Ransomware as a Service
Waar elke ambacht specialismen heeft, geldt dat ook voor cybercriminaliteit. Tegenwoordig focussen steeds meer bendes zich op één specifieke aanvalsfase. Zo verkopen ze Ransomware as a Service aan (beginnend) cybercriminelen die niet de tools (of zin) hebben om zelf ransomware te ontwikkelen.
Cyber security specialisten nemen via deze weg dit soort malafide software onder de loep. Het is zeer interessant in de gaten te houden wat er op dit gebied allemaal te koop staat op het Dark Web. Dat geeft informatie over hoe toekomstige aanvallen eruit kunnen zien.
Toegang tot systemen en endpoints
Waar niet elke cybercrimineel zin heeft in zelf Ransomware ontwikkelen, heeft ook niet iedereen zin om te puzzelen naar toegang tot systemen van organisaties. U raadt het al: ook daar is een markt voor op het Dark Web.
Er zijn bendes die toegang tot netwerken van organisaties verkrijgen zonder zelf een aanval te doen. In plaats daarvan zetten ze de toegang tot organisatie X gewoon te koop. De kopers maken dan van deze toegangspoort gebruik om – bijvoorbeeld – een ransomware-aanval te doen.
Het is belangrijk dat cyber security specialisten op de hoogte zijn van dit soort diensten. Het is nu namelijk een stuk laagdrempeliger een aanval te doen, met meer – of ander soort – aanvallen als gevolg. Belangrijke trends om in de gaten te houden.
Hackers inhuren
Voor kwaadwillenden die zelf hun handen niet vuil willen maken, zijn er hackers te huur op het Dark Web. Zij bieden hun diensten aan in ruil voor (nogal wat) geld. Wie wrok koestert naar een concurrent heeft zo de ideale – én illegale – manier om de concurrent te dwarsbomen.
Zero-day kwetsbaarheden
Het is niet de vraag of kwetsbaarheden ontstaan, maar wanneer. Microsoft doet niet voor niets aan “Patch Tuesday” om beveiligingsupdates uit te brengen. Dat is broodnodig, want als kwaadwillenden een kwetsbaarheid in software ontdekken voordat er een oplossing is uitgebracht, hebben ze vrij spel voor zero-day aanvallen.
Het Dark Web bulkt van de informatie over zero-day kwetsbaarheden. Cyber security specialist gebruiken deze info om tijdelijke oplossingen voor gevaarlijke kwetsbaarheden te implementeren bij klanten. Zo zijn ze niet volledig kwetsbaar terwijl ze wachten op een patch.
Veranderende threats
Het threat-landschap verandert razendsnel. De best mogelijke cyber security is alleen te bereiken met actuele kennis over deze threats. Die kennis is voornamelijk te vinden op het Dark Web. Heeft u naar aanleiding van dit artikel vragen? Neem dan vrijblijvend contact met ons op.
“De cyberdreiging groeit” begint inmiddels al bijna als een cliché te klinken. Maar dat maakt het niet minder belangrijk. We kunnen er écht niet meer omheen: alertheid is nu van levensbelang.
Steeds meer organisaties trekken hun kop uit het zand. Want het lijkt erop dat geen enkele organisatie nog veilig is. Het klinkt dramatisch, maar het is helaas de waarheid. Dat begint ondernemend Nederland wel door te krijgen: men is zich steeds meer bewust van de dreiging en nemen actie. Bijvoorbeeld door Cyber Security Awareness trainingen te organiseren.
Wat zijn Cyber Security Awareness trainingen?
De naam zegt het eigenlijk al. Cyber Security Awareness trainingen zijn er om het bewustzijn van medewerkers te verhogen en cyberveilig gedrag te stimuleren. Zolang (minder digitaalvaardige) collega’s niet op de hoogte zijn van gevaren als phishing, malware, etc. is de kans op problemen groot. Medewerkers leren deze dreigingen beter te herkennen, samen met ander cyberveilig gedrag zoals het niet delen van wachtwoorden.
Hoe resulteert dat in meer cyberveiligheid?
Wanneer medewerkers niets of weinig weten of de risico’s die ze nemen en de digitale dreiging is er een onveilige situatie. Wanneer medewerkers wel weten wat voor gevaren er op de loer liggen en wat ze er tegen kunnen doen, is de kans op fouten kleiner. Dan is de cyberveiligheid dus hoger.
Maar: iemand vertoont bepaald gedrag niet alleen als hij de kennis en vaardigheden ervoor heeft. Daar is ook de wíl en mogelijkheid/kans om het te doen voor nodig. Want het is heel moeilijk gevoelige documenten te vernietigen wanneer er geen papierversnipperaar is. En is er wel een papierversnipperaar, maar staat die ver weg of is die altijd bezet? Dan wint gemak het alsnog van kennis.
Het is dus goed om bij medewerkers te polsen wat ze nodig hebben om de vaardigheden uit een Security Awareness Training toe te passen.
Een andere maar
Een Cyber Security Awareness training staat natuurlijk nooit op zichzelf als securitymaatregel. Dat is ook nodig, want de andere maar is dat mensen – hoe goed getraind ook – nooit 100% te vertrouwen zijn. We bedoelen hiermee niet dat iedereen potentieel kwaadwillend is. Juist in onbewaakte of zelfs goedbedoelde momenten kan er nog een hoop mis gaan.
Bijvoorbeeld wanneer iemand moe is: dan trappen zelfs de besten soms in een phishing-actie. Zelfs al zou iedereen elke week een Security Awareness Training volgen, dan nog ligt dit risico op de loer. Mensen maken fouten. Punt. Dat is waarom aanvallers ook zo gretig inzetten op Social Engineering.
Een technisch alternatief voor Awareness Trainingen?
Er is software die bovengenoemde menselijke fouten deels op kan vangen. Maar dan nog blijft een goed wachtwoordbeleid en een cybersecurity bewustzijn onder personeel belangrijk. Dat gezegd hebbende: software als Check Point Cloudguard neemt een hoop zorgen weg. Deze vangt namelijk veel klappen die vallen door Social Engineering op. Hoe? We gaan er dieper op in.
Check Point Cloudguard
Een Security Awareness Training helpt collega’s phishingmails en malafide bijlagen te herkennen en vervolgens goed te handelen. Check Point Cloudguard maakt die alertheid minder nodig. Deze software maakt mails – nog voordat ze in de inbox belanden – vrij van kwade links en bijlagen. Dus heeft iemand een zware maandagochtend? Dan is de kans dat er door die vermoeidheid iets mis gaat een stuk minder aanwezig: de mails zijn namelijk onschadelijk.
Hou daarnaast een oogje in het zeil
Echt veilig bezig zijn, betekent niets aan het toeval overlaten. Er kan tenslotte altijd iets gebeuren: hoeveel beveiligingsmaatregelen u ook heeft genomen. Denk bijvoorbeeld aan een collega die uit gemak of haast toch even snel een third-party app heeft geïnstalleerd. Blijkt die app onveilig? Dan is het handig daarvan op de hoogte te zijn en deze te (laten) onderzoeken.
Monitoring helpt u op de hoogte te blijven van wat er gebeurt in de digitale omgeving van uw organisatie. Zo geeft een Security Operations Center (SOC) een melding bij verdachte activiteit. Is er echt nood? Dan bent u er in ieder geval op tijd bij.
Uiteraard is de best practice om het installeren van third-party apps helemaal niet zomaar toe te staan. Maar bovenstaande schetst wel een helder voorbeeld.
Beveiligen gaat in lagen
Niet zo lang geleden schreven we er nog een artikel over: echt goede beveiliging bestaat uit lagen. Aanvallers zijn continu op zoek naar ingangen. Maar die lagen zorgen ervoor dat het een stuk moeilijker is naar binnen te stormen.
Security Awareness Trainingen: één laag
Dus: zijn Security Awareness Trainingen effectief? Als u alle “maren” meeneemt in het verhaal, dan is het écht een goede aanvulling op het geheel. Wanneer mens en techniek samenwerken om de organisatie veilig te houden, dan is de kans groot dat dat zeer goed lukt!
Vragen over dit onderwerp? Neem vrijblijvend contact met ons op.
Hackers en security specialisten: ze zijn continu met elkaar in strijd. Ontdekken aanvallers een nieuwe kwetsbaarheid om te exploiteren (bijvoorbeeld in Log4j)? Dan staan security experts klaar om in de verdediging te gaan.
Dat werkt overigens ook andersom: hoe succesvoller de beveiliging aan de securitykant, hoe harder aanvallers op zoek gaan naar andere methoden. Denk aan Supply Chain Attacks: doordat grote organisaties hun security steeds meer op orde krijgen, gaan hackers via de (vaak kwetsbaardere) supply chain in de aanval.
Ontwikkelingen in de cyber security
In dit artikel leggen we de loep op de beveiligingskant. Wat voor ontwikkelingen gaan we het komende jaar zien? Juist (of ook) benieuwd naar de trends in het threatlandschap? Bekijk dan dit artikel.
1. Cyber security cultuur
Cyber security is al lang niet meer enkel de verantwoordelijkheid van securityteams. Social engineering aanvallen maken elke medewerker een belangrijk onderdeel in de beveiliging. Een shift naar een organisatiecultuur waarin cyber security een (grotere) rol speelt, ligt op de horizon.
Hoe dat eruit ziet? Denk niet alleen aan awareness trainingen voor medewerkers, maar aan alle acties die de “security-ownership” op de werkvloer vergroten én veilig handelen haalbaar en mogelijk maken. Daarnaast zien we steeds vaker dat developers securecoding al aan het begin van een ontwikkelproces prioriteren (DevSecOps).
2. Machine Learning in security oplossingen
Machine Learning zien we steeds vaker terug in security oplossingen. Zo maakt onder andere SentinelOne al actief gebruik van de voordelen van ML. Zoals het herkennen van verdacht acties. Waar vroeger antivirussen afhankelijk waren van vooraf bepaalde virusdefinities, treden ML-based oplossingen op bij nieuwe (nog) niet gedefinieerde bedreigingen.
De bovenstaande toepassing heeft – zoals u leest – nu nog vooral te maken met bedreigingen die op dat moment al aanwezig zijn. Maar er zijn ontwikkelingen die aanwijzen dat we in de toekomst nog meer van Machine Learning mogen verwachten: namelijk dat ze bedreigingen gaan voorspellen.
3. Vaker monitoring als beveiligingsoplossing
In ons vorige artikel schreven we al dat misbruik van kwetsbaarheden tegenwoordig steeds sneller optreedt dan voorheen. Dat komt o.a. doordat de kennis en technieken rondom cybercrime toegankelijker dan ooit is. Deze ontwikkeling maakt dat gelaagde beveiliging én monitoring – in het huidige threatlandschap – inmiddels onmisbaar zijn.
In het geval van een brand grijpen we tenslotte ook liever al in op het moment dat het nog een kleine vlam is. Een emmer water is dan al voldoende om de situatie onder controle te krijgen. En de schade? Die blijft beperkt tot een brandvlek in het gordijn. Maar staat de boel al volledig in de hens? Dan verandert de zaak al snel in “redden wat er te redden valt”.
Een Security Operations Center – ook wel SOC – houdt de digitale omgeving voor u in de gaten.
4. Een andere vorm van monitoring: Vulnerability Management
Bij monitoring denken we al snel aan een alarmcentrale, precies zoals een SOC in de praktijk werkt. Is er verdachte activiteit? Dan krijgt u een melding. In het geval van Vulnerability Management monitort u ook de gezondheid van de digitale omgeving. Is er ergens een kwetsbaarheid ontstaan (bijvoorbeeld door een update)? Dan zijn er tools die daar een melding van geven én instructies om het op te lossen.
In een tijd waarin aanvallers massaal op kwetsbaarheden afduiken, is die focus op het herstellen van vulnerabilities een nodige next step.
5. Focus op Cloud security
In het threatlandschap zien we de ontwikkeling dat aanvallers mee verplaatsen naar de Cloud. Een natuurlijk gevolg is dat aan de beveiligingskant de focus op de security van Cloudomgevingen meegroeit. Vulnerability scans, patch management, MFA, het “least-privilege” principe: het zijn oplossingen die we steeds vaker gaan zien in de securityminded organisatie. Lees hier meer over cloud security.
6. Ontwikkelingen in 5G- en IoT beveiligingsoplossingen
Dankzij 5G zijn we in staat nóg meer apparaten aan elkaar te koppelen. De populariteit van Internet of Things zit in de lift, met bijkomende beveiligingsrisico’s. Want zit er in één apparaat een kwetsbaarheid? Dan is de stap naar andere endpoints – of andere delen van het netwerk – zeer snel gemaakt door de aanvaller.
Voor aanvallers is het fantastisch dat ze via zwakke en amper beveiligde apparaten snel binnen kunnen komen. En die snelle verplaatsing op het netwerk is ook zalig voor ze. Reden genoeg om een groei in IoT aanvallen te verwachten. Een upgrade in het detecteren van deze IoT-attacks ligt op de horizon.
2022 leunt op inzicht
Kijkend naar de ontwikkelingen in het beveiligingslandschap, is er één conclusie te trekken: dat security experts- en oplossingen veel meer vanuit inzicht vertrekken. Of dat nu inzicht is in de kwetsbaarheden of in verdachte activiteiten.
Ons belangrijkste wapen tegen kwaadwillende hackers is inzicht.
Vragen over cyber security?
Roepen deze ontwikkelingen op het gebied van security oplossingen vragen op? Neem vrijblijvend contact met ons op voor meer informatie.
De kwetsbaarheid van Apache Log4j waarmee we 2021 afsluiten, benadrukt een ontwikkeling die al langer gaande is. Namelijk de enorme toename in het aantal cyberaanvallen. Waar gaan we in 2022 naartoe?
Met wekelijks 446 getroffen bedrijven in Nederland, hebben we in 2021 te maken gehad met een aanvalsstijging van 86 procent ten opzichte van vorig jaar. Check Point voorspelt dat deze stijging niet zomaar stagneert. Wat betekent dat voor het threatlandschap in 2022?
In de komende artikelen highlighten we de trendontwikkelingen op het gebied van cyber security uitdagingen, dreigingen én oplossingen.
Trends in het threatlandschap
Dat de cyberdreiging groeit, is duidelijk te zien in de cijfers. Maar hoe zien die threats eruit? Wat zijn de dreigingen waar we in 2022 extra rekening mee moeten (blijven) houden?
1. Minder getalenteerde aanvallers net zo gevaarlijk
De meesten zijn vast al bekend met Software-as-a-service (SaaS). In de wereld van cyberaanvallen bestaat er tegenwoordig ook zoiets als Ransomware-as-a-service (RaaS). Ransomwareontwikkelaars bieden ransomwaretools aan in abonnementsvorm, waarbij ze een percentage opeisen op de losgeldsom.
RaaS maakt het uitvoeren van een ransomware-aanval toegankelijker dan ooit, ook voor minder getalenteerde aanvallers. Dat is een gevaarlijke combinatie met Initial Access Brokers: partijen die toegang tot organisaties verkopen (vaak verkregen met Brute Force Attacks). Alles bij elkaar maakt het uitvoeren van een ransomware-aanval té makkelijk. Het logische gevolg? Een blijvende stijging in het aantal ransomware-aanvallen.
2. Meer druk op slachtoffers
Er is ook een verwachting (onderschreven door onderzoekers van Sophos) dat aanvallers meer druk gaan leggen op slachtoffers om ze losgeld te laten betalen. Bijvoorbeeld met nog meer dreigmails- telefoontjes, of zelfs DDoS aanvallen. Alles om het slachtoffer onder druk te zetten.
3. Sneller misbruik van kwetsbaarheden
Dat er tegenwoordig zelfs pubers worden opgepakt voor cybercrime, geeft aan dat aanvalsmethoden – zoals we hierboven al omschreven – steeds toegankelijker zijn. Hoe lager de drempel, hoe meer aanvallen. We hebben nu al gezien hoe snel een kwetsbaarheid (Log4j) massaal wordt besprongen door cybercriminelen. Gelaagde beveiliging én er op tijd bij zijn is belangrijker dan ooit. In het volgende artikel gaan we daar dieper op in.
4. Supplychain aanvallen blijven toenemen
De afgelopen tijd kwamen aanvallen op distributietketens al steeds vaker voor. Dat gaat in 2022 niet anders zijn. Zolang aanvallers gaten in de muren van toeleveranciers van doelwitbedrijven blijven vinden, is het een lucratieve aanpak. Lees hier meer over supply chain attacks.
5. Ontwikkelingen in de AI vallen aanvallers ook op
Iets verder op de horizon ligt tot slot de volgende ontwikkeling: aanvallen met AI in de hoofdrol. Denk hierbij aan het inzetten van bijvoorbeeld deepfake technologie, of AI phishingacties waarbij nóg moeilijker te achterhalen is of een mail echt of nep is. Met de huidige ontwikkeling op het gebied van AI zijn er een tal van toepassingen te bedenken die voor aanvallers interessant kunnen zijn. Die bedenken zij zelf ook. Iets om in de gaten te houden dus.
6. Social engineering & fake news
Aan het begin van de pandemie schreven we al een artikel over hoe aanvallers de onrust en hunkering naar informatie inzetten in hun phishingacties. Ze trekken slachtoffers aan met “informatie” over de pandemie. Omdat deze social engineering aanvallen nog steeds vaak succesvol blijken, is deze trend nog altijd gaande. Gelukkig zijn er methoden om uw organisatie te beschermen tegen dit soort aanvallen (of ze nu gelinkt zijn aan de pandemie of niet).
7. Aanvallers verplaatsen mee naar de cloud
Vorig jaar stipten we dit punt ook al aan: onze ‘massale’ verplaatsing naar de cloud, wordt op de voet gevolgd door aanvallers. In de praktijk richten ze hun pijlen – onder andere – op kwetsbaarheden in microdiensten. Die microservice-architectuur is populair bij cloudontwikkelaars. Aanvallen op die architecturen zijn vaak grootschalig.
8. Overige cyber security trends
Verder is het interessant te benoemen dat aanvallers waarschijnlijk steeds directer op het geld af gaan duiken. Denk hierbij bijvoorbeeld het misbruiken van mobiele (crypto)wallets. Daarnaast is het – zeker in een polariserende samenleving – nog altijd niet ondenkbaar dat cyberaanvallen steeds vaker een activistisch randje krijgen.
Trends in het securitylandschap
Niet alleen aanvallers blijven inventief, cybersecurity experts & ontwikkelaars ook. In het nieuwe jaar gaan we in deel 2 van dit artikel dieper in op de trends aan de beveiligingskant. Ook daarin zit beweging. En dat is nodig ook: want een dynamisch threatlandschap vraagt om een dynamische verdediging.
Nu al informatie over de verdediging?
Roepen deze ontwikkelingen in het threatlandschap vragen op? Neem vrijblijvend contact met ons op voor meer informatie.
De “unhackable” securityoplossing: elk jaar duikt er wel weer een op. Maar kan dat? Iets ontwikkelen wat niet te hacken is? Is het niet gewoon slimme marketing? Of zelfs een onverstandige uitlating die hackers alleen maar uitdaagt?
Zeggen dat een securityoplossing niet te hacken valt: het straalt ontzettend veel zelfverzekerdheid uit. En wie wil er nou niet investeren in 100% solide security? Toch is het – zelfs wanneer u zeker van uw zaak bent – alles behalve slim te roepen dat iets onhackbaar is. En wel hierom:
Waarom “unhackable” niet bestaat
Beweren dat iets niet te kraken is, is hetzelfde als zeggen dat kraanwater niet giftig is. De kans dat iemand sterft aan het drinken van water is nihil. Maar wil iemand het toch voor elkaar krijgen? Dan is dat met een beetje wilskracht zeker mogelijk: bij de inname van een zeer hoge hoeveelheid water begeven de nieren het. Het gevolg? Jazeker: watervergiftiging.
Dit gaat precies hetzelfde in zijn werk bij securityoplossingen. Ja, ze kunnen zo ontwikkeld zijn dat het vreselijk lastig is ze te kraken. Maar écht onkraakbaar? Dat kan nooit. Hackers die graag willen, krijgen het vroeg of laat voor elkaar. Al kost het ze jaren aan werk.
Het ding is alleen: juist de oplossingen die beweren unhackable te zijn, blijken in de praktijk ook nog eens vrij eenvoudig te kraken. We geven daar later in dit artikel nog een paar voorbeelden van.
“Unhackable” is een gevaarlijke term
In de praktijk komt iedereen er prima mee weg te zeggen dat kraanwater niet giftig is. De meeste mensen snappen dat bij normale hoeveelheden de stof nagenoeg onschadelijk te noemen is. Dat gaat voor securityoplossingen alleen niet op. Er zit een groot verschil tussen roepen dat water niet giftig is en roepen dat software niet te kraken is.
Dat verschil? Dat zit hem in de kwaadwillenden. Zeggen dat water niet giftig is, zal niemand uitdagen u een grote hoeveelheid toe te dienen om alsnog het tegendeel te bewijzen (Excuses voor het lugubere voorbeeld). Hackers daarentegen zien het nog geregeld als een sport bij lastige doelwitten binnen te komen. Iets hacken dat onhackbaar zou moeten zijn? Dat is dan al helemaal een interessante uitdaging!
Gekraakte software leidt tot imagoschade
Elke keer wanneer een ontwikkelaar beweert dat zijn oplossing niet te kraken is, weten hackers toch weer het tegendeel te bewijzen. “Daag hackers niet uit” is dan ook het advies van veel experts. Oplossingen die als onkraakbaar op de markt zijn gezet en vervolgens alsnog gekraakt werden, gaan over het algemeen de geschiedenis in als flaters.
Onhackbare oplossingen beloven komt zelfverzekerd over. Maar durven zeggen dat iets nagenoeg niet te hacken is, straalt nog veel meer betrouwbaarheid uit.
Security oplossingen waarbij het mis ging
Door de jaren heen zijn er meerdere onhackbare oplossingen toch gehackt. We hebben drie opvallende situaties op een rijtje gezet:
1. De onhackbare wallet
Bitfi-wallet is een opslag voor cryptocurrency die beweerde onhackbaar te zijn. Ze daagden hackers zelfs uit door ze een bedrag van $100.000 aan te bieden wanneer ze coins uit de wallet konden halen. Echter kreeg geen enkele hacker geld, want toen de wallet gekraakt was, beweerde Bitfi dat ze niet aan de voorwaarden hadden voldaan.
Het bijzondere aan dit alles? Dat de claim “unhackable” pas na meerdere keren gehackt te zijn van de website is gehaald. Blijkbaar beschouwde Bitfi hun product na 1 hack nog altijd als onhackbaar. Opvallend is dat John McAfee ondertussen nog steeds van mening is dat Bitfi niet te hacken is.
2. De onkraakbare USB-stick
Een ander bedrijf dat de fout maakte hackers uit te dagen, is eyeDisk. Op hun Kickstarter pagina beloofden ze dat paniek bij het verliezen van een USB-stick niet meer nodig is. De eyeDisk bepaalt namelijk aan de hand van iemands iris of hij of zij de rechtmatige eigenaar is. De ge-encrypte data op de USB-stick is daarmee alleen toegankelijk voor degene die de juiste biometrie kan presenteren. Onhackbaar dus, volgens eyeDisk.
Pentest researcher David Lodge wist de USB-stick toch te kraken. De eyeDisk is namelijk ook toegankelijk met een back-up wachtwoord. Dat wachtwoord is eenvoudig te achterhalen door een verkeerd wachtwoord in te voeren. Door de manier waarop een wachtwoord gevalideerd wordt, is het juiste wachtwoord er zo uit te trekken door een hacker.
3. Niet te hacken bluetooth-slot
Afgelopen September bewees een Brits bedrijf dat pentesten uitvoert dat het niet te hacken bluetooth-slot 360Lock toch eenvoudig te hacken bleek. Het slot is namelijk kwetsbaar voor replay-aanvallen. Dat geeft aanvallers de mogelijkheid het slot toch te openen. Ook de fysieke behuizing van het slot blijkt fragiel en is eenvoudig met een hamer te breken.
360Lock beweerde op Kickstarter net als eyeDisk dat het slot volledig “hackproof” is. De claim is gelukkig niet getest door een kwaadwillende hacker, maar een beveiligingsonderzoeker met minder kwade bedoelingen. Wel gaf de onderzoeker advies het slot niet te gebruiken. Niet bepaald goede marketing voor 360Lock dus.
Niet te hacken? Niet geloven
We hebben ons punt wel gemaakt: oplossingen die onhackbaar zijn bestaan niet. Helaas. Of u daarmee alle – zogenaamd – unhackable oplossingen meteen moet wantrouwen? Dat niet per se. Maar het is wel belangrijk nooit 100% blind te vertrouwen op een oplossing. Blijf wakker en alert. Alleen dán bereikt u het hoogst haalbare op het gebied van veiligheid.
Tot slot is het per definitie gezond kritisch te zijn bij het kiezen van een cybersecurity oplossing en altijd goed door te vragen. Advies van een expert nodig? Neem dan vrijblijvend contact met ons op.
Wie denkt dat hackers in de zomer met vakantie gaan, heeft het mis. Oké, als ze de kans hebben, gaan ze vast wel even genieten op het strand natuurlijk. Maar wist u dat juist tijdens de zomer – naast kerst & oudjaarsavond – de meeste cyberaanvallen plaatsvinden?
Dat heeft alles te maken met de grote hoeveelheid vakantiegangers in de zomerperiode. Waarom hackers als vliegen op die vakantiestemming af komen? Dat heeft meerdere redenen. Waar spelen aanvallers op in? En hoe bent u daarop voorbereid? In dit artikel gaan we dieper in op cyberaanvallen in de zomerperiode.
Waarom zoveel cyberaanvallen in de zomer?
Is een bedrijf kwetsbaar? Dan slaan cybercriminelen toe. Kwetsbaarheden zijn er altijd, maar met name in de vakantieperiode komen ze iets vaker voor. Hacken in de vakantieperiode is vergelijkbaar met boogschieten met een vizier: raak schieten is dan een stuk eenvoudiger. Er zijn verschillende redenen waarom bedrijven doorgaans kwetsbaarder zijn in de zomer:
1. Werklaptops gaan op reis …en verdwijnen
Of het nu om workaholics of CEO’s gaat: er zijn altijd werklaptops of werktelefoons die gezellig mee op vakantie gaan. Maar hoe meer gesjouw met laptops, hoe meer security-risico’s. Om te beginnen is er de kans op diefstal. Ontbreekt encryptie? Of is toegang ook zonder VPN-clients mogelijk? Dan is de kans dat kwaadwillenden bij de data op die laptop kunnen groot.
2. Wifi-netwerken in het openbaar
Daarnaast onderschatten velen nog steeds het risico van inloggen op onbekende Wifi-netwerken. Het is verbazingwekkend hoeveel tactieken hackers erop nahouden: sommigen gooien hun eigen wifi-netwerk de lucht in. Maakt iemand verbinding? Dan hebben hackers meer rechten dan u zou denken.
Zo’n operatie zetten ze gehaaid op: bijvoorbeeld door het netwerk dezelfde naam te geven als een hotel of horecazaak. Hoe weet u dan nog zeker of verbindt met de Wifi van de McDonalds, of die van een hacker?
3. Mailen tijdens de vakantie is normaal
Even wat mailtjes wegwerken terwijl we op de camping zitten: niemand kijkt er nog van op. Of het gezond is, is een ander verhaal. Maar vanuit security-oogpunt zitten er zeker haken en ogen aan deze ontwikkeling. CEO-fraudeurs hebben er namelijk veel profijt van.
Want tijdens de vakantie van de CEO een vakantie van hem of haar ontvangen? Dat is niet zo raar. Maar controleren of de inhoud klopt door even te bellen? Dat doen we niet zo snel. We gaan tenslotte niet mensen storen tijdens hun vakantie. Vaak is het dus verleidelijk eventuele betalingen daardoor zonder vraagtekens door te voeren. En dat terwijl de mail van een CEO-fraudeur kan zijn.
4. Meer mensen op vakantie = minder mensen op kantoor
Waar er op de vakantiebestemming het een en ander mis kan gaan, geldt dat ook voor de thuisbasis. Wanneer er minder mensen op kantoor zijn, valt het tegen hoe snel er geschakeld kan worden bij een eventuele aanval. De kans dat bedrijven die geen gebruik maken van een SOC verdachte activiteiten opmerking is al klein, maar bij een kleine bezetting nog kleiner. En heeft iemand iets door? Dan is het niet altijd even makkelijk snel te schakelen om het op te lossen.
5. Wie aanwezig is, is ook in de vakantiemodus
Oké, iedereen doet hard zijn best toch nog productief te zijn tijdens de zomerperiode. Maar het is lastiger wanneer de structuur eruit is en het zonnetje schijnt. Continu missen er collega’s en delen de collega’s die wel aanwezig zijn hun vakantieplannen. Het is bijna onmogelijk niet zelf in de vakantiemodus te raken.
Dat heeft – naast een verminderde productiviteit – helaas consequenties voor de cybersecurity. Die vakantiemodus maakt personeel minder oplettend. Het gevolg? Social engineeringaanvallen zoals phishingacties zijn vaak veel succesvoller. Om nog maar te zwijgen over werknemers die voor de vakantie snel nog het een en ander willen afronden: zij klikken in hun haast een stuk sneller op malafide inhoud.
Hoe gaat u met deze verhoogde risico’s om?
Hoe alerter iedereen is ondanks de zomerperiode, hoe kleiner de kans op grote beveiligingsrisico’s. Maar dat is helaas juist ook de uitdaging: mensen kunnen niet altijd op scherp staan. Het is vrij logisch dat bovenstaande kwetsbaarheden ontstaan. Het is dus goed om voor de vakantieperiode iedereen wat alerter te maken, maar de techniek vangt nog veel meer risico’s af.
Van Encryption tot Securty Operations Centers
Kijk daarom kritisch naar de staat van uw cybersecurity voordat het “cyberaanval-hoogseizoen” start. Wie kan er allemaal bij de data van een gestolen laptop? We benoemden eerder al het belang van Encryption en VPN. Ook is er software die de medewerkers in vakantiemodus helpt met malafide mails. Die controleert mails op schadelijke inhoud voordat ze in de mailbox belanden.
Tot slot is het samenwerken met een Security Operations Center (SOC) een grote aanrader. Zeker in de vakantieperiode. Een SOC houdt actief in de gaten wat er allemaal gebeurt binnen uw infrastructuur. Zijn er verdachte activiteiten of zichtbare cyberdreigingen? Dan krijgt u direct een melding en advies. Lees hier meer over de werkzaamheden van een Security Operations Center.
“Ik ben geen doelwit”: toch wel
Cyberdreigingen kunnen overweldigend en groots aanvoelen. Het is dan comfortabeler de kop in het zand te steken, dan het realistisch in de ogen te kijken. De woorden “Ik ben geen doelwit” zijn in dat geval al snel uitgesproken. Maar helaas: anno 2021 is zowat iedereen een doelwit. Niet alleen gigantische bedrijven zijn interessant, ook kleinere organisaties uit hun supply chain.
En binnen die organisatie is elke medewerker net zo waardevol als het management. Elke weg naar binnen is tenslotte een weg naar binnen. Het is het hele jaar door belangrijk dat iedereen zich verantwoordelijk voelt voor de cyberveiligheid van een organisatie. “Ik krijg niet te maken met phishing” is echt een misvatting op de werkvloer. De (security)techniek, de mens: allemaal moeten ze samenwerken om een organisatie veilig te houden.
Vragen over veiligheid tijdens de vakantieperiode?
Neem vrijblijvend contact met ons op voor meer informatie over cyber security oplossingen die de kans op cyberaanvallen verkleinen. Bekijk ook onze andere blogs voor meer kennisartikelen over het verbeteren van de cyberveiligheid van uw organisatie.
Dat het internet een walhalla aan informatie is, weten de meesten wel. Maar wat weet u van Open Source Intelligence Investigation? OSINT onderzoekers zetten vrij toegankelijke informatie in voor (onder andere) cyber security doeleinden.
Open Source Intelligence? OSINT? We zijn ons ervan bewust dat we met termen aan het gooien zijn. Dus laten we dieper in gaan op de basis: wat houdt Open Source Intelligence precies in? Wat is een OSINT Investigation? En bovenal: hoe draagt zo’n onderzoek bij aan uw cyber security?
Eén ding is zeker: OSINT laat zien hoe bewust we ons moeten zijn van de sporen die we achterlaten op het internet.
OSINT: Open Source Intelligence
Van alle subtypes van threat intelligence, is OSINT misschien wel de meest populaire. Dat heeft alles te maken met de informatie waar het zich op baseert: die is volledig vrij toegankelijk. Open Source Intelligence is namelijk:
– Altijd gebaseerd op informatie die publiekelijk beschikbaar is
– Een analyse van deze openbare informatie
– Met een specifiek onderzoeksdoel
Waar komt die informatie dan vandaan?
We benoemden het eigenlijk al in de introductie: de informatie waar OSINT Investigation zich op baseert is op het wereldwijde web te vinden. Denk hierbij niet alleen aan de informatie die via zoekmachines naar boven komt. OSINT researchers duiken vooral in het deep web voor meer voor hun onderzoek. Daar staat nog veel meer publiekelijke data.
Voor Open Source Intelligence Investigation is die enorme vijver aan data een zegen en een vloek tegelijk. Kies een onderzoeksdoel en er is waarschijnlijk een hoop over te vinden. Maar start maar eens met het grasduinen door alle beschikbare informatie: het is overweldigend veel!
Waar wordt OSINT Investigation voor gebruikt?
Leuk al die informatie op het web: maar wat kan ik er mee? Hoe passen cyber security experts Open Source Intelligence Investigation toe in de praktijk? We sommen een aantal toepassingen binnen de cyber security voor u op:
1. Ethisch Hacken
Ethisch hackers zetten pentests in om kwetsbaarheden aan te tonen door deze actief te misbruiken. Op deze manier toont een ethisch hacker precies de security pijnpunten aan. Zo is het mogelijk op tijd actie te nemen. Ethisch hackers kunnen ook OSINT Investigation inzetten. Bijvoorbeeld om meer informatie te krijgen over:
– Datalekken die nog niet ontdekt zijn, bijvoorbeeld gevoelige data die per ongeluk op social media gekomen is
– Gelekte wachtwoorden die (bijvoorbeeld CEO’s) op andere sites gebruikte
– Aanwijzingen voor wachtwoorden (bijv. geboortedatum/autokenteken/hond van een systeembeheerder)
– Assets die gelekt zijn; denk aan eigen code op pastebins
– Software die (nog) niet gepatcht is
– IP-adressen (en wat ermee mogelijk is)
2. Onderzoek naar medewerkers
Laten we voorop stellen: zomaar een onderzoek naar medewerkers starten is niet integer. Dit soort onderzoeken zijn meestal gewoon in samenspraak. Wat aanleidingen kunnen zijn? Bijvoorbeeld wanneer er het vermoede is dat een manager chantabel is. Of wanneer een medewerker iets twijfelachtigs heeft geplaatst of gelekt op het internet.
In deze gevallen zetten cyber security experts Open Source Intelligence Investigation in om te achterhalen of een medewerker een risico kan zijn voor de organisatie. Aan de hand van een onderzoek naar openbare bronnen, wordt dan meer informatie over het internetgebruik van deze persoon verstrekt.
3. Awareness voor collega’s
Ook kan awareness een aanleiding zijn. Niet iedereen weet wat voor sporen hij of zij achterlaat op het internet. Of wat de gevolgen zijn van het hergebruiken van (oude) persoonlijke wachtwoorden. In samenspraak met collega’s kan dan een OSINT onderzoek ingezet worden om tastbaar te maken wat voor risico’s er op de loer liggen.
Zo maakt OSINT Investigation tastbaar welke wachtwoorden er in het verleden gelekt zijn. Heeft de medewerker deze nog professioneel in gebruik? Dan is de kans dat hij of zij de risico’s hiervan inziet natuurlijk groot.
4. Externe Threats onderzoeken
Het internet is een bron aan informatie: zo ook informatie over toekomstige aanvallen of andere zaken waar threat actors zich mee bezig houden. Over het algemeen zijn er voor het onderzoeken van dreigingen meer bronnen dan alleen Open Source data nodig. Maar pak er een stuk dark web bij en er is een kans dat sommige aanvallen te voorspellen zijn.
En wat dacht u van aanvallen die al plaats hebben gevonden? Data als IP-adressen vallen ook onder publieke data die gewoon toegankelijk zijn. Zijn aanvallers onvoorzichtig geweest en hebben ze datasporen achtergelaten? Dan kan grondig OSINT onderzoek naar die paar sporen – in gunstige gevallen – leiden tot één persoon of een groep aanvallers.
Journalistiek OSINT Investigation
Open Source Intelligence Investigation komt ook buiten de cyber security voor. Zo maakt Bellingcat er vooral vanwege journalistieke redenen gebruik van. Zij zijn bekend vanwege hun onderzoeken naar MH17 en de situatie in Syrië: met dit portfolio zijn ze toonaangevend op het gebied van OSINT.
Niet zonder reden heeft IP4Sure zich laten scholen door deze partij, om onze Cyberlab dienst nog beter te maken.
Het gevaar dat aan OSINT kleeft
Wat hackers kunnen, kunnen pentesters ook: zij maken gebruik van dezelfde technieken als hackers om kwetsbaarheden te achterhalen en op te lossen. Dit gebeurt ook andersom. Zo is er het risico dat cybercriminelen Open Source Intelligence Investigation overnemen en daar zelf gebruik van maken. Bijvoorbeeld om meer informatie te krijgen over de CEO van een bedrijf.
Belangrijke info om mee te nemen! Dus nogmaals: het is niet verkeerd ons bewust te zijn van de sporen die we – als particulier – achterlaten op het internet.
Zelf OSINT Investigation inzetten?
Heeft u vragen over Open Source Intelligence? Of zou u meer willen weten over de mogelijkheden en doeleinden hiervan? Neem vrijblijvend contact met ons op. Dan praten we u graag bij! Het is een erg interessante methode die – naast pentests – meer inzicht geeft in hoe veilig uw organisatie is.
De privacy-noodklok klinkt steeds vaker: datalekken zijn een groeiend probleem. De aangescherpte wet AVG was een stap in de goede richting, maar steeds vaker blijkt dat we er als samenleving nog lang niet zijn. En wie dat aan gaat? Ons allemaal.
Elk jaar viert Europa op 28 Januari de internationale “Data Privacy Day”. Marc Laliberte, senior security-analist, maakte dit jaar het belang van deze dag extra duidelijk met een sombere blik op de toekomst. Hij uitte zijn zorgen over de privacy van gebruikers die met elke datalek of datadump steeds verder af lijkt de brokkelen. En die gebruikers? “Zij zullen uiteindelijk massaal in opstand komen”.
Minder vertrouwen in organisaties na datalek
Het is onmogelijk zomaar om deze woorden heen te lopen. We voelen allemaal hoe in de huidige samenleving privacy een steeds belangrijkere rol speelt. Niet alleen omdat we ons – als particulier – steeds meer realiseren wat de waarde van onze persoonsgegevens is: ook omdat de algehele cyberdreiging groeit. Met alle gevolgen van dien. En dan hebben we het niet alleen over alle kostbare data waar criminelen mee aan de haal kunnen.
U weet vast een aantal recente voorbeelden te noemen waarin het vertrouwen in een organisatie of instantie is gedaald na een cyberaanval. Het zijn vaak de slachtofferorganisaties die na een aanval het boetekleed aan moeten trekken en niet de – vaak anonieme – daders. Oneerlijk? Soms. Wel komt het erop neer dat een datalek niet bij een ongemak blijft, maar een gebeurtenis die een organisatie volledig kan breken.
Waarom organisaties boeten
Helemaal oneerlijk is het niet dat organisaties te maken krijgen met negativiteit vanuit hun klanten. Oké, we moeten de echte daders – de hackers – natuurlijk niet uit het oog verliezen. Maar een IT-omgeving zonder een adequaat securitybeleid? Dat is hetzelfde als bankkluizen ’s nachts met de deuren open achterlaten. Natuurlijk verliezen klanten vertrouwen als het mis gaat en gaan ze op zoek naar een andere organisatie.
Zeker nu we collectief in beginnen te zien hoeveel data en persoonsgegevens waard zijn, dragen organisaties die data verwerken een grote verantwoordelijkheid. Het is naïef om nog vreemd op te kijken wanneer potentiële klanten kritisch zijn op de manier waarop bedrijven met hun data omgaan.
Toch nemen veel organisaties privacy nog lang niet serieus genoeg. En dat terwijl het – op dit moment – een grote concurrerende factor is.
Privacy breekt en maakt
Het punt dat imagoschade na een datalek bijna onvermijdelijk is, hebben we nu wel gemaakt. Maar daar komt ook een kans uit voort. Slechte privacy stoot klanten af, dus goede privacy zou in theorie klanten aan moeten trekken.
Waar men eerder koos voor organisaties met de beste service, lijkt een groeiende groep steeds vaker te kijken naar de manier waarop een bedrijf hun privacy waarborgt. Het rekensommetje is daarmee snel gemaakt: goede IT-security kan anno 2021 een positieve invloed hebben op het onderscheidend vermogen van een organisatie.
De tweet van Elon Musk
Bovenstaande zien we in de praktijk al gebeuren. Een tekenend voorbeeld hiervan is de app Signal die een recordaantal keer gedownload werd na een tweet van Elon Musk. Signal bleek een stuk transparanter op het gebied van security dan WhatsApp dat is. Het lijkt erop dat het aanleveren van securitybewijs nu ook marketingtechnisch een slimme zet is.
Snijdt het mes nu aan twee kanten?
We willen niet zeggen dat de security- en marketingbudgetten nu voortaan in dezelfde pot moeten. Maar bovenstaande ontwikkelingen zorgen er misschien wel voor dat IT-security nu bij meer organisaties een hogere prioriteit krijgt. Helaas heerst de opvatting “bij ons is niets te halen” nog te vaak. Echter blijven hackers bewijzen dat ze uit elke IT-inbreuk wel weer iets interessants voor henzelf weten te halen.
Dus aan de bedrijven die IT-security nog niet hoog op de lijst hebben staan: doe het dan op zijn minst om service te verhogen door klanten een veiliger gevoel te geven én om ze aan te trekken.
Maar onthoud: security is geen trucje
Afsluitend willen we nog benoemen dat IT-security absoluut geen marketingtrucje mag worden. Het laatste wat wenselijk is, is dat organisaties hardop over flinterdunne securitymaatregelen gaan opscheppen om daarmee op te vallen. Met schijnveiligheid als gevolg.
Daar mogen we als consumenten en afnemers dan ook kritisch op blijven. Een actueel security-assessment of een ISO-certificering: dát zijn goede bewijsvoeringen. Een lege marketingkreet als “wij waarderen uw privacy”? Niet echt. Cybersecurity is om uzelf én uw klant te beschermen. Een betere positie in de markt is een bijkomend voordeel.
Vragen over datalekken en security-assessments?
Heeft u na dit artikel vragen gekregen over de bescherming van uw organisatie? Of zou u meer willen weten over security-assessments en de mogelijkheden die er zijn? Neem dan vrijblijvend contact met ons op.
De Militaire Inlichtingen en Veiligheidsdienst kwam recent met een opvallende waarschuwing: laat collega’s voortaan nooit meer hun smartphones meenemen tijdens een vergadering. Volgens de MIVD ligt er een spionagerisico op de loer.
Jan Swillens, diensthoofd van de MIVD, benadrukt dat zeker wanneer er bedrijfsgeheimen worden besproken, smartphones of tablets op tafel uit den boze zijn. Er zou een te groot risico zijn op cyberspionage. Een onderbouwing hiervoor? Die geeft de topman niet.
Omdat het een opvallende uitspraak is, gaan we voor u wat dieper in op de materie. Want hoe reëel is de kans dat een crimineel u afluistert via uw smartphone? En zetten aanvallers deze methode in om bedrijfsgeheimen van doelwitten te achterhalen? Wat zijn de mogelijkheden?
Er bestaat afluistersoftware voor smartphones
Allereerst: is afluisteren via een smartphone (in slaapmodus) mogelijk? Er gaan al een aantal jaar speculaties rond dat Facebook dit zou doen om relevantere advertenties te kunnen tonen aan gebruikers. Of dit echt zo is, is tot op heden niet bevestigd. Het kan tenslotte ook toeval zijn dat Facebook advertenties met merkschoenen laat zien, vlak nadat u een gesprek hebt gehad over versleten schoenzolen.
Wat we wel weten, is dat in 2017 bekend werd dat honderden gameapps de microfoons van gebruikers inschakelden om ze daadwerkelijk af te luisteren. Er werd hierbij gebruik gemaakt van software van Alphonso, een bedrijf uit Amerika. De games verzamelden audiofragmenten om door te verkopen aan adverteerders. Denk aan informatie over de TV-programma’s die gebruikers kijken. Een lucratief verdienmodel voor deze gratis games.
Dus of afluistersoftware bestaat? Jazeker.
De overheid mag afluisteren
Interessant om te weten: de overheid mag legaal smartphones afluisteren. Met speciale apparatuur verkrijgen ze via de providers toegang tot toestellen om zo telefoongesprekken af te tappen. Uiteraard doen ze dit niet zomaar: enkel wanneer er iets aangetoond moet worden in een rechtszaak.
Hoe eenvoudig komen aftap-apps op uw telefoon terecht?
Dat er software bestaat om geluidsfragmenten af te tappen, geeft al aan dat het technisch mogelijk is om via deze weg bedrijfsgeheimen te stelen. Of die software zomaar op uw toestel terecht kan komen? De smartphone-ontwikkelaars en reguliere appstores doen hun best gebruikers vanuit hun kant te beschermen met de volgende regels:
1. Een app moet toestemming vragen voor het gebruik van de microfoon
Om misbruik van apps te voorkomen, moeten gebruikers tegenwoordig bij de installatie van een app handmatig toestemming geven tot functionaliteiten van de telefoon. Een calculator die toegang wil tot uw microfoon zou al meteen een alarmbel af moeten laten gaan. Want waar heeft die app uw microfoon voor nodig?
2. Een app komt niet zomaar in de appstore
Om malafide apps uit de buurt van smartphones te houden, heeft zowel de Google Playstore als de iOS Appstore een controlebeleid. Een app moet eerst worden goedgekeurd voordat hij op de appstore komt. Het beleid van Apple is beduidend strenger dan die van Android, maar beiden zijn niet waterdicht.
Mooie maatregelen, maar de praktijk is anders
Ondanks het controlebeleid komen kwaadwillende apps alsnog regelmatig in de reguliere appstores terecht. Zo ontwikkelen aanvallers onschuldig uitziende toolapps zoals flashlights, die vervolgens malware op het systeem droppen. Deze apps worden ook wel “droppers” genoemd. En lukt het toch niet een malafide app in de appstore te krijgen? Dan heeft de ontwikkelaar gewoon nog een andere optie: hem aanbieden in een onofficiële appstore. Die hebben voldoende gebruikers.
Let op: aanvallers zijn in staat ook populaire en valide apps om te toveren tot een dropper. Dat gebeurde recent bij Camscanner, een app met meer dan 380 miljoen installaties.
Kwetsbaarheden in het OS
Daarnaast vormen kwetsbaarheden in het OS ook nog een potentiële kans voor aanvallers die willen spioneren. Waarom? Middels deze kwetsbaarheden kunnen ze de betrouwbare reguliere appstores op zijn kop zetten. Zo krijgen ze via populaire apps alsnog malware op uw toestel. Hoe dat werkt? Een bekend recent voorbeeld is bijvoorbeeld Strandhogg en Strandhogg v2.
Kwetsbare apps
Ook als u apps beperkte toegang tot functionaliteiten geeft, is er nog geen garantie dat u veilig bent. Zit er een kwetsbaarheid in een van uw apps? Nog niet zo heel lang geleden hebben hackers via een kwetsbaarheid in de Google Pixel camera app toegang weten te krijgen tot de camera’s van gebruikers. Ideaal voor spionageactiviteiten. Het is dus niet ondenkbaar dat hackers een kwetsbaarheid exploiteren om toegang te krijgen tot microfoons van smartphonegebruikers.
Kwetsbaarheden duiken geregeld op. Het is daarom belangrijk om uw OS en apps altijd up-to-date te houden. Vaak zijn ontwikkelaars er op tijd bij met beveiligingsupdates. Let er ook op dat u geen verouderd OS gebruikt: die krijgen die updates niet meer.
Hoeveel gevaar lopen bedrijven?
De waarschuwing van Swillens is zo urgent, dat het de indruk wekt dat een groot deel van de smartphones al geïnfecteerd is met spionagesoftware. Ja, audio aftappen van een smartphone is mogelijk. Maar makkelijk? Niet echt.
Het kost veel werk om een telefoon af te kunnen luisteren. Zeker wanneer één bedrijf doelwit is, is het nogal een klus om de software op de smartphone van de juiste persoon te krijgen. Maar is er voor een crimineel (of concurrent) voldoende motivatie om een vergadering af te luisteren? Dan kan er een hoop.
Better safe than sorry
Voorzichtig zijn kan nooit kwaad. Zeker wanneer u belangrijke zaken gaat bespreken, is het een optie ervoor te kiezen de aanwezigen te verzoeken hun smartphone ergens anders op te bergen. Wat heeft u te verliezen? Een telefoon kan vaak wel gemist worden aan de vergadertafel.
Maar of u nu panisch iedereen moet verzoeken zijn of haar smartphone thuis te laten? Er zijn voor hackers voldoende andere manieren om achter gevoelige informatie te komen. Geef – bijvoorbeeld- het dichten van kwetsbaarheden liever liever uw prioriteit.
Een security incident is niemands idee van een ideale maandag. Weinigen staan te springen om een kwetsbaarheid in hun digitale infrastructuur. Toch zijn security incidenten als een soort “cadeau” te zien. Het is een kans om te leren. En: een kans om het nooit meer te laten gebeuren.
Zeker in een tijd waarin de digitale dreiging steeds meer toeneemt, is het belangrijk een les te trekken uit security incidenten. De vraag is tegenwoordig niet of u er last van gaat krijgen, maar wanneer. Zonde om een incident te laten gebeuren, het op te lossen en er vervolgens weer een te krijgen. Dat ene incident geeft namelijk heel veel informatie.
Wat er vaak gebeurt bij een security incident
Een eerste – logische – reactie op een security incident is een vinger in de dijk stoppen. De kwDe vulnerability scan, de pentest en hun verschillenetsbaarheid verhelpen en verdergaan. Ja, het is een oplossing. Maar niet dé oplossing. Want wat doet u wanneer er nog een security incident optreedt? Ook daar een vinger in stoppen?
Het is goed om te begrijpen dat een technische kwetsbaarheid vaak niet opzichzelfstaand is. Ja, een vinger in de dijk verhelpt dat ene gat. Maar als de volledige dijk niet goed gebouwd is, breekt deze op een gegeven moment toch echt door. Dat is met een digitale infrastructuur hetzelfde. Een kwetsbaarheid is regelmatig een teken dat er meer aan de hand is.
Een kwetsbaarheid komt nooit alleen
Meestal is zo’n security incident een signaal dat er iets op grotere schaal niet klopt. Waar rook is, is vuur. Enkel focussen op het herstellen van hetgeen dat rookt, is dus niet voldoende. Het is regelmatig een voorbode dat er meer problemen kunnen gaan ontstaan.
Hoe dat kan? Vaak ontstaat een kwetsbaarheid doordat een mens deze in het proces over het hoofd heeft gezien. Dat betekent dat er een kans is dat wanneer het proces hetzelfde blijft, er in de toekomst door dezelfde fout weer nieuwe kwetsbaarheden ontstaan.
Voorkom dat u pleisters blijft plakken
Waarschijnlijk hebben we ons punt gemaakt: een security incident is niet één losstaand iets, maar juist een gebeurtenis die wat zegt over uw volledige security. Een gebeurtenis waar veel uit te leren is. De natuurlijke reactie op een incident is vaak reactief in actie komen, maar een proactieve en preventieve benadering die verder kijkt dan dat ene incident verbetert de volledige security.
Zo leert u voortaan van een security incident
Natuurlijk, stap één is en blijft altijd het verhelpen van de kwetsbaarheid. Maar daarna komt het belangrijkste: goed snappen waarom het gebeurd is. Waarom heeft dit specifieke security incident plaatsgevonden? Waarin werd er technisch tekort gekomen? Welke fout is er in het proces gemaakt waardoor het heeft kunnen gebeuren?
Denk bijvoorbeeld aan het bouwen van een webapplicatie. Soms kan een ontwikkelaar per ongeluk een kwetsbaarheid coderen en deze zonder extra controle toevoegen aan de applicatie. Een foutje kan altijd gebeuren. Maar dat deze niet op tijd gedetecteerd is, wijst op een tekortkoming in het proces. Dan is het dus zaak niet alleen specifiek het security incident op te lossen, maar er ook voor te zorgen dat deze fout niet nog eens voor kan komen.
Stappen om te doorlopen na het implementeren van een oplossing
Er zeker van zijn dat een security incident meer dan alleen hoofdpijn en slapeloze nachten oplevert? Doorloop dan na het oplossen van een incident altijd de volgende stappen:
1. Is er iets gebeurd door misconfiguraties door de mens?
2. Kan het zijn dat de fout die dit security incident heeft veroorzaakt ook op andere plekken zit?
3. Haal iemand erbij die met een frisse blik naar de infrastructuur kijkt.
4. Degene die kennis heeft van de infrastructuur moet nieuwe kennis doortrekken.
Securityminded implementatie
Al met al mag er in zijn geheel meer securityminded gekeken worden naar de digitale omgeving van organisaties. Het is beter meteen met cybersecurity in het achterhoofd te gaan implementeren, dan achteraf problemen op te lossen. Securityminded werken is een stuk minder duur, minder risicovol en minder tijdrovend.
Dus leer van incidenten! Want door het ten harte te nemen, kunt u er de volgende keer aan het begin al rekening mee houden.
Gehackt zijn en het niet door hebben: alles behalve wenselijk en een absolute nachtmerrie. Met de wetenschap dat 60% van de MKB-bedrijven binnen 6 maanden na een hack de deuren moet sluiten, wilt u er hoe dan ook op tijd bij zijn. Maar hoe weet u of uw bedrijf gehackt is?
Het aantal gehackte bedrijven stijgt elk jaar. Helaas zijn hacks niet altijd zichtbaar. In tegendeel: de meeste bedrijven ontdekken datalekken pas na (wederom) 6 maanden. Toch betekent dat niet dat aanvallen niet te detecteren zijn. Het komt er vooral op neer dat nog veel bedrijven er niet op zijn ingericht verdachte activiteit tijdig te ontdekken. In dit artikel geven we tips om op tijd te herkennen of u gehackt bent.
Hoe weet u of u gehackt bent?
Er zijn een aantal aanvallen die u of uw collega’s zelf kunnen herkennen. Het merendeel van de hacks zijn echter wat onopvallender, maar ook die zijn te detecteren. Hoe? Daar gaan we later in dit artikel dieper op in. Eerst de 5 meest zichtbare signalen waar u aan herkent dat er een hack heeft plaatsgevonden:
1. Versleutelde bestanden
Inmiddels zijn de meesten wel bekend met de werking van ransomware: aanvallers zetten deze in om op afstand bestanden binnen een bedrijf te versleutelen. Het doel? Geld verdienen. Criminelen beloven de sleutel van de gegijzelde data te geven in ruil voor losgeld. Het slachtoffer bedrijf heeft geen toegang tot deze bestanden tot het gehele bedrag betaald is.
Tegenwoordig komt chantage ook steeds vaker voor: hierbij dreigen aanvallers gegijzelde data publiekelijk te maken.
De kans is klein dat een ransomware-aanval 6 maanden onder de radar blijft. Zo’n aanval is namelijk eenvoudig op te merken: u hebt plotseling geen toegang meer tot alle bedrijfsbestanden. In de meeste gevallen bent u dan wel te laat. Tenslotte zijn alle bestanden al versleuteld. Dan is het maar de vraag of u in staat bent alles onbeschadigd terug te krijgen. Het is daarom belangrijk preventieve maatregelen te treffen.
Denk hierbij aan phishing-awareness trainingen en software die voorkomt dat malafide linkjes en bijlagen via mails binnen kunnen komen. Of software die het gedrag op een systeem analyseert om in te grijpen bij versleuteling. Verder is een solide back-up plan geen overbodige luxe. Zorg dat u de bedrijfsbestanden op meerdere plekken veilig bewaart.
Lees hier meer over wat te doen bij een ransomware aanval.
2. Berichten van aanvallers
Voortbordurend op ransomware: hackers willen nog wel eens ransomware-berichten achterlaten. Dit is misschien wel het meest zichtbare teken dat er bestaat, want er is geen ontkomen aan. Een hacker vertelt letterlijk wat er aan de hand is: uw bedrijf is gehackt. Vaak komen deze berichten omhoog op malafide websites waar uw browser u naartoe leidt nadat (of op het moment dat) u geïnfecteerd bent.
Nogmaals: het liefst voorkomt u deze situatie want eigenlijk is het dan al te laat. Zet in op preventie en zorg ervoor dat ransomware geen kans krijgt. En komt het toch in uw netwerk? Zorg er dan voor dat u het op tijd detecteert, nog voordat alle bestanden versleuteld zijn. Een SIEM of SOC helpt u met het op tijd detecteren van verdachte activiteit in uw infrastructuur.
Lees hier meer over het kiezen van een Managed SIEM (SOC) die bij uw bedrijf past.
3. Browsers die u omleiden naar vreemde websites
Omleidingen naar andere websites wijzen vaak ook op de infiltratie van een hacker. Het hoeven dus niet alleen ransomware-berichten te zijn. Opent u de browser en leidt deze u een andere website dan de standaard homepage? Dan is de kans groot dat er meer aan de hand is.
Een redirect virus is in dit geval vaak het probleem. Die komen meestal binnen door medewerkers die software van derden downloaden, zonder te overleggen met de security manager. Het komt niet zelden voor dat gratis programma’s geïnjecteerd zijn met zaken die u liever niet op uw computer en netwerk hebt rondzwerven.
Waarom aanvallers dit soort virussen inzetten? Niet alleen om u te irriteren door u steeds op andere pagina’s terecht te laten komen. In de meest “onschuldige” gevallen, leidt het virus u naar pagina’s met advertenties waar ze geld aan verdienen. In het slechtste geval vallen de omleidingen minder op en krijgt u te maken met look-a-like websites. Voert een medewerker daar zijn of haar inloggegevens in? Dan weet u hoe laat het is.
Vermoed u dat u gehackt bent?
> Bel of app naar ons noodnummer 040-2095020 voor directe hulp.
4. Computers beginnen te spoken
Het bezorgt menig mens een hartaanval: een muiscursor die beweegt zonder dat u zelf input geeft. Het voelt bijna alsof iemand anders de computer bedient. In sommige gevallen is er gewoon wat mis met de muis en is die aan vervanging toe.
Maar ben alert: het kan er ook op wijzen dat uw bedrijf gehackt is. Zeker wanneer u op meer vlakken het idee hebt dat derden bezig zijn in uw infrastructuur.
Reageer snel en adequaat door de computer(s) die dit gedrag vertoont direct te ontkoppelen van het netwerk en het internet. Meld uzelf af op alle programma’s en diensten die op deze computer in gebruik zijn en wijzig inloggegevens. Ga daarna op zoek naar de bron door samen met een specialist een onderzoek te starten.
5. Vreemde mails van collega’s
Krijgt u een afwijkende mail van iemand die u kent? Bijvoorbeeld met bijlagen of links erin? Ben altijd voorzichtig en vertrouw bijlagen niet zomaar: ook wanneer u de afzender kent, kan het de actie van een hacker zijn. Het wil nog wel eens voorkomen dat aanvallers een gehackt account inzetten om verder toegang te krijgen tot een bedrijfsnetwerk. Dit doen ze door malafide bestanden en links te verspreiden.
In het beste geval wijkt de mail zodanig af van wat u gewend bent dat u meteen door hebt dat er iets niet klopt. Echter zijn aanvallers gehaaid en weten ze u beter om de tuin te leiden dan u denkt. Ze zijn een kei in informatie verzamelen en daarop inspelen. Zo kan het zijn dat ze een document sturen n.a.v. een recente vergadering of presentatie. Hoe voorkomt u dan dat iemand in die mails trapt? En dat uw bedrijf via deze weg gehackt wordt?
U doet er hoe dan ook goed aan software te gebruiken die elke mail automatisch schoonmaakt. Met Check Point Harmony Email and Office bent u beschermd tegen dit soort acties. Voorkom daarnaast ook dat accounts in de handen van hackers komen. Help medewerkers met hun wachtwoordbeveiliging en sterke authenticatie. Verder zijn er simpele mogelijkheden om tekst toe te voegen aan het onderwerp van een e-mail van een extern adres.
Doe hier de Office 365 hack-check en lees hoe u nepmails ontmaskert.
Maar hoe herkent u onzichtbare aanvallen?
Zoals we al eerder in dit artikel benoemden, zijn de meeste hacks helaas niet zo opvallend als de bovenstaande scenario’s. Veel bedrijven ontdekken pas op het moment dat het te laat is dat ze gehackt zijn. Voorkom dat u verplicht een melding moet maken van een datalek en hou uw IT-infrastructuur dagelijks in de gaten. Alleen zo detecteert u verdachte activiteiten op tijd en hebt u nog de kans om in te grijpen.
Maak gebruik van een SIEM of SOC
We kunnen het niet vaak genoeg benadrukken: een SIEM of een SOC maakt u meer in control over uw beveiliging. SIEM software verzamelt continu gegevens over de activiteiten binnen de infrastructuur. Die activiteitslogs helpen u niet alleen te achterhalen hoe een hack plaats heeft kunnen vinden: als u de software goed instelt krijgt u een melding op het moment dat er iets aan de hand is.
Voorkom dat u gehackt wordt
Steeds meer bedrijven kiezen ervoor samen te werken met een Security Operations Centre. Een SOC houdt namelijk voor u in de gaten wat er aan de hand is en trekt aan de bel bij belangrijke gebeurtenissen. Zo weet u zeker dat de boel de hele week wordt gemonitord. En is er een melding? Dan bent u in staat snel en op tijd te handelen. Die snelheid is cruciaal: want hoe sneller u handelt, hoe kleiner de schade.
