Direct hulp nodig? Bel of app ons noodnummer.

040-2095020

Een cyberaanval vraagt om urgentie. Maar waar moet u cybercrime melden? Bij de politie? Of juist bij een cyber security bedrijf? In dit artikel gaan we dieper in op wat de politie doet bij cybercrime, wat het maken van een melding oplevert en wat redenen zijn om het juist niet te doen. En: we bespreken uiteraard hetzelfde voor het inschakelen van een securitybedrijf.

Cijfers van het CBS over het melden van een cyberaanval

Recent bracht het CBS de cyber security monitor van 2022 uit. Hierin kwam naar voren dat minder dan de helft van de onderzochte bedrijven (2+ medewerkers) na een ransomware-aanval de cybercrime melden of hulp inschakelen. Slechts 13% gaf aan de cybercrime te melden bij de politie, en 39% ging naar een cyber security bedrijf.

In het onderzoek van het CBS viel op dat met name kleinere organisaties geen cybercrime melden. Grotere organisaties doen dat wel: zij schakelen voornamelijk cyber security bedrijven in na een ransomware-aanval. 

Gebrek aan bewustzijn over cyber security ondersteuning

Wat opvalt is dat in de praktijk de IT-leverancier vaak het eerste aanspreekpunt is. Een logische keuze. Want er is iets mis met de IT-infrastructuur op dat moment. Maar bent u zich ervan bewust dat een IT-leverancier niet kan doen wat de politie of een cyber security bedrijf doet. Cyber expertise is nodig om het goed op te lossen (het liefst op een manier dat forensisch onderzoek ook nog mogelijk is). 

Een IT-leverancier doet er goed aan in zo’n situatie als verwijzer op te treden en de klant naar de politie en/of een cyber security bedrijf te sturen.

Wel of geen cybercrime melden bij de politie? 

De ene organisatie staat er simpelweg niet bij stil de cybercrime te melden bij de politie. Het andere bedrijf maakt bewust geen melding. En weer een ander doet het juist wel. Dus: gaat u cybercrime melden bij de politie als het ooit (hopelijk niet) nodig is? Hier onder zaken om mee te nemen in uw afweging:

Voordelen van cybercrime melden bij de politie:

1. Startpunt voor politieonderzoek: Aangifte doen vormt het officiële startpunt voor een politieonderzoek naar strafbare feiten. De politie neemt de verstrekte informatie op in hun systemen. Dit kan – met geluk – uiteindelijk leiden tot de strafrechtelijke vervolging van de daders.

2. Advies van het Nationaal Cyber Security Centrum: Het NCSC adviseert bedrijven om altijd aangifte te doen bij een cyberaanval. Op de lange termijn is het grootschalig oprollen van cyberbendes haalbaarder wanneer er ook voldoende data (meldingen bij de politie) voor handen is.

3. Verzekering: Verzekeringen eisen vaak dat u aangifte doet om in aanmerking te komen voor schadevergoedingen. Het is hierdoor een kwestie van zowel de juridische aspecten als de mogelijke financiële gevolgen van een cyberaanval in overweging te nemen bij het besluit.

Nadelen van het melden van cyberaanval bij de politie:

1. Herstelacties wissen sporen uit: Als de politie echt iets wil doen in deze zaak, dan heeft de politie sporen nodig. Dat betekent dat het niet wenselijk is dat u de schade direct verhelpt voordat er onderzoek heeft kunnen plaatsvinden. Maar dat brengt de bedrijfscontinuïteit in het geding.

2. Cybercriminelen zijn moeilijk op te sporen: De vraag is alleen of de politie daadwerkelijk spooronderzoek gaat doen. Cybercriminelen opereren meestal wereldwijd en zijn getraind in het verbergen van sporen. Mensen stellen daardoor geregeld de vraag of de politie bij elke specifieke aangifte wel voldoende iets kan betekenen.  

3. Angst voor imagoschade: Sommige organisaties vrezen dat het bekendmaken van een cyberaanval hun reputatie kan schaden.

Let wel op dat als het om gestolen persoonsgegevens gaat, het mogelijk wettelijk verplicht is om dit te melden met de AP. Dat is hier te controleren.  

Wel of geen cybercrime melden bij een cyber security bedrijf?

Het overwegen of een bedrijf een cyber security bedrijf moet inschakelen na een cyberaanval is ook een beslissing met verschillende overwegingen:

Waarom cybercrime melden bij een security bedrijf:

1. Snel herstel en beperking van schade: Het waarborgen van de bedrijfscontinuïteit en het herstellen van de (financiële) schade is de belangrijkste reden om experts in te schakelen. Een cyber security bedrijf is gespecialiseerd in het snel identificeren, isoleren en herstellen van cyberaanvallen. Hoe sneller ze een melding krijgen van de cyberaanval, hoe groter de kans dat de schade enorm meevalt.

2. Hulp bij forensisch onderzoek: Het is super belangrijk dat er voordat er een herstel plaatst vind, duidelijkheid is hoe de aanval heeft kunnen gebeuren. Er zijn security bedrijven die met forensisch onderzoek dit weten te achterhalen. Alleen zo is het lek doeltreffend te dichten, en is het niet dweilen met de kraan open. 

3. Direct advies over preventieve maatregelen: Een cyberaanval is een kans om te leren en de securitystrategie rigoureus te optimaliseren. Met informatie uit de praktijk als betrouwbare bron. Cyber experts helpen u na een aanval écht doeltreffende maatregelen te implementeren die herhaling voorkomen. 

Goed om te weten: IP4Sure heeft een noodnummer om te bellen in het geval van een cyberaanval.

Redenen om het niet te doen:

1. Kostenoverwegingen: Het inschakelen van een cyber security bedrijf kan kosten met zich meebrengen. Sommige bedrijven aarzelen vanwege financiële overwegingen, maar weet dat de kosten van een cyberaanval vaak veel hoger kunnen zijn als er geen cyber expert de boel op tijd herstelt.

2. Vertrouwelijkheid en gevoeligheid: Het kan spannend zijn externe partijen toegang te geven tot systemen met gevoelige bedrijfsinformatie. Maar het is gewoon mogelijk om strikte vertrouwelijkheidsovereenkomsten te sluiten met cyber security bedrijven. Sowieso zijn cyber security bedrijven voorzichtig met data. En al helemaal als ze een ISO-certificering hebben hiervoor.

3. Interne middelen en expertise: Sommige organisaties hebben interne securityteams met voldoende expertise om cyberaanvallen aan te pakken.

Cybercrime melden: bij de politie én bij een cyber security bedrijf

Het voornaamste doel van het melden van cybercrime is het minimaliseren van schade en het beschermen van de organisatie tegen toekomstige aanvallen. Met dat in het achterhoofd is het slim zowel met de politie als een cyber security bedrijf te schakelen. 

Want: het cyber security bedrijf zorgt voor snel herstel en helpt met het voorkomen van herhaling. En met een beetje geluk draagt uw melding bij de politie ook nog bij aan het pakken van cyberbendes.  

Snel handelen is het belangrijkste. Werk samen met experts en deel alle beschikbare informatie met de juiste partijen om de impact van een cyberaanval te minimaliseren en toekomstige dreigingen te voorkomen.

“Zijn we voldoende beschermd tegen hackers?” is een vraag die CEO’s zichzelf – hopelijk – steeds vaker stellen. Wie het meest eerlijke antwoord op die vraag kunnen geven? Nou, de hackers zelf.

Toch durven velen alsnog zelf conclusies trekken: “Wij zijn geen interessant doelwit, dus meer bescherming dan een firewall en een antivirus is niet nodig”. Maar waarop is dit gebaseerd? Is het nog wel mogelijk te beweren dat bedrijven uit bepaalde branches geen doelwit van hackers zijn?
 

Hackers & cyber security

De praktijk laat zien dat kwaadwillende hackers niet discrimineren. Het aantal cyberaanvallen neemt nog altijd toe en slachtofferorganisaties lopen steeds meer uiteen. Zelf voorspellen dat er toch geen aanval gaat zijn op organisatie X staat gelijk aan de kop in het zand steken.

Laten we wel voorop stellen: die struisvogelresponse is heel begrijpelijk. Cyberveiligheid kan een overweldigend onderwerp zijn. Dat snappen we.

Maar voor wie zijn hoofd nog in de aarde heeft zitten: we raden iedereen wel aan het zand alsnog uit de ogen te wrijven. Dat heeft er alles mee te maken dat geen enkele organisatie 0% risico loopt. Hoe dat zit? We leggen het uit.
 

In elke woning kan brand uitbreken

Cyberdreiging is net als brandgevaar: dat een huis met een rieten dak minder brandveilig is dan een huis met dakpannen, wil niet zeggen dat dat laatste huis gegarandeerd nooit met vuur te maken krijgt. In elke woning kan een kaars omvallen. Om nog maar te zwijgen over brandstichting.

Sterker nog: er is zelfs kans dat het rieten dak juist minder risico op brandschade loopt. Vaak zijn deze huiseigenaren zich extra van brandveiligheid bewust en treffen ze meer maatregelen. Is er ergens een vonk? Dan is er vast een brandmelder in de buurt, waardoor ze er op tijd bij zijn met de brandblusser.
 

Bij elke organisatie kan een hacker binnen komen

Organisaties die doorgaans zeggen geen doelwit te zijn van hackers, zijn te vergelijken met de huiseigenaren met pannen op hun dak. Ze denken geen risico te lopen en nemen geen of minder beschermende maatregelen.

Dat terwijl elke organisatie gegarandeerd te maken krijgt met programmeerfouten, misconfiguraties of phishingacties. Het kan 9x goed gaan. Maar ja, die ene keer dat het mis gaat…

Veel cyber security maatregelen zijn dus niet alleen gebaseerd op het voorkomen van dit soort gebeurtenissen, maar ook het beperken van schade wanneer het gebeurt.
 

Waarom hackers bepalen

Maar nu even terug naar onze eerste uitspraak: dat hackers zelf degenen zijn die bepalen of uw cyber security voldoende bescherming biedt. Waarschijnlijk begrijpt u al waar we naartoe willen. Of u nu zelf de normen bepaalt of zich houdt aan ISO- of NEN-richtlijnen: uiteindelijk is het aan de aanvaller een eindoordeel te geven.

Want zelfs wanneer u alles op papier perfect in orde heeft, is er geen garantie. 1 onopgemerkte misconfiguratie en 1 hacker die het toevallig wél opmerkt kan al genoeg zijn voor een succesvolle cyberaanval.

Dat wil niet zeggen dat al die maatregelen geen zin hebben, in tegendeel. De richtlijnen zijn er niet voor niets. We willen vooral aangeven dat cyber security nooit een kwestie van “Alle vakjes zijn afgevinkt, dus nu kunnen we achterover leunen” is.
 

Geen lijstjes afvinken, maar werken vanuit inzicht

Met de wetenschap dat veel succesvolle cyberaanvallen leiden tot faillissementen is lijstjes afvinken voor de vorm spelen met vuur. Het zet echt wel wat zoden aan de dijk, maar nogmaals: de hacker geeft het eindoordeel. Eén (nog niet gepatchte) kwetsbaarheid in software kan al voldoende zijn voor – bijvoorbeeld – datadiefstal.

Dus, geen lijstjes afvinken, geen overdreven veel maatregelen. Maar: juist concreet risico’s in kaart brengen, testen (red team) en daar doelgericht op inspelen. En bovenal de schade zo klein mogelijk te houden als er wel iets gebeurt. Want nogmaals: 100% cyberweerbaarheid bestaat niet.
 

Grootste risico’s blijven aanpakken

Het is duidelijk: cyber security die “goed genoeg is” blijft nooit bij implementeren en het op zijn beloop laten. Doeltreffende bescherming is een continu proces. Waar te beginnen met zo’n proces? Een cyber security expert kan u daar het beste gepast advies in geven. We zetten algemeen aanbevolen opties op een rij:
 

1. Pentests: in de huid van de hacker kruipen

Als de hacker bepaalt of uw cyber security voldoende is: waarom zou u dan niet alvast zelf een (gesimuleerde) aanval op uw infrastructuur regelen? Dat geeft een zuiver beeld van kwetsbaarheden die op dat moment aanwezig zijn.

Tijdens een pentest voert een ethisch hacker een aanval uit op uw netwerk of webapplicatie, etc. Is hij/zij in staat een kwetsbaarheid te exploiteren? Dan leest u dat in een uitgebreid rapport waarin alle risico’s die u loopt in kaart zijn gebracht. Uiteraard inclusief de oplossing.
 

2. Kwetsbaarheden verhelpen Vulnerability Management

Een pentest geeft een heel realistisch beeld van de risico’s die u loopt, omdat de aanval precies is zoals een kwaadwillende hacker dat zou doen. Maar het is en blijft een momentopname. Om heel het jaar door actief kwetsbaarheden te verhelpen, is een Vulnerability Management systeem onmisbaar.

InsightVM van Rapid7 is zo ingericht dat het goed te implementeren is in de workflow. Uw security verbetert, zonder dat overweldigende gevoel van een hoop werk.
 

3. Op de hoogte van wat er gebeurt met een SOC

Met de wetenschap dat kwetsbaarheden altijd kunnen ontstaan, is alertheid en inzicht hét wapen om incidenten te voorkomen of te beperken. Een Security Operations Center (SOC) houdt namelijk in de gaten wat er gebeurt op uw netwerk(en). Zijn er verdachte activiteiten? Dan krijgt u op tijd een melding.

Niemand weet wat voor exploits en kwetsbaarheden er morgen weer ontstaan. Dus exploiteert een hacker een kwetsbaarheid waar u (nog) niets vanaf wist? Dan bent u in alsnog in staat op tijd in actie te komen en schade door hackers te beperken.
 

Bescherming tegen hackers

Geef hackers nooit de kans uw security als onvoldoende te bestempelen. Denk niet in normen, ook niet in “hoe meer hoe beter”, maar vertrek altijd vanuit inzicht. Alleen op die manier verkleint u de kans op een succesvolle aanval op een doeltreffende manier. Meer informatie over dit onderwerp? Neem vrijblijvend contact met ons op!

De “unhackable” securityoplossing: elk jaar duikt er wel weer een op. Maar kan dat? Iets ontwikkelen wat niet te hacken is? Is het niet gewoon slimme marketing? Of zelfs een onverstandige uitlating die hackers alleen maar uitdaagt?

Zeggen dat een securityoplossing niet te hacken valt: het straalt ontzettend veel zelfverzekerdheid uit. En wie wil er nou niet investeren in 100% solide security? Toch is het – zelfs wanneer u zeker van uw zaak bent – alles behalve slim te roepen dat iets onhackbaar is. En wel hierom:

Waarom “unhackable” niet bestaat

Beweren dat iets niet te kraken is, is hetzelfde als zeggen dat kraanwater niet giftig is. De kans dat iemand sterft aan het drinken van water is nihil. Maar wil iemand het toch voor elkaar krijgen? Dan is dat met een beetje wilskracht zeker mogelijk: bij de inname van een zeer hoge hoeveelheid water begeven de nieren het. Het gevolg? Jazeker: watervergiftiging.

Dit gaat precies hetzelfde in zijn werk bij securityoplossingen. Ja, ze kunnen zo ontwikkeld zijn dat het vreselijk lastig is ze te kraken. Maar écht onkraakbaar? Dat kan nooit. Hackers die graag willen, krijgen het vroeg of laat voor elkaar. Al kost het ze jaren aan werk.

Het ding is alleen: juist de oplossingen die beweren unhackable te zijn, blijken in de praktijk ook nog eens vrij eenvoudig te kraken. We geven daar later in dit artikel nog een paar voorbeelden van.
 

 “Unhackable” is een gevaarlijke term

In de praktijk komt iedereen er prima mee weg te zeggen dat kraanwater niet giftig is. De meeste mensen snappen dat bij normale hoeveelheden de stof nagenoeg onschadelijk te noemen is. Dat gaat voor securityoplossingen alleen niet op. Er zit een groot verschil tussen roepen dat water niet giftig is en roepen dat software niet te kraken is.

Dat verschil? Dat zit hem in de kwaadwillenden. Zeggen dat water niet giftig is, zal niemand uitdagen u een grote hoeveelheid toe te dienen om alsnog het tegendeel te bewijzen (Excuses voor het lugubere voorbeeld). Hackers daarentegen zien het nog geregeld als een sport bij lastige doelwitten binnen te komen. Iets hacken dat onhackbaar zou moeten zijn? Dat is dan al helemaal een interessante uitdaging!
 

Gekraakte software leidt tot imagoschade

Elke keer wanneer een ontwikkelaar beweert dat zijn oplossing niet te kraken is, weten hackers toch weer het tegendeel te bewijzen. “Daag hackers niet uit” is dan ook het advies van veel experts. Oplossingen die als onkraakbaar op de markt zijn gezet en vervolgens alsnog gekraakt werden, gaan over het algemeen de geschiedenis in als flaters.

Onhackbare oplossingen beloven komt zelfverzekerd over. Maar durven zeggen dat iets nagenoeg niet te hacken is, straalt nog veel meer betrouwbaarheid uit.
 

Security oplossingen waarbij het mis ging

Door de jaren heen zijn er meerdere onhackbare oplossingen toch gehackt. We hebben drie opvallende situaties op een rijtje gezet:
 

1. De onhackbare wallet

Bitfi-wallet is een opslag voor cryptocurrency die beweerde onhackbaar te zijn. Ze daagden hackers zelfs uit door ze een bedrag van $100.000 aan te bieden wanneer ze coins uit de wallet konden halen. Echter kreeg geen enkele hacker geld, want toen de wallet gekraakt was, beweerde Bitfi dat ze niet aan de voorwaarden hadden voldaan.

Het bijzondere aan dit alles? Dat de claim “unhackable” pas na meerdere keren gehackt te zijn van de website is gehaald. Blijkbaar beschouwde Bitfi hun product na 1 hack nog altijd als onhackbaar. Opvallend is dat John McAfee ondertussen nog steeds van mening is dat Bitfi niet te hacken is.
 

2. De onkraakbare USB-stick

Een ander bedrijf dat de fout maakte hackers uit te dagen, is eyeDisk. Op hun Kickstarter pagina beloofden ze dat paniek bij het verliezen van een USB-stick niet meer nodig is. De eyeDisk bepaalt namelijk aan de hand van iemands iris of hij of zij de rechtmatige eigenaar is. De ge-encrypte data op de USB-stick is daarmee alleen toegankelijk voor degene die de juiste biometrie kan presenteren. Onhackbaar dus, volgens eyeDisk.

Pentest researcher David Lodge wist de USB-stick toch te kraken. De eyeDisk is namelijk ook toegankelijk met een back-up wachtwoord. Dat wachtwoord is eenvoudig te achterhalen door een verkeerd wachtwoord in te voeren. Door de manier waarop een wachtwoord gevalideerd wordt, is het juiste wachtwoord er zo uit te trekken door een hacker.
 

3. Niet te hacken bluetooth-slot

Afgelopen September bewees een Brits bedrijf dat pentesten uitvoert dat het niet te hacken bluetooth-slot 360Lock toch eenvoudig te hacken bleek. Het slot is namelijk kwetsbaar voor replay-aanvallen. Dat geeft aanvallers de mogelijkheid het slot toch te openen. Ook de fysieke behuizing van het slot blijkt fragiel en is eenvoudig met een hamer te breken.

360Lock beweerde op Kickstarter net als eyeDisk dat het slot volledig “hackproof” is. De claim is gelukkig niet getest door een kwaadwillende hacker, maar een beveiligingsonderzoeker met minder kwade bedoelingen. Wel gaf de onderzoeker advies het slot niet te gebruiken. Niet bepaald goede marketing voor 360Lock dus.
 

Niet te hacken? Niet geloven

We hebben ons punt wel gemaakt: oplossingen die onhackbaar zijn bestaan niet. Helaas. Of u daarmee alle – zogenaamd – unhackable oplossingen meteen moet wantrouwen? Dat niet per se. Maar het is wel belangrijk nooit 100% blind te vertrouwen op een oplossing. Blijf wakker en alert. Alleen dán bereikt u het hoogst haalbare op het gebied van veiligheid.

Tot slot is het per definitie gezond kritisch te zijn bij het kiezen van een cybersecurity oplossing en altijd goed door te vragen. Advies van een expert nodig? Neem dan vrijblijvend contact met ons op.

Supply Chain Attacks komen steeds vaker voor. Het is vast niet de eerste keer dat u deze boodschap leest. Ook wij hebben het al eerder aangestipt. Maar wat zijn Supply Chain Attacks nou precies? Waarom neemt de populariteit toe?

Grotere organisaties – interessante doelwitten voor cybercriminelen – nemen hun cyber security tegenwoordig steeds serieuzer. Gelukkig. Directe cyberaanvallen zijn daardoor vaak lastiger, veelomvattender en eigenlijk gewoon veel gedoe. Maar zijn deze organisaties daardoor volledig veilig? Nee: hackers gaan met de stroom mee en vinden een andere weg naar binnen. Namelijk via de supply chain.

Naast de mogelijkheid grote organisaties alsnog te treffen, zorgen supply chain attacks geregeld voor een meervoud aan slachtoffers. Dat betekent: één aanval, meerdere gedupeerden. Uiteraard is dat erg interessant voor aanvallers.
 

Wat is een Supply Chain Attack?

Een Supply Chain Attack is zoals de naam zegt een aanval op de supply chain: de toeleveringsketen van een (grote) organisatie. Vaak bestaat  een supply chain uit toeleveranciers van uiteenlopende bedrijfsgroottes. Met net zo uiteenlopende cyber security budgetten. Is één van deze organisaties kwetsbaar? Dan is dat een kans voor hackers.

Hoe dat zit? Externe toeleveranciers hebben soms (gevoelige) gegevens nodig om klanten goed tot dienst te zijn. Dus zijn er gegevens opgeslagen van het doelwit? Of heeft de leverancier direct toegang tot het netwerk van het uiteindelijke doelwit? Dan kan één aanval op het bedrijf in de supply chain al voldoende zijn. En omdat in de praktijk zo’n supply chain aanval vaak makkelijker is dan een directe aanval, is het erg doeltreffend.

Een bekend voorbeeld van een supply chain attack, is de SolarWinds aanval. FireEye en de Amerikaanse overheid waren hier beiden direct de dupe van, terwijl zij niet direct werden aangevallen.
 

Hoe gaat een Supply Chain Attack te werk?

Een aanval op de supply chain hoeft er niet altijd hetzelfde uit te zien. Maar om u een idee te geven van hoe een Supply Chain Attack te werk kan gaan, geven we hieronder een voorbeeld:
 

Stap 1.

Stap één is het uitkiezen van een subtarget. Welke organisatie in supply chain is interessant en kwetsbaar genoeg om aan te vallen? Een onderzoek naar de supply chain van een organisatie hoeft niet altijd lastig te zijn. Bedrijven delen maar al te graag op hun websites voor welke klanten ze werken.
 

Stap 2.

Vervolgens is het doel binnen te komen bij het subtarget. Alle pijlen zijn dan gericht op het verslaan van de beveiliging van dit subtarget. Vaak is dit niet eens zo moeilijk. Zoals we eerder noemden,  hebben niet alle organisaties voldoende kunnen of willen investeren in cyber security.
 

Stap 3.

Wanneer hackers hun kans hebben gecreëerd, injecteren ze malware in de infrastructuur van het subtarget. Met wat geluk geeft dit verdere toegang tot het netwerk. En dan begint – na nog wat gesleutel – het echte werk: bijvoorbeeld een besmette software-update verzenden naar alle andere netwerkpartijen.
 

Stap 4.

Wanneer die netwerkpartijen de malafide update uitvoeren, krijgen ze ook kwaadaardige code geïnstalleerd. Meestal gebruiken hackers een Trojan om toegang op afstand te activeren. En dan kunnen ze héél veel.
 

Hoe beveiligt u zich tegen zo’n aanval?

Het lastige aan Supply Chain Attacks is dat u geen volledige controle hebt over de cyber security van toeleveranciers. Hebben zij hun zaken niet op orde? Dan kan u – zoals in bovenstaand voorbeeld gebeurt – ondanks uw eigen maatregelen toch de dupe zijn van cybercriminaliteit. Toch staat u niet volledig machteloos. We geven wat tips:
 

1. Ben kritisch bij het selecteren van toeleveranciers

Het komt tegenwoordig steeds vaker voor dat organisaties security eisen stellen aan hun toeleveranciers. Door kritisch te zijn op de beveiligingsmaatregelen van deze organisaties en vragen erover te stellen, krijgt u meer grip op de kwetsbaarheden binnen de supply chain. In een tijdperk waarin de cyberdreiging toeneemt, is het helemaal niet zo gek op zijn minst de basis te verlangen van de partijen waarmee u samenwerkt.
 

2. Hanteer een samenwerkingsbeleid

Zeker in grote organisaties zijn er vaak meerdere beslissingsbevoegden als het gaat om samenwerkingen. Stel een beleid op waarin het nagaan de staat van de beveiliging van een potentiële partner altijd een van de beslissende factoren is.
 

3. Help uw supply chain

Het is goed om aan de voordeur kritisch te zijn, maar niet altijd haalbaar. Het is ook niet altijd haalbaar toeleveranciers zelf te helpen, maar voor sommige organisaties is het wel een optie. Is het van levensbelang dat de kroonjuwelen goed beveiligd blijven? Dan is het zeker een optie te kijken of u (bestaande) toeleveranciers kan helpen met hun cyber security. Uiteindelijk is samenwerken en samen zorgen voor veiligheid hét wapen tegen toenemende Supply Chain Attacks.
 

4. Ben voorbereid op het ergste

Een toeleverancier is zelden volledig te controleren. Het is dus belangrijk er ook vanuit te gaan dat een Supply Chain aanval altijd een reëel scenario blijft. Soms is het gewoonweg niet te voorkomen. Dan is klaar zijn voor zo’n scenario een belangrijk vangnet. Zorg er daarom voor dat zo’n aanval altijd op tijd te detecteren is. Monitoring – bijvoorbeeld via een SOC – geeft u de gelegenheid direct in actie te komen wanneer dit nodig is.
 

In gesprek over Supply Chain Attacks?

Meer te weten komen over dit onderwerp? Of advies over wat u het beste kunt doen om uzelf en klanten te beschermen tegen Supply Chain Attacks? Neem vrijblijvend contact met ons op voor meer informatie.

Wie denkt dat hackers in de zomer met vakantie gaan, heeft het mis. Oké, als ze de kans hebben, gaan ze vast wel even genieten op het strand natuurlijk. Maar wist u dat juist tijdens de zomer – naast kerst & oudjaarsavond – de meeste cyberaanvallen plaatsvinden?

Dat heeft alles te maken met de grote hoeveelheid vakantiegangers in de zomerperiode. Waarom hackers als vliegen op die vakantiestemming af komen? Dat heeft meerdere redenen. Waar spelen aanvallers op in? En hoe bent u daarop voorbereid? In dit artikel gaan we dieper in op cyberaanvallen in de zomerperiode.

Waarom zoveel cyberaanvallen in de zomer?

Is een bedrijf kwetsbaar? Dan slaan cybercriminelen toe. Kwetsbaarheden zijn er altijd, maar met name in de vakantieperiode komen ze iets vaker voor. Hacken in de vakantieperiode is vergelijkbaar met boogschieten met een vizier: raak schieten is dan een stuk eenvoudiger. Er zijn verschillende redenen waarom bedrijven doorgaans kwetsbaarder zijn in de zomer:

1. Werklaptops gaan op reis …en verdwijnen

Of het nu om workaholics of CEO’s gaat: er zijn altijd werklaptops of werktelefoons die gezellig mee op vakantie gaan. Maar hoe meer gesjouw met laptops, hoe meer security-risico’s. Om te beginnen is er de kans op diefstal. Ontbreekt encryptie? Of is toegang ook zonder VPN-clients mogelijk? Dan is de kans dat kwaadwillenden bij de data op die laptop kunnen groot.

2. Wifi-netwerken in het openbaar

Daarnaast onderschatten velen nog steeds het risico van inloggen op onbekende Wifi-netwerken. Het is verbazingwekkend hoeveel tactieken hackers erop nahouden: sommigen gooien hun eigen wifi-netwerk de lucht in. Maakt iemand verbinding? Dan hebben hackers meer rechten dan u zou denken.

Zo’n operatie zetten ze gehaaid op: bijvoorbeeld door het netwerk dezelfde naam te geven als een hotel of horecazaak. Hoe weet u dan nog zeker of verbindt met de Wifi van de McDonalds, of die van een hacker?

3. Mailen tijdens de vakantie is normaal

Even wat mailtjes wegwerken terwijl we op de camping zitten: niemand kijkt er nog van op. Of het gezond is, is een ander verhaal. Maar vanuit security-oogpunt zitten er zeker haken en ogen aan deze ontwikkeling. CEO-fraudeurs hebben er namelijk veel profijt van.

Want tijdens de vakantie van de CEO een vakantie van hem of haar ontvangen? Dat is niet zo raar. Maar controleren of de inhoud klopt door even te bellen? Dat doen we niet zo snel. We gaan tenslotte niet mensen storen tijdens hun vakantie. Vaak is het dus verleidelijk eventuele betalingen daardoor zonder vraagtekens door te voeren. En dat terwijl de mail van een CEO-fraudeur kan zijn.

Kwetsbaarheden

  • 10 jul, 2023

Cyber security in de zomerperiode: hou hier extra rekening mee

Lees verder

4. Meer mensen op vakantie = minder mensen op kantoor

Waar er op de vakantiebestemming het een en ander mis kan gaan, geldt dat ook voor de thuisbasis. Wanneer er minder mensen op kantoor zijn, valt het tegen hoe snel er geschakeld kan worden bij een eventuele aanval. De kans dat bedrijven die geen gebruik maken van een SOC verdachte activiteiten opmerking is al klein, maar bij een kleine bezetting nog kleiner. En heeft iemand iets door? Dan is het niet altijd even makkelijk snel te schakelen om het op te lossen.

5. Wie aanwezig is, is ook in de vakantiemodus

Oké, iedereen doet hard zijn best toch nog productief te zijn tijdens de zomerperiode. Maar het is lastiger wanneer de structuur eruit is en het zonnetje schijnt. Continu missen er collega’s en delen de collega’s die wel aanwezig zijn hun vakantieplannen. Het is bijna onmogelijk niet zelf in de vakantiemodus te raken.

Dat heeft – naast een verminderde productiviteit – helaas consequenties voor de cybersecurity. Die vakantiemodus maakt personeel minder oplettend. Het gevolg? Social engineeringaanvallen zoals phishingacties zijn vaak veel succesvoller. Om nog maar te zwijgen over werknemers die voor de vakantie snel nog het een en ander willen afronden: zij klikken in hun haast een stuk sneller op malafide inhoud.

Hoe gaat u met deze verhoogde risico’s om?

Hoe alerter iedereen is ondanks de zomerperiode, hoe kleiner de kans op grote beveiligingsrisico’s. Maar dat is helaas juist ook de uitdaging: mensen kunnen niet altijd op scherp staan. Het is vrij logisch dat bovenstaande kwetsbaarheden ontstaan. Het is dus goed om voor de vakantieperiode iedereen wat alerter te maken, maar de techniek vangt nog veel meer risico’s af.

Van Encryption tot Securty Operations Centers

Kijk daarom kritisch naar de staat van uw cybersecurity voordat het “cyberaanval-hoogseizoen” start. Wie kan er allemaal bij de data van een gestolen laptop? We benoemden eerder al het belang van Encryption en VPN. Ook is er software die de medewerkers in vakantiemodus helpt met malafide mails. Die controleert mails op schadelijke inhoud voordat ze in de mailbox belanden.

Tot slot is het samenwerken met een Security Operations Center (SOC) een grote aanrader. Zeker in de vakantieperiode. Een SOC houdt actief in de gaten wat er allemaal gebeurt binnen uw infrastructuur. Zijn er verdachte activiteiten of zichtbare cyberdreigingen? Dan krijgt u direct een melding en advies. Lees hier meer over de werkzaamheden van een Security Operations Center.

“Ik ben geen doelwit”: toch wel

Cyberdreigingen kunnen overweldigend en groots aanvoelen. Het is dan comfortabeler de kop in het zand te steken, dan het realistisch in de ogen te kijken. De woorden “Ik ben geen doelwit” zijn in dat geval al snel uitgesproken. Maar helaas: anno 2021 is zowat iedereen een doelwit. Niet alleen gigantische bedrijven zijn interessant, ook kleinere organisaties uit hun supply chain.

En binnen die organisatie is elke medewerker net zo waardevol als het management. Elke weg naar binnen is tenslotte een weg naar binnen. Het is het hele jaar door belangrijk dat iedereen zich verantwoordelijk voelt voor de cyberveiligheid van een organisatie. “Ik krijg niet te maken met phishing” is echt een misvatting op de werkvloer. De (security)techniek, de mens: allemaal moeten ze samenwerken om een organisatie veilig te houden.

Vragen over veiligheid tijdens de vakantieperiode?

Neem vrijblijvend contact met ons op voor meer informatie over cyber security oplossingen die de kans op cyberaanvallen verkleinen. Bekijk ook onze andere blogs voor meer kennisartikelen over het verbeteren van de cyberveiligheid van uw organisatie.

De pentest, vulnerability scan, en de security audit: er zijn een hoop tests die de staat van uw cybersecurity onder de loep nemen. In de praktijk zien we het regelmatig gebeuren dat er om een vulnerability scan wordt gevraagd, terwijl een pentest nodig is. Maar wanneer vraagt u dan naar een pentest? En wanneer een vulnerability scan?

Pentests en vulnerability scans: het begint met de vraag

Uiteindelijk maakt het natuurlijk niet veel uit of u vraagt om een vulnerability scan of een pentest. U mag ervan uit gaan dat het bedrijf waar u uw securityvraagstuk neerlegt altijd doorvraagt naar de onderliggende behoeften. Zo krijgt u als het goed is altijd de test die uw organisatie verder helpt. Toch ervaren we dat velen het interessant vinden meer over de verschillen te weten: daar gaan we in dit artikel dus dieper op in! Want wat is een vulnerability scan precies? En wat doet een pentest?

Wat is een vulnerability scan?

Zoals de naam al doet vermoeden, testen we met een geautomatiseerde vulnerability scan de kwetsbaarheden binnen uw bedrijf. We inventariseren hoe (een onderdeel van) de IT-infrastructuur in elkaar zit en welke doelwitten – binnen de context van uw organisatie – mogelijk interessant zijn voor hackers. Denk hierbij aan servers, systemen en laptops. Waar zitten de zwakke plekken? Wat zijn voor aanvallers potentiële mogelijkheden om binnen te komen en schade aan te richten? Een vulnerability scan geeft hier zicht op.

Inzicht in de risico’s

Security experts interpreteren de bevindingen van de vulnerability scan en prioriteren de meest kritieke kwetsbaarheden. Dit alles is terug te vinden in een uitgebreid rapport. Daarin leest u welke systemen of servers het meest gevaar lopen. En waarom. Lopen ze risico om beschadigd of ontoegankelijk te raken? Of liggen er datalekken met belangrijke persoonsgegevens op de loer?

De vulnerability scan geeft een breed beeld van de veiligheid van uw IT. In het rapport ziet u welke kwetsbaarheden als eerste aandacht nodig hebben en hoe u eventuele problemen verhelpt. Erg handig dus om in de grote lijnen grote stappen te zetten.

Wat is een pentest?

Tijdens een pentest valt een ethisch hacker handmatig – en binnen een veilige omgeving – uw IT-infrastructuur aan. Met verschillende technieken probeert hij kwetsbaarheden te vinden en uit te buiten. Hij gaat gericht op zoek naar kwetsbaarheden en valt aan. Daarnaast zet de pentester ook tools in om als het ware met hagel te schieten op uw infrastructuur. Zo komen vaak uiteenlopende kwetsbaarheden naar voren.

Waarom een pentester daadwerkelijk aanvalt? Sommige kwetsbaarheden lijken op het eerste oog relatief onschuldig, maar blijken in de praktijk een stuk gevaarlijker. Andere kwetsbaarheden lijken groot, maar zijn uiteindelijk lastiger uit te buiten dan gedacht. Ook haalt deze aanpak de meest geraffineerde kwetsbaarheden boven water. Op die manier kan de pentester heel secuur de gevonden kwetsbaarheden kwalificeren en gericht oplossingen aanbieden.

De verschillen tussen pentests en vulnerability scans

De pentest en de vulnerability scan hebben als doel kwetsbaarheden in kaart te brengen, te kwalificeren en u te helpen ze op te lossen. Maar wat is dan het grote verschil? Dat zit hem in de aanpak en de kosten. Een vulnerability scan kan hoofdzakelijk geautomatiseerd, waardoor deze een stuk goedkoper is. Daarnaast is hij wat algemener van aard: een vulnerability scan behandelt elke klant ongeveer hetzelfde.

Waar we bij een vulnerability scan vooral algemeen analyseren, gaan we bij een pentest een stap verder. Daarbij probeert de ethisch hacker handmatig als een echte aanvaller uw systeem of netwerk binnen te dringen en de kwetsbaarheden uit te buiten. Dit alles binnen een bijbehorende scope en context.

Een pentest is dus niet alleen een scan, maar een simulering van een echte aanval. Een pentester zou zelfs misbruik kunnen maken van slecht getraind personeel en via hen proberen binnen te komen. Daardoor weet u nog net iets beter hoe goed de digitale omheining van uw bedrijf is. En bent u nog beter in staat gerichte verbeteringen aan te brengen die hackers daadwerkelijk buiten gaan houden.

Wanneer is een vulnerability scan nodig?

Een vulnerability scan is vooral handig als u in grote lijnen inzicht wil krijgen in de kwetsbaarheden binnen uw IT-infrastructuur. Bijvoorbeeld wanneer u net de eerste stappen zet naar een beter securitybeleid. Het geeft een mooie algemene eerste indruk en helpt u om de opvallendste problemen direct op te lossen en in grote lijnen up-to-date te blijven van de stand van zaken. U plukt dus vooral het laaghangende fruit.

Ideaal laat u een vulnerability scan meerdere keren per jaar uitvoeren. Een ander – vaak beter – alternatief is actieve vulnerability management. Hierbij blijft u heel het jaar op de hoogte van actuele kwetsbaarheden.

Wanneer is een pentest geschikt?

Een pentest is vooral geschikt wanneer u binnen een bepaalde scope tot in detailniveau de cyberweerbaarheid van (een deel van) uw organisatie wil laten testen. Doordat een pentester daadwerkelijk aanvalt zoals een hacker dat zou doen, weet u precies waar de meest kritieke kwetsbaarheden liggen. Of niet:

Een pentest is ook heel handig om aan klanten te bewijzen hoe goed u alles op orde hebt. Als een ethisch hacker niet binnen kan komen, kan een aanvaller dat ook niet zomaar.

Over het algemeen is het raadzaam een pentest één of twee keer per jaar uit te laten voeren.

Welke keuze is voor u het beste?

Een combinatie van zowel een pentest als een vulnerability scan is de veiligste keuze: daarmee bent u in staat uw IT-infrastructuur zo veilig mogelijk in te richten. Nog beter is vulnerability management in combinatie met een pentest. Daarmee bent u heel het jaar door op de hoogte van kwetsbaarheden. Dan loopt u nooit tegen vervelende verrassingen aan en zijn kwetsbaarheden altijd direct opgelost, voordat een hacker ermee aan de haal kan gaan.

Laat een onafhankelijk expert uw security testen

Een onafhankelijke cyber security expert kijkt altijd met hele andere ogen naar uw digitale infrastructuur. Of u nu kiest voor een vulnerability scan, vulnerability management of een pentest: het is altijd goed om uw kop uit het zand te trekken en écht op de hoogte te zijn van kwetsbaarheden. Alleen dan plukt u de vruchten van al uw andere cyber security maatregelen.

Inzicht krijgen in de kwetsbaarheden binnen uw organisatie? Neem dan contact met ons op.

Ze gaan niet goed samen, maar zijn toch onlosmakelijk aan elkaar verbonden: stress en ransomware. Waar gezond verstand onmisbaar is tijdens een cyberaanval zoals een ransomware-aanval, weet de schrik de besten te verleiden tot onhandige acties. Terwijl die eerste acties na een aanval bepalend zijn voor de grootte van de totale schade.

Wat te doen bij een ransomware-aanval? In dit artikel geven we tips om ondanks de blinde paniek, toch met gezond verstand te handelen tijdens een cybernoodsituatie. Zorg dat u ondanks de stress ook de meest elementaire stappen niet overslaat. Zoals eerst rustig in en uit ademen.

 Noodnummer

> Bel of app naar 040-2095020 voor directe hulp bij een ransomware-aanval of andere cybercrime.

Het gevaar van ransomwareaanvallen

Allereerst: wat voor gevaar loopt u bij een ransomware-aanval? Ransomware is een vorm van Malware die gegevens op een computer blokkeert door het te encrypten. Ransomware staat ook wel bekend als “gijzelsoftware”, dit omdat de data gegijzeld wordt en de aanvaller deze pas bij betaling van losgeld terug belooft te geven.

Het grote gevaar van ransomware is dat het zich razendsnel kan verspreiden. Het is van essentieel belang te voorkomen dat ook andere delen van uw data gegijzeld raken. Dus: wat te doen bij een ransomware-aanval? Hier onze tips:
 

1. Blijf kalm

Het hoofd koel houden is vanzelfsprekend de eerste stap: het maakt adequaat handelen bij een ransomware-aanval een stuk haalbaarder. Haal diep adem. Tel desnoods tot 10. Zorg ervoor dat u pragmatisch te werk gaat en niet emotioneel. Ondersteuning hierbij nodig? Bel dan een noodnummer: zij loodsen u door de ransomware-aanval heen.
 

2. Stel de back-up veilig

Tijdens een ransomware-aanval is het voor de continuïteit van uw bedrijf het belangrijkst om direct de back-ups veilig te stellen. Zo voorkomt u dat deze versleuteld worden. Haal de back-up server offline zodat er geen netwerk connectie meer mogelijk is naar deze server of opslag locatie. Maakt u eveneens gebruik van offline back-ups? Bevestig dan dat deze momenteel niet gekoppeld is aan een server.

Over back-ups gesproken: zorg dat logbestanden altijd extern worden opgeslagen.
 

3. Stop (wanneer mogelijk) de internetverbinding

Een ransomware-aanval beperkt zich niet tot één apparaat. Wanneer er een besmetting plaats heeft gevonden, is het dan ook zaak de apparaten die nog niet zijn geïnfecteerd te beschermen. Door de internetverbinding te stoppen, verkleint u de kans dat andere systemen versleuteld raken. De encryptie sleutel kan dan niet meer uitgewisseld worden. Dat zit zo:

In de meeste gevallen neemt de ransomware bij activatie eerst contact op met de server van de aanvaller. Dit gaat via het internet. Op deze server staat in sommige gevallen de encryptie sleutel. Dit proces kan ook andersom werken: het systeem met de ransomware genereert dan een encryptie sleutel en start de encryptie nadat de sleutel is geüpload naar de server van de aanvaller. Zonder internetverbinding is dit niet mogelijk.

Let op: schakel het geïnfecteerde apparaat niet uit tijdens een ransomware-aanval. Dit kan sporen wissen die juist belangrijk zijn om te onderzoeken hoe alles heeft kunnen gebeuren.
 

4. Isoleer het besmette apparaat

Om verdere besmetting te voorkomen, is het stoppen van al het netwerkverkeer van de geïnfecteerde systemen ook verstandig. Zeker wanneer u er op tijd bij bent en weet waar de besmetting zit, kan u gericht actie ondernemen. Ontkoppel ook direct alle apparaten en externe harde schijven als deze aangesloten zijn.
 

5. Zet nog meer processen stil

Het doel is de ransomware zo snel mogelijk zo min mogelijk bewegingsvrijheid te geven. Het stoppen van de internetverbindingen en netwerkverbindingen draagt hier al groots aan bij. Maar om nog een stap verder te gaan, is het verstandig ook belangrijke systemen zoals servers uit te schakelen of – in het geval van virtual machines – te pauzeren.

Disable daarnaast alle vormen van communicatie die geen two-factor authentication vereisen. Loop verdachte IP-adressen na en blokkeer deze allemaal.
 

6. Verander voor de zekerheid alle (belangrijke) wachtwoorden

Dit is een stap die bij geen enkele cyberaanval overgeslagen mag worden, dus ook niet bij een ransomware-aanval: verander alle wachtwoorden. Zo maakt u de kans kleiner dat een aanvaller toegang blijft houden tot uw infrastructuur

Zorg dat u de juiste kennis in huis hebt

Bovenstaande stappen zijn technisch van aard. Controleer daarom altijd wat het technisch kennisniveau binnen uw organisatie is. Twijfelt u of uw medewerkers deze stappen adequaat kunnen doorlopen? Schakel dan altijd een expert in. Dit om onnodige schade door verkeerd uitgevoerde acties te voorkomen.

 
Ook kan het opsporen van het initieel besmette apparaat een grote uitdaging zijn voor iemand met (te) weinig kennis van cyber security. Zeker wanneer uw organisatie geen gebruik maakt van een SIEM of SOC.
 
Nog beter is natuurlijk een ransomware-aanval volledig voorkomen: een expert kan u hier ook bij helpen.

De schade is beperkt, wat nu?

Laten we allereerst voorop stellen: bovenstaande maatregelen lossen het ransomware-probleem niet volledig op. Ze beperken de schade zoveel mogelijk. Toch mag u er – helaas – van uit gaan dat er altijd schade is na een ransomware-aanval: schade die u zo snel mogelijk wil verhelpen om negatieve invloed op de bedrijfscontinuïteit zoveel mogelijk te voorkomen.
 

1. Documenteer de stappen die u genomen hebt

Welke acties hebt u genomen nadat u de ransomware-aanval had gedetecteerd? Documenteer deze stappen grondig, het liefst aangevuld met een timestamp. Documentatie draagt bij aan een overzichtelijk onderzoek achteraf. Ook helpt het met het inschatten van de schade.
 

2. Draag de casus over aan een gespecialiseerd onderzoeksteam

Bij het herstellen van de schade en het onderzoeken van de aanval moet u secuur te werk gaan. Zo is het bijvoorbeeld niet aan te raden een gecompromitteerd account te gebruiken voor verder onderzoek. Cyber security experts weten de risico’s goed in te schatten en adequaat te handelen. Zo gaat een ransomware-aanval vaak gepaard met meerdere aanvallen: misschien lijken bepaalde systemen nog goed te werken, maar blijken ze in de praktijk ook aangevallen.

Experts geven u een helder beeld van de situatie. Daarnaast weten ze welke stappen ze moeten zetten om de schade te verkleinen en een tweede aanval te voorkomen. 

3. Herzie samen met een cyber security expert uw securitybeleid

De cybersecurity expert zal waarschijnlijk aanvullende securitymaatregelen adviseren. Misschien moet er iets veranderen in uw beleid? Wellicht is het verstandig meer inzicht te krijgen in kwetsbaarheden en deze voortaan op tijd te verhelpen? Kijk samen met de expert naar welke maatregelen bij uw organisatie passen en welke ook haalbaar zijn.
 

Voorkom een ransomware-aanval

Vaak wanneer u zelf merkt dat er een ransomware-aanval gaande is, is er al schade gemaakt. Het is daarom beter om een aanval A. Te voorkomen en B. Op tijd te herkennen als het toch gebeurt. Met een SIEM of SOC bent u op de hoogte van wat er gebeurt in uw digitale infrastructuur. Zo bent u in staat veel sneller in actie te komen wanneer er nood aan de man is.

Daarnaast helpen de logs die een SIEM genereert ook bij het onderzoek achteraf. Het is veel eenvoudiger te herkennen waar het mis is gegaan en hoe u een ransomeware-aanval in de toekomst voorkomt. Met een cybersecurity expert in gesprek over het voorkomen van ransomware-aanvallen? Neem vrijblijvend contact met ons op.

Goed beschermd zijn tegen hackers begint met het begrijpen van hun werkwijze. Hoe kiezen ze slachtoffers uit? Via welke weg proberen ze binnen te komen? Met kennis van de stappen die hackers nemen, is het mogelijk ze in deze stappen te ondermijnen en dus buiten te houden.

Let op: in dit artikel geven we een idee van een veelvoorkomende hackersaanpak. Het is dus niet de enige werkwijze. Dat maakt het niet minder leerzaam: kennis hiervan helpt met het gericht aanbrengen van verbeteringen in uw digitale beveiliging. We geven onderaan in dit blogartikel nog een aantal tips.
 

1. Wie ga ik aanvallen?

Hacken start met het kiezen van een doelwit. Het uitzoeken van doelwitten gaat vaak anders dan de meesten denken. “Onze organisatie is niet interessant voor hackers” is een veelgehoord argument om niet bezig te hoeven zijn met cyber security. Maar wist u dat de meeste hackers vaak duizenden bedrijven tegelijk aanvallen? Zo ook kleinere organisaties.
 

Geautomatiseerd schieten met hagel

Hoe efficiënter hackers te werk gaan, hoe meer er voor ze te halen valt. Daarom maken ze gebruik van software die geautomatiseerd hacken mogelijk maakt. Daarmee schieten ze op een enorme hoeveelheid bedrijven. En hebben ze (bijna) altijd raak. Dat zijn dan de doelwitten waar ze verder bij binnendringen. Eigenlijk is deze werkwijze vergelijkbaar met die van gelegenheidsinbrekers.
 

Grote vissen aanvallen via de buitenste schil

Daarnaast zijn er natuurlijk ook hackers die ervoor kiezen zich enkel te richten op de grote vissen. Op de écht interessante bedrijven. Maar vinden ze geen ingangen bij deze grote vissen? Dan zijn de stakeholders van deze bedrijven hun nieuwe doelwit. Het doel? Via hen toch bij de grote vis binnendringen. Zeker sinds het afgelopen jaar valt het op dat cybercriminelen zich om die reden steeds meer richten op MKB’ers.
 

2. Met wat voor bedrijf heb ik te maken?

Elke organisatie steekt (digitaal) weer anders in elkaar. Zeker wanneer een hacker één grote vis aan wil vallen, is het exploreren van de organisatie een onmisbare stap. Wat ze dan zoal onderzoeken? Dat is heel breed: denk aan de KvK-inschrijving, het adres, werknemers en hun data, etc.

Alles om een idee te krijgen van hoe de organisatie eruit ziet. En het belangrijkste: wat het aanvalsoppervlak is. Ook de (digitale) beveiliging wordt grondig onder de loep genomen. Zijn alle beveiligingsupdates van software of OS’en bijvoorbeeld doorgevoerd? Het doel is alle aanvalskansen en ook de potentiële dreigingen in kaart te brengen.
 

3. De eerste stap naar binnen zetten

Heeft de hacker een idee van het aanvallersoppervlak? En zijn alle aanvalskansen zoals beveiligingslekken in kaart gebracht? Dan is het tijd om voorzichtig de eerste stap naar binnen te zetten. Een veelvoorkomende techniek is inloggegevens van medewerkers aftroggelen met een phishing-actie. Denk hierbij aan CFO’s of personen met admin-rechten. Het is daarom belangrijk goed bewapend te zijn tegen phishing-acties via nepmails en malafide linkjes. Hoe oplettend medewerkers ook zijn: vroeg of laat trapt er altijd iemand in de val.
 

Pentest

  • 23 mei, 2023

8x Alles over ethisch hacken en pentests

Lees verder

4. …En ondertussen niet opvallen

Het doel van de hacker is eigenlijk altijd ongezien te werk gaan: daarmee loopt hij het minst risico. Steeds meer bedrijven maken tegenwoordig gebruik van een SIEM (met SOC), waardoor ze actueel op de hoogte blijven van de digitale activiteit op netwerken. Dat maakt onzichtbaar blijven een grote uitdaging voor de hacker.

Hackers blijven daarnaast zo anoniem mogelijk. Een enigszins ervaren hacker zal nooit vanuit zijn privé netwerkverbinding gaan hacken, maar juist vanaf een openbaar netwerk. Zo is zijn of haar identiteit en locatie een stuk lastiger te achterhalen door autoriteiten.
 

5. Op onderzoek in het netwerk

Is de phishing-actie geslaagd? En is er toegang tot het account (of zelfs de computer) van één van de medewerkers? Dan gaat het onderzoeken verder. Want geeft dit account wel voldoende rechten? Wat is er nodig om volledig controle te krijgen over de meest belangrijke systemen? Waar staan de belangrijke bestanden opgeslagen?

Vaak is het mogelijk met de inloggegevens van één persoon toegang te krijgen tot meer systeemonderdelen. Puur omdat wachtwoorden worden hergebruikt. Ook komt het vaak voor dat systeembeheerders voordehand liggende inloggegevens als “admin” gebruiken. Daar maken hackers gretig gebruik van. Daarmee veroveren ze langzaam het digitale domein van hun doelwit.
 

6. Permanent toegang krijgen

Hacken is vaak geen actie van één dag. Daarom zorgen de meeste hackers ervoor dat ze permanent toegang hebben tot een computer of netwerk. Het liefst maken ze van binnenuit een achterdeurtje die ervoor zorgt dat ze op elk gewenst moment ongezien binnen kunnen komen. Dat doen ze met speciale “backdoor” software. Soms hebben slachtoffers van cybercrime maanden lang zo’n achterdeur die open is gezet door een hacker, maar komen ze niet achter het bestaan.
 

7. Ravage maken

In de tijd dat hackers ongezien toegang hebben tot de digitale omgeving van een organisatie, zijn er een tal aan mogelijkheden. Misschien willen ze wel gevoelige data stelen? Misschien willen ze wel geld verdienen door bestanden te gijzelen? Misschien willen ze het bedrijf wel platleggen met ransomware? Wat de aanpak van een hacker ook is: het gevolg van een geslaagde hackeractie is altijd een ravage. Zo niet digitaal, dan wel imago technisch of financieel. Of alle drie tegelijk.
 

8. Geen sporen achterlaten

Ook wanneer de hackactie geslaagd is, is het doel van de hacker nog steeds ongezien blijven. Dat doen ze door heel slim logs te wissen. Alles data die naar de hackactie verwijst moet verwijderd worden. Zo zijn ze in het gunstigste geval niet meer te traceren.
 

Deze informatie gebruiken: zo beschermt u uw organisatie

We benoemden het al aan het begin van dit artikel: inzicht hebben in de werkwijze van een hacker is op cybersecurity niveau goud waard. Wat zijn de lessen die we uit bovenstaande informatie kunnen trekken? En hoe zetten we die lessen in om organisaties te beschermen tegen cybercrime? We hebben een aantal adviezen kort op een rijtje gezet:
 

Voorkomen dat hackers kwetsbaarheden kunnen misbruiken

Verborgen kwetsbaarheden – waaronder software die niet up-to-date is – zijn enorme kansen voor hackers. Om ervoor te zorgen dat hackers geen misbruik kunnen maken van kwetsbaarheden, is het belangrijk er continu bovenop te zitten. Er is speciale software op de markt die u actueel op de hoogte houdt van de meest riskante kwetsbaarheden in uw digitale omgeving. Met deze software lost u vulnerabilities snel, effectief en efficiënt op.
 

Voorkomen dat inloggegevens gestolen worden

Ook account takeovers wilt u zoveel mogelijk – of eigenlijk helemaal – tegengaan. Met phishing awareness campagnes maakt u medewerkers al een stuk alerter. Maar ze helemaal beschermen tegen phishing-acties gaat nog beter met software die mails, linkjes en attachments automatisch controleert en schoonmaakt.

Daarnaast is het ook van belang dat collega’s hun wachtwoorden regelmatig veranderen en niet hergebruiken op andere accounts. Een 2FA of MFA oplossing in gebruik nemen is al helemaal verstandig.
 

Voorkomen dat een hacker ongezien blijft (door logs te verwijderen)

Tot slot start cyberveiligheid met op de hoogte zijn van alle acties en wijzigingen in de digitale omgeving van uw organisatie. Die worden bijgehouden in logs. Met SIEM software houdt u deze logs overzichtelijk in de gaten. Nog handiger is samenwerken met een SOC: zij monitoren alle securitymeldingen die uit de logs komen, halen false positives eruit én komen in actie wanneer er nood aan de man is.
 

Meer hulp bij het cyberveilig maken van uw organisatie?

Neem dan vrijblijvend contact op met een van onze security-experts.

Hoe een hacker eruit ziet? Als we de plaatjes op het internet moeten geloven, draagt elke hacker een zwarte hoodie, een masker én leren handschoenen om het achterlaten van vingerafdrukken te voorkomen. En hun favoriete werkplek? Dat is een donkere ruimte, omringd door flitsende eentjes en nulletjes. De internethacker: het is een spannend stereotype.

Als het goed is, weten we allemaal wel te bedenken dat dit stereotype een beetje overdreven is. Dat het meer aannemelijk is dat een hacker niet dit soort afgesproken “werkkleding” draagt en gaat voor zijn eigen kloffie. Maar als die plaatjes zo onrealistisch zijn: waarom duiken ze dan steeds op boven artikelen over cybercrime? Hoe is dit het boegbeeld van de hackers geworden? Waar komt dit stereotype vandaan?

Hacken: de mystieke superkracht van de 21e eeuw

Toen we onszelf deze vragen stelden, kwamen we er al snel achter dat we het antwoord eigenlijk niet zo goed wisten. Ja, de media zal vast veel invloed hebben gehad. Een onguur type met een donkere hoodie en een masker is tenslotte veel spannender dan de buurman achter een laptop.

Daarnaast hangt er veel mystiek rondom de hackerswereld. Het wordt door velen haast gezien als een soort on(be)grijpbare moderne superkracht. Logisch dat de stockfoto’s op het internet eer willen doen aan deze mysterieuze wereld met plaatjes zoals deze:

Toch moet er iemand zijn geweest die dit populaire beeld van een hacker ooit heeft bedacht. Want waarom specifiek die hoodie? We gingen kort op onderzoek uit.

Hackers bestaan al langer, maar het stereotype is een stuk jonger

We kwamen er al snel achter dat dit hackerstereotype nog niet eens zo oud is. Een senior security research van Kaspersky, Brian Bartholomew, gaf namelijk ooit eens aan dat rond het jaar 2000 de hoodiehacker zoals we hem nu kennen nog niet bestond. En dat terwijl hackers toen ook al wat jaren actief waren: denk maar aan het “phreaking”-tijdperk in de jaren 80.

Ook op het bekende hackersevenement DEF CON (sinds 1993) zag de algemene klederdracht er een stuk anders uit.  Daar voerde de “cyberpunk”-kledingstijl de boventoon. Volgens Marc Rogers – een security expert die heeft meegewerkt aan Mr. Robot – benadrukt dat leren jasjes en handschoenen zonder vingers toen populair waren.

Nu valt het natuurlijk te betwisten of de bezoekers van Def Con de hele hackercommunity representeren. Vooral White Hats (ethisch hackers) laten hun gezicht zien op een evenement, maar het is maar de vraag hoeveel Black Hats (kwaadwillende hackers) op Def Con af komen. En juist die Black Hats zijn de ongure types op stockfoto’s.

De invloed van de film “Hackers”

Toch maakt DEF CON de shift naar hoodiehackers wel tastbaar. Het viel Rogers namelijk op dat na het uitkomen van de film “Hackers” – waarin de hackers skateboard rebellen waren – de hoodie steeds populairder werd. Rogers benadrukt dat deze shift vooral te wijten is aan nieuwe hackers die door deze film geïnspireerd zijn geraakt zelf ook te gaan hacken en de skaterhoodie daarom hebben geadopteerd. De “oude garde” neigt nog steeds naar cyberpunkkleding.

Anno 2020 is er nog weinig te zeggen over de gemiddelde kledingstijl van een white/grey/black hat hacker. En eerlijk? Het uitpluizen van de laatste tech fashiontrends is ook zeker niet de moeite waard. Maar deze analyse van de kledingstijlen die door de jaren heen te zien waren op DEF CON geeft ons wel de mogelijkheid voorzichtig te concluderen dat de film “Hackers” een grote bijdrage heeft gehad aan het stereotype beeld dat we nu kennen.

En die donkere ruimte met eentjes en nulletjes? Die is natuurlijk veel spannender dan een rommelige slaapkamer. En enger. Dat past goed bij de boodschap die de media wil overbrengen: dat we op moeten passen voor hackers.

De stereotype hacker: overdreven of passend?

Nu zijn White Hats alles behalve gevaarlijk, maar een voorzichtigheid tegenover Black Hats is zeker op zijn plaats. De zwarte kelders zijn wat overdreven, maar de onderliggende boodschap van de stereotype plaatjes is zeker niet onrealistisch. Cybercrime is geen zuivere koffie.

Zeker nu de wereld meer en meer techdriven is, zijn cybercriminelen een serieuze bedreiging voor particulieren, bedrijven en eigenlijk heel de samenleving. Niet alleen vanwege het stelen van data of betaal- en persoonsgegevens, maar ook hun vermogen om complete systemen waar (overheids)instanties afhankelijk van zijn te ontwrichten. Er zijn niet voor niets steeds meer samenwerkingen in het belang van de algemene cyberveiligheid.

Wat ons betreft mogen de cliché hackerplaatjes de ijskast in (ook al dragen we onze eigen hoodies met veel plezier). Maar de voorzichtigheid tegenover cybercrime? Die mag blijven!

Het dark web is en blijft een onderwerp dat voor spanning en sensatie zorgt. Maar ook veel vragen. Wat is het dark web precies? Waar zit de ingang? Wat gebeurt er allemaal op het dark web? Is het illegaal? In dit artikel nemen we u mee in het dark web en schijnen we er eens een keer wat licht op.

Voordat we in de donkere diepten van het dark web duiken, eerst wat meer info over een ander internetfamilielid: het deep web. Want wanneer het over het dark web gaat, worden de termen dark en deep web vaak door elkaar gebruikt.

Het verschil tussen dark web en deep web

Als we het hebben over het internet, hebben we te maken met o.a. het surface web, deep web en dark web. Het surface web bestaat uit pagina’s die voor iedereen toegankelijk zijn. Bij het deep web en dark web zit dat anders.

Wat is het deep web?

Het deep web bestaat uit alle webpagina’s die niet in de indexen van zoekmachines staan. Ze zijn onzichtbaar voor zoekmachines omdat ze deze pagina’s niet mogen of kunnen indexeren. Toch is het deep web voor velen toegankelijk: waarschijnlijk heeft u zelf al eens een deep web pagina bezocht zonder dat u het door had.

Denk aan websiteonderdelen die alleen beschikbaar zijn wanneer u inlogt met een account. Of aan andere pagina’s waarbij websitebeheerders hebben aangegeven dat zoekmachines ze niet mogen weergeven. Bijvoorbeeld speciale aanbiedingen van webwinkels met een exclusieve directe link naar de pagina met deze persoonlijke deal.

Wanneer u op deze deal zoekt in een zoekmachine en niets vindt, dan heeft u waarschijnlijk te maken met een stukje deep web. De webwinkel heeft de pagina bewust niet laten indexeren, zodat de speciale aanbieding niet voor iedereen toegankelijk is, maar enkel trouwe klanten zoals u.

Wat is het dark web?

De gemiddelde gebruiker zit dagelijks op het deep web zonder hier ooit bij stil te staan. Wanneer iemand daarentegen gebruik maakt van het dark web, dan is dit vrijwel altijd bewust. Het dark web is namelijk niet toegankelijk via conventionele browsers zoals Google Chrome of Safari. Daar zijn wat extra stappen voor nodig.

Het dark web is onderdeel van het deep web, maar het deep web is dus niet per definitie dark web.

Dark Web

  • 2 mei, 2022

Kennis over Dark Web: belangrijk voor cyber security

Lees verder

Toegang tot het dark web

Ondanks dat het dark web onderdeel is van het deep web, is er speciale software, configuratie en/of toegang nodig om bij het dark web te komen. En dan heeft u niet eens toegang tot het volledige dark web. Er is namelijk niet één groot dark web, maar het bestaat uit kleinere netwerken van servers die beschikbaar zijn.

Als iemand bijvoorbeeld de Tor (The Onion Routing) browser configureert en gebruikt, dan heeft hij/zij toegang tot de servers die via dit Tor netwerk beschikbaar zijn.  Met deze browser kan dezelfde persoon niet bij de servers die beschikbaar zijn via het I2P (The Invisible Internet Project) netwerk. Voor die servers moet men dus weer andere software, specifiek voor dit I2P netwerk downloaden en configureren. Het is onder andere deze fragmentatie die het lastig maakt om het dark web goed inzichtelijk te krijgen.

Zoekmachines voor het dark web

Er bestaan wel zoekmachines voor het dark web: bijvoorbeeld het Tor-netwerk. In theorie is het dark web gewoon op een soort gelijke manier te indexeren als het traditionele web. In de praktijk is het alleen niet zo eenvoudig. Zoals ik net benoemde, is goed inzicht krijgen hoe het dark web in elkaar zit lastig. En wel om – onder andere – deze redenen:

Kortom: de manier waarop het netwerk opgezet is maakt het inzichtelijk krijgen van het dark web voor zoekmachines niet onmogelijk, maar wel een stuk lastiger.

Waarom kiezen gebruikers voor het dark web?

Veel dark web software is ontwikkeld omdat de makers privacy, anonimiteit en vrijheid van meningsuiting hoog in het vaandel hebben staan. De gebruikers van het dark web willen dan ook vaak censuur omzeilen.

Denk aan personen die gevoelige zaken rapporteren of communiceren met met bronnen die niet openlijk gevoelige informatie kunnen delen. Bijvoorbeeld journalisten of whistleblowers. En wat dacht u van activisten? Het dark web verkleint het risico dat ze achtervolgd worden vanwege hun controversiële uitspraken.

De donkere kant van het dark web

Het dark web is vrij van censuur en volledig anoniem: dat kan in sommige situaties voordelig uitpakken. Toch zit er ook een donkere kant aan het dark web. De anonimiteit brengt niet altijd het beste uit gebruikers naar voren. Het dark web wordt ook gebruikt voor criminele praktijken zoals:

Dit soort activiteiten zorgen voor de rare nasmaak die velen ervaren bij een gesprek over het dark web. Dit is ook de meest bekende kant van het dark web.

Dark web: is het illegaal?

In principe is er niets verkeerds of illegaal aan de techniek van het dark web. Tor bouwt niet een netwerk om drugshandel te faciliteren, maar om een anoniem platform dat vrij is van censuur aan te bieden. In theorie is daar niets mis mee dus.

In de praktijk brengt deze anonimiteit helaas wel met zich mee dat illegale activiteiten eenvoudiger onder de radar blijven. Terwijl de bekende en onschuldige DuckDuckGo ook een Tor-versie aanbiedt om privacy en anonimiteit te waarborgen, zijn (cyber)criminelen ondertussen vrolijk op andere delen van het dark web actief. Dat maakt het lastig een hard waardeoordeel vast te hangen aan het dark web.

Een duaal verhaal dus.

Al sinds 2010 maken USB Rubber Ducky’s mensen het leven zuur. Maar is het einde van de Rubber Ducky nu toch echt eindelijk in zicht? Als het aan Google ligt wel: zij ontwikkelden een tool die de weerbaarheid tegen deze “keystroke injection tools” aanzienlijk verhoogt.

Helaas is de tool van Google voorlopig alleen nog beschikbaar voor Linux-gebruikers. Toch is het een ontzettend positief gegeven dat in die 10 jaar er eindelijk iets tegen Keystroke Injection aanvallen zoals USB Rubber Ducky is ontwikkeld. De kans dat een dergelijke tool in de toekomst ook beschikbaar gaat zijn voor andere operating systems is tenslotte reëel.
 

Wat is een USB Rubber Ducky?

Allereerst: wat is een USB Rubber Ducky precies? Waar komt het vandaan? En hoe zetten aanvallers ze in? Een Rubber Ducky is een “keystroke injection tool” dat vermomd is als een USB-stick. Deze normaal uitziende USB-stick is voorzien van een speciale chipset waarmee hij zich voor doet als een toetsenbord die “toetsaanslagen” kan invoeren wanneer de USB-stick is ingeplugd.

Dat invoeren gaat geheel automatisch. De chipset in de USB is namelijk voorzien van een Micro SD-slot waar de aanvaller van te voren payload/code op kan zetten. Stopt iemand de Rubber Ducky in een PC? Dan typt deze de vooraf ingestelde commando’s in alsof het een echt toetsenbord is. Dat is meteen ook de reden waarom USB Rubber Ducky’s zo gevaarlijk zijn: antivirusprogramma’s herkennen ze niet.
 

Hoe het kan dat antivirusprogramma’s Rubber Ducky’s niet herkennen?

Antivirus software gaat ervan uit dat de Rubber Ducky gewoon een toetsenbord is waar iemand achter zit. Ondanks de schadelijke commando’s die een Rubber Ducky in een recordtempo weet in te voeren, zijn antivirussen nooit in staat geweest ze tegen te houden. Waarom? Omdat antivirus software toetsenborden altijd toestaat. Een computer kan nog wel zonder een muis, maar zonder toetsenbord is het onbedienbaar, tenslotte.
 

Aanvallers

  • 13 okt, 2021

Wie bepaalt of uw cyber security goed is? De hacker

Lees verder

Scripts die wachtwoorden stelen

De mogelijkheid om ongestoord schadelijke commando’s in te voeren is voor aanvallers natuurlijk ontzettend interessant. USB Rubber Ducky’s worden dan ook op verschillende manieren ingezet. Tenslotte is er via deze weg een hoop mogelijk. Denk bijvoorbeeld aan het invoeren van een script dat wachtwoorden steelt. U kunt zich voorstellen: USB Rubber Ducky’s zijn krachtig in de handen van kwaadwillenden.

Overigens is de Rubber Ducky waarschijnlijk ontwikkeld door een IT’er met goede intenties. Hij wilde het leed van IT’ers die steeds dezelfde commando’s in moeten typen namelijk verzachten. De USB-stick die hij daarvoor gebruikte, had de vorm van een rubberen eend. Vandaar de naam “Rubber Ducky”. Ze zijn nog steeds voor een paar tientjes online te bestellen, puur doordat ze ook ontzettend functioneel zijn voor IT’ers.
 

Hoe Rubber Ducky’s in computers terecht komen

U bent vast al eens gewaarschuwd dat het beter is onbekende USB-sticks niet te vertrouwen. Toch blijven aanvallen via deze methode veelvoorkomend. Soms doordat iemand toch per ongeluk zonder het te weten een Rubber Ducky inplugt, maar ook doordat de kwaadwillende dat gewoon zelf doet.

Het sterke aan een USB Rubber Ducky is namelijk dat hij “In & Out” werkt. Het weet de commando’s razendsnel (meer dan 1000 woorden per minuut) in te toetsen, waardoor binnen 1 minuut het werk geklaard is.  Iemand hoeft dus maar 60 seconden in de buurt van een PC te komen om een Rubber Ducky zijn werk te laten doen.
 

Leer derden buiten te houden met een inlooptest

Het is daarom belangrijk dat onbevoegden nooit in de buurt van uw systemen kunnen komen. Met een inlooptest – ook wel fysieke penetratietest – is goed te achterhalen hoe derden binnen uw pand kunnen komen. Zo’n test legt alle kwetsbaarheden bloot en geeft inzicht in hoe u uw pand nog beter kunt beveiligen.

Ook verwachten we dat bedrijven zich in de toekomst dus extra kunnen weren tegen USB Rubber Ducky’s via de tool die Google heeft ontwikkeld. Zoals we al eerder benoemden is deze tot op heden enkel voor Linux beschikbaar.
 

De USB Keystroke Injection Protection tool van Google

Hoe de tool van Google precies werkt? Zoals u inmiddels weet, zijn Rubber Ducky’s in staat razendsnel “keystrokes” in te voeren. Die 1000 woorden per minuut zijn onmenselijk en dat is precies waar Google op inspeelt. De tool herkent verdachte invoersnelheden en blokkeert automatisch kwaadaardige apparaten die een normale snelheid overschrijden.

In 2016 is er door Beamgun een tool ontwikkeld met hetzelfde doel. Echter bleek deze niet heel succesvol omdat het wel beschermde tegen aanvallen zoals USB Rubber Ducky’s, maar wel ten koste van gebruiksvriendelijkheid.
 

Geen silver bullet tegen USB Rubber Ducky’s

Google maakt daarbij wel de kanttekening dat de tool geen “silver bullet” tegen USB-aanvallen en Keystroke Injection Attacks is. Tenslotte kunnen aanvallers nog veel meer wanneer ze toegang hebben tot een computer. Wel is de oplossing een extra beschermingslaag die het uitvoeren van een succesvolle aanval weer een stukje moeilijker maakt.

Goed om te weten: de tool kent twee modes: “Monitor” en “Hardening”. Die eerste blokkeert niets, maar geeft informatie over de Rubber Ducky die is ingeplugd via syslog. De “Hardening” mode blokkeert wel direct apparaten die volgens de tool kwaadaardig zijn. De USB Keystroke Injection Protection tool wordt standaard geleverd met “Hardening” mode ingeschakeld.

Google maakt met deze USB Keystroke Injection Protection tool een mooie stap op het gebied van cybersecurity. We zijn benieuwd hoe snel een dergelijke oplossing ook beschikbaar gaat zijn voor andere OS’en als Windows en Apple.

Bij datadiefstal (ook wel data theft) denkt men al snel aan hackers die met aanvallen bij gevoelige data proberen te komen. Maar wist u dat data theft niet alleen van buitenaf plaats hoeft te vinden?

Datadiefstal door personeel is net zo goed een veelvoorkomend probleem. Hoe groot is de kans dat u risico loopt op data theft door medewerkers? En is deze vorm van datadiefstal goed te voorkomen?
 

Wat is datadiefstal?

Datadiefstal (of data theft) is het stelen van digitale informatie die opgeslagen staat op de computer, harddisk of server van het slachtoffer. Het gaat hierbij vooral om data met vertrouwelijke informatie. Bijvoorbeeld gevoelige bedrijfsdocumenten of klantgegevens. De gevolgen van datadiefstal kunnen groot zijn: denk aan geheime gegevens die bij de concurrent terecht komen of persoonsgegevens die door cybercriminelen worden misbruikt.
 

Datadiefstal door een medewerker en diefstal door een hacker

De kans dat een medewerker data steelt is nog groter dan dat een hacker dat doet. Hoe dat kan? Hackers moeten eerst van buitenaf binnen zien te komen door – bijvoorbeeld – via phishing inloggegevens te bemachtigen. Een medewerker? Die zit al binnen. Voor hem of haar zit de uitdaging hem enkel nog in het ongezien wegloodsen van de gegevens, niet in het binnendringen.

Nu hebben de meeste medewerkers geen reden om data te stelen van hun baas. Maar is een relatie door de jaren heen wankel geworden? Dan kan de medewerker in de verleiding komen data door te sluizen naar hun nieuwe werkgever. Een bedrijfsconflict kan helaas altijd ontstaan: ook binnen uw bedrijf. Ben dus zeker alert op de risico’s. Er hoeft maar één medewerker data weg te sluizen en u zit met grote schade.
 

Is datadiefstal te voorkomen?

Gelukkig bent u niet geheel overgeleverd aan de welwillendheid van uw personeel. Een aantal jaar geleden werd er nog geroepen dat er vrij weinig te doen is aan datadiefstal door medewerkers. Tegenwoordig zit de vork anders in de steel. Ja, het blijft een gecompliceerd probleem. Maar er zijn manieren om medewerkers op tijd te betrappen.

Een tijd geleden heeft ons Cyberlab-team een organisatie nog geholpen op het gebied van datadiefstal door personeel. Om u een idee te geven van hoe datadiefstal door personeel eruit kan zien, delen we dit verhaal:
 

Dubieuze hoeveelheid datatraffic

De organisatie maakte gebruik van een Firewall die in een maandelijkse rapportage liet zien dat er data was verstuurd naar een extern domein. Het ging om honderden Gb’s. Een raadselachtige situatie. Het bedrijf kon geen verklaring geven voor deze verdachte activiteit en schakelde Cyberlab in voor onderzoek.
 

Hun geluk: InsightIDR

Ze hadden één groot geluk: doordat ze net bezig waren met een Proof of Concept van InsightIDR, had ons team veel meer logging dan zonder InsightIDR. Die logging is essentieel in het onderzoeken van dit soort kwesties. Het was dan ook een redding, want dankzij die logging wist het Cyberlab-team snel te achterhalen vanuit welk account die data werd weggesluisd. Ook de server en tijdstip van het voorval waren bekend.

Lees hier meer over InsightIDR.

Het kwam erop neer dat de data vanaf het account in kwestie naar een cloudservice is gesluisd. De eigenaar van dit account zou toevallig binnenkort uit dienst gaan. Uiteraard is er geen zekerheid dat de eigenaar van dit account hierachter zit. Tenslotte komt het ook wel eens voor dat accounts gehackt raken en derden er gebruik van maken. Wel hadden we met de logging feitelijk bewezen dat dit specifieke account de bron van de datadiefstal was: een aanknopingspunt.
 

Hoe het bewijsmateriaal leidde tot de verantwoordelijke

Het was aan de directie om te bepalen wat voor stappen ze gingen ondernemen. Cyberlab levert tenslotte enkel de digitale feiten rondom accounts, maar kan geen uitspraken doen over de betrokkenheid van fysieke personen.

Uiteindelijk koos de directie ervoor het gesprek met de eigenaar van het account aan te gaan. Die gaf – na het voorleggen van wat bewijsmateriaal – schoorvoetend aan dat hij de data had willen back-uppen voor zichzelf. Het ging alleen om wel heel erg veel data, dus het is maar de vraag of dit puur voor privégebruik was.

Jammer genoeg was de organisatie op dat moment nog geen volledige klant bij IP4Sure. Als dat wel het geval was geweest, hadden we al andere maatregelen kunnen implementeren die nog meer helderheid hadden gegeven. Nu was bijvoorbeeld nog onbekend om welke data het precies ging.
 

Belangrijk: bewaar logging en audits

In ieder geval is er op tijd achterhaald wie achter de data theft zat, nog voordat deze persoon uit dienst ging. Dat geeft maar aan hoe belangrijk het is dat u logging en audits altijd bewaart! Nu heeft de directie nodige stappen kunnen ondernemen binnen de organisatie.
 

Datalekken vaak door personeel

Datadiefstal door eigen personeel: het is een belangrijk risico om als organisatie alert op te zijn. Tot op heden is het grootste deel van de data die gelekt wordt te wijten aan medewerkers. In bovenstaande voorbeeld was dit met voorbedachte rade, maar in veel gevallen gebeurt het ook onbewust. Kijk daarom wat voor maatregelen u kunt treffen om schade door data theft te voorkomen.

Hulp bij het verkleinen van het risico op datadiefstal en het vergroten van de pakkans? We denken graag vrijblijvend met u mee, dus neem zeker contact op om te informeren over de mogelijkheden.

Gehackt zijn en het niet door hebben: alles behalve wenselijk en een absolute nachtmerrie. Met de wetenschap dat 60% van de MKB-bedrijven binnen 6 maanden na een hack de deuren moet sluiten, wilt u er hoe dan ook op tijd bij zijn. Maar hoe weet u of uw bedrijf gehackt is?

Het aantal gehackte bedrijven stijgt elk jaar. Helaas zijn hacks niet altijd zichtbaar. In tegendeel: de meeste bedrijven ontdekken datalekken pas na (wederom) 6 maanden. Toch betekent dat niet dat aanvallen niet te detecteren zijn. Het komt er vooral op neer dat nog veel bedrijven er niet op zijn ingericht verdachte activiteit tijdig te ontdekken. In dit artikel geven we tips om op tijd te herkennen of u gehackt bent.

Hoe weet u of u gehackt bent?

Er zijn een aantal aanvallen die u of uw collega’s zelf kunnen herkennen. Het merendeel van de hacks zijn echter wat onopvallender, maar ook die zijn te detecteren. Hoe? Daar gaan we later in dit artikel dieper op in. Eerst de 5 meest zichtbare signalen waar u aan herkent dat er een hack heeft plaatsgevonden:
 

1. Versleutelde bestanden

Inmiddels zijn de meesten wel bekend met de werking van ransomware: aanvallers zetten deze in om op afstand bestanden binnen een bedrijf te versleutelen. Het doel? Geld verdienen. Criminelen beloven de sleutel van de gegijzelde data te geven in ruil voor losgeld. Het slachtoffer bedrijf heeft geen toegang tot deze bestanden tot het gehele bedrag betaald is.

Tegenwoordig komt chantage ook steeds vaker voor: hierbij dreigen aanvallers gegijzelde data publiekelijk te maken.

De kans is klein dat een ransomware-aanval 6 maanden onder de radar blijft. Zo’n aanval is namelijk eenvoudig op te merken: u hebt plotseling geen toegang meer tot alle bedrijfsbestanden. In de meeste gevallen bent u dan wel te laat. Tenslotte zijn alle bestanden al versleuteld. Dan is het maar de vraag of u in staat bent alles onbeschadigd terug te krijgen. Het is daarom belangrijk preventieve maatregelen te treffen.

Denk hierbij aan phishing-awareness trainingen en software die voorkomt dat malafide linkjes en bijlagen via mails binnen kunnen komen. Of software die het gedrag op een systeem analyseert om in te grijpen bij versleuteling. Verder is een solide back-up plan geen overbodige luxe. Zorg dat u de bedrijfsbestanden op meerdere plekken veilig bewaart.

Lees hier meer over wat te doen bij een ransomware aanval.
 

2. Berichten van aanvallers

Voortbordurend op ransomware: hackers willen nog wel eens ransomware-berichten achterlaten. Dit is misschien wel het meest zichtbare teken dat er bestaat, want er is geen ontkomen aan. Een hacker vertelt letterlijk wat er aan de hand is: uw bedrijf is gehackt. Vaak komen deze berichten omhoog op malafide websites waar uw browser u naartoe leidt nadat (of op het moment dat) u geïnfecteerd bent.

Nogmaals: het liefst voorkomt u deze situatie want eigenlijk is het dan al te laat. Zet in op preventie en zorg ervoor dat ransomware geen kans krijgt. En komt het toch in uw netwerk? Zorg er dan voor dat u het op tijd detecteert, nog voordat alle bestanden versleuteld zijn. Een SIEM of SOC helpt u met het op tijd detecteren van verdachte activiteit in uw infrastructuur.

Lees hier meer over het kiezen van een Managed SIEM (SOC) die bij uw bedrijf past.
 

3. Browsers die u omleiden naar vreemde websites

Omleidingen naar andere websites wijzen vaak ook op de infiltratie van een hacker. Het hoeven dus niet alleen ransomware-berichten te zijn. Opent u de browser en leidt deze u een andere website dan de standaard homepage? Dan is de kans groot dat er meer aan de hand is.

Een redirect virus is in dit geval vaak het probleem. Die komen meestal binnen door medewerkers die software van derden downloaden, zonder te overleggen met de security manager. Het komt niet zelden voor dat gratis programma’s geïnjecteerd zijn met zaken die u liever niet op uw computer en netwerk hebt rondzwerven.

Waarom aanvallers dit soort virussen inzetten? Niet alleen om u te irriteren door u steeds op andere pagina’s terecht te laten komen. In de meest “onschuldige” gevallen, leidt het virus u naar pagina’s met advertenties waar ze geld aan verdienen. In het slechtste geval vallen de omleidingen minder op en krijgt u te maken met look-a-like websites. Voert een medewerker daar zijn of haar inloggegevens in? Dan weet u hoe laat het is.
 

 Vermoed u dat u gehackt bent?

> Bel of app naar ons noodnummer 040-2095020 voor directe hulp.

4. Computers beginnen te spoken

Het bezorgt menig mens een hartaanval: een muiscursor die beweegt zonder dat u zelf input geeft. Het voelt bijna alsof iemand anders de computer bedient. In sommige gevallen is er gewoon wat mis met de muis en is die aan vervanging toe.

Maar ben alert: het kan er ook op wijzen dat uw bedrijf gehackt is. Zeker wanneer u op meer vlakken het idee hebt dat derden bezig zijn in uw infrastructuur.

Reageer snel en adequaat door de computer(s) die dit gedrag vertoont direct te ontkoppelen van het netwerk en het internet. Meld uzelf af op alle programma’s en diensten die op deze computer in gebruik zijn en wijzig inloggegevens. Ga daarna op zoek naar de bron door samen met een specialist een onderzoek te starten.
 

5. Vreemde mails van collega’s

Krijgt u een afwijkende mail van iemand die u kent? Bijvoorbeeld met bijlagen of links erin? Ben altijd voorzichtig en vertrouw bijlagen niet zomaar: ook wanneer u de afzender kent, kan het de actie van een hacker zijn. Het wil nog wel eens voorkomen dat aanvallers een gehackt account inzetten om verder toegang te krijgen tot een bedrijfsnetwerk. Dit doen ze door malafide bestanden en links te verspreiden.

In het beste geval wijkt de mail zodanig af van wat u gewend bent dat u meteen door hebt dat er iets niet klopt. Echter zijn aanvallers gehaaid en weten ze u beter om de tuin te leiden dan u denkt. Ze zijn een kei in informatie verzamelen en daarop inspelen. Zo kan het zijn dat ze een document sturen n.a.v. een recente vergadering of presentatie. Hoe voorkomt u dan dat iemand in die mails trapt? En dat uw bedrijf via deze weg gehackt wordt?

U doet er hoe dan ook goed aan software te gebruiken die elke mail automatisch schoonmaakt. Met Check Point Harmony Email and Office bent u beschermd tegen dit soort acties. Voorkom daarnaast ook dat accounts in de handen van hackers komen. Help medewerkers met hun wachtwoordbeveiliging en sterke authenticatie. Verder zijn er simpele mogelijkheden om tekst toe te voegen aan het onderwerp van een e-mail van een extern adres.

Doe hier de Office 365 hack-check en lees hoe u nepmails ontmaskert.
 

Maar hoe herkent u onzichtbare aanvallen?

Zoals we al eerder in dit artikel benoemden, zijn de meeste hacks helaas niet zo opvallend als de bovenstaande scenario’s. Veel bedrijven ontdekken pas op het moment dat het te laat is dat ze gehackt zijn. Voorkom dat u verplicht een melding moet maken van een datalek en hou uw IT-infrastructuur dagelijks in de gaten. Alleen zo detecteert u verdachte activiteiten op tijd en hebt u nog de kans om in te grijpen.
 

Maak gebruik van een SIEM of SOC

We kunnen het niet vaak genoeg benadrukken: een SIEM of een SOC maakt u meer in control over uw beveiliging. SIEM software verzamelt continu gegevens over de activiteiten binnen de infrastructuur. Die activiteitslogs helpen u niet alleen te achterhalen hoe een hack plaats heeft kunnen vinden: als u de software goed instelt krijgt u een melding op het moment dat er iets aan de hand is.
 

Voorkom dat u gehackt wordt

Dus: hoe weet u of u gehackt bent? Steeds meer bedrijven kiezen ervoor samen te werken met een Security Operations Center. Een SOC houdt namelijk voor u in de gaten wat er aan de hand is en trekt aan de bel bij belangrijke gebeurtenissen. Zo weet u zeker dat de boel de hele week wordt gemonitord. En is er een melding? Dan bent u in staat snel en op tijd te handelen. Die snelheid is cruciaal: want hoe sneller u handelt, hoe kleiner de schade.

Afspraak maken

"*" geeft vereiste velden aan

Naam*
Privacy policy*

Aanmelden voor de webinar:

"*" geeft vereiste velden aan

Naam*
Privacy policy*