De mens als belangrijke factor binnen de cyber security is op zichzelf niets nieuws: met social engineering spelen hackers al decennia lang in op de menselijke onoplettendheid. Toch is er volgens Gartner een shift gaande als het gaat om de mens binnen de cyber security.
Volgens Gartner is de verwachting dat richting 2027 zeker de helft van alle CISO’s (Chief Information Security Officers) de mens meer een hoofdrol gaat laten spelen binnen security architecturen en programma’s. Want ondanks de inspanningen om cyber security mensvriendelijker te maken, is er wereldwijd steeds meer de realisatie dat dat nog wel meer kan.
Gartner redeneert dat recente statistieken de ogen van CISO’s opent en de menselijke focus wel moet gaan verscherpen.
90% van werknemers neemt bewust beveiligingsrisico’s
90% klinkt bijna absurd. Geen enkele organisatie heeft zoveel roekeloze en kwaadwillende medewerkers rondlopen, toch? Het ding is: dit opvallende percentage heeft daar niet veel mee te maken. Natuurlijk, er zitten altijd boze (ex)collega’s bij die bewust risico’s nemen uit wraak. Maar de volledige verklaring is een stuk onschuldiger (al is helaas het risico daardoor niet kleiner):
De verklaring ligt bij de operationele wrijving op de werkvloer als het gaat om cyber security. De mens is in deze wereld tenslotte snelheid en efficiëntie gewend. Sommige cyber security oplossingen bemoeilijken de workflow. Denk bijvoorbeeld aan 2FA of MFA. Wie denkt dat niemand zich frustreert bij het invoeren van een 2FA code heeft het mis. Want die frustratie gaat in sommige gevallen zover dat mensen die veilige extra stap volledig omzeilen, bijvoorbeeld door 2FA in de eerste plaats niet in te stellen.
Daarnaast zijn er nog een tal aan andere ogenschijnlijk onschuldige acties die risico’s veroorzaken op te noemen. Denk aan het installeren van third-party apps op werklaptops, buiten het beveiligingsprotocol om. Kwade bedoelingen zijn er dus vaak niet bij: de meeste medewerkers nemen risico’s juist omdat ze gewoon lekker willen werken. Maar ja, wel met alle gevolgen van dien.
Een nieuwe aanpak die acceptatie verbetert
De acceptatie van cyber security op de werkvloer verbeteren: er zijn natuurlijk al wat bedrijven mee bezig. Maar zeker in organisaties die nog niet zo lang cyber security hebben omarmd als een investering die belangrijke bedrijfsrisico’s dekt, is de cyber security inrichting nog lang niet mensgericht genoeg.
Hoe mensgerichte cyber security eruitziet
Mensgerichte cyber security start met het omarmen van de menselijke psychologie. In plaats van verwachten en eisen dat medewerkers zich houden aan het beveiligingsbeleid, juist het beveiligingsbeleid aanpassen aan de mens. Rekening houden met menselijke neigingen en reacties.
Zoals dus de neiging om niet vertraagd te willen worden.
De nadruk niet enkel op de technologische oplossingen, maar ook op het beïnvloeden van de acties van individuen binnen een organisatie om de algehele weerbaarheid te versterken. Ideaal gezien ziet dat er zo uit:
1.Continue evaluatie van menselijk gedrag:
Analyse van het gedrag van werknemers om patronen van onveilig handelen te identificeren en erop in te spelen. Installeren medewerkers buiten het protocol om steeds apps van derden? Kijk dan of die apps op een veilige manier binnen het protocol te faciliteren zijn.
Flexibele benaderingen die rekening houden met verschillende gebruikersprofielen en werkstijlen dus!
2. Slimme technieken:
Ontwikkeling van beveiligingsmaatregelen die zich aanpassen aan de diversiteit van menselijk gedrag. En uiteraard inspelen op de workflow, dus oplossingen die zo min mogelijk vertragend werken.
3. User-centric security policies:
Formulering van beveiligingsbeleid dat niet alleen gericht is op het afdwingen van regels, maar ook begrijpelijk en acceptabel is voor medewerkers. Het beste is dat medewerkers (tot op zekere hoogte) inbreng krijgen bij het opstellen van beleid om een gevoel van betrokkenheid en verantwoordelijkheid te bevorderen.
4. Gebruikersfeedback en betrokkenheid stimuleren:
Inzamelen van feedback om continu het mensgerichte ontwerp van beveiligingsmaatregelen te verbeteren.Actieve betrokkenheid van medewerkers bij het identificeren van potentiële beveiligingsproblemenstimuleren. Een gevoel van eigenaarschap helpt bij gedragsverandering.
Holistische cyber security
Met deze voorspelling opent Gartner eigenlijk een holistischer cyber security tijdperk. Eentje waarin we hard gaan werken aan een beveiligingsbeleid dat geregeld herzien mag worden, puur zodat deze niet alleen vanuit technisch en theoretisch oogpunt klopt, maar ook in de praktijk écht aansluit op de mens! Een benadering van twee kanten.
Want ja, het hoge percentage is zeker naar beneden te dringen door de menselijke psychologie meer mee te nemen in het cyber security beleid. Maar: menselijke fouten blijven gebeuren. Hoe dan ook. Eén slechte nacht en een slaperige collega kan al in een phishingactie trappen. Het is daarom altijd belangrijk een vangnet te hebben. Een goed voorbeeld van zo’n vangnet is een Security Operations Center: een digitale alarmcentrale die verdachte activiteiten detecteert.
Wie weet bent u zelf al eens met social engineering in aanraking gekomen. Die kans is namelijk groot. Wat social engineering is? En hoe het er in de praktijk uit ziet? In dit artikel geven we voorbeelden.
Wat is social engineering?
Social engineering is een vorm van manipulatie ten behoeve van cyberaanvallen. Aanvallers zettenpsychologie in om iemand te misleiden iets te doen. Zo maken ze misbruik van menselijke eigenschappen als vertrouwen, empathie, nieuwsgierigheid of haast.
Bij social engineering gaat het dus niet om de technische kwetsbaarheden, maar om menselijke kwetsbaarheden. Binnen de cyber security komt de uitspraak “De mens is de zwaktste schakel” geregeld voor. Daar speelt social engineering op in. En het doel? Dat is vaak het verkrijgen van gevoelige data of toegang tot systemen.
Voorbeelden van social engineering
We gaan direct over naar de voorbeelden van social engineering. Dan gaat het zeker meer tot de verbeelding spreken.
1. Toegang tot webapplicatie met phishing
Phishingacties: een vorm van social engineering waar u vast ooit eens aan bloot bent gesteld. In dit voorbeeld leest u hoe aanvallers phishing gebruiken om toegang te krijgen tot een webapplicatie waarin klantgegevens opgeslagen staan:
1. Doelwit kiezen: Een aanval start altijd met een doelwit. Bij veel phishingacties schieten aanvallers met hagel. Maar wanneer een hacker toegang wil krijgen tot een onderdeel van een organisatie, doet die eerst onderzoek naar – in dit geval – de applicatiebeheerder.
2. Een e-mail opstellen: De volgende stap is het maken van een zo persoonlijk en realistisch mogelijkee-mail. Tegenwoordig gaat dat met veel zorgvuldigheid. Aanvallers zijn steeds beter in staat een e-mail op te stellen die er precies uitziet als die van bijvoorbeeld de provider van de webapplicatie. Zelfs aan de afzender is soms niet te zien dat het om een nep-mail gaat.
3. Inspelen op menselijke eigenschappen: De inhoud van de mail kan zijn “Er is een beveiligingsprobleem! Onderneem nu actie”. Angst, druk en urgentie: aanvallers zetten het allemaal slim in om het doelwit snel tot actie over te laten gaan. Want hoe gehaaster het doelwit is: hoe groter de kans dat die zonder na te denken handelt. En dus in deze social engineering val trapt.
4. De phishing-link: in het geval van dit voorbeeld, wil de aanvaller dat het doelwit toegang geeft tot de webapplicatie. Enkel inloggegevens zijn al genoeg. Daarom is de kans groot dat de phishing-link leidt naar een pagina die lijkt op de inlogpagina van de provider. Het doelwit doorloopt haastig de authenticatiestappen. En deze inloggegevens? Die komen direct bij de aanvaller terecht.
Bovenstaand voorbeeld is veelvoorkomend. Dagelijks zetten aanvallers deze vorm van social engineering in om aan inloggegevens te komen. Maar phishing is ook op andere manieren in te zetten. Bijvoorbeeld omcreditcardgegevens te stelen. Het is daarom belangrijk om dagelijks waakzaam te zijn: voelt een mail erg urgent aan? Ga dan altijd na of de mail wel echt is.
2. Een ander voorbeeld van social engineering: de “USB Drop Attack”
Deze vorm van social engineering laat misschien minder snel een belletje rinkelen. We geven meteen een uitleg: bij een USB Drop Attack laat een aanvaller besmette USB-sticks achter op strategische locaties. Dat kan de parkeerplaats van het doelwitkantoor zijn, maar aanvallers gaan soms ook zo ver dat ze fysiek de locatie betreden en de USBs binnen kantoren achterlaten.
1. USB-sticks personaliseren: Aanvallers met oog voor detail personaliseren de USB-sticks die ze ingekocht hebben van tevoren. Bijvoorbeeld met het logo van het doelwitbedrijf. Of juist met labels die nieuwsgierigheid opwekken zoals “Gegevens XYZ”. Het hoeven overigens niet altijd USB-sticks te zijn. Er bestaan ook USB-kabels waarop malware te installeren is.
2. Het besmetten van de USB-sticks: De aanval start met het besmetten van de USB-stick. Vaak zorgt de aanvaller dat de USB direct malware zoals ransomware (of een keylogger) installeert. Of iets waardoor ze de computer kunnen overnemen. Hoe dat kan? Lees hier meer over de USB Rubber Ducky.
3. USB-sticks achterlaten: De aanvaller gaat na wat goede plaatsen zijn om de USB-sticks achter te laten. Het belangrijkste is dat werknemers de doelwitorganisatie ze makkelijk kunnen tegenkomen.
4. Slachtoffer gebruikt de USB: Of het slachtoffer de USB nu gebruikt omdat ‘ie er snel eentje nodig heeft, of omdat ze nieuwsgierig zijn naar “Gegevens XYZ”: als haast of nieuwsgierigheid het winnen van verstand, slaagt de social engineering actie.
5. Besmetting: Nu de USB in de computer zit, kan de malware zich verspreiden.
Steeds meer (grote) organisaties hebben een beleid rondom USB-sticks. Maar nog lang niet elk bedrijf heefthun personeel bewust gemaakt van de risico’s van het gebruik van onbekende USB-sticks. Belangrijk om voorzichtig te zijn met digitale opslag die in onbekende omgevingen worden aangetroffen.
3. Voorbeeld van CEO-fraude
Social engineering is ook in te zetten om direct geld van een organisatie te stelen. Vaak passen aanvallers dan CEO-fraude toe. Hierbij doet de aanvaller zich voor als iemand in een C-level functie. Hieronder het complete voorbeeld:
1. Identificatie doelwit: De hacker start weer met het doelwit. In dit geval kijkt de hacker naar CEO en de financiële afdeling van het bedrijf. Via bijvoorbeeld LinkedIn neemt de aanvaller kennis van de namen en rollen van belangrijke medewerkers. Ook het verkrijgen van e-mailadressen is van belang. LinkedIn en de bedrijfswebsite zijn beiden een belangrijke bron.
2. E-mailadressen vervalsen: Nu de aanvaller weet hoe het originele emailadres van de CEO is opgebouwd, is het tijd om deze te vervalsen. Hackers maken dan een nieuw e-mailadres aan dat lijkt op het originele, maar dan met een subtiele wijziging. Denk aan een extra punt of een kleine lekker L ipv een hoofdletter I.
3. E-mailen: De volgende stap is het versturen van e-mails vanaf het vervalste adres. De hacker doet zich voor als de CEO en verzoekt mensen binnen de financiële afdeling om geld over te maken naar een externe bankrekening (die van de hacker of van een katvanger). Vaak zijn deze mails ook urgent van aard.
4. Het overboeken: Hoe overtuigender, ogenschijnlijk legitiemer en realistischer de e-mail, hoe groter de kans dat de financiële afdeling ingaat op het urgente verzoek en het geld overmaakt.
Social engineering: de mens als zwakste schakel
Een infrastructuur kan technisch nog zo waterdicht zijn: als een collega in een social engineering actie trapt, is er alsnog sprake van een cyberaanval. Het geeft maar aan hoe belangrijk het is alert te zijn op de natuurlijke kwetsbaarheden van de mens.
Letterlijk iedereen kan slachtoffer worden van social engineering. Een gebroken nacht en een blue monday kunnen al genoeg zijn om alle alertheid te verliezen. Kijk daarom of het mogelijk is sommige kwetsbaarheden technisch op te vangen. Zo helpt Check Point Harmony tegen verschillende vormen van social engineering via e-mail.
“De cyberdreiging groeit” begint inmiddels al bijna als een cliché te klinken. Maar dat maakt het niet minder belangrijk. We kunnen er écht niet meer omheen: alertheid is nu van levensbelang.
Steeds meer organisaties trekken hun kop uit het zand. Want het lijkt erop dat geen enkele organisatie nog veilig is. Het klinkt dramatisch, maar het is helaas de waarheid. Dat begint ondernemend Nederland wel door te krijgen: men is zich steeds meer bewust van de dreiging en nemen actie. Bijvoorbeeld door Cyber Security Awareness trainingen te organiseren.
Wat zijn Cyber Security Awareness trainingen?
De naam zegt het eigenlijk al. Cyber Security Awareness trainingen zijn er om het bewustzijn van medewerkers te verhogen en cyberveilig gedrag te stimuleren. Zolang (minder digitaalvaardige) collega’s niet op de hoogte zijn van gevaren als phishing, malware, etc. is de kans op problemen groot. Medewerkers leren deze dreigingen beter te herkennen, samen met ander cyberveilig gedrag zoals het niet delen van wachtwoorden.
Hoe resulteert dat in meer cyberveiligheid?
Wanneer medewerkers niets of weinig weten of de risico’s die ze nemen en de digitale dreiging is er een onveilige situatie. Wanneer medewerkers wel weten wat voor gevaren er op de loer liggen en wat ze er tegen kunnen doen, is de kans op fouten kleiner. Dan is de cyberveiligheid dus hoger.
Maar: iemand vertoont bepaald gedrag niet alleen als hij de kennis en vaardigheden ervoor heeft. Daar is ook de wíl en mogelijkheid/kans om het te doen voor nodig. Want het is heel moeilijk gevoelige documenten te vernietigen wanneer er geen papierversnipperaar is. En is er wel een papierversnipperaar, maar staat die ver weg of is die altijd bezet? Dan wint gemak het alsnog van kennis.
Het is dus goed om bij medewerkers te polsen wat ze nodig hebben om de vaardigheden uit een Security Awareness Training toe te passen.
Een andere maar
Een Cyber Security Awareness training staat natuurlijk nooit op zichzelf als securitymaatregel. Dat is ook nodig, want de andere maar is dat mensen – hoe goed getraind ook – nooit 100% te vertrouwen zijn. We bedoelen hiermee niet dat iedereen potentieel kwaadwillend is. Juist in onbewaakte of zelfs goedbedoelde momenten kan er nog een hoop mis gaan.
Bijvoorbeeld wanneer iemand moe is: dan trappen zelfs de besten soms in een phishing-actie. Zelfs al zou iedereen elke week een Security Awareness Training volgen, dan nog ligt dit risico op de loer. Mensen maken fouten. Punt. Dat is waarom aanvallers ook zo gretig inzetten op Social Engineering.
Een technisch alternatief voor Awareness Trainingen?
Er is software die bovengenoemde menselijke fouten deels op kan vangen. Maar dan nog blijft een goed wachtwoordbeleid en een cybersecurity bewustzijn onder personeel belangrijk. Dat gezegd hebbende: software als Check Point Cloudguard neemt een hoop zorgen weg. Deze vangt namelijk veel klappen die vallen door Social Engineering op. Hoe? We gaan er dieper op in.
Check Point Cloudguard
Een Security Awareness Training helpt collega’s phishingmails en malafide bijlagen te herkennen en vervolgens goed te handelen. Check Point Harmony maakt die alertheid minder nodig. Deze software maakt mails – nog voordat ze in de inbox belanden – vrij van kwade links en bijlagen. Dus heeft iemand een zware maandagochtend? Dan is de kans dat er door die vermoeidheid iets mis gaat een stuk minder aanwezig: de mails zijn namelijk onschadelijk.
Hou daarnaast een oogje in het zeil
Echt veilig bezig zijn, betekent niets aan het toeval overlaten. Er kan tenslotte altijd iets gebeuren: hoeveel beveiligingsmaatregelen u ook heeft genomen. Denk bijvoorbeeld aan een collega die uit gemak of haast toch even snel een third-party app heeft geïnstalleerd. Blijkt die app onveilig? Dan is het handig daarvan op de hoogte te zijn en deze te (laten) onderzoeken.
Monitoring helpt u op de hoogte te blijven van wat er gebeurt in de digitale omgeving van uw organisatie. Zo geeft een Security Operations Center (SOC) een melding bij verdachte activiteit. Is er echt nood? Dan bent u er in ieder geval op tijd bij.
Uiteraard is de best practice om het installeren van third-party apps helemaal niet zomaar toe te staan. Maar bovenstaande schetst wel een helder voorbeeld.
Beveiligen gaat in lagen
Niet zo lang geleden schreven we er nog een artikel over: echt goede beveiliging bestaat uit lagen. Aanvallers zijn continu op zoek naar ingangen. Maar die lagen zorgen ervoor dat het een stuk moeilijker is naar binnen te stormen.
Security Awareness Trainingen: één laag
Dus: zijn Security Awareness Trainingen effectief? Als u alle “maren” meeneemt in het verhaal, dan is het écht een goede aanvulling op het geheel. Wanneer mens en techniek samenwerken om de organisatie veilig te houden, dan is de kans groot dat dat zeer goed lukt!
Vragen over dit onderwerp? Neem vrijblijvend contact met ons op.
Social Engineering: iedereen die zich eens verdiept heeft in cybersecurity is deze term tegen gekomen. Een belangrijk begrip. Social Engineering komt namelijk steeds vaker voor en in steeds meer verschillende vormen. Hoeveel weet u erover?
In dit artikel gaan we in op verschillende vormen van Social Engineering. En niet onbelangrijk: we vertellen ook hoe u er het beste mee om gaat. Maar allereerst antwoord op de vraag: wat houdt Social Engineering precies in?
Wat is Social Engineering?
Social Engineering is een techniek die aanvallers inzetten om bij de IT-infrastructuur van een organisatie binnen te komen. De bekende uitspraak “IT-Beveiliging is zo sterk als de zwakste schakel” sluit aan op hetgeen waar Social Engineering zich op richt. Namelijk de zwakste schakel: beter bekend als de mens.
Hoe aanvallers gebruik maken van die zwakste schakel? Met Social Engineering technieken proberen ze vertrouwelijke informatie te ontfutselen van medewerkers binnen bedrijven. Met name inloggegevens. Die geven tenslotte toegang tot verschillende delen van de IT-omgeving.
Wat voor Social Engineering methodes zijn er?
De kans is groot dat u waarschijnlijk al eens te maken hebt gekregen met één van de Social Engineering methodes. Omdat het inspeelt op de zwakste schakel – de onoplettende mens – is het dankzij zijn succesvolheid een veelgebruikte techniek. Niemand wordt ontzien. Wat die technieken zijn? We hebben er een aantal op een rijtje gezet:
1. Afval doorzoeken
Laten we meteen beginnen met de Social Engineering methode waar niemand snel aan denkt: het doorzoeken van afval. Hebt u recent een collega erop gewezen dat het niet handig is wachtwoorden op te schrijven? Let dan op dat het desbetreffende briefje niet zomaar opgefrommeld is weggegooid. Papierversnipperaars bestaan niet voor niets.
Dat heeft alles te maken met gepassioneerde criminelen die tot het gaatje willen gaan om bij uw organisatie binnen te komen. Die zijn ook bereid door uw afval te neuzen. Ondanks dat niet elke onderneming hoeft te vrezen voor afvalgraaiers, is deze vorm van Social Engineering niet te onderschatten.
2. Phishing
De meest bekende vorm van Social Engineering waar iedereen wel eens mee te maken heeft gehad: phishing. Wie heeft er geen nepmail die op gehaaide wijze informatie wil ontfutselen in de mailbox gehad? Toch zijn phishing-acties niet altijd meer zoals vroeger. We zien in de praktijk dat ze steeds gerichter en geloofwaardiger zijn.
Zo slagen sommige aanvallers er zelfs in phishing-mails te versturen vanuit een bestaand account van een medewerker. Vaak is het doel van een phishing-actie als deze om toegang te krijgen tot de gegevens van admin-accounts die nog meer rechten hebben.
Er zijn verschillende vormen van phishing. Sterker nog: tegenwoordig beperkt het zich al lang niet meer tot mail-phishing. “Smishing” en “vishing” komen ook steeds vaker voor. Daarover schrijven we binnenkort een uitgebreid artikel.
3. Baiting
Deze Social Engineering methode lijkt een beetje op Phishing. Het doel van Baiting is vaak ook het verkrijgen van vertrouwelijke informatie, alleen hier gebruiken ze letterlijk “Bait” voor. Aas. Ze lokken doelwitten met bijvoorbeeld gratis film-downloads of gratis handige tools. Met het aas in de aanslag, hopen ze dat potentiële slachtoffers bereid zijn inloggegevens achter te laten in ruil voor de freebee.
Dit aas hoeft zich niet te beperken tot lokkertjes in de digitale wereld. En goed voorbeeld van Baiting in de fysieke wereld is een aanval uit 2018.
Medewerkers van een lokale overheidsinstantie in de US kregen namelijk een envelop met een CD erin opgestuurd. In de bijgevoegde brief werd de nieuwsgierigheid van de ontvangers zo erg aangewakkerd, dat een medewerker uiteindelijk de CD in zijn computer had gestopt. Het gevolg? Een met malware geïnfecteerde computer.
4. Quid Pro Quo
Weer een variant op een variant: Quid Pro Quo lijkt erg veel op Baiting. Bij Baiting wordt alleen vaak een product als aas ingezet, bij Quid Pro Quo is dat juist een service. Een goed voorbeeld van deze vorm van Social Engineering is een nep-gemeentemedewerker die contact opneemt om u te informeren over een computerprobleem dat ze hebben. Eentje waarbij ze data zoals BSN’s niet meer goed op orde hebben. U raad het al: deze nep-medewerker vraagt u om uw BSN, zodat ze deze in kunnen zetten voor identiteitsfraude.
Dit is een voorbeeld uit de particuliere wereld, maar er zijn ook vormen van Quid Pro Quo die zich richten op organisaties. In hoeverre zijn uw collega’s in staat Quid Pro Quo te herkennen? Of bij voorbaat met voorzichtigheid te handelen wanneer er (telefonisch) om gegevens wordt gevraagd?
5. Tailgating
Zeker middelgrote bedrijven zijn doelwit van tailgating acties. Bij deze Social Engineering methode proberen aanvallers fysiek toegang te krijgen tot een van uw computers of zelfs serverruimtes. Hoe ze dat doen? Door uw locatie op te zoeken en zich via een van de medewerkers naar binnen te werken. Tailgating varieert van aanvallers die vlug hun voet tussen de deur schuiven wanneer iemand naar binnen loopt, tot goed voorbereide acties waarbij ze verkleed als servicemonteurs naar binnen gaan.
Om nog terug te komen op het doorzoeken van afval: naast het zoeken naar wachtwoorden, gaan aanvallers ook op zoek naar inside-informatie om geloofwaardig over te komen wanneer ze telefonisch of fysiek bij uw organisatie binnen proberen te komen. Daarbij gebruiken ze ook andere publieke bronnen zoals het internet.
Uw organisatie beschermen tegen Social Engineering
Social Engineering acties zijn gericht op de mens. Toch hoeft u niet alle oplossingen daadwerkelijk bij uw medewerkers te zoeken. Wel willen we voorop stellen dat het trainen en inlichten van medewerkers over Social Engineering een absolute must is. Helaas biedt dat nooit de optimale veiligheid. Waarom? Omdat de mens niet expres de zwakste schakel is.
Zelfs goed getrainde en ingelichte werknemers lopen risico in Social Engineering acties te trappen. Aanvallers zijn gehaaid en steeds beter in staat in te spelen op de primaire impulsen van mensen, waarmee ze zelfs de oplettende computergebruikers in weten te pakken. Daarnaast liggen ongelukken ook sneller op de loer wanneer iemand moe of gestrest is.
Concrete bescherming tegen Social Engineering
Laat uw collega’s hoe dan ook kennis maken met verschillende vormen van Social Engineering. Vraag ze daarnaast om:
- Onbekende linkjes, e-mails of bijlagen niet zomaar te openen. Licht ook altijd direct de IT-afdeling in. Het kan namelijk zijn dat een collega er wél in getrapt is, wat weer gevolgen heeft voor de algehele security. Dan zijn er vervolgstappen nodig.
- Vreemden nooit zomaar buiten het securitybeleid om binnen te laten, hoe betrouwbaar ze ook ogen. Volg altijd de procedure.
- Altijd door te vragen wanneer een (onbekende) organisatie belt en vraagt naar gegevens die als vertrouwelijk zijn bestempeld. Of nog beter: hang op en bel de desbetreffende organisatie op het nummer dat bij jullie bekend is. Dan weet u al snel of het initiële telefoontje legitiem was.
- Een laptop nooit onbeheerd achter te laten en al helemaal niet wanneer deze nog ontgrendeld is.
- Geen wachtwoordbriefjes op de monitor, onder het bureau of überhaupt ergens op de werkplek plakken.
Daarnaast adviseren we de volgende maatregelen om de kans op een succesvolle Social Engineering actie te verkleinen:
- Gebruik security software die u beschermt tegen de meeste e-mail en SaaS-bedreigingen. Zo maakt Checkpoint Harmony SaaS e-mails automatisch vrij van bestanden en linkjes die (eventueel) malafide zijn. Uiteraard zonder dat u inlevert op gebruiksgemak.
- Overweeg een fysieke penetratietest. Tijdens zo’n test proberen cybersecurity experts fysiek toegang te krijgen tot laptops en serverruimtes binnen uw pand. Doordat deze “Mystery Guests” het pand actief aanvallen, krijgt u een realistisch beeld van de kwetsbaarheden in het deurbeleid.
Meer weten over Social Engineering?
Security Architect Tom Heesmans schreef eerder al een uitgebreid artikel over Social Engineering dat zeker het lezen waard is. Liever in gesprek over Social Engineering en hoe u als organisatie weerbaar blijft tegen deze vorm van cybercrime? Neem dan vrijblijvend contact met ons op.
Bij ICT beveiliging denkt men al snel aan firewalls en virusscanners: de absolute basis. Maar bent u daarmee beschermd tegen alle digitale dreigingen? Zoals phishing-acties en account-takeovers? ICT beveiliging is pas écht sterk wanneer er rekening wordt gehouden met de zwakste schakel: de handelingen van de mens.
Bij goede ICT-beveiliging is niet de techniek, maar de mens is leidend. Waarom? Die uitleg gaat nog een stukje verder dan over slaperige collega’s die op malafide linkjes klikken of hun inloggegevens hergebruiken. Ook de niet-slaperige collega’s zetten de cyberveiligheid van de organisatie op het spel.
Betrokken medewerkers en ICT beveiliging
Zeker in een wereld waarin overal en nergens werken steeds meer de norm is, nemen medewerkers ook steeds meer risico’s. Niet uit kwaadwillendheid. In tegendeel: juist door hun bevlogenheid openen ze na werktijd mailtjes, rapportages en datasheets. Dat doen ze doorgaans vanuit een externe locatie. Om nog maar te zwijgen over de blijvende trend die thuiswerken heet.
Het laatste wat u wilt is medewerkers remmen in hun betrokkenheid. Wanneer we het hebben over ICT beveiliging, hebben we het daarom vooral over de mensen in uw organisatie. Hoe kunnen zij zorgeloos hun werk blijven doen zonder dat ze securityrisico’s nemen?
Hoeveel weten collega’s van (basis) cyber security?
Is er bijvoorbeeld een ICT-security beleid? En zijn medewerkers daarvan op de hoogte? Weten ze goed hoe ze om moeten gaan met (vertrouwelijke) bestanden? Zijn ze beschermd tegen cybercrime via de mail? Of moeten ze zelf nadenken bij elk mailbestandje dat ze openen?
Geef vrijheid, maar hou grip
Medewerkers nemen toch wel risico’s. Zij vinden altijd wel een workaround. Willen ze thuis een rapport inzien? Dan mailen ze die wel naar hun privé e-mailadres. En stuiten ze op een tooltje dat werk uit handen neemt? Dan is de verleiding groot die te downloaden. Goede bedoelingen of niet: zodra er data de organisatie uit vliegt, bent u de grip erop kwijt.
De beste securityoplossing is zelf meezwemmen
Goede ICT beveiliging speelt daarop in. Die zwemt mee met de behoeften binnen de organisatie. Geef uw medewerkers de vrijheid en behoud zelf de regie: dat is de succesformule op het gebied van cyber security. Een combinatie tussen (security)beleid, technische oplossingen en training van medewerkers.
Zo maakt u de mens onderdeel van uw ICT beveiliging
Al met al start mensgerichte ICT beveiliging met oplossingen die inspelen op de werkwijze van uw medewerkers. We lichten er een aantal voor u uit.
Help gebruikers met sterke wachtwoorden
Dan is een password manager een perfecte oplossing. Het voorkomt niet alleen het hergebruiken van wachtwoorden, maar maakt de gebruikte wachtwoorden ook nog eens een stuk sterker. En het mooie? Niemand hoeft in te leveren op gebruiksgemak. In tegendeel: een password manager geeft vaak minder hoofdpijn dan het zelf onthouden van een wachtwoord.
Two Factor Authentication: een onmisbare aanvulling
Toch geven unieke en uitgebreide wachtwoorden helaas geen garanties. Lekt een wachtwoord? Bijvoorbeeld door een phishing-actie? Of omdat een medewerker hem op een post-it heeft geschreven? Dan kan een aanvaller alsnog het account van uw collega overnemen. De oplossing? Two Factor Authentication.
Bij Two Factor Authentication denkt men alleen al snel aan een hinderende extra stap bij het inloggen. En inderdaad: de klassieke 2FA kan soms omslachtig aanvoelen. Gelukkig zijn er tegenwoordig Two Factor Authentication oplossingen die – u raad het al – veel meer inspelen op het gedrag van de gebruiker.
Beschermd tegen phishing, maar dan zonder training
Phishing-awareness trainingen zijn een redelijk effectieve manier om te voorkomen dat medewerkers in phishing-acties trappen. Het probleem is alleen: elke keer moeten ze zelf nadenken of ze een linkje of een mail vertrouwen. En zijn ze moe? Dan is de kans dat ze alsnog in een phishing-actie trappen nog steeds aanwezig.
Meer tips voor mensgerichte cyber security?
Onze security experts houden zich dagelijks bezig met het implementeren van passende cybersecurity oplossingen binnen bedrijven uit verschillende sectoren. Neem vrijblijvend contact met ons op voor ICT beveiliging die past bij uw organisatie én medewerkers.
Wie zich een beetje verdiept heeft in de cyber security is vast al eens de termen ‘red team’, ‘blue team’ en ‘purple team’ tegengekomen. Wat betekenen deze kleuren precies? Waar houden de kampen zich mee bezig binnen de cyber security? En waar komen ze eigenlijk vandaan?
De oorsprong van het red team en blue team
Laten we het eerst hebben over de oorsprong van de ‘red team’ en ‘blue team’. Die ligt niet in de IT, maar bij het leger. Voor wie de tijd van dienstplicht nog heeft meegemaakt is de militaire oefenvorm Capture the Flag vast niet onbekend. Een rode ploeg in de aanval tijdens Capture the Flag: die probeert de vlag te stelen. En kamp blauw? Die probeert de vlag juist weer te verdedigen.
Red team: aanvallen
Blue team: verdedigen
Tijdens deze oefeningen wisselen militairen regelmatig van kamp. Puur om al doende hun eigen tactieken en kwetsbaarheden beter te leren kennen, te verbeteren en te beveiligen. Het test hoe klaar ze zijn voor het echte werk. De IT security heeft deze aanpak – en benamingen – overgenomen om de effectiviteit van securitymaatregelen te testen.
Red teams en blue teams in de cyber security
We hoeven niet uit te leggen waarom verdediging belangrijk is op het gebied van cyber security. Het blue team houdt zich daar uitgebreid mee bezig. Die zet een schild tegen aanvallers op door cyber security oplossingen te implementeren. Maar hoe goed een tactiek ook is uitgedacht: in de praktijk moet blijken of hij werkt.
Daar komt het red team om de hoek kijken. Alleen door een echte aanval te simuleren, is het mogelijk precies te weten of de digitale omheining voldoende bescherming biedt. De aanvallen van het red team geeft de blauwe kant dus weer een hoop informatie over de staat van de securitymaatregelen. Wat gaat goed? Wat heeft verbetering nodig?
We geven een inkijkje in de rollen van de teams binnen de cyber security:
Blue team
Het is inmiddels wel duidelijk: de experts in het blauwe team zijn de verdedigers. Zij analyseren het securitybeleid van bedrijven om vervolgens effectieve securityoplossingen te implementeren. Preventie is het hoofddoel van het blauwe team. Blue team experts kunnen zich o.a. bezig houden met: 2FA, e-mail filters, SIEM management, patch management, vulnerability management en cyber security trainingen. En dat is dan slechts een kleine greep uit het werkveld van het blauwe kamp.
Red team
De rode kant van cyber security houdt zich bezig met maar één ding: aanvallen. In de securitywereld valt dat over het algemeen onder de noemer pentesten. Dat wil alleen niet zeggen dat red teamers eenzijdig werk hebben: in tegendeel. Ze houden zich bezig met alle aanvalstechnieken die hackers ook inzetten.
Denk aan (Identity) Spoofing, Session Hijacking, Injection Attacks en nog veel meer. Een red teamer zou zelfs nog IT-afdelingen kunnen phishen om belangrijke wachtwoorden te achterhalen. Ze doen alles om vanuit de aanval belangrijke kwetsbaarheden boven water te krijgen en het blue team hierover te informeren.
Purple team
Een paars team is dan ook een droomteam. Over het algemeen is zo’n team namelijk een mengeling van blue teamleden en red teamleden. Al vind je soms ook cyber security experts die van beide kanten kennis hebben: en dus zelf purple zijn. Waarom het zo’n droomteam is? Omdat het delen van rode en blauwe kennis het werk van beide teams alleen maar verbetert.
Bijvoorbeeld: tijdens een pentest (red team) is het handig de werking van een cyber security oplossing te weten. En tijdens het implementeren van een oplossing kennis van de bijbehorende aanval belangrijk om goed te kunnen valideren of het ook echt het probleem verhelpt. Zo is kennis van hoe een backdoor (ook red) functioneert tijdens een cyberincident ook zeker niet overbodig.
Red team & blue team binnen IP4Sure
Binnen IP4Sure werkt het blue team en red team ook samen om de beste cyber security te leveren aan onze klanten. Op onze website zijn onze red team diensten te vinden onder Offensief en onze blue team diensten onder Defensief. Al sluit het één het ander niet uit. Een goed voorbeeld van hoe de teams met elkaar samenwerken is onze SOC-dienst.
Verder lezen?
Meer lezen over blue team onderwerpen zoals SIEM/SOC, vulnerability management of patch management? Of over red team onderwerpen als pentesten en hacken? Lees dan zeker een van onze andere blogs.
Cybersecurity missers: ze komen bij veel bedrijven voor. Natuurlijk nooit met verkeerde intenties. Niemand die streeft naar een lekke mand, tenslotte. Toch komen we regelmatig cybersecurity laksheden die er per ongeluk bij in zijn geslopen tegen. Aan welke maakt u zich schuldig?
Natuurlijk, een foutje is menselijk. Maar wat u wilt voorkomen, is dat zo’n klein foutje leidt tot een groot probleem. Hackers staan er namelijk om bekend met hagel te schieten: ze vallen zoveel mogelijk bedrijven aan, in de hoop ergens een achterdeur te vinden. Dus is er bij u per ongeluk een achterdeur ontstaan? Reken er dan maar op dat een hacker die vroeg of laat vindt.
Daarnaast heeft de overheid vorig jaar aangegeven plannen te hebben in de toekomst op te treden bij laksheden op het gebied van internetbeveiliging. Genoeg reden om extra bewust te zijn en alles na te lopen. Van miscommunicaties tussen beleid en realiteit tot het uitstellen van updates: we hebben de meest voorkomende cybersecurity laksheden op een rijtje gezet.
1. Wachtwoorden hergebruiken
Laten we beginnen met een open deur intrappen: de wachtwoorden. We zijn ons er allemaal ontzettend van bewust dat “admin” met als wachtwoord “admin” geen veilige inloggegevens zijn. Gek genoeg zien we in de praktijk nog regelmatig dat bedrijven slachtoffer vallen van cybercriminelen omdat wachtwoorden te simpel zijn.
Daarnaast is het verleidelijk voor het gemak wachtwoorden te hergebruiken. Maar helaas, een wachtwoord mag misschien op zichzelf sterk zijn: bij hergebruik neemt de veiligheid toch echt af. Zeker wanneer persoonlijke wachtwoorden ook voor zakelijke doeleinden worden ingezet. Het wachtwoord hoeft maar op één dienst of website te lekken…
Waarschijnlijk bent u er al mee bekend, maar kijk zo nu en dan op www.haveibeenpwned.com om te controleren of een van uw wachtwoorden ooit gelekt is.
2. Miscommunicatie beleid en realiteit
Op papier kan alles nog zo goed zijn uitwerkt: als uw zorgvuldig samengestelde securitybeleid in de praktijk niet wordt nageleefd, is de veiligheid alsnog ver te zoeken. Denk bijvoorbeeld aan medewerkers die toch gevoelige bedrijfsdata meenemen op een unencrypted USB stick. Niet uit kwade bedoelingen. Gewoon omdat ze het omslachtig vinden telkens hun data via de remote sessie op te moeten halen.
Hou altijd vinger aan de pols en kijk hoe cybersecurity maatregelen in de praktijk tot uiting komen en de investering waard zijn. Durf bij te stellen waar nodig, maar steek zeker nooit de kop in het zand!
3. De firewall “even” open zetten
Functionaliteiten die niet werken vanwege een actieve firewall: we krijgen er allemaal wel eens mee te maken. Waarschijnlijk hebt u ook al eens de vraag gekregen of hij “even” opengezet kan worden omdat iets niet werkt. Helaas betekent “even” in de praktijk gek genoeg vaak “voor altijd”.
Door de drukte wil het nog wel eens vergeten worden de boel weer terug af te sluiten: het overkomt de besten. Maar het is wel gevaarlijk. Zeker wanneer het vaker voorkomt. Dat betekent namelijk dat op den duur er een hoop gaten in de firewall zitten. Gaten die zelf veroorzaakt zijn.
4. “Doe maar even zo, dan kijken we daarna wel”
Voortbordurend op nummer 3 is bovenstaande uitspraak ook een gevaarlijke. Zeker toen we het afgelopen jaar massaal over moesten stappen op thuiswerken, lag hij op de loer. Want even een VPN openzetten om te kunnen thuiswerken is verleidelijk, maar gevaarlijk. Zeker als die “dan kijken we daarna wel” vergeten wordt.
5. Snel een tooltje downloaden, zonder het te controleren
Dit is er nog eentje in de categorie “even snel…”. Soms komen (IT)collega’s tot de ontdekking dat een gratis tooltje wel heel handig is. Dan is zo’n tooltje al snel gedownload. Maar als er geen controle is omtrent de veiligheid van deze software, dan kan dat de cyberveiligheid van de organisatie volledig ondermijnen.
Daarnaast gaan dit soort acties het bedrijfsbeleid vaak volledig voorbij. Zie er daarom op toe dat iedereen altijd advies en toestemming vraagt voor het installeren van (gratis) software van derden.
6. Ervan uitgaan dat alles wel loopt
Zeker wanneer u gebruik maakt van verschillende cybersecurity oplossingen, is het belangrijk regelmatig te controleren of alles nog goed is ingericht. In de praktijk verwateren die controles alleen vaak. Zeker wanneer het druk is. Cybersecurity is een continu proces, dus ook dat controleren zou met regelmaat terug moeten komen.
7. Updates uitstellen
Als afsluiter nog een open deur: het uitstellen van updates. We weten allemaal heel goed dat het uitstellen van (beveiligings)updates uit den boze is. Zeker wanneer we het gaan hebben over weken of zelfs maanden. Dat is vragen om problemen. Toch wil het in de praktijk nog wel eens voorvallen dat updates niet worden uitgevoerd i.v.m angst voor onderbrekingen in de productie omgeving. Blijf altijd actief bezig met uw patchbeheer en maak gebruik van test groepen om updates dan gefaseerd uit te rollen.
De mens is van nature laks
Eerlijk is eerlijk: zelfs de besten maken zich wel eens schuldig aan een van bovenstaande laksheden. Zeker wanneer het druk is, is het verleidelijk enkel naar de korte termijn te kijken. Dan lijkt het “even” openzetten van een firewall geen probleem. Maar juist omdat laksheid menseigen is, is het belangrijk daarop in te spelen door scherp te blijven op procedures en beleid.
Controleer regelmatig wat de stand van zaken van uw cybersecurity is! Zorg ervoor dat u er vanuit uw kant alles aan doet om hackers te weren en ze niet via een openstaande firewall naar binnen kunnen sluipen.
Nu IP4Sure bijna 10 jaar bestaat, is het tijd om terug te blikken en vooruit te kijken. Welke weg hebben we als IP4Sure inmiddels afgelegd? En waar kwam de passie voor cybersecurity vandaan? Van Internet Sheriff’s tot geblokkeerde Windows 95 computers: lees hoe IP4Sure van een one-trick pony uitgroeide tot een volwaardig cybersecurity partner.
De technologie die nooit stil staat
“Eerst waren we vooral bezig met Identity & Access Management” begint Twan Wouters – oprichter van IP4Sure – te vertellen “Two-Factor-Authentication was daar een groot onderdeel van. Destijds was dat echt rocket science.”
“Maar technologie staat nooit stil” voegt Rob Buddingh’ (mede-eigenaar) eraan toe “Door de jaren heen is er zoveel veranderd, dat we steeds uitgebreidere cybersecurity vraagstukken kregen”. Twan: “Met 2FA gingen we de oorlog niet winnen. Toen we dat realiseerden, kwam er heel veel samen: we zagen zoveel gaafs liggen binnen de cybersecurity.”
Twan over het begin van IP4Sure
Twan is in 2011 gestart met IP4Sure omdat bij zijn vorige IT-bedrijf TWC de vraag naar cybersecurity steeds meer toenam “We kregen klantprofielen die niet meer bij TWC pasten.” Al was dat niet de enige reden om met IP4Sure af te splitsen: Twan’s passie voor cybersecurity was de grootste drijfveer. Vooral de forensische kant van het vak heeft hem altijd al geïnteresseerd.
“Tientallen jaren geleden had ik al business ideeën in die hoek zitten schrijven. Zo had ik het idee een bedrijf genaamd Internet Sheriff op te richten.” glimlacht Twan “Ik ben eigenlijk altijd al nieuwsgierig geweest naar onderwerelden en de drijfveren van criminelen. Maar wat me het meest trekt? Mensen helpen.” Dat alles valt perfect samen in cybersecurity.
De vier cybersecurity pijlers
Dat leidde tot de geboorte van de pijlers van IP4Sure: voorheen Inzicht, Preventie, Pentest en Cyberlab. Nu Offensief, Defensief, De mens en Cyberlab. “We adviseren klanten altijd met inzicht te beginnen” vertelt Rob “Waar staan we nu? Wat zijn de quick-wins op het gebied van cyberveiligheid? Zoveel bedrijven hebben nog geen idee, maar inzicht is wel hetgeen waar ze in het begin echt het meeste uit kunnen halen.”
Daar voegt Tom Heesmans – Security Architect bij IP4Sure – aan toe: “Bij veel bedrijven is vaak intern de aanname dat de IT-afdeling vast wel genoeg over security weet. Maar het is echt specialistisch werk.” Een ITer heeft zoveel taken, dat het secuur aanbrengen van preventieve securitymaatregelen niet altijd gebeurt. IP4Sure is de externe security specialist die helpt de huidige situatie inzichtelijk te maken én passende preventieve maatregelen te treffen. “Daarin staan we met beide benen op de grond. We kijken naar wat klanten écht nodig hebben.”
Ethisch hacken
“Onze nieuwste pijler Websec wil ik ook nog even uitlichten” zegt Twan “Webapplicaties en websites zijn niet meer weg te denken uit onze samenleving: vrijwel elke organisatie maakt er gebruik van. Maar zoals elke andere digitale infrastructuur, is een website of applicatie net zo goed vatbaar voor kwetsbaarheden” begint hij te vertellen. “Onze ethisch hacker Stan van der Vleuten hackt webapplicaties om ze te testen op hun veiligheid.”
“Zo’n test staat ook wel bekend als een pentest.” voegt Rob er nog aan toe “Die pentest maakt actuele kwetsbaarheden en potentiële cybergevaren inzichtelijk. Om hier een idee bij te geven: de recente lekken in de RIVM-coronasite waren op deze manier al van te voren te voorspellen geweest. Na het uitvoeren van een pentest, helpen wij dan ook met het realiseren van passende oplossingen om de website of applicatie alsnog veilig te maken. Op die manier is een lek of hack goed tegen te houden.”
Actuele en specialistische kennis
Om de beste oplossingen te bieden, zetten we continu in op het up-to-date houden van onze expertise. Zeker voor onze Cyberlab-dienst (hulp bij cybernoodgevallen) is die actuele kennis belangrijk. Rob: “Zo is er binnen ons team een training bij Bellingcat gevolgd over forensisch onderzoek. Die partij is heel erg betrokken geweest met het onderzoek naar de MH17. Zij doen open source investigation aan de hand van bijvoorbeeld open internet bronnen.”
Hoe Rob vroeger moest uitleggen wat een Firewall is
Rob werkte in het begin nog niet in de technische sector: “Maar ik wist dat als ik iets anders ging doen, ik in de hoek van IT zou gaan zitten.” Dat is precies wat er is gebeurd. Zo’n 20 jaar geleden kwam hij bij een distributeur terecht op de security afdeling “En sindsdien ben ik het vak nooit meer uitgestapt”. Het cybersecurity landschap zag er volgens Rob in de jaren 90 nog heel anders uit. “Toen moest ik klanten nog uitleggen wat een Firewall is: niemand had er ooit van gehoord” lacht hij.
Voorkomen dat klanten met de handen in het haar zitten
“Wij zien een hoop zaken waar we niet over mogen praten. Denk aan meldingen van klanten die gehackt of gephisht worden: allemaal door IT-kwetsbaarheden en bedreigingen van buitenaf. Het ingrijpen bij cybercrime is heel interessant om mee bezig te zijn.” vertelt Rob. “Maar eerlijk?” haakt Twan in “Liever komen we al in actie voordat klanten met hun handen in het haar zitten. Zodat we problemen kunnen voorkomen, in plaats van verhelpen”.
Altijd een pragmatische aanpak
“Als een klant ons inschakelt, gaan we heel pragmatisch te werk” vertelt Tom over de dienstverlening van IP4Sure “Een klant vond dat laatst nog fantastisch. Die had ooit een security audit gehad en daar werd daarna niks mee gedaan. Maar wij helpen echt stappen te zetten. Ik merk dat die insteek heel erg gewaardeerd wordt. Dat we na een pentest of audit met concrete oplossingen komen en niet een lijstje aanleveren om vervolgens “succes ermee” te zeggen. We zetten echt vervolgstappen.”
De dichtgetimmerde Windows 95 PC van Tom
Tom was er al vroeg bij met zijn interesse voor cybersecurity. Sterker nog: hij nam als puber cyberveiligheid wel erg serieus. “Thuis hadden we een Windows 95 PC en wanneer we op vakantie gingen, zorgde ik ervoor dat er alleen maar foutmeldingen kwamen als iemand in probeerde te loggen. Dat sloeg alleen nergens op, want wie zou dat ooit proberen tijdens onze vakantie?” lacht hij “Als ik een psycholoog zou hebben, zou die zeggen dat ik controle zocht. Ik heb het altijd leuk gevonden om in control te zijn en de boel dicht te zetten namelijk. Systemen volledig dichttimmeren.”
Hét cybersecurity aanspreekpunt in de Brainport Regio
Van een one-trick pony die goed is in Identity & Access Management zijn we uitgegroeid tot een solide en volwaardig cybersecurity partner die samenwerkt met het Brainport Cyberweerbaarheidscentrum. “Door de jaren hebben we al met veel mooie organisaties samen mogen werken. Maar we willen voor nog meer bedrijven de paniek eruit halen, rust brengen en klanten helpen goede beslissingen te nemen.” vertelt Twan “We willen hét cybersecurity aanspreekpunt voor de Brainport Regio worden.”
“Wij vinden alleen niet dat we er al zijn” zet hij er als kanttekening bij. “De weg is een bumpy road” beaamt Rob instemmend. “We willen onszelf nog altijd overtreffen. En dat zal waarschijnlijk altijd zo blijven.” sluit Twan af.
IP4Sure stopt nooit met verbeteren.
