In de zomerperiode loopt alles altijd net wat anders. In week 29 t/m 31 is Bob op vakantie en Alice werkt wel, maar vanuit Curaçao. Op het eerste oog zou dat allemaal niet veel uit moeten maken voor de cyber security. Want: in de zomer zijn dezelfde maatregelen nodig als de rest van het jaar.
Toch zijn er een aantal redenen waarom organisaties tijdens de zomerperiode kwetsbaarder kunnen zijn voor een cyberaanval. Daar alert op zijn is al het halve werk!
Reden 1. Verminderde bezetting in personeel
Hoe de zomerperiode ook verloopt: er is altijd een periode dat er (veel) minder personeel aanwezig is. Dat betekent soms dat collega’s de taken van anderen tijdelijk overnemen. Bijvoorbeeld het opnemen van de telefoon.
Geen goede combinatie met een al verminderde alertheid door vakantievoorpret en hitte.
Want: Bob die op vakantie is, weet precies wie wel of geen leverancier is. Maar Eva die het opnemen van de telefoon tijdelijk van hem overneemt, heeft geen idee dat Nepbedrijf BV die belt helemaal niet in de supply chain zit. Zo trapt ze volledig in een Social Engineering truc.
Reden 2. Onbevoegden vallen minder op
Een lagere bezetting in het pand zorgt ook voor minder ogen. De ogen die er wél zijn, zijn natuurlijk niet altijd gericht op de personen die het pand binnenkomen. Een mooie kans voor on-premise sabotage. Want de vraag “Wat doe jij hier?” wordt in de praktijk al niet snel gesteld aan een onbekende onbevoegde. Laat staan in de zomer.
Een fysieke pentest test hoe eenvoudig onbevoegden uw gebouw binnen komen.
Reden 3. Kwetsbaarheden en beveiligingsupdates
Het is afhankelijk van hoe security binnen een bedrijf is geregeld. Maar: in sommige gevallen stroopt het uitvoeren van beveiligingsupdates extra in de zomer. Vooral bij kleinere organisaties.
Denk aan een WordPress-website waarvan een plugin gedurende de zomer kwetsbaar blijkt. Er is een beveiligingsupdate. Maar degene die over de website gaat, is er niet. De plugin blijft kwetsbaar tot diegene terugkomt van vakantie.
Reden 4. Seizoensgebonden phishing en social engineering
Phishingacties die inhaken op de actualiteit zijn vaak succesvol. Denk in de zomer aan phishingmails over gemaakte vakantieboekingen. De kans dat iemand toevallig een boeking heeft – en daar updates over wil ontvangen – is in de zomer extra groot. Een mail met “Informatie over uw boeking” als titel is dan snel aangeklikt.
Hieronder is er nog een B2B voorbeeld van een zomerphishingactie. De kans dat iemand erin trapt is daarbij ook nog groter als hij/zij al in de vakantiemodus zit, of letterlijk op vakantie is en even snel mailtjes naloopt.
Beste [Naam],
We willen je bedanken voor onze samenwerking.
Om de zomer te vieren, mag je een zomercadeau voor jou en je team uitkiezen! We vinden het tenslotte belangrijk dat je iets krijgt waar je deze zomer écht van gaat stralen. Dat is wel zo leuk en duurzaam.
Klik hier [Schadelijke link] om de volledige lijst met zomercadeaus (zoals een JBL Speaker, Nespresso of Boekenbox) te bekijken en je keuze te maken.
Let wel op: van alle cadeau-opties zijn er maar een aantal op voorraad. Om de meeste keuze te hebben, is het dus slim meteen te gaan kijken.
Geniet van jullie zomer!
Met vriendelijke groet,
Het [Nepbedrijfsnaam] Team
Reden 5. Onbeveiligde wifinetwerken
Wie op vakantie toch even wil werken, ontkomt er vaak niet aan in te loggen op het wifinetwerk van een hotel of koffietentje. Dat hoeft niet gevaarlijk te zijn. Maar de kans dat de vakantieganger inlogt op een onbeveiligd netwerk is natuurlijk wel groter dan wanneer die op kantoor werkt.
Wie een grote databundel heeft, kan gelukkig makkelijk zelf een mobiele hotspot opzetten. En anders is inloggen met VPN ook altijd nog een optie!
Reden 6. Verhoogd gebruik persoonlijke apparaten
Werk loslaten op vakantie is niet altijd even makkelijk. Wie heeft voorgenomen niets te doen en zijn/haar laptop thuis heeft gelaten, kan toch op vakantie een ingeving krijgen. Door dit soort situaties is het gebruik van persoonlijke apparaten gedurende de zomer verhoogd.
Dat is op zich niet erg. Maar persoonlijke apparaten zijn doorgaans niet meegenomen in de beveiligingsmaatregelen van een organisatie. Opent iemand zijn/haar bedrijfsmail en bedrijfsdocumenten op een privélaptop of privételefoon? Dan is de organisatie in kwestie potentieel kwetsbaar.
Reden 7. Verloren laptop
Iedereen kent wel iemand die vroeger eens zijn camera is verloren op vakantie. Balen. Die camera was duur én stond vol met vakantiekiekjes. Toch zijn de gevolgen van een gestolen camera iets minder groot dan die van een verloren werklaptop. Dat geldt namelijk als een datalek.
Afhankelijk van hoe goed de laptop beveiligd is, kan dit een hoop ellende opleveren. Altijd slim goed te kijken welke endpoint securitymaatregelen er zijn toegepast in het geval van reizende laptops.
Reden 8. Onopgemerkte cyberaanval
Tot slot vind – in een doemscenario – de cyberaanval ook echt plaats. Aanvallers zijn sowieso al in staat dagen, weken of maanden onzichtbaar te blijven. Laat staan tijdens een zomerperiode als er minder mensen aanwezig zijn of als het bedrijf zelfs helemaal gesloten is door de bouwvak. Dan is de kans nóg groter dat zo’n stille aanval onopgemerkt blijft.
Het is dan onmogelijk in een vroeg stadium in te grijpen en schade te beperken.
Voorbereid de zomer in
Personeel alert maken op bovenstaande risico’s is al een mooie eerste stap. Maar niemand kan een medewerker in vakantiemodus makkelijk uit zijn zomerdagdroom schudden. En niemand verliest expres zijn werklaptop. Het beste is niet volledig te vertrouwen op awareness, maar ook als er ruimte is te investeren in een technisch opvangnet.
Denk hierbij niet alleen aan Endpoint Protection, 2FA of MFA. Maar ook aan een SOC: een alarmcentrale die ook in de zomer digitale gebeurtenissen monitort. Blijkt er sprake van een (beginnende) aanval? Dan zijn jullie er in ieder geval direct – en dus op tijd – bij!
De pentest, vulnerability scan, en de security audit: er zijn een hoop tests die de staat van uw cybersecurity onder de loep nemen. In de praktijk zien we het regelmatig gebeuren dat er om een vulnerability scan wordt gevraagd, terwijl een pentest nodig is. Maar wanneer vraagt u dan naar een pentest? En wanneer een vulnerability scan?
Pentests en vulnerability scans: het begint met de vraag
Uiteindelijk maakt het natuurlijk niet veel uit of u vraagt om een vulnerability scan of een pentest. U mag ervan uit gaan dat het bedrijf waar u uw securityvraagstuk neerlegt altijd doorvraagt naar de onderliggende behoeften. Zo krijgt u als het goed is altijd de test die uw organisatie verder helpt. Toch ervaren we dat velen het interessant vinden meer over de verschillen te weten: daar gaan we in dit artikel dus dieper op in! Want wat is een vulnerability scan precies? En wat doet een pentest?
Wat is een vulnerability scan?
Zoals de naam al doet vermoeden, testen we met een geautomatiseerde vulnerability scan de kwetsbaarheden binnen uw bedrijf. We inventariseren hoe (een onderdeel van) de IT-infrastructuur in elkaar zit en welke doelwitten – binnen de context van uw organisatie – mogelijk interessant zijn voor hackers. Denk hierbij aan servers, systemen en laptops. Waar zitten de zwakke plekken? Wat zijn voor aanvallers potentiële mogelijkheden om binnen te komen en schade aan te richten? Een vulnerability scan geeft hier zicht op.
Inzicht in de risico’s
Security experts interpreteren de bevindingen van de vulnerability scan en prioriteren de meest kritieke kwetsbaarheden. Dit alles is terug te vinden in een uitgebreid rapport. Daarin leest u welke systemen of servers het meest gevaar lopen. En waarom. Lopen ze risico om beschadigd of ontoegankelijk te raken? Of liggen er datalekken met belangrijke persoonsgegevens op de loer?
De vulnerability scan geeft een breed beeld van de veiligheid van uw IT. In het rapport ziet u welke kwetsbaarheden als eerste aandacht nodig hebben en hoe u eventuele problemen verhelpt. Erg handig dus om in de grote lijnen grote stappen te zetten.
Wat is een pentest?
Tijdens een pentest valt een ethisch hacker handmatig – en binnen een veilige omgeving – uw IT-infrastructuur aan. Met verschillende technieken probeert hij kwetsbaarheden te vinden en uit te buiten. Hij gaat gericht op zoek naar kwetsbaarheden en valt aan. Daarnaast zet de pentester ook tools in om als het ware met hagel te schieten op uw infrastructuur. Zo komen vaak uiteenlopende kwetsbaarheden naar voren.
Waarom een pentester daadwerkelijk aanvalt? Sommige kwetsbaarheden lijken op het eerste oog relatief onschuldig, maar blijken in de praktijk een stuk gevaarlijker. Andere kwetsbaarheden lijken groot, maar zijn uiteindelijk lastiger uit te buiten dan gedacht. Ook haalt deze aanpak de meest geraffineerde kwetsbaarheden boven water. Op die manier kan de pentester heel secuur de gevonden kwetsbaarheden kwalificeren en gericht oplossingen aanbieden.
De verschillen tussen pentests en vulnerability scans
De pentest en de vulnerability scan hebben als doel kwetsbaarheden in kaart te brengen, te kwalificeren en u te helpen ze op te lossen. Maar wat is dan het grote verschil? Dat zit hem in de aanpak en de kosten. Een vulnerability scan kan hoofdzakelijk geautomatiseerd, waardoor deze een stuk goedkoper is. Daarnaast is hij wat algemener van aard: een vulnerability scan behandelt elke klant ongeveer hetzelfde.
Waar we bij een vulnerability scan vooral algemeen analyseren, gaan we bij een pentest een stap verder. Daarbij probeert de ethisch hacker handmatig als een echte aanvaller uw systeem of netwerk binnen te dringen en de kwetsbaarheden uit te buiten. Dit alles binnen een bijbehorende scope en context.
Een pentest is dus niet alleen een scan, maar een simulering van een echte aanval. Een pentester zou zelfs misbruik kunnen maken van slecht getraind personeel en via hen proberen binnen te komen. Daardoor weet u nog net iets beter hoe goed de digitale omheining van uw bedrijf is. En bent u nog beter in staat gerichte verbeteringen aan te brengen die hackers daadwerkelijk buiten gaan houden.
Wanneer is een vulnerability scan nodig?
Een vulnerability scan is vooral handig als u in grote lijnen inzicht wil krijgen in de kwetsbaarheden binnen uw IT-infrastructuur. Bijvoorbeeld wanneer u net de eerste stappen zet naar een beter securitybeleid. Het geeft een mooie algemene eerste indruk en helpt u om de opvallendste problemen direct op te lossen en in grote lijnen up-to-date te blijven van de stand van zaken. U plukt dus vooral het laaghangende fruit.
Ideaal laat u een vulnerability scan meerdere keren per jaar uitvoeren. Een ander – vaak beter – alternatief is actieve vulnerability management. Hierbij blijft u heel het jaar op de hoogte van actuele kwetsbaarheden.
Wanneer is een pentest geschikt?
Een pentest is vooral geschikt wanneer u binnen een bepaalde scope tot in detailniveau de cyberweerbaarheid van (een deel van) uw organisatie wil laten testen. Doordat een pentester daadwerkelijk aanvalt zoals een hacker dat zou doen, weet u precies waar de meest kritieke kwetsbaarheden liggen. Of niet:
Een pentest is ook heel handig om aan klanten te bewijzen hoe goed u alles op orde hebt. Als een ethisch hacker niet binnen kan komen, kan een aanvaller dat ook niet zomaar.
Over het algemeen is het raadzaam een pentest één of twee keer per jaar uit te laten voeren.
Welke keuze is voor u het beste?
Een combinatie van zowel een pentest als een vulnerability scan is de veiligste keuze: daarmee bent u in staat uw IT-infrastructuur zo veilig mogelijk in te richten. Nog beter is vulnerability management in combinatie met een pentest. Daarmee bent u heel het jaar door op de hoogte van kwetsbaarheden. Dan loopt u nooit tegen vervelende verrassingen aan en zijn kwetsbaarheden altijd direct opgelost, voordat een hacker ermee aan de haal kan gaan.
Laat een onafhankelijk expert uw security testen
Een onafhankelijke cyber security expert kijkt altijd met hele andere ogen naar uw digitale infrastructuur. Of u nu kiest voor een vulnerability scan, vulnerability management of een pentest: het is altijd goed om uw kop uit het zand te trekken en écht op de hoogte te zijn van kwetsbaarheden. Alleen dan plukt u de vruchten van al uw andere cyber security maatregelen.
Inzicht krijgen in de kwetsbaarheden binnen uw organisatie? Neem dan contact met ons op.
Als IT’ers zijn we ons er allemaal van bewust dat er elke dag nieuwe kwetsbaarheden bekend worden. Kwetsbaarheden in de software van een organisatie kunnen verstrekkende gevolgen hebben wanneer ze niet op tijd worden gevonden en opgelost. Maar hoe weet u zeker dat uw organisatie up-to-date blijft en de nieuwste patches effectief zijn toegepast?
In dit artikel gaan we het hebben over hoe Vulnerability Management meer zekerheid geeft dan patchbeheer. In patchbeheer schuilen namelijk een aantal uitdagingen: het is verstandig om een antwoord op de volgende vragen te formuleren:
1. Is uw organisatie op de hoogte van nieuw uitgebrachte patches?
Handmatig alles up-to-date houden: wie er ervaring mee heeft, zal zeggen dat het bijna geen doen is. In een organisatie met veel verschillende besturingssystemen en softwarepakketten is het een dagtaak om op de hoogte te blijven van alle bekende kwetsbaarheden. Daarnaast is er snel iets over het hoofd gezien.
2. Wat doet u wanneer er nog geen patch is voor een kwetsbaarheid?
Het direct uitvoeren van een nieuwe patch is hoe dan ook verstandig. Sterker nog: in cybersecurityland is het een doodzonde dit niet te doen. Maar staar uzelf niet blind op die patches. Wanneer al uw patches up-to-date zijn, wil dat niet zeggen dat alles vrij van kwetsbaarheden is. Vaak kost het ontwikkelaars even om een passende beveiligingsupdate te faciliteren in het geval van een kwetsbaarheid. In de dagen (of weken) dat er nog geen patch is, bent u dus niet veilig. Vaak is er wel een workaround mogelijk om uw organisatie veilig te stellen tot de beveiligingsupdate beschikbaar is.
3. Weet u zeker of het systeem daadwerkelijk kwetsbaar is?
Daarnaast is het de vraag of elke kwetsbaarheid daadwerkelijk gevaarlijk gaat zijn voor uw bedrijf. Vaak hebben (ook ernstige) kwetsbaarheden een aantal afhankelijkheden: bijvoorbeeld dat ze alleen misbruikt kunnen worden wanneer er ook sprake is van een specifieke registerinstelling. Dat betekent dat als uw systemen anders zijn ingesteld, de kwetsbaarheid geen probleem oplevert. Met geautomatiseerde Vulnerability Management is het niet meer nodig kwetsbaarheden handmatig te kwalificeren en prioriteren. Zo kijkt een tool als InsightVM direct wat voor risico u loopt en welke kwetsbaarheden de hoogste prioriteit hebben.
4. Weet u zeker dat de kwetsbaarheid daadwerkelijk is opgelost?
Het oplossen van sommige kwetsbaarheden kan afhankelijk zijn van ‘externe’ factoren. Wat veel IT’ers bijvoorbeeld niet weten, is dat sommige Microsoft-updates een kwetsbaarheid pas oplossen wanneer er ook handmatig een registeraanpassing wordt gedaan. Dit was bijvoorbeeld het geval bij de oplossingen voor de Spectre- en Meldown-kwetsbaarheden op Windows. Er zal daarom altijd een controle moeten plaatsvinden, op elk systeem, om te zien of de kwetsbaarheid daadwerkelijk is verholpen.
5. Wordt dit proces continu gemonitord?
Een verholpen kwetsbaarheden is natuurlijk een goede zaak. Maar hoe lang blijft u veilig? Kijk bijvoorbeeld eens naar Adobe: zij hebben tijdens de laatste ‘Patch Tuesday’ meer dan 100 kwetsbaarheden in hun software opgelost, waarvan 75 alleen al in Adobe Reader. Dit betekent dat u tegen de tijd dat de nieuwe kwetsbaarheden bekend worden gemaakt, er mogelijk alweer vele honderden kwetsbare systemen zijn. Ook al heeft u de vorige keer alle kwetsbaarheden netjes opgelost. Daarom is het zo belangrijk om dit proces voortdurend te monitoren.
6. Mijn patchmanagementsysteem lost dit toch allemaal op?
Een opmerking die wij vaak horen van klanten is: “Mijn patchmanagementsysteem lost de kwetsbaarheden voor mij op, dus wij hoeven er niet meer naar om te kijken.” Wij twijfelen er niet aan dat een patchmanagementsysteem noodzakelijk is om gecentraliseerd updates te installeren. Echter zien wij in bijna alle gevallen dat het patchmanagement niet zo goed is als men wellicht denkt.
Problemen die we vaak tegen komen? Denk aan systeemupdates die soms al weken of zelfs maanden niet lopen, systemen die zich niet meer melden bij het patchmanagementsysteem of zelfs nooit zijn geactiveerd in dit systeem. Een patchmanagementsysteem weet daarnaast niet of een kwetsbaarheid daadwerkelijk is opgelost en kan het ook geen overzicht tonen van de aanwezige kwetsbaarheden.
Een Vulnerability Management-systeem gebruiken
Daarom adviseren wij het gebruik van een Vulnerability Management-systeem. Hiervoor maakt IP4Sure gebruik van InsightVM van Rapid7. Goed om te weten: dankzij onze uitgebreide ervaring en kennis hebben we de status van Gold Partner verworven bij Rapid7.
Bent u geïnteresseerd in Vulnerability Management?
Hier vindt u meer informatie over hoe InsightVM bijdraagt aan een veiligere digitale omgeving. Advies over hoe uw organisatie het beste over kan stappen naar Vulnerability Management? Neem vrijblijvend contact met ons op.
