Informatiebeveiligingsincidenten: Medewerkers als succesfactor

INHOUD

• Websites zijn als open boeken
• Eenvoudig is het gevaarlijkst
• E-mailadressen: het "kapitaal" van phishing
• Veiligheidsbewustzijn: het paard van Troje komt officieel langs
• Incidenten op het gebied van informatiebeveiliging: een voorbeeld uit de praktijk
• Informatiebeveiliging: medewerkers als succesfactor
• Alles en iedereen: medewerkers bewust maken van aanvallen
• ISO 27001: bewustzijn als onderdeel van de maatregelencatalogus
• Een incident in de informatiebeveiliging betekent meestal chaos
• De achterdeur in uw systeem
• Gebrek aan bewustzijn: perfect voor een gerichte aanval
• Minimaliseer de kans dat het gebeurt

Websites zijn als open boeken

IT-beveiliging en informatiebeveiliging staan bekend als twee heel verschillende paren schoenen, maar de grenzen kunnen nog wel eens vervagen. Het is duidelijk dat IT-beveiligingsincidenten regelmatig leiden tot informatiebeveiligingsincidenten. Natuurlijk, als ik een hacker ben die een bedrijfsnetwerk binnendringt, moet ik wel met mijn ogen krampachtig dicht voor het scherm zitten om te voorkomen dat ik de een of andere informatie oppik die niet voor mij bedoeld is.

Het is echter ook mogelijk dat cybercriminelen in eerste instantie informatie verzamelen die hen op de lange termijn in staat stelt de IT-systemen van hun gekozen slachtoffer aan te vallen.

Bij het platform voor beveiligingscontroles greenhats.com is het onze dagelijkse taak om bedrijven te hacken, kwetsbaarheden te identificeren en deze te verhelpen voordat criminelen ze vinden.

Trouw aan het motto "Laten we er gewoon over praten", wil ik u in dit artikel een aanvalsmethode in detail uitleggen die iedereen treft. En samen met u wil ik ingaan op de vraag: Waarom vertel ik u dit eigenlijk allemaal?

Informatiebeveiligingsincidenten: simpel is het gevaarlijkst

We hebben het natuurlijk over de zogenaamde "phishing-aanval" - maakt u zich geen zorgen, ik zal proberen u nog meer vreemde woorden en IT-vocabulaire te besparen. Ik heb ze niet eens nodig, want phishing is geen technische aanval, maar een aanval op de zwakste schakel in de keten van (bijna) elk beveiligingsconcept. Een aanval op mensen.

Laten we aannemen dat ik u wil aanvallen. Dan ga ik niet lukraak achter mijn notebook zitten en begin weg te typen op zwarte consoles. Nee, eerst heb ik... precies! Informatie en persoonlijke gegevens. Dit omvat:

• E-mailadressen van uw bedrijf
• Namen van uw IT-personeel
• Handtekeningen
• Informatie over uw bedrijfsidentiteit
• Een onderwerp dat interessant is voor uw werknemers

Ervan uitgaande dat ik niets weet behalve de naam van uw bedrijf, ga ik natuurlijk eerst naar de website, lees en leer alles wat er te leren valt. Bovenal ben ik geïnteresseerd in e-mailadressen en contactpersonen van uw IT. Want in de volgende aanval wil ik een nep e-mail sturen naar zoveel mogelijk werknemers (wiens adressen ik nodig heb), terwijl ik zoveel mogelijk vermijd om het ook naar de IT te sturen.

E-mailadressen: het "kapitaal" van een phishing aanval.

Zodra ik een paar e-mailadressen heb gevonden, leid ik het patroon af. Bijvoorbeeld, "firstname.lastname@samplecompany.com" Dus probeer ik de logica te ontrafelen van hoe het e-mailadres van de werknemer kan worden afgeleid uit zijn naam.

Dan ga ik weer het internet op - deze keer de sociale netwerken. Ik heb het niet over de "slechte" spelers zoals Facebook & Co. XING en LinkedIn zijn veel interessanter.

Daar zoek ik naar uw bedrijf en kijk ik welke mensen aangeven dat ze voor dit bedrijf werken. Op die manier krijg ik een lijst van namen waaruit we adressen kunnen afleiden met behulp van het geïdentificeerde patroon. Tegelijkertijd kan ik aan de hand van de profielen in de sociale netwerken al zien welke van uw collega's mijn aanstaande aanval mogelijk zouden kunnen herkennen op basis van hun beroepservaring en IT-interesses.

Deze collega's zullen geen nepmail van mij ontvangen.

Veiligheidsbewustzijn: het Trojaanse paard komt officieel langs

Nu ik mijn aanvalsdoelwit ken, wil ik mij voordoen als een werknemer van uw bedrijf. Om dit te doen, leg ik eerst contact met u. Via officiële kanalen, bijvoorbeeld als een potentiële klant. Ik schrijf u een e-mail en vraag om een offerte. U antwoordt - idealiter met een productportfolio of iets dergelijks.

Uw antwoord geeft mij waardevolle informatie:

• Hoe ziet uw e-mailhandtekening eruit?
• Welke lettertypen gebruikt u?
• Waar plaatst u uw logo in documenten?
• Hoe markeert u koppen?
• Welke kleuren gebruikt u?
• En, en, en...

Tot zover is het geen raketwetenschap. Maar kijk uit - hier komt de truc. Laten we eens aannemen dat uw bedrijf "SampleCompany" heet en op Internet te vinden is onder "samplecompany.com". Dan zoek ik nu een adres op het Internet, dat erg lijkt op uw adres. Bijvoorbeeld "samplecompany.eu". Ik koop dit adres (het kost echt maar een paar euro) en kan er nu mijn aanval op bouwen.

Want vanaf "firstname.lastname@samplecompany.eu" kan ik e-mails met jouw handtekening sturen die eruit zien alsof ze rechtstreeks van jou komen. Het maakt me niet uit welke namen of synoniemen ik als afzender gebruik, want technisch maakt het geen verschil.

Informatiebeveiligingsincidenten: een voorbeeld uit de praktijk

Uw businessmanager is niet uw businessmanager

Dit kan echt gevaarlijk zijn als ik me voordoe als de admin van uw IT, bijvoorbeeld. Ik schrijf een e-mail aan u en al uw collega's, waarin ik u bijvoorbeeld attendeer op een nieuw videoportaal voor vergaderingen op afstand, waar alle medewerkers zich eenmalig moeten authenticeren om te controleren of de bestaande contacten zijn overgezet.

Of wanneer ik u als assistent van uw directeur schrijf en uitleg dat het kerstfeest vanwege de pandemie is afgelast, maar in plaats daarvan vijf gloednieuwe iPhones worden verloot door de directie. Om ervoor te zorgen dat iedereen maar één keer in de pot van de loterij belandt, vraag ik elke werknemer om zich één keer te authenticeren op het bijgevoegde portaal - de winnaars worden dan eind december bekendgemaakt.

Valse inlogruimte: kinderspel in tijden van digitalisering

Welke methode ik ook kies - ik moet u een link sturen die naar dat "portaal" leidt. Dat kan dan "loterij.monsterbedrijf.eu" of "portaal.monsterbedrijf.eu" zijn.

Ook op dit punt kan ik mijn creativiteit de vrije loop laten. Aangezien ik eigenaar ben van de desbetreffende pagina, hoef ik daar alleen maar iets op te bouwen dat er voor u en uw collega's betrouwbaar uitziet. In het geval van de wedstrijd bijvoorbeeld een mooi inloggedeelte in het ontwerp van uw bedrijf, met uw logo en misschien een kleine Kerstman. Of wat vallende sterren.

Wachtwoorden komen terecht bij de aanvaller - in platte tekst

Natuurlijk, veiligheid is een topprioriteit op mijn portaal! Alles is uitstekend versleuteld en het is onmogelijk gemaakt voor derden om uw invoer te lezen. U voert immers gebruikersnamen en wachtwoorden in, en dat is gevoelige informatie. Vanuit technisch oogpunt is dit alles absoluut ernstig. Uw gegevens worden veilig overgedragen en komen in de beste handen terecht - in de mijne.

Overigens is de complexiteit van uw wachtwoord bij een dergelijke aanval volstrekt irrelevant; het belandt in platte tekst bij de aanvaller. En bedenk dat (zelfs als het minimaal complexer is) een grote verscheidenheid aan 2-factor oplossingen kan worden "gephishing" als ik mijn portaal dienovereenkomstig aanpas.

Informatiebeveiliging: medewerkers als succesfactor

Ik heb u beloofd om aan het eind de belangrijkste vraag op te helderen: Waarom vertel ik u dit allemaal? Het antwoord luidt: Wie anders?

Het is belangrijk te begrijpen dat de aanval die ik beschrijf - vanuit een zuiver technisch standpunt - helemaal geen aanval is. Ik schrijf u een e-mail vanaf een adres dat eigenlijk van mij is. Er zit niet eens een bijlage in, laat staan malware. U wordt doorgestuurd naar een pagina op het internet die niet probeert uw systeem te compromitteren. En zoals ik al eerder beschreef, is deze site ook perfect beveiligd en is al het verkeer optimaal versleuteld.

Zo is het ook met andere (gerenommeerde) sites waarop u inlogt. En net zoals u bij LinkedIn of XING uw privé-wachtwoord invoert om u te authenticeren, voert u dat nu ook bij mijn site in.

Het is belangrijk om te begrijpen dat vanuit technisch oogpunt, ik niet een e-mail vervalst. Ik verval uw hele bedrijf.

En dat is precies waarom technische beschermingsmaatregelen niet werken. De oplossing ligt in het detecteren en voorkomen van de aanval - en dat is aan u. Net als passende maatregelen om medewerkers bewust te maken in deze richting.

Want als ik dit scenario netjes opzet, is het detecteren van de aanval alleen mogelijk door het verschil in het adres op te merken, dus in ons geval de ".eu" in plaats van uw ".com". Ik ben mij ervan bewust dat de één of de ander van jullie nu absoluut zeker is dat je het nodige overzicht hebt om dit te doen, zelfs in je stressvolle dagelijkse werk. Daarom wil ik de meer gevorderden onder u een beetje stof tot nadenken geven:

Zou u "samplecompany.com" ook als nep herkennen? Een kleine hint: De "l" is geen L maar de Griekse letter "Iota". Voor het menselijk oog is er geen verschil tussen beide, uw computer ziet het waarschijnlijk een beetje anders. Ik kan u verzekeren dat in alle phishing-aanvallen die wij voor bedrijven hebben gesimuleerd, er nog geen enkele klant is geweest waar geen enkele werknemer zijn gegevens heeft prijsgegeven.

Het allerbelangrijkste: medewerkers gevoelig maken voor aanvallen

De vraag is dus niet of uw collega's in zo'n aanval zouden trappen. De vraag is veel meer hoeveel werknemers de aanval zullen herkennen, hoe snel ze het aan IT zullen melden, en hoeveel tijd IT heeft om te reageren.

Dit is precies waar de werknemer een succesfactor wordt voor meer informatiebeveiliging en IT-beveiliging in termen van beveiligingsbewustzijn.

Ik wil niet een van die white-hackers zijn die hun strategieën voor zichzelf houden en genieten van de desastreuze resultaten van dergelijke aanvallen. Veel meer wil ik samen met u bijdragen om uw bedrijf een stukje veiliger te maken.

Nu is het uw beurt: Wat ik u zojuist heb beschreven is slechts één voorbeeld van de vele manieren waarop mensen en hun soms onzorgvuldige omgang met informatie kunnen worden uitgebuit en gebruikt om als aanvaller winst te maken. IT-afdelingen kunnen zich hiertegen slechts in beperkte mate of helemaal niet beschermen; dat is hun taak. Bedenk zelf aanvallen, bedenk hoe je je collega's zou kunnen kapen en maak er een onderwerp van aan de (virtuele) lunchtafel.

ISO 27001: bewustwording als onderdeel van de maatregelencatalogus

En dan, stel uw bedrijf regelmatig op de proef en maak awareness onderdeel van uw beveiligingsplan. Als u een beetje tussen de regels doorleest, vindt u dit ook terug in de internationaal erkende norm voor een informatiebeveiligingsbeheersysteem (ISMS).

ISO/IEC 27001 vereist bijvoorbeeld dat u de zwakste schakel in de keten bewust maakt en dus sensibiliseert voor de manier waarop met de informatie van uw bedrijf moet worden omgegaan (hoofdstuk 7.3 en bijlage 7.2.2). Dit begint met iets eenvoudigs als een e-mailadres. Andere regelgevende of wettelijke vereisten, zoals de GDPR, zijn ook gericht op de preventieve aanpak van het vermijden van incidenten.

Voldoe aan de eisen van de norm met bewustwordingsmaatregelen, zoals richtlijnen, trainingen, communicatie over actueel nieuws, of zelfs gesimuleerde phishing-aanvallen, zoals wij doen voor onze klanten. En: Wees eerlijk tegen uzelf en vraag uzelf af hoe succesvol uw eerdere trainingsmaatregelen zijn geweest in het voorbereiden op een noodsituatie zoals ik die zojuist heb geschetst.

Een incident in de informatiebeveiliging betekent meestal chaos

Nu we het toch over eerlijkheid hebben: hoe zou u eigenlijk reageren op een informatiebeveiligingsincident als gevolg van een cyberaanval? Toegegeven, het onderwerp reactieve beveiliging is altijd een beetje ongemakkelijk, maar het is wel iets waar over gesproken moet worden.

Mensen zien het graag als een brandalarmoefening - op een bepaald moment tijdens werktijd gaat er onverwacht een bel, iedereen verlaat het gebouw op een ordelijke en rustige manier, wacht even buiten en kletst met collega's over het weer, en na een tijdje mag iedereen weer naar binnen en kunnen ze onderweg een kop koffie pakken.

Maar zo gaat het niet.

Mijn team is al benaderd door een paar bedrijven waar een aanslag is geweest, en ik kan u beloven: Het is een chaos. Zelfs enkele dagen na de eigenlijke gebeurtenis. Dat komt onder andere doordat moderne hackers misbruik maken van de arrogantie van hun slachtoffers.

Ik wil dit aan u uitleggen, dus laten we teruggaan naar onze phishing-aanval. Stel dat het mij, als aanvaller, lukt om op afstand verbinding te maken met de IT-systemen van een van uw collega's met behulp van hun wachtwoord. Denkt u dat ik niet zou weten dat iemand in uw bedrijf merkt dat hier een aanval heeft plaatsgevonden en dit meldt aan IT? In het beste geval doet u dat persoonlijk, daar ben ik me terdege van bewust.

Informatiebeveiligingsincidenten: de achterdeur in uw systeem

Dat is waarom ik twee dingen doe: ten eerste, ik doe iets voor de hand liggend dat uw bedrijf irriteert en u iets te doen geeft. Bijvoorbeeld, ik stuur spam emails naar uw klanten in de naam van uw collega. Dat valt op en geeft u en uw IT-afdeling iets te doen. Nu kunt u al uw noodplannen uit de kast trekken en het informatiebeveiligingsincident beeldschoon met uw IT-vertegenwoordigers doornemen. Inclusief geraffineerde marketingmaatregelen die het aangetaste imago oppoetsen tot een nieuwe hoogglans en u als "overlever" misschien nog beter doen lijken dan voorheen. Professionals kunnen dit doen.

Maar tegelijkertijd probeer ik als aanvaller een achterdeurtje naar een systeem te maken dat uw IT niet zal opmerken in al het tumult. Het is alsof je een juwelierszaak binnengaat, de grootste vitrine omver gooit en stiekem alle dure ringen en horloges in mijn zak steekt terwijl iedereen op de kapotte stukken jaagt.

Onnodig te zeggen dat mijn achterdeur heel moeilijk te vinden is als je niet weet wat je zoekt. En dan doe ik niets. Wekenlang, maandenlang.

Nu probeer ik me een weg te banen door uw bedrijfsnetwerk, stilletjes. Zonder "lawaaierige" software scanners, die uw netwerk uitputten en uw beveiligingssystemen alarmeren. Geheel handmatig, quasi old school. Tussen haakjes, dit is waar het kaf van het koren gescheiden wordt aan de hacker kant. Als uw netwerk alleen in testscenario's aan beveiligingsscanners werd blootgesteld, zal het u nu helemaal niet helpen. Ik spreid me uit en ik wacht - geduldig. Ik probeer te achterhalen wanneer en hoe back-ups worden gemaakt, wie met wie communiceert, en waar uw organisatie het gevoeligst is. In ons voorbeeld doe ik dit waarschijnlijk 's nachts - of in ieder geval na de werkuren, wanneer de kans nog kleiner is dat ik word geobserveerd. En natuurlijk bedek ik mijn sporen elke dag.

En dan - maanden later - vindt het grote informatiebeveiligingsincident plaats. Compleet uit het niets voor uw bedrijf. Ik gebruik dan bijvoorbeeld een van de vele encryptie Trojaanse paarden om u te chanteren. "Toevallig" echter, door mijn voorbereidend werk, draait het onder de hoogste privileges, omzeilt het uw beveiligingsmaatregelen, en verspreidt het zich als eerste naar de systemen met uw meest relevante bestanden. En als ik, in al de tijd die ik heb gehad, een zwakte in je back-up systeem heb opgemerkt... Zoals ik al zei, chaos.

Gebrek aan bewustzijn: perfect voor een gerichte aanval

Ja, we zijn nog steeds in ons voorbeeld, maar dit is zeker niet Hollywood. Dit is een gangbare praktijk en een belangrijke reden waarom we nog steeds zo vaak horen en lezen over bedrijven die worstelen met dergelijke encryptie Trojaanse paarden. Een paar jaar geleden werden deze min of meer losgelaten op het internet, en alleen de zwakste schapen van de kudde werden er het slachtoffer van: de bedrijven die aan de buitenkant een zwakke technische beveiliging hadden.

Vandaag liggen de zaken anders. Het gebrek aan bewustzijn van werknemers wordt gebruikt om bedrijven als doelwit te nemen en pas wanneer het slachtoffer volledig onder controle is, wordt de geautomatiseerde aanvalssoftware ingezet.

Ik ben nog steeds van mening dat proactieve IT-beveiligingsmaatregelen en met name een sterk beveiligingsbewustzijn de belangrijkste bouwstenen zijn van het IT-beveiligingsconcept van elke onderneming - er zijn gewoon te veel voorbeelden en concrete gevallen om dit te staven. Niettemin hoort bij een goed ontwikkeld beveiligingsbewustzijn ook het besef dat het mogelijk is om te worden getroffen. Daar reken ik mezelf ook toe. En als dat gebeurt, moet u voorbereid zijn.

Minimaliseren van de kans van optreden

Ik heb met opzet het voorbeeld van het brandalarm in mijn opmerkingen opgenomen. Dit bereidt het bedrijf voor op het geval dat er, ondanks alle proactieve maatregelen, toch brand uitbreekt. Sommige bedrijven hebben ook zoiets voor informatiebeveiligingsincidenten en IT-beveiligingsincidenten. En als dat u een beetje te veel van het goede zou zijn (het hangt echt altijd van het bedrijf af in elk afzonderlijk geval), heb ik nog wel een tip voor u:

Mocht u penetratietests of andere aanvalssimulaties implementeren als onderdeel van uw proactieve beveiligingsmaatregelen, neem dan geen genoegen met het simpelweg repareren van de kwetsbaarheden die u vindt. Stel altijd de vraag: Is deze kwetsbaarheid in het verleden al eens misbruikt? Zijn er achterdeurtjes geïnstalleerd?

Of, anders gezegd, behandel elke "bevinding" met de ernst van een echt informatiebeveiligingsincident. Op die manier minimaliseert u de kans dat het zich voordoet, terwijl u ook uw reactieve beveiligingsplannen - die u, naar ik van harte wens, nooit nodig zult hebben - op de proef stelt. Zoals het brandalarm.

Dit alles is onderdeel van bewustwording en tegelijkertijd slechts een deel van het geheel. Maar met deze belangrijke component kunt u mij hopelijk glimlachend aankijken als ik vraag: "Als ik morgen mijn zinnen erop zet, kan ik u dan op het verkeerde been zetten?". Hopelijk.

Vertrouwen en deskundigheid

Onze teksten en brochures worden uitsluitend geschreven door onze normexperts of auditors met jarenlange ervaring. Als u vragen heeft over de inhoud van de tekst of onze diensten aan de auteur, neem dan gerust contact met ons op.