Naarmate de algemene IT-markt en het internet in al zijn vormen groeien, groeit ook de bijbehorende kwaadaardige activiteit. Hier zijn enkele meest levendige gevallen en scenario’s: niets absoluut nieuws, maar de trends die we nu de revue laten passeren zitten in de lift.
Aanvallers verenigen zich, verdedigers ook
Solitaire hackers sluipen nog steeds door cyberspace, maar teamwerk is de echte trend (en bedreiging!) van vandaag. Jaren geleden was een aanval door een team vooral iets om over op te scheppen onder het genot van een biertje met je vrienden. Nu is het de sleutel tot succes, en niet alleen omdat de hedendaagse cybermuren te dik zijn voor een enkele indringer.
Stel je voor dat een hackteam toegang heeft (hoe voorlopig ook) tot de AI van een doelwit. Namelijk: kunnen knoeien met het machinaal leren van dit specifieke netwerk – zelfs als de rest van de perimeter beter wordt bewaakt dan een opslagplaats voor kernkoppen. Met niet-gecompliceerde manipulaties is er de mogelijkheid om het beeldherkenningssysteem van de videobewaking van een doelwit “anders op te voeden”. Dus dan zullen camera’s bij het zien van een fysieke indringer op het terrein niet botweg wegdraaien – ze worden gewoon blind op een individu, zodat een lid van een hackingteam naar binnen kan sluipen en zich persoonlijk toegang kan verschaffen tot de meest beschermde gebieden.
Ok, het klinkt misschien een beetje te “mission-impossiblish”. Maar het is een feit: hackers verenigen zich effectief om de verantwoordelijkheden te verdelen en krachtige aanvallen te organiseren die kort duren en vaak moeilijk op te merken zijn. De technieken die zij gebruiken evolueren mee met de groei van het internet, d.w.z. zeer snel; bovendien zijn indringers vrij om hun tactiek voor een specifieke aanval te kiezen en deze snel te veranderen wanneer zij geconfronteerd worden met onbreekbare obstakels. Het hierboven beschreven scenario is niet van een uitzonderlijk type: soms worden aanvallen opgezet als cyber-fysieke aanvallen, waarbij het voor de gek houden van het systeem de echte inbraak vereenvoudigt. Of omgekeerd, wanneer de inbraak begint bij fysieke inbraak – om in het systeem van een doelwit te geraken.
Pro-acties van een verdedigende partij moeten ook in teamverband worden uitgevoerd, maar voor een doelwit is het scenario heel anders. Inbraakrisico’s zijn niet langer alleen een probleem voor de IT-afdeling, maar kunnen het hele bedrijf in gevaar brengen: lekken van gevoelige gegevens, blootstelling van derden, enz. Vandaag moet het topmanagement, met toezichthouders van de filialen, zeker ook de financiën en soms zelfs marketing en communicatie, een protocol hebben om op inbreuken op gegevens te reageren, net zoals voor andere kritieke gevallen. De trend die in verband met deze pro-acties opkomt, is de verzekering van mogelijke risico’s van gegevensverlies/-blootstelling. Deze stap werd al een tijdje overwogen, dus opnieuw – niet gloednieuw. Maar de grootste voorvallen van dergelijke verzekeringscontracten – en de bijbehorende vergoedingen – zijn nog niet in het nieuws gekomen.
Afstandsbediening
“Thuiskantoren” zijn waarschijnlijk de meest kenmerkende recente trend. De belangrijkste kenmerken ervan kunnen worden gezien als een soort kinderziekten: de geboorte ervan was vrij plotseling, terwijl de groei ervan explosief was (nog steeds is), beide als gevolg van het pandemische karakter van de trend zelf. Bij de invoering van de remote modus hielden bedrijven uiteraard rekening met beveiligingskwesties. Maar vaak werd door de urgentie van de snelle omschakeling minder aandacht besteed aan de bescherming.
Aanvallers geven de voorkeur aan gemakkelijkere doelwitten: in plaats van frontaal in te grijpen op de nu uitgerekte, maar nog steeds goed verdedigde bedrijfsinfrastructuur, zoeken zij naar kwetsbaarheden in remote desktop-protocollen en/of richten zij zich op persoonlijke apparaten die toegang kunnen hebben tot bedrijfsnetwerken. Ook hier zijn de aanvalsontwerpen complexer dan alleen rechtstreekse inbraken. Het verkrijgen van bedrijfsgegevens van persoonlijke apparaten is bijvoorbeeld bewust de voorbereidende fase. Vervolgens wordt met behulp van vaardige social engineering en afwisselend verzamelde stukken bedrijfsinformatie (die zich opstapelen tot een aanzienlijke database) de hoofdaanval uitgevoerd, die veel grotere schade veroorzaakt.
Zoals het woord “clandestien” bijna rechtstreeks verwijst naar spionage, zo wordt een clandestiene aanval op grote schaal gebruikt om zeer gevoelige gegevens uit bedrijven te zuigen. Dergelijke aanvallen worden uitgevoerd met een soort technische gratie – met behulp van bestandsloze malware. Deze methode maakt gebruik van in het OS geïntegreerde processen en tools; er wordt letterlijk niets op schijven geschreven – en daarom veel moeilijker te detecteren in vergelijking met “gewone” malware. Volgens de bevindingen van ESET zullen in 2021 meer van dergelijke aanvallen gericht zijn op overheidsinstellingen dan op zakelijke entiteiten.
Beschermende maatregelen ter verdediging omvatten meestal het verharden van het toegangsbeleid van bedrijven. Dat maakt werken op afstand minder gemakkelijk, maar, zoals deskundigen van het Mobius Instituut opmerken, “in de bedrijfswereld gaat betrouwbaarheid vaak boven gemak”. Hetzelfde instituut voor bedrijfsonderwijs blijft overigens oproepen: licht uw personeel, partners en alle betrokkenen in over cyberveiligheid en leer hen ten minste basisvaardigheden op het gebied van informatiebeveiliging.
Menselijke factor nog steeds het grootste probleem
“Het zit in de menselijke natuur om fouten te maken”. Of “niemand is perfect”, en nog een dozijn volstrekt geldige excuses. Dezelfde vraag moet worden gesteld als antwoord op alle genoemde: pure nonchalance of opzet? Vermakelijk genoeg is het antwoord op deze vraag nauwelijks van belang: ongeveer 90% van de commerciële datalekken wordt veroorzaakt door nalatigheid van werknemers. Meer nog, dergelijke schokkend hoge indicatoren dateren van midden 2010 en schommelen sindsdien slechts binnen enkele cijfers.
De verdere uitsplitsing gaat ongeveer als volgt
- malware waarvan de handelingen min of meer geautomatiseerd zijn en niet rechtstreeks verband houden met menselijke handelingen – gedaald van 19% in 2017 tot 15,5% in 2020;
- softwarefouten/niet-betrouwbaarheid – dezelfde gestage 17% in de afgelopen jaren. De meest recente gegevens over softwareprestaties in de “thuiswerkmodus” moeten nog worden verzameld en geanalyseerd;
- de rest van de percentages behoort tot ongevallen van/bij derden. Dit omvat nalatigheid van dienstverleners, hoewel verschillende onderzoeken slechts 11% van de totale inbreuken toeschrijven aan aanbieders van clouddiensten en dergelijke.
Iets meer statistieken: Grand View Research berekende dat de westerse cyberbeveiligingsmarkt in 2020 166B USD waard was, met een voorspelde samengestelde jaarlijkse groei van 10% en een geschatte omvang van net geen 330B USD in 2027.
Twee eervolle vermeldingen zijn hier op hun plaats, hoewel het niet alleen om B2B gaat. Nummer één: uiterst flexibele en soms echt uitgewerkte social engineering blijft cybercriminelen hun brood brengen – vaak de hele boterham. Phishing, scam schemes, die extra beruchte brieven uit Nigeria: het is moeilijk te geloven, maar zelfs die laatste techniek werkt nog steeds, zelfs met het groeiende niveau van gemiddelde informatievaardigheid. De meest hedendaagse (maar ook niet de gloednieuwe) phishing-trends zijn: het promoten van platforms die bijna identiek zijn aan de geverifieerde platforms en het zich voordoen als vertegenwoordigers van de wetshandhaving die al eerder phishing-schema’s onderzochten – waarbij dezelfde creditcards of soortgelijke gegevens “vereist” zijn om verder te gaan met onderzoeken.
E-mail phishing heeft ook zijn intrede gedaan in het bedrijfssegment, met name in een vorm van “man-in-the-middle”. Bijvoorbeeld indringers die informatie hebben over een potentiële opdracht, vervangen adressen door, alweer, zeer vergelijkbare adressen. Aangezien e-mailuitwisseling gewoonlijk in ketens van berichten verloopt, is nepdeelname moeilijker op te sporen. Vaak wordt de fraude pas ontdekt nadat de financiële transacties zijn afgerond.
Hetzelfde V&A paar blijft onveranderd sinds, bijvoorbeeld, de Wild West tijden, zo niet eerder:
– Waarom beroof je banken? – Omdat ze geld hebben!
Moderne banksystemen zijn echter goed beschermd, dus richten kwaadwillenden hun aandacht op niet-bancaire entiteiten die bepaalde monetaire instrumenten aanbieden: gokportalen waar prestaties kunnen worden ingewisseld voor voorlopig “goud” en vice versa, internet- en mobiele providers met ontwikkelde geld-omwisselbare bonussystemen en financiële rekeningen die zijn gekoppeld aan klanten-ID’s, enz.
De 2e eervolle vermelding zijn de “internet-native” jongeren, millenials en meer tere leeftijden. Zelfs met instrumenten voor ouderlijk toezicht hebben tieners de neiging zich online onveilig te gedragen – waarbij het niet zozeer gaat om directe financiële verliezen of andere vormen van fraude, maar eerder om een diepgaande aantasting van de jonge persoonlijkheid en houding. Openlijk enge zaken zoals zelfmoordbewegingen, tienerbendes of schietpartijen op scholen vallen buiten het bestek van dit artikel, hoewel we waarschijnlijk voor het eerst zien dat “internet-nativiteit” een tastbare impact heeft op offline.
Automatisering van analyses, met inbegrip van gedragsmodellen, wordt gezien als een oplossing hiervoor. Proactieve monitoring van inhoud zal niet alleen de bestaande destructieve trends tegengaan, maar waarschijnlijk ook de komende trends kunnen detecteren. De bijkomende, persoonlijke en veel gemakkelijker uit te voeren zorg is de kinderen weg te houden van apparaten die betrokken zijn bij de zakelijke activiteiten van ouders/familie/voogden.
Integrale benadering van bescherming
Een andere opkomende trend, de veiligheid van het internet der dingen, laten we bewust achterwege. Vooral omdat deze nog grotendeels in aanbouw zijnde wegen al bekend zijn. Elk apparaat heeft zijn eigen bescherming nodig; en het is duidelijk dat niet alleen kleine apparaten, maar ook systemen zo groot als een slimme stad of transportfaciliteiten kunnen worden aangevallen.
Zoals we al eerder opmerkten, moet informatiebeveiliging tegenwoordig even belangrijk worden geacht als, durf ik te stellen, de bescherming van COVID-19. Van elementair voorzichtig gedrag op elk niveau van een onderneming tot geautomatiseerde monitoring en nauwe samenwerking van allen die verantwoordelijk zijn voor de veiligheid van een onderneming – alleen een integrale aanpak houdt gevoelige gegevens intact en indringers op afstand.
Omdat inbreuken kostbaar kunnen zijn, zijn de huidige beschermingsmaatregelen dat ook. Niet elke entiteit kan zich een volledig informatiebeveiligingsteam ter plaatse veroorloven. Er zijn verschillende outsource-oplossingen beschikbaar: van een onafhankelijke audit van de informatiebeveiliging op uw verzoek tot het opzetten van een samenwerking met een Secure Operations Center of een Managed Services provider die gespecialiseerd is in beveiligingszaken. Ook uw hoofdpijn en CAPEX-kwesties op het gebied van veiligheid vallen weg, want bij een dergelijke samenwerking zijn er vrijwel geen.
Een andere beschermingsmethode, een penetratietest, staat enigszins op zichzelf. Zoals bij militaire oefeningen: “De beste manier om de aanval af te slaan is er een te simuleren”. Pentests, uitgevoerd door doorgewinterde professionals van beveiligingsgerichte IT-leveranciers, bootsen aanvallen na op de perimeter van een klant, de infrastructuur, enz. – Soms komen daarbij kwetsbaarheden aan het licht die men zich niet eens had kunnen voorstellen. Een ander voordeel van pentests is dat zij het bestaande systeem niet kunnen beschadigen: zelfs met meerdere gaten in het netwerk van een klant wijzen de nagebootste aanvallen alleen op de zwakke schakels, zonder iets te veranderen.
Previous article
