Bewustwording is het begin van goede security, daarna komt de technologie

Je mag nog de beste technologie gebruiken om je bedrijfsdata te beschermen, als één werknemer achteloos op een verkeerde link klikt, kan het allemaal voor niks zijn. Goede security staat of valt met user awareness, maar daar knelt vandaag nog vaak het schoentje.

Volgens onderzoek van SANS Security Awareness zijn een gebrek aan tijd, middelen en steun vanuit het management de voornaamste uitdagingen. Dan is het nuttig om te weten waar je prioriteiten moeten liggen. In navolging van de publicatie van Sophos’ Threat Report voor 2020 sprak Techzine met Brian Schippers, Manager Sales Engineering bij de Britse beveiliger, over de belangrijkste aandachtspunten van het moment.

Phishing blijft gevaarlijk

Schippers begint meteen met een binnenkopper: phishing. Het gevaar van phishing behoort bij elke organisatie top of mind te zijn, maar toch trappen werknemers er vaak nog in. Het is één van de populairste en meest succesvolle technieken in het arsenaal van de cybercrimineel. “Waar aanvallers vroeger op zoek gingen naar lekken in de technologie, is beveiliging zo goed geworden dat de gebruiker nu de zwakke schakel vormt”, legt Schippers uit.

De meeste mensen prikken wel door de mailtjes van erfenissenen valse loterijen, maar een phishingaanval kan ook een stuk geavanceerder en gerichter zijn. Via social engineering word je om de tuin geleid om te klikken op een kwaadaardige link, een bijlage met malware te openen of gevoelige informatie zoals inlog- of betaalgegevens prijs te geven. De aanvallers maken eerst hun huiswerk en verzamelen informatie van sociale media en andere publieke bronnen, zodat ze goed weten wie hun slachtoffer is.

Beveiliging is zo goed geworden dat de gebruiker nu de zwakke schakel vormt.

Een bijzonder voorbeeld daarvan is CEO-fraude. Daarbij wordt een gemachtigde werknemer misleid om een ongeoorloofde betaling uit te voeren. Zo werd bioscoopketen Pathé een jaar geleden 19 miljoen euro lichter gemaakt, nadat de Nederlandse algemeen directeur en financieel directeur zich lieten vangen aan een valse mail van een fraudeursbende, die schijnbaar van het Franse hoofdkantoor afkomstig was.

“Je kan je nog zo beveiligen, maar als zo’n mailtje door de mazen van het net glipt en niemand controleert even of het klopt, ben je eraan voor de moeite. Binnen je organisatie moet je erover praten en bewustwording creëren”, vertelt Schippers. “Bij Sophos maken we gebruik van onze eigen tool, Phish Threat, om aanvallen te simuleren. Door dat regelmatig te herhalen, maak je mensen alerter.”

Veilig richting internet

Weten werknemers welke gegevens van hen op internet rondzwerven? Worden wachtwoorden regelmatig gewijzigd? Eerder dit jaar kwam aan het licht dat een verzameling van 2,2 miljard gelekte accountgegevens via verschillende hackerfora werd aangeboden. Met de kwalijke gewoonte van mensen om wachtwoorden voor verschillende diensten te hergebruiken, heb je geen garantie dat daar geen wachtwoorden van je werknemers tussen zitten, die ze ook voor bedrijfsaccounts gebruiken.

Je werknemers bewust maken van hun gedrag is al een stap in de goede richting, maar denk zeker ook aan een goed wachtwoordbeleid met extra bescherming via tweefactorauthenticatie, adviseert Schippers. “Tweefactorauthenticatie is de beste aanvulling op een wachtwoord, toch beseffen veel organisaties dat schijnbaar niet. Het gebruik ervan zou nochtans een must moeten zijn wanneer je diensten gebruikt die met internet verbonden zijn.” Dit kan al simpel met een fysieke token, maar het kan ook al door een tijdelijke code te genereren met een app op je smartphone.

Zodra je een server aan het internet hangt, ben je zelf verantwoordelijk voor de bescherming van je data.

Veilig richting internet betekent tot slot ook dat je geen servers onbeveiligd blootstelt aan de buitenwereld. Dat geldt zowel on-premises  als in de cloud, benadrukt Schippers “Zodra je een server aan het internet hangt, ben je zelf verantwoordelijk voor de bescherming van die data, ook in de cloud.” Zeker rond cloudbeveiliging is nog heel wat bewustwording nodig, maar ook on-premises blijft waakzaamheid van belang. Denk bijvoorbeeld aan BlueKeep. Microsoft patchte die kwetsbaarheid in het Remote Desktop Protocol (RDP) een half jaar geleden al, maar ondanks de vele waarschuwingen zijn er nog altijd honderdduizenden kwetsbare servers, die de virtuele achterdeur hebben openstaan.

Patchen is cruciaal, maar niet voldoende

Dat sluit naadloos aan bij een ander probleem waar veel organisaties mee kampen: patches worden vaak pas veel te laat of helemaal niet uitgevoerd. Een goede endpointbeveiliging kan het risico in dat geval wel beperken, maar het is geen vervangmiddel voor het patchen van je software, benadrukt Schippers. Hij stelt wel vast dat het aantal kwetsbaarheden in software toeneemt en dat beschermen tegen exploits op basis van de malwarehandtekening niet meer volstaat.

“We registreren 500.000 nieuwe malwaresamples per dag. 75 procent daarvan zien we maar één keer voorbijkomen. Je kan je dus maar tegen 25 procent beschermen op basis van signatures, de rest moet op een andere manier gebeuren. Je moet kwetsbare applicaties aanpakken, of je bent een vogel voor de kat”, vertelt Schippers.

De securitywereld evolueert daarom sinds enige tijd richting een proactieve aanpak. In plaats van te wachten tot een infectie heeft plaatsgevonden en de malware actief is op een systeem, wordt geprobeerd om een bedreiging vooraf te detecteren en erop te acteren. In vaktermen wordt gesproken over Endpoint Detection & Response of EDR. Dat is een oplossing die de volledige levenscyclus van een (al dan niet succesvolle) aanval in kaart brengt.

Je moet kwetsbare applicaties aanpakken, of je bent een vogel voor de kat.

EDR-oplossingen waren traditioneel meer op grote organisaties gericht, omdat je er een zekere mankracht voor nodig had. Recent is de technologie evenwel gedemocratiseerd. Zo implementeerde Sophos vorig jaar EDR in zijn endpointbeveiliging, waardoor plots ook kmo-bedrijven ervan kunnen genieten. “Kennis is de grootste barrière om EDR te gebruiken”, legt Schippers uit. “Wij proberen in onze oplossingen op een visuele manier rapporten en inzichten te leveren, zodat je voor die analyse geen extra mensen moet aannemen.”

Mobiele schaduw-IT

Mobiele toestellen zijn niet meer weg te denken, maar maken ze ook al deel uit van je securitybeleid? “Mobiele telefoons zijn volwaardige computers geworden, waarop we bedrijfsdata gebruiken. Wie zegt dat dat niet het geval is, spreekt niet de waarheid. We checken allemaal onze e-mail, of raadplegen bestanden in OneDrive of Dropbox”, illustreert Schippers. “Langzaamaan vinden ook hier aanvallen plaats, vooral op Android. Hoe ga je om met de beveiliging van mobiele apparaten?”

Een goed en helder beleid is opnieuw de eerste stap, maar bedrijven kunnen ook gebruikmaken van een oplossing voor mobile device management. Dat kan zeker op mobiele toestellen die eigendom zijn van het bedrijf, maar wat doe je wanneer werknemers hun eigen smartphone van thuis meenemen en daarmee verbinden met het bedrijfsnetwerk?

Bring Your Own Device (BYOD) is nog steeds een uitdaging waar veel bedrijven mee worstelen. Het brengt een vorm van schaduw-IT in de organisatie, waar je IT-team weinig controle over heeft. Toch zijn ook daar oplossingen voor, weet Schippers. “In onze eigen omgeving kan je alleen e-mail lezen op een apparaat dat aangemeld is op Sophos Mobile. In geval van je persoonlijke smartphone, wordt een container op het toestel geïnstalleerd, die centraal wordt beheerd.”

Ook op apparaten van werknemers die je niet volledig zelf in beheer hebt, is het dus mogelijk om een extra laag van beveiliging te voorzien. “Alles staat of valt met het beleid dat je uitstippelt en dat komt dan weer voort uit bewustwording. Weet dat het om bedrijfsgegevens gaat, die op die toestellen terechtkomen”, besluit Schippers.