De beveiligingslessen die de Covid-19-pandemie ons leert

Nu Europa zich langzaam herstelt naar een nieuw normaal, kunnen we de balans van enkele uitzonderlijke maanden opmaken. Heeft het thuiswerk een impact gehad op het beveiligingslandschap? En wat kunnen we hieruit leren voor de toekomst?

Cybercriminelen hebben handig gebruik gemaakt van de coronacrisis. Dat merkt Christof Jacques, security engineer bij de Israëlische beveiligingsspecialist Check Point. “Hun manier van aanvallen is snel opgeschoven. Hackers volgen het nieuws en begrijpen dat mensen informatie zoeken over het coronaverhaal. Een sms met een link waar je zogezegd kan zien of er mensen het virus hebben in je buurt, daar klikten mensen de afgelopen weken al sneller op.”

Marketeers en phishing

Jacques zag hoe hackers vanaf begin maart gretig inspeelden om de angsten van het grote publiek om hun malafide payloads op een computersysteem binnen te krijgen. “We zagen al snel dat aanvallers webdomeinen registreerden die lijken op Covid-19-gerelateerde domeinen. Er was een snelle toename van registraties waaruit we de niet-legitieme exemplaren konden filteren en ook die namen sterk toe.”

We zagen al snel dat aanvallers webdomeinen registreerden die lijken op Covid-19-gerelateerde domeinen.

Uniek is het fenomeen niet. Hackers en legitieme marketeers gingen naar dezelfde school en trokken dezelfde lessen. Zo vult je inbox zich al een tijdje met seizoensgebonden spam. Met Valentijn is het niet alleen de lokale chocolatier die je aandacht wil, de buitenlandse spam-boer heeft in die periode ook enkele romantische phishinglinks met jouw naam op klaar staan. Het valt op hoe snel cybercriminelen inspeelden op de nieuwe realiteit.

Werken op de familielaptop

Toch was dit aanvalssalvo iets gevaarlijker. Het ging immers gepaard met een onveilige werkomgeving, zeker in de eerste weken. Jacques: “Aan het begin van de crisis was het de prioriteit om iedereen online te krijgen. In de eerste twee weken keken bedrijven vooral naar licenties en de capaciteit van de hardware. Kon die het niet aan, dan was er plots budget om krachtigere toestellen te installeren. Mensen werden naar huis gestuurd en moesten maar inloggen via een VPN.”

Dat bracht risico’s met zich mee. “De eerste vraag was nooit ‘is dat wel veilig?’ Het werk beheert doorgaans de laptops van werknemers, maar niet iedereen heeft vandaag een laptop. Veel medewerkers kregen een link naar een VPN-cliënt doorgestuurd en gingen aan de slag met een privétoestel dat thuis nog rondslingerde.” Jacques zag hoe bijna 35 procent van de organisaties uit noodzaak onbeheerde toestellen op het netwerk toeliet. “Dat is een risico aangezien die toestellen via de VPN-verbinding een rechtstreekse verbinding naar het hart van het bedrijfsnetwerk hebben”, waarschuwt hij.

Lees ook: Desktop in een Ikea-zak: Hoe bedrijven in België met het plotse thuiswerk omgaan

Bijkomend versnelden sommige organisaties hun overstap naar de cloud. “Door toepassingen in de cloud te zetten, kunnen mensen er thuis aan werken. Dat is geen foute redenering maar door de snelle migratie bleven ook daar enkele poortjes open staan.”

Bemoedigende signalen

Toch zag de beveiligingsexpert ook positieve signalen tijdens de lockdown. “Beveiliging stond misschien nog niet op plek één maar al wel op plaats twee voor 80 procent van de klanten die we bevraagd hebben. Dat is een bemoedigend cijfer. Wie verantwoordelijk is voor beveiliging in zijn bedrijf, moet daar op een pragmatische manier mee omgaan en het beschermen als een goede huisvader. Ik verwacht niet dat mensen meteen all-in gaan, maar met het beschikbare budget kan je wel een goede en logische beveiliging opzetten.”

Volgens Jacques zette de lockdownperiode heel wat gekende problemen in de verf, maar is het dreigingsniveau niet noodzakelijk verhoogd. De hoeveelheid malware- en phishing-aanvallen groeide immers niet sneller dan anders, al verschoof de aanvalsmethode wel. De Check Point-expert denkt dat het belangrijk is om te kijken welke beveiligingsaspecten beter konden. Maak van het momentum gebruik om de juiste beveiligingskeuzes te maken.

Beveilig de endpoints

Mensen via een VPN toegang geven tot het bedrijfsnetwerk met de familielaptop is een slecht idee. “Het toestel dat iemand gebruikt, moet beveiliging aan boord hebben, wat het ook is. Het minste is een vorm van beheer waarbij IT kan nakijken of het toestel wel up-to-date is en de nieuwste patches goed en wel geïnstalleerd zijn. Vervolgens is endpointsecurity een must. Het kost bovendien niet veel om mensen thuis van beveiliging te voorzien.”

Mensen via een VPN toegang geven tot het bedrijfsnetwerk met de familielaptop is een slecht idee.

Jacques heeft het zelf niet zo hoog op met de ingebouwde beveiliging van Microsoft, hoewel die best goed scoort op onafhankelijke antivirustests. “Microsoft is geen securitybedrijf. Ze doen zeker hun best om alles veilig te krijgen maar ze lopen achteraan op de feiten. Er is een reden dat securitybedrijven blijven bestaan en telkens met nieuwe technologie naar de markt komen.” Hij doelt daarbij op nieuwigheden zoals sandboxtechnologie en cpu-level detection waarbij ongekende malware tegen de lamp loopt door manipulatie van het processorgeheugen te monitoren. Dergelijke bescherming heeft de ingebouwde beveiliging van Windows 10 niet aan boord.

Bewust van de gevaren

Verder moeten IT-admins een besef hebben van de beperkingen van de cloud. Het is alsmaar eenvoudiger om snel workloads naar de cloud te sturen maar dat wil niet zeggen dat ze daar veilig staan. Jacques: “Zijn alle instellingen wel juist? Hebben de administrators de juiste beveiligingsregels toegepast?” De beveiligingsspecialist maant IT-beheerders aan om op externe software te vertrouwden die de configuratie van de cloudomgeving uitleest en samenvat in een overzichtelijk dashboard, zodat je in één oogopslag kan zien wat er draait, waarom en hoe goed het is afgeschermd. “Ook cloudproviders zijn geen beveiligingsspecialisten. Ze bieden vaak wel tools, maar die zijn niet altijd overzichtelijk.”

Ook bewustmaking is essentieel. “Het volstaat niet om werknemers één keer een middag in een duffe zaak te verzamelen”, benadrukt Jacques. “Herhaling is essentieel. Je moet mensen confronteren. De mens blijft de zwakke schakel in de beveiligingsketting. Vaak is het immers aan de werknemer om in te schatten of een mail legitiem is of niet. Dat wil niet zeggen dat je dergelijke training mag overschatten. Ook antiphishingtools blijven belangrijk.”

Phishing via sms komt vandaag vaak voor.

Tot slot wijst Jacques op het belang van mobiele endpointbeveiliging. “Phishing via sms komt vandaag vaak voor maar toch heeft bijna niemand een degelijke beveiligingsoplossing op zijn mobiele toestel staan. Dankzij cloudoplossingen geeft dat toestel echter wel toegang tot heel wat bedrijfsdata.”

Het absolute minimum

Wat je van de coronapandemie moet onthouden, is dat cybercriminelen er handig op inspelen. Het succes van hun aanvallen hangt echter niet af van geniale nieuwe exploits. Ze verfijnen bestaande technieken om mensen te overtuigen ergens op te klikken. Succes is doorgaans het gevolg van een ontoereikende beveiliging. Zeker nu de digitale perimeter dankzij thuiswerk breed uitgesmeerd is, moet je als organisatie de beveiliging op orde hebben. “Spijtig genoeg moet er in België vaak eerst iets slecht gaan voor organisaties actie ondernemen. Mensen schrikken wanneer ze bijvoorbeeld horen van de cyberaanval op Asco in Zaventem begin juni, maar dergelijke aanvallen gebeuren iedere dag bij kleinere bedrijven.”

Jacques is niet van mening dat het ganse IT-budget plots naar security moet gaan. Hij is realist, maar een doordachte beveiliging waarin endpoints beschermd worden en het gevaar van phishing serieus wordt genomen, is zelfs voor de kleinste onderneming een absoluut minimum. Zeker nu thuiswerk evolueert naar een structurele pijler in onze maatschappij.