Dit jaar startte het collectieve bedrijfsleven zijn meest ambitieuze ‘digital transformation’ project ooit. In maart moest opeens iedereen thuis gaan werken. Hoe beveiligt u dat?
2020 staat nu al te boek als ‘een beetje een raar jaar’. Een pandemie zette druk op iedereen, en maakte ook het bedrijfsleven weer wat uitdagender. Bedrijven die misschien al een tijd de kat uit de boom keken om thuiswerk te voorzien voor werknemers, zagen zich nu opeens genoodzaakt om snel VPN’s uit te rollen, laptops aan te kopen en meer.
Met alle gevolgen van dien. Eind maart waarschuwde het Centrum voor Cybersecurity België voor een stevige stijging in cybercriminaliteit, onder meer via phishing. “Hackers volgen het nieuws”, zegt Christof Jacques, cybersecurity evangelist bij Check Point Software Technologies daarover. “Als er iets gebeurt, dan gaan ze dat gebruiken om mensen te lokken. Als het Valentijn is, gaan ze dat ook als onderwerp van hun mail zetten.”
“Covid-19 werd voor een stuk gebruikt als trigger om veel mensen in de val te lokken”, zegt Simen Van der Perre, strategic advisor voor Orange Cyberdefense Belgium. “Tegen het einde van de piek zagen we internationaal bijvoorbeeld dat er dan weer een stijging was van scams en malwarecampagnes via e-mail die gerelateerd waren aan Black Lives Matter.” Of het nu Covid-19 is, betogingen tegen politiegeweld of bikinifoto’s van een bekende actrice, als het mensen maar zover krijgt om te klikken. En weinig nieuwsfeiten genereerden zoveel ‘clicks’ als een pandemie die iedereen thuishoudt.
Je gebruikt nieuwe manieren om business te doen, bescherm die dan ook
Sprintje
“We zien als organisatie veel van het wereldwijde verkeer”, zegt Matt Gyde, CEO van NTT Security. “En in februari doken een heleboel fake websites op die we konden traceren naar groepen van hackers. Er was een groter volume van dreigingen die malware probeerden te verspreiden, aanvallen op de medische industrie en hospitalen. Je zag ook botnets die terug in actie kwamen.”
Dat waren dan vooral ‘amateurs’, gaat Gyde verder: “De bad guys zoeken altijd een excuus om iets nieuws te doen, of ze nu intellectueel eigendom proberen te stelen of ransomware willen slijten. Dus we zagen rond die periode een grote hoeveelheid amateurhackers, die niet per se georganiseerd zijn in groepen, maar die wel de tools kunnen gebruiken.”
Hij voegt eraan toe dat, zeker in het begin, dat hele thuiswerken ook een opportuniteit bood. “Veel bedrijven die pre-Covid misschien de helft van de werknemers een paar dagen lieten thuiswerken, moesten nu ineens naar honderd procent thuiswerk gaan”, zegt Gyde. “Er waren dus gaten in de security, zoals VPN servers die het niet aankonden. Er was een hele stormloop om alles te implementeren en herstructureren.”
“Mensen als jij en ik hebben een laptop die we op kantoor kunnen dichtklappen en thuis kunnen openen om te werken, maar niet alle bedrijven hebben laptops”, licht Jacques toe. “Als die mensen van thuis moeten werken, moeten ze software op de eigen computer installeren. En het verschil met een werklaptop is dat die beheerd wordt door de IT-afdeling. Die is beveiligd, daar staan alleen goedgekeurde programma’s op, zodat je relatief veilig op afstand kunnen werken. Volgens onze cijfers zijn er zo’n 30% van de werknemers die nu op hun eigen computer hebben. Die hebben dus geen ‘managed’ pc, maar die werden wel toegelaten op het netwerk. Dat opent deuren die je liever dicht houdt.”
VPN
Het goede nieuws is dat die initiële ‘rush’ ondertussen wat is gaan liggen, maar dat maakt de situatie niet ineens veiliger. “We zagen een grote zondvloed in het begin,” zegt Matt Gyde, “daarna zijn de amateurs wat relaxter geworden. Maar de georganiseerde bendes werden beter, serieuzer. Ze gaan mogelijk nieuwe en aangepaste tools gebruiken. We zien dus een vertraging in hoeveelheid aanvallen, maar ze worden gesofisticeerder.”
Aan de technische kant opent de situatie alvast nieuwe aanvalsvectoren. Veel organisaties hebben geïnvesteerd in bijkomende technologie zoals remote access, zegt Simen Van der Perre. En dat voert ook de druk op die technologie op. “In elke software worden kwetsbaarheden gevonden”, vertelt hij. En hoe meer mensen een bepaalde software gebruiken, hoe harder er ook naar die kwetsbaarheden wordt gezocht. Kijk maar naar videoconferencingbedrijf Zoom, dat door zijn instant-populariteit in het voorjaar in het spotlicht kwam te staan, en meteen een hoop bugs en beveiligingsfouten moest prijsgeven. Met VPN is dat niet anders.
“Sinds eind vorig jaar zijn er kwetsbaarheden gevonden in Citrix ADC, bij Pulse Secure, bij Fortinet, Palo Alto enzovoort. Maar die zijn wel snel opgelost”, zegt Van der Perre. “En als je kijkt naar de hoeveelheid vulnerabilities die op jaarbasis worden ontdekt, zijn het er niet zoveel als in andere courante software zoals Microsoft en Adobe, het spul dat iedereen dagelijks gebruikt. Maar er is wel ineens meer aandacht voor die remote access technologie, en als er een bug wordt ontdekt, heeft ze mogelijk veel impact. Die bugs worden wel opvallend snel gefixt.”
Het probleem verschuift echter. “Wat we nu zien is dat de technologie vaak binnen de dag gepatcht wordt, maar dat bedrijven 30 tot 180 dagen nodig hebben om die patches ook echt in hun systemen uit te rollen”, aldus Van der Perre. Vaak gaat het om componenten die kritiek zijn binnen de organisatie en niet zomaar even uit kunnen liggen, “anderzijds ontbreekt soms ook de kennis om te weten of de software patch is gebeurd.”
Kijken op lange termijn
Wanneer we dit schrijven in september, is de grote lockdown dan wel voorbij, echt veel volk trekt nog niet dagelijks naar kantoor. Thuiswerk is een blijver, toch voor de eerste paar maanden. “Dat is nu de nieuwe fase”, zegt Matt Gyde van NTT Security. “Al die tools zijn nu uitgebreid, maar hoe ga je dat beheren? De conversaties die we nu hebben is hoe we security naar de edge brengen. Je moet de juiste veiligheidsstructuur opzetten. Als iedereen vanuit één plaats werkt, is het makkelijker om muren te bouwen, maar nu iedereen daarbuiten zit, hoe moet dat er dan uitzien?”
“Wat we vandaag meemaken is een moderne werkplek”, zegt ook Christof Jacques van Check Point. “Dat is de digital transformation die we al jaren verkondigen als de nieuwe manier van werken. We waren al een tijd in die richting aan het evolueren, en door Covid is iedereen nu verplicht op die trein moeten springen. Je had geen keuze. Dat was organisatorisch moeilijk, maar het is nu gebeurd en de managers die dat op poten hebben gezet beseffen dat het op die korte tijd niet veilig is gedaan. In bevragingen merken we dat 79% van ondervraagden beseften dat er extra maatregelen moesten komen en die gingen daar ook actief achteraan. Dat is positief. We vreesden dat er eerst een aantal zware aanvallen moesten komen.”
Zo’n 30% van de werknemers werken op een persoonlijke pc, maar worden wel toegelaten op het netwerk. Dat opent deuren die je liever dicht houdt’
Maakt het de situatie niet complexer nu de locaties die beveiligd moeten worden zijn vermenigvuldigd naar ‘iedereen zijn woonkamer’? “Ik zit al 26 jaar in de security-industrie en die is altijd complex geweest”, zegt Gyde. “Je hebt nu wel meer keuzes. Er zijn meer platformen die je moet integreren, dus de kunst is om eerst een stap terug te zetten en te zien wat je zakelijke strategie is. Als je weet waar je naartoe wilt, is het makkelijker om een weloverwogen beslissing te nemen.”
Met een meer verspreid netwerk wordt ook visibiliteit een belangrijke factor. Het wordt moeilijker om te weten wat er in je organisatie gebeurt, zegt Simen Van der Perre van Orange Cyberdefense. “Je kan dan met zero-trusttechnologie werken, en dan kom je een stukje in cloud security, dan word je eigenlijk cloud access security broker. In zo’n zero-trustomgeving zorg je dat gebruikers en toestellen, ongeacht waar ze zitten, altijd een beveiligde verbinding krijgen. Organisaties beheren daar een cloudsysteem dat toegang geeft tot het internet en waar de thuisgebruiker altijd langs moet, voor zowel internet als intranet.”
Die Zero trust is echter niet altijd mogelijk, zegt Christof Jacques: “Je moet in de eerste plaats als goede huisvader omgaan met je infrastructuur. Die 30% werknemers op een onbeheerde computer op het netwerk, begin misschien met te controleren of die up to date is, of er antivirus en bescherming tegen phishing op staat. Dat hoeft allemaal niet veel geld te kosten en is relatief makkelijk uit te rollen.”
Daarnaast hamert ook hij op de security van cloudinfrastructuur. “Je gebruikt nieuwe manieren om business te doen, bescherm die dan ook. Als je klanten vanalles willen doen via mobiele toestellen, zijn die dan ook beveiligd? Met onbeheerde computers en cloudinfrastructuur is het netwerk waarover je waakt breder dan ons eigen netwerk, het is niet helemaal in onze handen.”
Phishing
Een belangrijk punt hier is antiphishing. Daarvoor moeten we maar kijken naar Twitter. In augustus begonnen daar enkele grote namen als Barack Obama, Bill Gates en Elon Musk ineens berichten te tweeten die hun volgers moesten overhalen om in een bitcoin scam te investeren. Die hack werd waarschijnlijk uitgevoerd met login-gegevens van een Twitter-medewerker, ontfutseld via phishing. “De grootste infectievector blijft e-mail”, zegt Christof Jacques daarover.
“Dingen als spearphishing, waarbij iemand specifiek doelwit is van een mail die hem om de tuin wilt leiden, is moeilijk te bestrijden”, zegt Matt Gyde. “Dat is de menselijke natuur. Als iemand mij in een mail zegt dat ik veel geld kan verdienen door dit of dat te doen, dan is dat meestal niet waar, maar zo’n mail werkt wel op menselijke emoties. Spearphishing is daar nog een evolutie van. Uiteindelijk komt het neer op de gebruiker en diens kennis.”
“Ik hoop dat veel organisaties de nodige awareness training organiseren en herhalen”, zegt ook Simen Van der Perre. “Uit cijfers over phishing awareness blijkt dat gemiddeld zo’n derde van een organisatie zich in de luren laat leggen. Met een training van drie maanden zie je dat zakken naar 15%, en na een jaar zelfs naar 2%. Maar het is hier absoluut belangrijk om dat te blijven doen.” Anderzijds moet u het ook detecteren wanneer een medewerker toch in de val trapt. “Je hebt preventieve maatregelen nodig, maar je moet ook zorgen dat je weet wanneer er een anomalie gebeurt. Hoe sneller je dat detecteert, hoe beter je kan beschermen. ”
Dat soort detectie kan vrij breed gaan, zegt Christof Jacques: “In een e-mail kan je links gaan analyseren: zijn die veilig of niet? Wie heeft die geregistreerd? Verder is er software die formulieren gaat bekijken. Als je met je browser naar een website gaat en die vraagt je kredietkaartnummer, is dat formulier dan versleuteld, zijn de certificaten in orde? Het grootste deel van cloud hacks gaat om het stelen van login-gegevens, waardoor je ze moeilijk in je securitysysteem ziet. Dat is namelijk geen ‘aanval’, het gaat om iemand die zijn paswoord gebruikt. Daarom moet je breder gaan detecteren.”
Ook belangrijk? Encryptie. “Dat bestaat al sinds tijd van de Romeinen”, zegt Jacques. “Bedrijven die intellectueel eigendom hebben, zouden standaard documentencryptie moeten gebruiken. Ik ben in die zin blij met GDPR, omdat ze je verplicht om data die gevoelig is voor andere mensen te gaan encrypteren. Dat je moet zorgen dat je die niet kwijt raakt. Het zorgt alvast voor meer bewustzijn daarover. Als we het hebben over het stelen van bedrijfsgegevens, ransomware enzovoort: encryptie lost tachtig procent van die zwik op. Ze maakt het moeilijker om gegevens te stelen, zeker als je ook meerstapsverificatie installeert.”
30%
van een organisatie laat zich gemiddeld in de luren leggen door phishing
Ransomware
Picanol, Garmin en een reeks anderen, we zagen het voorbije jaar ransomware massaal de kop opsteken. Hoe blijft dat gebeuren? “We zien vaak dat dreigingen ondertussen zitten aan vijfde generatie”, zegt Christof Jacques van Check Point. “Die zijn geavanceerd, die hebben verschillende vectoren, worden wereldwijd georganiseerd, en soms gesponsord door een staat. Dat is niet meer het hackertje in de kelder en het betekent ook dat je beveiliging van de vijfde of zesde generatie nodig hebt. Die moet meerlagig zijn. Geen enkele techniek kan op zichzelf alles pakken, je moet technieken bundelen.”
Een degelijk beveiligingsplan moet ook helpen om het te vermijden, denkt Simen Van der Perre. “Je ziet die aanvallen altijd op gelijkaardige wijze gebeuren. Eerst wordt er op een of andere manier gebruik gemaakt van een kwetsbaarheid, meestal technisch via het internet, of via een gebruiker, waarna ze malware droppen om van daaruit verder te gaan.” De vraag daar is hoe je kwetsbaarheden zo goed mogelijk opvolgt, maar ook wat je zeker wil beschermen. “Er wordt altijd gezocht naar de ‘keys to the kingdom’,” zegt Van der Perre, “de sleutels van de organisatie, de rechten waarmee je controle kan nemen over het systeem. Want zelfs als je back-upoplossingen hebt, kan je die van daaruit uitschakelen.” En tot slot: voorbereiding. “Hoe ga je business continuity en disaster recovery organiseren? Heb je een incident response plan, waarin stat wat je gaat doen, hoe je gaat communiceren en welke acties je zal ondernemen als het toch gebeurt. Dat zijn de technologische dingen die je onder controle moet hebben.”
Fout opgemerkt of meer nieuws? Meld het hier