De Autoriteit Persoonsgegevens constateerde begin dit jaar in een rapport dat het aantal meldingen over hacking, malware of phishing-incidenten in 2020 met 30% is gestegen vergeleken met 2019. En de praktijkvoorbeelden zijn helaas talloos: gegevens van duizenden Nederlanders die bij de GGD een coronatest hebben gehad, liggen op straat, bij verzekeraar Allianz lekt een back-up met klantgegevens uit, cv’s in de systemen van het UWV die uitlekken, hackers die toegang krijgen tot gegevens van studenten en docenten bij InHolland en Universiteit van Amsterdam en een lijst van de NAM die uitlekt met gegevens van 19.000 gedupeerden van de aardbevingen in Groningen. Telkens weer lekken er persoonsgegevens uit of weten kwaadwillenden toegang te krijgen tot systemen waar persoonsgegevens van duizenden Nederlanders zijn opgeslagen.
Exchange server
Criminelen hebben een groot arsenaal aan mogelijkheden om in organisaties in te breken. Ze gebruiken daarvoor bijvoorbeeld kwetsbaarheden in software, versturen phishingmails of gebruiken gestolen of eenvoudig te raden accountgegevens van een medewerker. Eenmaal binnen in een netwerk proberen ze data te stelen of ransomware te verspreiden.
Een recent voorbeeld zijn de ernstige lekken in Exchange Server waarvoor Microsoft in maart waarschuwde. Microsoft rolde begin maart beveiligings-updates uit om de beveiligingslekken te verhelpen die wereldwijd in bijna 400.000 Exchange-servers zouden voorkomen. Microsoft verdenkt hackers in China ervan dat ze op grote schaal de kwetsbaarheden in Exchange misbruiken. Daar zijn vermoedelijk vele organisaties het slachtoffer van geworden, waaronder de Europese Bank Autoriteit (EBA) en het parlement van Noorwegen. En nog steeds zijn er organisaties die de updates hiervoor niet hebben geïnstalleerd.
Sunburst
Een ander groot beveiligingsprobleem zijn IT- systemen van externe partijen, bijvoorbeeld het IT-beheersysteem Orion van SolarWinds. In december 2020 meldt FireEye als eerste dat hackers toegang hebben gehad tot bepaalde systemen. Later blijkt dat te liggen aan de software van SolarWinds. Via deze supply chain-aanval weten criminelen malware, genaamd ‘SUNBURST’, bij tal van organisaties binnen te loodsen.
Technologie alleen is niet voldoende
Dergelijke aanvallen van hackers zijn niet meer alleen tegen te houden met technologische oplossingen, zoals firewalls, intrusion prevention en andere slimme (cloud)beveiliging. Het goed opslaan en beveiligen van data is een hele uitdaging geworden. Vooral grotere organisaties die persoonsgegevens van veel mensen verwerken, lijken het doelwit van hackers te zijn.
Hackers richten zich vooral op grotere organisaties die persoonsgegevens van veel mensen verwerken
Naast het inkopen van goede beveiliging bij security-leveranciers en managed (security) service providers, lijkt de nadruk steeds meer te worden gelegd op het bewust maken van medewerkers met behulp van cybersecurity awareness trainingen. Een verkeerde beslissing, zo betoogde Michel van Eeten, professor aan de TU in Delft, onlangs in een webinar. “Het probleem is niet de gebruiker. Niet de mens is de zwakke schakel in de IT-beveiliging, maar slechte adviezen.” Veel adviezen van de IT zouden regelrecht ingaan tegen de beveiligingsregels die in die organisatie gelden. “We instrueren gebruikers gewoon slecht.” Het motto van IT-beveiligers moet volgens hem zijn: ‘Don’t fix the user, fix the system’.
29% van cyberbedreigingen onbekend
De stelling van professor Michel van Eeten, ‘Don’t fix the user, fix the system’, wordt onderbouwd door een recent rapport van HP. Hieruit blijkt dat ruim een kwart (29%) van de cybergevaren geregistreerd in het laatste kwartaal van 2020 tot dat moment nog onbekend waren. Dit betekent dat kwaadwillenden een ruime voorsprong hebben op de ontwikkelaars van security-oplossingen.
Uit HP’s Quarterly Threat Insights Report blijkt dat het merendeel van de malware via e-mail op de gebruikers afgevuurd wordt, namelijk 88%. Dat is op zich geen nieuw gegeven, problematisch blijft echter dat het nog steeds lang duurt voordat nieuwe bedreigingen bij de leveranciers van antivirusprogramma’s bekend zijn en erop ingespeeld kan worden door middel van software-updates. Dit proces nam gemiddeld 8,8 dagen in beslag. Hackers hadden op die manier meer dan een week voorsprong om hun schadelijke acties voort te zetten. Cybercriminaliteit vertoont beslist geen tekenen van vertraging, stelt HP. Cybercriminelen maken gebruik van low-cost malware-as-a-service sets, die zich verspreiden via ondergrondse fora.
Voor elke nieuwe malwarevariant die hackers creëren lopen ze voor op een adequate reactie van de securityleveranciers. Met automatisering in combinatie met malware-as-a-services is dit proces eenvoudiger dan ooit op te zetten. Dit betekent dat leveranciers van anti-malware-oplossingen en IT-afdeling op hun beurt ook zouden moeten investeren in het automatiseren van de security.
Cyberverdediging
Proberen elke bedreiging te detecteren is daarbij haast per definitie zinloos, want er zal altijd wel iets tussendoor glippen. De beste cyberverdediging is het isoleren van risico’s op het endpoint door middel van micro-virtualisatie, stelt HP. Dit soort hardwarematige isolatie elimineert de mogelijkheid voor malware om schade toe te brengen aan de host-pc, omdat het niet vertrouwt op een detect-to-protect beveiligingsmodel. In zekere zin concenteert de malware zich dan in een klein gebied van het netwerk. Door ingebouwde beveiliging, liefst met ondersteuning van AI en machine learning op hardwareniveau, kunnen endpoint-apparaten gebruikers beschermen en aanvallen automatisch herstellen.
[Dit artikel is eerder gepubliceerd in ChannelConnect 2 – 2020]