Cybercriminelen zitten niet stil om een geslaagde aanval te plegen. Ze gebruiken hiervoor bekende technieken, maar passen deze op een andere manier toe. Zo wordt de aanval steeds meer op het individu gericht en neemt de hoeveelheid en complexiteit van deze aanvallen toe. Dat meent Daniel Kollberg, directeur Noord Europa bij Palo Alto Networks. Bedrijven moeten zich weren door meer zichtbaarheid te creëren op het bedrijfsnetwerk en de aanvalsmethodes van criminelen.
Uit onderzoek van Unit 42, het Threat Intelligence-team van Palo Alto Networks, blijkt dat e-mailbijlagen nog steeds een populaire aanvalsmethode zijn van cybercriminelen. Volgens Kollberg toont dit aan dat de hedendaagse hackers niet per se nieuwe technieken of aanvalsmethodes gebruiken om een succesvolle cyberaanval te plegen. ‘De technieken die cybercriminelen gebruiken is niet veranderd. Sterker nog: ze gebruiken nog steeds dezelfde technieken als in de afgelopen jaren.’ Volgens hem zijn cybercriminelen wel steeds gemotiveerder geworden om in te breken op het bedrijfsnetwerk of bedrijfskritischegegevens te stelen. ‘De volumes en de complexiteit van de aanvallen is in de afgelopen jaren sterk toegenomen’, meent Kollberg.
Een tweede verandering in cyberaanvallen, is de focus op het individu. Kollberg: ‘Cybercriminelen beperken hun aanval nu niet meer tot de hele organisatie, maar richten ook hun pijlen op individuele medewerkers. De it-infrastructuur van een organisatie is in de afgelopen jaren veel ingewikkelder geworden. Dit biedt hackers steeds meer mogelijkheden om in te breken op het bedrijfsnetwerk.’ Waar voorheen een medewerker alleen met het netwerk werd verbonden via e-mail en een internetbrowser, maakt het nu ook gebruik van meerdere applicaties. Zo is het aantal SaaS-gebaseerde applicaties op bedrijfsnetwerken in de afgelopen drie jaar met 46 procent is gestegen. Een organisatie maakt nu gemiddeld gebruik van 316 applicaties.
Zichtbaarheid
Bedrijven moeten zich tegen cybercriminelen weren door zichtbaarheid (visability) in het bedrijfsnetwerk te verkrijgen. Via techniek is het voor medewerkers mogelijk om op elke plek, elk tijdstip en via elk apparaat toegang te hebben tot het bedrijfsnetwerk. Deze toegang moet volgens Kollberg in kaart gebracht worden. ‘De it-afdeling moet weten welke medewerker toegang heeft tot welke data via welke apparaten. Dit creëert een mate van zichtbaarheid. Deze zichtbaarheid is nodig om de juiste beveiligingsmaatregelen voor iedere medewerker te bewerkstelligen’, meent hij.
Zichtbaarheid is niet alleen van toepassing op medewerkers, maar ook op cyberaanvallen. Kollberg is van mening dat iedere organisatie de paden en stappen van een cybercrimineel (lifecycle) inzichtelijk moet maken. ‘Welke stappen doorloopt een hacker om tot een succesvolle aanval te komen? Het is hierbij belangrijk om zowel de eerste stappen als de daadwerkelijke succesvolle aanval vast te leggen.’ Door deze stappen te analyseren, kan een organisatie achter de denkwijze van hackers komen. De techniek kan vervolgens patroneren binnen het bedrijfsnetwerk herkennen en toekomstige aanvallen opsporen en tegengaan.
Kennisdeling
Deze kennis over de handelingen van cybercriminelen moet volgens Kollberg gedeeld worden met andere organisaties. Daarvoor is op 5 september 2014 de Cyber Threat Alliance opgericht. Dit is een groep van cybersecurityleveranciers, waaronder Palo Alto Networks, Fortinet, Intel Security, Symantec en Barracuda Networks. Zij doen onderzoek naar cybercrime en delen de resultaten met andere bedrijven. Een voorbeeld hiervan is het onderzoek naar de CryptoWall-ransomware. De alliantie onderzocht hoeveel malware-aanvallen er op de markt zijn en hoeveel schade dit heeft opgeleverd. Kollberg is van mening dat ransomware-aanvallen bij bedrijven vooral lastig zijn omdat het veel tijd en moeite kost om een aanval op te lossen. Maar ze lopen hier over het algemeen niet veel financiële schade mee op. ‘Ransomware-aanvallen zijn pas een probleem als de cybercrimineel toegang krijgt tot bedrijfsgevoelige data of tot de core servers.’
‘Aangezien de cybercriminelen zich steeds meer op het individu richten, zijn werknemers ook vaak de oorzaak van een geslaagde ransomware-aanval. Zij hebben bijvoorbeeld op een malafide link geklikt en privacygevoelige data opgegeven.’ Daarom is er bewustzijn bij de medewerkers nodig. ‘Zij moeten door de it-afdeling geïnformeerd worden over de mogelijke gevaren. Vervolgens moeten de medewerkers hier op acteren. Dit vraagt om een nieuwe mindset.’
Meldplicht Datalekken
Deze nieuwe mindset is niet alleen van toepassing op medewerkers, maar ook bij het bestuur. Kollberg is van mening dat cybersecurity iets is wat organisatie-breed gedragen moet worden. ‘De beveiliging tegen cybercriminelen is niet alleen een taak voor de it-afdeling. De verantwoordelijkheid ligt juist bij het bestuur.’ Volgens Kollberg zal in Nederland het het bestuur van organisaties dit binnenkort steeds meer gaan ervaren door de ingang van Meldplicht Datalekken. Vanaf 1 januari 2016 moeten Nederlandse organisaties en overheden het melden aan het College bescherming persoonsgegevens (CBP) als ze zijn getroffen door een datalek. In België wordt nog gewerkt aan gelijkluidende wetgeving.
‘Door deze wet wordt de beveiliging van het bedrijfsnetwerk en de data ook relevant voor het bestuur’, meent Kollberg. Wanneer zij namelijk niet kunnen aantonen dat zij voldoende maatregelen hebben getroffen om een datalek te voorkomen, krijgen zij een flinke boete opgelegd die tot 810.000 euro kan oplopen. ‘Het bestuur moet zich daarom bewust zijn van alle mogelijke gevolgen van deze wet. Het moet de druk op de ketel gaan opvoeren, zodat organisaties daadwerkelijk aan de slag gaan met informatiebeveiliging om eventuele datalekken zo veel mogelijk te voorkomen.’