Over enterprise security is al veel geschreven. Dit zijn de trends die er anno 2016 echt toe doen. Van social engineering tot de toename van iOS-aanvallen. En de vraag: moet je als slachtoffer van ransomware ook echt betalen?
We baseren ons voor deze trends op de Cost of Cyber Crime Study van het Ponemon Institute en de input van Tim Grieveson, chief cyber & security strategist voor Europa bij Hewlett Packard Enterprises (HPE), en voorheen cio en ciso (chief information security officer) bij securitybedrijf G4S. Grieveson gaf op de Protect roadshow van HPE een keynote, en nadien konden we hem interviewen. Grieveson was overigens ook betrokken bij het rapport van HPE over ‘The Business of Hacking’.
1. Eindgebruiker blijft de zwakste schakel
Deze vaststelling is niet nieuw, maar de situatie blijft desalniettemin zorgwekkend. Zo blijken social engineering (technieken zoals phishing) en zwakke wachtwoorden met ruime voorsprong de meest gebruikte hacking methodes (zie figuur). Op afstand volgend web-based aanvallen (zoals SQL/command injection) of client-based aanvallen (tegen web browsers).
Een veel minder courante methode van hackers zijn de rechtstreekse aanvallen op third party service providers (en hun outsourced infrastructure) of cloudsystemen (zoals infrastructure as a service). Na al die jaren blijkt de eindgebruiker nog onvoldoende bewust van de gevaren. ‘We zullen die gebruiker op een andere manier moeten trainen en hem persoonlijk moeten raken’, oppert Grieveson, die vooral ook de bewustwording wil zien toenemen. ‘Ik zat laatst in een autobus op weg naar het vliegveld. Een dame voor me was aan de telefoon en gaf voor de hele bus te horen haar naam, adres en kredietkaartgegevens. Toen ik haar er nadien mee confronteerde, vroeg ze me hoe ik aan die gegevens was geraakt.’
2. Patching werkt niet naar behoren
Patching is de aangewezen manier om fouten of kwetsbaarheden in software te verhelpen. Maar in de praktijk loopt dit hele proces niet echt naar behoren. ‘Als we kijken welke kwetsbaarheden worden gebruikt door cybercriminelen, dan valt altijd op dat het vaak om heel oude gaat. Sommige dateren van 2009 en 2010’, stelt Grieveson vast.
Dat oude securitygaten worden verwaarloosd, heeft volgens hem een dubbele verantwoordelijkheid. ‘Enerzijds moeten beveiligingsteams meer waakzaam zijn over de patches die zij aanbrengen, zowel op niveau van het bedrijf als bij de individuele gebruiker’, vindt Grieveson. ‘Anderzijds moeten softwareleveranciers meer transparant zijn over de gevolgen van hun patches. Waardoor de eindgebruikers niet moeten aarzelen om ze effectief te gebruiken.’
3. Apps are the new battlefield
Vandaag komt meer dan 84 procent van de succesvolle exploits van kwetsbaarheden in applicaties. ‘Apps are the new battlefield’, vindt Grieveson. ‘Bedrijven hebben nood aan flexibele end-to-end-security. Ze moeten zich richten op de interacties tussen gebruikers, applicaties en data, los van locatie of toestel’, vindt hij. De chief cyber & security strategist van HPE breekt ook een lans voor een holistische aanpak in security. ‘Leveranciers moeten zich in security richten op integrale oplossingen. Ik zie nog heel veel point solutions bij leveranciers.’
Dit alles vergt meteen ook het herdenken van de aanpak rond security. ‘Globaal gesproken wordt 3 à 4 procent van het it-budget gespendeerd aan security’, vertelt Grieveson. ‘Maar toen ik zelf cio en ciso was, heb ik ook andere onderdelen, zoals e-mail of infrastructuur toegevoegd om mijn security-budget. Zo kwam ik aan 56 procent van alle it-bestedingen die naar security gingen. Ik deed het om meerdere redenen. Enerzijds zit security overal, en ook aan de bron. Anderzijds: met een percentage van 56 procent kan je je management wel meer overtuigen van het belang van security, dan wanneer het om 3 à 4 procent gaat.’
Uit cijfers van het Ponemon Institute (zie figuur) blijkt dat er in elk geval is er een groot verschil tussen hoeveel sectoren spenderen aan security. De financiële sector en de nutsbedrijven besteden jaarlijks het meest aan security. Landbouw, de auto-industrie en de gezondheidszorg het minst. Vooral het verschil valt op. Zo besteedt een doorsnee bank vijf tot zes keer meer aan security dan een ziekenhuis.
4. Ransomware & belang van back-up
Deze trend ligt in het verlengde van de vorige. Ransomware was absoluut de trend in security van de voorbije maanden. Criminelen encrypteren de bestanden. Aan slachtoffers wordt een soort van virtueel losgeld gevraagd om de sleutels te bekomen en de data terug te krijgen. ‘Mijn persoonlijke mening is om nooit dergelijke sommen te betalen. Want als je betaalt, geef je alleen nog maar meer persoonlijke data van je zelf en je bedrijf prijs.’
Zowel organisaties als bedrijven hebben er mee te maken. ‘Het is het uitgelezen voorbeeld van de nieuwe focus van cybercriminelen: de monetization van malware’, vindt Grieveson. ‘De return on investment ligt voor hen vrij hoog, omdat criminelen meteen heel veel individuen tegelijk aanvallen’, stelt hij. ‘Een aangewezen manier om dergelijke zaken te voorkomen is een gericht back-up-beleid voor alle belangrijke bestanden.’
5. iOS onder vizier van criminelen
Lange tijd werden iPhones en iPads aanzien als een soort van veilige haven. Maar ook hier geldt het ‘follow the money’-principe. ‘Op een jaar tijd zagen we een toename met 230 procent van de aanvallen op iOS-systemen. Voor Android lag deze toename slechts op 153 procent’, weet Grieveson. ‘iOS is een gesloten systeem, terwijl Android is gebaseerd op open source. Maar de geslotenheid van iOS houdt de aanvallen dus blijkbaar niet tegen.’
