Security by design is lang een heilige graal geweest voor professionals in cyberbeveiliging. Het is een eenvoudig concept: zorgen dat producten zo veilig mogelijk ontworpen zijn om de kans op problemen te minimaliseren. Dit is de jongste jaren verder uitgebreid tot het inbedden van de beveiliging in elk onderdeel van een organisatie – van de DevOps-pijplijnen tot de dagelijkse werkpraktijken van de medewerkers. Met zo’n security-first-cultuur zijn organisaties beter bestand tegen cyberdreigingen en beter uitgerust om hun impact te minimaliseren mocht er zich iets voordoen.
Technologiecontroles zijn een belangrijk middel om een diepgewortelde beveiligingscultuur te creëren. Dat geldt ook voor phishing-bewustzijnstraining – die een belangrijke rol speelt bij het verminderen van een van de grootste bedreigingen voor de bedrijfsbeveiliging en die in het algemeen een hoofdbestanddeel moet zijn in cybersecurity awareness training programma’s.
Waarom is phishing zo efficiënt?
Volgens het ESET Threat Report T1 2022 stegen e-mailbedreigingen met 37 % in de eerste vier maanden van 2022 tegenover de laatste vier maanden van 2021. Het aantal geblokkeerde phishing-URL’s schoot bijna even snel omhoog, waarbij oplichters het interest voor de oorlog in Oekraïne gebruikten.
Phishing blijft een van de meest succesvolle manieren voor aanvallers om malware te installeren, inloggegevens te stelen en gebruikers te misleiden om zakelijke geldoverdrachten te doen. Het is een combinatie van spoofing-tactieken waardoor oplichters zich kunnen voordoen als legitieme afzenders, en social engineering-technieken ontworpen om de ontvanger te dwingen tot actie zonder eerst na te denken over de gevolgen ervan.
Deze tactieken omvatten:
· Vervalste afzender-ID’s/domeinen/telefoonnummers, soms met gebruik van typosquatting of geïnternationaliseerde domeinnamen (IDN’s)
· Gekaapte afzenderaccounts, die vrijwel onmogelijk te herkennen zijn als phishing-pogingen
· Online onderzoek (via social media) om gerichte spearphishing-pogingen overtuigender te maken
· Gebruik van officiële logo’s, headers, footers, enz.
· Een gevoel van urgentie of opwinding creëren dat de gebruiker dwingt tot het overhaast nemen van een beslissing
· Verkorte links die de ware bestemming van de afzender verbergen
· Het creëren van legitiem ogende inlogportalen, websites enz.
Volgens het laatste Verizon DBIR report waren vorig jaar vier vectoren verantwoordelijk voor de meeste beveiligingsincidenten: inloggegevens, phishing, misbruik van kwetsbaarheden en botnets. Hiervan zijn de eerste twee menselijke fouten. 25% van de totale inbreuken die in het rapport werden onderzocht, was het gevolg van social engineering-aanvallen. In combinatie met menselijke fouten en misbruik van privileges was het menselijke element verantwoordelijk voor 82% van alle inbreuken. Deze zwakke schakel in de beveiligingsketen aanpakken, zou een prioriteit moeten zijn voor elke CISO.
Waartoe kan phishing leiden?
Phishing-aanvallen zijn de afgelopen twee jaar nog een grotere bedreiging geworden. Afgeleide thuiswerkers met mogelijk niet-gepatchte en onvoldoende beschermde apparaten zijn meedogenloos aangevallen. In april 2020 beweerde Google (Google claimed) dat het elke dag wereldwijd maar liefst 18 miljoen kwaadaardige en phishing-e-mails blokkeerde.
Daar veel van die werknemers terug naar kantoor gaan, is er een risico dat ze blootgesteld worden aan sms- (smishing) en spraakoproep-gebaseerde (vishing)-aanvallen. Gebruikers onderweg zullen wellicht eerder op links klikken en bijlagen openen die ze niet zouden moeten openen, wat kan leiden tot:
· Downloaden van Ransomware
· Gegevensdiefstal/inbreuken
· Cryptojacking malware
· Botnet implementaties
· Accountovernames voor gebruik bij vervolgaanvallen
· Zakelijke e-mailcompromis Business email compromise (BEC) resulterend in geld dat verloren gaat door oplichtingsfacturen/betalingsverzoeken
De financiële en reputatieschade is enorm. Hoewel de gemiddelde kosten van een datalek vandaag meer dan $ 4,2 miljoen bedragen, hebben sommige ransomware-inbreuken nog veel meer gekost.
Trainingstactieken die werken
Uit een recent wereldwijd onderzoek (global study) blijkt dat het komende jaar beveiligingstraining en -bewustzijn voor werknemers de hoogste uitgavenprioriteit zijn voor organisaties. Eens het besluit genomen, welke tactieken zullen het beste resultaat opleveren? Goede training en tooling zorgt voor:
• Uitgebreide dekking via alle phishing-kanalen (e-mail, telefoon, sociale media, enz.)
• Vermakelijke lessen die positieve bekrachtiging gebruiken in plaats van op angst gebaseerde berichten.
• Real-world simulatie-oefeningen die door IT-personeel kunnen worden aangepast om de evolutie in de phishing-campagnes weer te geven.
• Trainingen het hele jaar door in korte hapklare lessen van maximaal 15 minuten.
• Bescherming voor alle werknemers, inclusief uitzendkrachten, contractanten en senior executives. Iedereen met netwerktoegang en een bedrijfsaccount is een potentieel phishing-doelwit.
• Analyse om gedetailleerde feedback te geven over individuen, vervolgens kan die gedeeld en gebruikt worden om sessies in de toekomst te verbeteren.
• Gepersonaliseerde lessen afgestemd op specifieke jobs. Financiële teamleden hebben extra begeleiding nodig bij het omgaan met BEC-aanvallen.
• Gamification, workshops en quizzen. Deze helpen om gebruikers te motiveren en te concurreren met collega’s, in plaats van het gevoel te hebben dat ze worden “onderwezen” door IT-experts. Sommige erg populaire tools gebruiken gamification-technieken (gamification techniques)om de training gebruiksvriendelijker en boeiender te maken.
• Doe-het-zelf phishing-oefeningen. Volgens het Britse National Cyber Security Centre (NCSC), kunnen gebruikers in sommige bedrijven hun eigen phishing-e-mails bouwen, zodat ze “een veel rijker beeld krijgen van de gebruikte technieken“.
Rapportage niet vergeten
Het trainingsprogramma vinden dat voor een organisatie werkt, is essentieel om van werknemers een sterke eerste verdedigingslijn tegen phishing te maken. Er moet ook aandacht zijn voor het creëren van een open cultuur waarbij het melden van phishing-pogingen wordt aangemoedigd. Organisaties moeten een gebruiksvriendelijk, duidelijk proces implementeren voor meldingen en het personeel informeren dat alle meldingen onderzocht worden. Gebruikers moeten zich gesteund voelen, wat een buy-in van de hele organisatie kan vereisen, ook van HR en senior managers.
Phishing-bewustzijnstraining zou slechts een onderdeel moeten zijn van een meerlagige strategie om social engineering-bedreigingen aan te pakken. Het best opgeleide personeel kan misleid worden door geavanceerde oplichting. Beveiligingscontroles zijn essentieel: multi-factor authenticatie, regelmatig geteste incidentresponsplannen en anti-spoofingtechnologieën zoals DMARC https://dmarcadvisor.com/nl/
