Het is een feit dat organisaties meer dan ooit uitgeven aan cybersecurity. Het is ook een feit dat zij daar steeds minder resultaat van zien. Aanvallen blijven maar doorgaan. Gevoelige informatie blijft in verkeerde handen vallen. En datalekken blijven de krantenkoppen halen.
Het is tijd om je fundamenteel te herbezinnen op je cybersecurity-aanpak. Traditionele cybersecurity-modellen werden gebouwd voor een eerder tijdperk. Toen heerste het idee dat je een hoog hek om je netwerk moest zetten en dreigingen moest aanpakken als ze erdoorheen waren gebroken. Die aanpak werkte toen al nauwelijks, maar is nu volstrekt hopeloos.
Dat komt omdat mensen, niet de technologie, het grootste doelwit van de aanvallers zijn. En het grootste risico voor jouw organisatie. Deze verandering vraagt om een nieuwe mentaliteit en een nieuwe strategie, die zich meer richt op de bescherming van mensen dan op de netwerkrand (perimeter).
Bescherm je organisatie door je mensen te beschermen
Er is een eenvoudige reden waarom de perimeterafweer niet werkt. In de huidige mobiele economie, waarin de cloud een grote rol speelt, is er niet langer een perimeter te verdedigen. Er wordt gewerkt met apparaten die organisaties niet officieel ondersteunen, met infrastructuur die ze niet beheren en via kanalen die ze niet bezitten. Gartner zegt het als volgt: “De it-afdeling heeft gewoon geen controle meer over de grenzen van de informatie en technologie van een organisatie zoals vroeger.”
Mensen zijn altijd het beste doelwit
Zakelijke processen zijn verschoven naar de cloud. Vanzelfsprekend geldt dat ook voor de cyberboeven. De cloud-infrastructuur op zich mag dan wel zeer veilig zijn, de mensen die er gebruik van maken, zijn vaak kwetsbaar.
Dat is de reden waarom de aanvallen van vandaag de dag de menselijke natuur uitbuiten in plaats van technische kwetsbaarheden. Meer dan 99% van de huidige cyberaanvallen slagen, als zij slagen, door menselijke fouten. Deze aanvallen zijn afhankelijk van een persoon die een onveilig document opent, op een onveilige link klikt, zijn of haar referenties in typt of zelfs direct de commando’s van de aanvaller uitvoert (zoals geld overmaken of gevoelige bestanden versturen).
Phishing gericht op inloggegevens, dat gebruikers ertoe verleidt om gegevens in te voeren in een vals inlog-formulier, is een van de gevaarlijkste voorbeelden. In het cloud-tijdperk zijn deze gegevens de sleutel tot alles – e-mail, gevoelige gegevens, privé-afspraken en vertrouwde relaties. In het derde kwartaal van 2018, bijvoorbeeld, verviervoudigden de pogingen tot phishing van zakelijke inlog-gegevens ten opzichte van hetzelfde kwartaal een jaar eerder volgens het Quarterly Threat Report Q3 2018 van het Proofpoint. Daarnaast steeg de e-mailfraude met 77% over hetzelfde tijdsbestek.
Wie is het meest kwetsbaar
Mensen zijn uniek en hun waarde voor cyberaanvallers en risico’s voor werkgevers zijn dat ook. Ze hebben duidelijke digitale gewoonten en zwakke plekken. Aanvallers mikken op verschillende manieren en met verschillende intensiteit op hen. Elke werknemer heeft zijn eigen professionele contacten en toegang tot bepaalde gegevens op het netwerk en in de cloud. Samen vormen deze factoren het algemene risico van de gebruiker in wat we de VAP-index (“vulnerability, attacks and privilege” oftewel “kwetsbaarheid, aanvallen en privileges”) noemen.
Kwetsbaarheid: hoe jouw collega’s werken
De kwetsbaarheid van gebruikers begint bij hun digitale gedrag – hoe ze werken en waar ze op klikken. Sommige medewerkers kunnen op afstand werken of via hun privé-apparaten toegang hebben tot zakelijke e-mails. Ze kunnen gebruikmaken van cloud-opslag van bestanden en add-ons van derden op hun cloud apps installeren. Of ze kunnen bijzonder ontvankelijk zijn voor de phishing-tactieken van aanvallers.
Het beoordelen van de kwetsbaarheid die het gevolg is van de manier waarop mensen werken, is meestal eenvoudig. Maar het is niet altijd gemakkelijk, of überhaupt mogelijk, met traditionele cyber-verdediging. Het begint ermee te achterhalen welke tools, platforms en apps ze gebruiken.
Het tweede deel van het meten van de kwetsbaarheid is het uitzoeken hoe gevoelig jouw gebruikers zijn voor phishing en andere cyberaanvallen. Je zou aanvallers kunnen binnenlaten en kijken wie een malware-bestand opent of geld overmaakt aan een aanvaller. Maar dit is om voor de hand liggende redenen geen ideale manier om dit de achterhalen. Phishing-simulaties zijn dat wel.
Gesimuleerde aanvallen kunnen je helpen te identificeren wie gevoelig is voor welke tactieken. Hoe beter de simulaties de realiteit nabootsen hoe beter. Iemand die een gesimuleerde phishing-e-mail leest en de bijlage opent, is misschien wel het meest kwetsbaar. Een gebruiker die de bijlage negeert, zou een iets lagere rangorde hebben. En gebruikers die de e-mail aan het beveiligingsteam of de e-mailbeheerder melden, kun je als het minst kwetsbaar zien.
Niet alle cyber-aanvallen zijn gelijk geschapen
Hoewel elke aanval potentieel schadelijk is, zijn sommige aanvallen gevaarlijker, doelgerichter of geraffineerder dan andere. Doodgewone, alledaagse bedreigingen zijn talrijker dan andere soorten bedreigingen. Maar ze zijn meestal minder verontrustend omdat ze goed begrepen en gemakkelijker geblokkeerd worden. Andere bedreigingen kunnen zich voordoen in slechts een handvol aanvallen. Maar ze kunnen een ernstiger gevaar vormen vanwege hun raffinement of de mensen waarop ze gericht zijn.
Uitgebreide informatie over bedreigingen en tijdig inzicht zijn de sleutel om dit aspect van het gebruikersrisico te kwantificeren. De factoren die het zwaarst moeten wegen in de beoordeling van elke gebruiker zijn: het raffinement van de cybercrimineel, de verspreiding en focus van aanvallen, het aanvalstype en het totale aanvalsvolume.
Je dient deze factoren ook af te wegen in de context van de afdelingen, groepen of divisies van de individuele gebruiker. Sommige gebruikers lijken bijvoorbeeld geen risico te lopen op basis van het volume of het type kwaadaardige e-mails dat hen rechtstreeks wordt toegestuurd. Maar ze kunnen een hoger risico vormen omdat ze in een sterk aangevallen afdeling werken – en daarom zijn ze in de toekomst waarschijnlijk een belangrijk doelwit.
Privileges
De parameter ‘privileges’ meet alle potentieel waardevolle zaken waartoe mensen toegang hebben, zoals gegevens, financiële autoriteit, belangrijke relaties en meer. Het meten van dit aspect van risico’s is essentieel omdat het de potentiële opbrengst voor aanvallers weergeeft – en de schade voor organisaties als deze gecompromitteerd worden.
Gebruikers met toegang tot kritieke systemen of intellectueel eigendom, bijvoorbeeld, kunnen extra bescherming nodig hebben. Zelfs als ze op zich niet bijzonder kwetsbaar zijn of nog niet op de radar van aanvallers staan. De positie van gebruikers in het organogram is natuurlijk een factor in het beoordelen van privileges, maar het zou niet de enige moeten zijn.
Voor aanvallers kan een waardevol doelwit iedereen zijn die als middel voor hun doel dient. Daarom zijn jouw leidinggevenden en andere VIP’s misschien niet de grootste doelwitten in je organisatie. Uit ons onderzoek blijkt dat individuele medewerkers en managers op lager niveau voor meer dan twee derde deel uitmaken van de gerichte bedreigingen.
Gebruikersrisico’s verzachten: een blauwdruk
Bescherming tegen alle factoren die een rol spelen bij de risico’s voor gebruikers vereist een meervoudige aanpak. Dit betekent dat de kwetsbaarheid van jouw gebruikers moet worden verminderd door hen bewuster te maken van het risico. Dit doe je met effectieve, praktijkgerichte cybersecurity-bewustzijnstrainingen op basis van actieve, realistische aanvalstechnieken. Het betekent ook dat het hele spectrum van bedreigingen moet worden gestopt – idealiter voordat ze de inbox bereiken. En het betekent dat je de netwerkprivileges van je medewerkers moet monitoren en beheren om ongeoorloofde toegang tot gevoelige informatie te voorkomen.
De cyberaanvallen van vandaag de dag zijn onverbiddelijk, komen in vele vormen en zijn altijd aan het veranderen. Het is van cruciaal belang dat organisaties een echt mensgerichte benadering van cyberbeveiliging hanteren om hun aanvalsoppervlak te verkleinen. Op de moderne cloud-gebaseerde, mobiele, digitaal getransformeerde werkplek werken de verouderde one-size-fits-all cyber-beveiligingen uit het verleden gewoon niet meer. Stel de mens dus centraal!
Jim Cox, Area Vice President Benelux Proofpoint
