Verizon Business: voor een succesvolle cyberverdediging moeten bedrijven de basis op orde hebben

Verizon-2021-DBIR-600

 

Verizon Business presenteerde vorige maand zijn veertiende editie van het Data Breach Investigations Report (DBIR). Infosecurity Magazine sprak met Eric Krol, Security Solution Executive bij Verizon. Deze Nederlander is al sinds 2010 werkzaam bij Verizon Business en heeft meer dan dertig jaar ervaring op het gebied van security.

Eric Krol-400

Om maar meteen met de deur in huis te vallen: welke invloed heeft COVID-19 het afgelopen jaar gehad op de cybersecurity van bedrijven?

"Doordat het merendeel van de werknemers vanuit huis ging werken, moesten in rap tempo veel online-diensten worden geïntroduceerd. De snelheid waarop dit is gebeurd, brengt het risico op fouten met zich mee. Daarnaast proberen criminelen te profiteren van menselijke kwetsbaarheden en de afhankelijkheid van digitale infrastructuren. In het thuiskantoor is men wellicht toch iets minder voorzichtig dan op het bedrijfskantoor."

"Om nog maar te zwijgen over het verschil in beveiligingscontroles.We zien dat veel bedrijven met diverse uitdagingen worden geconfronteerd nu ze veel van hun bedrijfsfuncties naar de cloud hebben verplaatst."

Dus de mens is de zwakke schakel in de cyberverdediging van organisaties?

“Het is duidelijk dat de mens een aantrekkelijk doelwit is voor criminelen. Niet voor niets speelde bij 85% van de datalekken menselijk handelen een rol. Vooral inloggegevens zijn interessant voor cybercriminelen. En dan niet als doel op zich, maar als een handige manier om een organisatie te infiltreren. Aanvallers die in staat zijn een geloofwaardige phishing-e-mail op te stellen, lukt het steeds vaker om inloggegevens te stelen. Het percentage phishing-aanvallen is dan ook met 11% toegenomen. Uit simulaties blijkt dat de click-rate vrij laag is, maar dat die door extra social engineering snel kan stijgen. Een voorbeeld hiervan is dat cybercriminelen niet alleen een phishing-mail sturen, maar dat ze het slachtoffer vervolgens ook bellen om te vragen of ze de schadelijke bijlage in die mail kunnen openen.”

En ransomware dan? Onlangs werd de Colonial Pipeline in Amerika nog platgelegd en de aanvallen op Nederlandse universiteiten liggen maar al te vers in het geheugen.

“Ransomware is ook sterk toegenomen en blijkt nog steeds een lucratief verdienmodel. Bij één op de tien datalekken is er sprake van ransomware, dit is twee keer zo vaak als afgelopen jaar. We zien ook dat ransomware zich heeft aangepast. Nieuwe ransomware-varianten stelen eerst de data en encrypten die daarna. Vroeger werd alleen de data versleuteld. Daarom is ransomware twee keer zo succesvol. Slachtoffers moeten namelijk zowel betalen om de data terug te krijgen als om de sleutel tot de data te krijgen. De aanval op de pijplijn is hier een goed voorbeeld van. Op basis van de data denk ik niet dat wij het hier in Nederland veel beter op orde hebben. Er moet hier meer aandacht voor komen en er zouden meer assessments en simulaties moeten plaatsvinden. We moeten wel een onderscheid maken tussen opportunistische hackers, zogeheten script kiddies, en staatshackers. Het is vooral die laatste groep die zich richt op kritische infrastructuur.”

Hoe kunnen organisaties zich hier het beste tegen verdedigen?

“Ze moeten zorgen dat ze de basis op orde hebben. Cybercriminelen zijn nog altijd uit op het ‘laaghangende fruit’. Ze hoeven niet eens een zeer complexe aanval uit te voeren om succesvol te zijn. Je kan de slagingskans een stuk kleiner maken door simpele controles te implementeren. Zorg in ieder geval voor multifactor-authenticatie. Daarnaast moeten gebruikers alleen toegang hebben tot informatie die ze echt nodig hebben. Bedrijven moeten het niet alleen technisch goed regelen, maar er ook met monitoring op toezien dat alles goed georganiseerd is. Bij het recente datalek van de GGD moest er bijvoorbeeld snel worden opgeschaald. Daardoor hadden mensen toegang tot informatie die niet voor hen bestemd was.”

Tot slot, zie je nog verschillen tussen verschillende soorten bedrijven en sectoren?

“Zeker, er zijn grote verschillen tussen de verschillende branches. In de financiële en verzekeringssector bijvoorbeeld had 83 procent van de gelekte data betrekking op persoonlijke data. In de professionele, wetenschappelijke en technische dienstverlening was dit slechts 49 procent. En de gezondheidszorg wordt bijvoorbeeld traditioneel geteisterd door persoonlijke fouten, zoals het versturen van documenten naar de verkeerde persoon. We zien ook dat de grotere bedrijven hun verdediging vaak beter geregeld hebben dan kleine bedrijven. Dit is niet gek, omdat zij hier vaak meer budget en geschikt personeel voor hebben. Ik raad daarom alle organisaties aan zich te richten op de dreigingen die voor hen het meest relevant zijn.”

Lees ook
Proofpoint en CyberArk breiden partnerschap uit

Proofpoint en CyberArk breiden partnerschap uit

Proofpoint Inc., en CyberArk sluiten de handen ineen om organisaties wereldwijd te helpen bij het alom beveiligen van identiteiten. De uitgebreide samenwerking omvat, ter ondersteuning van dit gezamenlijke doel, de lancering van nieuwe integraties en oplossingen voor het aanpakken van kritieke cyberuitdagingen.

Verdachte spionagecampagne levert ‘Voldemort’ malware af

Verdachte spionagecampagne levert ‘Voldemort’ malware af

Eerder deze maand identificeerden de onderzoekers van het cybersecuritybedrijf een ongebruikelijke campagne die een nieuwe aanvalsketen gebruikte. De inzichten vanuit het onderzoek biedt meer informatie over een ongebruikelijke campagne die gebruik maakt van een nieuwe aanvalsketen voor het afleveren van aangepaste malware. De dreigingsactor noemt1

KnowBe4 benoemt 6 augustus tot Nationale Social Engineering Dag

KnowBe4 benoemt 6 augustus tot Nationale Social Engineering Dag

KnowBe4 neemt het voortouw in het vergroten van cybersecurity bewustzijn door National Social Engineering Day op de Nationale Dag Kalender te zetten