Verizon Business: voor een succesvolle cyberverdediging moeten bedrijven de basis op orde hebben

Verizon-2021-DBIR-600

 

Verizon Business presenteerde vorige maand zijn veertiende editie van het Data Breach Investigations Report (DBIR). Infosecurity Magazine sprak met Eric Krol, Security Solution Executive bij Verizon. Deze Nederlander is al sinds 2010 werkzaam bij Verizon Business en heeft meer dan dertig jaar ervaring op het gebied van security.

Eric Krol-400

Om maar meteen met de deur in huis te vallen: welke invloed heeft COVID-19 het afgelopen jaar gehad op de cybersecurity van bedrijven?

"Doordat het merendeel van de werknemers vanuit huis ging werken, moesten in rap tempo veel online-diensten worden geïntroduceerd. De snelheid waarop dit is gebeurd, brengt het risico op fouten met zich mee. Daarnaast proberen criminelen te profiteren van menselijke kwetsbaarheden en de afhankelijkheid van digitale infrastructuren. In het thuiskantoor is men wellicht toch iets minder voorzichtig dan op het bedrijfskantoor."

"Om nog maar te zwijgen over het verschil in beveiligingscontroles.We zien dat veel bedrijven met diverse uitdagingen worden geconfronteerd nu ze veel van hun bedrijfsfuncties naar de cloud hebben verplaatst."

Dus de mens is de zwakke schakel in de cyberverdediging van organisaties?

“Het is duidelijk dat de mens een aantrekkelijk doelwit is voor criminelen. Niet voor niets speelde bij 85% van de datalekken menselijk handelen een rol. Vooral inloggegevens zijn interessant voor cybercriminelen. En dan niet als doel op zich, maar als een handige manier om een organisatie te infiltreren. Aanvallers die in staat zijn een geloofwaardige phishing-e-mail op te stellen, lukt het steeds vaker om inloggegevens te stelen. Het percentage phishing-aanvallen is dan ook met 11% toegenomen. Uit simulaties blijkt dat de click-rate vrij laag is, maar dat die door extra social engineering snel kan stijgen. Een voorbeeld hiervan is dat cybercriminelen niet alleen een phishing-mail sturen, maar dat ze het slachtoffer vervolgens ook bellen om te vragen of ze de schadelijke bijlage in die mail kunnen openen.”

En ransomware dan? Onlangs werd de Colonial Pipeline in Amerika nog platgelegd en de aanvallen op Nederlandse universiteiten liggen maar al te vers in het geheugen.

“Ransomware is ook sterk toegenomen en blijkt nog steeds een lucratief verdienmodel. Bij één op de tien datalekken is er sprake van ransomware, dit is twee keer zo vaak als afgelopen jaar. We zien ook dat ransomware zich heeft aangepast. Nieuwe ransomware-varianten stelen eerst de data en encrypten die daarna. Vroeger werd alleen de data versleuteld. Daarom is ransomware twee keer zo succesvol. Slachtoffers moeten namelijk zowel betalen om de data terug te krijgen als om de sleutel tot de data te krijgen. De aanval op de pijplijn is hier een goed voorbeeld van. Op basis van de data denk ik niet dat wij het hier in Nederland veel beter op orde hebben. Er moet hier meer aandacht voor komen en er zouden meer assessments en simulaties moeten plaatsvinden. We moeten wel een onderscheid maken tussen opportunistische hackers, zogeheten script kiddies, en staatshackers. Het is vooral die laatste groep die zich richt op kritische infrastructuur.”

Hoe kunnen organisaties zich hier het beste tegen verdedigen?

“Ze moeten zorgen dat ze de basis op orde hebben. Cybercriminelen zijn nog altijd uit op het ‘laaghangende fruit’. Ze hoeven niet eens een zeer complexe aanval uit te voeren om succesvol te zijn. Je kan de slagingskans een stuk kleiner maken door simpele controles te implementeren. Zorg in ieder geval voor multifactor-authenticatie. Daarnaast moeten gebruikers alleen toegang hebben tot informatie die ze echt nodig hebben. Bedrijven moeten het niet alleen technisch goed regelen, maar er ook met monitoring op toezien dat alles goed georganiseerd is. Bij het recente datalek van de GGD moest er bijvoorbeeld snel worden opgeschaald. Daardoor hadden mensen toegang tot informatie die niet voor hen bestemd was.”

Tot slot, zie je nog verschillen tussen verschillende soorten bedrijven en sectoren?

“Zeker, er zijn grote verschillen tussen de verschillende branches. In de financiële en verzekeringssector bijvoorbeeld had 83 procent van de gelekte data betrekking op persoonlijke data. In de professionele, wetenschappelijke en technische dienstverlening was dit slechts 49 procent. En de gezondheidszorg wordt bijvoorbeeld traditioneel geteisterd door persoonlijke fouten, zoals het versturen van documenten naar de verkeerde persoon. We zien ook dat de grotere bedrijven hun verdediging vaak beter geregeld hebben dan kleine bedrijven. Dit is niet gek, omdat zij hier vaak meer budget en geschikt personeel voor hebben. Ik raad daarom alle organisaties aan zich te richten op de dreigingen die voor hen het meest relevant zijn.”

Lees ook
Kaspersky ontdekt phishingtechnieken die tweefactorauthenticatie omzeilen

Kaspersky ontdekt phishingtechnieken die tweefactorauthenticatie omzeilen

Kaspersky heeft een geavanceerde ontwikkeling van phishingtechnieken ontdekt die cybercriminelen gebruiken om twee-factor authenticatie (2FA) te omzeilen. Aanvallers hebben methoden ontwikkeld waarbij phishing wordt gecombineerd met geautomatiseerde OTP-bots om zo gebruikers te misleiden en ongeautoriseerde toegang tot hun accounts te krijgen.

"Steeds meer medewerkers ontvangen misleidende instructies voor kledingvoorschriften"

"Steeds meer medewerkers ontvangen misleidende instructies voor kledingvoorschriften"

Onderzoek van KnowBe4, aanbieder van ’s werelds grootste platform voor security awareness en gesimuleerde phishing, laat echter zien dat e-mails over kledingvoorschriften op de werkvloer inmiddels zijn uitgegroeid tot één van de meest voorkomende en verraderlijke onderwerpen in phishing-aanvallen.

ESET introduceert AI Advisor-module

ESET introduceert AI Advisor-module

Securityanalisten van alle vaardigheidsniveaus profiteren van ESET's AI Advisor, waarmee ze kunnen werken met interactieve risico-identificatie-, analyse- en responsmogelijkheden die worden aangeboden in een gemakkelijk te begrijpen overzicht.