Beheer

Security

Elimineer de zwakste plek in de beveiliging: de mens

8 maart 2013

De medewerker vormt het grootste risico binnen de beveiliging van IT-infrastructuren. Hij verliest laptops, USB-sticks, tablets en smartphones, alle vaak rijkelijk voorzien van bedrijfsdata. Hij klikt op links die hij aangeboden krijgt van computercriminelen en haalt zo besmettingen binnen het bedrijfsnetwerk. Hij gebruikt zwakke wachtwoorden, of laat ze nog altijd op papiertjes slingeren, of slaat ze op in zijn smartphone die vervolgens gehackt, gestolen of verloren wordt. Een klein onderzoekje van iStorage onder 50 bezoekers van IP Expo 2012 maakte het al duidelijk. 90 procent heeft vaak bedrijfsdata bij zich, 40 procent is die wel eens verloren en slechts 40 procent heeft die data versleuteld bij zich. En dat waren dan ook nog eens IT’ers, waarvan je zou verwachten dat ze wat bewuster met dergelijke data om zouden gaan.

Ook Steve Jobs trapte erin

Weer een ander onderzoek wijst uit dat 60 procent van de medewerkers in een gemiddelde phishingtruc trapt. Worden de trucs geavanceerder, dan is niemand er tegen bestand. Zelfs Steve Jobs zou er eens in getrapt zijn, beweerde ooit een hacker die de bestelgegevens van Amazon van de Apple-topman te koop aanbood.

Maar wat valt er aan te doen? “Training”, zegt Tim Oderemi van iStorage. “Zorg dat je medewerkers goed getraind zijn”. Het Amerikaanse Phisme.com heeft daar zelfs een cloudoplossing voor: een trainingsprogramma dat via SaaS gedistribueerd wordt. De training bestaat uit namaak-phisingaanvallen: mock phishing. En dat desgewenst in oplopende gradaties van zwaarte en waar nodig geheel aangepast aan de situatie van de organisatie. Er worden gerichte phishingaanvallen uitgezet met links en attachments waarop geklikt kan worden en waarin om wachtwoorden worden gevraagd. Vervolgens worden de reacties van de aangevallen medewerkers in een centrale repository verzameld, waaruit rapportages gemaakt kunnen worden.

Trainen blijft devies

Medewerkers die erin getrapt zijn, worden zo met de neus op de feiten gedrukt. “Dat helpt echt’, zegt Jim Hansen van Phishme.com. “Mensen schrikken als ze zien dat ze er zo makkelijk intrappen.” De gebruikers leren een phishing e-mail sneller herkennen, zullen nu ook naar de onderliggende url kijken en niet alleen naar de tekst die ze voor hun neus krijgen zodat ze zien waar het bericht werkelijk vandaan komt en of het e-mailadres van de afzender niet vervalst is.

Je kunt je risico’s wel op basis van technologie verkleinen door alles bij de gateway te screenen, met gateway e-mailfiltering, contentfiltering, host level filtering en host level execution. Maar dat is niet genoeg, meent Hansen. Er slipt altijd iets tussendoor, en als een gebruiker daar vervolgens voor valt, is de aanvaller alsnog binnen. Dus trainen blijft het devies, vindt hij. “Eigenlijk zou dat elke maand moeten. Maar dan moet je wel het management achter je hebben staan. En als je hen ook aan die namaak-phishingaanvallen bloot stelt, moet je dat wel goed voorbereid hebben, want het ligt bij hen extra gevoelig als blijkt dat ze erin zijn getrapt.” Een belangrijke tip: complimenteer hen die er niet zijn ingetrapt.

Opvoeding is beter

David Emm van Kaspersky Lab vindt juist dat je je medewerkers niet moet trainen maar opvoeden. “Je moet ze niet gewoon maar regels laten opvolgen. Je moet ze opvoeden: laat ze beseffen dat het hetzelfde is als je huis op orde houden. Dat moet ook elke week gebeuren en is nooit klaar. Je moet steeds weer stofzuigen.” Het werkt volgens Emm beter als een gebruiker zelf het besef ontwikkelt dat bijvoorbeeld een bank hem nooit via een mailtje om zijn inloggegevens zal vragen. “Het probleem zit in het feit dat technici van de IT-afdeling hier te maken hebben met mensen. Die zijn niet creatief genoeg om aansluiting te krijgen met hen. Denk daarom aan wedstrijden als vorm van educatie. Wat ook goed kan werken is een appel doen op het eigenbelang. Door iemand te vertellen hoe hij thuis zo veilig mogelijk werkt, zal die sneller beseffen dat zo’n manier van werken ook handig is op het werk.”

Niet de mens maar de data

Jason Hart van Safenet werkte jarenlang als ethical hacker, gespecialiseerd in wachtwoorden. “Ik roep al jaren dat wachtwoorden het grootste probleem zijn. Die heb je zo achterhaald. Even zoeken op sociale netwerken, die gegevens combineren en je hebt de meeste wachtwoorden zo te pakken. Botnets zijn allemaal op zoek naar wachtwoorden en vinden die ook zo. Want de meeste mensen werken met zwakke of makkelijk te achterhalen wachtwoorden. Bescherm gewoon de data, bijvoorbeeld door encryptie. Dan hoef je je geen zorgen te maken om de mens die de eeuwige zwakke plek in je verdediging is.”

Eigen spullen

Oderemi van iStorage valt hem bij: “Ja, je moet je medewerkers goed trainen op veilig gedrag. Maar essentieel is dat je altijd je data én alle mobiele apparaten versleutelt.” Want met Bring Your Own Device worden de risico’s ook weer groter op onveilig gedrag van medewerkers, maar dit keer met hun eigen smartphones en tablets. Ze kunnen daar dan ook het bedrijfsnetwerk op. Dat vereist een goede beveiliging van die eigen apparaten, maar volgens Ian Evans, director innovations van beveiliger Airwatch, is het ook van groot belang dat die gebruikers hun verantwoordelijkheden kennen om veilig met die apparaten te werken. Dat kan volgens hem met trainingen en opvoeding verbeterd worden. Maar eigenlijk is hij er van overtuigd dat het welbegrepen eigenbelang hierbij een grote opsteker zal zijn voor een veilige omgang met de apparatuur. “Het zijn hun eigen telefoons en tablets. Die willen ze niet verliezen. Daar letten ze dus vanzelf wel beter op dan op die van de baas.”

Facebook stelt ­medewerkers bloot aan realistische ­inbraakoefening

Oefeningen met aanvallen op de IT-omgeving worden vooral in grotere organisaties steeds vaker gedaan. De simulaties van aanvallen kunnen zeer realistisch worden uitgevoerd. Daarbij kunnen bijvoorbeeld echte zero day-exploits worden ingezet en backdoor code die speciaal voor dit doel is ontwikkeld. Het besef dat de schade van een zware hack zeer groot kan zijn, heeft ertoe geleid dat echt grote organisaties het niet langer een probleem vinden om grote aantallen medewerkers vele uren in de waan te laten dat ze zijn aangevallen, ook al kost dat vele uren aan productiviteit.

Zo voerde Facebook onlangs een grote simulatie van een inbraak op zijn netwerk uit waarbij zelfs de FBI een handje hielp. Niets vermoedende medewerkers van Facebook werden gealarmeerd door een mailtje van een FBI-agent die wel vaker met Facebook dreigingen bespreekt. Er zou een PHP-script gevonden zijn waarmee onverlaten toegang konden krijgen tot het front end-systeem van Facebook. Gesuggereerd werd ook dat de aanval uit China kwam. Het systeem van een engineer werd aangevallen door een zero day exploit te misbruiken, dat overigens onmiddellijk gemeld werd bij de softwareleverancier, want het lek was wel degelijk echt en nog niet publiekelijk bekend. Daarmee konden hackers toegang krijgen tot de productieomgeving waar werd ontwikkeld. De PHP-code op de site van Facebook bleek een backdoor te hebben, die overigens snel weer werd afgesloten na de oefening.

Facebook liet zich voor deze oefening inspireren door ‘operatie Aurora’, een hackcampagne waarbij onder meer Google, Adobe en diverse farmaceutische bedrijven werden aangevallen door tot dan toe onbekende lekken in Internet Explorer te misbruiken.

Het doel was niet zo zeer om een echte aanval tot in detail te simuleren, maar om zijn medewerkers te leren samenwerken in antwoord op een aanval. Zodat ze bij een echte aanval niet in paniek raken, ruzie maken en elkaar de schuld geven, maar doelmatig weten op te treden zodat de schade zo beperkt mogelijk kan blijven.

 
Lees het hele artikel
Je kunt dit artikel lezen nadat je bent ingelogd. Ben je nieuw bij AG Connect, registreer je dan gratis!

Registreren

  • Direct toegang tot AGConnect.nl
  • Dagelijks een AGConnect nieuwsbrief
  • 30 dagen onbeperkte toegang tot AGConnect.nl

Ben je abonnee, maar heb je nog geen account? Laat de klantenservice je terugbellen!