Het is niet meer de vraag of, maar wanneer je met een hack te maken krijgt. Niet zo gek dus dat het Verbond het webinar Hoe makkelijk is een verzekeraar te hacken? organiseerde. Jordi van den Breekel (KPMG) en Ben Brücker (Secura) gaven de nodige tips en trucs weg.
1. De basis
“Het is een enorme open deur, maar begin gewoon bij het begin”, vertelt Jordi. “Zorg dat de basis op orde is en je het aanvallers moeilijk kan maken. Over aanvallers gesproken: welke aanvallers zitten er in jouw dreigingslandschap? Waar komen ze vandaan? Welke technieken en methodes gebruiken ze?”
“De basis op orde betekent ook dat je je bewust moet zijn van de informatie die je in huis hebt”, vult Ben aan. “Wat zijn jouw kroonjuwelen?”
2. De juiste mix
Het belang van preventie is groot, maar de kans dat een Red Team (of een hacker) binnenkomt, is nog groter. “Wij komen (bijna) altijd en overal binnen”, aldus Ben. Zijn advies? “Stel de juiste mix van beveiligingsmaatregelen samen. Denk eens een stap verder. Wat nou als iemand binnen is? Wat dan? Zijn onze crisisoefeningen op orde? Hebben we de juiste detectiemaatregelen genomen? En vergeet de buitenwacht niet. Recruiters zijn bijvoorbeeld een gewild doelwit om binnen te komen. Wij sturen wel eens een cv op. Als deze wordt geopend, kunnen we via een achterdeur de organisatie binnenkomen.”
Ben Brücker:"Stel de juiste mix van beveiligingsmaatregelen samen. Wat nou als iemand binnen is? Wat dan?"
3. Application Whitelisting
Jordi: “Er zijn veel hulmiddelen beschikbaar. De installatie van Whitelisting is een goede maatregel, omdat het daarmee moeilijker wordt om op een werkplek een ongecontroleerde code uit te voeren. Je kunt met andere woorden alleen een applicatie uitvoeren als die van te voren is goedgekeurd door het IT-team.”
4. Eén paard
“Eens”, reageert Ben. “Datzelfde geldt voor het gebruik van multifactor authentication. Ook die maakt het leven van een hacker moeilijker, omdat hij op zoek zal moeten naar een andere methode om binnen te komen. Maar, hoe goed applicaties ook zijn, wed nooit op één paard. Dat is niet genoeg. Een hacker heeft honderden methodes tot zijn beschikking.”
5. De tijd
“En, niet onbelangrijk, een hacker heeft de tijd. Net als wij bij Red Team(ing)”, benadrukt Jordi. “Het lukt ons altijd om binnen te komen en dat heeft er vooral mee te maken dat wij maar één medewerker nodig hebben die in de phishing mail trapt. Soms hebben we dagen of zelfs weken nodig, maar als je ons genoeg tijd geeft, vinden we die ene medewerker. Een standaard aanval duurt minimaal twaalf weken en wat voor ons geldt, geldt nog meer voor een hacker. Hij heeft geen deadline. Sterker nog, hij heeft maanden de tijd om een aanval te doen.”
Jordi van den Breekel: "Een hacker heeft geen deadline. Hij heeft maanden de tijd om een aanval te doen"
6. Chat GPT
Ben: “De techniek staat voor niets. Ontwikkelingen gaan snel. Chat GPT kan mooie teksten maken, maar Chat GPT kan ook een hacker helpen. Bij het maken van die ene specifieke phishing mail. Of bij het opstellen van een phishing website. Een kwestie van scherp blijven dus!”
7. Vreemde mensen
“Wees ook alert op vreemde mensen in je gebouw. Met Red Team(ing) bedienen we ons van verschillende methodes. Een daarvan is om gewoon in te breken, bijvoorbeeld door zogenaamd te komen solliciteren en een afdeling op te lopen. We laten, na het omstoten van een kop koffie, een apparaatje achter. Het is heel verhelderend om na de test de foto’s te laten zien van alle kamers waar we zijn geweest en welke documenten we allemaal te pakken hebben gekregen.”
Ben Brücker: "Heel verhelderend om na een test te laten zien in welke kamers we allemaal zijn geweest"
8. Bewustzijn vergroten
Ben vertelt het bijna achteloos. Nog steeds stinkt zo’n dertig procent van de mensen in phishing. “We moeten dus meer doen om het gedrag van mensen te beïnvloeden. Hoe? Dat kan soms heel simpel zijn. Wat kunnen medewerkers doen als ze phishing vermoeden? Weten ze bij wie ze terechtkunnen? Is dat laagdrempelig? En weten ze wat ze moeten doen als ze een verdacht persoon signaleren? Het zijn kleine dingen, maar maak het mensen makkelijk om zich veilig te gedragen.”
9. Crisis
“De mens is belangrijk en zeker niet altijd de zwakste schakel in de verdediging”, vindt Jordi. “Toch doen wij vaak aan social engineering, bijvoorbeeld in een workshop voor een klein gezelschap. Daarna laten we dan aan de hele organisatie zien hoe en wat er is gebeurd. Veel mensen denken dat het hun nooit gebeurt en ze niet in een phishing mail trappen, totdat je laat zien hoe het gebeurt.”
Ben: “Daarom moet je niet alleen de technische en de detectiemaatregelen testen, maar ook een echte crisissituatie testen. Alleen dan is het MT voorbereid. Als de dag ooit komt en je wordt slachtoffer van een cyberaanval, heb je ten minste één keer geoefend. In een veilige omgeving.”
Jordi van den Breekel: "Veel mensen denken dat zij nooit in een phishing mail trappen, totdat ze zien hoe het gebeurt"
10. Red Teaming
Iets meer dan vijftig procent van de deelnemers aan het webinar geeft aan zelf geen ervaring te hebben met Red Team(ing). Bijna een kwart weet dat de organisatie er ook geen ervaring mee heeft. Terwijl zo’n driekwart het “wel mogelijk” of “waarschijnlijk” acht dat hackers kunnen binnenkomen. Zowel Ben als Jordi benadrukt dat een Red Team(ing) een realistische simulatie is van een cyberaanval. Doel is om de detectie-, respons- en mitigatiecapaciteiten van de verdedigers te testen. “Red Team(ing) is om te leren. Je kunt niet slagen of zakken voor een test.”
Meer lezen over testen? Bekijk dan onze longread, waarin Rob Wassink (DNB) onder meer dieper ingaat op de TIBER-testen van DNB.
Was dit nuttig?