Interview: ‘Cybersecurity valt én staat met de mens’
Je staat aan het voorfront van het gevecht tegen cybercrime. Wat is de belangrijkste, effectiefste trend die in acht genomen kan worden bij het tegengaan van cybergevaren?
In het kort: de menselijke factor. De cybercriminelen vallen vandaag de dag bijna nooit meer rechtstreeks systemen of infrastructuren aan, maar focussen zich op mensen. Wij brengen de trends in het cyberlandschap regelmatig in kaart en uit ons Human Factor-rapport - begin september 2019 uitgebracht - blijkt dat meer dan 99 procent van de cyberaanvallen menselijk handelen vereist om te slagen. Feitelijk houden vele IT security-specialisten zich ermee bezig systemen en infrastructuren te beveiligen en gaten te dichten terwijl al hun moeite teniet wordt gedaan door menselijke fouten van hun collega’s. Eén collega die niet oplet is voldoende om bedrijfskritieke informatie te verliezen en grootschalige financiële schade te leiden.
Hoe lukt het cybercriminelen een voet tussen de deur te krijgen?
E-mail is het favoriete kanaal. Het gaat daarbij meestal niet eens om e-mails met kwaadaardige (of andere) bijlagen. De kwaadaardige inhoud is meestal het verzoek van de crimineel in de e-mail zelf. Omdat er geen kwaadaardige URL of bijlage is om te analyseren of in een sandbox te stoppen, detecteren en stoppen antivirus-technologieën deze aanvallen niet. E-mail is het favoriete kanaal, social engineering de favoriete werkwijze.
Hoe werkt social engineering precies?
In essentie gaat het er bij social engineering om een mens een emotie te laten voelen om een bepaalde actie te ondernemen. Cybercriminelen proberen angst of blijdschap te creëren bij de ontvanger van een e-mail om hem of haar tot een actie te verleiden die de cybercrimineel helpt zijn doel te bereiken. Als je een mens ervan kan overtuigen een bepaalde actie te nemen, bijvoorbeeld zijn toegangsgegevens in te voeren op een foute website, dan maakt dat jouw taak als cybercrimineel duidelijk eenvoudiger. Je hoeft je dan minder zorgen te maken over de technologie die een organisatie toepast om zijn systemen te beschermen.
Kan je een concreet voorbeeld geven?
Een geweldig voorbeeld is iets dat wij ‘Brainfood’ noemen. Op de lijst van de effectiefste phishing-lokmiddelen in 2018 staat Brainfood bovenaan, een fraudecampagne die dieet- en hersenverbeterings-advies inzet om creditcardgegevens te stelen. Brainfood e-mailcampagnes bereikten meer dan 1,6 klikken per bericht, meer dan twee keer zoveel klikken als het lokmiddel dat op de tweede plaats eindigde. In wezen gaat het om een drug die een soort supergenie van je moet maken. Het is dus vrij basale farmaceutische spam. Een belangrijke reden voor de effectiviteit was volgens ons dat het inspeelde op de nieuwsgierigheid van mensen. Mensen deelden het zelfs met elkaar en stuurden het door naar hun vrienden, omdat het interessant of schokkend leek, of iets waar hun vrienden geïnteresseerd in zouden kunnen zijn. Dus we ontdekten dat social engineering werd gedeeld via zowel e-mail, sociale media enzovoort. Op die manier werd de aanval nog effectiever, omdat mensen geneigd zijn iets te lezen dat hun vrienden delen – vrienden, die vertrouw je.
Zijn er mensen die bijzonder gevoelig zijn voor de nieuwe vorm van cyberaanvallen of die bijzonder vaak worden aangevallen door cybercriminelen?
Wij hebben er zelfs een naam voor: Very Attacked People, oftewel VAP. Ons is opgevallen dat bepaalde soorten mensen met bepaalde soorten toegang en bepaalde titels meer gerichte aanvallen kregen, of meer aanvallen in het algemeen, dan andere mensen in de organisatie. En het zijn niet de mensen die je zou verwachten: het zijn niet de leidinggevenden. Dat komt grotendeels doordat de mensen die doorgaans een grotere publieke aanwezigheid hebben, hun e-mails niet publiceren. Zij hebben niet de neiging hun contactinformatie te delen, zijn daarom voor cybercriminelen lastiger te achterhalen en worden als gevolg niet aangevallen.
Bijzonder eenvoudig te achterhalen zijn groepsmails zoals de meeste organisaties deze hebben voor afdelingen als support, HR of finance. Andere aantrekkelijke opties voor cybercriminelen zijn mensen in hogere functies, maar niet noodzakelijkerwijs leidinggevenden. Deze hebben vaak een grotere publieke toegankelijkheid. Denk aan mensen die toespraken houden, rapporten publiceren of een rekruteringsrol hebben. Hun contactinformatie is veel eenvoudiger te achterhalen. Slechts zeven procent van de e-mailadressen van leidinggevenden zijn online beschikbaar, maar mensen die iets lager in de hiërarchie zitten proberen hun eigen profiel op te bouwen of dat van hun merken op te bouwen. Ze zijn veel toegankelijker en cybercriminelen weten ze te vinden.
Waar begint preventie? Hoe adviseren we organisaties aanvankelijk?
Maak duidelijk dat de nadruk op bewustzijn dient te liggen, niet op naamsbekende technologieën en systemen. Natuurlijk mag je ook technische bescherming niet verwaarlozen. Slaag je erin de volgende drie punten te faciliteren, dan ben je wat dat betreft op weg.
1. E-mail-authenticatie
Omdat e-mail vandaag de dag het favoriete middel voor cybercriminelen is om organisaties aan te vallen, moet je zeker zijn over de identiteit van de afzender. E-mail-authenticatie is een belangrijke manier om identiteiten vast te stellen en kan frauduleuze e-mails blokkeren voordat ze de e-mail-gateway bereiken.
2. Dynamische e-mail-classificatie
Zodra je de identiteit van de afzender hebt gevalideerd, zal de dynamische e-mail-classificatie de inhoud en context onderzoeken van de e-mail die jouw organisatie binnenkomt. In deze stap wordt gekeken naar de reputatie van de afzender, de geschiedenis van de e-mailwisseling, de onderwerpregel van de e-mail en meer. Je kunt een e-mail rangschikken op basis van de waarschijnlijkheid dat deze frauduleus is en vervolgens bepalen wat je ermee wilt doen.
3. Security-bewustwording en –training
Jouw collega’s zijn jouw laatste verdedigingslinie. Voor effectieve trainingen heb je daarom een oplossing nodig die realistische e-mailaanvallen kan nabootsen. Je moet kunnen bijhouden hoe en door wie op deze gesimuleerde aanvallen wordt gereageerd en jouw medewerkers dienovereenkomstig trainen. Bied jouw collega’s de kennis en vaardigheden die ze nodig hebben om jouw organisatie te beschermen tegen deze geavanceerde aanvallen.