Het securitylandschap ziet er anno 2015 compleet anders uit dan pakweg vijf jaar geleden. Mobility is de nieuwe norm. Van sensoren, wearables, huishoudelijke apparaten tot complexe industriële machines: steeds vaker beschikken ze over een internetverbinding. We staan daarmee bloot aan dezelfde gevaren als bij traditionele computersystemen. Maar het nieuwe landschap zorgt ook voor nieuwe dreigingen.
De strategie van cybercriminelen verandert grondig. Dat moet ook wel. De verdediging tegen conventionele hacks en malware is namelijk – gelukkig – geavanceerder. Besturingssystemen zijn minder kwetsbaar dan enkele jaren geleden en ook lekken worden sneller gedicht. Zelfs firewalls worden intelligenter. Het omzeilen van de digitale systemen vereist veel geduld, kennis en kunde. Toch wil dat niet zeggen dat zero-day-aanvallen niet meer plaatsvinden: waar code geschreven wordt, vallen nu eenmaal gaten. Continue waakzaamheid blijft geboden.
Aanval op vertrouwen
Technieken van cybercriminelen worden daarnaast gewiekster en vooral persoonlijker. Steeds vaker openen zij de aanval op menselijk vertrouwen. Mensen zijn nu eenmaal doorgaans eenvoudiger om de tuin te leiden dan geavanceerdere digitale beveiligingslinies. Spear phishing is eveneens een vaker ingezet middel, waarbij cybercriminelen gebruikmaken van sterk gepersonaliseerde e-mails, zodat deze afkomstig lijken van een bekende. Waren die mails vroeger nog duidelijk herkenbaar malafide, tegenwoordig zijn ze nauwelijks meer van echt te onderscheiden. Cybercriminelen beschikken over geavanceerde systemen die zaken als een logo, maar ook het taalgebruik gericht en nauwkeurig kopiëren en zo meer slachtoffers maken dan voorheen.
Ook het geautomatiseerde vertrouwen, in de vorm van het certificatensysteem, ligt steeds vaker onder vuur. Een digitaal certificaat fungeert als de vingerafdruk van een online entiteit: het is een controlemiddel om te ‘bewijzen’ dat iets of iemand daadwerkelijk de persoon of instantie is die het beweert te zijn. In de verkeerde handen kunnen valse certificaten ongeoorloofd toegang verschaffen.
Internet of things (IoT) komt de cybercrimineel in de aanval op het vertrouwen erg goed uit. Mensen vertrouwen machines blindelings. Fabrikanten trouwens ook, of nemen simpelweg de moeite niet om hier aandacht aan te besteden. De beveiligingsmaatregelen in dergelijke connected devices zijn vaak zeer spartaans of zelfs geheel afwezig. Niet alleen gebruikers, maar ook fabrikanten moeten de gevaren van IoT herkennen en erkennen.
Advanced persistant threath
Die lakse houding is meer dan alleen een prima voedingsbodem voor ’traditionele’ cybercriminelen. Nu al behoren cyberaanvallen tot het militaire wapenarsenaal van diverse naties. De kwetsbaarheid van connected machines vormt daarmee een direct gevaar voor de bevolking. Ook de advanced persistent threath (apt) is onderdeel van dat militaire arsenaal, waarbij personen gedurende langere tijd onbevoegd toegang hebben tot netwerken en daar langdurig grote hoeveelheden informatie ontfutselen. Niet alleen geheime diensten, maar ook terroristen maken zich daar inmiddels aan schuldig. Om nog maar te zwijgen over bedrijven die zo op een minder nette manier hun concurrentie te slim af zijn.
Apt’s zijn ook berucht en gevreesd in de retailsector. Hier wordt het door cybercriminelen gebruikt voor het stelen van met name grote hoeveelheden creditcardgegevens. 2014 liet zien dat ook grote gerenommeerde bedrijven hun zaken wat dat betreft niet goed op orde hebben.
Het voorkomen van een apt vraagt om een grondige dreigingsanalyse, geavanceerde hardware zoals een intrusion prevention system (ips) en oplossingen om data-lekken te voorkomen. Echter ook het opstellen van een response- en recoveryplan en het trainen van personeel hoort bij een gedegen beveiliging tegen apt’s.
Kortom: de wereld van cybersecurity verandert razendsnel. Continue waakzaamheid is geboden. Alleen met de juiste combinatie van techniek, best practices, bewustwording, training en vaardigheden blijven we kwaadwillenden een stap voor.
U kunt zich afvragen of het verstandig is dat de innovatie qua beveiliging de kant op gaat dat alleen nog maar een handjevol experts hier het overzicht over hebben.
Vergelijkbaar met in de financiële wereld de kennis van financiële derivaat producten die zo ingewikkeld zijn dat alleen de knapste koppen er wijs uit kunnen worden. Terwijl deze gewoon verhandeld worden en men er vanuit gaat dat het wel snor zit zonder het naadje van de kous te weten.
Bijzonder blijft dat we zeer scherp zijn op onze privacy maar tegelijkertijd zeer makkelijk zijn in onze security. Zolang het ons persoonlijk niet geraakt heeft, blijven we makkelijk omgaan met security. Zo ook bij ons thuis: pas na een inbraak denk je beter na over sloten en veiligheid. En bij ingewikkelde oplossingen rondom IoT is men blij als het werkt, security is vaak niet een uitgangspunt. En met encryptie werkt het vaak niet. Eerst moeten we kennelijk onze neus stoten voordat we iets leren….