Het grootste gevaar op het gebied van security zit niet in software of hardware, maar in zogeheten 'wetware,’ ofwel de mens. Tussen alle geavanceerde beveiligingstechnologie die bedrijven toepassen, blijken de medewerkers vaak de zwakste schakel te zijn. Social engineering is daarom één van de belangrijkste cyber-bedreigingen van deze tijd.
Over deze blogger
John E. McClurg is vice president en chief security officer van Dell Global Security. McClurg is onder andere verantwoordelijk voor de strategische focus en de tactische operaties van Dell’s wereldwijde beveiligingsdiensten zowel fysiek als voor cyber. Voordat John bij Dell in dienst trad werkte hij als vice president en chief security officer voor Honeywell en Lucent Technologies. Daarvoor werkte hij als speciaal agent bij de FBI (Federal Bureau of Investigation).
Het succes van spear phishing is afhankelijk van hoe specifiek en persoonlijk een phishing-bericht is. Hoe meer aanvallers van jou en je relaties weten, hoe beter ze immers een verleidelijk bericht aan je kunnen voorschotelen. Belangrijk om je hierbij te realiseren is dat het dus niet alleen om jou persoonlijk gaat, maar ook om je relaties, die je zogeheten ‘extended identity’ vormen.
Verslapte waakzaamheid
Van je extended identity valt veel af te leiden voor oplettende aanvallers die gericht te werk gaan. Denk als voorbeeld aan je gemoedstoestand als je dochter het winnende doelpunt heeft gescoord in een sportwedstrijd waar jij als vader niet bij kon zijn. Dan ben je afgeleid, minder waakzaam en klik je misschien eerder op een attachment of link van een phishing-mail. Of je bent misschien eerder geneigd om op een aanbieding voor een leuk kado in te gaan.
Doelwitten voor aanvallers zijn mensen met toegang tot bepaalde systemen. De vertrouwde insiders, die gebruikt kunnen worden om toegang te krijgen tot interessante informatie. Data loss prevention software (DLP) is daar een reactie op. Deze software is ontworpen om proactief inbraken of het lekken van gevoelige informatie uit de bedrijfssystemen op tijd te detecteren en te blokkeren.
Doordrongen zijn van security-besef
Iedereen in de omgeving van invloedrijke personen, of reguliere werknemers met net iets meer privileges op het netwerk, zijn dus een doelwit voor aanvallers. Alle informatie over reizen, locaties en gewoontes zijn bruikbaar. President Barack Obama, Dell-CEO Michael Dell en security-CEO Eugene Kaspersky hebben dit allemaal in de praktijk ervaren. Door social media te gebruiken, wordt vaak veel meer persoonlijke informatie gedeeld, dan men beseft. Bedrijven en organisaties moeten zich dus niet alleen bekommeren om hun werknemers, maar ook over hun kinderen. Dit is geen oproep om alles en iedereen te proberen te beveiligen of te monitoren. Wel is het een oproep om meer doordrongen te zijn van security, en je bewust te zijn van de zwakke plekken waarlangs aanvallers proberen binnen te komen.
Denk na voordat je klikt
Een deel van de beveiligingsrisico’s kan met technologie beter beschermd worden, bijvoorbeeld door laptops standaard te voorzien van encryptie. Zo ondervang je dataverlies als een laptop kwijtraakt of gestolen wordt. Afhankelijk van hoe je encryptie toepast, kan het ook helpen tegen gerichte aanvallen zoals de Darkhotel-campagne. Cyber-criminelen hebben daarmee zéér gericht hoge managers op de korrel genomen. Dat is gedaan door de WiFi-netwerken van specifieke hotels te compromitteren. Eenmaal ingecheckt in het hotel en ingelogd op de WiFi, kregen de doelwitten een phishing-bericht of een nep-software update voorgeschoteld waarmee vervolgens data van hun laptop ontvreemd kon worden.
Security moet dus veel dichter bij de ‘geboorte van data’ gaan zitten, ofwel bij de bron van je intellectuele eigendom en bij de mensen die het bedenken, invoeren en aanmaken. Security-oplossingen moeten daar veel meer op gericht zijn én mensen zelf moeten zich daar beter van bewust zijn. Anders blijft wetware ons de kop kosten.
