Hacking is business. Cybercriminelen verdienen er veel geld mee. Ze beschikken over meer tijd, geld, kennis en middelen dan de gemiddelde ict’er en hebben hiermee vrij spel om een succesvolle aanval te plegen. Computable-experts geven de maatregelen prijs om de aanvalsmogelijkheden van hackers te beperken.
‘De corebusiness van een hacker is hacking, de corebusiness van een bedrijf is ondernemen’, vertelt Dave Maasland, managing director bij Eset Nederland. ‘Cybercriminelen zoeken 24/7 naar nieuwe ingangen, hogere conversie en schaalbaarheid. Ondernemers zoeken juist naar meer apparaten en software om het bedrijf te laten groeien. En als een bedrijf groeit, is het interessanter voor hackers.’
Die groei van een bedrijf is interessant voor hackers, want er komen waarschijnlijk meer ingangen beschikbaar voor een cyberaanval. En daar schuilt juist de asymmetrische strijd van cybercrime, meent Matthijs Koot, security consultant bij Madison Gurkha. ‘Hackers hoeven maar één kwetsbaarheid of aanvalspad te vinden om binnen te komen, terwijl de verdediger alle aanvalspaden en kwetsbaarheden moet kennen en mitigeren. En dat is door de complexiteit van de it-infrastructuur, applicaties en databases een lastige opgave voor de verdediger.’
Beperkte kennis
Raymond P.L. Comvalius, it-infrastructuurarchitect bij Nextxpert, laat weten dat organisaties vaak over beperkte r&d-faciliteiten beschikken en niet kunnen voorspellen welke zwakke plek de cybercrimineel onder vuur neemt. Dit terwijl de hacker meestal over een vrijwel onbeperkte capaciteit beschikt om die ene specifieke zwakke plek aan te vallen. ‘Vergelijk het met een slot voor een fiets. Een goed slot kost meer moeite om te breken. Uiteindelijk gaat ook het goede slot eraan als de fiets het doel is van de fietsendief.’
Vrij spel
Een andere reden waarom hackers succesvoller zijn, is doordat zij zich niet aan opgestelde wet- en regelgeving hoeven te houden, meent Erwin van der Zwan, security consultant bij QDMsecurity. ‘Zij hoeven zich niet zoals ict’ers aan de regels te houden, doen geen investeringsaanvragen en besteden geen tijd aan andere werkzaamheden. Ze zijn dus optimaal flexibel en kunnen bovendien erg veel kennis uitwisselen met ‘collega’s’ op het darkweb.’
Geen security-focus
‘Architecten en developers hebben het doel om goede applicaties te ontwerpen en te ontwikkelen’, vertelt Gert Jan Timmerman, manager kenniscentrum bij Info Support. ‘Zij zijn met veel verschillende aspecten bezig: de applicatie moet de gewenste functionaliteit hebben, maar moet ook snel, betrouwbaar, onderhoudbaar en veilig zijn.’
Juist die focus op security tijdens de productontwikkeling is nog geen integraal onderdeel van het ontwikkelproces, meent Ruud Poels, manager communications bij SQS Benelux. ‘De veiligheidscheck zit meestal aan het einde van de keten en dat is te laat. Hackers zoeken naar kwetsbare plekken en veiligheid moet je waarborgen in elke stap in het proces. De beveiliging moet overal in de organisatie gedragen worden.’
3 maatregelen
De experts geven drie tips om hackers beter te weren:
- Verantwoordelijkheid
Maak iemand verantwoordelijk voor cybersecurity die er dagelijks fulltime mee bezig is, of outsource dit bij een it-securitybedrijf’, aldus Dave Maasland, managing director bij Eset Nederland
- Kennis
‘Neem vakmensen in dienst of schakel de hulp in van een gespecialiseerde partijen die zich richten op de beveiliging van bijvoorbeeld applicaties. Hiermee voorkom je de meest basale fouten’, tipt Gert Jan Timmerman, manager kenniscentrum bij Info Support.
- Menselijk component
‘Beperk de rechten van gebruikers. Zelfs als een hacker dan je netwerk binnen weet te komen, zal hij slechts beperkte acties kunnen uitvoeren. Een hacker kan vervolgens nog via zero-day exploits proberen binnen te komen, maar dit is veel ingewikkelder en kost de hacker veel tijd’, besluit Michael Flossman, security-onderzoeker bij Lookout.
Privileged accounts
‘Veel it’ers denken op hoofdlijnen te weten een aanvaller te werk gaat, maar zij vergeten het belang van een privileged account (pa). En er zijn veel meer pa’s dan je denkt’, waarschuwt Marcel Bosgra, lead architect bij Ion-ip. In zijn opinie vertelt hij over het belang van privileged accounts voor cybercriminelen.