In het geval van een geslaagde cyberaanval wordt meestal direct de schuldige aangewezen. De it-afdeling was te laat met een softwarepatch of een collega heeft op een foute link geklikt in een phishingmailtje. De medewerker krijgt vervolgens een forse lading kritiek over zich heen. Dit is niet fair, omdat het lastig is om je te verdedigen tegen social engineering-aanvallen. Hierbij wordt namelijk misbruik gemaakt van de kwetsbaarheden van de mens.
Bekend zijn de ceo-fraude of de mailtjes van it met het verzoek om je inlognaam en wachtwoord nog eens te bevestigen. Bijvoorbeeld na de zogenaamde installatie van een nieuwe applicatie. Deze aanvallen zijn zo vernuftig en de mails of tekstberichten lijken zo echt, dat medewerkers snel geneigd zijn op het verzoek in te gaan. Vervolgens zijn cyberaanvallers klaar voor hun volgende stap: het achterlaten van malware of op zoek gaan naar credentials in de systemen waar zij op dat moment toegang tot hebben. De malware kan vervolgens uitgroeien tot ransomware. We betitelen deze acties als phishing- of pretexting-aanvallen, maar vallen allemaal onder de noemer social engineering. De motieven zijn doorgaans altijd financieel gedreven, soms zien we ook gevallen van (bedrijfs)spionage.
Multi-factorauthenticatie
We dachten dat we cyberaanvallers een gevoelige slag konden toebrengen door op grote schaal multi-factorauthenticatie (mfa) toe te passen. Naast inlognaam en wachtwoord heb je als gebruiker een tweede methode nodig om bij gegevens te komen of een applicatie op te starten. Mfa is een erkende en sterk aanbevolen manier om beveiligingscontroles op een laag niveau te brengen. De aanval op Uber eerder dit jaar heeft echter bewezen dat deze extra beveiligingslaag is te omzeilen. Bij de taxidienst zou de hacker juist misbruik hebben gemaakt van de mfa. Het zou gaan om een externe medewerker van Uber die herhaaldelijk een verzoek zou hebben gehad om zich te identificeren via een mfa-procedure. Uiteindelijk zou de medewerker hebben toegehapt en kon de aanvaller met succes inloggen.
Pushmeldingen
Mfa alleen is dus niet de oplossing, maar ondanks deze recente aanval blijft mfa een belangrijk onderdeel van de cyberdefensiestrategie. We moeten ons alleen wel realiseren dat pushmeldingen binnen een mfa-handeling kunnen leiden tot menselijke fouten en uiteindelijk tot kwetsbaarheden in de technologische infrastructuur. Het geval van Uber laat zien dat mfa is te omzeilen met slimme social engineering. Kun je het deze medewerker kwalijk nemen? Hij denkt het juiste te doen door een tweede authenticatiemiddel te gebruiken waarna het misgaat. Dit voorbeeld laat zien dat organisaties nog een stap verder kunnen en moeten gaan om de effectiviteit van mfa te verbeteren.
Dat kan door af te zien van het versturen van verificatiecodes via mail of sms. Verstandiger is het om authenticatie-applicaties te gebruiken die codes genereren, die vervolgens moeten worden ingevoerd. Dit is een stuk veiliger omdat derden zich niet kunnen mengen in deze stroom van data-uitwisseling. Zogenaamde man-in-the-middle-aanvallen, waarbij aanvallers heimelijk het berichtenverkeer onderscheppen of zelfs manipuleren, kun je hiermee een stuk lastiger maken. Een andere optie is om over te stappen op een fysieke authenticatiesleutel voor medewerkers. Denk aan een token of een smartcard. Ook biometrische verificatiemiddelen zijn hiervoor in te zetten, zoals vingerafdruk- of gezichtsherkenning.
Security is dynamisch
Mfa is op verschillende manieren dus een stuk sterker te maken, zodat het voor cyberaanvallers een stuk lastiger wordt. Vergeet alleen niet dat de menselijke component, zeker als het gaat om social engineering, continue aandacht nodig heeft. Blijf investeren in het bewustzijn rondom de risico’s van cybersecurity. Train medewerkers regelmatig en wijs ze op de stappen die zij moeten doorlopen wanneer zij hun twijfels hebben. Zie deze aandacht voor de menselijke componenten als een essentieel onderdeel van een holistisch cyberbeveiligingsprogramma. Werk toe naar een security-omgeving die voortdurend de bedreigingen tegen de organisatie beoordeelt, zich eraan aanpast en een cultuur van bewustzijn en gezonde achterdocht bevordert onder het personeel. Security is een dynamisch geheel, nooit statisch. Wat de ene dag als verdediging kan werken, kan de volgende dag mislukken.