Laten we eerlijk zijn: er bestaat geen wondermiddel voor cyberbeveiliging. Zelfs met de beste beveiligingsmaatregelen loopt u risico, omdat zo veel van die aanvallen afhankelijk zijn van uw werknemers die weten wat ze moeten doen. Het is belangrijk op te merken dat de overgrote meerderheid van de security incidenten meer te maken heeft met menselijke fouten dan met structurele problemen in cyberbeveiligingsnetwerken.
Dit komt uit het Global Risks Report van het World Economic Forum, waaruit blijkt dat 95% van de cyberbeveiligingsdreigingen waarmee mensen te maken hebben gehad op de een of andere manier is veroorzaakt door een menselijke fout, en dat is een factor waar veel mensen goed over na zouden moeten denken.
Elke dag gebruiken we onze persoonlijke gegevens voor toegang tot online accounts, slimme apparaten en andere bronnen. Dit gebeurt zo vaak dat de gevoeligheid van inloggegevens als vanzelfsprekend kan worden beschouwd. Uit een recent onderzoek van LastPass (een bedrijf wat wachtwoordbeheer mogelijk maakt) blijkt dat maar liefst 61 procent van de zakelijke gebruikers dezelfde wachtwoorden voor meerdere accounts hergebruikt. Aangezien privégegevens de belangrijkste verdedigingslinie vormen voor accounts en andere persoonlijke informatie, kan het verkrijgen van gecompromitteerde referenties een winstgevende onderneming zijn voor hackers.
Hoe komen criminelen aan persoonlijke gegevens?
Er zijn veel manieren waarop criminelen aan persoonlijke gegevens kunnen komen. Soms is het een kwestie van het per ongeluk weggeven van gegevens. Hierbij kunt u denken aan gegevens die u weggooit en worden gevonden tussen het afval. Maar het kan ook op heel andere wijze per ongeluk worden overhandigd. Zo worden gevoelige gegevens ook op social media gedeeld. Een tweede manier is het misleiden van slachtoffers. Criminelen misleiden hun slachtoffers en ontfutselen de persoonsgegevens van het slachtoffer. Hierbij proberen de daders op overtuigende wijze het slachtoffer vrijwillig persoonlijke gegevens te laten overhandigen. Dit gebeurt bijvoorbeeld via social media, verkoop-of vacaturesites.
Maar het misleiden van mensen gebeurt ook vaak via e-mail of chatprogramma’s als whatsapp. Dit wordt ook wel phishing of smishing genoemd. Hierbij worden e-mails of berichten verspreid met daarin linkjes naar nagebouwde websites die bijna niet van echt te onderscheiden zijn. Vaak moet u dan uw gegevens invullen die vervolgens misbruikt worden. Volgens NTT Security, een bedrijf dat IT-services beheert, zijn de meest gebruikte technieken voor diefstal van inloggegevens phishing (67%), gevolgd door malware (33%). In de meeste gevallen wordt een combinatie van de twee gebruikt, aangezien phishing-gerelateerde aanvallen de populairste methode blijven om malware op systemen van eindgebruikers af te leveren.
De derde manier is het stelen van gegevens. Hierbij gaat het vaak om hackers die toegang forceren tot jouw persoonlijke gegevens. Hierbij hacken ze bijvoorbeeld uw computer met malware en krijgen toegang tot al uw accounts en bestanden. Hackers kunnen uw gegevens ook stelen door uw internetverkeer te onderscheppen. Dit worden MITM-attacks genoemd. Er zijn veel manieren waarop dit kan gebeuren. Het kan op uw thuisnetwerk gebeuren of op de verbinding tussen uw internetprovider en een website, maar de meest voorkomende manier is via een publieke wifi. Voorbeelden van publieke wifi’s zijn de netwerken in het treinstation of de starbucks. Hackers kunnen dan een nep-wifinetwerk opzetten, dat lijkt heel erg op het échte netwerk, maar als u hiermee verbindt kunnen zij al uw internetverkeer monitoren. Hierbij kunt u gemakkelijk gevoelige informatie prijsgeven.
En als laaste willen we noemen de toenemende aantal datalekken bij bedrijven en instanties van de afgelopen jaren. Hierdoor zijn er nu enorme hoeveelheden gecompromitteerde referenties te koop op het dark web – vaak voor een schijntje.
Hoe kunt u gecompromitteerde referenties voorkomen?
1. Implementeer een sterk wachtwoordbeleid.
De eerste stap in het beperken van het risico van gecompromitteerde inloggegevens is simpelweg de inloggegevens zelf moeilijker te compromitteren maken. Dat betekent het ontwikkelen en handhaven van een sterk wachtwoordbeleid dat vereist dat alle gebruikers zich houden aan vastgestelde best practices voor het maken – en regelmatig wijzigen – van sterke wachtwoorden, evenals ervoor zorgen dat wachtwoorden niet worden hergebruikt op verschillende apparaten, apps of andere accounts. Gebruik daarbij ook een veilig wachtwoordherstelmechanisme.
2. Gebruik een wachtwoordmanager.
Een van de eenvoudigste manieren om uw gebruikers te helpen sterke wachtwoorden te onderhouden is het gebruik van een wachtwoordmanager. Deze tools zijn alomtegenwoordig en worden steeds voordeliger en gebruiksvriendelijker. Maar de twee dingen om hier te onthouden zijn 1) zorg ervoor dat de wachtwoordmanager zelf veilig is en goed beschermd tegen hacken, en 2) zorg ervoor dat gebruikers gebruik maken van de auto-generatie functie, beschikbaar in zowat elke wachtwoordmanager vandaag de dag, die wachtwoorden genereert (en ze onthoudt) met een veel grotere complexiteit en willekeur dan een mens ooit zou kunnen.
3. Gebruik Multi-Factor Authenticatie (MFA).
MFA kan een aanvaller gemakkelijk tegenhouden. Ze kunnen gecompromitteerde referenties hebben, maar ze hebben vrijwel zeker geen toegang tot de secundaire (of tertiaire) vorm van identiteitsverificatie (zoals een eenmalige wachtwoordcode die naar het mobiele apparaat van de legitieme gebruiker wordt gestuurd). Microsoft schat dat 99,9% van de gecompromitteerde gebruikersaccounts kan worden voorkomen met MFA.
4. Train uw gebruikers.
Gecompromitteerde referenties en gecompromitteerde gebruikersaccounts vallen onder de noemer insiderrisico, en insiderrisico is een mensenprobleem. Een van de meest effectieve manieren om problemen van mensen op te lossen is door met je mensen te praten. Toch zegt de overgrote meerderheid (73%) van de werknemers dat hun organisatie geen aanvullende awarenesstraining heeft gegeven sinds de pandemie de plaats, het tijdstip en de wijze van werken ingrijpend heeft veranderd. Door regelmatig voorlichting te geven over best practices voor wachtwoordbeheer en zaken als het herkennen en vermijden van phishingconstructies kunt u een heel eind komen.
5. Focus op accounts met extra bevoegdheden.
Het uiteindelijke doel van aanvallen met aangetaste referenties is toegang te krijgen tot waardevolle gegevens of activa, dus het is niet verrassend dat prominente werknemers en anderen met speciale toegang de grootste doelwitten zijn. De oplossing is tweeledig: Focus ten eerste op het controleren van toegangsprivileges. Volgens een rapport uit 2020 heeft de helft van de organisaties gebruikers met meer toegangsrechten dan nodig is om hun werk te doen. Ten tweede: intensiveer de protocollen voor toegangsbeheer voor uw (nu gecontroleerde) accounts met privileges. Slechts een derde van de organisaties gebruikt multi-factor authenticatie om hun speciale accounts te beveiligen.
Hoe inbraak sneller te herkennen is
Gecompromitteerde identiteitsgegevens zijn uiteindelijk het gevolg van menselijke factoren: slechte wachtwoordhygiëne, het trappen in phishingtrukjes’s, enz. Het voordeel is dat kleine verbeteringen aanzienlijke gevolgen kunnen hebben voor de menselijke factor; het nadeel is dat mensen altijd imperfect zullen zijn (en cybercriminelen zijn ongelooflijk efficiënt in het uitbuiten van gebruikersfouten), zodat gecompromitteerde gebruikersaccounts niet volledig kunnen worden voorkomen. Hoewel het dus zeker de moeite waard is om tijd en budget te investeren in preventie, is het ook van cruciaal belang om te investeren in strategieën voor het detecteren van anomalieën en afwijkingen die wijzen op gecompromitteerde accounts – en deze snel en effectief te onderzoeken en te reageren.
Zorg voor zichtbaarheid van endpoints – op afstand, in de cloud, op en buiten het netwerk
De eerste signalen van gecompromitteerde referenties komen vaak van de endpoints van gebruikers. Beveiligingsteams moeten dus zicht hebben op endpoints – zowel op activiteiten binnen als buiten het netwerk, aangezien gebruikers door flexibele werkmodellen op afstand steeds vaker buiten het VPN werken. Als u dat nog niet hebt gedaan, is het automatiseren van het inventarisbeheer van endpoints de eerste stap om dat overzicht te krijgen. U moet ook zicht hebben op activiteiten op het web en in de cloud, aangezien web- en cloud-hosted e-mail in veel organisaties nu de norm is.
Stel een baseline vast voor “normaal” – zodat u een duidelijk signaal krijgt van echte risico’s
Als u alle gebruikers- en bestandsactiviteiten kunt zien, ook op endpoints, op het web en in de cloud, is het veel gemakkelijker om de vraag te beantwoorden: “Hoe ziet normaal eruit?”. Met deze basislijn kunt u de ruis van de dagelijkse activiteiten – alle bestands- en gegevensverplaatsingen die de moderne samenwerkingscultuur kenmerken – uitfilteren en sneller en nauwkeuriger herkennen wanneer gebruikersgedrag buiten de normen valt. Kortom, wanneer u ziet dat gebruikers bestanden openen, verplaatsen, hernoemen of delen op manieren of tijdstippen die niet in het patroon passen, hebt u een betrouwbaar risicosignaal dat u onmiddellijk nader moet bekijken.
Versnel het onderzoek en reageer snel – beperk de schade
Hetzelfde betere overzicht in de context van alle gebruikers- en bestandsactiviteiten is een krachtige manier om uw onderzoek en reactie op mogelijk gecompromitteerde gebruikersaccounts te versnellen. Beveiligingsteams kunnen snel zoeken naar contextuele informatie over het verplaatsen van bestanden en gegevens om vast te stellen welke gebruikersaccounts zijn aangetast, welke systemen of bedrijfsmiddelen zijn benaderd en welke gegevens of bestanden zijn aangetast – tot en met het moment waarop en de plaats waar deze waardevolle gegevens zijn verplaatst. Het gedegen onderzoek leidt tot een snelle, passende reactie – of dat nu het vergrendelen van accounts of apparaten is, het nemen van proactieve juridische stappen om uw bedrijf of organisatie te beschermen of het doorverwijzen van het incident naar de autoriteiten voor een reactie. Bovendien verkort het onmiddellijke, diepgaande, contextuele overzicht de tijd tussen “het detecteren van gecompromitteerde referenties” en “het neutraliseren van de bedreiging”, waardoor de schade van een succesvol gecompromitteerd gebruikersaccount kan worden beperkt en geminimaliseerd.
Dus…
Geen enkele organisatie zal ooit 100% bestand zijn tegen hackers. Als u echter de meest voorkomende problemen kent, de aanvalstechnieken voor credential theft begrijpt en een aantal basismaatregelen neemt, kunt u het risico van een datalek tot een minimum beperken.
Wees proactief, controleer logins en verkeer, detecteer en repareer kwetsbaarheden snel en vergeet niet de regelgeving inzake privacy en beveiliging na te leven. Want een deur openlaten voor aanvallers kan desastreuze gevolgen hebben voor uw bedrijf en klanten – alles van financiële verliezen tot reputatieschade en verlies van vertrouwen van klanten.
Nu u uw vijand kent en weet hoe inloggegevens kunnen worden gehackt, kiest u uw wachtwoorden verstandig en implementeert u een goede strategie voor wachtwoordbeveiliging. Zo blijft u de aanvallers een stap voor en kunt u uw systemen en gegevens effectief beschermen.
Wilt u meer weten over Awereness training voor uw werknemers, of het implementeren van MFA binnen uw netwerk? Neem contact op en laat u persoonlijk informeren door één van onze security specialisten.
