Wat bedrijven als Sony kwetsbaar maakt
Sony, Belgacom en zelfs de beheerder van het internet ICANN: allemaal werden ze het slachtoffer van hackers. Het lijkt wel alsof cybercriminelen (en bevriende mogendheden) netwerken binnenwandelen als ware het je lokale stadspark. Maar hoe geraken die indringers aan de sleutels van de toegangspoort?
“Een combinatie van het technische aspect met een belangrijke menselijke factor ligt aan de basis”, weet Eddy Willems. De cybersecurity-expert bij G Data weet beter dan velen welke methodes cybercriminelen gebruiken om bedrijfsnetwerken te kraken en waar de beveiliging tekortschiet.
[related_article id=”161920″]
Sociale hackers
Eén eerste zwak punt, zo wordt al snel duidelijk, heeft niet al te veel met IT-infrastructuur te maken. “Aan 90 procent van de beveiligingsinbreuken komt social engineering te pas”, aldus Willems. Hackers proberen daarbij een opening te vinden in de bedrijfsbeveiliging via belangrijke personen. Daartoe moeten ze eerst identificeren wie de spreekwoordelijke sleutels op zak heeft, maar moeilijk is dat niet. “Een vriendelijk telefoontje naar een bedrijf volstaat om de nodige informatie vrij te krijgen. Bovendien staat de meeste info online. Hackers kunnen vervolgens heel veel te weten komen over hun gekozen doelwit via sociale media zoals Facebook en LinkedIn, waar ze de persoon in kwestie soms zelfs toevoegen.”
Interesses en naïviteit
Het doel is om iemand te vinden die binnen een bedrijf als Sony achter een nuttige computer zit en te ontdekken waar die persoon van houdt. Willems: “De cybercriminelen willen de man of vrouw ergens in laten trappen. Ze willen inspelen op de naïviteit die de meesten onder ons eigen is en dat gaat het best door gebruik te maken van de nieuwsgierigheid en de interesses van het doelwit.”
De cybersecurity-expert geeft een voorbeeld: “Ik ben geïnteresseerd in gadgets, wat mij meer geneigd maakt om door te klikken op een website die over gadgets gaat.” Zodra de hackers een doelwit naar een eigen website krijgen gaat de bal echt aan het rollen, en komt het IT-technische deel van de zaak aan bod.
Patchen, maar te traag
Om binnen te breken moet er immers een kwetsbaarheid bestaan, maar vaak is die niet moeilijk te vinden. “Slecht of te traag patchmanagement ligt meestal aan de basis”, vertelt Willems. Iedere hacker zoekt naar zogenaamde exploits en die vind je niet enkel in het besturingssysteem maar ook in alle andere software zoals Java en Flash. Wanneer onderzoekers kwetsbaarheden vinden in software wordt die gepatcht. “Bij je thuis gebeuren dergelijke updates automatisch, maar in een bedrijfsomgeving niet.”
Logisch natuurlijk: zelfs wie kan uitpakken met een klein thuisnetwerkje hoeft niet te vrezen voor desastreuze gevolgen wanneer een update een tijdelijk compatibiliteitsprobleem opwerpt.
Maar binnen een groot bedrijf is dat anders. IT-afdelingen moeten updates eerst testen, maar wanneer ze te traag werken blijft de deur voor hackers wagenwijd open staan. De website waarop onze misleide medewerker terechtkomt, zoekt naar die open deuren.
Ondervraging
Willems verduidelijkt: “Op de website in kwestie (in ons voorbeeld een site over gadgets waar het doelwit bijvoorbeeld via LinkedIn naartoe werd gelokt) draait dan een zogenaamde exploitkit. Die ondervraagt je computer naar een vijftigtal kwetsbaarheden.” Zodra de kit er één detecteert, kan de hacker rond snoepen in het systeem.
Een goede cybercrimineel is dus niet alleen goed in computers. In het merendeel van de gevallen komt er een sociaal aspect aan te pas. Te weinig mensen zijn zich bewust van de gevaren, met alle gevolgen van dien. Een eerste punt waarin bedrijven hun beveiliging kunnen verbeteren is dan ook training en bewustmaking van het personeel. “Hoe meer bewustmaking er is, hoe kleiner de dreiging wordt”, aldus Willems.
Wat kan je doen?
Natuurlijk moet ook het technische gedeelte tiptop in orde zijn. “Een meerlaagsbeveiliging is essentieel”, vindt de G Data-expert. Daaronder verstaat hij onder andere een antivirussuite, een firewall en inbraakdetectie-software. “Grote bedrijven weten dat ze een combinatie van alles nodig hebben.”
In de praktijk blijkt het schoentje te knellen bij de implementatie. Willems spreekt uit ervaring en hij benadrukt dat beveiligingssoftware niet zomaar uit de doos werkt. “Er moet finetuning gebeuren”, klinkt het, maar daar gaan IT-specialisten of consultants al eens uit de bocht.
Willems: “Ze installeren de software bijvoorbeeld niet op alle toestellen, zoals een server die erg zwaar belast is.” Door op die manier kort door de bocht te gaan zet een bedrijf natuurlijk zelf poortjes open. Maar zelfs wanneer een beveiligingspakket wel goed geïnstalleerd is, stopt het werk nog niet volgens de beveiligingsevangelist.
“Bedrijven moeten de software gebruiken om logs te analyseren en eventuele alarmen te onderzoeken. Ze moeten dat met alle departementen samen doen. Al te vaak worden servers en desktops door aparte teams gemanaged en bestaat er nauwelijks communicatie tussen de twee. Een grondige analyse van de logs kan aan het licht brengen dat een bepaalde poort meer trafiek ziet dan zou horen, wat op malware kan wijzen. Om dat te ontdekken is betere communicatie erg belangrijk.”
Altijd een gat
Samengevat lost een betere bewustmaking van het personeel, gezwinder patchmanagement en grondige optimalisatie van beveiligingssuites al heel wat problemen op, maar maken ze je bedrijf onhackbaar? “Er is altijd een gat”, geeft Willems toe. “Zeker wanneer grote organisaties met veel geld of overheidsinstanties zoals de NSA en GCHQ hun zinnen ergens op zetten, wordt het heel moeilijk om gevrijwaard te blijven. Wanneer een organisatie over voldoende fondsen beschikt, speelt de IT-technische factor een grotere rol. Zij maken dan gebruik van exploits waarvan experts nog geen weet hebben, en dan wordt het erg moeilijk.”
Toch kan een bedrijf zich ook daartegen wapenen. “Al te vaak heeft iedereen toegang tot alles. Iemand van marketing moet niet aan de bestanden van IT kunnen of omgekeerd, zelfs niet op het hoogste niveau”, zegt Willems. Hij stelt dat het beter managen van toestemmingen de schade die een lek aanricht al serieus kan inperken.
Bewustmaking
Er is dus heel veel dat een bedrijf kan doen om zich te wapenen tegen cybercriminelen, maar de juiste mensen zijn zich daar niet altijd van bewust. “Een verdere bewustmaking zal al heel veel helpen”, denkt Eddy Willems. Bliksemsnel zal dat niet gaan, al zorgen de Belgacom- en Sony-hacks er wel voor dat cybersecurity plots hoger op de agenda staat.
Desalniettemin vrezen we dat je het laatste artikel over een lek, kraak of hack op deze website nog niet gelezen hebt.