Hackers zijn opportunistisch…
Verizon Business onderzocht de laatste 4 jaar 500 incidenten waarbij er sprake was van data breaches. Daarbij hebben hackers toegang geforceerd tot persoonlijke informatie en kredietkaartgegevens. In 85% van de gevallen was dat het gevolg van een opportunistische aanval. De getroffen ondernemingen hebben daardoor schade geleden en dienden een klacht in. Verizon Business werd in opdracht van de bedrijven en de FBI ingeschakeld voor de forensische analyse.
Wat bedoelt het studierapport met opportunistisch? Dat hackers op zoek zijn naar gemakkelijk te kraken netwerken en websites. Niet meer dan dat. Een hacker zal liever zijn kostbare tijd besteden aan bedrijven die niet optimaal beveiligd zijn om daar maximaal gebruik van te maken. Een hacker leeft namelijk ook volgens het principe time is money. Zelfs niet gepatchte kwetsbaarheden van één tot anderhalf jaar oud gaven aanleiding tot een geslaagde inbraak. Frapant is ook dat 39% van de incidenten via een businesspartner kwam. Dat wordt waarschijnlijk veroorzaakt doordat zij meer toegang hebben tot het bedrijfsnetwerk, bijvoorbeeld outsourcing partners, extranets en site-to-site VPN’s.
Er staan nog meer belangrijke conclusies in het rapport van Verizon Business. 73% van de aanvallen werd door externen uitgevoerd. Dat is in tegenspraak met een cijfer van enkele jaren geleden. Toen zou namelijk 75% van de geslaagde hacks van interne gebruikers gekomen zijn. Een minder positief punt voor ons, IT-professionals, is dat de helft van de interne aanvallen van IT-beheerders kwam en dat 41% van de werknemers zijn toegangen misbruikt. Het rapport verduidelijkt hoe die externe aanvallen mogelijk waren. Op nummer 1 van toegangspaden staat remote access and control en op nummer 2 web applications. De externe toegang tot het bedrijfsnetwerk en e-businessapplicaties is met andere woorden het gemakkelijkste doelwit voor hackers en vereist dus bijkomende beveiliging.
Om dergelijke aanvallen tegen te houden, is het zelfs niet nodig om te investeren in de nieuwste high-tech snufjes. Een grote meerderheid kan worden gestopt door basisbeveiligingsmaatregelen. Concreet moeten de bestaande beveiligingscontroles geconfigureerd en geverifieerd worden. De meeste bedrijven hebben een firewall, maar doet die wat hij moet doen?
Een eenvoudig voorbeeld: een Vlaamse KMO heeft alleen klanten en partners in Vlaanderen. Dat extranet is voor iedereen waar ook ter wereld toegankelijk, dus ook voor de talrijke hackers in de Oostbloklanden, Amerika of Azië. Als je echter een kleine wijziging van de firewall doorvoert waardoor alleen Vlaamse IP-adressen toegang krijgen, dan verkleint de attack surface tot 0,1%.
Het resultaat van de aanval is in 84% van de gevallen geslaagd te noemen. De hacker heeft een of andere vorm van kredietkaartgevens kunnen downloaden. En daarvoor doet een hacker het natuurlijk. De meeste bedrijven doen er maanden of jaren over om de inbraak te ontdekken. Ten eerste, omdat er geen detectie van de inbraak was en ten tweede, omdat de logging van de feiten niet werd opgevolgd. Het gehackte bedrijf komt de data breach pas te weten op het moment dat de gestolen data in zijn nadeel werden misbruikt. Dat kon vermeden worden door een up-to-date beveiligingssysteem met de nodige controles voor detectie en preventie te koppelen aan een incident response proces.
