Extra Veilig Internet Met extra veilig internet van KPN EEN MKB Internet is je bedrijf beschermd tegen malware, ransomware en virussen op onveilige websites. Zo blijf je altijd in business.
Extra Veilig Internet standaard bij KPN EEN MKB Internet Nu 12 mnd 60,-
40,mnd
kpn.com/extraveilig | 0800-0403 | KPN XL
WELKOM
IT anno 2020: allesomvattend Onderzoek van IDC voorspelt dat het merendeel van het wereldwijde GDP in 2023 gegenereerd wordt door digitale bedrijven. Deze digitalisering belooft een gigantische impact te hebben op het Nederlandse bedrijfsleven. Wie niet op tijd meedraait, innoveert en digitaliseert, neemt het binnenkort op tegen een krachtige meerderheid. Anno 2020 valt of staat bedrijfssucces met IT. De prioriteiten van een IT-dienstverlener staan alsmaar gelijker aan de kernstrategieën van bedrijven. Waar een IT-afdeling tien jaar terug als alleenstaand bedrijfsonderdeel beschouwd kon worden, is de IT-afdeling vandaag de dag allesomvattend. Technologische ontwikkeling raast alsmaar voort. Om het hoofd boven water te houden, moeten bedrijven bij zien te blijven. Als resultaat stijgen IT-diensten gigantisch in waarde. Hetzelfde onderzoek stelt dat het niet lang meer duurt voordat meer dan 50 procent van alle IT-uitgaven ingezet zullen worden voor transformatie en innovatie. Tegelijkertijd zijn we nog geen jaar verwijderd van het moment waarop 70 procent van alle organisaties afhankelijk zullen zijn van cloudtechnologie en -beheer. Zulke gegronde voorspellingen stuwen de beschikbaarheid van informatie en ontwikkeling van mogelijkheden steeds verder voort. En naarmate mogelijkheden groeien, groeien risico’s mee.
‘We zijn nog geen jaar verwijderd van het moment waarop 70 procent van alle organisaties afhankelijk is van cloudtechnologie en –beheer’
Jaar in jaar uit Voor IT-dienstverleners en –professionals is de tijd nog nooit zo gunstig geweest. Grote organisaties transformeren, kleinere bedrijven digitaliseren wereldwijd mee. Digitalisering schreeuwt om specialisme. Het ene desastreuze datalek na het andere onderstreept die noodzaak. In deze veranderende tijden is bedrijfsveiligheid afhankelijk van beleid. Daarbij hoort niet alleen de juiste netwerkapparatuur, maar evenzeer de kunde om voor te kunnen lichten en bewustwording te creëren. Een ketting is zo sterk als zijn zwakste schakel, dus dienen MSPs en consultants zich vaardig te maken met diverse disciplines. En precies daarbij komt WINMAG Pro - jaar in jaar uit, editie na editie - tegemoet.
Tot zes keer per jaar kan je op ons bouwen om voorzien te zijn van actuele inzichten rondom netwerktechnologie, bedrijfssoftware, unified communications, storage & hosting en het overkoepelende security. In deze editie blikken we terug op de grootste datablunders van 2019, kijken we vooruit op de meest waardevolle securityvoorspellingen van 2020, spreken we marktleiders als LANCOM en BlackBerry en leveren we uitgebreide achtergronden en opinies over maatschappelijke IT-uitdagingen. Is het waardevol voor IT-professionals of prosumers, dan vind je het in de WINMAG Pro. Blijf op de hoogte; blader door.
Clipboard Media & Content Delftweg 147 2289 BD Rijswijk, Nederland Tel: *31(0)15-7600700 Fax: *31(0)15-7600760 info@clipboardmedia.nl www.clipboardmedia.nl UITGEVER Linda Oenema linda@clipboardmedia.nl Tel: +31(0)15-7600700 MARKETING & PR marketing@clipboardmedia.nl Tel: +31(0)15-7600700 REDACTIE Geert van der Klugt Marjon van den Ende redactie@thecontentgroup.nl Tel: +31(0)15-7600707 MET DANK AAN Simone Smits Anniek de Hoop Killian Beers Marijn Quartel Sebastiaan Scheepers Evi van Lieshoud Daniëlle de Vries Anne Borst Alice Chan Lianne van Vliet Ingrid van den Nieuwenhof Sanne van 't Ooster Karianne Hoekstra Ellen Wilkinson VORMGEVING Leroy de Roo Ron de Vos DATA ANALIST Sven de Heer TRAFFIC MANAGER traffic@clipboardmedia.nl Tel: +31(0)15-7600700 THE CONTENT GROUP Lars Kruijdenberg Max Mostert Yinka Alexandre info@thecontentgroup.nl SALES Bart Arkesteijn Jascha Vink sales@clipboardmedia.nl Tel: +31(0)15-7600770 ABONNEMENTEN abo@clipboardmedia.nl DRUKKERIJ Senefelder Misset, Doetinchem Distributie Benelux Betapress BV, Gilze Imapress, Turnhout, België
Redactie WINMAG Pro
WINMAG Pro is powered by Clipboard Media & Content Niets uit deze uitgave mag worden vermenigvuldigd, gekopieerd of op andere wijze worden verspreid zonder uitdrukkelijke toestemming van de uitgever.
3
INHOUD
8 | DE GROOTSTE DATALEKKEN
Vorig jaar was wereldwijd een zeer zorgwekkend jaar als het gaat om datalekken, exploits en backdoor-hacks. Regelmatig kopten de kranten dat gestolen persoons- of bankgegevens op straat lagen. The Midyear Quickview Data Breach Report 2019 publiceerde dat er ruim 4 miljard meldingen bekend zijn over onrechtmatig verkregen gevoelige informatie. Een toename van maar liefst 54 procent ten opzicht van het jaar daarvoor; een record. Wij zetten de grootste lekken van het jaar op een rij, wat jou de handvatten biedt voor het tegengaan van soortgelijke calamiteiten in 2020.
18 | IN VIJF STAPPEN NAAR EEN VEILIGE INFRASTRUCTUUR Geen bedrijf kan meer zonder een goed werkende en betrouwbare IT-infrastructuur. Het is echter niet eenvoudig om deze omgeving te beschermen tegen kwaadwillenden en andere bedreigingen. Aan het woord: gastexpert Thomas Stols, security specialist bij Computest. Vanuit zijn expertise en praktijkervaring beschrijft hij vijf stappen die je helpen om de veiligheid van een IT-infrastructuur te waarborgen.
30 |
HOE DE AANSLAG OP EEN GENERAAL JOUW CYBERVEILIGHEID BEDREIGT
Begin januari stief Iraanse generaal Qasem Soleimani. Oorzaak? Een doelgerichte, Amerikaanse luchtaanval. De ernst van de aanslag haalt oude, staatsbedreigende koeien uit de sloot. Een Iraanse tegenaanval leek onvermijdelijk. Geen paniekvoetbal, want op 7 januari lanceerde Iran een daadwerkelijke raketaanval op Amerikanen in Irak. Alhoewel Iraanse minister Javad Zarif concludeerde dat Iran geen verdere confrontatie wenst, zijn raketten niet de enige dreiging.
34 | 5G BREEKT DOOR 22 | DE DWARSDOORSNEDE
VAN WI-FI 6
De nieuwe draadloze LAN-standaard, Wi-Fi 6, schept hoge verwachtingen voor verbetering in high-densityomgevingen. ‘En terecht’, zegt Jan Buis, de Nederlandse Vice President Business Development bij het Duitse LANCOM Systems. Het belangrijkste pluspunt van Wi-Fi 6 is dat het efficiënter met het beschikbare spectrum omgaat. In gebieden met meerdere Wi-Fi-clients, vermindert Wi-Fi 6 het botsen van signalen en verbetert het de totale verwerkingssnelheid. Wij spraken Buis. Niet om gezellig te babbelen, maar om kansen voor zowel dienstverleners als eindgebruikers te verkennen. 4
WWW.WINMAGPRO.NL
MAAR ZIJN WE DAAR WEL OP VOORBEREID?
5G staat op het punt de wereld te veroveren. Naar verwachting is deze technologie maar liefst 100 keer sneller dan de huidige 4G-systemen, met tot 25 keer lagere latency of doorlooptijd, en ondersteuning voor maar liefst een miljoen apparaten binnen een vierkante kilometer. De verwachting is dan ook dat de hoeveelheid data in 2025 zal stijgen tot zo’n 175 zettabytes wereldwijd. Ter referentie: toen 4G in 2010 wereldwijd beschikbaar kwam, steeg de hoeveelheid data met 1,2 zettabytes. Wij belichten de kwetsbaarheden en kansen die bij zo’n geweldige ontwikkeling komen kijken.
As your IT systems get more complex PRTG keeps it simple
004148/NL/20200206
PRTG Network Monitor helps systems administrators to gain visibility and control of their increasingly complex IT systems. Applications, devices, systems and traffic are monitored 24/7 in a single pane of glass, making it easier to identify and troubleshoot problems before they happen.
LEARN MORE www.paessler.com/prtg Paessler AG // info@paessler.com // www.paessler.com
EVENTS
50 | OVERHEID STEEKT KOP IN HET ZAND
DE VINGERTJES WIJZEN NAAR CITRIX oor problemen in de beveiliging van Citrix, D besloten veel bedrijven onder andere thuiswerk-accounts voor enige tijd buiten gebruik te stellen. Werkend Nederland moest misschien massaal de weg op. Naast het mogelijke ongemak van lange files, leverde het beveiligingslek gigantische bedrijfsrisico’s op. ‘De digitale poorten, lek als een mandje’,
zo kopten vele kranten. Het lek was al een aantal weken bekend bij Het Nederlandse Nationaal Cyber Security Centrum (NCSC), maar er was lange tijd geen update beschikbaar. Ondertussen waren er sterke aanwijzingen dat hackers klaarstonden om op grote schaal persoonsdata te stelen in ruil voor losgeld. Waar ging het mis?
46 | VERRASSENDE DIGITALISATIE
IN EEN PAPIEREN INDUSTRIE
De grafische industrie heeft de afgelopen twintig jaar behoorlijk onder druk gestaan. De financiële crisis droeg daar zwaar aan bij en leek de markt te dwingen tot innovatie. Het resultaat? Een vertaalslag van analoge naar digitale technologie: de opkomst van productieprint. Na een turbulente periode en een papierloos toekomstbeeld, lijkt de printmarkt een plek gevonden te hebben in een uiterst digitaal tijdperk. Om meer te weten te komen over Production Printing, de toekomst van de printmarkt en uitdagingen voor marktleiders en dienstverleners, spraken we Marcel Ebbenhorst, gastexpert en Manager Production Print bij KYOCERA Document Solutions.
80 | ONTMOET HET KANAAL: IT-EVENTS
Geregeld worden er IT-evenementen in Nederland georganiseerd. Wekelijks vindt wel ergens een congres, lezing of workshop plaats. Van groot en massaal tot klein en intiem, maar altijd inspirerend en informerend. Wij zetten de meest interessante en belevingswaardige IT-events op een rij.
6
WWW.WINMAGPRO.NL
54 |
HET HOOGNODIGE OFFICE 365 LAAT TE WENSEN OVER
In 2021 maakt naar schatting 70 procent van de grote organisaties gebruik van Office 365, het cloudplatform van Microsoft. Voordelen zoals schaalbaarheid en operationele efficiëntie zorgen ervoor dat het platform de komende jaren een belangrijke rol speelt in de groeistrategie van veel verschillende organisaties. Vanuit securityoogpunt heeft het gebruik van Office 365 echter enkele beperkingen. Additionele beveiligingsmaatregelen zijn dan ook geen overbodige luxe om ervoor te zorgen dat data en netwerken veilig zijn. Al met al laat Office 365 te wensen over, maar met een beetje extra inzet kunnen de securityobstakels overbrugd worden. Hoe? Dat vertelt gastexpert Tony Pepper.
Wij doen zelf de boekhouding met InformerOnline MKB! ADVERTENTIE Richard van 't Bakkertje
smart online boekhouden
SECURITY / ACHTERGROND
Vorig jaar was wereldwijd een zeer zorgwekkend jaar als het gaat om datalekken, exploits en backdoor-hacks. Regelmatig kopten de kranten dat gestolen persoons- of bankgegevens op straat lagen. The Midyear Quickview Data Breach Report 2019 publiceerde dat er ruim 4 miljard meldingen bekend zijn over onrechtmatig verkregen gevoelige informatie. Een toename van maar liefst 54 procent ten opzicht van het jaar daarvoor. Een record! TEKST MARJON VAN DEN ENDE
roeiende trends zijn chain-aanvallen; één groot of middelgroot bedrijf dat ongemerkt hacksoftware toelevert naar soms wel honderden kleinere bedrijven. Partners, leveranciers, klanten en alles daartussenin. Ook ransomware is nog steeds een ongekend populair middel om bedrijven te chanteren om grote sommen losgeld te betalen. De meest spraakmakende hacks zijn veelal geldgedreven. Tegelijkertijd had een grondiger cyberbeleid het gros van de lekken tegen kunnen gaan.
1. Fortnite
Het jaar 2019 begon met de mededeling dat meer dan 200 miljoen gamers wereldwijd het slachtoffer waren van een datalek als gevolg van meerdere kwetsbaarheden in online platform
8
WWW.WINMAGPRO.NL
Fortnite. Op 16 januari van dat jaar verklaarde Epic Games, ontwikkelaar van Fortnite, dat hackers door een fout in het inlogsysteem zichzelf in staat stelden spelers na te bootsen en zogenaamde V-bucks achterover te drukken. Deze in-game valuta werd gereproduceerd via gestolen creditcard gegevens of debetkaarten die op persoonlijke accounts stonden geregistreerd. Securityonderzoekers van Check Point vonden een onbeveiligde url van meer dan tien jaar geleden. De url leidde naar registratiepagina voor Unreal Tournament, een titel die Epic Games voor het eerst ontwikkelde in 1998. De pagina, die sindsdien is gedeactiveerd, stond voor die tijd open voor een cross-site scriptingaanval.
Epic Games heeft het probleem erkend en het lek is gedicht, maar blijft sindsdien druk met een rechtszaak die is aangespannen door getroffen gebruikers. Slachtoffers pleiten dat ze niet tijdig zijn geïnformeerd. Het lek werd immers al in november 2018 ontdekt, maar dat maakte Epic Games destijds niet wereldkundig. Fortnite erkent dat getroffen Fortnite-gebruikers aantoonbaar verlies hebben geleden door frauduleuze kosten. Epic Games geeft echter geen garantie dat de genomen veiligheidsmaatregelen genoeg bescherming bieden en legt een deel van de verantwoordelijkheid bij de gebruikers zelf. 'Gebruik een sterk wachtwoord en deel je account gegevens niet met anderen.’
‘Lekken zijn voornamelijk terug te voeren op een gebrekkig cyberbeleid'
9
SECURITY / ACHTERGROND
2. Evite
Invitatiemanagementbureau Evite verzorgt een 'vlekkeloos' uitnodigingstraject. Maar een security incident in april 2019 deed anders vermoeden. Er was sprake van een verstoring in de beveiliging, waardoor ongeautoriseerde toegang tot het systeem mogelijk werd. Bij nader onderzoek zei Evite dat de inbreuk leidde tot aantasting van persoonlijke gegevens van gebruikers, waaronder namen, inlogdata als wachtwoorden, geboortedata, telefoonnummers en adressen. De gestolen database werd gedumpt op illegale online markten met een verkoopprijs van .2419 Bitcoin, ofwel $ 1.916. Later verklaarde Evite dat de inbreuk een inactief gegevensopslagbestand betrof. Het bestand had weliswaar betrekking op Evitegebruikersaccounts, maar zou uitsluitend gegevens van voor 2013 bevatten. 'Direct nadat Evite op de hoogte was van het lek’, verklaarde het bedrijf, ‘zijn er stappen gezet om de aard en de omvang van het probleem vast te stellen.’ Er werd geconstateerd dat er geen persoonsnummers of betalingsinformatie was achterhaald, omdat het eerste niet wordt gevraagd en het laatste niet wordt opgeslagen. Naast de 'stappen' die Evite nam om het lek te dichten, adviseerde het zijn gebruikers om wachtwoorden te wijzigen, accounts zelf te controleren op verdachte activiteiten, niet op bedenkelijke koppelingen te klikken en voorzichtig om te springen met het delen van persoonlijke informatie.
3. Facebook
‘Gevoelige informatie uit patiëntendossiers sijpelde langs de naden' 10
WWW.WINMAGPRO.NL
Facebookgebruikers lijken al gewend te raken aan het voortdurende risico van gegevensblootstelling. Dit als gevolg van een alsmaar groter aantal apps en programma’s dat toegang heeft tot onvoorstelbaar veel persoonlijke informatie.
Lang niet alle 'derde' partijen – die profiteren van een samenwerking met Facebook - slaan gebruikersgegevens op beveiligde servers op, wat kan leiden tot enorme datalekken. Zo bleek in april 2019, toen het UpGuard Cyber Riskteam meldde dat digitaal mediabedrijf Cultura Colectiva meer dan 540 miljoen persoonlijke records van gebruikers had achtergelaten op een openbaar toegankelijke server. Rond diezelfde periode werd ook een ander – hetzij kleinere – datalek ontdekt. Nóg zorgwekkender dan zijn voorganger. Een op Facebook geïntegreerde app, genaamd 'At the Pool', ontblootte de wachtwoorden van meer dan 22.000 gebruikers via een back-up in een Amazon S3-bucket, waarin de wachtwoorden werden opgeslagen als platte tekst. Aangezien veel gebruikers de neiging hadden om steeds dezelfde wachtwoorden te gebruiken voor diverse apps, konden kwaadwillende entiteiten kinderlijk gemakkelijk toegang krijgen tot tienduizenden Facebook-accounts. Facebook stelde dat het betreffende platform werd verwijderd en het risico tot gegevensverlies adequaat probeerde te verlagen. Onder andere door een uniek cijfer aan elk Facebook-ID te koppelen, waardoor het moeilijk wordt om de betreffende gebruiker te vinden. Later in het jaar bleek dat ook deze gegevens makkelijk te kraken waren door schamele beveiliging op een server die niet door Facebook zelf werd beheerd. Komt bekend voor. Zelfs nog in de herfst van 2019 werd er een datalek ontdekt dat privéinformatie van 29 miljoen gebruikers blootlegde.
mate van kwetsbaarheden in hun cyberbeveiliging. In sommige gevallen was de situatie dusdanig kritiek te noemen dat een stante pede interventie genoodzaakt bleek om rampspoed te vermijden. Zo bleken babycams
Een aanmerkelijke factor voor het aantal datalekken waar hacking of andere vormen van cybercrime aan ten grondslag liggen, zit in het gebrek aan bewustwording. Er is veelal onvoldoende kennis over cybersecurity.
‘De kraan dichtdraaien is een oplossing. Punt is dat je vervolgens staat te dweilen’ bijzonder vatbaar voor kraken, aangezien deze eerder wel dan niet op fabrieksinstellingen gebruikt werden. In één van de kleinere gevallen was 25 procent van de software verouderd. Daarnaast hadden vijf van de tien grootste ziekenhuizen niet al hun software geüpdatet, wat het uitermate makkelijk maakt voor cybercriminelen om in het systeem te sluipen. Wat opvalt is dat de onderzochte kleinere ziekenhuizen beduidend beter scoorden en geen verouderde software gebruikten. Bijna een derde van het totaalaantal Nederlandse datalekken vond in 2019 in de gezondheidszorg plaats. Bijna 30 procent van de 21.000 meldingen was afkomstig uit deze sector. De meeste meldingen werden naar aanleiding van een hack- of phishingaanval gedaan.
Het treffen van geschikte maatregelen om het risico op datalekken te voorkomen klinkt voor deskundige cybersecuritypartijen als uitermate logisch. Echter, het updaten van software, verouderde netwerken vervangen door veilige en nieuwe exemplaren en het faciliteren van gesegmenteerde computernetwerken en –systemen, klinken voor de gezondheidssector eerder provocerend. Bij beveiligingsincidenten is het meest makkelijke en laagdrempelige devies van de Autoriteit Persoonsgegevens (AP) kort maar krachtig: 'gebruik beveiligde instellingen voor smart- of IoT apparaten!’. De kraan dichtdraaien is een oplossing. Punt is dat je vervolgens staat te dweilen. Staat die kraan überhaupt nooit open, dan ben je in elk opzicht beter af. Op naar een beter 2020!
Het bedrijf heeft in de loop der jaren te maken gehad met tal van privacykwesties, waaronder het Cambridge Analytica-schandaal, dat leidde tot een schikking van $ 5 miljard.
4. De Nederlandse Gezondheidszorg
De cyberbeveiliging van ziekenhuizen in Nederland laat ruimte over voor verbetering. Deze ruimte is groot genoeg om onvoldoende beschermd te zijn voor aanvallen van hackers, wat mogelijk kan leiden tot datalekken. Gevoelige informatie uit patiëntendossiers sijpelden langs de naden van 28 door Cybersprint onderzochte Nederlandse ziekenhuizen. Elke instantie toonde een zekere
11
SECURITY / GASTEXPERT
Cybersecurity
Met het oog op morgen Tal van securitywaakhonden kijken met ingang van het nieuwe jaar uit naar de belangrijkste cybersecuritytrends van de komende tijd. Zo ook Proofpoint, een Californische softwareontwikkelaar die met zijn Threat Insight Team een gedetailleerd oog houdt op hackgroepen en macrodreigingen. Op uitnodiging van de redactie, bood Adenike Cosgrove – Cybersecurity Strategist bij Proofpoint – haar visie op 2020. Hiermee blijf jij op de hoogte van opkomende en vooraanstaande veiligheidsdreigingen – en kansen. TEKST ADENIKE COSGROVE, INERNATIONAL CYBERSECURITY STRATEGIST BIJ PROOFPOINT
n het afgelopen jaar zagen we vooral de massale distributie van Remote Access Trojan (RAT)- en downloadermalware. Daarnaast was er sprake van een significante gedragsverandering van oplichters en steeds geavanceerdere aanvallen op cloud-toepassingen. Samen met een aantal andere trends schetst dit een
12
WWW.WINMAGPRO.NL
beeld van wat ons gedurende 2020 te wachten staat. Cybercriminelen zullen met name e-mail blijven gebruiken om aanvallen uit te voeren. E-mail is namelijk bij uitstek geschikt voor geloofwaardige phishing-campagnes, gerichte malware-aanvallen om organisaties binnen te komen, en voor de
grootschalige verspreiding van banking trojans, downloaders, backdoors en nog veel meer. Cloud-gebaseerde e-mailsystemen zoals Microsoft Office 365 en GSuite worden echter zelf ook belangrijke doelwitten voor cybercriminelen. Zij bieden platformen voor toekomstige aanvallen en verdere verspreiding binnen getroffen organisaties.
Ransomware
Hoewel ransomware nauwelijks voorkwam in schadelijke e-mails bleef het in 2019 de krantenkoppen halen, vooral bij de jacht op de ‘grote’ aanvallen. We verwachten dat dit soort aanvallen in 2020 aanhoudt. Hierbij richten cybercriminelen hun aanvallen op servers en toestellen in bedrijfskritische omgevingen, waarbij de kans het grootst is dat slachtoffers betalen voor het decoderen van hun bestanden. Dit soort aanvallen is echter over het algemeen minder ernstig dan de initiële aanvallen met RAT’s, downloaders en banking trojans. Daarom is preventie van de initiële aanvallen cruciaal voor organisaties en securityteams. Op het moment dat organisaties slachtoffer worden van ransomware, zullen ze in 2020 steeds vaker ervaren dat ze reeds blootgesteld zijn aan verschillende malwarevormen. Deze kunnen potentiële toekomstige kwetsbaarheden creëren en gegevens of intellectueel eigendom blootleggen.
Complexe malwareinfecties
In 2019 werden URL’s vaker gebruikt dan schadelijke bijlagen om malware te verspreiden. De meeste gebruikers zijn geconditioneerd om bijlagen van onbekende afzenders te vermijden. De populariteit van cloud-toepassingen en -opslag betekent echter dat iedereen het gewend is om op links te klikken om een inhoud te kunnen bekijken, te delen en mee te werken. Cybercriminelen zullen hier in 2020 op blijven inspelen. Dit komt enerzijds door de effectiviteit van social engineering. Anderzijds omdat URL’s kunnen worden gebruikt om de detectie van steeds complexere malwareinfecties te verbergen. URL’s waren in het verleden vaak gekoppeld aan een uitvoerbaar bestand waarmee een schadelijk document werd geopend. In 2020 zal het gebruik van verkorte URL’s en systemen voor de distributie toenemen om schadelijke inhoud te verbergen voor securityteams en geautomatiseerde systemen. Tegelijkertijd worden campagnes steeds complexer en zal social engineering worden verbeterd om gebruikers te verleiden tot de installatie van malware. Cybercriminelen zullen Business Email Compromise (BEC)tactieken toepassen in malware- en
GASTEXPERT Adenike Cosgrove is Cybersecurity Strategist voor de internationale markten bij Proofpoint. Cosgrove is een autoriteit op het gebied van belangrijke regionale cybersecuritystrategieën als mensgerichte beveiliging, risicomanagement, dataprivacy en compliance. Voorafgaand aan haar functie bij Proofpoint, adviseerde Cosgrove Europese CISO’s namens Forrester Research en Canalys. De sleutelspecialist wordt met regelmaat uitgenodigd om te presenteren op Gartner’s Security & Risk Management Summit in de VS en Japan. In 2020 deelt zij exclusieve inzichten en adviezen eveneens met WINMAG Pro.
phishing-campagnes. In het geval van BEC-tactieken worden meerdere contactpunten – waaronder LinkedIn – ingezet om een langdurige relatie op te bouwen met het slachtoffer, waarna de verzending van schadelijke inhoud begint. Op dezelfde manier zal modulaire malware, die is ontworpen om een entree te creëren voor secundaire malware, de trend voortzetten van ‘stille infecties’. Hierbij kiezen cybercriminelen een relatief succesvolle weg voor de aanvankelijke infectie, waarna de vergemakkelijkte, schadelijkere intrusie volgt.
13
SECURITY / GASTEXPERT
‘Hoewel geautomatiseerde systemen kunnen voorkomen dat veel bedreigingen de inbox bereiken, vormen eindgebruikers nog altijd de laatste verdedigingslinie’ Misbruik van legitieme diensten
In dezelfde lijn zullen cybercriminelen steeds vaker misbruik maken van legitieme diensten voor het hosten en verspreiden van kwaadaardige e-mailcampagnes, malware en phishing-kits. Hoewel het gebruik van Microsoft SharePoint-links voor het hosten van malware al enige tijd gebruikelijk is, zien we nu dat dezelfde functionaliteit wordt gebruikt voor interne phishing. Een gecompromitteerd Office 365-account kan bijvoorbeeld worden gebruikt om een interne phishing-e-mail te versturen naar een phishing-kit die via SharePoint op een extern account gehost wordt. Zo worden slachtoffers nooit doorgestuurd naar een externe phishing-site en lijken e-mails te
14
WWW.WINMAGPRO.NL
komen van legitieme mensen binnen de organisatie. Dit type aanval vereist slechts een paar gecompromitteerde accounts en is moeilijk te detecteren, zowel voor eindgebruikers als voor het merendeel van geautomatiseerde beveiligingssystemen. We verwachten dat deze techniek in 2020 vaker zal voorkomen vanwege haar effectiviteit. Op dezelfde manier zal het grootschalige misbruik van andere legitieme cloud-gebaseerde hostingdiensten voor de levering van malware voortduren. Hierbij profiteren cybercriminelen ervan dat iedereen gewend is op links te klikken en dat de meeste organisaties diensten zoals Dropbox en Box niet op een blacklist kunnen wegschrijven.
Brute-force-aanvallen worden slimmer
Naarmate organisaties blijven overstappen op cloud-gebaseerde productiviteits- en collaboratiesoftware, worden deze platformen aantrekkelijker voor cybercriminelen. We zien veel phishing-campagnes met het doel om Microsoft Office 365-inloggegevens te stelen. De focus blijft dus liggen op het compromitteren van accounts voor potentieel gebruik in toekomstige campagnes. Maar ook op verdere verspreiding binnen organisaties en de exploitatie van gerelateerde diensten zoals Microsoft SharePoint. Hoewel traditionele brute-forceaanvallen in 2020 aanhouden,
faciliteren. In het omzeilen van authenticatiesystemen worden de kwetsbaarheden van verouderde e-mailprotocollen benut. Blijf geüpdatet! • Automatisering van brute-forceaanvallen met behulp van tools als Python en Powershell zal toenemen. Dat geldt ook voor hybride aanvallen die van zowel verouderde protocollen als andere infiltratietechnieken gebruikmaken om ongewenste toegang te verkrijgen. Het is opmerkelijk dat vele organisaties de toegevoegde waarde van multifactorauthenticatie herkennen, maar zowel leveranciers als organisaties vinden dat een goede implementatie zijn eigen uitdagingen met zich meebrengt. Daarom kijken organisaties naar biometrie en andere potentiële oplossingen om hun infrastructuur te beveiligen, zij het in eigen beheer of als afgenomen dienst. Leveringsketens leggen partners bloot Kwetsbaarheden in de leveringsketen stonden centraal bij de datalekken van grote retailers in 2013 en 2014. We verwachten dat deze tactiek in 2020 een geraffineerde comeback maakt.
verwachten we dat deze aanvallen steeds geavanceerder en effectiever zullen worden: •A anvallen nemen vaak toe wanneer grote hoeveelheden inloggegevens online beschikbaar komen. Cybercriminelen zullen meer automatisering gebruiken om wachtwoorden te achterhalen. Algoritmes vervangen veelvoorkomende variaties van gelekte wachtwoorden of wachtwoorden die worden vergeleken met soortgelijke, beschikbare online inloggegevens. •K wetsbare netwerkapparaten die door cybercriminelen zijn overgenomen, blijven herhaaldelijk grootschalige brute-force-aanvallen
Veel organisaties staan toe dat leveranciers namens hen e-mails versturen, of het nu gaat om klantrelaties, marketing of andere zaken. We zagen de gevolgen hier al van met grootschalige phishing-campagnes die misbruik maakten van de merken in wiens naam de leveranciers e-mails verstuurden. Daarom eisen organisaties steeds vaker dat leveranciers hun eigen e-maildomeinen gebruiken, om campagnes beter te kunnen volgen en potentiële datalekken te beperken. We voorspellen dat organisaties steeds beter zullen kijken met welke leveranciers ze gaan samenwerken. Uit een recente steekproef van zorgorganisaties kwamen complexe netwerken van leveranciers aan het licht. Veel van die leveranciers pasten niet dezelfde soorten e-mailbeveiliging toe als de organisaties zelf, waardoor risico’s werden gecreëerd kwetsbaarheiden bij de leveranciers te misbruiken. Om te voorkomen dat cybercriminelen van de ene leverancier naar de andere springen, zal het cruciaal zijn om elke leverancier te identificeren en te verplichten om
adequate e-mailbeveiliging toe te passen. Naast de beruchte BEC-aanvallen, die vaak worden gebruikt in verband met leveringsketens, zal het aantal aanvallen op cloud-accounts toenemen. Hiervoor gaan cybercriminelen de geloofwaardigheid van phishingaanvallen vergroten, door zich voor te doen als leverancier of gebruik te maken van gecompromitteerde accounts bij leveranciers. Dit is vergelijkbaar met de manier waarop interne phishing aanvallen mogelijk maakt – maar dan uitvergroot. Dit soort risico’s leidt ook tot verdere implementatie van DMARC. ITsecurity-teams bundelen hun krachten met procurement-teams om een op standaarden gebaseerde aanpak van leveranciersbeveiliging te realiseren.
Bewustwording blijft centraal
Hoewel geautomatiseerde systemen kunnen voorkomen dat veel bedreigingen de inbox bereiken, vormen de gebruikers nog altijd de laatste verdedigingslinie. Naarmate criminelen zich vaker wenden tot spraak-, sms- en social media-benadering, vergroot de rol van bewustwording en training in bedrijfsveiligheid. Schaarse middelen dwingen organisaties om steeds selectiever te zijn in de training die ze aan hun gebruikers geven. Daarom verwachten we de volgende ontwikkelingen. • De prioriteit van training wordt bepaald door de dreigingsinformatie en het soort dreigingen dat organisaties daadwerkelijk ervaren. • Organisaties zullen vertrouwen op eindgebruikers om phishingaanvallen te identificeren die door de eerste verdedigingslinie dringen. We verwachten een bredere toepassing van ingebouwde mechanismen voor e-mailrapportage, inclusief automatisering, om te voorkomen dat IT-systemen worden overweldigd. • Organisaties zullen zich tijdens de training richten op interne phishing en gecompromitteerde e-mailaccounts, omdat deze moeilijk te detecteren zijn met geautomatiseerde systemen.
MEER LEZEN ?
www.winmagpro.nl/security
15
TECH INSIDE
Stad van de toekomst Woven City ‘Wanneer worden auto’s zelfsturend? Wanneer weet men wat ik denk? Wanneer vliegen auto’s? En, misschien nog wel belangrijk, wanneer veranderen auto’s in gigantische robots?’ Op de CES bracht Toyota het nieuws. ‘Woven City’ een futuristische smartstad, gelegen aan de voet van Mount Fuji - is in ontwikkeling. Niemand minder dan Akio Toyoda, president van Toyota Motor Corporation, deelde de gigantische plannen voor de toekomstige megastad. ‘We stuwen de toekomst van AI, mobiliteit en robotica voort. Dat doen we op diverse locaties, verspreid over de hele wereld. Het concept ontstond spontaan. Het idee was simpel. Waarom werken we nog in virtuele omgevingen? Er is geen beter alternatief. Dus creëren we een alternatief.’ Dat alternatief wordt verwezenlijkt als stad. De bouw is nog niet begonnen, de werving van uiteenlopende geïnteresseerden wel. Woven City zal een kans zijn om autonome, slimme technologie te toetsen. Toyota betreedt de IoTmarkt. Wat nu nog een prototype is, belooft de grootste use case van IoT-infrastructuur te worden.
16
WWW.WINMAGPRO.NL
Plan van aanpak De eerste bewoners van Woven City zullen bestaan uit Toyota-medewerkers, hun families, wetenschappers en de nodige retailers. Grofweg 2.000 man. ‘We beginnen met een virtuele versie. Een digitale kopie, waarmee we de overgang van theorie naar praktijk vergemakkelijken. Het eindpunt is een stad met mensen, gebouwen en auto’s die continu communiceren door middel van data en sensoren. ‘Daarbij komt AI om de hoek kijken. Op een manier als nooit tevoren. Door algoritmes de kans te geven om de fysieke levens van inwoners te verbeteren, hopen we de stigmatisering rondom AI tegen te gaan. AI is kansrijk. Technologie zal de wereld verbeteren, niet breken.’ ‘Je kan denken dat ik gek ben. Of de rol van een Japanse Willy Wonka heb aangenomen. Je hebt het juist. Toyota is begonnen als producent van weefgetouwen. We vlechten geen katoen meer, maar steden. Was er nooit iemand zo gek geweest om auto’s te gaan fabriceren, dan stond ik hier niet. Woven City gaat niet om Toyota. Woven City gaat om iedereens toekomst.’
17
SECURITY / GASTEXPERT
In vijf stappen
Naar een veilige infrastructuur Geen bedrijf kan meer zonder een goed werkende en betrouwbare IT-infrastructuur. Het is echter niet eenvoudig om deze omgeving te beschermen tegen kwaadwillenden en andere bedreigingen. Aan het woord: gastexpert Thomas Stols, security specialist bij Computest. Vanuit zijn expertise en praktijkervaring beschrijft hij vijf stappen die je helpen om de veiligheid van een IT-infrastructuur te waarborgen. TEKST THOMAS STOLS, SECURITY SPECIALIST BIJ COMPUTEST
onder IT vallen bedrijfskritische processen stil en is het niet mogelijk klanten te bedienen. Het is dan ook logisch dat er steeds meer aandacht is voor de security van de infrastructuur.
18
WWW.WINMAGPRO.NL
Een enkele cyberaanval kan er immers al voor zorgen dat een organisatie enkele dagen stilgelegd wordt. Bovendien maken strengere eisen voor de privacy en bescherming van data, IT-security een belangrijk speerpunt.
Het is echter niet eenvoudig om een omgeving te beschermen tegen kwaadwillenden en andere bedreigingen. Niet eenvoudig, maar absoluut mogelijk. De volgende stappen zijn een prima startpunt voor het inslaan van de juiste, veilige richting.
1. Maak een risicoclassificatie voor je systemen
Security gaat over het managen van je risico’s. Niet alle systemen, bedrijfsprocessen of data zijn even belangrijk voor de bedrijfsvoering. Dit betekent dat de mate van beveiliging ook niet voor alle omgevingen gelijk hoeft te zijn. Het beveiligingsniveau moet in overeenstemming zijn met het risico dat je loopt wanneer de integriteit, vertrouwelijkheid of beschikbaarheid van het systeem geschaad wordt. Veel bedrijven hanteren nog één beveiligingspolicy voor de gehele omgeving. Dit heeft als nadeel dat deze mogelijk niet voldoende aansluit bij het daadwerkelijke risico. Wanneer de policy te strikt is voor sommige omgevingen, zijn hier bovendien onnodige kosten mee gemoeid. En als het juist niet strikt genoeg is, dekt het mogelijk niet alle risico’s. Om dit te vermijden, is het slim om verschillende risicocategorieën te maken. Stel vervolgens voor deze categorieën de verschillende inschalingscriteria vast. Zo kun
‘Security gaat over het managen van je risico’s. Niet alle systemen, bedrijfsprocessen of data zijn even belangrijk voor de bedrijfsvoering’ je bepalen in welke risicocategorie een systeem zou moeten vallen. Zie voorbeeld 1.1 van risicocategorieën en de inschalingscriteria. Hierna kan er een inventarisatie gemaakt worden van alle systemen. De systemen worden ingedeeld in categorieën die passen bij de risicoklasse. De gemaakte
‘Classificeer je de gewichtigheid van diverse bedrijfsprocessen, betrek dan altijd de relevante stakeholders’
inschalingscriteria moeten leidend zijn in deze inschatting. Zie voorbeeld 1.2 van een dergelijke indeling waarbij de systemen in een bepaalde risicoklasse zijn geschaald. Systemen worden in de betreffende risicoklasse geschaald wanneer ze voldoen aan tenminste één van de gestelde eisen. Voldoen ze aan geen van de eisen, dan gaan ze een klasse omlaag, totdat een klasse gevonden wordt waarbij de applicatie aan tenminste één van de eisen voldoet. Het is van belang dat bij de classificatie de juiste stakeholders betrokken worden. Enerzijds om de benodigde informatie en beslissingsbevoegdheid aanwezig te hebben, anderzijds om stakeholders mee te nemen in het proces voorafgaand aan de implementatie van het beleid. Dit leidt vaak tot meer draagvlak.
Risicocategorieën
Laag
Gemiddeld
Hoog
Kosten per dag dat het systeem niet beschikbaar is
Minder dan € 1000,-
Tussen € 1.000,en € 10.000,-
Meer dan € 10.000,-
Persoonsgegevens
Bevat geen persoonsgegevens
Bevat persoonsgegevens
Bevat bijzondere persoonsgegevens
Imagoschade bij een incident
Geen omzet (intern Omzet lager dan of ondersteunend) €1 miljoen per jaar
Omzet hoger dan €1 miljoen per jaar
Voorbeeld 1.1: risicocategorieën en de inschalingscriteria.
Asset
Risicoclassificatie
Reden
Publieke website
Laag
Geen persoonsgegevens, enkel visitekaartje.
Webshop
Hoog
Bevat persoonsgegevens en aanzienlijke omzetderving bij incident.
CRM
Gemiddeld
Bevat persoonsgegevens.
Voorbeeld 1.2: indeling van systemen in een bepaalde risicoklasse. 19
SECURITY / GASTEXPERT
2. Creëer een securitybaseline voor de classificatieniveaus
Policy
Laag
Gemiddeld
Hoog
Authenticatiemiddel
Geen
Gebruikersnaam/ wachtwoord
Multi-factor authenticatie
Ontsluiting
Publiek
IP-whitelisting
Enkel toegankelijk vanaf intern netwerk
Schakel bij deze stap altijd een second opinion in. Zo weet je zeker of een
Beschikbaarheid
Geen specifieke eisen
Redundant
Redundantie op gescheiden fysieke locaties
‘Het doel is uiteindelijk dat alle systemen, zowel intern als extern, aan een securitybaseline voldoen’
Patch policy
Maandelijks
Wekelijks
Dagelijks
Dataopslag
Geen specifieke eisen
Binnen de EU
Binnen de EU en versleutelde opslag
Monitoring
Geen specifieke eisen
Gedetailleerde logging
Gedetailleerde logging en alerting
Bedenk per risicoklasse welke securitymaatregelen je wilt opleggen. Dit vormt een minimale baseline waaraan alle systemen binnen een risicoklasse dienen te voldoen. Zie voorbeeld 2.1 van een dergelijke baseline.
maatregel zinnig en passend is bij het risiconiveau. Externe hulpmiddelen om de baseline te bepalen zijn checklists en leidraden zoals de ‘5 basisprincipes van veilig digitaal ondernemen’ van het DTC1 of ISO270022 voor algemene maatregelen, of checklists van Certified
20
WWW.WINMAGPRO.NL
Voorbeeld 2.1: indeling van systemen in een bepaalde risicoklasse Secure3 of OWASP ASVS4 voor applicatieontwikkeling en infrabeheer. De securitybaseline is niet alleen handig als leidraad voor systemen die in eigen beheer zijn. Deze maatregelen
kunnen ook bij externe leveranciers worden neergelegd of meegenomen worden in selectieprocedures en contractonderhandelingen. Het doel is uiteindelijk dat alle systemen, zowel intern als extern, aan de baseline voldoen.