10 tips om waardevolle doelwitten te beveiligen

Aanvallers richten hun pijlen steeds meer op specifieke bestuursleden en werknemers die speciale toegang hebben tot gevoelige zakelijke gegevens. Deze mensen kun je beter beveiligen door een gericht OPSEC-plan te ontwikkelen.

Criminele hackers richten zich op een heel breed publiek aan werknemers, van administratieve assistenten tot de C-level bestuurders van het bedrijf. Het doel is om personeel ertoe te verleiden een klik te doen die ze beter niet hadden kunnen doen, als een malafide bijlage openen of twijfelachtige hyperlink volgen. Ze doen je CEO na om je financiële afdeling zover te krijgen geld over te maken. En ze foppen klanten om inloggegevens te delen met een website die lijkt op de legitieme versie.

De meeste zakelijke IT-systemen zijn goed beveiligd, maar nooit onkwetsbaar. Maar persoonlijke apparaten en tools die werknemers buiten kantoortijden online gebruiken zijn bijvoorbeeld minder beveiligd, wat kwaadwillenden op de manier voet aan de grond geeft in bedrijfsnetwerken.

Ook worden specifieke personen op de korrel genomen, zoals de CFO, omdat deze hoge toegang heeft tot financiële en andere gevoelige data, vertelt IBM's Chief People Hacker Stephanie Carruthers van diens X-Force Red-team dat bestaat uit ervaren white-hat hackers. Andere potentiële doelwitten zijn werknemers met toegang tot gevoelige informatie, zoals IT'ers en informatiebeveiligers, P&O'ers en juristen.

"Het doelwit hangt heel erg af van zijn of haar toegang", zegt Carruthers. Zulk specifiek benaderen komt steeds vaker voor, omdat het veel efficiënter kan zijn. "Het richten op personeel met een hoger risiconiveau helpt criminelen om direct de bron te benaderen van wat ze willen hebben, in plaats van dat ze door het moeras moeten waden."

Criminele hackers kunnen informatie bij elkaar puzzelen over iemand en diens organisatie van publieke social media-accounts of andere bronnen online, die de Open Source Intelligence (OSINT) leveren om zich voor te doen als die legitieme personen voor hun eigen malafide doeleinden, aldus Chester Wisniewski, onderzoeker bij Sophos.

Tegelijkertijd is het lastiger om bedriegers op te merken omdat zoveel communicatie online wordt gedaan. "Als iemand die je kent je opbelt, kun je hem of haar aan de stem herkennen", legt Wisniewski uit. "Online is dat een stuk lastiger."

Om aanvallen tegen de werknemers te weerstaan, ontwikkelen sommige organisaties persoonlijke Operations Security (OPSEC) voor individuen die hogere risico's dragen te plannen, om ze beter te beschermen op zowel kantoor als thuis. Dat gaat verder dan de doorsnee zakelijke beveiligingsprotocollen, -praktijken en -tools om individuele beveiligingstraining en bescherming te bieden.

"Security is altijd lastig voor bedrijven en te veel bieden simpelweg bewustwordingstraining aan alle werknemers", zegt hij. "De volgende stap is extra gerichte aandacht aan OPSEC-plannen voor werknemers die een hoger risico hebben en ik denk dat meer bedrijven dat zouden moeten doen. Het maakt mijn werk als white-hat hacker namelijk een stuk moeilijker."

Hier volgen tien tips en best practices om de effectiefste persoonlijke OPSEC-plannen te ontwikkelen voor werknemers met een hoger risico op alle niveaus:

1. Kijk ook naar privé-accounts, thuisnetwerk en persoonlijke apparaten

"Te vaak kijkt OPSEC enkel naar de zakelijke accounts en niet de privéaccounts en -apparaten die de bestuurder of werknemer eigenlijk het vaakst gebruikt", zegt Alex Hamerstone, compliance-deskundige bij informatiebeveiligingsconsultancy TrustedSec. "De persoonlijke accounts kunnen voor veel aanvallen een beginpunt zijn, bijvoorbeeld door wachtwoordhergebruik of bestuurders die inloggen bij zakelijke diensten via hun eigen apparaat.

Bestuurders zijn makkelijker te raken dan voorheen omdat ze zoveel meer apparaten gebruiken, inclusief laptops, smartphones, tablets, smartwatches en andere IoT-apparaten. "Verbonden auto's zijn ook een opkomend gebied dat een belangrijkere rol gaat spelen de komende jaren", voegt Hamerstone toe. "Een OPSEC-plan moet hier rekening mee houden door apparaten steviger te beveiligen, beperken welke zakelijke data kan worden aangesproken of opgeslagen en kijken naar welke accounts overgenomen kunnen worden vanaf deze apparaten."

Daarbij kijken veel zakelijke beveiligingsprogramma's niet verder dan de muren van het kantoorgebouw. "Dat is een vergissing", vindt Hamerstone. "Het thuisnetwerk van een bestuurder moet worden verstevigd met gelaagde beveiliging. Hij of zij moet een dedicated IP gebruiken die geïsoleerd is van de rest van dat netwerk. Welke soorten data ze kunnen aanspreken vanaf het thuisapparaat moet zijn beperkt, geblokkeerd of verstevigd met sterke versleuteling."

2. Zorg ervoor dat werknemers met een verhoogd risico mee willen werken

Vaak is het grootste obstakel voor het succes van een OPSEC-plan juist de persoon die erdoor beschermd zou moeten worden, zegt de deskundige van TrustedSec. "Het komt vaak voor dat bestuurders tegengas geven op de aanbevelingen van een OPSEC-plan of ze zelfs volledig in de wind slaan als het gaat om persoonlijk gedrag." Hij herinnert zich bijvoorbeeld een CEO die dringend werd geadviseerd om zijn persoonlijke laptop niet mee te nemen naar China en dat toch deed, daarmee mogelijk de informatiebeveiliging van bedrijfsdata frustrerend.

Hamerstone adviseert dan ook om bestuurders concrete voorbeelden geven, of nieuwsartikelen, om te illustreren hoe ze worden belaagd en wat de consequenties zijn van acties. Ook moet een OPSEC-plan zo simpel mogelijk zijn om het behapbaar te maken voor iedereen. "Vergelijk het met een airbag. Het ontwerpen en installeren kost veel tijd en moeite voor de fabrikanten en technici die eraan werken, maar de eindgebruiker merkt daar niets van."

3. Maak een social media-beleid

Aanvallers halen hun OSINT vaak via sociale netwerken als LinkedIn, Twitter, Facebook en Instagram om een social engineering-aanval op te zetten, andere doelwitten te vinden, fysieke locaties te ontdekken en zwakke plekken te vinden in zakelijke IT-systemen, vertelt Hamerstone. Er is een aantal stappen om individuen met een verhoogd risico op sociale media te beveiligen:

  • Maak duidelijke, simpel te volgen richtlijnen over wat acceptabel is om te delen, maar ook wat een risico kan betekenen voor de organisatie. Zo is bijvoorbeeld het reageren op recent nieuws meestal veilig, maar het posten van een selfie in een operationeel centrum natuurlijk niet, legt consultant en IT-verzekeraar Sean Goodwin van accountancy Wolf & Company uit. "Wees realistisch met je beleid, omdat een geheel verbod vrijwel niet is te handhaven. Leg daarnaast ook uit wat side channel-aanvallen zijn en hoe aanvallers zakelijke netwerken binnenkomen met informatie die ze via persoonlijke sociale media bereiken."
  • Houd persoonlijke informatie afgeschermd. Idealiter houden C-level-personeel en andere werknemers met een verhoogd risico hun persoonlijke sociale media-accounts privé, zegt Carruthers. Daarbij zouden alle accounts waar bestuurders naar linken óók afgeschermd moeten zijn. "Vaak als een social media-account privé is, kun je nog steeds een heleboel ontdekken uit foto's en posts die vrienden of familie over ze delen", legt ze uit. In het ideale scenario hebben zij ook allemaal geen openbare accounts.
  • Houd er ook publieke sociale media-profielen op na. Hoge bestuursleden zouden publieke accounts moeten hebben op Twitter, LinkedIn, Facebook en andere prominente sociale netwerken, adviseert Wisniewski. "Het is belangrijk dat je deze accounts claimt, om te voorkomen dat een crimineel jouw identiteit daar overneemt." Bestuursleden hebben dan meestal iemand van het marketingteam die deze publieke accounts beheren en erop posten.
<br>

4. lever regelmatig training voor personeel met verhoogd risico

"Personeel met een hoger risico zou constant aanvullende training moeten krijgen die specifiek op hen gericht is", zegt Carruthers. "Iedereen van de schoonmaker tot de CEO heeft een ander risicoprofiel, dus ze hebben training nodig is die relevant is voor hun profiel."

Werknemers met verhoogd risico zouden specifiek moeten worden getraind op mobiele beveiligingsrisco's. Sommige mensen geloven dat hun mobiele apparaten redelijk veilig zijn, vooral vergeleken met hun computers, en zijn daarom minder op hun hoede als ze een smartphone of tablet gebruiken. "Wanneer ik, als white-hat hacker, phishingmails stuur naar smartphones, is m'n succesratio een stuk hoger dan wanneer ze naar pc's gaan", licht ze toe. Mobiele dreigingen als smishing (SMS phishing) en vishing (voice phishing) zijn in opkomst.

5. Dwing 2FA en wachtwoordbeheerders af

Bedrijven zouden moeten vereisen dat alle werknemers tweefactor-authenticatie (2FA) gebruiken op zowel hun persoonlijke accounts, zoals Gmail of Dropbox, als de zakelijke accounts die ze gebruiken. Daarnaast moeten ze een waschtwoorddbeheerder, bijvoorbeeld 1Password of Dashlane, gebruiken voor hun privé-inlogs en hun zakelijke. "Er gebeuren zoveel inbraken omdat mensen dezelfde wachtwoorden op meerdere accounts gebruiken", zegt Carruthers. Met een wachtwoordprogramma is het praktischer om unieke sterke wachtwoorden te gebruiken op al je accounts.

6. Lieg bij je beveiligingsvragen

Vaak vragen websites je om drie of meer beveiligingsvragen te beantwoorden, zoals "hoe heette je eerste huisdier", zodat die kunnen worden voorgelegd als je je wachtwoord bent vergeten. Maar vaak zijn dit vragen waar je het antwoord op kunt achterhalen via social media en Carruthers' advies is dan ook om foute antwoorden te geven bij het aanmaken op deze vraag. Noteer deze alternatieve feiten bijvoorbeeld in je wachtwoordbeheerder.

7. Maak het gemakkelijk om informatie te authenticeren

Sophos' Wisniewski vertelt dat als managers informatie moeten delen met hun werknemers ze dit eerst op de beveiligde interne wiki plaatsen en dan pas via e-mail verspreiden. Op die manier kan een ontvanger eenvoudig verifiëren dat de informatie die van de manager komt legitiem is.

8. Maak duidelijke procedures voor het verifiëren van verzoeken

Criminelen gebruiken OSINT om een specifieke leidinggevende te imiteren en een e-mail te sturen die lijkt alsof hij afkomstig is van de bestuurder. De e-mail geeft de werknemer een of meerdere redenen om geld over te maken naar een rekeningnummer dat afwijkt van de normale.

Daarom moet je OPSEC-plan een simpele procedure bevatten om te verifiëren of zo'n aanvraag wel legitiem is. "Als een verzoek een bepaald geldbedrag overschrijft of buiten de normale procedure valt, kan je OPSEC-beleid bijvoorbeeld vereisen dat een werknemer een mondelinge en digitale bevestiging zoekt dat het verzoek legitiem is", zegt Wisniewski. "Het doel is om mensen niet te overladen met een teveel aan beveiligingslagen, maar om ze extra stappen te laten zetten op het moment dat deze echt nodig zijn."

9. Heb een proces om verdachte activiteiten te melden

Met 'visihing' doen malafide hackers alsof ze iemand van de IT-afdeling of een andere medewerker zijn en worden personeelsleden een voor een afgebeld, in de hoop dat iemand onoplettend genoeg is om een gebruikersnaam en wachtwoord af te geven. Vaak voelt zo'n personeelslid wel aan zijn water dat er niets in de haak is, maar ondernemen ze verder geen actie op dat gevoel.

Dat wordt alleen maar erger als er geen heldere procedure is om inderdaad een melding te maken. "Zorg ervoor dat je werknemers weten dat en waar ze verdachte activiteiten kunnen melden, zodat je met spoed anderen in de organisatie kunt verwittigen", zegt Wisniewsky. Je kunt bijvoorbeeld denken aan een apart e-mailadres als verdacht@organisatie.nl of een aparte ticket-categorie Verdacht (met hoge prioriteit) in de zelfbedieningsportal of bij de helpdesk, zodat informatiebeveiligers snel op de hoogte zijn.

10. Test personeel met hoger risico regelmatig

Werknemers met een hoger risico zouden regelmatig getest moeten worden op allerlei beveiligingsaspecten bij de eindgebruiker, en met name social engineering-aanvallen. "Stuur ze nep-phishingmails en kijk of ze deze melden bij je beveiligingsteam of dat ze klikken op de link in de e-mail", adviseert IBM's Carruthers. "Kijk of ze gegevens overhandigen aan een legitiem klinkend persoon aan de telefoon. Het punt is dat ze een besef krijgen van hoe zo'n gerichte aanval te werk gaat - en hoe vatbaar ze ervoor zijn."

Related:

Copyright © 2019 IDG Communications, Inc.

7 inconvenient truths about the hybrid work trend
Shop Tech Products at Amazon