Verizon Business: voor een succesvolle cyberverdediging moeten bedrijven de basis op orde hebben

Verizon-2021-DBIR-600

 

Verizon Business presenteerde vorige maand zijn veertiende editie van het Data Breach Investigations Report (DBIR). Infosecurity Magazine sprak met Eric Krol, Security Solution Executive bij Verizon. Deze Nederlander is al sinds 2010 werkzaam bij Verizon Business en heeft meer dan dertig jaar ervaring op het gebied van security.

Eric Krol-400

Om maar meteen met de deur in huis te vallen: welke invloed heeft COVID-19 het afgelopen jaar gehad op de cybersecurity van bedrijven?

"Doordat het merendeel van de werknemers vanuit huis ging werken, moesten in rap tempo veel online-diensten worden geïntroduceerd. De snelheid waarop dit is gebeurd, brengt het risico op fouten met zich mee. Daarnaast proberen criminelen te profiteren van menselijke kwetsbaarheden en de afhankelijkheid van digitale infrastructuren. In het thuiskantoor is men wellicht toch iets minder voorzichtig dan op het bedrijfskantoor."

"Om nog maar te zwijgen over het verschil in beveiligingscontroles.We zien dat veel bedrijven met diverse uitdagingen worden geconfronteerd nu ze veel van hun bedrijfsfuncties naar de cloud hebben verplaatst."

Dus de mens is de zwakke schakel in de cyberverdediging van organisaties?

“Het is duidelijk dat de mens een aantrekkelijk doelwit is voor criminelen. Niet voor niets speelde bij 85% van de datalekken menselijk handelen een rol. Vooral inloggegevens zijn interessant voor cybercriminelen. En dan niet als doel op zich, maar als een handige manier om een organisatie te infiltreren. Aanvallers die in staat zijn een geloofwaardige phishing-e-mail op te stellen, lukt het steeds vaker om inloggegevens te stelen. Het percentage phishing-aanvallen is dan ook met 11% toegenomen. Uit simulaties blijkt dat de click-rate vrij laag is, maar dat die door extra social engineering snel kan stijgen. Een voorbeeld hiervan is dat cybercriminelen niet alleen een phishing-mail sturen, maar dat ze het slachtoffer vervolgens ook bellen om te vragen of ze de schadelijke bijlage in die mail kunnen openen.”

En ransomware dan? Onlangs werd de Colonial Pipeline in Amerika nog platgelegd en de aanvallen op Nederlandse universiteiten liggen maar al te vers in het geheugen.

“Ransomware is ook sterk toegenomen en blijkt nog steeds een lucratief verdienmodel. Bij één op de tien datalekken is er sprake van ransomware, dit is twee keer zo vaak als afgelopen jaar. We zien ook dat ransomware zich heeft aangepast. Nieuwe ransomware-varianten stelen eerst de data en encrypten die daarna. Vroeger werd alleen de data versleuteld. Daarom is ransomware twee keer zo succesvol. Slachtoffers moeten namelijk zowel betalen om de data terug te krijgen als om de sleutel tot de data te krijgen. De aanval op de pijplijn is hier een goed voorbeeld van. Op basis van de data denk ik niet dat wij het hier in Nederland veel beter op orde hebben. Er moet hier meer aandacht voor komen en er zouden meer assessments en simulaties moeten plaatsvinden. We moeten wel een onderscheid maken tussen opportunistische hackers, zogeheten script kiddies, en staatshackers. Het is vooral die laatste groep die zich richt op kritische infrastructuur.”

Hoe kunnen organisaties zich hier het beste tegen verdedigen?

“Ze moeten zorgen dat ze de basis op orde hebben. Cybercriminelen zijn nog altijd uit op het ‘laaghangende fruit’. Ze hoeven niet eens een zeer complexe aanval uit te voeren om succesvol te zijn. Je kan de slagingskans een stuk kleiner maken door simpele controles te implementeren. Zorg in ieder geval voor multifactor-authenticatie. Daarnaast moeten gebruikers alleen toegang hebben tot informatie die ze echt nodig hebben. Bedrijven moeten het niet alleen technisch goed regelen, maar er ook met monitoring op toezien dat alles goed georganiseerd is. Bij het recente datalek van de GGD moest er bijvoorbeeld snel worden opgeschaald. Daardoor hadden mensen toegang tot informatie die niet voor hen bestemd was.”

Tot slot, zie je nog verschillen tussen verschillende soorten bedrijven en sectoren?

“Zeker, er zijn grote verschillen tussen de verschillende branches. In de financiële en verzekeringssector bijvoorbeeld had 83 procent van de gelekte data betrekking op persoonlijke data. In de professionele, wetenschappelijke en technische dienstverlening was dit slechts 49 procent. En de gezondheidszorg wordt bijvoorbeeld traditioneel geteisterd door persoonlijke fouten, zoals het versturen van documenten naar de verkeerde persoon. We zien ook dat de grotere bedrijven hun verdediging vaak beter geregeld hebben dan kleine bedrijven. Dit is niet gek, omdat zij hier vaak meer budget en geschikt personeel voor hebben. Ik raad daarom alle organisaties aan zich te richten op de dreigingen die voor hen het meest relevant zijn.”

Lees ook
Qualys voorspelt meer werkdruk en minder budget voor CISO’s in 2024

Qualys voorspelt meer werkdruk en minder budget voor CISO’s in 2024

Qualys publiceert de voorspellingen voor 2024. Volgens Paul Baird, Field Chief Technical Security Officer van Qualys, moeten CISO’s volgend jaar meer doen met minder. “Zij willen dit mogelijk maken door IT-beveiligingsoplossingen te consolideren en door automatisering te introduceren in hun teams, maar ze willen daarbij wel de verwachtingen van AI1

WatchGuard Threat Lab publiceert Cybersecurity Predictions

WatchGuard Threat Lab publiceert Cybersecurity Predictions

Van de manipulatie van grote taalmodellen tot vishing met AI-gebaseerde chatbots, kunstmatige intelligentie drukt in 2024 een grote stempel op het cybersecuritylandschap. Dit voorspelt het WatchGuard Threat Lab van WatchGuard Technologies in zijn Cybersecurity Predictions voor 2024.

ISACA tips om phishingaanvallen tijdens de feestdagen te vermijden

ISACA tips om phishingaanvallen tijdens de feestdagen te vermijden

Uit de meest recente State of Cybersecurity-gegevens van ISACA blijkt dat 48% van de cybersecurity-experts aangeeft dat het aantal cyberaanvallen het afgelopen jaar is toegenomen. Dergelijke aanvallen worden steeds geavanceerder, omdat cybercriminelen nieuwe technologieën, zoals artificial intelligence (AI), toevoegen om zo hun slagingskans te ver1