Heroverweeg Security @ Work: het gaat veel verder dan wachtwoorden

  1. 23 okt 2018
  2. 0 reacties
stefan

Stefan Sijswerda is Regional Sales Manager bij Okta

In de afgelopen 12 maanden hebben grote, wereldwijde bedrijven als Dixons, Achmea en Ticketmaster ernstige datalekken ondervonden. Volgens Javelin Strategy & Research heeft er nog nooit eerder zoveel identiteitsmisbruik plaatsgevonden als in het afgelopen jaar. Door zulke gebeurtenissen blijft cybersecurity daardoor groot nieuws. Deze voortdurende dreigingen, in combinatie met de nieuwe GDPR-wetgeving, maakt het beschermen van en het toezicht houden op werknemers- en zakelijke gegevens een topprioriteit.

Beveiliging is een belangrijk thema van het laatste Businesses @ Work rapport van Okta. In dit rapport worden real-world, geanonimiseerde gegevens gebruikt uit het Okta-klantennetwerk om trends te spotten in het gebruik van cloud apps. De gegevens laten duidelijk zien dat organisaties niet langer alleen de beste technologieën gebruiken, maar ze ook daadwerkelijk beveiligen.

Toch is er, aangezien het aantal cyberaanvallen alsmaar blijft groeien, nog noodzaak voor bedrijven om elk onderdeel van de beveiliging te versterken. Een aantal stappen die organisaties dienen te nemen om de beveiliging te versterken tegen de dreiging van datalekken, zijn het gebruiken van nieuwe beveiligingstechnieken en het behouden van zowel een streng wachtwoordbeleid als een multi-factor authenticatie (MFA)-beleid.

De volgende bevindingen uit het Business @ Work rapport brengen de nieuwe bedreigingen ​​in kaart waar bedrijven mee te maken hebben en geven tips over hoe ze kunnen worden bestreden.

Maak gebruik van nieuwe technologieën

Organisaties investeren momenteel flink in bedrijven met beveiligingsprogramma's of security use-cases, zoals Jamf, KnowBe4, DigiCert, Cisco Paraplu, Mimecast, Sophos en CloudFlare, die allemaal een plek hebben in de top 15 snelst groeiende apps. Jamf, die software voor het beheren en beveiligen van Apple-apparaten biedt, was de snelst groeiende app onder Okta-klanten met 389 procent groei in het afgelopen jaar. Die groei geeft aan dat IT-afdelingen op zoek zijn naar oplossingen die werknemers de (Apple-) tools geven die ze willen, met de veiligheid en de controle die IT-teams nodig hebben.

KnowBe4, een bedrijf dat trainingen geeft in security awareness, ervoer een groei van 290 procent in het afgelopen jaar als gevolg van een toegenomen focus op het trainen van werknemers om social engineering-aanvallen tegen te gaan. Deze verschuiving in het denken kan direct worden gekoppeld aan de GDPR. Beveiligingstraining wordt meer ingezet omdat organisaties voorzichtiger zijn geworden vanwege de implicaties van GDPR. Alle medewerkers - van stagiair tot het bestuur - zijn verantwoordelijk voor het identificeren en rapporteren van potentiële datalekken en het uitvoeren van de juiste protocollen om persoonlijke gegevens te beschermen. Veiligheidsnormen zouden geen bijlage moeten vormen van het bedrijfsprotocol; ze zouden volledig verweven moeten zijn met de bedrijfscultuur.

Begrijp dreigingsniveaus

Uit het Data Breach Investigations Report van Verizon uit 2017 blijkt dat 81 procent van de aan hacks gerelateerde lekken wordt veroorzaakt door gecompromitteerde inloggegevens - maar wat weten we nog meer over aanvallen op identiteiten? Terwijl China en Rusland de krantenkoppen domineren als het gaat om datalekken en hacking, moeten bedreigingen afkomstig uit andere delen van de wereld niet worden vergeten: omdat meer dan 50 procent van de wereldwijde geanalyseerde aanvallen niet vooraf is bekendgemaakt door de open-source gemeenschap, horen we waarschijnlijk niet over alle incidenten. Van die aanvallen zonder voorafgaande bekendmaking komt 36 procent uit Europa - hiervan komt 19% uit Frankrijk, 12% uit Nederland, 11% uit Rusland en 10% uit Duitsland. Deze cijfers kunnen verdraaid zijn, omdat het voor dreigende actoren simpel is om te doen alsof de bedreigingen ergens anders vandaan komen.

Wat vertellen potentiële dreigingen ons? Het is duidelijk dat zowel cloud als on-premise onder vuur liggen, maar inloggegevens blijven een belangrijke factor voor de hedendaagse bedreigingsactoren. En deze aanvallen zijn niet gelijkmatig verdeeld over de hele wereld. Om zich beter te beschermen, moeten organisaties hun eigen veiligheidsopsporing en -toezicht uitvoeren, en de aanwezige informatie over bedreigingen ten volle benutten. Om het nog moeilijker te maken voor het bedrijfsleven, komt 23 procent van de aanvallen uit Tor exit nodes, met andere woorden, uit het dark web. Tor helpt om cybercriminelen te verhullen in anonimiteit, waardoor deze vaak immuun zijn voor opsporing en vervolging. Tenzij medewerkers een reden hebben om Tor of proxy anoniem te benutten zouden die IP-adressen het beste kunnen worden geblokkeerd.

Verbeteren van wachtwoordbeleid

Om te begrijpen hoe inlog-gebaseerde aanvallen kunnen worden beperkt, is het belangrijk om te begrijpen welke technieken de hackers gebruiken. Drie gemeenschappelijke tactieken zijn onder meer: ​​phishing van inloggegevens, password spraying en brute force-aanvallen. Om phishing van inloggegevens succesvol uit te voeren en een lek te creëren, is er slechts een enkele gebruiker nodig die op een link klikt en inloggegevens invult. In een phishing-aanval doet de aanvaller zich voor als een vertrouwde gebruiker, website of organisatie met als doel een gebruiker te misleiden om zijn inloggegevens te delen. Bij password spraying worden veelgebruikte wachtwoorden gebruikt (bijvoorbeeld: password123) om deze te 'sproeien' over vele domeinaccounts of domeinen met behulp van een cloud-service. In wezen wordt er een gokspel gespeeld in de hoop een werkend wachtwoord te vinden. Brute force-aanvallen zijn vergelijkbaar met password spraying , maar gebruiken een gescript computeralgoritme om te proberen het wachtwoord van een kleinere set gebruikersgegevens te raden.

Er zijn verschillende dreigingsniveaus als het gaat om deze bedreigingen, en bedrijven moeten meerdere stappen zetten om ze tegen te gaan. Een strenger wachtwoordbeleid is er hier één van: een eenvoudige analyse van het vergelijken van het wachtwoordbeleid van bedrijven en een representatieve steekproef van de gevonden publiekelijk blootgestelde wachtwoorden laat zien dat, wanneer de optie wordt gegeven, gebruikers niet de beste keuze maken als het gaat om wachtwoorden. Om de veiligheid te versterken moeten organisaties de richtlijnen volgen van het National Institute of Standards and Technology (NIST). Deze stelt een wachtwoordlengte van minimaal acht karakters voor om complexiteit te bevorderen. Uit onze berekeningen bleek dat slechts 49,5 procent van een representatieve lijst met gebruikte wachtwoorden ten minste acht tekens bevat - en dat is de reden waarom er een wachtwoordbeleid moet worden gevoerd. Alleen al op basis van een rekensom zou een hacker 7000 jaar nodig hebben om een wachtwoord van acht tekens te kraken - maar hackers gebruiken natuurlijk andere tactieken om deze tijd te verkorten tot seconden.

Aangezien honderden miljoenen wachtwoorden online beschikbaar zijn, doordat ze openbaar zijn geworden door lekken in het verleden, zijn aanvallers in staat om te proberen in te loggen op een groot aantal accounts met deze eerder gebruikte en veel gebruikte wachtwoorden. Aanvallers zijn in staat om te profiteren van de slechte gewoonten zoals het toevoegen van speciale tekens aan het eind, of het toevoegen van hoofdletters aan het begin, en gebruik te maken van net genoeg pogingen om onder lockout-drempels te blijven. Ondanks de toenemende complexiteit in wachtwoord gok-algoritmen kunnen organisaties nog steeds de risico's minimaliseren door het afdwingen van regels waardoor werknemers stoppen met het gebruiken van veelgebruikte of gelekte wachtwoorden. Ondanks dat het volgen van de NIST-richtlijnen een sterkere wachtwoordhygiëne als gevolg kan hebben, is er niet één goede manier als het gaat om wachtwoorden. Daarnaast doet wachtwoordsterkte er niet toe bij phishing-aanvallen (waarbij een gebruiker zijn inloggegevens deelt door op een link te klikken). Dus wat kunnen organisaties dan wel doen?

Het implementeren van de juiste multi-factor authenticatie (MFA)

Hoewel een strenger wachtwoordbeleid een belangrijk onderdeel is van de beveiligingspuzzel, moeten bedrijven een twee-factor authenticatie implementeren om de beste bescherming te garanderen. Het goede nieuws is dat de toepassingsmogelijkheden van MFA blijfven groeien, waarbij bijna 70 procent van de Okta-klanten drie of meer factormogelijkheden biedt aan zijn gebruikers van vandaag (vergeleken met 62 procent vorig jaar).

Toch is de implementatie van slechts een tweede factor niet genoeg. Hoewel veiligheidsvragen en SMS meer veiligheid bieden dan helemaal niets, zijn dit niet de beste opties. In plaats daarvan kunnen bedrijven beter veiligere MFA-factoren introduceren, zoals een hardware token als Yubikey of een systeem als Okta Verify. En bedrijven zouden interne en commerciële informatie over actuele bedreigingen moeten monitoren en hun authenticatiebeleid wanneer nodig moeten aanpassen om zo de nieuwste bedreigingen af ​​te wenden.

Veiligheid zal - en moet - een van de belangrijkste zakelijke overwegingen blijven. Door het uitvoeren van eenvoudige authenticatieprocessen en het ruimer gebruik van de beschikbare beveiligingstechnologie in de markt, zullen organisaties in een veel betere positie zijn om de bescherming van gegevens te maximaliseren en voorkomen dat ze de volgende Dixons, Achmea of Ticketmaster worden.