‘Dat overkomt ons niet. Hier valt niks bijzonders te halen.’ Veel organisaties denken geen interessant doelwit te zijn voor cybercriminelen. Helaas onterecht. Mathijs van der Pol is ethical hacker bij Hoffmann en verbaast zich hier iedere dag weer over. “Het is tegenwoordig niet meer de vraag óf je wordt gehackt, maar wanneer.”

Helaas worden organisaties in de praktijk pas wakker als het te laat is of als zij het zien misgaan bij vergelijkbare organisaties. De risico's op een cyberaanval worden nogal onderschat, vertelt Mathijs. "Wie denkt dat zijn organisatie geen interessant doelwit is omdat er niks waardevols te halen valt, heeft het mis. In principe loopt iedere organisatie risico die continuïteit nastreeft en niet wil dat de bedrijfsvoering stil komt te liggen. Ook als je denkt dat de IT-beveiliging nu aardig op orde is. Er worden namelijk dagelijks nieuwe kwetsbaarheden in hard- en software ontdekt."

Tailormade Attack

Bij een cyberaanval wordt er al snel gedacht aan zogenaamde Tailormade Attacks. Cybercriminelen gaan op zoek naar de achilleshiel van een organisatie en dringen diep door tot in het DNA, met zelfs het doel om een vitale infrastructuur te raken. Zo kijken ze hoe ze de beveiliging op het gebied van techniek, mens en organisatie kunnen ontwrichten zonder dat iemand het doorheeft. “Dit soort scenario’s beperken zich niet alleen tot de filmstudio’s in Hollywood. In Nederland zijn het bijvoorbeeld de grote corporate organisaties, vitale aanbieders die zich hier serieus tegen moeten weren. Maar dit is helaas niet de enige manier waarop hackers te werk gaan.”

Niks aanpak op maat. Deze hackers kijken naar zwakke plekken waarmee op korte termijn winst kan worden behaald. Door overal en nergens lijntjes uit te gooien, kunnen ze eenvoudig toeslaan waar de beveiliging zwakke plekken vertoont. Zij gaan op zoek naar laaghangend fruit.”

aldus Mathijs van der Pol, ethical hacker bij Hoffmann

Laaghangend fruit

Dat de middelgrote bedrijven zich hierin niet aangesproken voelen is logisch, constateert Mathijs. Toch zijn zij wel degelijk doelwit, alleen dan voor een ander type hacker. “Niks aanpak op maat. Deze hackers kijken naar zwakke plekken waarmee op korte termijn winst kan worden behaald. Door overal en nergens lijntjes uit te gooien, kunnen ze eenvoudig toeslaan waar de beveiliging zwakke plekken vertoont. Zij gaan op zoek naar laaghangend fruit.”

 

Het is niet de vraag of je organisatie gehackt wordt maar wanneer

De macht van de hacker

Een cyberaanval kan vrij eenvoudig worden uitgevoerd. Je kunt het je niet voorstellen, maar eenmaal binnengedrongen hebben de hackers vaak vrij spel. Denk aan toegang tot zoiets simpels als de kopieën van paspoorten van medewerkers of het klantenbestand met adressen, rekeningnummers en aankoopgegevens. Oftewel data of rekenkracht waar aanvallers graag gebruik van maken: de ‘kroonjuwelen van de organisatie’. “Het klinkt onschuldig, maar eenmaal binnen hebben hackers de macht om de volledige bedrijfsvoering stil te leggen. Er zijn genoeg voorbeelden te noemen waarbij organisaties failliet zijn gegaan door een ransomware aanval.”

Check regelmatig de IT-infrastructuur

Wil je je als organisatie weren tegen de steeds creatiever wordende hackers, dan is een periodieke pentest geen overbodige luxe. “Wijzigt er bijvoorbeeld iets in je interne of externe infrastructuur, lanceer je bijvoorbeeld een nieuwe website of zijn er wijzigingen in je serverpark? Zorg er dan voor dat je dit test voordat je iets in productie neemt. We zien maar al te vaak dat er updates niet worden uitgevoerd, uit angst dat systemen niet meer werken bijvoorbeeld.” Dat is vragen om problemen als je het Mathijs vraagt. “Zie het niet als een controle of de IT-er zijn werk wel goed uitvoert, maar als een preventieve check of de beveiliging van vandaag bestand is tegen de creativiteit van de cybercrimineel van morgen.”

Hacker vindt bijna altijd een weg

Ook als je als organisatie wel degelijk maatregelen treft om de IT-beveiliging te versterken, vindt de hacker vaak toch een weg met de minste weerstand. “Onlangs had ik bij een klant middels een voice-phishing actie het wachtwoord van een van de medewerkers ontfutseld. Toen ik hiermee op afstand probeerde in te loggen, lukte dat niet. Ze maakten namelijk gebruik van twee-factor authenticatie (een extra beveiligingslaag): een zeer effectieve maatregel. Vervolgens ben ik in de auto gestapt en naar het bedrijfspand van de betreffende klant gereden. Eenmaal daar voor de deur geparkeerd ontving ik vrij snel het Wifi-signaal en dus toegang tot het netwerk. Ik kon direct inloggen en had toegang tot het systeem en de e-mail via het account van de medewerker die ik eerder die dag aan de lijn had.”

Het klinkt onschuldig, maar eenmaal binnen hebben hackers de macht om de volledige bedrijfsvoering stil te leggen. Er zijn genoeg voorbeelden te noemen waarbij organisaties failliet zijn gegaan door een ransomware aanval.”

aldus Mathijs van der Pol, ethical hacker bij Hoffmann

Geslaagde werkdag

Mathijs en zijn collega pentesters noemen zichzelf ook wel ethical hackers en doen in feite hetzelfde als de echte hacker. “We gebruiken onze creativiteit om systemen en netwerken binnen te dringen. Zie het als een soort game. Het ultieme doel bij een pentest is om de hoogste privileges te behalen in een netwerk, om in vaktermen te blijven: toegang te krijgen tot de domain controller. Je zit dan als het ware op de troon van de organisatie. Vanuit hier kun je de toegangswachtwoorden resetten, gebruikersaccounts aanmaken, etcetera. Als je dat weet te bewerkstelligen is voor ons een werkdag geslaagd. Tegelijkertijd maken we ons soms serieuze zorgen, want de gatenkazen die wij aantreffen, zijn misschien al eens eerder aangegeten door kwaadwillenden. Uiteraard proberen we dit op meerdere manieren aan te tonen.”

Hun kennis houden ze up-to-date, door bijvoorbeeld de grootste hackersconferenties in Amerika te volgen, zoals Defcon en Blackhat. “En bovendien zijn er hele groepen op het Internet waarin gediscussieerd wordt over de nieuwste kwetsbaarheden. Die volgen wij op de voet. Verschil is dat wij geen kwaad in de zin hebben en ons talent inzetten om organisaties juist te helpen door hun kwetsbaarheden bloot te leggen en ze te adviseren hoe het beter kan.” Lees meer over de mogelijkheden van pentesten.

Meer informatie?

Onze specialisten staan altijd vrijblijvend voor u klaar.

088-2986600

info@hoffmann.nl

Cybersecurity & Security Risk Management

Gijzelsoftware: schade beperken, maar nog beter voorkomen!

Het komt met grote regelmaat in het nieuws, en zo ook vandaag weer: Nederlandse bedrijven worden het slachtoffer van geavanceerde gijzelsoftware. De schade voor die organisaties loopt al snel in de miljoenen. Het zal u niet verbazen dat wij u adviseren om alert te zijn en er alles aan te doen om een dergelijke aanval te voorkomen. Daarvoor staat u een aantal maatregelen ter beschikking.

Cybersecurity & Security Risk Management

7 vragen en antwoorden over pentests

“We denken wel dat we de IT-beveiliging goed geregeld hebben, maar moeten we niet eens toetsen of het echt zo is?” Een terechte vraag die steeds meer organisaties zichzelf stellen. Want de dreiging neemt alsmaar toe. Een pentest geeft inzicht in de grootste risico’s die jouw organisatie loopt als het gaat om cyberaanvallen en in wat je kunt doen om het beveiligingsniveau te verhogen. In dit artikel beantwoorden we een aantal verdiepende vragen over pentests. 

Cybersecurity & Security Risk Management

De informatiebeveiliging op orde: wat is dat eigenlijk?

Afgelopen zaterdag stond er een groot artikel in de Volkskrant: het interne (operationele) netwerk van honderden bedrijven in Nederland was maandenlang toegankelijk voor onbevoegden. Gisteren reageerde Minister van Justitie Ferdinand Grapperhaus in het Financieel Dagblad op dat nieuws: hij wil kunnen ingrijpen bij organisaties die hun digitale beveiliging niet op orde hebben.


 

Wilt u op de hoogte blijven van onze diensten en werkzaamheden? Meld u hier aan voor de periodieke toezending van onze Hoffmann Tips.