‘Dat overkomt ons niet. Hier valt niks bijzonders te halen.’ Veel organisaties denken geen interessant doelwit te zijn voor cybercriminelen. Helaas onterecht. Mathijs van der Pol is ethical hacker bij Hoffmann en verbaast zich hier iedere dag weer over. “Het is tegenwoordig niet meer de vraag óf je wordt gehackt, maar wanneer.”

Helaas worden organisaties in de praktijk pas wakker als het te laat is of als zij het zien misgaan bij vergelijkbare organisaties. De risico's op een cyberaanval worden nogal onderschat, vertelt Mathijs. "Wie denkt dat zijn organisatie geen interessant doelwit is omdat er niks waardevols te halen valt, heeft het mis. In principe loopt iedere organisatie risico die continuïteit nastreeft en niet wil dat de bedrijfsvoering stil komt te liggen. Ook als je denkt dat de IT-beveiliging nu aardig op orde is. Er worden namelijk dagelijks nieuwe kwetsbaarheden in hard- en software ontdekt."

Tailormade Attack

Bij een cyberaanval wordt er al snel gedacht aan zogenaamde Tailormade Attacks. Cybercriminelen gaan op zoek naar de achilleshiel van een organisatie en dringen diep door tot in het DNA, met zelfs het doel om een vitale infrastructuur te raken. Zo kijken ze hoe ze de beveiliging op het gebied van techniek, mens en organisatie kunnen ontwrichten zonder dat iemand het doorheeft. “Dit soort scenario’s beperken zich niet alleen tot de filmstudio’s in Hollywood. In Nederland zijn het bijvoorbeeld de grote corporate organisaties, vitale aanbieders die zich hier serieus tegen moeten weren. Maar dit is helaas niet de enige manier waarop hackers te werk gaan.”

Niks aanpak op maat. Deze hackers kijken naar zwakke plekken waarmee op korte termijn winst kan worden behaald. Door overal en nergens lijntjes uit te gooien, kunnen ze eenvoudig toeslaan waar de beveiliging zwakke plekken vertoont. Zij gaan op zoek naar laaghangend fruit.”

aldus Mathijs van der Pol, ethical hacker bij Hoffmann

Laaghangend fruit

Dat de middelgrote bedrijven zich hierin niet aangesproken voelen is logisch, constateert Mathijs. Toch zijn zij wel degelijk doelwit, alleen dan voor een ander type hacker. “Niks aanpak op maat. Deze hackers kijken naar zwakke plekken waarmee op korte termijn winst kan worden behaald. Door overal en nergens lijntjes uit te gooien, kunnen ze eenvoudig toeslaan waar de beveiliging zwakke plekken vertoont. Zij gaan op zoek naar laaghangend fruit.”

 

Het is niet de vraag of je organisatie gehackt wordt maar wanneer

De macht van de hacker

Een cyberaanval kan vrij eenvoudig worden uitgevoerd. Je kunt het je niet voorstellen, maar eenmaal binnengedrongen hebben de hackers vaak vrij spel. Denk aan toegang tot zoiets simpels als de kopieën van paspoorten van medewerkers of het klantenbestand met adressen, rekeningnummers en aankoopgegevens. Oftewel data of rekenkracht waar aanvallers graag gebruik van maken: de ‘kroonjuwelen van de organisatie’. “Het klinkt onschuldig, maar eenmaal binnen hebben hackers de macht om de volledige bedrijfsvoering stil te leggen. Er zijn genoeg voorbeelden te noemen waarbij organisaties failliet zijn gegaan door een ransomware aanval.”

Check regelmatig de IT-infrastructuur

Wil je je als organisatie weren tegen de steeds creatiever wordende hackers, dan is een periodieke pentest geen overbodige luxe. “Wijzigt er bijvoorbeeld iets in je interne of externe infrastructuur, lanceer je bijvoorbeeld een nieuwe website of zijn er wijzigingen in je serverpark? Zorg er dan voor dat je dit test voordat je iets in productie neemt. We zien maar al te vaak dat er updates niet worden uitgevoerd, uit angst dat systemen niet meer werken bijvoorbeeld.” Dat is vragen om problemen als je het Mathijs vraagt. “Zie het niet als een controle of de IT-er zijn werk wel goed uitvoert, maar als een preventieve check of de beveiliging van vandaag bestand is tegen de creativiteit van de cybercrimineel van morgen.”

Hacker vindt bijna altijd een weg

Ook als je als organisatie wel degelijk maatregelen treft om de IT-beveiliging te versterken, vindt de hacker vaak toch een weg met de minste weerstand. “Onlangs had ik bij een klant middels een voice-phishing actie het wachtwoord van een van de medewerkers ontfutseld. Toen ik hiermee op afstand probeerde in te loggen, lukte dat niet. Ze maakten namelijk gebruik van twee-factor authenticatie (een extra beveiligingslaag): een zeer effectieve maatregel. Vervolgens ben ik in de auto gestapt en naar het bedrijfspand van de betreffende klant gereden. Eenmaal daar voor de deur geparkeerd ontving ik vrij snel het Wifi-signaal en dus toegang tot het netwerk. Ik kon direct inloggen en had toegang tot het systeem en de e-mail via het account van de medewerker die ik eerder die dag aan de lijn had.”

Het klinkt onschuldig, maar eenmaal binnen hebben hackers de macht om de volledige bedrijfsvoering stil te leggen. Er zijn genoeg voorbeelden te noemen waarbij organisaties failliet zijn gegaan door een ransomware aanval.”

aldus Mathijs van der Pol, ethical hacker bij Hoffmann

Geslaagde werkdag

Mathijs en zijn collega pentesters noemen zichzelf ook wel ethical hackers en doen in feite hetzelfde als de echte hacker. “We gebruiken onze creativiteit om systemen en netwerken binnen te dringen. Zie het als een soort game. Het ultieme doel bij een pentest is om de hoogste privileges te behalen in een netwerk, om in vaktermen te blijven: toegang te krijgen tot de domain controller. Je zit dan als het ware op de troon van de organisatie. Vanuit hier kun je de toegangswachtwoorden resetten, gebruikersaccounts aanmaken, etcetera. Als je dat weet te bewerkstelligen is voor ons een werkdag geslaagd. Tegelijkertijd maken we ons soms serieuze zorgen, want de gatenkazen die wij aantreffen, zijn misschien al eens eerder aangegeten door kwaadwillenden. Uiteraard proberen we dit op meerdere manieren aan te tonen.”

Hun kennis houden ze up-to-date, door bijvoorbeeld de grootste hackersconferenties in Amerika te volgen, zoals Defcon en Blackhat. “En bovendien zijn er hele groepen op het Internet waarin gediscussieerd wordt over de nieuwste kwetsbaarheden. Die volgen wij op de voet. Verschil is dat wij geen kwaad in de zin hebben en ons talent inzetten om organisaties juist te helpen door hun kwetsbaarheden bloot te leggen en ze te adviseren hoe het beter kan.” Lees meer over de mogelijkheden van pentesten.

Meer informatie?

Onze specialisten staan altijd vrijblijvend voor u klaar.

088-2986600

info@hoffmann.nl

Cybersecurity & Security Risk Management

Riskmanagement in tijden van een (corona)crisis - deel 2 van een 2-luik

Een crisissituatie, zoals de huidige coronacrisis, vraagt eerst om crisismanagement. Zo probeert u op dit moment, net als de meeste andere bedrijven, de primaire processen van de organisatie operationeel te houden. Bijvoorbeeld door thuiswerken mogelijk te maken, of processen rondom ziekmeldingen te coördineren. Prima, maar als dat eenmaal is geregeld, is er vanuit de leiding van uw organisatie een breder perspectief op de langere termijn vereist.

Cybersecurity & Security Risk Management

Thuiswerken vanwege het coronavirus? Let op deze risico’s! - deel 1 van een 2-luik

Het coronavirus heeft de wereld in zijn greep. Maatregelen worden alsmaar ingrijpender en steeds meer mensen werken vanuit huis. Zoals we altijd zien bij actuele gebeurtenissen, proberen cybercriminelen hier op allerlei manieren misbruik van te maken. In dit artikel schetsen we verschillende risico’s en geven we u praktische tips om te zorgen dat uw organisatie niet ook nog wordt geraakt door cybervirussen .

Cybersecurity & Security Risk Management

Persbericht - Hoffmann en KPN Security beklinken samenwerking

Hoffmann en KPN Security intensiveren de onderlinge samenwerking. Martijn van de Beek (directeur Hoffmann) en Marcel van Oirschot (Executive Vice President KPN Security) plaatsten tijdens NLSecure[ID], het evenement van KPN Security dat op 28 januari plaatsvond, beiden hun handtekening onder de samenwerkingsovereenkomst.


 

Wilt u op de hoogte blijven van onze diensten en werkzaamheden? Meld u hier aan voor de periodieke toezending van onze Hoffmann Tips.