‘Dat overkomt ons niet. Hier valt niks bijzonders te halen.’ Veel organisaties denken geen interessant doelwit te zijn voor cybercriminelen. Helaas onterecht. Eén van onze ethical hackers bij Hoffmann komt aan het woord en verbaast zich hier iedere dag weer over. “Het is tegenwoordig niet meer de vraag óf je wordt gehackt, maar wanneer.”

Helaas worden organisaties in de praktijk pas wakker als het te laat is of als zij het zien misgaan bij vergelijkbare organisaties. De risico's op een cyberaanval worden nogal onderschat, vertelt Mathijs. "Wie denkt dat zijn organisatie geen interessant doelwit is omdat er niks waardevols te halen valt, heeft het mis. In principe loopt iedere organisatie risico die continuïteit nastreeft en niet wil dat de bedrijfsvoering stil komt te liggen. Ook als je denkt dat de IT-beveiliging nu aardig op orde is. Er worden namelijk dagelijks nieuwe kwetsbaarheden in hard- en software ontdekt."

Tailormade Attack

Bij een cyberaanval wordt er al snel gedacht aan zogenaamde Tailormade Attacks. Cybercriminelen gaan op zoek naar de achilleshiel van een organisatie en dringen diep door tot in het DNA, met zelfs het doel om een vitale infrastructuur te raken. Zo kijken ze hoe ze de beveiliging op het gebied van techniek, mens en organisatie kunnen ontwrichten zonder dat iemand het doorheeft. “Dit soort scenario’s beperken zich niet alleen tot de filmstudio’s in Hollywood. In Nederland zijn het bijvoorbeeld de grote corporate organisaties, vitale aanbieders die zich hier serieus tegen moeten weren. Maar dit is helaas niet de enige manier waarop hackers te werk gaan.”

Niks aanpak op maat. Deze hackers kijken naar zwakke plekken waarmee op korte termijn winst kan worden behaald. Door overal en nergens lijntjes uit te gooien, kunnen ze eenvoudig toeslaan waar de beveiliging zwakke plekken vertoont. Zij gaan op zoek naar laaghangend fruit.”

aldus één van de ethical hackers bij Hoffmann

Laaghangend fruit

Dat de middelgrote bedrijven zich hierin niet aangesproken voelen is logisch. Toch zijn zij wel degelijk doelwit, alleen dan voor een ander type hacker. “Niks aanpak op maat. Deze hackers kijken naar zwakke plekken waarmee op korte termijn winst kan worden behaald. Door overal en nergens lijntjes uit te gooien, kunnen ze eenvoudig toeslaan waar de beveiliging zwakke plekken vertoont. Zij gaan op zoek naar laaghangend fruit.”

 

De macht van de hacker

Een cyberaanval kan vrij eenvoudig worden uitgevoerd. Je kunt het je niet voorstellen, maar eenmaal binnengedrongen hebben de hackers vaak vrij spel. Denk aan toegang tot zoiets simpels als de kopieën van paspoorten van medewerkers of het klantenbestand met adressen, rekeningnummers en aankoopgegevens. Oftewel data of rekenkracht waar aanvallers graag gebruik van maken: de ‘kroonjuwelen van de organisatie’. “Het klinkt onschuldig, maar eenmaal binnen hebben hackers de macht om de volledige bedrijfsvoering stil te leggen. Er zijn genoeg voorbeelden te noemen waarbij organisaties failliet zijn gegaan door een ransomware aanval.”

Het is niet de vraag of je organisatie gehackt wordt maar wanneer

Check regelmatig de IT-infrastructuur

Wil je je als organisatie weren tegen de steeds creatiever wordende hackers, dan is een periodieke pentest geen overbodige luxe. “Wijzigt er bijvoorbeeld iets in je interne of externe infrastructuur, lanceer je bijvoorbeeld een nieuwe website of zijn er wijzigingen in je serverpark? Zorg er dan voor dat je dit test voordat je iets in productie neemt. We zien maar al te vaak dat er updates niet worden uitgevoerd, uit angst dat systemen niet meer werken bijvoorbeeld.” Dat is vragen om problemen als je het aan onze ethical hacker vraagt. “Zie het niet als een controle of de IT-er zijn werk wel goed uitvoert, maar als een preventieve check of de beveiliging van vandaag bestand is tegen de creativiteit van de cybercrimineel van morgen.”

Hacker vindt bijna altijd een weg

Ook als je als organisatie wel degelijk maatregelen treft om de IT-beveiliging te versterken, vindt de hacker vaak toch een weg met de minste weerstand. “Onlangs had ik bij een klant middels een voice-phishing actie het wachtwoord van een van de medewerkers ontfutseld. Toen ik hiermee op afstand probeerde in te loggen, lukte dat niet. Ze maakten namelijk gebruik van twee-factor authenticatie (een extra beveiligingslaag): een zeer effectieve maatregel. Vervolgens ben ik in de auto gestapt en naar het bedrijfspand van de betreffende klant gereden. Eenmaal daar voor de deur geparkeerd ontving ik vrij snel het Wifi-signaal en dus toegang tot het netwerk. Ik kon direct inloggen en had toegang tot het systeem en de e-mail via het account van de medewerker die ik eerder die dag aan de lijn had.”

Het klinkt onschuldig, maar eenmaal binnen hebben hackers de macht om de volledige bedrijfsvoering stil te leggen. Er zijn genoeg voorbeelden te noemen waarbij organisaties failliet zijn gegaan door een ransomware aanval.”

aldus één van de ethical hackers bij Hoffmann

Geslaagde werkdag

Onze pentesters noemen zichzelf ook wel ethical hackers en doen in feite hetzelfde als de echte hacker. “We gebruiken onze creativiteit om systemen en netwerken binnen te dringen. Zie het als een soort game. Het ultieme doel bij een pentest is om de hoogste privileges te behalen in een netwerk, om in vaktermen te blijven: toegang te krijgen tot de domain controller. Je zit dan als het ware op de troon van de organisatie. Vanuit hier kun je de toegangswachtwoorden resetten, gebruikersaccounts aanmaken, etcetera. Als je dat weet te bewerkstelligen is voor ons een werkdag geslaagd. Tegelijkertijd maken we ons soms serieuze zorgen, want de gatenkazen die wij aantreffen, zijn misschien al eens eerder aangegeten door kwaadwillenden. Uiteraard proberen we dit op meerdere manieren aan te tonen.”

Hun kennis houden ze up-to-date, door bijvoorbeeld de grootste hackersconferenties in Amerika te volgen, zoals Defcon en Blackhat. “En bovendien zijn er hele groepen op het Internet waarin gediscussieerd wordt over de nieuwste kwetsbaarheden. Die volgen wij op de voet. Verschil is dat wij geen kwaad in de zin hebben en ons talent inzetten om organisaties juist te helpen door hun kwetsbaarheden bloot te leggen en ze te adviseren hoe het beter kan.” Lees meer over de mogelijkheden van pentesten.

Meer informatie?

Onze specialisten staan altijd vrijblijvend voor u klaar.

088-2986600

info@hoffmann.nl

Cybersecurity

Defensie (bijna) gehackt door China, hoe zit het met uw organisatie?

Vorige week maakte de MIVD bekend dat het geavanceerde Chinese spionagesoftware heeft aangetroffen op een computersysteem van de Nederlandse krijgsmacht. Het ging om malware waarmee de Chinezen gebruik maakten van een bekende kwetsbaarheid in FortiGate-apparaten van Fortinet. Volgens de MIVD en de AIVD past deze aanval binnen een bredere trend, waarin publiek benaderbare edge devices, zoals firewalls, VPN-servers en e-mailservers worden misbruikt om een organisatie binnen te dringen.

Cybersecurity

Informatiezuil gehackt, uw organisatie plat?

Stel, u heeft een elektronicawinkel. En daar heeft u een aantal laptops, tablets en mobiele telefoons opgesteld staan. Voor klanten, om te testen en uit te proberen. Of u heeft in uw winkel een digitale informatiezuil staan. Daarop kunnen uw klanten bijvoorbeeld opzoeken wat er in andere vestigingen nog op voorraad is. Hoe voorkomt u dan dat via deze apparatuur uw complete netwerk wordt gehackt?

Cybersecurity

Het is niet de vraag óf u het slachtoffer wordt van een cyberaanval, maar wanneer

Op 6 december 2022 werd de stad Antwerpen getroffen door een grote cyberaanval. Hackers drongen de IT-systemen binnen en legden ze plat. De hack heeft tot op de dag van vandaag gevolgen voor het personeel en de inwoners van de stad. Zo werken de systemen van het zwembad, de bibliotheek en de afdeling die vergunningen moet verlenen nog steeds niet naar behoren. Bovendien kost de hack de gemeente minstens 95 miljoen euro, zo werd onlangs bekend. Ook is inmiddels gebleken dat de gemeente meerdere malen gewaarschuwd was voor kwetsbaarheden.


 

Wilt u op de hoogte blijven van onze diensten en werkzaamheden? Meld u hier aan voor de periodieke toezending van onze Hoffmann Tips.