Tijdens de corona crisis hebben diverse bedrijven in alle haast de infrastructuur van het bedrijf geschikt gemaakt om te werken vanaf thuis. Echter wij kunnen zien (van buiten naar binnen) dat het gros van bedrijven niet de juiste beveiligingsmaatregelen heeft genomen. Hieronder in hoofdlijnen een reflectie van de gevolgen en wat je er concreet tegen kunt ondernemen.

De bedreigingsactoren die we verwachten dat ze zich richten op op mensen die thuis werken lijken sterk op die van de werknemers op kantoor, maar werken op afstand en dit leidt tot een groter digitaal oppervlak (je thuis pc vormt een extra ingang voor hackers) waarbij je via meerdere wegen een aanval tot stand kan brengen. Hierdoor kan de controle op specifieke bedrijfs eigen systemen of processen in gevaar komen.

In hoofdlijnen zijn er de volgende partijen actief die het specifiek hebben gemunt op de thuiswerker.

Cyber/georganiseerde misdaad: Cybercriminaliteitsgroepen hebben de capaciteit en de vaardigheden om gerichte aanvallen uit te voeren op eindgebruikers met een verhoogd volume als gevolg van werk-van-huis (wfh) omstandigheden. Het gebruik van persoonlijke apparaten met minder veiligheidsmaatregelen/controles maakt gebruikers aantrekkelijker voor dergelijke operaties. Toegang tot zakelijke diensten en middelen, zelfs vanaf de eigen apparaten van de eindgebruiker, maakt het doelwit aantrekkelijker, omdat de kans op ongeoorloofde toegang aanzienlijk wordt vergroot.

Fraudeurs: Verwacht wordt dat de fraudepogingen zullen toenemen, waarbij gebruik wordt gemaakt van de COVID-19-uitbraak. Deze zullen waarschijnlijk vooral effectief zijn tegen werknemers die niet gewend zijn aan het werken met persoonlijke en/of mobiele apparaten. Zie ook de recente publicatie van Europol.

Accidentele / kwaadwillige indringer: Niet-vijandige dreigingsactoren die speciale aandacht nodig hebben, zijn de gebruikers zelf. Degenen die niet gewend zijn om op afstand te werken, kunnen problemen ondervinden met het per ongeluk blootleggen van gevoelige gegevens, fouten bij het delen van bestanden, enz.

Hacktivisten: Regelmatige phishing-aanvallen zullen zich blijven ontwikkelen, vooral nu de eindgebruiker meer wordt blootgesteld aan het internet, waar ze gemakkelijker kunnen worden gericht.

Overheidsactoren: Werken op afstand strekt zich uit tot overheids- en andere kritieke infrastructuureenheden, die topdoelen zijn voor overheidsactoren. Verwacht wordt dat dergelijke activiteiten zullen toenemen, aangezien de gebruikers ook in de toekomst vanuit huis toegang zullen hebben tot beperkte middelen.

Bron Europol Report

Hier zijn zes cyberdreigingen waaraan de thuiswerker wordt blootgesteld:

Aanvallen op de beschikbaarheid: Een grotere afhankelijkheid van oplossingen voor toegang op afstand, zoals VPN’s, kan de impact van deze aanvallen vergroten. Verwacht wordt dat het internetverkeer tijdens de COVID-19-uitbraak standaard aanzienlijk zal toenemen, zodat denial-of-service-aanvallen meer kans van slagen hebben.

Verloren/gestolen laptop: Een beperking zou nuttig kunnen zijn om dit gebruik te beperken, dat over het algemeen betrekking heeft op werknemers op afstand die gebruik maken van openbare plaatsen om toegang te krijgen tot het internet. De kans op deze bedreiging is klein. We hebben dit recent gezien bij KPN waarbij een onderaannemer zijn laptop achterliet bij een klant. Deze klant heeft diverse manieren geprobeerd deze laptop terug te bezorgen bij KPN echter geen enkele response. Op het internet kun je hier verder alles over teruglezen. Een typische geval van een falend security beleid. Tevens bleek ook dat de applicaties zonder 2FA direct toegang verschaften tot diverse bedrijfs kritische systemen van KPN.

Het uitlekken van gegevens als gevolg van onbedoelde openbaarmaking (per ongeluk delen, meekijken over de schouder, enz.): Aangezien de gebruikers zelf als een bedreiging zijn geïdentificeerd, is de kans groot dat de gevoelige informatie van een bedrijf per ongeluk wordt blootgesteld. Cloud-gebaseerde bestandsuitwisselingsplatforms kunnen verwarring veroorzaken tussen wat persoonlijke en bedrijfsgegevens zijn. De voorwaarden van deze bestandsuitwisselingsplatforms zijn door juristen geschreven en voor de consument vaak volstrekt onbegrijpelijk. Als de werknemer geen goede voorlichting heeft ontvangen van zijn haar werkgever welke platformen gebruikt mogen worden dan is dan kans zeer groot dat dit resulteert in een datalek.

Ongeoorloofde toegang tot bedrijfsgevoelige gegevens door middel van een softwarebug: Aangezien toegang tot bedrijfsbronnen en -diensten met gevoelige informatie voor werknemers op afstand het bedrijfsdoel is, zullen aanvallers veel meer kansen hebben om deze omstandigheden te exploiteren.

Phishing: Initiële toegang met behulp van phishing zal de top aanvalsvector blijven, maar nu wordt verwacht dat het succespercentage hoger zal zijn met mogelijk minder beveiligingscontroles en maatregelen die worden toegepast op externe gebruikers.

Gestolen/gelekte gebruikersgegevens hergebruiken: Credentials zal nog steeds het nummer één doel zijn voor aanvallers om toegang te krijgen tot ongeautoriseerde bronnen.

Hoe bouwen we veiligheidscontroles in voor onze thuiswerkers ?

Ten slotte moeten, na onderzoek van de potentiële dreigingsactoren, samen met de tactieken en technieken die zij kunnen gebruiken, veiligheidscontroles worden aanbevolen aan de besluitvormers voor de uitvoering. In het geval van medewerkers op afstand bevelen we de volgende zes beveiligingsmaatregelen aan om het totale risiconiveau van uw organisatie te verlagen.

Geavanceerde eindpuntbescherming: De volgende generatie endpointdetectie en -respons (EDR) en continue monitoring zal een belangrijke bijdrage leveren aan de detectie en respons.

Gecodeerde communicatie: Uitgebreid gebruik van VPN’s met een always-on-model, indien van toepassing, wordt sterk aanbevolen om man-in-the-middle (MITM) aanvallen te beperken. Always-on verwijst naar het idee dat het apparaat van de gebruiker verbonden moet zijn met het aangewezen VPN om toegang te krijgen tot elke bron waarvoor een internetverbinding nodig is.

Verhoogde identiteit en toegangsbeheer: Toegangscontroles moeten worden verbeterd om verloren of gestolen referenties en het hergebruik ervan te beperken. Multi-factor authenticatie wordt ten zeerste aanbevolen voor de toegang tot elke bedrijfsbron, met name de kritische bronnen. Voortdurende monitoring en zichtbaarheid van de toegang is ook zeer nuttig voor auditing en het opsporen van abnormaal gedrag.

E-mail, instant messaging, en bescherming tegen browsen: Geavanceerde en specifieke oplossingen moeten worden gebruikt om gebruikers te beschermen tegen kwaadaardige e-mails en URL’s, die de belangrijkste bedreigingsvectoren zijn. Deze diensten zullen naar verwachting op grote schaal worden gebruikt, gezien de aard van het werken op afstand, zodat ze zwaar onder vuur komen te liggen van de bedreigingsactoren.

Hygiëne van de eindpuntbeveiliging: Endpoints, zowel bedrijfs- als persoonlijk, moeten worden opgenomen in het doorlopende assetmanagementprogramma dat de nieuwste patches afdwingt, kwetsbare software op de juiste manier beheert en de toegang tot elke bedrijfsbron effectief controleert.

Beveiligingsbewustzijn van de gebruiker: De externe omgeving en in veel gevallen de nieuwe tools en oplossingen die kunnen worden gebruikt, moeten goed worden gecommuniceerd en gepresenteerd aan de gebruikers. Gebruikers moeten worden voorgelicht over de risico’s van werken op afstand en over de geavanceerde bedreigingen die zij kunnen tegenkomen. Uitgebreide opleiding en training van de gebruikers is nodig om dit verhoogde risico te beperken, aangezien de gebruikers misschien niet vertrouwd zijn met speciale tools of oplossingen op maat voor werken op afstand, waardoor verwarring tussen persoonlijke en bedrijfsgegevens/bronnen zeer waarschijnlijk is.

Let wel signalering van buitenaf van falende controls kunnen we zien met BitSight (zelfs het lekken van credentials op het dark web) Met Linkshadow kunnen we thuis meekijken welke software op de machine staat van de thuiswerker en of dit een probleem vormt of gaat vormen. Met Cynet kunnen we aanvallen op gebruikerslevel afslaan. (EDR) Kortom de technologie is er. Nu nog de adoptie van bedrijven om de juiste maatregelen te treffen om cyberweerbaar te worden.




ResilientShield.nl