27 oktober 2014 -
Begin oktober verscheen op verschillende nieuwswebsites berichtgeving over de diefstal van 1,3 miljoen gebruikersgegevens in Nederland. Het is geen op zichzelf staand bericht. De berichten hierover volgen elkaar steeds sneller op.
En deze maand publiceerde HP nog een onderzoek naar de stijgende kosten van cyberaanvallen. Hieruit bleek dat de kosten door cybercriminaliteit maar liefst met 96 procent gestegen zijn ten opzichte van vijf jaar geleden. Tijd dus voor actie en een gerichte oplossing om cybercrime tegen te gaan.
Cybercrimeschade
"Volgens onderzoek van McAfee lijden Nederlandse organisaties jaarlijks aan maar liefst 8,8 miljard euro schade door cybercrime. Het probleem is dat managers vaak niet bewust zijn van de dreigingen, van de gevolgen op de bedrijfsvoering en in sommige gevallen weten zij nog niet wanneer er precies een aanval plaatsvindt. Ze monitoren de IT-systemen, netwerken en toepassingen nog niet continu. En dat biedt talloze mogelijkheden voor kwaadwillende cybercriminelen," legt Henk van der Heijden, Managing Director (a.i.) bij Comsec Consultancy Nederland & Partner bij TecHarbor, uit. "Ethical hacking is een effectieve methode dat (security-)managers hierbij kan helpen."
De inzet van ethical hackers
Ethical hackers zijn personen die organisaties inhuren voor het plegen van een cyberaanval. Bewust dus. Zwakke punten in IT-systemen en netwerken komen door een dergelijke test aan de oppervlakte. Op die manier kan de organisatie de beveiliging gericht optimaliseren. "Maar ethical hackers hebben onterecht een negatief imago. Dat komt met name door de negatieve beeldvorming bij het woord ‘hacker’. Ethical hackers denken en doen als een echte hacker, maar omdat zij in opdracht van organisaties werken, en hier strenge eisen en procedures bij volgen, werken zij op een ethische manier".
Pas als zij dezelfde tools, tactieken en handelswijze gebruiken, zoals die binnen de aanvallerswereld voorhanden zijn, is de beveiliging optimaal te onderzoeken. Dit betekent dat gedurende een dergelijke hack de nieuwste en meest moderne middelen worden gebruikt. Van der Heijden: "een groot voordeel van ethisch hacken is dat we kijken naar reële dreigingen en hierdoor goed in kaart brengen wat het effect van bepaalde aanvallen is op de bedrijfsvoering. Elk onderdeel van een IT-omgeving is daarbij van belang, omdat ze allemaal onderdeel zijn van de organisatie en een mogelijk risico vormen. Een tweede voordeel is dat deze aanvalsscenario’s speciaal op het betreffende bedrijf zijn toegespitst. Voorafgaande aan de aanval vinden er uitgebreide analyses plaatst waarmee we tot de kern van het probleem komen en hiervoor gericht naar een oplossing zoeken."
Beveiligingsmaatregelingen
Via ethical of legaal hacken test een organisatie haar beveiligingssystemen; zoals firewalls, encryptie, identity & access management (IAM). Werken deze methoden naar behoren? Of is er een sluiproute te ontdekken die ons naar de systemen en netwerken loodst? In veel gevallen blijken er toch zwakke punten in de beveiliging te zitten. Of het nu gaat om kleine bedrijven of bij grote multinationals. Het continu monitoren en updaten van de IT-omgeving is dan essentieel. "Zwakke plekken ontstaan doordat systemen niet draaien op de laatste software. Als deze niet up-to-date zijn, dan hebben de hackers van vandaag de dag vrij spel. Een van de eerste stappen is daarom het continu bijhouden van de statussen van de systemen en netwerken," verklaart Van der Heijden.
Laatste controletest
Hetzelfde geldt voor ethical hacking. Een organisatie is zo sterk als hun laatste controletest. "Tests gebeuren op basis van bedrijfsspecifieke scenario’s. Deze zijn gebonden aan de periode waarin de analyses zijn gedaan. Een eenmalige hack dekt nooit alle aanvalsscenario’s. Dat is vanuit praktisch oogpunt ook bijna onmogelijk," zo stelt Van der Heijden. "Een oplossing is dan om meerdere malen op verschillende momenten de IT-omgeving opnieuw te laten aanvallen. Zo ondervangt u ook de updates en wijzigingen in de systemen, toepassingen en netwerken. Bij het goed inregelen van de cybersecurity draait het vooral om continuering, aandacht en zorgvuldigheid. De hackers ontwikkelen zich, creëren hackernetwerken, zetten marktplaatsen op waar ze onderling ‘wapens’ (tools) verhandelen of nieuwe aanvalstechnieken met elkaar bespreken. Het is aan de (security)-managers en de directies van organisaties om hun bedrijf te blijven beschermen. Door de zwakke punten juist op te zoeken kunnen zij cybercriminelen een stap voor blijven en het bedrijf van een optimale bescherming voorzien."
