zoeken Nieuwsbrief
      Linkedin    Twitter   
  
nieuws
 

Wat leren we van het hacken van Sony en Apple?

15 september 2014 - Binnen korte tijd kwamen twee grote namen in het nieuws vanwege security-issues rondom hun gebruikersnetwerken: Sony en Apple. Hoewel de achtergrond sterk verschilt, is er volgens Rene Oskam, Benelux-directeur van F5 Networks wel een aantal lessen te leren.

Zowel voor bedrijven die vergelijkbare netwerken bieden, als voor de gebruikers ervan.


 
Reputatieschade
Sony’s PlayStation Network (PSN) werd platgelegd door een DDoS-aanval. Dat gebeurde eerder in 2011; toen lag de data van 77 miljoen gebruikers voor het grijpen. Nu ging het om een gerichte aanval door de groepering genaamd Lizard Squad. Vervelend voor het bedrijf, lastig voor de gebruikers, maar erg grote (persoonlijke) schade bleef uit.
Dat is anders bij Apple. De iCloud-accounts van enkele bekende acteurs en zangeressen zijn gekraakt, met als gevolg dat verschillende privé-foto’s openbaar werden. Rene Oskam: "Hier speelt dus reputatieschade een rol, zowel voor Apple als de personen. Apple claimde al snel dat het niet ging om een hack van hun netwerk, maar dat de bekendheden slachtoffer zijn geworden van goed giswerk, malware en social engineering. Kortom, het zou vooral aan de slachtoffers zelf liggen. Cru, maar mogelijk wel waar."
 
Wat leren we hiervan?
Oskam: "Ten eerste dat bedrijven met grote netwerken en databestanden een meerlaagse beveiliging moeten hebben. Dit helpt tegen de grootschalige en veelzijdige aanvallen die tegenwoordig plaatsvinden, maar ook tegen bewust dan wel onbewust lekken van gegevens binnen de organisatie. Denk hierbij aan firewalls en systemen die controleren wie probeert in te loggen op de netwerken. Ten tweede leren we nogmaals dat mensen voorzichtiger moeten zijn met wat ze in de cloud zetten, en dat zogeheten two-factor verificatie de beveiliging een stuk sterker maakt. Hierbij wordt naast een wachtwoord, gewerkt met een tweede controleslag, bijvoorbeeld een sms-code, of kaartlezer zoals veel banken gebruiken.
De praktijk is echter weerbarstig. Veel bedrijven gebruiken verschillende autonome systemen die matig op elkaar zijn afgestemd en altijd wel ergens beperkingen hebben. Cloud-gebaseerde toepassingen kunnen bijvoorbeeld versleuteld verkeer niet verwerken. Daarom wordt het vaak gewoon maar versleuteld doorgestuurd, inclusief versleutelde aanvallen. De meeste firewalls die bij organisaties worden gebruikt kampen met een vergelijkbaar euvel: zij kunnen wel netwerkverkeer controleren maar hebben geen zicht wat er gebeurt op applicatieniveau, terwijl we steeds meer afhankelijk worden van (mobiele) applicaties."
 
Gedeelde verantwoordelijkheid
Oskam: "Een van de sterkste beveiligingen is een zogeheten ‘context-aware’ bescherming. Een bescherming die weet welke applicaties in een netwerk draaien, hoe ze functioneren en welk verkeer ze verwerken inclusief versleutelde data. Daarnaast wordt rekening gehouden met het soort (mobiele) apparatuur, de locatie van de gebruiker, het tijdstip op de dag, kortom, de hele context die van invloed kan zijn op de beveiligingsstatus. Idealiter doe je dit zowel in de cloud als binnen het bedrijf zelf, zodat de beveiligingslagen beter op elkaar zijn afgestemd, en de kans op kwetsbaarheden tussen die lagen verkleind wordt. Op die manier ben je pro-actief; bedrijven kunnen zich niet langer een reactieve houding permitteren."
En dan nog de gebruikerszijde. Mensen moeten blijven begrijpen dat data in een cloud zetten geen vrijwaring is om er onzorgvuldig mee om te gaan, of te gemakzuchtig te denken over de beveiliging ervan. Oskam: "Uiteraard ligt er een gedeelde verantwoordelijkheid en bedrijven zullen er veel aan doen de opgeslagen gegevens te beschermen, maar het blijft eigendom van de gebruiker. Daarnaast moet beveiliging, en zeker cloud-beveiliging, worden benaderd met de 'ui-tactiek'. Hoe meer lagen hoe beter het midden wordt beschermd. Two-factor, ofwel meervoudige authenticatie is dus aan te raden. Apple en Google bieden dit dan ook aan. Het is aan de gebruiker daarvan te profiteren."

 
 Doorsturen   Reageer  

 

Laatste nieuws

 Deze acht innovatieve features brengt Zoom uit in 2022
 Vier op de tien Nederlanders nog nooit overgestapt van autoverzekeraar
 Bedrijven moeten meer prioriteit geven aan het welzijn van werknemers
 

Gerelateerde nieuwsitems

 Bedrijven vaak niet bewust van security-risico’s printers
 Mix werk en privé vergroot kans op hack door personeel
 Brandoefening? Nee, cybercrime-oefening!
 Wat te verwachten van security in 2014?
 
 
reacties
 
Er zijn nog geen reacties.

REAGEREN

Naam:
Emailadres:
URL: (niet verplicht) http:// 
 
Reactie/Opmerking:
Ik wil bericht per e-mail ontvangen als er meer reacties op dit artikel verschijnen.
 
Als extra controle, om er zeker van te zijn dat dit een handmatige reactie is, typ onderstaande code over in het tekstveld ernaast. Is het niet te lezen? Klik hier om de code te wijzigen.
advertorial
White paper: E-mail Marketing Automation Trends 2022
Wat kun je in 2022 verwachten op het gebied van e‑mail marketing automation? Welke trends en ontwikkelingen ziet Spotler? En welke thema’s moet je dit jaar in de gaten houden om zoveel mogelijk succes te behalen met je organisatie?
Download het white paper
Lees verder
Trend van eigen thuisbioscoop zet ook in 2022 door
reacties
Traditioneel kerstpakket populairste extra beloning  (1) 
Thuiswerkers klagen het meest over hoofdpijn, stijve nek en vermoeide ogen  (1) 
Bedrijven verwachten tweedeling kantoorwerkers en thuiswerkers (2) 
Laptop veel milieuvriendelijker dan desktop  (1) 
Om veerkrachtiger te zijn, moeten bedrijven zich op snelheid en schaal richten (1) 
25 procent meer omzet verwacht door face-to-face zakendoen (2) 
Agile werken: een fundamentele cultuurverandering (1) 
top10
Vier technologietrends die we de komende jaren steeds vaker gaan zien
Twee derde organisaties in afgelopen jaar slachtoffer geworden van ransomware-aanval
Meer dan een derde van de CMO's verliest talent aan concurrenten
De zes belangrijkste trends voor intelligente documentverwerking in 2022
Brede kijk op netwerksecurity dé uitdaging voor 2022
Van Digital Twins tot afstandscontrole: dít zijn de visualisatietrends van 2022
'Het nieuwe normaal is nu gewoon normaal'
Jongeren zijn extra kwetsbaar voor phishing
Drie manieren om betrokkenheid te creëren bij medewerkers op afstand
Bedrijven willen klantervaring verbeteren in huidige 'digital-first' wereld
meer top 10