zoeken Nieuwsbrief
      Linkedin    Twitter   
  
nieuws
 

Wat leren we van het hacken van Sony en Apple?

15 september 2014 - Binnen korte tijd kwamen twee grote namen in het nieuws vanwege security-issues rondom hun gebruikersnetwerken: Sony en Apple. Hoewel de achtergrond sterk verschilt, is er volgens Rene Oskam, Benelux-directeur van F5 Networks wel een aantal lessen te leren.

Zowel voor bedrijven die vergelijkbare netwerken bieden, als voor de gebruikers ervan.


 
Reputatieschade
Sony’s PlayStation Network (PSN) werd platgelegd door een DDoS-aanval. Dat gebeurde eerder in 2011; toen lag de data van 77 miljoen gebruikers voor het grijpen. Nu ging het om een gerichte aanval door de groepering genaamd Lizard Squad. Vervelend voor het bedrijf, lastig voor de gebruikers, maar erg grote (persoonlijke) schade bleef uit.
Dat is anders bij Apple. De iCloud-accounts van enkele bekende acteurs en zangeressen zijn gekraakt, met als gevolg dat verschillende privé-foto’s openbaar werden. Rene Oskam: "Hier speelt dus reputatieschade een rol, zowel voor Apple als de personen. Apple claimde al snel dat het niet ging om een hack van hun netwerk, maar dat de bekendheden slachtoffer zijn geworden van goed giswerk, malware en social engineering. Kortom, het zou vooral aan de slachtoffers zelf liggen. Cru, maar mogelijk wel waar."
 
Wat leren we hiervan?
Oskam: "Ten eerste dat bedrijven met grote netwerken en databestanden een meerlaagse beveiliging moeten hebben. Dit helpt tegen de grootschalige en veelzijdige aanvallen die tegenwoordig plaatsvinden, maar ook tegen bewust dan wel onbewust lekken van gegevens binnen de organisatie. Denk hierbij aan firewalls en systemen die controleren wie probeert in te loggen op de netwerken. Ten tweede leren we nogmaals dat mensen voorzichtiger moeten zijn met wat ze in de cloud zetten, en dat zogeheten two-factor verificatie de beveiliging een stuk sterker maakt. Hierbij wordt naast een wachtwoord, gewerkt met een tweede controleslag, bijvoorbeeld een sms-code, of kaartlezer zoals veel banken gebruiken.
De praktijk is echter weerbarstig. Veel bedrijven gebruiken verschillende autonome systemen die matig op elkaar zijn afgestemd en altijd wel ergens beperkingen hebben. Cloud-gebaseerde toepassingen kunnen bijvoorbeeld versleuteld verkeer niet verwerken. Daarom wordt het vaak gewoon maar versleuteld doorgestuurd, inclusief versleutelde aanvallen. De meeste firewalls die bij organisaties worden gebruikt kampen met een vergelijkbaar euvel: zij kunnen wel netwerkverkeer controleren maar hebben geen zicht wat er gebeurt op applicatieniveau, terwijl we steeds meer afhankelijk worden van (mobiele) applicaties."
 
Gedeelde verantwoordelijkheid
Oskam: "Een van de sterkste beveiligingen is een zogeheten ‘context-aware’ bescherming. Een bescherming die weet welke applicaties in een netwerk draaien, hoe ze functioneren en welk verkeer ze verwerken inclusief versleutelde data. Daarnaast wordt rekening gehouden met het soort (mobiele) apparatuur, de locatie van de gebruiker, het tijdstip op de dag, kortom, de hele context die van invloed kan zijn op de beveiligingsstatus. Idealiter doe je dit zowel in de cloud als binnen het bedrijf zelf, zodat de beveiligingslagen beter op elkaar zijn afgestemd, en de kans op kwetsbaarheden tussen die lagen verkleind wordt. Op die manier ben je pro-actief; bedrijven kunnen zich niet langer een reactieve houding permitteren."
En dan nog de gebruikerszijde. Mensen moeten blijven begrijpen dat data in een cloud zetten geen vrijwaring is om er onzorgvuldig mee om te gaan, of te gemakzuchtig te denken over de beveiliging ervan. Oskam: "Uiteraard ligt er een gedeelde verantwoordelijkheid en bedrijven zullen er veel aan doen de opgeslagen gegevens te beschermen, maar het blijft eigendom van de gebruiker. Daarnaast moet beveiliging, en zeker cloud-beveiliging, worden benaderd met de 'ui-tactiek'. Hoe meer lagen hoe beter het midden wordt beschermd. Two-factor, ofwel meervoudige authenticatie is dus aan te raden. Apple en Google bieden dit dan ook aan. Het is aan de gebruiker daarvan te profiteren."

 
 Doorsturen   Reageer  

 

Laatste nieuws

 Citrix onderzoek toont verdeeldheid over werken op kantoor
 Werknemer worstelt met lastige IT-beveiligingsprotocollen
 Gefragmenteerde informatie staat optimale customer experience in de weg
 

Gerelateerde nieuwsitems

 Bedrijven vaak niet bewust van security-risico’s printers
 Mix werk en privé vergroot kans op hack door personeel
 Brandoefening? Nee, cybercrime-oefening!
 Wat te verwachten van security in 2014?
 
 
reacties
 
Er zijn nog geen reacties.

REAGEREN

Naam:
Emailadres:
URL: (niet verplicht) http:// 
 
Reactie/Opmerking:
Ik wil bericht per e-mail ontvangen als er meer reacties op dit artikel verschijnen.
 
Als extra controle, om er zeker van te zijn dat dit een handmatige reactie is, typ onderstaande code over in het tekstveld ernaast. Is het niet te lezen? Klik hier om de code te wijzigen.
In welke gevallen moet je aan de slag met een BAV
reacties
Nederlanders willen vooral buiten kantoor kunnen werken (1) 
Drie eenvoudige tips tegen SIM-swapping (1) 
Nederlander bang voor misleidende online reviews (1) 
Werknemer wil fiets in arbeidsvoorwaardenpakket (1) 
Nederland positieve uitschieter: 62 procent vertrouwt op huidige pensioenstelsel (1) 
Het grote verschil tussen weten en kunnen (1) 
Onderweg naar meer bevlogenheid  (1) 
top10
Sterk gestegen hypotheekrente zorgt voor impasse op woningmarkt
‘Extended reality’ brengt hybride werkers weer naar kantoor
Koffie op kantoor: dit komt er allemaal bij kijken
Risicofactoren voor bedrijfssucces in een wereld na de pandemie
Onderzoek onthult bloeiende ransomware-marktplaats op het dark web
Kennismigranten buiten EU zijn interessant arbeidspotentieel voor schaarste arbeidsmarkt
Een inclusieve werkplek: vier tips om de volgende stappen te zetten
Een ambitieuze bedrijfscultuur realiseren: 'Succes hangt af van ongeduld'
Diverse organisatie trekt accounting talent aan
Werknemer die moeilijk rondkomt, zoekt naar manieren om extra te werken
meer top 10