Blog overzicht

Cybersecurity Month: wat houdt onze security-experts 's nachts wakker?

Oktober is de start van de European Cybersecurity Month (ECSM), een jaarlijkse campagne van de EU om cybersecurity te promoten en informatie te delen over de nieuwste best practices en risico's. Je kunt deze resourcepagina raadplegen voor meer informatie over cybersecurity in de EU. Om de start van de maand in te luiden, hadden wij echter iets in gedachten dat dichter bij huis ligt.

Als techbedrijf houdt TransIP zich veel bezig met cybersecurity, dat hoort bij het vak. Daarom leek het ons een goed idee om met een aantal van onze security-experts uit te zoeken welke bedreigingen en problemen hen 's nachts wakker houden. Welke onderwerpen zijn verreweg de engste monsters onder het bed? En welke zullen tot ver in de toekomst risico's blijven vormen?

Phishing

Van alle gevaren die een security-expert 's nachts wakker kunnen houden, staat phishing bovenaan het lijstje. De bescherming ertegen is afhankelijk van een van nature kwetsbaar verdedigingsmechanisme - de mens. De meesten herkennen phishingfraude inmiddels, maar toch is de mens niet perfect. Daardoor is het risico op een fout altijd aanwezig en bijna niet te vermijden. In veel gevallen moeten we dus rekenen op andere controlemechanismen om ervoor te zorgen dat persoonlijke informatie niet uitlekt, of dat betalingen niet worden uitgevoerd. Voortdurend nadenken over een gevaar dat je niet kunt voorkomen, maar alleen kunt beperken, zorgt natuurlijk voor allesbehalve een security-expert die helemaal zen is.

“Bij bijna alle securitymaatregelen komt de mens wel ergens voor. Daarom is het belangrijk om te zorgen dat iedereen bewust is van de risico’s en de tools krijgt om hun werk veilig te kunnen doen.”

                                    Rory Breuk, Security Team Lead TransIP

Dat het internet al zo lang bestaat, draagt ook bij aan de toenemende complexiteit van phishing. Hoe meer informatie online beschikbaar is, hoe meer oplichters specifieke gegevens in massale phishingcampagnes kunnen verwerken, zonder dat ze daarvoor veel gericht onderzoek hoeven te doen. Van sociale media en online fora tot de ontelbare accounts voor webwinkels: informatie is er in overvloed voor degenen die er misbruik van willen maken. Tegelijkertijd wordt het internet steeds meer een essentieel onderdeel van de infrastructuur, van nationale programmas tot grondstoffenlogistiek. Ook nationale programma's en diensten worden tegenwoordig online uitgevoerd. De COVID-tests waren een uitstekend voorbeeld van hoe oplichters snel misbruik kunnen maken van het vertrouwen van mensen. Een extra risicofactor voor security-experts is dat deze enorme beschikbaarheid van informatie, ook bruikbare informatie kan opleveren voor meer geritchte oplichting. En dan komt spearphishing in beeld. 

Spearphishing is een gerichte poging om gevoelige informatie, zoals accountgegevens of financiële informatie, te stelen van een specifiek slachtoffer, meestal binnen een bedrijf. Oplichters bereiken dit door veel persoonlijker en gerichter te worden, met details en context die een normale phishingmail niet zou bevatten. Spearphishing heeft hierdoor ook een veel grotere kans van slagen. Stel je voor dat je een e-mail van HR ontvangt waarin je je kerstcadeau kunt uitzoeken, en dat in dezelfde toonzetting en met officiële e-mailheaders. Op het eerste gezicht geen duidelijke tekenen van fraude. Je kunt je goed voorstellen waarom dit een zorg kan zijn voor een securityteam.

"Bij spearphishing is een strak proces van belang: Bijvoorbeeld een kort belletje of gesprek op kantoor na een email waar geld bij betrokken is om te verifieren dat alles snor zit"

                                    Tim Bazuin, Security Engineer TransIP 

Ransomware

Als een phishingaanval slaagt, kan er meer gebeuren dan alleen het blootleggen van gegevens. Ransomware wordt vaak verspreid via de informatie verkregen uit een phishingaanval in de vorm van kwaadaardige software die ontworpen is om een systeem te beschadigen of anderszins onbruikbaar te maken totdat er losgeld wordt betaald. Vaak zullen hackers ook gegevens lekken om hun slachtoffers te dwingen tot betaling. 

Dit soort software hoeft niet erg geavanceerd te zijn: het hoeft niet verborgen te blijven of extra redundanties te hebben. Daardoor is het vrij gemakkelijk aan te schaffen als je niet de deskundigheid hebt om het zelf te ontwikkelen. Ook als een bedrijf besluit niet te betalen, hebben aanvallers waarschijnlijk al waardevolle informatie in handen gekregen die ze kunnen gebruiken of verkopen. 

“Helaas blijven ransomware-aanvallen erg lucratief voor de aanvallers. Zolang het genoeg geld oplevert zullen ze blijven voorkomen en zich verder ontwikkelen.” 

                                    Rory Breuk, Security Team Lead TransIP

DDoS-aanvallen

Een DDoS-aanval is een van de meest frustrerende incidenten die je als security-expert kunt meemaken. Ook TransIP krijgt ermee te maken, net als veel andere hostingproviders. Aanvallen komen regelmatig voor en kunnen een server onbereikbaar maken. Elke server, ongeacht zijn capaciteit of optimalisatie, heeft een limiet aan de hoeveelheid werk die hij tegelijkertijd kan uitvoeren. Dit betekent dat een deel van de verzoeken niet zal worden verwerkt. Bij een DDoS-aanval worden zoveel aanvragen verstuurd dat de server onbereikbaar wordt, met alle gevolgen van dien voor zowel ons als onze klanten.

"Fun fact: In de zomervakantie neemt de hoeveelheid DDoS aanvallen flink toe" 

                                    Tim Bazuin, Security Engineer TransIP  

Het aanpakken van een DDoS-aanval is allesbehalve eenvoudig. In mei 2021 kreeg TransIP te maken met een aanval die groter was dan normaal, en die zich richtte op DNS-servers. Het securityteam moest whack-a-mole spelen met de horde verzoeken die opdoken. Een manier om dit proces te automatiseren, volgde al snel na samenwerking met andere team.blue-teams om tot een geschikte oplossing te komen. Het was meteen een succes: de impact op onze klanten bleef beperkt en onze diensten konden weer draaien zoals het hoort. Ook met miljoenen gelijktijdige verzoeken was de oplossing die we hadden ontwikkeld schaalbaar en konden we pogingen met kracht beantwoorden.

Ook al zouden we willen dat het anders was, het probleem van DDoS-aanvallen is niet zomaar op te lossen. Het beste wat we kunnen doen is ervoor zorgen dat onze klanten hier zo weinig mogelijk van merken. We werken daarom voortdurend aan het versterken van onze verdedigingsmechanismen, zodat we aanvallen niet alleen af kunnen weren, maar waar mogelijk ook voorkomen. Er zullen ongetwijfeld meer DDoS-aanvallen plaatsvinden en ons securityteam is continu bezig met het voorbereiden van nieuwe manieren om hiermee om te gaan. Als je hier meer over wilt weten, kun je het beste ons blog hierover doornemen, waarin ook dieper wordt ingegaan op de incidenten in mei 2021.

Nog meer monsters onder het bed?

Het leven van een security-expert is een oefening in bewustwording van gevaren, risico's en loopholes. Een aantal van de grootste gevaren is al aan het licht gekomen, maar dit is absoluut geen grondig overzicht van alle bedreigingen en kwetsbaarheden die wij tegenkomen. Wel zijn er nog een paar die het benoemen waard zijn, ook al houden ze ons misschien niet de hele nacht wakker.

Nieuwe aanvallen, verouderde systemen en problemen met productbruikbaarheid zijn allemaal elementen om over na te denken bij het veilig houden van een product of platform. Veel mensen gebruiken systemen die al een tijd niet meer zijn bijgewerkt, denk bijvoorbeeld aan een oud OS. Deze systemen zijn kwetsbaarder voor aanvallen en kunnen zowel aan de gebruikerskant als aan de systeemkant voor problemen zorgen. 

Hoewel de balans niet gelijk is, zijn nieuwe systemen ook niet immuun: er worden bijna dagelijks exploits ontdekt en deze bijhouden betekent testen of ze toepasbaar zijn op onze systemen. Bovendien worden nieuwere exploits niet meteen volledig begrepen, wat betekent dat je moet uitzoeken wat kwetsbaar is, hoe een exploit precies werkt, in welke context het gebruikt kan worden en hoe we ze kunnen oplossen.

"Volledig waterdichte beveiliging is niet mogelijk. In de praktijk kom je wel ver met lagen: Een firewall, 2FA, een passwordmanager. Afzonderlijk geen enorme garanties, maar elk beetje helpt."

                                    Tim Bazuin, Security Engineer TransIP 

Het is veel werk om zoveel bij te houden en het vergt veel flexibiliteit. De aanvalsmethoden worden steeds uitgebreider en geavanceerder. Phishing bestaat al drie decennia en het is nog steeds een kat-en-muisspel. Wij zijn slimmer geworden, maar de oplichters ook. Vanuit een beveiligingsperspectief gaat het ook om het vinden van een balans tussen de bruikbaarheid en functionaliteit van onze producten en diensten en de beveiliging ervan. Het is een dunne lijn die ons securityteam zal blijven bewandelen. Onze toewijding aan het verdedigen van onze klanten en ons platform betekent dat we niet stoppen met vooruitdenken en dat cybersecurity een prioriteit blijft, 365 dagen per jaar.


Beoordeel dit artikel

Deel dit artikel

Gerelateerde artikelen

Blog overzicht

Auteur: Robert Hoekman

Een copywriter en storyteller die graag de laatste trends en ontwikkelingen in tech volgt en iedereen erover wil vertellen. Hoewel dit ook veel van zijn vrije tijd in beslag neemt, kun je hem toch vaak met zijn camera in het bos vinden, op zoek naar een hert, eekhoorn of lichtschacht. Zo niet, dan is hij waarschijnlijk aan het gamen op zijn pc.