Cyber risk, low hanging fruit

Voorkom dat je laaghangend fruit wordt

Cyber Risk is booming momenteel, zowel in de kantine als in de bestuurskamer van organisaties.

Er gaat geen dag voorbij zonder dat er een verhaal in de media verschijnt over een grootschalig datalek, ransomware of aanval door cybercriminelen. Toch zijn weinig bedrijven zich bewust dat ook zij slachtoffer van Cyber Risk kunnen worden (of zelfs al zijn). 

Cybercriminelen weten wat ze doen. Met veel tijd en geld zijn ze in staat om met ongemakkelijke regelmaat in hun doelen te slagen. Cybercriminelen zijn voortdurend op zoek naar gemakkelijke doelwitten. Toenemende complexiteit, groeiend aantal gebruikers, partners en snel opkomende kwetsbaarheden maken een gebrekkige beveiliging tot eenvoudig doelwit.

We delen graag voorkomende beveiligingsrisico’s. Waarom deze kwetsbaarheden er echt toe doen en hoe u ze kunt dichten. Het kan het risico beperken zodat u minder snel het volgende slachtoffer bent.

Direct aan de slag met Cyber Risk

We gaan uit van de grootste groep hackers, de ‘algemene’ cybercriminelen die op zoek zijn naar snel financieel gewin. Het maakt ze niet uit wie het slachtoffer is.

Andere ‘cybercriminelen’, zoals (voormalig) personeel, ‘hacktivisten’ of actoren die zich richten op uw specifieke gegevens of intellectueel eigendom, zijn vastberadener en gemotiveerder om te slagen, die laten we nu buiten beschouwing.

Hier hebben we het over cybercriminelen die op zoek zijn naar een slachtoffer, waar ze een snelle en gemakkelijke aanval kunnen uitvoeren. Cybercriminelen besteden daarom veel moeite aan het identificeren van de gemakkelijkste doelen.

Wat heeft dit met Cyber Risk en je veiligheid te maken, zul je denken? Om zo veilig te zijn als je wilt zijn… is simpelweg voorkomen dat je het ‘laaghangende fruit’ van een hacker bent of wordt. De meeste cybercriminelen gebruiken geautomatiseerde scanners om potentiële slachtoffers te vinden die ze zonder veel werk kunnen aanvallen. Ze zoeken naar kwetsbaarheden die hun potentiële slachtoffers niet hebben aangepakt. (daar ligt dus je risico)

Cybercriminelen weten dat het actueel houden van beveiligingscontroles tijd en moeite kost. Veel organisaties hebben “belangrijkere” taken dan systeem en netwerkbeveiliging

Zoektocht

Deze kloof tussen deze kwetsbaarheden, gedrag en geïmplementeerde controles definieert de snoepppot waar cybercriminelen naar op zoek gaan.

De beste verdediging tegen de meeste cybercriminelen is veilig genoeg te zijn, om hun moeite niet waard te zijn. Deze benadering van cybersecurity betekent dat je meer te weten moet komen over de bestaande kwetsbaarheden en risico’s zodat je deze kunt oplossen.

Je kunt deze werkwijze toepassen op een operationele omgeving, maar we zullen ons meer richten op het ontwikkelen van procedures met systemen en software. Software is immers het meest voorkomende doelwit van cybercriminelen aanvallen, na de mens. Heb je meer budget? Prima… maar eerst de risico’s binnen bestaande kwetsbaarheden aanpakken.

Cyber risk, low hanging fruit
Cyber Risk – 9 ideeën tegen Laaghangend fruit 4
Veelvoorkomende beveiligingsrisico’s identificeren

Het goede nieuws is dat met de “laaghangend fruit” -benadering de inspanningen relatief eenvoudig zouden moeten zijn. De eerste stappen naar het elimineren van de eenvoudige risico’s op aanvallen.

1. Uitvoeren updates

Er ontstaan voortdurend exploits (misbruik van nieuw ontdekte kwetsbaarheden), dus houd uw software structureel up-to-date met de nieuwste beveiligingspatches. Systemen die zelden worden bijgewerkt, kunnen nog steeds kwetsbaarheden van jaren geleden bevatten.

2. Toegangsrechten gebruiker

Een favoriete aanvalstechniek is het hacken van accounts, met teveel toegangsbeheer, om schade aan te richten. Door toegangsbeheer te beperken, beschikken gebruikers alleen over systeemtoegang noodzakelijk om hun werk te doen. Een overgenomen account beperkt ook de toegang voor de crimineel. Geen financiële gegevens nodig? Dan geen toegang.

3. Te weinig beveiligingstraining

Niet geremd door enig kennis is geen vrijheid. Iedereen in de organisatie, zou een terugkerende security awareness-training volgen, iedereen risicoleider. Uw beveiligingspersoneel en softwareontwikkelaars zouden specifieke (technische) beveiligingstraining volgen.

4. Compliance verplichtingen.

Ken de wettelijke vereisten die voor uw organisatie spelen en zorg ervoor dat u aan die vereisten voldoet. (privacy)

5. Apparaten op uw netwerk

Weet welke apparaten toegang hebben tot uw netwerk. Wanneer je niet weet wat aanwezig is, weet je ook niet wat je beveiligd.

6. Externe apps

Productiviteitssoftware, zoals Office en CRM-systemen, kunnen kwetsbaarheden met zich meebrengen. Het exporteren van vertrouwelijke gegevens naar een Excel-spreadsheet kan het bijvoorbeeld gemakkelijk maken om die gegevens te stelen. Een gebruiker die spreadsheet mee naar huis neemt op een persoonlijke laptop

7. Ongecontroleerde configuratiewijzigingen

Zodra u een apparaat of systeem hebt beveiligd, kunt u configuratiewijzigingen beheren. Een enkele ongeautoriseerde en onopgemerkte configuratiewijziging kan een heel netwerk blootstellen aan aanvallen.

8. Single-factor authenticatie

Wachtwoorden alleen zijn simpelweg niet veilig genoeg. Alle gevoelige gegevens en bronnen moeten ten minste tweefactorauthenticatie vereisen.

9. Back-up procedures

Het maken van een back-up doe je voor het terugzetten van je data mocht je toch slachtoffer zijn van een cyberaanval. De back-up gebruik je pas als een risico is opgetreden.

De gaten dichten

De eerste stap is dus om te voorkomen dat u een gemakkelijk doelwit bent. Ga de lijst door om te zien of u een van deze kwetsbaarheden in uw omgeving kunt vinden. Als u dat doet, is de volgende stap om ze te herstellen.

U wilt waarschijnlijk kwetsbaarhedenscan of een gap-analyse laten uitvoeren. Ongeacht uw rol of aanpak. Het doel is om kwetsbaarheden te vinden en de risico’s te identificeren voordat de aanvallers dat doen.

Een goede manier om de beveiligingsstrategie op te pakken, is beginnen met de grootste risico’s. Dat zijn risico’s met hoge waarschijnlijkheid van treden en de grootste impact op de bedrijfsprocessen.

Cyber risk
Cyber Risk – 9 ideeën tegen Laaghangend fruit 5

Procedures

Natuurlijk moet u eerst beginnen met bedreigingen en risico’s die zich richten op kritieke bedrijfsfuncties. Dat betekent dat je een paar dingen doet:

  • Voer een risico-impactanalyse uit om uw kritieke bedrijfsfuncties te identificeren en te prioriteren.
  • Voer geautomatiseerde en handmatige beoordelingen uit om zoveel mogelijk kwetsbaarheden te identificeren.
  • Rangschik de dreiging van elke kwetsbaarheid op basis van de waarschijnlijkheid van optreden en impact.
  • Mitigeer elk beveiligingslek, begin met de dreiging met de hoogste prioriteit.
  • Implementeer geselecteerde mitigaties.
  • Verzeker de restrisco’s (wat niet te beveiligen is)

Best veel voor een eerste stap. Ik hoop dat ik je heb herinnerd aan wat echt belangrijk is. De sleutel tot veilig genoeg zijn is het aanpakken van het laaghangend fruit.

Categories:

Comments are closed