Ransomware
Ransomware is ongetwijfeld een van de belangrijkste cyberdreigingen voor organisaties van dit moment. Dagelijkse voorbeelden zoals de ransomware-uitbraak bij VDL en de Hogeschool van Arnhem en Nijmegen, tonen aan dat organisaties behoorlijke schade kunnen lijden als ze het slachtoffer worden van ransomware.
Cybercriminelen passen hun aanvalstechniek overigens wel aan. Ging het eerst om het simpelweg verspreiden van ransomware en het versleutelen van bestanden om vervolgens losgeld te eisen, tegenwoordig zorgen de criminelen dat als ze eenmaal toegang hebben tot een bedrijfsnetwerk, ze eerst data stelen voordat ze de systemen op slot zetten. Zo kunnen ze de data op het dark web verkopen en het gedupeerde bedrijf dubbel afpersen. Ze eisen losgeld om de bestanden te ontsleutelen of ze kunnen losgeld eisen en dreigen de data te laten uitlekken als er niet betaald wordt. Een ander scenario is dat de criminelen dreigen met een DDoS-aanval als er geen losgeld wordt overgemaakt. In die situaties is het vervelende voor het slachtoffer dat het hebben van een goede back-up van de bedrijfsdata niet voldoende is om voorbereid te zijn op een dergelijk ransomware-incident.
SASE
Organisaties werken steeds meer met applicaties en workloads die worden gehost in cloudomgevingen. Dit is alleen maar meer geworden sinds de coronapandemie en het massale thuiswerken. Het blijkt echter niet zo eenvoudig die applicaties of workloads goed te beveiligen. Daarom verplaatst de beveiliging zich ook steeds meer naar de cloud met SASE.
Volgens Kaspersky is de kwetsbaarheid van de cloud een van de grootste trends in de cybersecurity-industrie. Clouddiensten bieden een aantal belangrijke voordelen zoals schaalbaarheid, efficiëntie en kostenbesparingen. Tegelijkertijd zijn ze ook een doelwit bij uitstek voor aanvallers. Verkeerd geconfigureerde cloudinstellingen zijn een belangrijke oorzaak van inbreuken op gegevens en ongeautoriseerde toegang, onveilige interfaces en het kapen van accounts. Volgen Amerikaanse schattingen bedragen de kosten van een datalek gemiddeld 3,86 miljoen dollar (3,3 miljoen euro).
Zero trust
Een ander fenomeen waar veel managed security service providers en bedrijven mee bezig zijn, is zero trust. Het principe van zero trust gaat ervan uit dat traditionele beveiligingsmodellen gebaseerd zijn op de achterhaalde veronderstelling dat alles van binnen van het netwerk van een organisatie kan worden vertrouwd. De basis van zero trust-beveiliging vormt daarentegen het concept never trust, always verify. Er wordt dus een strikte toegangscontrole uitgevoerd voor elk account, apparaat, locatie of IP-adres dat toegang vraagt tot bepaalde informatie. Steeds meer organisaties kiezen ervoor om gebruik te maken van zero trust-principes bij het beveiligen van hun IT-infrastructuur.
Thuiswerken
Doordat veel mensen vanwege de coronamaatregelen thuis zijn gaan werken, is het risicogebied van bedrijven erg breed en gedecentraliseerd geworden. Pc’s en mobiele apparaten zitten niet langer op het goed beveiligde bedrijfsnetwerk. Daar komt bij dat eigen apparaten minder goed worden geüpdatet en medewerkers niet even snel een collega kunnen raadplegen als ze iets verdachts tegenkomen. Omdat medewerkers thuis een makkelijker prooi vormen, is de hoeveelheid phishingmails sinds de corona-uitbraak enorm gestegen. Malware komt hierdoor makkelijker via thuiswerkers binnen en op die manier krijgen criminelen mogelijk toegang tot het bedrijfsnetwerk.
Industriële aanvallen en ontregeling
Geld is de belangrijkste drijfveer van cybercriminelen. Steeds vaker richten ze hun pijlen daarom op industriële doelwitten, zoals Colonial Pipeline in de VS. De distributie van olie kwam dit jaar tijdelijk volledig stil te liggen na een geslaagde aanval met ransomware.
Daarmee samenhangend vormt cybercriminaliteit een steeds groter risico voor de hele samenleving. Ook in Nederland zijn voorbeelden bekend die gevolgen hadden voor ons dagelijks leven. Het cyberincident bij vervoerder Bakker Logistiek leidde in april van dit jaar tot lege schappen in de supermarkt. En dankzij de ransomware-uitbraak bij de VDL Groep kwam de autoproductie bij de VDL-fabriek in Born tijdelijk stil te liggen en werden medewerkers naar huis gestuurd.
Een serieus cyberincident kan het dagelijks leven dus behoorlijk ontregelen. De Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV) concludeerde in juni ook al dat de inzet van ransomware door criminelen ‘maatschappij-ontwrichtende gevolgen’ kan hebben. Wat daarbij meespeelt is dat bepaalde hackersgroepen worden gesteund door vijandige staten. Cybercriminelen kunnen zorgen voor ontwrichting van de maatschappij door bijvoorbeeld vitale processen te verstoren. Dat zijn dus voldoende uitdagingen waartegen organisaties van nu beschermd moeten worden.
BEC-fraude
Hoewel een incident met ransomware vaak in de publiciteit is, zorgen Business E-mail Compromise-incidenten waarschijnlijk voor de meeste financiële schade. BEC-fraude is jaarlijks goed voor miljarden dollars aan schade, zo heeft de FBI berekend. BEC-fraude zou bovendien verantwoordelijk zijn voor het merendeel van de schadeclaims van cyberverzekeringen.
Bij BEC-fraude probeert een crimineel zich vaak voor te doen als een interne medewerker door een (gecompromitteerd) mailaccount van het bedrijf te gebruiken. In de mail kan gevraagd worden om een bepaalde betaling uit te voeren of goed te keuren. Bioscoopketen Pathé is op die manier eens voor miljoenen euro’s het schip in gegaan.
Dankzij het gebruik van nieuwe hulpmiddelen zijn BEC-criminelen tegenwoordig in staat om cloud-accounts aan te vallen en zich voor te doen als leveranciers en verkopers van organisaties. Het zal daarom een grotere uitdaging worden om dergelijke frauduleuze mails te herkennen. Bovendien zijn het relatief makkelijk uit te voeren aanvallen, dus blijven ze aantrekkelijk voor cybercriminelen.
[Dit artikel is eerder gepubliceerd in Security & Privacy Dossier 2021]