Het is een van de meest gestelde vragen tijdens de security incidenten en crisissen waarbij ik betrokken ben geweest: “Waarom mijn organisatie?”. Waarom zijn juist deze getroffen organisaties aangevallen en hadden ze de aanval kunnen voorkomen? Dagelijks adviseer en ondersteun ik bedrijven die slachtoffer zijn geworden van cybercriminelen. Ik neem jullie daarom graag mee in de beantwoording van deze vraag.
Hoe vindt een aanval plaats?
Er is niet één vaste manier die aanvallers gebruiken om organisaties te hacken. De aanvallers hebben verschillende motieven en gebruiken verschillende methodieken. De tijd die het duurt om tot een succesvolle aanval te komen verschilt. Soms is het een kwestie van minuten en in andere gevallen gaat het om maanden. Hoe langer de aanvallers onopgemerkt blijft, hoe succesvoller de aanval waarschijnlijk zal zijn.
Toch zijn er patronen te herkennen in de manier waarop aanvallers te werk gaan. Zo ook in de manier waarop aanvallers een aanval starten en initiële toegang tot de IT-omgeving van een organisatie krijgen. Dit zijn een viertal voorbeelden:
- de aanvallers sturen een phishing e-mail met een virus naar organisaties waarmee ze uiteindelijk toegang tot de omgeving verkrijgen;
- de aanvallers sturen een phishing e-mail naar bedrijven om de inloggegevens van de medewerkers te achterhalen;
- de aanvallers scannen externe bereikbare infrastructuren op kwetsbaarheden en misbruiken deze;
- de aanvallers raden (brute-force) wachtwoorden of gebruiken gelekte wachtwoorden.
Zodra de aanvallers eenmaal toegang hebben tot de IT-omgeving van de organisatie, kunnen ze de omgeving verder verkennen en acties uitvoeren om hun doelen te bereiken. Organisaties die gevoelig zijn voor dit soort aanvallers zijn organisaties die niet de juiste maatregelen getroffen hebben tegen bovenstaande acties.
Wat kan ik doen?
Als een klant aan mij vraagt “maar Lisa, wij hebben toch de juiste beveiligingsmaatregelen ingericht, hoe kon de aanvaller dan alsnog binnenkomen?” is het antwoord regelmatig: je basismaatregelen waren niet op orde. Voorbeelden hiervan zijn:
- multi-factor authenticatie ontbreekt op accounts die verbonden zijn met het internet;
- updates en patches zijn niet (tijdig) uitgevoerd;
- de e-mailomgeving mist beveiliging, zoals een anti-phishing oplossing;
- medewerkers zijn niet getraind in het herkennen van en acteren op phishing e-mails;
- er is geen antivirus-oplossing met gedrags-gebaseerde monitoring (EDR) geïnstalleerd.
Daarnaast is het advies altijd om op meerdere lagen binnen je organisatie maatregelen te treffen, zodat ook na initiële toegang de schade beperkt kan worden.
Waarom dan?
“Mijn organisatie wordt niet gehackt, want wij zijn niet interessant genoeg voor aanvallers.”
Maar is dat echt zo?
Op dit moment wordt 80% van de cyberaanvallen veroorzaakt door externe actoren*, zoals criminele groeperingen, script kiddies en hacktivisten. Vaak zijn de aanvallers uit op financieel gewin.
De aanvallers zorgen er bijvoorbeeld voor dat:
- een getroffen bedrijf een bedrag overmaakt naar het rekeningnummer van de aanvallers door facturen aan te passen;
- getroffen organisaties hun omgeving niet (makkelijk) kunnen herstellen na een ransomware aanval en hopelijk de ransom fee betalen;
- ze informatie van de organisatie stelen en dit doorverkopen op het dark web aan andere criminelen.
Hoe sneller en makkelijker er geld verdiend kan worden door de aanvallers, hoe beter. Je zou dus kunnen zeggen dat je voor deze aanvallers interessant bent als je basismaatregelen niet goed genoeg op orde zijn. En andersom; hoe beter je basis op orde is, hoe kleiner de kans is om slachtoffer te worden van een cyberaanval. Dit vergelijk ik regelmatig met het lopen van een marathon: wie te langzaam loopt, wordt opgepikt door de veegwagen.
Tegelijkertijd zijn er ook andere motieven van aanvallers denkbaar. Zo kunnen aanvallers ook uit zijn op interessante informatie, zoals intellectuele eigendommen of gevoelige bedrijfsinformatie. De aanvallen die hiervoor worden uitgevoerd zijn vaak gericht op een specifieke (interessante) organisatie. Over het algemeen worden in dit soort aanvallen meer tijd en geld gestoken en zijn ze geavanceerder.
Afhankelijk van het type aanval waar je door getroffen bent, kan ik je vertellen “waarom jouw organisatie”. Maar liever zorg ik ervoor dat je geen slachtoffer wordt en ik de waarom-vraag niet hoef te beantwoorden.
Lisa de Wilde adviseert en ondersteunt organisaties die zich willen voorbereiden op security incidenten en crisissen en/of die slachtoffer zijn geworden van cybercriminelen.
* = According to the Data Breach Investigations Report 2022.