‘Hybride werken vraagt om nieuwe securitystrategie’

De coron­a­pan­demie heeft het drei­gings­land­schap voorgoed veranderd. Thuis­werken werd opeens de norm. Cyber­cri­mi­nelen speelden hierop in, bijvoor­beeld door aanvallen uit te voeren op thuis­wer­kers. Volgens Mimecast zullen zij ook misbruik maken van de huidige omstan­dig­heden. Voor elk scenario – volledig thuis­werken, een gefa­seerde terugkeer naar kantoor of een hybride model – ontstaan nieuwe aanvals­me­thoden waar orga­ni­sa­ties op moeten anticiperen. 

Mimecast baseert dit mede op analyses van eerdere aanvals­cam­pagnes in verge­lijk­bare periodes, zoals een bedrijfs­ver­hui­zing of de terugkeer naar kantoor na de feest­dagen. Ook zijn de risico’s toege­nomen door de groot­scha­lige adoptie van onveilige samenwerkingstools. 

Vier typen aanvallen

De secu­ri­ty­spe­ci­a­list waar­schuwt voor vier verschil­lende aanvalstypen:

• Oppor­tu­nis­ti­sche aanvallen zijn veruit de meest voor­ko­mende aanvals­me­thode. Hierbij versturen cyber­cri­mi­nelen op grote schaal e‑mails en andere berichten. Daarin proberen ze slacht­of­fers bijvoor­beeld te verleiden tot het klikken op malafide links en het down­lo­aden van malware. 
• Simpele imper­so­natie via e‑mail is een methode waarbij de aanval­lers infor­matie verza­melen via social media en bedrijfs­web­sites en zich vervol­gens voordoen als werk­ge­vers, leiding­ge­venden, collega’s, vrienden of fami­lie­leden. Op die manier peuteren ze gevoelige infor­matie zoals wacht­woorden los.
• Gerichte malware-aanvallen maken steeds vaker gebruik van nieuwe malware die niet te detec­teren is op basis van de hand­te­ke­ning, en die dus niet wordt opgemerkt door tradi­ti­o­nele malwa­res­can­ners. E‑mail blijft de popu­lairste manier om deze malware te instal­leren. Werk­ne­mers wordt dan bijvoor­beeld gevraagd om in te loggen op een nage­maakte OneDrive-pagina. 
• Merk­fraude komt vaker voor door de opkomst van Software-as-a-Service (SaaS). Hierdoor zijn gebrui­kers gewend geraakt aan e‑mailnotificaties met statu­sup­dates en verzoeken om infor­matie. Dit biedt cyber­cri­mi­nelen kansen. Zij kunnen phishing- en malware-aanvallen uitvoeren via nepmails die van een vertrouwd merk afkomstig lijken.

Gelaagde beveiliging

Een gelaagde totaal­aanpak is belang­rijker dan ooit, evenals het bewust­zijn dat security een geza­men­lijke verant­woor­de­lijk­heid is. Afde­lingen en werk­ne­mers moeten op alle lagen met elkaar samen­werken. Mimecast onder­scheidt deze vijf bevei­li­ging­slagen:
1. Hardware. Succes­volle aanvallen zijn niet altijd geavan­ceerd. Soms heeft een cyber­cri­mi­neel al genoeg aan een onbe­waakte laptop, een USB-stick of vertrou­we­lijke docu­menten die in een koffie­zaak zijn achter­ge­laten. De orga­ni­satie moet zorg­dragen voor de bevei­li­ging van alle fysieke assets, waar die zich ook bevinden. Naast IT heeft iedereen hierin een eigen verant­woor­de­lijk­heid. 
2. Software. Virtual Private Networks (VPN’s) bevatten een breed scala aan ernstige kwets­baar­heden. Meer dan 80 procent van de op internet aange­sloten Exchange-servers is kwetsbaar voor bedrei­gingen. Het upgraden van niet-onder­steunde bestu­rings­sys­temen zoals Windows 7 en gere­la­teerde appli­ca­ties is daarom essen­tieel, evenals het patchen van speci­fieke kwets­baar­heden in netwerk­tech­no­logie die veel­vuldig worden misbruikt door aanval­lers. Bij een eigen verant­woor­de­lijk­heid hoort ook dat werk­ne­mers updates trouw uitvoeren. 
3. Mensen. Social engi­nee­ring, waarbij mensen onder valse voor­wend­selen wordt gevraagd om bijvoor­beeld op een scha­de­lijke link te klikken of een wacht­woord af te staan, blijft een populaire aanval­st­ac­tiek. Thuis­wer­kers gaan vaak wat losser om met security. Ook kan hybride werken tot verwar­ring leiden. Is de baas op vakantie of werkt hij vanuit huis? Dit zijn gunstige omstan­dig­heden voor imper­so­natie- en spearphis­hing­aan­vallen.
4. Beleid en processen. Zorg ervoor dat uw orga­ni­satie een strategie voor digitale weer­baar­heid (cyber­re­si­lience) heeft. Deze strategie moet duidelijk omschrijven hoe u voorkomt dat cyber­cri­mi­nelen misbruik maken van kwets­baar­heden. Orga­ni­seer daarnaast regel­matig security-aware­ness­trai­ningen voor alle werk­ne­mers en formuleer een helder beleid voor de processen rondom thuis en op kantoor werken.
5. Keten­part­ners. Neem uw gehele toele­ve­rings­keten mee in uw secu­ri­ty­s­tra­tegie. Als uw partners of leve­ran­ciers slacht­offer worden van een cyber­aanval, loopt u mogelijk ook risico. Geef daarom infor­ma­tie­be­vei­li­ging prio­ri­teit bij het beoor­delen van uw SLA’s en het selec­teren van nieuwe partners. Verder is het belang­rijk om keten­part­ners op de hoogte te houden van nieuwe bedrei­gingen en de bescher­mende maat­re­gelen die u treft.

Veilig hybride werken

“Door corona hebben Neder­landse orga­ni­sa­ties de voordelen van thuis­werken ontdekt”, zegt secu­ri­ty­ex­pert Sander Hofman van Mimecast. “Hybride werken kan ontzet­tend goed uitpakken voor zowel de werkgever als de werknemer, maar dan moet het wel veilig gebeuren. Deze situatie is voor veel bedrijven nieuw en onwennig. Bovendien wordt het aanvals­op­per­vlak hiermee groter dan ooit.”

Volgens Hofman vraagt hybride werken om een nieuwe bena­de­ring van cyber­se­cu­rity. “Elke orga­ni­satie zou een gelaagde bevei­li­gings­stra­tegie moeten hanteren die tech­ni­sche maat­re­gelen combi­neert met een groeiende bewust­wor­ding onder alle werk­ne­mers, afde­lingen en derde partijen. Dit is hét moment om uw digitale weer­baar­heid te vergroten.”