Achtergrond
Alles is beter vandaag! 7 redenen waarom gezinsvakanties met de auto steeds leuker worden
van Michael Restin
Cyberaanvallen op bedrijven: "Er zijn duidelijk meer gevallen"
7-2-2022
Vertaling: machinaal vertaald
Geen enkel bedrijf lijkt momenteel veilig te zijn voor cyberaanvallen. Senior cybersecurity-analist Stefan Rothenbühler legt in een interview uit hoe bedrijven slachtoffer worden, wat de hackers willen en hoe je jezelf kunt beschermen.
Al zes jaar werkt Stefan Rothenbühler bij het in Baar gevestigde cyberbeveiligingsbedrijf InfoGuard AG. In dit interview vertelt de ervaren beveiligingsanalist wat er achter de huidige golf van cyberaanvallen zit.
Stefan, jouw werkgever InfoGuard richt zich op cybersecurity - heb je dagelijks te maken met hackers?
Stefan Rothenbühler: Dat zou je kunnen zeggen. Ik werk in het Computer Security Incident Response Team, de "brandweer" van InfoGuard. Wij komen als een bedrijf een hackeraanval heeft ondergaan. Er gaat geen week voorbij zonder een of twee nieuwe gevallen.
Zo zijn de cyberaanvallen echt toegenomen of is dat alleen maar media smoke and mirrors?
Cyberaanvallen zijn de laatste jaren extreem toegenomen, het is beslist niet alleen maar rook en spiegels. Zeker, er wordt meer over gesproken in de media - er is nu meer openheid - maar er zijn duidelijk meer gevallen.
.
Welke bedrijven wenden zich tot jou?
Veel KMO's. Intussen worden minder grote bedrijven zoals banken of verzekeringsmaatschappijen gehackt. Als grotere bedrijven contact met ons opnemen, zijn dat vooral industriële bedrijven. Net als veel kleine en middelgrote ondernemingen hebben deze industriële bedrijven nog niet zo'n sterke bescherming opgebouwd als bijvoorbeeld banken.
Hoe komt een hackeraanval tot stand?
Dat gebeurt meestal via drie poorten. Ten eerste door een gebrek aan multi-factor authenticatie (MFA) - d.w.z. als de toegangsautorisatie maar via één plek loopt. Tegenwoordig is MFA verplicht voor bedrijven. In 70 tot 80 procent van onze gevallen konden aanvallers toch het systeem binnendringen door een gebrek aan MFA. Dit komt omdat het heel gemakkelijk is om een wachtwoord te raden. Er zijn bots op het internet die de hele dag niets anders doen. Een zwakke combinatie van de bedrijfsnaam en het jaartal is zo snel gekraakt. Dus als een bedrijf tegenwoordig niet overal consequent MFA heeft geïnstalleerd, is het grof nalatig en slechts een kwestie van tijd voordat het failliet gaat.
Wat is de tweede poort?
Phishing of spam e-mails. Bijvoorbeeld degenen die je uitnodigen om een programma te downloaden om een zogenaamd verloren pakje op te sporen. Virusbescherming faalt vaak en zogenaamde remote access Trojans worden geïnstalleerd. Zelfs als werknemers wachtwoorden invoeren op een phishing-website, kunnen aanvallers onmiddellijk toegang krijgen tot het netwerk als er geen MFA is geïnstalleerd.
Het derde aanvalsoppervlak zijn beveiligingslekken in producten die zeer snel worden uitgebuit. Dit kan een gat zijn in de Microsoft Exchange server of op samenwerkingsplatforms als Confluence, die hackers binnen enkele uren uitbuiten.
Het derde aanvalsoppervlak zijn kwetsbaarheden in producten die zeer snel worden uitgebuit.
«Will sich eine Firma auf den Schutz alleine konzentrieren oder sich bereits auf einen Angriff vorbereiten?»
Is een bedrijf veilig als het deze drie punten onder controle heeft?
. Het is zeker goed gepositioneerd. Maar honderd procent veiligheid bestaat niet. Daarom rijst de vraag: wil een bedrijf zich alleen richten op bescherming of zich al voorbereiden op een aanval? Banken en verzekeringsmaatschappijen hebben al een paradigmaverschuiving ondergaan. Ze bereiden zich preventief voor op aanvallen van hackers. In het verleden betekende beveiliging dat een bedrijf een slotgracht om zijn infrastructuur bouwde. Tegenwoordig zijn we van dit kasteeldenken afgestapt. Nu is het belangrijker om een aanval snel op te sporen en er correct op te reageren.
Dat betekent dat bedrijven vroeg of laat toch worden gehackt?
Ja, precies. Want achter de aanvallen zit een hele industrie met vele spelers. Eerst probeert een wachtwoordverzamelaar wachtwoorden uit - als hij er een vindt, brengt hij het naar een darknet forum en verkoopt het voor vijf tot tien dollar. Wachtwoorden van grotere bedrijven zijn verkrijgbaar voor slechts honderd dollar. Dit wordt gekocht door een toegangsmakelaar die het netwerk binnenkomt en kijkt wat er ingenomen kan worden. Hij verzamelt informatie over het bedrijf, de jaarlijkse omzet en de machtigingen van de gebruiker.
Wat gebeurt er?Wat gebeurt er hierna? De toegangsmakelaar gaat op zijn beurt naar het darknet en verkoopt zijn werk als geverifieerde toegang aan een zogenaamde affiliate. Dit is een kleine crimineel of een crypto-kiddie. Alleen deze affiliate komt het netwerk binnen om gegevens te stelen of te versleutelen. Maar hij doet de versleuteling niet zelf, hij koopt de ransomware voor de versleuteling. Daarom wordt het "ransomware as a service" genoemd. De exploitanten van de ransomware krijgen een deel van het losgeld. Zo wordt het geheel gefinancierd.Dus het is gemakkelijker geworden om iemand te hacken? . Precies. Daarom neemt ransomware toe. In het verleden moest je, om aan te vallen, slim zijn en iets weten van hacken en programmeren. Je moest elke stap zelf doen. Maar tegenwoordig is uit deze activiteit een grote markt ontstaan met een heel ecosysteem. Daarom is het voor kleine criminelen tegenwoordig aanzienlijk gemakkelijker om te coderen dan om een bank te beroven. Ze doen het al heel lang.Hoe lang moeten slachtoffers omgaan met de gevolgen van een cyberaanval? . Het varieert nogal - maar het zijn minstens weken, zo niet maanden. Meestal ondersteunen we één tot twee weken. Daarna is het bedrijf weer voldoende op de been om zelfstandig verder te gaan. Zo'n klap kan bedrijven zeer hard treffen. Want er ontstaan immense kosten die in het begin niet eens zichtbaar zijn. De losgeldeisen zijn er maar een klein onderdeel van. Afhankelijk van hoeveel omzet een bedrijf heeft, kunnen de kosten voor bedrijfsschade oplopen tot miljoenen. Dan zijn er nog de overwerkkosten: Dan worden veel werkuren geproduceerd door externe IT-dienstverleners en medewerkers van het bedrijf - vaak in het weekend.Hoe hoog zijn zulke losgeldeisen? Normaal gesproken wordt twee tot drie procent van de jaaromzet gevraagd. Gevallen die verder gaan zijn vrij zeldzaam. Maar als een bedrijf een jaaromzet heeft van 500 miljoen, is het makkelijk om 20 miljoen te vragen. Nationale ransomware kan erg duur zijn.Het Nationaal Centrum voor Cyberveiligheid (NCSC) adviseert geen losgeld te betalen - volg jij hetzelfde principe? Ja. We hebben het tenslotte over het financieren van misdaad of zelfs terrorisme en autoritaire regimes als Noord-Korea. Soms is betaling helaas onvermijdelijk. Bijvoorbeeld als de back-ups ook versleuteld zijn - als er in die gevallen niet betaald wordt, is het bedrijf gewoon weg. Maar er wordt ook betaald als hackers gevoelige gegevens van particulieren zouden kunnen publiceren. Tegenwoordig vindt chantage niet alleen plaats door encryptie, maar ook door de dreiging van publicatie.[[pullquote:«Wir führen immer Scheinverhandlungen, um mehr über die Angreifer herauszufinden.»]]Betekent dit dat de aanvallers met je communiceren? Ja. We voeren altijd schijnonderhandelingen om meer te weten te komen over de aanvallers. Zo komen we achter de losgeldeis en zien we hoe hun handelwijze is. Dit geeft aanwijzingen over de oorsprong. Soms ontdekken we zelfs hoe de aanvallers in het systeem zijn gekomen. Ze bluffen soms over hoe makkelijk het was om op een bepaalde manier binnen te komen.Wat voor soort chat is dit en in welke taal spreek je? We hebben tot nu toe altijd Engels geprobeerd - soms komt er gebroken en soms heel goed Engels terug. Bij ransomware vindt de chat altijd plaats op het Tor netwerk in het darknet. Het komt ook voor dat de aanvaller de telefoon opneemt en het bedrijf belt.Kun je verschillen horen tussen verschillende aanvallers? Ja - inmiddels voel ik heel snel aan wat voor aanvaller het is. Alleen al aan de toon van de stem kan ik zien of ik te maken heb met een georganiseerde criminele onderneming of gewoon met een kleine crimineel. Een uitwisseling met een professionele aanvaller is een interessante aangelegenheid. Het gesprek vindt plaats op zakelijk niveau. Bij kleine criminelen gebeuren fouten die bij professionele groepen niet zouden gebeuren. Bijvoorbeeld een wachtwoord vergeten.Deze onderhandelingen lijken sterk op politiewerk. Heb je speciale coaching gehad of leer je dit in de loop der tijd? Onze opzichter was vroeger cyberonderzoeker. Bovendien leer je het tijdens het werk. We werken zeer nauw samen met de rechtshandhaving en de federale overheid, met het NCSC en de kantonnale politiekorpsen. We hebben een levendige uitwisseling met hen. Maar voor zover ik weet voert de politie zelf geen onderhandelingen. Maar wij wel.Sommige aanvallen worden gemeld aan het NCSC. In onze commentaarkolom staat dat dan slechts één regel in Excel wordt ingevuld en dat is het - klopt dat? > (lacht) Ik weet niet wat de interne processen zijn bij het NCSC. Wij ervaren de samenwerking met het NCSC als zeer waardevol en doelgericht. Zo'n Excel-regel kan veel waard zijn. Naast de aanslagen worden ook de verwijzingen geregistreerd. Als een groepering op een gegeven moment een fout maakt en de aanval aan iemand kan worden toegewezen, kan het geld terugvloeien. Nu al is er een meldingsplicht voor hackeraanvallen voor beursgenoteerde bedrijven, bedrijven die onder de Finma vallen en voor bepaalde delen van de kritieke infrastructuur. Naast de meldingsplicht is het echter ook belangrijk om het publiek te informeren. Hier heeft een verandering plaatsgevonden. Bedrijven rapporteren veel meer over aanvallen omdat het onderwerp niet meer zo taboe is als vroeger. Dat heeft grote voordelen.[[pullquote:«Es ist immer besser, wenn Firmen selber über den Angriff informieren, als wenn es die Öffentlichkeit über die Medien erfährt.»]]Waarom? Het is altijd beter wanneer bedrijven zelf over de aanval informeren dan wanneer het publiek er via de media achter komt. Als er duidelijk gecommuniceerd wordt, is er meer begrip. Dit kan ook leiden tot onverwachte hulp van buitenaf. We hadden cliënten die na een aanval naar de pers stapten - ze kregen toen plotseling hulp aangeboden van alle kanten die al ervaring hadden met zulke aanvallen. Dat vind ik prijzenswaardig.Welke lessen kunnen particuliere internetgebruikers trekken uit deze golf van aanvallen? Gezond verstand gebruiken en de dingen bewuster doen - en natuurlijk zijn er ook concrete technische maatregelen. Allereerst is er MFA - dit moet zeker geactiveerd worden waar mogelijk. Want MFA beschermt heel goed. Hoewel ook daar aanslagen zijn, is de horde veel hoger.Het tweede punt is weer mindfulness: heb ik echt een programma nodig om mijn pakket te volgen? Waarom moet ik precies op deze link klikken? Het bezoeken van illegale websites, zoals illegale streamingsites, is natuurlijk bijzonder problematisch. Daar kan overal iets gebeuren en het is gemakkelijk om het verkeerde aan te klikken. Ik heb vaak te maken met "nul-patiënten" - mensen die geklikt hebben waar dat niet zou moeten. En ze vertellen me altijd dat ze zich een seconde nadat ze geklikt hadden realiseerden dat ze dat niet hadden moeten doen. Denk dus goed na voordat je wachtwoorden invoert.En het derde punt? Een concrete tip voor internetbankieren: Gebruikers moeten op hun computer een aparte gebruiker instellen voor internetbankieren. Dit komt omdat banking Trojans meestal alleen de gebruikerscontext infecteren en niet het hele systeem. Zo wordt bij een aanval alleen de geïsoleerde gebruikerscontext geïnfecteerd. Het vierde punt is dit: geen "hergebruik van wachtwoorden". Op elke website moet een ander wachtwoord worden gebruikt. Daarom raden we het gebruik van een wachtwoordmanager aan. Bovendien moeten wachtwoorden eens per jaar veranderd worden. Het laatste punt is om regelmatig beveiligingsupdates te doen. Ze zijn automatisch, maar het kan geen kwaad om de apps soms te controleren.[[pullquote:«Ich hätte gerne, wenn die Schweiz wie früher wieder ein sicherer Hafen wäre – nicht nur für Menschen, sondern auch für Daten. »]]Als je in een kristallen bol zou kunnen kijken, hoe zou de ideale situatie van cybersecurity er dan voor jou uitzien? Helaas komen we waarschijnlijk niet van de aanvallen af. Maar we zouden Zwitserland een beetje uit het brandpunt kunnen halen. Onze rijkdom is bekend en dat maakt ons een lucratief doelwit voor aanvallen. Ik zou willen dat Zwitserland weer een veilige haven wordt zoals het vroeger was - niet alleen voor mensen, maar ook voor gegevens. Ik denk dat dat de laatste tijd een beetje geleden heeft.Door de algemene voorwaarden of omdat Zwitserland iets heeft gemist? Je kunt altijd twisten of Zwitserland iets gemist heeft met de digitalisering of niet. Ik ken het perspectief van de bedrijven: Ze willen produceren - veiligheid is daar niet de eerste prioriteit - begrijpelijk. Maar als we het netwerk wat meer zouden kunnen versterken met alle partijen die bij dergelijke aanvallen betrokken zijn, zijn we op de goede weg.Dus je bent hoopvol? Ik ben erg hoopvol, maar bepaalde feiten maken me bang. Vandaag zijn het gehackte industriële bedrijven - maar wat als het een kerncentrale of een ziekenhuis treft? Wat gebeurt er als het mensenlevens kost? Met de digitalisering zijn steeds meer gebieden van ons leven afhankelijk van digitale infrastructuren. Je rijdt met 100 kilometer per uur over de snelweg en je zelfrijdende auto wordt gehackt - wat doe je dan? Ik word zeker door zulke spoken achtervolgd.
Coya Vallejo Hägi
Freelance Editor
hallo@cvhtext.de"Ik wil het allemaal! De schokkende dieptepunten, de opwindende hoogtepunten en het romige daartussenin" - deze woorden van een Amerikaans cult tv-personage spreken me vanuit mijn ziel aan. Daarom hanteer ik deze levensfilosofie ook in mijn dagelijkse werk. Voor mij betekent dit dat grote, kleine, spannende en alledaagse verhalen allemaal hun aantrekkingskracht hebben - vooral als ze in een kleurrijke opeenvolging komen.
Achtergrond
Interessante feiten uit de wereld van producten, een kijkje achter de schermen van fabrikanten en portretten van interessante mensen.
Alles tonenDeze artikelen kunnen je ook interesseren
16 opmerkingen
later