Vijf tips om diefstal van inloggegevens te voorkomen

0

Een groot deel van de cyberaanvallen heeft te maken met diefstal van inloggegevens (zie ook deze post). Van op consumenten gerichte aanvallen (vaak op bankgegevens) tot bedrijfsgerichte aanvallen om toegang te krijgen tot gevoelige bedrijfsdata.

Terwijl er dagelijks updates zijn over cyberaanvallen, wordt er veel minder gezegd over de tactieken die cybercriminelen gebruiken voor het stelen en gebruiken van zakelijke inloggegevens. Dit is echter wel nodig, aangezien inloggegevens door medewerkers steeds meer buiten kantoor worden gebruikt.

Misbruik van een betrouwbaar persoon  – Er zijn genoeg voorbeelden van succesvolle social media-accounts die werden gehackt en waarbij uiteindelijk tienduizenden volgers doelwit waren. Eenzelfde concept is ook steeds meer terug te zien in het bedrijfsleven, waarbij inloggegevens die gestolen zijn van een senior werknemer of een bestuurslid gemakkelijk kunnen worden gebruikt om de online (en soms ook fysieke) acties van jongere medewerkers te beïnvloeden.

Ik ken genoeg voorbeelden waarbij de persoon waarvan de inloggegevens gestolen en gebruikt werden niet beschikbaar was. De ontvangers van bijvoorbeeld een gehackte e-mail moesten daarbij zelf beslissen welke actie ze konden ondernemen.

Technologie maakt alles complexer – Steeds meer bedrijven zien de waarde van e-mail in de cloud en data storage diensten in. Wanneer inloggegevens gestolen zijn, kunnen deze gebruikt worden zonder het bedrijfsnetwerk te gebruiken, wat normaal gesproken de basis is van alle beveiligingscontroles. Hoe weet je dan of de juiste persoon de inloggegevens gebruikt in de cloud?

Het stelen van inloggegevens – Dezelfde inloggegevens kunnen gebruikt en opgeslagen worden op meerdere apparaten en systemen. Meestal worden verschillende methoden gebruikt om toegang te krijgen tot diezelfde bedrijfssystemen, of het nu apps, web interfaces of public clouds zijn.

Terwijl gebruikers leren om hun wachtwoorden niet op te schrijven, kunnen cybercriminelen screenshots maken, toetsaanslagen vastleggen en het onderliggende systeem of kwetsbaarheden in applicaties gebruiken om achter gegevens te komen. Het maakt hierbij niet uit of gebruikers een smartphone, tablet of pc gebruiken of wat voor netwerk ze gebruiken. Dit toont aan dat gegevens op steeds meer manieren ook digitaal beschermd moeten worden.

Voor veel gebruikers lijkt het eenvoudig om het beleid rondom het beschermen van inloggegevens na te leven om risico’s te verkleinen. Echter, bestuursleden of senior stafleden hebben vaak de breedste toegang en zullen eerder doelwit zijn, direct of via de werknemers die direct onder hem/haar vallen, of erger, via vrienden en familie die toegang hebben tot de systemen en wachtwoorden.

Het feit dat er verschillende wachtwoorden zijn voor verschillende systemen is goed. Echter, met single sign-on tools die het gebruiksgemak verbeteren en digital wallets/vaults die steeds populairder worden, is het belangrijk om te beslissen welke systemen meer dan één vorm van authenticatie nodig hebben en hoe je dit consistent inzet in het diverse digitale ecosysteem van het bedrijf.

Wat te doen?

Als cybercriminelen blijven focussen op het stelen van inloggegevens, zullen we de bescherming hiervan nog beter moeten maken. Dit geldt zowel voor de werknemers die verkeerde dingen doen als criminelen die het pad van de minste weerstand willen gebruiken om hun doel te behalen. Terwijl security professionals jarenlange ervaring hebben in het beschermen van data en systemen in hun eigen netwerken, kunnen de meeste gebruikers vandaag de dag effectief buiten het bedrijfsnetwerk werken door gebruik van cloud services en mobiele apparatuur.

Ondanks het feit dat er beveiligingslagen toegepast moeten en kunnen worden in alle technologische systemen, blijven inloggegevens een lastig onderdeel. Dit heeft te maken met de toegang die ze geven tot onze accounts en het vertrouwen dat mensen hebben in de communicatie via deze accounts. Daarom stel ik hieronder een vijftal vragen die je kunnen helpen bij het voorkomen van diefstal van inloggegevens:

1. Hoe voorkom je aanvallen met als doel diefstal van inloggegevens?

Wat kan er binnen de bestaande bedrijfsprocessen, procedures en tools geïmplementeerd worden om diefstal van inloggegevens te managen? Banken hebben bijvoorbeeld gezamenlijk afgesproken dat zij gebruikers marketinginformatie sturen, maar dat zij hierbij niet om persoonlijke informatie of inloggegevens vragen via e-mail. Hetzelfde idee kan toegepast worden in het bedrijfsleven: heb je een escalatieproces om e-mailaanvragen te bevestigen wanneer een persoon niet te bereiken is, zodat er altijd ook menselijke verificatie is? Wat voor tools heb je aan boord om diefstal van inloggegevens te spotten?

2. Hoe identificeer je gebruikers en bevestig je hun identiteit?

Zichtbaarheid is het belangrijkst in alle beveiligingsstrategieën. Heb je een helder proces om kwetsbare informatie en accounts te identificeren en om te bevestigen waar en hoe gebruikers inloggegevens gebruiken? Als dit ook buiten kantoor is, hoe controleer je dit dan? Dit zou het verkleinen of weigeren van toegang kunnen betekenen of het toevoegen van verschillende authenticatie-lagen. Hoe definieer en handhaaf je dit op een consistente manier, zodat je je eenvoudig kan aanpassen aan nieuwe eisen?

3. Waar controleer je?

Hoe kun je controles implementeren die aan te passen zijn aan veranderende eisen? Denk hierbij bijvoorbeeld aan het invoegen van support-opties voor nieuwe apps, cloud-resources en apparaten. Het kan bijvoorbeeld zo zijn dat je een multifactor-oplossing gebruikt voor authenticatie die niet ondersteund wordt. Hoe blijf je dit controleren? Controleer je dit bij het beginpunt van de bron of aan het eindpunt (authenticatie) of ergens er tussenin?

4. Hoe spot je misbruik?

Het doel is om misbruik van inloggegevens te voorkomen, of dit nu door aanvallers is of door werknemers. Je moet kunnen detecteren wat er gebeurt om de impact te verkleinen. Welke processen en mogelijkheden heb je om misbruik in kaart te brengen? Kun je snelle veranderingen in locatie identificeren en kun je een toename of verandering in activiteiten zien? Wanneer je deze kunt spotten, hoe eenvoudig is het dan om dat account volledig of bij het toegangspunt los te koppelen? Welke forensische data kun je gebruiken om te begrijpen wat er is gebeurd?

5. Wat en waar test je?

Security professionals zijn steeds beter gewend om de veerkracht van een netwerk te testen, omdat zij veel te maken hebben met cyberinbreuken. Maar hoe vaak test jij wat je kunt bereiken met normale inloggegevens op een apparaat dat niet van het bedrijf is of buiten het bedrijfsnetwerk? Wanneer je je zichtbaarheid vergroot, moet je denken aan welke scenario’s het meeste impact hebben en vervolgens de mogelijkheden testen om misbruik van inloggegevens te identificeren, voorkomen of er op te reageren.

Zo lang het relatief eenvoudig is om toegang te krijgen tot vele systemen, zal diefstal van inloggegevens niet verdwijnen. Waarschijnlijk zal de dreiging zelfs toenemen. Door regelmatig en kritisch bovenstaande vragen langs te lopen, krijg je een overzicht van waar je bedrijf kwetsbaar is en hoe je je security kunt verbeteren zonder dat dit het dagelijkse werk van de gebruikers beïnvloedt.