In elke sector, ook in de IT, lijden we aan tunnelvisie omdat we uitgaan van bepaalde aannames die niet waar meer zijn - of zelfs nooit waar zijn geweest. Die aannames zorgen ervoor dat managers en zelfs systeembeheerders hun kop in het zand steken en dreigingen negeren waarvan ze denken dat ze toch niet van toepassing zijn op hun organisatie.

Dat zie je keer op keer opnieuw: mythes die lijden tot slecht securitybeleid. Hierdoor hebben aanvallers een extra voordeel op beveiligers. Sony, Yahoo, LinkedIn - allemaal voorbeelden van bedrijven die niet eens de basale maatregelen in acht namen (respectievelijk geen 2FA, geen wachtwoordresets, gebrek aan inzicht om de scope van de diefstal uit 2012 te kunnen beoordelen). De reden is vaak dat we onterecht geloven in allerlei fabeltjes die leven binnen organisaties. Hier 14 van zulke onwaarheden.

1. Ik heb niets wat de moeite waard is

Iedereen heeft iets wat interessant genoeg is om te stelen. Voor gebruikers zijn het accounts en wachtwoorden die leiden tot andere accounts en wachtwoorden. Financiële fraude, identiteitsdiefstal, het vergaren van spamaccounts en botnetkracht: doorsnee internetters hebben genoeg in huis wat het aanvallers de moeite waard maakt.

Ook binnen organisaties hoor je wel eens dat er toch geen intellectueel eigendom of bedrijfsgeheimen zijn, maar ook de reputatie van een bedrijf staat op het spel. Een simpele hack op fora voor accountgegevens kan al behoorlijk schadelijk zijn voor je merk. Dat leidt tot lagere verkopen, boetes van toezichthouders, kosten voor diensten die monitoren op identiteitsfraude en een lang proces om het vertrouwen van klanten terug te winnen.

2. We kunnen niet worden gehackt

Zoals je vaak hoort, is het geen kwestie van of aanvallers binnenkomen, maar wanneer dat gebeurt. Met geavanceerde software, nieuwe methodes, geduldige aanvallers en hacks die maanden in beslag nemen, is het onmogelijk om de slechteriken in alle gevallen voor te blijven. We moeten beveiligen, maar ook belangrijk is om de systemen zodanig in te richten dat er snel gereageerd kan worden op een succesvolle aanval - in tegenstelling tot wat bijvoorbeeld Yahoo deed.

3. Compliance = security

Compliance, voldoen aan overheidsregels, wordt vaak hét bedrijfsdoel van een organisatie als het aankomt op beveiliging. Maar voldoen aan de regels betekent geen sterke beveiliging: compliance betekent vaak dat je voldoet aan de minimale eisen om een audit te doorstaan. Vaak nog op een specifiek gebied ook, dus het zegt niets over de beveiliging van de infrastructuur. Robuuste beveiliging is een basis voor compliance; niet andersom.

4. Als er iets misgaat, kun je alles terugvinden in applicatielogs

Een veelvoorkomende mythe is dat applicaties nuttige data loggen, als ze überhaupt al logbestanden aanmaken. De trend momenteel draait om het analyseren van applicatielogs om risico's beter te begrijpen. Je hoort beveiligers vaak praten over spannend klinkende termen als machine learning en heuristiek, maar de vraag is of je een logbeleid hebt. Zo ja, hoe is het geïmplementeerd? Worden de logs geaggregeerd en geanalyseerd? Zo ja, wordt dat gedaan op een manier dat je daadwerkelijk actie kunt ondernemen op de data?

5. Beleid afdwingen helpt tegen malafide personeel

Insiders, werknemers die een IT-dreiging vormen, weten per definitie iets over hun doelwit. Daarom kunnen ze rekening houden met de methodes die een bedrijf inzet om data binnen te houden. Met meer beleidsregels maak je het insiders alleen maar iets lastiger. Wat meer impact heeft om bedrijfsdata binnen de organisatie te houden is het monitoren van gedrag op langere termijn en te kijken hoe dat gedrag afwijkt.

6. Je vindt alle dreigingen door genoeg data te verzamelen

Met gegevens van een SIEM of ander logbeheersysteem heb je data, maar nog niet begrip over de dreigingen waar je mee te maken krijgt. Er wordt in de meeste bedrijven veel gelogd en gekeken naar veranderingen in gedrag van gebruikers en apparaten, in plaats van het ouderwetse plan om drempelwaardes en regels te gebruiken om dreigingen te blokkeren. Dat betekent veel gegevens en in die ruis moet je detectie van bijvoorbeeld malafide credentailgebruik of C&C-verkeer niet uit het oog verliezen.

7. Phishing is iets van vroeger

Social engineering, het motiveren van gebruikers om iets beveiligingstechnisch gezien doms te doen, is de laatste drie jaar weer toegenomen in populariteit. Nieuwe strategieën lijken alsof het gaat om interne mails, compleet met legitiem ogende bijlages van bijvoorbeeld een daadwerkelijk op handen zijnde bedrijfsevenement of een factuur van een dienst waar je ook zaken mee doet.

Lees ook: 7 tekenen waaraan je een phishingmail herkent

Dat komt doordat aanvallers van tevoren goed hun huiswerk doen en weten wie ze benaderen. Spamfilters beschermen niet tegen gerichte aanvallen: vooral bewustwording is cruciaal. Doe regelmatig een phishingtest bij het personeel en maak mensen gerust iets paranoïder over de e-mails die ze binnen krijgen. Te paranoïde bestaat bijna niet.

8. 2FA via SMS is sterke beveiliging

Laten we even vooropstellen dat multifactorauthenticatie via sms in ieder geval stukken beter is dan de afwezigheid van 2FA voor je gevoelige applicaties. Niet elke 2FA-methode is even veilig en aan sms schort het een en ander. Het is namelijk vatbaar voor man-in-the-middle-aanvallen en is daarom niet afdoende tegen aanvallers die zich specifiek op jouw organisatie richten.

Het beschermt wel tegen de gemiddelde aanvaller die een database probeert te kapen en het werkt drempelverhogend. Maar omdat hackers sms'jes relatief eenvoudig kunnen onderscheppen, raadt onder meer standaardeninstituut NIST aan om te kijken naar alternatieve authenticatiemiddelen, bijvoorbeeld een softwaretoken in een mobiele app - zoals met Google's Authenticator.

9. We moeten kijken naar detectie; niet preventie

Ja, aanvallers hebben een groot voordeel. De asymmetrische relatie tussen beveiligers en aanvallers komt erop neer dat wij een groot oppervlak moeten beschermen, maar aanvallers hoeven alleen slechts één gaatje te vinden. Omdat aanvallers zo'n voordeel hebben, wordt preventie steeds meer gezien als onbegonnen werk en is realtime detectie het nieuwe devies.

Er zijn geavanceerde aanvallers die de vaardigheden hebben om alle beveiliging te omzeilen, maar het grootste deel van de aanvallen richt zich op laaghangend fruit. De grootste incidenten van de afgelopen jaren draaiden om verwaarloosde servers, ontbreken van OpSec, geen 2FA, et cetera. De effectiefste beveiliging kijkt primair naar de systemen met het oog op preventie. Detectie en reageren zijn belangrijk, maar zonder goede preventieve maatregelen niet nuttig genoeg.

10. We vonden Russische code, dus het zijn Russische aanvallers

Hackers zijn niet dom en perfect in staat om dwaalsporen aan te brengen in hun methodes. Ze doen dit om hun aanwezigheid te verbergen of om hun origine te verhullen. Malafide hackers doen in feite hetzelfde als goedaardige hackers, oftewel IT-beveiligers, en kunnen daarom ook prima ons denkpatroon volgen en er voor te zorgen dat we een doodlopende weg inslaan.

Bovendien werken ze onderling samen. Iemand in België koopt malware die in Rusland te koop wordt aangeboden en geschreven is door iemand uit de Oekraïne. De hacker werkt vervolgens samen met een groep in Albanië om een doelwit in Turkije aan te vallen. Het is heel lastig om de oorsprong van een aanval te achterhalen, dus kom niet te snel tot een conclusie: zo'n aanwijzing is vaak onderdeel van een grotere puzzel.

11. Firewall en AV zijn afdoende

Is er eigenlijk vandaag de dag iemand die serieus met beveiliging bezig is die dit gelooft? Firewalls en AV zijn nog steeds nodig, maar allang niet meer voldoende om data te beveiligen. Een holistische aanpak van netwerkbeveiliging van perimeter tot core, gericht op detectie en preventie is vandaag de dag van essentieel belang om bedrijfsnetwerken zo goed mogelijk dicht te timmeren.

12. Hackers lijken op wat je op tv ziet

Dat is bijna nooit waar. Lui met hoodies die in 'mainframes' hacken door de 'versleutelde firewall' zijn het terrein van fictie. In het echt zijn het professionals die met veel geduld en trial and error de kwetsbaarheden vinden waar ze vervolgens zelf gebruik van maken of doorverkopen. Veel malafide hackers begonnen met heel ander werk en ontdekten dat ze vaardigheden hadden in het vinden van kwetsbaarheden. Een echte aanvaller draagt net zo vaak een wit overhemd.

13. Kritieke fouten zijn zeldzaam

Volgens de statistieken heeft vrijwel elke website ten minste één kritieke kwetsbaarheid die kan leiden tot het overnemen van een systeem en/of gegevensverlies. Als je eigenaar bent van een website of web-app is de kans erg groot dat je blootgesteld staat aan een aanval. Beveiliging van webapplicaties moet duidelijk een hogere prioriteit krijgen bij de meeste organisaties.

14. Kosten blijven stabiel

Wat is het toch een mooi optimisme dat we durven te hopen dat de begroting aansluit op de daadwerkelijke kosten op jaarbasis. Bijna alle organisaties krijgen te maken met onderzoek naar incidenten en stijgende leveranciersprijzen als netwerken groter worden en meer informatie wordt gebruikt. De begroting moet daarom constant opnieuw worden geëvalueerd: één incident moet niet leiden tot moeilijke beslissingen voor de rest van het beveiligingsbudget.

Als je organisatie groeit, meer aanvallen te verduren krijgt of meer apparaten toevoegt aan de hardwareconfiguratie kun je ervan uitgaan dat de prijzen van gecontracteerde dienstverleners en leveranciers omhoog gaan. Je kunt inderdaad relatief besparen met schaalvergroting, maar houd er ook rekening mee dat je in nieuwe schaalniveaus van contractanten terechtkomt - met alle bijkomende kosten van dien.