Laatste Verhalen

Blijf op de hoogte van alles bij Approach

Publication

Blootstelling aan en impact van phishing-aanvallen verminderen.

Publicatiedatum

22.07.2020

image
Hoofdstuk twee van ons cyberbeveiligingsverhaal! Hoe verkleinen onze experts de impact van de phishing-aanval?

Eerder in ons eerste hoofdstuk zagen we dat een phishingaanval zowel het bedrijf van Alice als dat van Ben failliet kon laten gaan.

Ze pakken het probleem aan met drie verschillende benaderingen: Blootstelling verminderen, de gebruikers trainen en detectie vergemakkelijken. Laten we vandaag eens lezen hoe onze twee beveiligingsexperts omgaan met het verminderen van de blootstelling.

Wil je het hele verhaal lezen en advies krijgen om phishing-bedreigingen te verminderen? Download hier ons cyberbeveiligingsverhaal

Een verhaal geschreven door Emmanuel Nicaise, onze Human-Centric Cyber Security expert en Storyteller.

Blootstelling aan en impact van phishing-aanvallen verminderen

Alice en Ben waren het over veel zaken eens. Om het risico op een succesvolle phishingaanval te beperken, kunnen ze de waarschijnlijkheid of de impact ervan verkleinen.
Ze gebruikten allebei dezelfde service. Wat doet het?

1. De aanvallen voorkomen door de kans erop te verkleinen

De kans op een succesvolle phishing-aanval kan in verschillende stadia worden verkleind. Er zijn meerdere controlepunten om de kans op een succesvolle phishingaanval te verkleinen, omdat we het onderliggende proces kennen:

Controle over e-mailafzenders

Met de toename van spam die onze mailboxen overspoelt, hebben we een ruime keuze aan technische oplossingen tot onze beschikking om ongevraagde e-mails beter te voorkomen. Phishing-e-mails zijn ongevraagd. Criminelen versturen de e-mails alsof ze iemand anders zijn (ook al kunnen phishers soms een domein gebruiken dat ze zelf bezitten of een gehackt e-mailaccount). Alice en Ben kunnen daarom een groot deel van de frequente phishingaanvallen tegenhouden met “eenvoudige” antispamcontroles. A.com en B.com hebben dezelfde controles geïmplementeerd op hun inkomende mailservers:

  • Omgekeerde DNS-controle:

    De ontvangende e-mailserver (ook wel de SMTP-server genoemd) controleert of het domein van de afzender van een e-mail bestaat in de DNS-server (Domain Name Service) voordat hij de e-mail accepteert.

  • Voorkom spoofing van e-mailadressen:

    In theorie zou alle e-mail die afkomstig is van een domein (zoals @A.com of @B.com) afkomstig moeten zijn van machines die deel uitmaken van het netwerk van de organisatie of verbonden zijn via een Virtual Private Network (VPN). Zowel A.com als B.com gebruiken een paar cloud-gebaseerde oplossingen. Elk van deze oplossingen gebruikt een subdomein van A.com en B.com (zoiets als @service.A.com) om e-mails te versturen namens hun bedrijven. Dit zou moeten voorkomen dat je een e-mail ontvangt die zogenaamd afkomstig is van het domein van je organisatie, maar eigenlijk van een machine buiten je netwerk. E-mail spoofing heeft betrekking op het versturen van een e-mail van buiten een bedrijf (waar dan ook op het internet) terwijl wordt gedaan alsof de e-mail van binnen het bedrijf afkomstig is, d.w.z. dat het lijkt alsof de e-mail afkomstig is van een collega die we moeten vertrouwen. Spoofing is een zeer effectieve manier om mensen op links te laten klikken. We hebben de neiging om mensen uit onze directe omgeving, onze organisatie, onze familie, meer te vertrouwen dan mensen buiten deze groepen. We kunnen e-mailservers eenvoudig configureren om gespoofde e-mails te blokkeren. Toch kunnen we uitzonderingen nodig hebben voor een vertrouwde bron, zoals ons interne netwerk, een SaaS-provider of een geverifieerde gebruiker.

  • Gebruik Sender Policy Framework (SPF) en Sender ID (Microsofts versie van SPF)

    E-mails blokkeren die afkomstig zijn van een domein dat niet wordt vertrouwd door de eigenaar van het domein. Eenvoudig gezegd, een bedrijf als C.com vermeldt de adressen van de servers waarvan het e-mails verstuurt. Als een andere server een e-mail verstuurt, zullen de servers van A en B deze blokkeren. Het blokkeren van niet-vertrouwde servers zorgt ervoor dat er minder spam en phishing in onze mailboxen terechtkomt.

  • DKIM handtekeningcontrole (Domain Keys Identified Mail)

    Steeds meer organisaties gebruiken DKIM om hun uitgaande e-mails elektronisch te ondertekenen. Elke e-mail die deze organisaties verlaat, wordt op deze manier ondertekend. Dit stelt ons in staat om dergelijke e-mails te verifiëren als zijnde afkomstig van hun organisatie. Organisaties adverteren hun gebruik van DKIM en hun elektronische sleutels met behulp van specifieke DNS-records. Als een e-mail die afkomstig is van een organisatie die DKIM gebruikt geen handtekening bevat of als de handtekening niet correct is, is deze afkomstig van een verdachte bron en moet deze worden geblokkeerd. Het “spoofen” van een domein dat toebehoort aan een organisatie die DKIM gebruikt, wordt hierdoor een uitdagende taak.

  • Domain-based Message Authentication, Reporting and Conformance (DMARC)
    DMARC wordt gebruikt om te detecteren wanneer mensen zich proberen voor te doen als een organisatie.

Veiligheidspoorten

Naast de controle over de e-mailafzender gebruiken Alice en Ben verschillende toevoegingen
itionele producten en diensten om ongevraagde en kwaadaardige e-mails te blokkeren:

  • Anti-malware:
    Dit systeem analyseert de inhoud van hun e-mails en vergelijkt mogelijke schadelijke inhoud met een lijst van bekende schadelijke bestanden of links. Bij risico’s wordt de e-mail geblokkeerd of in quarantaine geplaatst.
  • Reputatiefilter:
    Dit systeem vergelijkt het adres van een server die een e-mail verstuurt met een lijst van servers die zijn gecategoriseerd op basis van hun reputatie. Telkens wanneer een gebruiker een kwaadaardige of ongevraagde e-mail identificeert, meldt hij of zij de server die de e-mail heeft afgeleverd bij de beheerder van de lijst (bekend als een blacklist). De reputatie van de server wordt aangepast (de blacklist ontvangt informatie van duizenden of miljoenen klanten) om te beslissen of de server moet worden geblokkeerd of niet.
  • Sandboxes:
    Sandboxes zijn servers die e-mailbijlagen automatisch uitvoeren in een veilige virtuele omgeving en controleren hoe ze zich gedragen. Als een bijlage verdachte acties uitvoert, kan de server de levering van het bestand vertragen. Het bestand wordt doorgestuurd naar een team van cyberbeveiligingsprofessionals die het grondig analyseren voordat ze een deskundig advies geven over het vrijgeven of blokkeren van het bestand.

Al deze controles helpen de kans op een succesvolle aanval te verkleinen. Ze hebben echter allemaal zwakke punten waardoor hackers ze kunnen omzeilen of onopgemerkt kunnen blijven. Daarom zijn ze lang niet altijd 100% effectief.

2. Falen is geen optie – wees op het ergste voorbereid

Alice en Ben zijn doorgewinterde beveiligingsprofessionals. Ze weten dat wat ze ook doen om hun organisatie te beschermen, criminelen er alles aan zullen doen om hun verdediging te doorbreken. Ze wilden allebei voorbereid zijn op het ergste en verschillende oplossingen gebruiken om de impact van een succesvolle aanval te verminderen.

Malware

Ben en Alice gebruiken meerdere mitigaties tegen malware. Meer specifiek:

  • voorkomen dat niet-geïdentificeerde (niet-ondertekende) en niet-geautoriseerde toepassingen op hun apparaten worden uitgevoerd, evenals laterale bewegingen (met name voor ransomware).
  • Anti-malware gebruiken op eindgebruikersclients of gateways. Ze hebben bovendien User-Behaviour analysis ingezet en er staat een Security Incident Response Team klaar.
  • gebruik een online back-upsysteem met versiebeheer en test regelmatig de “restore- from-scratch” procedure.

Lekken van gegevens

Ben en Alice hadden minder opties om de gevolgen van het lekken van gegevens te beperken. Wanneer gebruikers hun gegevens lekken, moeten ze hun wachtwoorden onmiddellijk wijzigen. Maar om dat te kunnen doen, moeten ze eerst het lek kunnen detecteren. Voor Alice bestaat het beste “gereedschap” daarvoor uit haar gebruikers. Zelfs als ze erin zijn geluisd, zijn ze getraind om het lek te herkennen en het te melden aan het Cyber Security Response Team. Ze weten dat hun management hen niet de schuld zal geven en ze kunnen nog steeds hun bedrijf veilig houden. Zo’n melding zorgt er bovendien voor dat het Cyber Security Response Team sneller kan reageren.

A.com implementeert momenteel een twee-factor authenticatiesysteem. Ze hebben tot nu toe alleen de kritieke functies afgedekt, maar dit verkleint de kans op een succesvolle aanval al aanzienlijk.
Bij B.com heeft Ben geïnvesteerd in een Data Leakage Prevention systeem. Dit is een veelbelovende technologie, maar ze zijn nog bezig met het definiëren van alle use cases voor het detecteren van een datalek. Ze zijn er al in geslaagd om een groot aantal onopzettelijke openbaarmakingen te voorkomen.

Fraude

Na een geval van CEO-fraude bij een Belgische bank stelde Alice de implementatie van sterk bestuur en sterke processen bij financiën en klantenondersteuning aan de orde. Ze besloten om de hoeveelheid geld die één persoon kan overmaken te beperken (door het vierogenprincipe toe te passen voor grote bedragen). Ben besloot een gedragsanalysesysteem op te zetten om ongebruikelijke transacties op te sporen en te blokkeren.

Alice en Ben hebben uitstekende technische keuzes gemaakt, maar oorlogen worden gewonnen door mensen! Kom erachter in ons derde hoofdstuk volgende week.

Onze ondersteuning nodig om de blootstelling aan en de impact van phishing-aanvallen te beperken?
Ontdek onze oplossing voor beveiligingsbewustzijn en neem contact met ons op!

ANDERE VERHALEN

Wereld Back-up Dag: Omdat je gegevens verliezen niet alleen een nachtmerrie is – het is de realiteit

Ontdek op deze Wereld Back-up Dag waarom regelmatige, geteste back-ups cruciaal zijn om je gegevens te beschermen tegen cyberaanvallen, hardwarestoringen en menselijke fouten.

5 psychologische tips om een efficiënt cyberbeveiligingsbewustzijn op te bouwen

Hoe kun je psychologie gebruiken om je beveiliging te verbeteren? Bekijk de herhaling en krijg de antwoorden van onze expert.

Vertrouwen opbouwen om phishing te stoppen – Belnet artikel

De blootstelling verminderen, de detectie vergemakkelijken en onze gebruikers trainen: dit zijn de stappen die we nemen om het risico op succesvolle phishing-aanvallen te verkleinen. Is het genoeg? Lees meer.

Neem contact met ons op voor meer informatie over onze diensten en oplossingen

Ons team helpt je op weg naar cybersereniteit

Stuur je ons liever een e-mail?

info@approach-cyber.com

Facebook-f Linkedin-in Youtube

Onze certificeringen en labels

Facebook-f Linkedin-in Youtube
Facebook-f Linkedin-in Youtube