informatiebeveiliging Proactieve Beveiliging vs Social Engineering Elke organisatie kan het slachtoffer worden van social engineering. Met proactieve beveiliging is deze sluimerende dreiging te beperken. tekst Jos Maas S ocial Engineering (SE) in het kader van informatiebeveiliging verwijst naar onder andere de psychologische manipulatie van mensen in het uitvoeren van acties of het onthullen van vertrouwelijke informatie. Daarmee is het een vorm van oplichting om informatie te vergaren, fraude te plegen, of toegang tot het systeem te krijgen. 22 | s e c u r i t y M a n ag e m e n t | 5 2014 Technieken en methodieken SE-technieken zijn gebaseerd op specifieke kenmerken van menselijke gedrag, waaronder cognitieve dissonantie. Dat is de onaangename spanning die ontstaat bij het kennis nemen van feiten of opvattingen die strijdig zijn met een eigen overtuiging of mening, of bij gedrag dat strijdig is met de eigen overtuiging, waarden en normen. Bij de uitvoering van deze technieken vormt het uitbuiten van menselijk gedrag en gedragspatronen de kern. Technieken en methodieken komen in vele variaties en gedaantes voor, waaronder: Pretexting Pretexting is de handeling van het maken en gebruiken van een verzonnen scenario (het voorwendsel) dat de kans verhoogt dat het slachtoffer informatie onthult of acties uitvoert die hij/zij onder normale omstandigheden niet zou vrijgeven of uitvoeren. De aanvaller gebruikt hiervoor informatie, houding- en gedragaspecten, en attributen die zijn verhaal ondersteunen en geloofwaardiger maken. Diefstal door misleiding Diefstal door misleiding wordt uitgeoefend door professionals. Het doel is het overtuigen van de personen die verantwoordelijk zijn voor een legitieme levering dat de zending elders of door een andere persoon is opgevraagd. Een voorbeeld hiervan is het scenario dat goederen vanuit een postkamer/logistieke ruimte worden verzonden. In dit scenario speelt de situatie zich af dat een aanvaller zich toegang weet te verschaffen tot bedrijfsmiddelen (pc’s, goederen of producten). Vervolgens verpakt de aanvaller enkele van deze bedrijfsmiddelen en slaagt hij er in om deze pakketten te voorzien van de vereiste stempels en labels om deze pakketten tenslotte via de postkamer of logistieke dienst te verzenden naar het doeladres. Indien de aanvaller er in slaagt om binnen de bedrijfsprocessen te handelen is de kans erg klein dat deze verzendingen op zullen vallen bij de analyse van verzendingen. De kans dat dit scenario zich herhaald kan hierdoor reëel zijn. Proactieve beveiliging beperkt de sluimerende dreiging van social engineering 1. informatie verzamelen en informatie-analyse; 2. ontwikkelen van een relatie met de organisatie of een medewerker; 3. uitbuiten van de relatie; 4. uitvoeren van de SE-aanval. De fasen 1 en 2 kunnen het verschil maken voor een organisatie. In die fasen is het het meest waarschijnlijk dat voorbereidingshandelingen van een aanvaller door de organisatie worden gedetecteerd en kunnen worden aangeduid als ‘verdacht‘. Voor deze fasen kan de organisatie proactieve beveiliging gebruiken om de dreiging van een SE-aanval te verlagen. Tijdens de fasen 3 en 4 is het aan de medewerkers die geconfronteerd worden met de SE-aanvaller om de dreiging op te merken en te alarmeren. Voor deze fasen kan een veiligheidsbewustzijnsprogramma worden uitgevoerd ter beperking van de dreiging. Proactieve beveiliging SE-aanval Maar hoe zit het met proactieve beveiliging? Proactieve beveiliging is de ‘wetenschap’ in het voorkomen van een SE-aanval in de vroegste stadia op basis van gedrag, patroonherkenning en het verzamelen van informatie. Proactieve beveiliging legt alle puzzelstukken die nodig zijn voor een succesvolle SE samen. Dit geeft de organisatie inzicht over een mogelijke SE-aanval. Hierdoor wordt het veiligheidsbewustzijn verhoogd en inzicht in kwetsbaarheden van de organisatie verbeterd. SE tegen een organisatie wordt gebruikt voor onder andere het verkrijgen van informatie (bijvoorbeeld bedrijfsgeheimen). Een SE-aanval bestaat uit de volgende fasen: U kunt proactieve beveiliging implementeren in uw informatierisicoscenario’s. Welke scenario’s en bijhorende handelingen/acties zijn relevant en maken Tailgating Een aanvaller, die zich toegang verschaft tot een beveiligd/afgesloten gebied door simpelweg met een persoon, die wel legitieme toegang heeft, mee te lopen. Afhankelijk van het niveau van veiligheidsbewustzijn binnen de organisatie en de aanspreekcultuur kan een aanvaller relatief eenvoudig toegang krijgen tot beveiligde gebieden. 23 informatiebeveiliging Handvatten bij de uitvoering van proactieve beveiliging ■■ Wees u bewust van alle handelingen die een Social Engineer moet uitvoeren voor een geslaagde SE-aanval. ■■ Inventariseer welke scenario’s realistisch zijn en verwerk deze in het beveiligingsproces. ■■ Train alle medewerkers in het bewust zijn van de risico’s op eigen afdeling en wat de bijhorende ‘red flags’ zijn. ■■ Test scenario’s voor het analyseren van de risico’s. ■■ Gebruik informatie en incidentrapportages om informatie te bundelen zodat een mogelijke SE-aanval snel herkent en onderkend kan worden. ■■ Zorg bij de ontdekking van een mogelijke SE-aanval voor onmiddellijke actie. De aanvaller ziet de extra veiligheidsmaatregelen en wijzigingen. Hierdoor is de kans groot dat de aanvaller zich terugtrekt. een SE-aanval succesvol? En welke scenario’s zijn reëel denkbaar en zouden zich kunnen voordoen? Een BowTie-analyse kan een nuttig hulpmiddel zijn om u bewust te worden van de mogelijke scenario’s en (deel)activiteiten om een SE-aanval met succes bij uw organisatie uit te voeren. In de figuur kunt u zien hoe de BowTie-analyse wordt gebruikt voor het ontleden van elk scenario in afzonderlijke acties die de SEaanvaller moet uitvoeren om een aanval succesvol te maken. Het toepassingsgebied van proactieve beveiliging is alleen voor preventie doeleinden. Voor repressieve maatregelen dienen andere veiligheidsmaatregelen genomen te worden. 24 | s e c u r i t y M a n ag e m e n t | 5 2014 De resultaten van de BowTie-analyse kan worden gebruikt in uw risicoanalyse. Zijn de afzonderlijke acties zichtbaar in uw risicoanalyse en heeft u al maatregelen genomen? Als dat niet het geval is, welke beveiligingsmaatregelen kunt u nemen? Er zal altijd een restrisico zijn en er blijven methoden om toegang te krijgen tot het doelgebied. Maar zijn deze restrisico’s en methoden aanvaardbaar en/of realistisch om te verwachten? Met proactieve beveiliging gebruikt u informatie uit (incident)rapportages, waarnemingen van beveiligers en medewerkers en andere bronnen om een mogelijk SE-aanval in een van de eerste fasen ‘te zien’. Na de verwerking en interpretatie van alle informatie en interne afstemming kunnen onmiddellijk de juiste beveiligingsmaatregelen worden genomen. Beveiligingsmaatregelen De uitvoering van proactieve beveiliging is niet alleen het implementeren van nieuwe beveiligingsmaatregelen. Het is het bewustzijn dat verschillende beveiligingsmaatregelen al onderdelen van proactieve beveiliging in zich hebben. Het is aan u als beveiligingsmanager om al deze onderdelen inzichtelijk te maken en te bundelen om tijdig een SE-aanval te kunnen herkennen. conclusie De vraag of een organisatie slachtoffer kan worden van een SE-aanval kan met ja worden beantwoord. Maar doordat u zich bewust bent van SE en met de invoering van proactieve beveiliging in uw beveiligingsprocessen, kunt u snel een mogelijke SE-aanval herkennen en onderkennen. Hierdoor bent u in staat om snel te reageren, waardoor de kans op een succesvolle SE-aanval drastisch afneemt. Met proactieve beveiliging beperkt u deze sluimerende dreiging. n Jos Maas CISM is consultant Security & Continuity Services bij Centric. [email protected]
© Copyright 2024 ExpyDoc
