"Bedrijven overgeleverd aan cybercriminelen"
Bedrijven en security professionals zijn overgeleverd aan cybercriminelen, die altijd een stap voor lopen en daardoor een groot risico voor ondernemingen vormen. Dat is de strekking van het Cybercrime rapport van Deloitte. Inmiddels zou cybercrime de grootste cyberdreiging zijn en weten cybercriminelen die bedrijfsnetwerken infiltreren langer onopgemerkt te blijven. Veel bedrijven negeren echter deze dreiging en geven geld uit aan het bestrijden van "mindere" dreigingen. Deloitte spreekt van een ernstig gebrek aan bewustzijn, maar ook van zelfgenoegzaamheid als het om dit onderwerp gaat. Zowel automatiseringsafdelingen als security officers zouden tekort schieten.
Daarbij staat het uitgeven van grote sommen geld niet gelijk aan beveiliging. Wie meer uitgeeft hoeft niet per definitie veiliger te zijn. "We zien veel organisaties middelen voor technologische beveiligingsmaatregelen uittrekken, terwijl eenvoudige, goedkope maatregelen zoals patchmanagement, log analyse, verminderen van rechten, wachtwoorden laten verlopen en het opheffen van de toegang van ex-werknemers worden genegeerd."
Bankovervaller
Volgens Deloitte zijn gegevens waardevoller dan geld. "Eenmaal uitgegeven is het geld weg, maar data kan worden gebruikt en hergebruikt om meer geld te produceren." Het gaat dan om zaken als inloggegevens voor internetbankieren, het autoriseren en activeren van creditcards of toegang krijgen tot een bedrijfsnetwerk. De wereld is sinds 1900 dan ook nauwelijks veranderd, toen Willie Sutton werd gevraagd waarom hij banken beroofde. Zijn antwoord was dat daar het geld zit. "Vandaag gaan cybercriminelen waar de gegevens zijn, omdat dit ze herhaaldelijk toegang tot geld geeft, waar het ook is", zo wordt het 'cybercrime dilemma' samengevat.
Het probleem is echter dat de cybercriminelen vanuit een underdog positie werken en daarom creatiever/inventiever te werk moeten gaan om nieuwe oplossingen te vinden. De risk en security community gaat echter te reactief te werk.
Hoeveel bedrijven zijn er legaal bezig met het ontwikkelen van nieuwe exploits en nieuwe attack vectors?
Hoeveel bedrijven zijn er legaal bezig met het ontwikkelen van nieuwe exploits en nieuwe attack vectors?
Weinig tot niet, de meeste bedrijven kopen die exploits dan ook weer van "underground security groups".
daarnaast denk ik dat het probleem ergens anders ligt.
- Cybercriminelen hebben meer tijd om te inversteren terwijl in het bedrijfsleven tijd geld is en alles zo weinig mogelijk tijd moet kosten.
- Daarnaast is het probleem dat de meeste bedrijven niks aan security doen tot er een noemenswaardig incident gebeurd.
- Verder worden beslissingen vaak genomen door mensen die er geen verstand van hebben of het niet snappen.
- Dan heb je ook nog de naieve systeembeheers die altijd zeggen "zo gek zal het niet lopen" en daar mee de risico's onderschatten.
- Totslot wordt er altijd gekeken vanuit functionaliteit ipv van beveiliging, eerst de functionaliteit en dan de beveilging terwijl deze processen elkaar aan moeten vullen
Veel beveiligers gaan reactief te werk, al is een stuk pro-actiever werken gewoon mogelijk.
"Hoeveel bedrijven zijn er legaal bezig met het ontwikkelen van nieuwe exploits en nieuwe attack vectors?"
Veel te weinig, al kan je het zonder meer legaal doen in een lab omgeving. Al kan je je afvragen of het ontwikkelen van exploits nou echt de beste manier is om als beveiliger pro-aktief aan de slag te kunnen.
Trainingen en cursussen zijn i.m.o. compleet nutteloos. Het gaat niet om parate kennis (die a la minute veroudert), maar om een denkwijze. Als "bewustwording" nog belangrijk voor je is, kan je beter een ander beroep kiezen.
Het gaat dus ook niet om het ontwikkelen van nieuwe exploits, maar wel om het nadenken over concepten daarvoor. Vooral voor exploits op je eigen security plan. Een proof of concept is dan meestal al genoeg.
1) reputatie schade (als een bedrijf bijvoorbeeld credit card gegevens verliest of prive gegevens deelt of het uit jou naam sturen van mail)
2) bedrijfs geheimen die op straat komen te liggen (denk aan zaken deals die opeens niet doorgaan of op slechtere voorwaarden)
3) bewaarplicht (als een cracker betaald door de concurrent je hele financiële administratie vernietigd)
Het begint allemaal met een besef over wie wat wanneer moet weten en daarna het aanpassen van informatie processen in het bedrijf zelf. En als laatste hoe je dit technisch invult.
Daarnaast vind ik dit "Hoeveel bedrijven zijn er legaal bezig met het ontwikkelen van nieuwe exploits en nieuwe attack vectors?" een hele slechte zin. Alsof het maken van exploits (en dus in feite debuggen van je systeem) iets te maken heeft met legaal of illegaal.
Het maken van exploits of bedenken van attack vectors is ten alle tijden legaal. Zou wat worden als dit bij wet verboden is zeg! Dan is geen enkel systeem meer veilig en kun je alleen nog maar reactief bezig zijn.
Computer vredebreuk is "illegaal" ja, het maken van een breekijzer niet.
de kleine onschuldige man wordt gepakt, maar het grote geld is weg.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime
Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.