door Simon van Renswouw 4 maanden geleden

Weet jij waar de zwakke plekken in je IT-beveiliging zitten? Een zogenoemde penetratietest (pentest) kan een goed middel zijn om zicht te krijgen op je kwetsbaarheden en op basis daarvan je beveiliging aan te scherpen, vertelt ethical hacker Robert Schmidt. “Ook hackers zijn gewoon mensen, maak het ze dus vooral niet te makkelijk.” 

Wat een pentest precies is? Een eensluidende definitie bestaat op zich niet, vertelt Robert. “Maar de kern is dat je een ethical hacker inhuurt die probeert binnen te dringen in je systemen en je netwerk. Waar zitten de belangrijkste kwetsbaarheden? Via welke toegangspunten kunnen kwaadwillenden gemakkelijk binnenkomen? En welke informatie kunnen ze buitmaken en misbruiken om het bedrijf eventueel te dwarsbomen?”

De voordeur op slot

Cybercriminelen worden steeds inventiever en brutaler, zo lijkt het. Is het eigenlijk nog wel te doen om jezelf als MKB-bedrijf goed te beschermen tegen alle bedreigingen die er op je afkomen? Zeker wel, benadrukt Robert. “Je moet niet vergeten dat ook hackers gewoon mensen zijn. Als jij de voordeur van je huis open laat staan, is de kans groot dat iemand naar binnen glipt. Maar houd jij je voordeur dicht en – beter nog – draai je hem goed op slot? Dan is de kans al een stuk kleiner dat iemand je huis binnendringt. Dan kan het altijd nog zo zijn dat er ergens een raam openstaat waardoor iemand alsnog naar binnen komt, maar de kans daarop is klein. Als een hacker ziet dat jij je basisbeveiliging aan de voorkant goed op orde hebt, zal hij lang niet altijd actief op zoek gaan naar kwetsbare punten. De meesten haken dan al af.”

Regelmatige updates

Het op peil brengen van je cybersecurity begint bij het simpelweg up-to-date houden van je systemen, schetst Robert. “Vergeet daarbij vooral ook de firmware-updates niet, want die worden 9 van de 10 keer vergeten.” Zorg verder voor goede procedures, vervolgt Robert. “Veel medewerkers weten simpelweg niet wat ze moeten doen als er iets verdachts zien – met alle gevolgen van dien. Leer je medewerkers om verdachte activiteit te herkennen en richt een proces in waarmee ze risico’s – zoals verdachte e-mails – laagdrempelig kunnen melden. Wat verder ook veel medewerkers doen: hun laptop aan het einde van de dag dichtklappen. Druk je medewerkers op het hart om hun device ook echt af te sluiten, want alleen dan worden de noodzakelijke updates geïnstalleerd.”

Zwakke schakels

Verder zijn onbeheerde apparaten vaak enorm zwakke plekken binnen het IT-landschap, vertelt Robert. “Laptops en dekstops: die zijn vaak relatief goed beveiligd. Het gevaar schuilt vaak met name in alle andere devices die in een netwerk worden gehangen: printers, telefoons, smart-tv’s, IoT-devices… Maar ook beveiligingscamera’s, airconditioningsytemen en zelfs sleutelkluisjes die voorzien zijn van wifi. Je kunt het zo gek niet bedenken of ik ben het wel een keer tegengekomen tijdens een pentest.”

“Maar: van alle devices binnen een netwerk is de printer doorgaans met afstand de zwakste schakel. Daar begin ik dus ook meestal bij een pentest. Printers zijn vaak voorzien van een cachegeheugen, waarin alle printopdrachten worden opgeslagen. Een hacker kan hierdoor ongemerkt toegang krijgen tot enorm veel, niet zelden bedrijfsgevoelige, informatie. Hetzelfde geldt voor al het netwerkverkeer: als je dat niet op een goede manier versleuteld, kan een hacker ‘zomaar’ bedrijfsgevoelige informatie onderscheppen en wijzigen. Hij hoeft maar een bankrekeningnummer te wijzigen om ongemerkt geld binnen te harken. En wat dacht je van klantinformatie, of financiële gegevens? Allemaal data waarvan je niet wil dat die op straat komen te liggen, maar die via het netwerk vaak relatief eenvoudig buit te maken zijn.”

Phishing voorkomen

De printer speelt vaak ook een rol bij phishing, waarbij criminelen via nepmails waardevolle gegevens buit proberen te maken, vertelt Robert. “Om phishing te voorkomen zoeken veel organisaties het in bewustwordingstrainingen en -campagnes, maar er zullen altijd medewerkers zijn die tóch op een verkeerde link klikken. Beter is het om te voorkomen dat cybercriminelen überhaupt een phishing-aanval kunnen uitvoeren.” En ook dáár gaat het vaak al mis, merkt Robert. “Om een aanval uit te kunnen voeren, hebben hackers e-mailadressen nodig. Sommige organisaties denken slim te zijn door te variëren in de opbouw van mailadressen; sommige medewerkers krijgen dan een e-mailadres met hun voor- én achternaam, anderen krijgen alleen voor- of achternaam, weer anderen een afkorting.”

Door e-mailadressen op deze manier inconsequent samen te stellen, hopen organisaties te voorkomen dat hackers de mailadressen kunnen raden, legt Robert uit. “Maar vervolgens staan die e-mailadressen wél allemaal netjes vermeld in het adresbroek van de printer. Een hacker hoeft dus alleen maar die printer binnen te dringen om alsnog de exacte mailadressen van alle medewerkers te achterhalen, als basis voor een succesvolle phishing-campagne.”

Pentest: de basis op orde

Wil je zeker weten dat je de basis qua security goed op orde hebt? Dan is een pentest zeker aan te raden, adviseert Robert. “Een pentest – door een onafhankelijke partij – is enorm nuttig om in kaart te brengen wat er zich allemaal aan devices in je systemen en netwerken bevindt, en waar wat dat betreft de zwakke plekken zitten. Op basis van die inventarisatie kun je vervolgens gerichte maatregelen nemen om je securitylandschap verder te verstevigen. Ik zei het al: als je aan de voorkant laat zien dat je je zaken op orde hebt, wordt de kans op een geslaagde aanval al een stuk kleiner.”

Meer informatie?

Simon van Renswouw

Solution Advisor e. simon.van.renswouw@acesdirect.nl t.013 762 19 08 Contactformulier