De menselijke factor in cyberbeveiliging: Q&A met Troy Hunt

Ondanks de verschuiving naar werken op afstand tijdens de pandemie van het coronavirus, blijven de basispraktijken van cyberbeveiliging hetzelfde, zegt Troy Hunt. De uitdagingen voor organisaties draaien nog steeds om kernpraktijken zoals het patchen van kwetsbaarheden en het gebruik van betere wachtwoorden, zegt de cyberbeveiligingsdeskundige, die in 2013 Have I been Pwned? - een website lanceerde waarop gebruikers hun online referenties kunnen controleren om te zien of ze zijn gecompromitteerd -. Hij werkt momenteel aan een boek, met de voorlopige titel Pwned, dat is voortgekomen uit zijn blog, waarop hij problemen op het gebied van cyberbeveiliging bespreekt. Het boek, dat hij samen met techschrijver Rob Conery heeft geschreven, moet later dit jaar uitkomen.

Mimecast sprak met Hunt van de relatief COVID-veilige Gold Coast in Australië over de veranderingen die werk op afstand met zich meebrengt, het nieuwe normaal op het gebied van datalekken en de gedeelde verantwoordelijkheid van gebruikers bij het handhaven van cybersecurity.

Mimecast: Hoe goed zijn ondernemingen voorbereid op de uitdagingen van cyberbeveiliging bij werken op afstand?

Troy Hunt: We hebben geen massaproblemen gezien die grote gevolgen hebben gehad voor bedrijven en personen als gevolg van de zeer snelle online-verschuiving. We hebben zeker veel incidenten gezien die opmerkelijk waren. Wat me te binnen schiet zijn al die Zoom-bombardementen. Plotseling werden al die mensen en organisaties gedwongen om processen en instrumenten te gebruiken waarmee ze geen ervaring hadden en geen tijd om die te leren en op te leiden. Maar daar kwamen we heel snel bovenop.

In feite hebben we, als we denken aan enkele van de echt opmerkelijke malware die we in het verleden hebben gezien, zoals Wannacry, veel meer te lijden gehad van kwaadaardige software van vóór de COVID dan van het plotseling heel snel online krijgen van iedereen.

Mimecast: Is de verantwoordelijkheid voor cyberbeveiliging meer komen te liggen bij de werknemers die op afstand werken?

Hunt: Iedereen heeft op verschillende manieren meer verantwoordelijkheid moeten nemen, zowel individuen als organisaties. Individuen hebben zeker een verantwoordelijkheid op zich moeten nemen die ze vroeger niet hadden, als het gaat om het beveiligen van hun werkomgeving, die nu hun thuis is. Ik vertel vaak het verhaal van toen mijn zoon met thuisonderwijs moest beginnen. Ik was eigenlijk erg onder de indruk hoe een groep jongens van 10 zich zo snel kon aanpassen. Maar ik was ook behoorlijk geamuseerd op een van de eerste Microsoft Teams vergaderingen die ze hadden, toen ik zag hoe de vader van een van de jongens op de achtergrond rondliep, terwijl hij een zakelijk gesprek voerde, heel goed hoorbaar over de verbinding.

We hebben het allemaal heel snel en onder dwang moeten leren, maar het voelt alsof we er heel snel bovenop zijn gekomen. Want uiteindelijk denk ik niet dat het voor individuen een moeilijk concept is om na te denken over de veiligheid van hun fysieke omgeving.

Mimecast: Is er, nu we uit de lockdown komen, een nieuwe drempel voor cyberparaatheid? Moeten we de cyberveiligheidsopleiding veranderen?

Hunt: Ik zou me kunnen voorstellen dat bij elke beveiligingsopleiding die tegenwoordig wordt gegeven, veel meer nadruk zou worden gelegd op de veiligheidsimplicaties van het werken buiten de fysieke bedrijfsomgeving. Het simpele concept van wie er nog meer in je onmiddellijke omgeving is als je aan het telefoneren bent - dat soort dingen zouden zeker een prominentere plaats moeten innemen dan vroeger het geval was.

Wat zijn de risico's die nu meer nadruk krijgen dan vroeger? Als mensen thuis werken, hebben ze apparaten waar andere mensen bij kunnen komen. We hebben als organisatie geen controle meer over de fysieke omgeving waarin mensen hun werk doen. Dus waar moeten we ons bewust van zijn, in termen van het beveiligen van het eindpunt? Iemand heeft een computer thuis; hoeveel verschillende gekke USB-sticks gaan ze daar in steken? Het gaat op hun thuisnetwerk zitten met al het ongepatchte IoT-spul; hoe beschermen we daartegen?

De kans dat iemand een apparaat oppakt en zich het toe-eigent, verandert ook. Ik weet niet of het erger wordt. Er worden genoeg spullen gestolen uit de bedrijfsomgeving.

Al deze factoren staan nu op grotere afstand van de bedrijfsopdracht van IT en beveiliging dan vroeger het geval was. Dat zou zeker een rol moeten spelen, en niet alleen in de manier waarop wij onze opleiding geven, maar ook in de manier waarop wij onze SOC's configureren, en onze monitoring en alles wat daarmee samenhangt.

Mimecast: Moeten we meer nadruk leggen op menselijke factoren, zoals "Voer geen gevoelige gesprekken terwijl je kind op Zoom zit?"

Hunt: Een van de meest opmerkelijke veranderingen in de beveiliging van het afgelopen jaar is de menselijke kant ervan, en met name de social engineering- en phishing-kant ervan. Waar de grenzen liggen tussen werk en privé is iets anders dat natuurlijk veel lastiger is als je thuis bent. Veel organisaties zeggen: "Kijk, het is gepast om sociale media te gebruiken tijdens je lunchpauze. Dat hoort erbij om het een aantrekkelijke omgeving te maken." Nou, wat gebeurt er als je thuis bent? Waar ligt daar de grens? Want die wordt vaak een stuk vager.

Dit heeft veel te maken met menselijk gedrag. Wij weten dat wij in de IT-beveiliging heel vaak al die prachtige technische controles inbouwen en dat dan een mens het verknalt omdat hij iets stoms doet. Dat is niet veranderd; het is zelfs belangrijker geworden dan het al was.

Mimecast: Er wordt steeds meer gebruik gemaakt van automatisering in de beveiliging, maar zijn we te afhankelijk geworden van die hulpmiddelen?

Hunt: Het is moeilijk om te zeggen dat we te afhankelijk of niet afhankelijk genoeg zijn. In plaats daarvan moeten we erkennen dat er meerdere factoren zijn. Er zijn digitale controles, en het andere deel van de oplossing zijn de mensen. Ik vrees dat beveiligingsprofessionals zich vaak blindstaren op technische controles alleen, heel vaak ten koste van de mensen. Ik zal u hier een perfect voorbeeld van geven: Als we kijken naar iets als twee-factor authenticatie, het is een fantastische technische controle. Zelfs SMS-gebaseerde twee-factor authenticatie is fantastisch, vergeleken met een single-factor authenticatie. Dus mensen willen dit echt pushen en dat is geweldig. Maar het probleem is: het is een absoluut verschrikkelijke gebruikerservaring.

Vaak verzwakken de gevolgen voor de bruikbaarheid de algehele beveiliging, omdat mensen er omheen draaien. Er is een werkelijk fascinerend gebied in onze industrie, namelijk om op een meer holistische manier naar veiligheid te kijken in termen van de menselijke impact ervan.

Mimecast: U hebt op uw blog een aantal recente datalekken besproken. Hebben we te maken met een golf of vallen ze ons gewoon meer op?

Hunt: Als we kijken naar de factoren die datalekken veroorzaken, realiseren we ons dat dat inderdaad zo is, en daar zijn enkele zeer goede redenen voor. Eén reden is dat we meer systemen hebben dan ooit. We zetten steeds meer websites online. We zetten meer en meer backenddiensten online dan ooit tevoren. Dat is gewoon de aard van de groei. We zetten veel sneller dingen online dan dat we offline halen.

Er zijn meer mensen online, niet alleen in markten zoals de VS en Australië. Vooral de opkomende markten, waar nog maar een relatief klein deel van de bevolking online is, groeien zeer snel. We sluiten ook meer dingen aan. Ik heb meer dan 100 IP-adressen in mijn huis. Ik ben een beetje speciaal; ik heb veel gedaan aan IoT-automatisering, dus er zijn meer dingen in mijn huis.

De cloud heeft de mogelijkheid geschapen om enorme hoeveelheden gegevens zeer snel en zeer goedkoop online te zetten - en ze zeer snel en zeer goedkoop te verpesten. Veel van de inbreuken op gegevens in "Have I been Pwned?" komen door dingen als verkeerd geconfigureerde S3 buckets of blootgestelde MongoDB's zonder wachtwoord. Dat probleem hadden we 10 jaar geleden niet.

Ik ben er zeker van dat als we deze discussie over drie jaar voeren, we tot dezelfde vaststelling zullen komen, namelijk dat het lijkt alsof er meer datalekken zijn dan ooit.

Mimecast: Wat zijn volgens u de beste praktijken om systemen te beschermen terwijl we ons aanpassen aan deze nieuwe norm?

Hunt: Het zijn allemaal dezelfde oude dingen die we al vele, vele jaren zeggen. Dat wil zeggen, alles van mensen de middelen geven om sterke wachtwoorden te maken - dingen als wachtwoordmanagers - tot het gepatcht en geüpdatet houden van systemen, tot het educatiegedeelte, tot het monitoren van netwerken. Een van de dingen die ik veel organisaties niet zie doen, is vaststellen wanneer grote hoeveelheden gegevens via het netwerk binnenkomen. De meeste organisaties weten niet wanneer iemand terabytes aan informatie heeft overgeheveld.

Ik denk niet dat er op dit moment iets al te nieuws is, behalve misschien een grotere nadruk op veiligheid in een kantooromgeving op afstand.

Mimecast: Wat is het vaakst over het hoofd geziene cyberbeveiligingsrisico: is het niet bijhouden van patches en het updaten van uw software?

Hunt: Ik denk dat een van de dingen die ik nu het vaakst zie, misconfiguratie is, met name wat betreft de veiligheidspositie. Onder misconfiguratie versta ik ook het zwakke gebruik van referenties, en in sommige gevallen ook het volledig ontbreken van referenties. We zien veel database back-ups op websites die publiekelijk toegankelijk zijn.

Wanneer ik mijn workshops geef (die privé zijn, en ik kan sommige dingen laten zien die ik waarschijnlijk niet in het openbaar zou laten zien) laat ik zien hoe gemakkelijk het is om gewoon database back-ups te vinden die daar op het internet zitten. Het is gewoon een Google-zoekopdracht. Een eenvoudige, kleine Google-zoekopdracht en je vindt al deze database back-ups daar in een map, op een website, vaak genaamd "Backup." Je gaat naar de website, forward-slash "back up" en hey, hier zijn gigabytes en gigabytes aan database backups.

Mimecast: Wat zou u een organisatie adviseren die een effectief beveiligingsbewustzijnsprogramma voor zijn werknemers wil ontwikkelen?

Hunt: Een van de problemen die organisaties hebben, is dat ze dit niet zien als een continue oefening. Ze zien het als een eenmalige oefening op een soort van regelmatige tijdstippen, meestal jaarlijks. Dat is natuurlijk geen goede zaak. Ik hou van beveiligingsprogramma's waarbij organisaties voortdurend worden getraind in zaken als phishing. Ik hou van de gesimuleerde phishing aanvallen die zomaar uit het niets gebeuren op elk moment. Het houdt mensen scherp.

Ik heb echt een hekel aan de aanpak van veel organisaties, die dit zien als een oefening om een vakje aan te kruisen, om een compliance officer tevreden te stellen, zodat als er later iets fout gaat, ze kunnen zeggen: "Wel, we hebben ons best gedaan. We hebben de opleiding gedaan. Zij moeten de opleiding hebben gevolgd; zij hebben afgetekend." Dat houdt advocaten tevreden en het vinkt een vakje aan, maar in de praktijk levert het echt niet veel op.

Mimecast: Als je bedenkt dat zoveel risico's te maken hebben met de menselijke natuur en de manier waarop mensen hun werk doen, hoe verantwoordelijk kan IT dan ooit zijn voor cyberbeveiliging?

Hunt: Mijn visie op veiligheid is dat het altijd een gedeelde verantwoordelijkheid zal zijn. Een goed voorbeeld hiervan is als je naar Twitter gaat en je zoekt op "Netflix hack" en je bekijkt alle resultaten. Al deze mensen tweeten dingen als: Iemand heeft mijn Netflix gehackt en ze hebben alle taal in het Spaans gezet. Kunnen jullie daar alsjeblieft mee ophouden?" Ik lach dan een beetje en zeg: "Weet je, dit is geen Netflix hack. Je hebt een stom wachtwoord." Ik zet het in presentaties en mensen draaien zich om en zeggen: "Oh, je bent aan het slachtoffer-schamen."

Wel, wacht eens even; ze hebben hier enige verantwoordelijkheid. Ik denk dat organisaties zoals Netflix een verantwoordelijkheid hebben om te proberen de prevalentie van "credential stuffing" en aanvallers die inloggen met de gebruikersnaam en het wachtwoord van het slachtoffer te verminderen. Maar het is een gedeelde verantwoordelijkheid. Beide partijen hebben een rol te spelen.