Terwijl beveiligingsorganisaties miljarden per jaar uitgeven om de beveiliging van e-mail te verbeteren, lijkt het probleem sneller te verergeren dan dat het beter wordt. Lees meer over de 7 belangrijkste redenen waarom dit het geval is en wat u kunt doen om de bescherming van uw organisatie te verbeteren.

Na de recente publicatie van mijn blog Why Cybersecurity Never Seems to Improve, And What You Can Do About It, dacht ik dat ik mijn beveiligingslens wat verder zou versmallen naar het onderwerp e-mailbeveiliging. Waarom blijft e-mail de primaire aanvalsvector voor de meeste succesvolle cybercriminaliteit, ook al worden er elk jaar miljarden dollars uitgegeven om ze te voorkomen? Op macro- of wereldniveau lijkt het probleem niet beter, maar slechter te worden.

Wat volgt is een discussie over de zeven belangrijkste factoren die de voortdurende uitdaging van e-mailbeveiliging aansturen en wat we eraan kunnen doen.

  1. Er is altijd wel een crisis, een seizoen of een zeer emotioneel onderwerp dat rijp is voor de social engineering van cybercriminelen. Op dit moment maken we de wereldwijde COVID crisis mee. Zowat elke persoon en elk bedrijf is geïnteresseerd in het laatste virusnieuws, de beste plaats om PBM's aan te schaffen, of ja, zelfs wie wc-papier op voorraad heeft. Maar natuurlijk komen kerstmis, pasen, politieke campagnes, orkanen en bosbranden, belastingen en vele andere motiverende onderwerpen ook vele malen per jaar aan bod. En aanvallers plannen en reageren op deze onderwerpen. In de weken nadat de COVID-pandemie voor het eerst werd uitgeroepen, werd ongeveer 10% van de spam- en phishing-e-mails die door Mimecast werden geblokkeerd, door het virus gebruikt. Cybercriminelen zijn snel op zoek naar de beste manier om de aandacht van hun beoogde slachtoffers te trekken en hun doelwitten te phishen.
  2. E-mail heeft alles wat aanvallers nodig hebben. Of de dreigingsactor nu ongeraffineerd of verfijnd is, e-mail is regelmatig het punt van binnenkomst in een organisatie. Waarom? E-mail is alomtegenwoordig, met miljarden gebruikers, wereldwijd, uiterst betrouwbaar, relatief anoniem, gratis, over het algemeen vertrouwd door de gemiddelde persoon, en technisch zeer flexibel. Hoeveel andere technologieën in gemeenschappelijk gebruik combineren de mogelijkheid om bestanden, links en aangepaste tekst aan te leveren, met een blik die oneindig flexibel is en volledig aan de afzender is, en die eigenlijk ontworpen is om domeinspoofing mogelijk te maken?! Is het echt een verrassing dat e-mail de aanvalsvector is? En de combinatie van e-mail en het web geeft de aanvaller een enorme boost.
  3. Het open internet. Net zoals ik al zei in de eerder genoemde Why Cybersecurity Never Seems to Improve blog, is het open internet zowel ongelooflijk waardevol als ongelooflijk riskant; zonder goede controle en gelaagde veiligheidscontroles kan iedereen e-mail versturen als iemand anders en kan iedereen e-mail- en webdomeinen registreren en websites opzetten die er precies zo uitzien als de eigenaar beslist. Is het een verrassing dat dit rijp is voor kwaadaardige spoofing en fraude? Het kost extra moeite om je e-maildomeinen met DMARC te vergrendelen en het internet af te speuren naar de verschillende manieren waarop je online merk wordt uitgebuit.
  4. De slechte veiligheidshygiëne van uw internetburen is uw probleem. Wanneer onschuldige webomstanders of e-maildiensten worden gehackt door cybercriminelen, worden ze vaak gebruikt om aanvallen te lanceren tegen hun ultieme doelwitten. Waarom doen de bedreigers dit? Aan de webkant is het veel moeilijker om zich te verdedigen tegen kwaadaardige pagina's die gehost worden op normaal gesproken webdomeinen met hoge reputaties. En vergeet de DNS-gegevens van de website niet. Als de aanvaller administratieve privileges kan krijgen voor de DNS-invoer van een legitieme website, is het voor de aanvaller heel eenvoudig om een subdomein te registreren - badsite.goodsite.com - en verkeer te leiden naar een kwaadaardige site die de goede reputatie van het goodsite.com-domein uitlekt. Op dezelfde manier kan de aanvaller met gepantserde e-mailaccounts deze onschuldige e-maildiensten voor omstanders gebruiken als relais voor hun phishingcampagnes, waarbij hij ook gebruik kan maken van hun goede reputatie.
  5. De overstap naar Microsoft 365 (voorheen bekend als Office 365) zorgt voor een verstoring van de e-mailbeveiliging. En erger nog, organisaties die 100% afhankelijk zijn van de ingebouwde anti-phishing-diensten die bij het platform horen, zijn zeer kwetsbaar voor verschillende vormen van phishing. Begrijp me niet verkeerd, Microsoft 365 is een geweldige service - 200M+ dagelijkse gebruikers kunnen zich niet vergissen! Maar denk als een cybercrimineel: als het eenmaal duidelijk is dat u Microsoft 365 draait (gewoon door uw MX Record te controleren) kan de cybercrimineel er zeker van zijn dat de aanval die met succes op zijn of haar exemplaar van Microsoft 365 wordt uitgevoerd, door uw exemplaar van Microsoft 365 heen komt. Gebruikt u Microsoft om Microsoft te beschermen op het niveau van het besturingssysteem van uw klanten en servers? Waarom niet? Dezelfde logica geldt voor de beveiliging van e-mail.
  6. Veel organisaties hebben oude of onvolledige e-mailbeveiligingen. In het onlangs gepubliceerde State of Email Security Report werd gemeld dat slechts 60% van de organisaties "een soort beveiligingssysteem heeft om hun gegevens of medewerkers in interne en uitgaande e-mails te beschermen". Dit betekent dat een aanzienlijk deel van de organisaties alleen lijkt te proberen zich te verdedigen tegen inkomende e-mails, maar als de aanvaller eenmaal in hun e-mailsysteem terecht komt, zijn ze in wezen blind voor de andere twee vectoren van het e-mailverkeer. Men wil niet de slechte internetbuurman worden die ik hierboven in #4 heb beschreven, maar velen zijn dat wel.
  7. Zwakke beveiligingsbewustzijnstrainingen. In het State of Email Security Report werd ook gemeld dat slechts 1 op de 5 organisaties minstens één keer per maand een beveiligingsbewustzijnstraining geeft. Hoe kunnen we verwachten dat dagelijkse medewerkers zich bewust zijn van de nieuwste aanvalstypes en er voorzichtig mee omgaan als ze maar één of twee keer per jaar op de hoogte worden gebracht? En wat voor soort training is het? Saai? Uren aan PowerPoint-dia's? Verpletterd in andere soorten compliance trainingen? Terwijl de overgrote meerderheid van de organisaties een of andere vorm van beveiligingsbewustzijnstraining geeft - wat groot is - doen relatief weinig organisaties het goed. In feite zijn de resultaten vrij grimmig: Mimecast gegevens even aan dat klanten zonder Mimecast Awareness Training 5 keer meer kans hebben om op kwaadaardige links in e-mail te klikken dan de klanten die het gebruiken.

Wat kun je eraan doen?

De bovenstaande lijst en de discussie kunnen ontmoedigend lijken. Dit is immers de reden waarom e-mailbeveiliging en zijn hechte neef, webbeveiliging, zo uitdagend zijn voor verdedigers en zo nuttig voor cybercriminelen. Hoewel er geen eenvoudige oplossing is die de beveiligingsuitdagingen in zijn eentje kan oplossen, zijn er beproefde best practices die samen het risico op beveiligingsincidenten drastisch kunnen verminderen. Op het gebied van technische controles kan het gebruik van eersteklas e-mail/DMARC, web-/webmonitoring, netwerk-, endpoint- en multifactor authenticatie-beveiligingssystemen waardevolle preventieve beveiliging bieden. Combineer deze en andere technische controles met fit-to-purpose beveiligingsbewustzijnstrainingen en andere manieren om uw beveiligingscultuur te verbeteren en u heeft alvast twee poten van de drie poten van de beveiligingskruk vastgezet.

Wat is het andere been van de kruk? Proces. Elk belangrijk bedrijfsproces dat via een enkel faalpunt kan worden verstoord of misbruikt, is niet voldoende veerkrachtig. Kijk daar dus goed naar en doe wat je kunt om ze veerkrachtiger te maken en dus minder gevoelig voor de acties van cybercriminelen.

 

Wil je nog meer geweldige artikelen zoals deze? Schrijf je dan in op onze blog.

Krijg al het laatste nieuws, tips en artikelen direct in uw inbox afgeleverd

Misschien vind je dit ook leuk:

Why Cybersecurity Never Seems to Improve, and What You Can Do About It

De veiligheidsverdediging wordt beter, maar de cyb...

De beveiliging wordt steeds beter, maar cybercriminelen bewegen fas... Lees meer >

Matthew Gardiner

via Matthew Gardiner

Belangrijkste veiligheidsstrategie

Geplaatst op 03 juni 2020

The Impact of COVID-19 on Cyber Security Insurance

Cyberdreigingen nemen toe als medewerkers...

Cyberdreigingen nemen toe als medewerkers vanuit huis werken door... Lees meer >

Randi Gollin

via Randi Gollin

Geplaatst op 08 juni 2020

Ransomware in een nieuw jasje: betaal of we publiceren

Ransomware-aanvallen zijn groter geworden...

Ransomware-aanvallen zijn groter en geavanceerder geworden... Lees meer >

Mercedes Cardona

via Mercedes Cardona

Bijdragende Schrijver

Geplaatst op 10 juni 2020