Verleiding als vak
Informatiebeveiliging kent een zwakke schakel, en dat is de mens.
Ja er is beveiligingstechnologie nodig, en ja er zijn beleid, plannen en andere organisatie noodzakelijk om informatiebeveiliging werkend te krijgen. Deze aspecten van informatiebeveiliging zijn te controleren. Normen te over om het te kwalificeren. Een certificatie kan het gevolg zijn. Hulde. Het gevaar loert dat er weer een papieren tijger is geboren. Het jaarlijks afvinken van een vragenlijst waarmee de certificatie kan worden verlengd zegt niets over het menselijke aspect van informatiebeveiliging.
Controleer maar eens op hoeveel plaatsen in een bekende norm als de code voor informatiebeveiliging (ISO 27001:2005) iets wordt verteld over bewustwording. Hoe kom je er achter waar de knelpunten liggen in het beveiligingsdenken van een organisatie? Een van de mogelijkheden is het inzetten van sociale en communicatieve vaardigheden. Gecombineerd met het fenomeen “vreemde ogen dwingen” ontstaat een gevaarlijke dreiging. Maar wel eentje waarmee de zwakste schakel in de beveiliging kan worden onderzocht. De zwakste schakel wordt namelijk benut om informatie te verzamelen. Dit wordt social engineering genoemd.
Het gevaar van overtuigen
Inspelen op de bereidwilligheid van medewerkers en met overtuigingkracht diezelfde medewerkers overhalen om vertrouwelijke informatie af te geven. Zie hier het vak van de social engineer. Verleiding als vak is een risico, ook voor u. De mens stelt zich namelijk van natuur behulpzaam op. Levens willen de meeste mensen graag vertellen over hun werk. In positieve dan wel negatieve zin. Bijna onbewust gaan medewerkers in op vragen, verzoeken of simpelweg een telefoontje ter controle. Mensen die social engineering aanwenden zijn meester in het hanteren van overtuigingskracht. Medewerkers geven als het ware vanzelf zaken prijs die eigenlijk niet buiten de organisatie thuis horen. Door nu de eigenschappen van een social engineer te gebruiken en in te zetten als controlemiddel, kan een operationeel stelsel voor informatiebeveiliging onderzocht worden op kwetsbare plekken. Er ontstaat een bruikbare controlevorm waarmee de kwetsbare schakel in uw informatiebeveiliging in kaart wordt gebracht.
Dit kan op verschillende manieren. De inzet van een mystery guest ligt het meest voor de hand. Vooraf wordt met de organisatie die onderzocht wil worden een bepaalt scenario afgesproken. Een voorbeeld is dat de social engineer zich uitgeeft als een onderzoeker die in opdracht van het hoofdkantoor de fysieke beveiliging komt controleren op een regiokantoor. Noem een naam die door de functie ene bepaalt gewicht in de schaal brengt, en geen mens die verder vraagt. Een kostuum zorgt voor de juiste uitstraling. Succes verzekerd.
Over foot printing en dumpster diving
De social engineer gaat hiermee aan het werk. Een aantal keuzen moet nu worden gemaakt. Grofweg zijn er twee mogelijkheden. Hij kan direct aan de slag gaan, en proberen informatie te verzamelen. Beter is het om een vooronderzoek te houden (foot printing). Gewapend met voorkennis komt de social engineer veel sneller bij kritische bedrijfsinformatie. Ook speelt de vorm van de opdracht een rol. Moet er een bepaalde afdeling van het bedrijf daadwerkelijk worden betreden? Gaat de social engineer eerst via de telefoon aan de slag om bijvoorbeeld een afspraak te maken, of om inform,atie te verzamelen waardoor het (fysiek) betreden eenvoudiger wordt? Of probeert hij met behulp van het vooraf besproken scenario een bedrijfsterrein te bezoeken? Er zijn legio voorbeelden en combinaties mogelijk.
Het is van belang dat opdrachtgever en social engineer duidelijkheid hebben over de reikwijdte van de opdracht. Dit voorkomt problemen tijdens het onderzoek, en zorgt dat het onderzoek tot een optimaal resultaat leidt.
Als de social engineer eenmaal binnen is zijn er verschillende vervolgstappen mogelijk. Hij kan proberen zoveel mogelijk kritische bedrijfsinformatie te verzamelen, bijvoorbeeld door gegevens te kopiëren naar een USB stick. Een andere mogelijkheid is dat wordt gekeken of er tussen het papierafval waardevolle informatie ligt. Dit wordt dumpster diving genoemd. Het is met geen pen te beschrijven wat er zoal tussen het bedrijfsafval is te vinden aan kritische informatie. Een ander voorbeeld is dat simpelweg wordt aangeschoven aan een bureau op een afdeling en dat gedurende een middag het beveiligingsgedrag van medewerkers wordt geobserveerd.
Wellicht wil het bedrijf weten of het eenvoudig is om in te loggen, al dan niet op afstand en via een telefonisch onderzoek vooraf. Een andere mogelijkheid is dat de social engineer ergens in het bedrijf plaats neemt om zo het beveiligingsgedrag van medewerkers te observeren. Dit levert in de regel erg bruikbare waarnemingen op waarmee een bestaand beveiligingsbeleid of – plan verbeterd kan worden.
Toetsing op kwetsbaarheden
De inzet van een social engineer kan gebruikt worden om te onderzoeken in welke mate de menselijk factor in een bedrijf kwetsbare situaties oplevert. In feite wordt onderzocht in hoeverre social engineering een dreiging vormt voor de organisatie.
Een andere mogelijkheid is dat de social engineer onderzoekt hoe het beleid en plannen voor informatiebeveiliging maar ook operationele procedures voor beveiliging in de praktijk zijn ingevoerd en geland. Toetsen op onvolkomenheden en kwetsbaarheden dus. Er wordt dan vooral gekeken naar die procedures waar een menselijke interactie noodzakelijk is. In dat geval wordt de rol van social engineer gebruikt om het bedrijf te benaderen en te onderzoeken of vertrouwelijke bedrijfsinformatie kan worden verzameld en meegenomen door een derde.
De rol van social engineer is dus bij voorkeur geschikt om te onderzoeken hoe het in het bedrijf afgesproken beleid en daaruit voortvloeiende beveiligingsplan daadwerkelijk in de praktijk wordt toegepast.
Nu is het bedrijf geen aangeschoten wild. De social engineer kan niet ongestraft alle registers opentrekken om kwetsbaarheden te ontdekken. Hier zijn regels voor.
Elke professionele beveiligingsadviseur die social engineering in zijn of haar gereedschapstas heeft kent deze regels. Het hoe en waarom is een andere verhaal en een andere boodschap.
Resultaten en vervolgstappen
Een onderzoek met social engineering als middel kan verschillende resultaten opleveren. Het belangrijkste is een fotoverslag van de meest in het oog springende observaties. Presentaties omlijst met deze resultaten zullen managementteams lang bijblijven, en aanzetten tot veranderen. De eindrapportage geeft in ieder geval duidelijkheid over de status van het huidige operationele beveiligingsniveau. Dit is overigens wel afhankelijk van de gekozen scope van het onderzoek. Het is bijvoorbeeld mogelijk om delen uit de al eerder genoemde code voor informatiebeveiliging als uitgangspunt te nemen of een specifieke norm die binnen een bepaalde bedrijfskolom wordt toegepast. Zo zijn er voor vitale organisaties in Nederland verschillende normen ontwikkeld. Ook de zorgsector heeft een eigen norm voor informatiebeveiliging.
Geen scan zonder vervolg. Deze vorm van onderzoek is zeer geschikt om een organisatie wakker te schudden. Het bewustwordingsproces start hierdoor als vanzelf. Dit kan verzilverd worden door aansluitend aan het onderzoek een bewustwordingscampagne op te starten compleet met workshops voor het management en medewerkers. Ligt de nadruk op het meten van het effect van social engineering dan kan een mogelijk vervolgstap zijn het ontwikkelen van de zogenaamde social engineering land mines. Meer hierover in een volgend artikel.
Afsluitend
Welke vorm van social engineering u ook kiest als onderzoeksmethode, het resultaat zal menig managementteam nog lang bij blijven. Alle beleidsstukken, beveiligingsplannen en security technologie ten spijt, beveiliging valt of staat met de mensen die in het bedrijf rondlopen en zich al dan niet houden aan de voorschriften voor informatiebeveiliging. Wat heb je immers aan een uiterst moderne firewallstraat als de marketing managers hun “onversleutelde” notebook onbeheerd in de auto achterlaten? Om maar te zwijgen van de USB keys die in huurauto’s achterblijven. En ja, dit zijn open deuren. Maar juist deze open deuren zijn de allerbeste ingang om organisaties schade te berokkenen. En wees gewaarschuwd: een social engineer handelt niet alleen uit naam van een opdrachtgever. Juist in de tijd waarin beveiligingstechnologie steeds vernuftiger wordt zal de social engineer vaker toeslaan.
Frans M. Kanters is ethisch social engineer.
tekenen waarop staat dat ze ontslagen worden als ze
informatie uitlekken.
Okay, is het komkommermaandag? Dit is al het derde artikel van vandaag
in de categorie "bladvulling".
De mens is helemaal niet het probleem in de informatiebeveiliging: het is
de sleutel tot de oplossing! Organisaties die lopen te zeurpieten over
"de mens als kwetsbare schakel" zijn er hoogstwaarschijnlijk
zelf schuldig aan dat ze hun medewerkers geen effectieve hulpmiddelen
geven om de informatiebeveiliging in stand te houden.
Geen vreemde laptops in het netwerk? Zorg ervoor dat iedere medewerker
van dag 1 een werkende computer (en eventueel laptop heeft).
Geen data op USB sticks? Investeer eens in een goed werkende e-mail
oplossing waarin mensen de attachments van vandaag aan de dag
eenvoudig rond kunnen mailen.
Geen wachtwoorden opschrijven? Zorg er dan voor dat iedereen met 1
wachtwoord overal op in en bij kan.
Geen data mee naar huis? Regel dan een goed werkend VPN zodat
mensen thuis de data rechtstreeks op de file servers van het bedrijf
kunnen bewerken, of geef mensen een goed werkende laptop.
En bedenk: mensen zijn niet de bron van problemen in de
informatiebeveiliging, ze zijn het doel (de reden) van informatiebeveiliging!
De mens is nog altijd de zwakste schakel. De mens probeert altijd een
ander te behagen. En daarin slaat een social engineer zijn/haar slag.
Wie in een bedrijf durft een "collega" een nee te verkopen? Dat is voor de
meeste mensen een moeilijke stap. Welk bedrijf introduceert zijn IT-
medewerkers aan de rest van het personeel?
Inloggen met 1 wachtwoord is een nice to have optie. Men kan nu eenmaal
niet overal direct inloggen. Gescheidenheid is soms een noodzaak. Waar
de meeste bedrijven fout mee gaan is geen Enterprise Password Solution
te geven aan zijn medewerkers. Hoezo problemen met wachtwoorden?
En hoe zou je zoiets in de realiteit willen uitvoeren..?
1+1=1 / door 2
Ik dook vroeger altijd in dumpsters.
Maar tegenwoordig duikt men in de dommerds... :)
En @Jos Visser... geef me eens een adres van een bedrijf dat
zo werkt als jij dat zegt....
- Goed werkende email oplossing met attachments; hey ik kan
de data nu wegmailen zonder rond te lopen met een usb-stick.
- 1 wachtwoord? Da's mooi, dan kun je tenminste een slow
distributed brute force opzetten zodat het niet snel opvalt
in de logs.
- VPN's? Cool, dan hoef je alleen de onbeveiligde PC's van
werknemers met kids te targeten. Wormpje hier, trojannetje
daar. In de vorm van een lief flash-spelletje.
Oftewel, als je beweerd dat de mens niet de zwakste schakel
is dan durf ik bij jou geen diensten af te nemen.
Bel een doorsnee (groot) bedrijf op en vraag of een
medewerker je wilt doorschakelen naar management (dan lijkt
het een intern telefoontje) Zeg dat je de nieuwe
systeembeheerder bent, en je vandaag thuis werkt maar toch
even de login en wachtwoord van een remote VPN nodig hebt
van pietje of jantje.
Piece of cake.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
