Nieuws

"Bedrijven overgeleverd aan cybercriminelen"

woensdag 27 januari 2010, 11:33 door Redactie, 7 reacties

Bedrijven en security professionals zijn overgeleverd aan cybercriminelen, die altijd een stap voor lopen en daardoor een groot risico voor ondernemingen vormen. Dat is de strekking van het Cybercrime rapport van Deloitte. Inmiddels zou cybercrime de grootste cyberdreiging zijn en weten cybercriminelen die bedrijfsnetwerken infiltreren langer onopgemerkt te blijven. Veel bedrijven negeren echter deze dreiging en geven geld uit aan het bestrijden van "mindere" dreigingen. Deloitte spreekt van een ernstig gebrek aan bewustzijn, maar ook van zelfgenoegzaamheid als het om dit onderwerp gaat. Zowel automatiseringsafdelingen als security officers zouden tekort schieten.

Daarbij staat het uitgeven van grote sommen geld niet gelijk aan beveiliging. Wie meer uitgeeft hoeft niet per definitie veiliger te zijn. "We zien veel organisaties middelen voor technologische beveiligingsmaatregelen uittrekken, terwijl eenvoudige, goedkope maatregelen zoals patchmanagement, log analyse, verminderen van rechten, wachtwoorden laten verlopen en het opheffen van de toegang van ex-werknemers worden genegeerd."

Bankovervaller
Volgens Deloitte zijn gegevens waardevoller dan geld. "Eenmaal uitgegeven is het geld weg, maar data kan worden gebruikt en hergebruikt om meer geld te produceren." Het gaat dan om zaken als inloggegevens voor internetbankieren, het autoriseren en activeren van creditcards of toegang krijgen tot een bedrijfsnetwerk. De wereld is sinds 1900 dan ook nauwelijks veranderd, toen Willie Sutton werd gevraagd waarom hij banken beroofde. Zijn antwoord was dat daar het geld zit. "Vandaag gaan cybercriminelen waar de gegevens zijn, omdat dit ze herhaaldelijk toegang tot geld geeft, waar het ook is", zo wordt het 'cybercrime dilemma' samengevat.

Hyves e-mail zorgde voor lek in autorisatiesysteem

70% managers weigert sollicitant wegens online profiel

Reacties (7)

27-01-2010, 12:17 door Anoniem

Hoezo zouden cybercriminelen 'altijd een stap voorlopen' ? Immers hebben beveiligers over het algemeen grote organisaties achter zich, hebben zij meer budget om trainingen te volgen, naar conferenties te gaan, en investeringen te doen in beveiligingsoplossingen. De stelling dat criminelen altijd voorlopen lijkt mij niet correct; de stelling dat er in veel organisaties onder beveiligers zelfgenoegzaamheid en laksheid bestaat wat een risico oplevert klopt daarintegen helaas volledig.

27-01-2010, 12:53 door Anoniem

@Anoniem:

Het probleem is echter dat de cybercriminelen vanuit een underdog positie werken en daarom creatiever/inventiever te werk moeten gaan om nieuwe oplossingen te vinden. De risk en security community gaat echter te reactief te werk.

Hoeveel bedrijven zijn er legaal bezig met het ontwikkelen van nieuwe exploits en nieuwe attack vectors?

27-01-2010, 13:30 door Preddie

Door Anoniem: @Anoniem:
Hoeveel bedrijven zijn er legaal bezig met het ontwikkelen van nieuwe exploits en nieuwe attack vectors?

Weinig tot niet, de meeste bedrijven kopen die exploits dan ook weer van "underground security groups".

daarnaast denk ik dat het probleem ergens anders ligt.

- Cybercriminelen hebben meer tijd om te inversteren terwijl in het bedrijfsleven tijd geld is en alles zo weinig mogelijk tijd moet kosten.
- Daarnaast is het probleem dat de meeste bedrijven niks aan security doen tot er een noemenswaardig incident gebeurd.
- Verder worden beslissingen vaak genomen door mensen die er geen verstand van hebben of het niet snappen.
- Dan heb je ook nog de naieve systeembeheers die altijd zeggen "zo gek zal het niet lopen" en daar mee de risico's onderschatten.
- Totslot wordt er altijd gekeken vanuit functionaliteit ipv van beveiliging, eerst de functionaliteit en dan de beveilging terwijl deze processen elkaar aan moeten vullen

27-01-2010, 13:39 door Anoniem

"Het probleem is echter dat de cybercriminelen vanuit een underdog positie werken en daarom creatiever/inventiever te werk moeten gaan om nieuwe oplossingen te vinden. De risk en security community gaat echter te reactief te werk."

Veel beveiligers gaan reactief te werk, al is een stuk pro-actiever werken gewoon mogelijk.

"Hoeveel bedrijven zijn er legaal bezig met het ontwikkelen van nieuwe exploits en nieuwe attack vectors?"

Veel te weinig, al kan je het zonder meer legaal doen in een lab omgeving. Al kan je je afvragen of het ontwikkelen van exploits nou echt de beste manier is om als beveiliger pro-aktief aan de slag te kunnen.

27-01-2010, 21:36 door soeperees

If you can't beat 'em, join 'em.

Trainingen en cursussen zijn i.m.o. compleet nutteloos. Het gaat niet om parate kennis (die a la minute veroudert), maar om een denkwijze. Als "bewustwording" nog belangrijk voor je is, kan je beter een ander beroep kiezen.

Het gaat dus ook niet om het ontwikkelen van nieuwe exploits, maar wel om het nadenken over concepten daarvoor. Vooral voor exploits op je eigen security plan. Een proof of concept is dan meestal al genoeg.

28-01-2010, 00:02 door Anoniem

Misschien moeten bedrijven eens mee gaan tellen wat het kost als ze niet aan beveiliging doen

1) reputatie schade (als een bedrijf bijvoorbeeld credit card gegevens verliest of prive gegevens deelt of het uit jou naam sturen van mail)
2) bedrijfs geheimen die op straat komen te liggen (denk aan zaken deals die opeens niet doorgaan of op slechtere voorwaarden)
3) bewaarplicht (als een cracker betaald door de concurrent je hele financiële administratie vernietigd)

Het begint allemaal met een besef over wie wat wanneer moet weten en daarna het aanpassen van informatie processen in het bedrijf zelf. En als laatste hoe je dit technisch invult.

Daarnaast vind ik dit "Hoeveel bedrijven zijn er legaal bezig met het ontwikkelen van nieuwe exploits en nieuwe attack vectors?" een hele slechte zin. Alsof het maken van exploits (en dus in feite debuggen van je systeem) iets te maken heeft met legaal of illegaal.

Het maken van exploits of bedenken van attack vectors is ten alle tijden legaal. Zou wat worden als dit bij wet verboden is zeg! Dan is geen enkel systeem meer veilig en kun je alleen nog maar reactief bezig zijn.

Computer vredebreuk is "illegaal" ja, het maken van een breekijzer niet.

01-02-2010, 18:22 door spatieman

daar hebben criminelen de kleine man voor, die ze via namaak jobhunters sites geworven hebben.
de kleine onschuldige man wordt gepakt, maar het grote geld is weg.

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Bitcoin:

Vacature

Junior DevOps Engineer

Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Ik moet ineens mijn portret in mijn Office 365 account stoppen, mag dat?

13-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik werk in de publieke sector bij een organisatie die tussen 500-1000 medewerkers heeft. Vandaag werden wij ...

33 reacties

Lees meer