Het 'hacken' van mensen is nog altijd een zeer succesvolle manier voor aanvallers om interessante informatie te achterhalen, aldus ICT-dienstverlener Sogeti, dat zelf ook met social engineering te maken kreeg. Sogeti organiseerde tijdens Hack in the Box Amsterdam een social engineering wedstrijd waarbij deelnemers de Top 100 Nederlandse bedrijven moesten proberen te social engineeren.

De social engineers moesten proberen om verschillende gegevens, zoals gebruikte PDF-lezer, browser, besturingssysteem, cateraar en schoonmaakbedrijf bij de nietsvermoedende slachtoffers los te peuteren. Deze informatie zou bijvoorbeeld voor een gerichte phishingaanval zijn te gebruiken. Aan de hand van de verklapte PDF-lezer of plug-ins zou een aanvaller een exploit kunnen ontwikkelen en via de e-mail meesturen.

Ondanks dat Sogeti de wedstrijd organiseerde, besloot het zichzelf ook als doelwit neer te zetten. Social engineer Marcel (interview) wist via slimme vragen voldoende informatie te achterhalen om uiteindelijk de wedstrijd te winnen.

Probleem
"We kunnen niet zeggen hoe groot het probleem van social engineering is, daar zijn geen cijfers van", zegt Marinus Kuivenhoven, senior security specialist bij Sogeti. Hij wijst naar een trend waarbij aanvallen van het fysieke domein naar de netwerklaag gingen, om vervolgens naar de applicatielaag door te gaan. "Mochten we ooit applicatie, netwerk en fysieke beveiliging goed voor elkaar krijgen, dan blijven mensen die deze applicaties gebruiken de volgende laag die wordt aangevallen."

Kuivenhoven denkt dan ook dat social engineering in de toekomst een steeds groter probleem zal worden, maar dat we nu alvast lering kunnen trekken uit de problemen en oplossingen van de andere lagen.

De wedstrijd maakte duidelijk dat veel bedrijven in ieder geval weinig aandacht aan social engineering besteden, of het nu gaat om handhaving of bewustzijn bij het personeel. Alle "aangevallen" bedrijven krijgen toegang tot een lijst met aanbevelingen om hun beleid aan te passen in de vorm van een geanonimiseerde rapportage. Kuivenhoven merkt op dat in veel gevallen het beleid al beschreef hoe werknemers met bepaalde vragen om moesten gaan, maar dat het toch gebeurde dat er gegevens werden verstrekt. "Dan wordt het beleid niet nageleefd."

Nee zeggen
Waar bedrijven vooral op moeten letten is dat werknemers leren om ook nee te kunnen zeggen. "Dat kwam het meeste naar voren tijdens de wedstrijd", laat de security expert weten. Het gaat dan om vragen die buiten de normale rol van het personeel valt. "Bijvoorbeeld aan HR-personeel vragen wat voor computer of besturingssysteem ze gebruiken. Dat valt buiten de normale rol van een HR-medewerker." Bedrijven zouden een whitelist kunnen opzetten van wat wel en niet binnen de informatievoorziening valt.

"Als het buiten de rol valt moeten mensen de informatie niet geven, of de beller doorzetten naar een persoon die met uitzonderingen omgaat." Voor personeel is het belangrijk dat er duidelijk gedefinieerde rollen komen. Binnen die rollen moeten mensen voor bepaalde informatie verantwoordelijk zijn. Deze verantwoordelijkheid zorgt ervoor dat mensen het beleid zich eigen maken, in tegenstelling tot veel awareness trainingen waarbij er geen direct raakvlakken met de dagelijkse werkzaamheden zijn.

Het probleem is dat veel mensen behulpzaam willen zijn en daardoor informatie prijsgeven die ze eigenlijk niet moeten weggeven. "Mensen moeten zich realiseren waarom en met welke reden iemand iets vraagt." Deze rolbewaking moet onderdeel van het proces worden, merkt Kuivenhoven op, net als met applicatiebeveiliging. "Het beveiligen van applicaties is geïntegreerd in het proces, dat wil je ook bij de mens."

Toch is niet alles met regels en beleid op te lossen. "Sommige zaken waar een social engineer gebruik van maakt zitten 'hard wired' in mensen, zoals het helpen van anderen. Daar kun je niets aan doen, zo zijn we geëvolueerd", merkt Kuivenhoven op.

Hackermentaliteit
Bij een echte social engineering test wordt meestal meer tijd genomen om de context te bedenken dan bij de wedstrijd het geval was. Social engineer Marcel bedacht voor zichzelf een scenario en een omgeving waaruit hij de vragen stelde."Wij wilden zien wat er gebeurt als je iemand die er niets mee doet, maar wel de mindset heeft hoe je een applicatie of netwerk hackt, op een bedrijf loslaat. En dan zie je gewoon dat het lukt."

De hackermentaliteit is dan ook onmisbaar voor social engineers. "Je kijkt als hacker naar een proces of actor om te zien hoe het werkt en wat je er nog meer mee kunt doen. Dat was bij de wedstrijd ook het geval."

In tegenstelling tot een firewall waarbij je een regel kunt opstellen die niet wordt overtreden, is dat bij mensen niet mogelijk. Die kunnen beleid of regels naast zicht neerleggen. "Daar hebben we nog een grote uitdaging liggen", gaat Kuivenhoven verder. Het is echter de vraag of training en awareness alles kunnen oplossen. "Als awareness 100% werkt, zou je ook geen dikke mensen hebben die roken."

Om bedrijven nogmaals duidelijk te maken dat social engineering belangrijk is, zal Sogeti ook volgend jaar een social engineering wedstrijd tijdens Hack in the Box sponsoren. Daarbij wordt ook geprobeerd om vrouwen mee te laten doen, want die ontbraken nu. En dat terwijl vrouwen worden geacht betere social engineers te zijn.