Cybercriminelen zijn continu op zoek naar nieuwe kwetsbaarheden, maken misbruik van hedendaagse trends of spelen in op mensen met weinig kennis over IT. Een van de manieren waarop cybercriminelen dit proberen te exploiteren, is door een Advanced Persistent Threat-aanval (APT-aanval) uit te voeren. Het Kaspersky Global Research and Analysis Team (GReAT) heeft, op basis van de trends uit 2021, een voorspelling gemaakt waar de toekomstige APT-aanvallen zich op gaan focussen. Een van de verwachtingen is dat mobiele apparatuur steeds vaker getroffen zullen worden door een APT.
Een APT-aanval komt voor in verschillen vormen en maten, maar wordt altijd volgens een vast patroon uitgevoerd. De aanval bestaat uit drie verschillende fases. Het begint met de infiltratie, waarbij de aanvaller onopgemerkt de organisatie binnendringt. Dit kan in eerste instantie zowel fysiek of digitaal zijn. Vervolgens probeert de aanvaller zijn aanwezigheid binnen de organisatie uit te breiden. De doelstelling hierbij is om toegang te krijgen tot kritische infrastructuur, extractie van gevoelige informatie of het saboteren van bedrijfsprocessen. De impact van een APT-aanval wordt vergroot naarmate de aanvaller zich verder infiltreert binnen de organisatie. Na het realiseren van een betrouwbare en langdurig infiltratie en het bereiken van de doelstelling, wordt in de exit-fase de geïnfiltreerde organisatie verlaten. Tijdens dit proces worden alle sporen van de ongeautoriseerde aanvaller gewist. Bij een succesvol extractie, kan het voorkomen dat de aanvaller een toegangspunt achterlaat, welke onbekend is voor de organisatie. Dit geeft de cyberaanvaller de mogelijkheid om in de toekomst nogmaals toe te slaan.
Het gebruik van mobiele apparatuur is door de jaren heen steeds meer toegenomen. De functionaliteiten worden steeds geavanceerder, waarbij tegelijkertijd de belangen en afhankelijkheden toenemen. Dit maakt dat een laptop, telefoon of tablet een belangrijk asset is voor organisaties. Daarnaast kan mobiele apparatuur zowel persoonlijke als zakelijke informatie bevatten. Hierdoor vormt het een aantrekkelijk doelwit voor cybercriminelen. Vanuit een organisatorisch standpunt is het beveiligen van een mobiel apparaat niet altijd gemakkelijk. Waar een computer beschikking heeft over meerdere beveiligingsmogelijkheden, zijn deze erg beperkt op besturingssystemen, zoals IOS of Android. De eindgebruiker draagt hierdoor veel verantwoordelijkheid voor het waarborgen van informatie en het voorkomen van incidenten. Bij een APT-aanval zijn criminelen op zoek naar kwetsbaarheden om een organisatie binnen te dringen. De kwetsbaarheden die een mobiel apparaat met zich meebrengt geeft een aanvaller voldoende mogelijkheden om de organisatie onopgemerkt binnen te dringen.
Doordat medewerkers steeds vaker thuis of buiten kantoor werken, krijgen zij meer verantwoordelijkheid om veilig om te gaan met gevoelige informatie. Dit zorgt ervoor dat de medewerker een grotere bedreiging vormt dan voorheen. Virussen in de vorm van spyware of malware en ransomware komen steeds vaker voor. Deze worden voornamelijk overgebracht door middel van het installeren van niet erkende software of het bezoeken van geïnfecteerde websites. Ook wordt social engineering toegepast om virussen over te brengen op een apparaat. Een vaak voorkomende techniek die onder social engineering valt is bijvoorbeeld (spear)phising. Tot slot zijn cybercriminelen ook continu op zoek naar kwetsbaarheden in de besturingssystemen en in applicaties van mobiele apparatuur.
Allereerst wil ik beginnen met het benadrukken van het creëren van awareness. Dit is een van de belangrijkste aspecten om een APT-aanval te voorkomen of om deze vroegtijdig te stoppen. Het wel of niet kunnen infiltreren in een organisatie hangt vaak af van het awareness niveau van het slachtoffer. Criminelen maken graag gebruik van medewerkers die niet voldoende kennis hebben over de zwakheden en risico’s rondom het gebruik van mobiele apparatuur. Door medewerkers goed in te lichten over de mogelijke wijze waarop hun mobiele apparatuur gebruikt wordt voor een aanval, te voorzien van multifactorauthenticatie en least privileged access, kan de impact van een APT-aanval beperkt worden.
De organisatie kan haar beleid verder inrichten op het beveiligen van mobiele apparaten. Hierdoor kan de organisatie maatregelen afdwingen bij haar medewerkers. Bij het inrichten van beleid kan nagedacht worden over welke type apparaten en besturingssystemen wel of niet toegestaan wordt. Sommige apparaten en besturingssystemen kunnen sneller een risico vormen dan anderen. Verder kan een organisatie beleid inrichten voor het veranderen van wachtwoorden, op afstand apparaten blokkeren/wissen, het bepalen van autorisatieniveaus voor gebruikers, het gebruik van multifactorauthenticatie en het installeren van applicaties. Belangrijk hierbij is dat het beleid enkel effectief is wanneer de organisatie dit op juiste wijze uitvoert en communiceert richting haar medewerkers. Hierbij is het ook belangrijk dat er rekening gehouden wordt met het gebruiksgemak. Wanneer dit niet gebeurt zullen medewerkers het beleid proberen te omzeilen.
In de ISO 27001 en ISO 27002-norm wordt aandacht besteedt aan het gebruik van mobiele apparatuur en het beveiligen ervan. De ISO 27001 kan geraadpleegd worden bij het inrichten van beleid. Aanvullend op de ISO 27001, wordt in de ISO 27002 maatregelen beschreven. Door de benoemde ISO-documenten te gebruiken als basis, kan een organisatie een passende aanpak creëren voor het beveiligen van mobiele apparatuur op zowel organisatorisch als technisch niveau.
Meld je nu aan voor één van de nieuwsbrieven van ICTRecht en blijf op de hoogte van onderwerpen zoals AI, contracteren, informatiebeveiliging, e-commerce, privacy, zorg & ICT en overheid.