Recent las ik deze quote: “Cyber security is a people science and a business issue” van Matt Gyde, NTT. Er schuilt naar mijn mening veel waarheid in dat ene zinnetje. Ik probeer uit te leggen waarom dat zo is.

Beweegredenen voor cybercriminelen

Cybercriminelen hebben verschillende beweegredenen om te doen wat ze doen. Soms zou je denken dat het is om anderen te pesten, maar dat is slechts een zeer kleine minderheid. Er zijn er die het doen om een politiek of maatschappelijk punt te maken door bijvoorbeeld websites van bepaalde gouvernementele organisaties te kraken en hun eigen boodschap erop te zetten. Sommige cybercriminelen doen het bij wijze van intellectuele uitdaging; om te tonen dat ze beter zijn dan de security-mensen van het bedrijf.

Maar het overgrote merendeel doet het puur en alleen voor het geld.

De anatomie van een cyberaanval

Vooreerst wil ik een onderscheid maken tussen gerichte aanvallen en toevalstreffers. Bij de meeste aanvallen gaan de cybercriminelen zeer grote aantallen computers en mensen proberen te benaderen met zeer generieke manieren. Hebben ze ergens beet, dan kunnen ze daar gerichter aan de slag.

Met andere woorden de meeste aanvallen zijn niet-gericht van oorsprong, maar starten als toevalstreffers. Pas nadat het er voor de cybercrimineel naar uitziet dat een aanval zal lukken, gaan ze iets gerichter aan de slag.

Hoe ziet zulk een gerichte aanval er dan uit? Dat gebeurt over het algemeen in een aantal stappen:

  • Reconnaissance
    • Verkennen van de situatie en zoveel mogelijk informatie verzamelen die later van nut kan zijn voor hun uiteindelijke doel
  • Weaponization
    • Een vastgestemd probleem met de beveiliging wordt gekozen en er wordt een pakketje voorbereid om de gevonden kwetsbaarheid te misbruiken.
  • Delivery
    • Het voorbereide pakketje wordt afgeleverd bij het slachtoffer
  • Exploitation
    • De gevonden kwetsbaarheid wordt misbruikt zodat de cybercrimineel toegang krijgt tot het systeem van het slachtoffer

De menselijke natuur

Een van de meest gebruikte technieken van cybercriminelen om aan informatie te geraken om hun aanval verder te zetten, is het gebruiken van onze menselijke natuur en die tegen ons gebruiken. In het jargon heet dat ook wel “social engineering”.

Vooral bij de stappen ‘Reconnaissance’ en ‘Delivery’ wordt heel vaak social engineering gebruikt, net omdat het zo makkelijk is.

En daar komt dan de quote om de hoek kijken: “Cyber security is a people science and a business issue.

Cybercriminelen hebben grote interesse in hoe menselijk gedrag in elkaar zit, zodat ze daar misbruik kunnen van maken tijdens hun verkenning of aflevering. Zo zorgen ze er voor dat een cyber security incident eigenlijk een soort ‘inside job’ is, zij het dan onbewust.

Het is daarom als bedrijf zeer belangrijk om je medewerkers uitleg en training te geven zodat zij zich bewust worden van hun eigen menselijke natuur die door cybercriminelen wordt misbruikt. En zo komt het tweede stukje van de quote om de hoek kijken: de mens wordt bestudeerd om misbruik te maken van het menselijke gedrag, wat een probleem is voor de bedrijven en waar de bedrijven dus iets moeten aan doen om het bedrijf te beschermen.

Samengevat

TL;DR – cybercriminelen misbruiken de menselijke natuur om hun aanvallen te kunnen doen uit puur winstbejag. Het is aan de bedrijven om hun medewerkers te trainen hiermee om te gaan en zo de bedrijfsgegevens te beschermen.

Spinae helpt je graag verder met het in kaart brengen van de kwetsbaarheden die door cybercriminelen zouden kunnen misbruikt worden en met het trainen van je medewerkers. Zin om hierover eens van gedachten te wisselen? Neem gerust contact op met onze experts.