Expect the unexpected

11 oktober 2023

Op 3 en 4 oktober mocht ik aanwezig zijn bij de ONE Conference: twee dagen in het teken van het delen van kennis en best practices rondom cybersecurity voor en door zowel het private als publieke domein. In deze blog een terugblik op twee leerzame dagen waarbij ik het mooi vind om te zien dat onze visie rondom cybersecurity en hoe we onze diensten inzetten goed aansluit op de onderwerpen die aan bod kwamen. 

Adversaries lijken wereldwijd weg te gaan van (spear)phishing en richten de pijlen meer op externe assets en de supply chain. Social engineering (in de breedte) blijft een grote dreiging. Voor EMEA ligt dit iets anders; hier is phishing nog steeds de grootste (initiële) attack vector. Schijnbaar klikken wij hier nog net iets makkelijker op links en malicieuze bijlages. Specifiek voor Europa zien we de volgende dreigingen:

  • Effecten van de oorlog tussen Rusland en Oekraïne: Russische adversaries vallen Europese landen aan die steun geven aan Oekraïne.
  • Hactivism
  • Grote dreigingen cyberspionage
  • Toenemende professionalisering en volwassenheid van cybercrime dreigingen: Volume en schaal van exploitatie neemt toe. Aanvallen worden steeds professioneler en efficiënter.
  • Toename in Zero Days

Wat duidelijk werd gemaakt tijdens de conferentie is dat alle digitale processen in potentie kwetsbaar zijn. Ook de processen in de supply chain. Deze geven in potentie toegang tot de echte target. Alles is verbonden, vaak via API’s. Hier ontstaat helaas ook het risico dat we niet meer weten wat allemaal verbonden is; het is onduidelijk geworden hoe supply chains lopen.

Organisaties moeten het belang inzien van goed vulnerability management. Weet welke CVE’s als eerste moeten worden opgepakt op basis van risico en context. Het uiteindelijke doel van een aanval is vaak de identity, ofwel de Active Directory. Vanuit hier kan een adversary zo ongeveer alles. Zorg dus ook voor voldoende hardening en monitoring op dit vlak, bescherm de identities. En uiteraard… patchen!

Een advies dat werd gegeven bij meerdere sessies was de inzet van honeypots of honeytokens. Een simpele manier om te monitoren of iemand in het netwerk actief op zoek is naar andere systemen, het zogenaamde lateral movement.

Het is belangrijk om risicomanagement breder in te zetten: niet alleen risico’s voorkomen, maar ga ervan uit dat het gebeurt en zorg dan dat je weet wat je moet doen. Risico’s accepteren is prima, maar een risico niet weten is killing.

Naast de aanvallen op traditionele IT, wordt ook OT steeds meer aangevallen. Operationele Technologie is een kwetsbare bouwsteen voor veel vitale processen. Ook hier is het belangrijk om kwetsbaarheden inzichtelijk te krijgen en actief mee te kijken of er aanvallen plaatsvinden.

Een belangrijke boodschap die werd afgegeven, is dat experts verantwoordelijkheid moeten nemen. De leveranciers, de grootste schouders, moeten zorgen voor veilige software, cloud omgevingen, etc. Als je in een auto stapt, ga je er ook vanuit dat deze veilig is en dat de airbags het doen. Waarom moet je dan opgeleverde software uitvoerig testen op veiligheid? Waarom nemen leveranciers niet hun verantwoordelijkheid?

Als laatste werd veel ingegaan op AI, specifiek ChatGPT. De gedeelde boodschap is dat Generatieve AI in potentie gebruikt kan worden voor cyber aanvallen, maar ook voor de verdediging.

Tijdens de conferentie merkte ik dat we ondertussen steeds beter begrijpen wat we nodig hebben om onszelf actief te beschermen. Buzzwords als SIEM-SOC zijn niet aan bod zijn gekomen, in ieder geval niet bij de sessies waar ik aanwezig was. Het belangrijkste in de keuze naar diensten of producten die je kunnen helpen en beschermen is samenwerking, het delen van informatie rondom dreigingen. Dit is iets waar wij als Access42 voor de volle 100% achter staan.

Wil je meer weten, van gedachten wisselen of weten hoe Access42 je kan helpen? Stuur mij eens een e-mail om een afspraak te maken.

Groet,

Ronald Kingma, CISSP

ronald@access42.nl

ONE Conference