Hackers zijn constant op zoek naar hun volgende springlading. Één van de belangrijkste doelen van elke cybercrimineel is een bedrijf met een zwak of niet-bestaand cloudbeveiligingssysteem.
Hoewel cloudbeveiliging ooit een bijzaak was voor de meeste bedrijven en organisaties, is het tegenwoordig eenvoudigweg één van de belangrijkste aspecten van elk bedrijf, ongeacht de grootte. Hoewel bedrijven veel kunnen doen om hun systemen beter te beveiligen tegen cybercriminelen, met virtuele particuliere netwerken, antivirussystemen en inbraakdetectiesystemen, om een paar maatregelen op te noemen, heeft één van de meest kritische en over het hoofd geziene aspecten helemaal niets met computers te maken.
De waarheid is dat 95% van de cyberbeveiligingsinbreuken ontstaat door menselijke fouten. Complicerende zaken zijn dat, in tegenstelling tot wat veel eigenaren van kleine bedrijven denken, de meeste cyberaanvallen in feite gericht zijn op kleinere bedrijven die zich geen beveiligingsteams van meerdere miljoenen dollars kunnen veroorloven zoals grote bedrijven dat wel kunnen.
Voor deze kleinere bedrijven die hun cloudbeveiliging willen versterken, kan het moeilijk zijn om te identificeren waar de lekken zich waarschijnlijk zullen voordoen. In dit artikel zullen we drie specifieke beveiligingsbedreigingen identificeren en wat er moet worden gedaan om ervoor te zorgen dat ze uw bedrijf niet duur komen te staan.
Uw medewerkers onderwijzen in social engineering-aanvallen
In 2019 was ongeveer 98% van de penetraties van cyberbeveiliging het directe gevolg van social engineering-aanvallen, of bedrog waarbij werd geprobeerd om de menselijke emotie te gebruiken om toegang te krijgen tot privé-informatie.
Houd in uw achterhoofd dat, hoewel werknemers vaak de zwakste schakel in een beveiligingsketen zijn, de meeste van deze werknemers nog steeds hun best zullen doen om de informatie van hun bedrijf veilig te houden, in een poging betrouwbaar en geloofwaardig te zijn voor hun werkgevers.
Dit klinkt misschien als een goede zaak, maar de waarheid is dat cybercriminelen deze ingebouwde wens bij werknemers begrijpen en deze tegen hen (en dus het hele bedrijf) gebruiken door middel van social engineering-aanvallen. Criminelen bereiken dit door contact op te nemen met de werknemer via een sociale netwerksite en een gesprek met hen aan te gaan om hun vertrouwen te winnen, totdat ze dat vertrouwen uiteindelijk kunnen gebruiken om toegang te krijgen tot bedrijfsinformatie of klantgegevens.
Helaas is het niet ongewoon dat werknemers zich niet bewust zijn van een social engineering-aanval en gevoelige informatie doorgeven aan een crimineel zonder het zelf te beseffen. Ook al beschikken bedrijven over bepaalde waarborgen, worden hun werknemers vaak niet opgeleid in de juiste maatregelen voor cyberbeveiliging.
Bedrijven moeten daarom hun werknemers trainen en hercertificeren om potentiële social engineering-aanvallen te identificeren en wat ze wel en niet moeten doen wanneer ze tegen aanvallen aanlopen. In de loop van de tijd kunnen werknemers gemakkelijk hun opleiding vergeten en in de dagelijkse sleur terechtkomen, en dit is precies wat cybercriminelen willen.
Het hacken van Target in 2013, Sony Pictures in 2014 en de Democratische Partij in 2016 waren allemaal voorbeelden van social engineering-aanvallen, die momenteel verantwoordelijk zijn voor maar liefst 98% van de penetraties van de cyberbeveiliging. Er kan simpelweg niet genoeg worden benadrukt hoe belangrijk het voor bedrijven is om hun middelen te investeren in opleiding en hercertificering van medewerkers.
Virtuele verbindingen veiliger maken
Zoals we snel hebben geleerd, hebben bedrijven een manier nodig om met hun medewerkers te communiceren, weg van hun fysieke locaties. Of het nu gaat om basistelecommunicatie tijdens het reizen of om zaken draaiende te houden tijdens een pandemie, virtuele verbindingen zijn essentieel voor de duurzaamheid van bedrijven.
Tijdens de eerste lockdown-periode voor COVID-19 begonnen veel bedrijven op Zoom te vertrouwen voor hun vergaderingen via teleconferentie. Er zijn echter verschillende inbreuken opgetreden als gevolg van wat bekend staan als "Zoom-bombardementen".
Om Zoom-bombardementen te voorkomen, en de veiligheid van het werken op afstand te helpen garanderen, moeten werknemers worden geïnstrueerd om:
- Ervoor te zorgen dat ze de meest up-to-date apps voor hun apparaten gebruiken
- Een unieke ID en uniek wachtwoord te creëren voor hun oproepen
- De wachtkamerfunctie te gebruiken
- Het delen van schermen met andere gebruikers uit te schakelen
- Vergaderingen af te sluiten zodra ze beginnen
- Vergadering die alleen op uitnodiging zijn te gebruiken
Helaas gebruikten de meeste gebruikers apps die niet waren bijgewerkt met de nieuwste beveiligingsupdates en die waren gecompromitteerd. Erger nog, ze gebruikten hoogstwaarschijnlijk een niet-beveiligde internetverbinding van een openbare hotspot, zonder hun verkeer te versleutelen tegen man-in-the-middle-aanvallen en andere veelvoorkomende hotspot-aanvallen.
Het versterken van virtuele communicatiekanalen is van vitaal belang voor bedrijven die telecommunicatieondersteuning willen opnemen voor hun medewerkers en klanten. Terwijl bedrijven op serviceproviders vertrouwen voor hun behoeften op het gebied van virtuele conferenties, is het idee dat ze veilig "afgesloten" zijn ronduit gevaarlijk.
Op zoek gaan naar veilige cloudgebaseerde opslag en samenwerkingsoplossingen
Ten slotte hebben bedrijven met verspreid of extern personeel betrouwbare en geloofwaardige opslag- en samenwerkingsoplossingen nodig. Cloudgebaseerde oplossingen voor het ondertekenen van bedrijfsdocumenten kunnen het voor werknemers bijvoorbeeld veel gemakkelijker maken om workflows intact te houden wanneer ze niet op kantoor zijn.
Als het gaat om opslag, behoren Google Drive, DropBox en OneDrive tot de meest vertrouwde oplossingen voor bedrijven over de hele wereld. Dit komt omdat ze veel hebben geïnvesteerd in het produceren van op internet gebaseerde interfaces, waarmee medewerkers overal en altijd met elk apparaat kunnen werken, terwijl ze toegang hebben tot al hun belangrijke documenten en andere bestanden.
Deze services gaan verder dan eenvoudige opslagoplossingen en bieden volledige suite-oplossingen voor gezamenlijke inspanningen. U kunt de ellende van het uploaden van een bestand en wachten tot de wijzigingen zijn aangebracht en teruggestuurd, alleen om meer wijzigingen aan te brengen, vergeten.
Dezelfde diensten zijn echter ook niet volledig ongevoelig voor aanvallen. Dropbox is bijvoorbeeld meerdere keren gehackt, waarbij op een gegeven moment de persoonsgegevens van meer dan 68 miljoen personen zijn onthuld. Gelukkig hebben ze deze beveiligingsproblemen grotendeels opgelost en zijn ze nu één van de veiligste opslagoplossingen die er bestaan.
Hoewel cloudgebaseerde software voor de meeste bedrijven uitstekend werkt, reist veel gevoelige informatie nog steeds onbeschermd over niet-versleutelde verbindingen - en niet elke cloudoplossing gebruikt hetzelfde niveau van beveiligingsmaatregelen. Zorg ervoor dat de oplossing die uw bedrijf heeft gekozen, gebruik maakt van de nieuwste beveiligingsprotocollen, gericht op beveiligde verbindingen en bestandsversleuteling, om kwaadaardige aanvallen te voorkomen, die hun klanten of hun bedrijf in gevaar kunnen brengen wanneer er lekken optreden.
Conclusie
Omdat er elke 39 seconden hackpogingen plaatsvinden, kunnen bedrijven het zich niet veroorloven om hun cloudbeveiligingsprotocol en implementatie te negeren.
Door het bewustzijn van werknemers m.b.t. de adequate beveiligingsmaatregelen, bij het werken op afstand met gebruik van beveiligde virtuele verbindingen, te verbeteren en te vergroten, en door cloud gedistribueerde documenten te vergrendelen met bestandsversleuteling, kunnen bedrijven zichzelf beschermen tegen datalekken en de ongewenste publiciteit die daarmee gepaard gaat.
Opmerking: Dit blogartikel is geschreven door een gastcorrespondent met het doel onze lezers een grotere verscheidenheid aan inhoud te bieden. De meningen die in dit artikel door de gastauteur worden gegeven komen uitsluitend voor rekening van de correspondent en komen niet noodzakelijk overeen met die van GlobalSign.