Er wordt steeds meer data gestolen door hackers. Om bedrijven hiertegen te wapenen wordt er regelmatig gebruikgemaakt van zogenoemde ethische hackers. Zij opereren niet zoals ‘echte’ hackers op illegale basis en voor persoonlijk gewin, maar zetten hun vaardigheden in om bedrijven te helpen.
Voor veel organisaties, variërend van American Airlines tot Google en van Apple tot het Amerikaanse leger, is het steeds gebruikelijker geworden om ‘bugbounties’ te plaatsen. Dit houdt in dat het publiek wordt uitgedaagd om kwetsbaarheden in systemen te zoeken en te rapporteren in ruil voor een beloning. Bedrijven stimuleren op deze wijze hackers om ethisch te hacken. Iedereen kan ethisch hacker worden door bijvoorbeeld een officiële kwalificatie te behalen. Deze kwalificatie maakt het voor bedrijven mogelijk om de kennis en kunde van een hacker te bepalen en op de juiste manier in te zetten. Maar wat doet een ethische hacker precies en welke stappen zijn nodig om een bedrijf te beveiligen?
Stap 1: Bestudeer het bedrijf. Ten eerste helpt een ethische hacker een bedrijf te beschermen door inzicht te bieden in waar de meest gevoelige gegevens zijn opgeslagen. Met behulp van informatie van het bedrijf herkennen zij welke gegevens waarschijnlijk het doelwit zijn van kwaadaardige hackers. Daarnaast bestudeert de ethische hacker eerdere aanvallen.
Stap 2: Test bestaande verdedigingen. Organisaties hebben vaak al beveiligingsmaatregelen genomen, maar het is de vraag of deze effectief zijn. Een ethische hacker bekijkt of maatregelen zoals IPS (intrusion prevention-systemen), IDS (intrusion detection-systemen) en firewalls te ontwijken zijn. Ze onderscheppen en registreren verkeer dat over een digitaal netwerk gaat. Daarnaast omzeilen en kraken ze draadloze codering en kapen webapplicaties en webservers. Ethische hackers evalueren ook eventuele kwetsbaarheden met betrekking tot diefstal van laptops en werknemersfraude.
Stap 3: Poorten scannen en kwetsbaarheden opzoeken. Via een open poort kan een aanvaller toegang krijgen tot het bedrijfsnetwerk en daarmee tot gegevens. Met behulp van poortscan-tools kan een ethische hacker open netwerkservices identificeren die op een server worden uitgevoerd. In deze stap draait het om het krijgen van inzicht in hoe de it-omgeving van het bedrijf van buitenaf oogt voor een potentiële cybercrimineel. Nadat dit inzicht is verkregen, wordt onderzocht welke maatregelen mogelijk zijn om de kwetsbaarheden te camoufleren of weg te nemen.
Stap 4: Onderzoek patches. Voor criminele hackers zijn kwetsbaarheden in bestaande software een vruchtbare bron van inkomsten. Uit recent onderzoek van BitSight blijkt dat 20 procent van de 35 duizend onderzochte systemen op Windows XP of Vista draait. Microsoft biedt al twee jaar geen patches meer aan voor XP en voor Vista dateert de laatste patch van 2017. Dit betekent dat elk apparaat dat draait op deze besturingssystemen kwetsbaar is. Veel bedrijven doen op dit moment te weinig om de juiste patches te implementeren. Het is belangrijk de mogelijke patches tijdig en consistent toe te passen. De ethische hacker zoekt daarom uit welke kwetsbaarheden er zijn in bestaande software en of er een patch beschikbaar is.
Stap 5: Dumpster duiken en schouder surfen. Hackers houden zich ook bezig met het zogenoemde ‘dumpster duiken’. Dit betekent dat ze zoeken naar fysieke en digitale opslaglocaties voor wachtwoorden en andere gevoelige informatie. Denk hierbij aan de post it op de computer of het Excel-document met alle wachtwoorden. Een ander hulpmiddel die een ethische hacker kan gebruiken, is het ‘schouder surfen’. Dit betekent letterlijk over iemands schouder meekijken om te zien welke gevoelige informatie op hun scherm staat. Om dit soort aanvallen te voorkomen, moeten organisaties er altijd voor zorgen dat werknemers gevoelige documenten vernietigen.
Stap 6: Find once, fix always. Zodra een hacker kwetsbaarheden in de beveiliging heeft gevonden, informeert hij het bedrijf hierover en over hoe deze kwetsbaarheden verholpen kunnen worden. Hierdoor wordt het risico dat het bedrijf slachtoffer wordt van een datalek verkleind, alhoewel geen enkele oplossing kan garanderen dat hackers niet in kunnen breken.
Conclusie
Kortom, technologieën zijn waardevol in de strijd tegen cybercriminaliteit én ethische hackers weten daar kennis en kunde aan toe te voegen. Alleen deze hackers snappen hoe cybercriminelen werken en welke gegevens het doelwit zijn. Deze bijdrage maakt het wellicht mogelijk om bedrijfsgegevens beter te beschermen.
