Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 20 reacties

Uit een enquête die werd gehouden tijdens de Black Hat-beveiligingsconferentie blijkt dat grote bedrijven beveiligingsbudgetten toewijzen aan verkeerde bedreigingen. Ook denkt 73 procent van de ondervraagden dat hun organisatie binnen een jaar slachtoffer zal zijn van 'een ernstig datalek'.

De enquête werd in juli ingevuld door 460 deelnemers van de Amerikaanse Black Hat-conferentie. De vragen gingen over de houding en plannen van de beveiligingsindustrie. De resultaten werden vrijdag tijdens Black Hat Europe gepresenteerd. Van de ondervraagden werkt 64 procent als securityprofessional bij een bedrijf van duizend werknemers of groter. Velen zijn in bezit van gevorderde certificaten op het gebied van beveiliging. Een van de belangrijkste uitkomsten van het onderzoek is dat grote bedrijven hun budgetten vaak niet toewijzen aan de bedreigingen die door de securityprofessionals als ernstig worden gezien. In de ranglijst van deze bedreigingen staan gerichte aanvallen, phishing en social engineering bovenaan.

Als er echter gekeken wordt naar de werkzaamheden die dagelijks de meeste tijd kosten is dit het oplossen van problemen door kwetsbaarheden in software van het eigen bedrijf of in producten van derden. Ook komt naar voren dat meer dan de helft van de ondervraagden aangeeft niet genoeg middelen te hebben om huidige bedreigingen tegen te gaan. Dit terwijl 73 procent denkt dat hun organisatie in het komende jaar slachtoffer zal zijn van een ernstig datalek. Kijkt men naar de toekomst, dan blijkt dat aanvallen op apparaten die zijn aangesloten op internet de grootste bedreiging vormen. Ten slotte werd de eindgebruiker aangewezen als zwakste schakel in de verdediging tegen kwaadwillenden.

De conferentie werd geopend met een keynote van Thinkst-oprichter Haroon Meer, waarin werd opgeroepen om minder te vertrouwen op big data en threat intelligence als het gaat om beveiliging. Ook moet het belang dat wordt gehecht aan zero-days worden verminderd, immers 'worden netwerken ook aangetast zonder zero-days'. De conclusie is dat het belangrijker is een degelijke attack mitigation te hebben dan te focussen op de laatste hype. Black Hat Europe vond plaats in Amsterdam van 10 tot 13 november, alle presentaties zijn beschikbaar op de website.

blackhat enquete

Moderatie-faq Wijzig weergave

Reacties (20)

Hieraan is goed te zien dat het probleem vaak ligt aan het budget dat beschikbaar is voor de beveiliging. En dan vervolgens aan komen kloppen bij de beheerders dat er niet genoeg beveiliging is...
Als ik kijk naar de grootste bedreigingen zie ik toch de mens naar voren komen, niet het budget.
Op plaatsen 2 en 3is het direct menselijk handelen. Ik weet niet of de percentages optelbaar zijn, maar zo ja zit je op 67 procent...
Voorlichting kost ook geld, dus komen we weer terug op het budget. Ik denk door het voorlichten van werknemers een hoop problemen te voorkomen zijn.
Helaas, hoewel het met de 'awareness' van gebruikers inmiddels toch wel een stuk beter gesteld is dan enkele jaren geleden ontkom je er toch echt niet aan dat mensen toch dat linkje klikken of die attachment openen.

Dat neemt niet weg dat er nog altijd aangeraden wordt (maak ik mijzelf ook schuldig aan) om in een continue cyclus aan awareness training etc. te doen. Ja, het draagt bijv. bij aan het verminderen van de risico's rond social engineering door telefoon en fysiek binnenkomen door tailgaten etc.

Maar, eerlijk gezegd, iemand met een beetje doorzettingsvermogen blijft gewoon proberen tot hij de medewerker tegenkomt die wel zo vriendelijk is een naam van een Enterprise Admin door te geven of die je wel even door het poortje "piept". Dat is het uiteindelijk het ongelooflijk lastige aan security: de verdedigers moeten 100% scoren, elke dag weer, terwijl de aanvaller maar 1 keer mazzel hoeft te hebben.

Awareness vervalt dan ook vaak in een kunstje om de auditors tevreden te stellen en meetbare toegevoegde waarde blijft vaak uit.
Ik denk dat ze meerdere antwoorden aan konden geven, als je alles optelt kom je namelijk op 309% uit. Als je denkt dat iemand per ongeluk iets lekt, dan zal je vermoedelijk ook wel denken dat die persoon ook vatbaar is voor phishing, dus dat je die 21% eerder als een subgroep van die 46% zal moeten zien. maar dat is het mooie van cijfertjes, ze roepen altijd meer vragen op dan dat ze beantwoorden :D
Ja en nee, ik zie juist vaak dat beveiliging vaak veel te veel kost, en dan nog steeds niet genoeg zekerheid geeft. Om maar gewoon vrachtwagen ladingen geld tegen een probleem aan te gooien is niet altijd de oplossing. (zeker ook omdat er in de donkere hoekjes van het web ook vrachtwagen ladingen geld van hand wisselen juist om de 'goeie hacks' onder het tapijt te houden)
Ik ben wel eens benieuwd naar cijfers omtrent hoeveel risico er feitelijk onnodig wordt genomen en vervolgens weer wordt verzwegen. Vanmorgen was ik op een bedrijf waar het vrij gewoon leek te zijn dat medewerkers met hun eigen smartphone's (met mogelijke prive-malware erop) allerlei bedrijfsgevoelige informatie uitwisselen en ook nog beweren dat dat niet op een andere manier kan. Als die een verhaal gaan ophangen over hun angst voor het lekken van informatie kun je dat als je het mij vraagt rustig met een korrel zout nemen. Ze kiezen er zelf actief voor.

Uiteindelijk is het denk ik altijd een kwestie van geld. Als je alle informatiestromen in kaart hebt en geen oncontroleerbare kanalen accepteert is de boel dermate goed te beveiligen dat de kans op een lek heel erg klein wordt. Alleen hangt daar per situatie een ander prijskaartje aan met een bedrag dat zich per definitie nooit terugverdient in de ogen van degenen die het op moeten hoesten.

[Reactie gewijzigd door blorf op 16 november 2015 17:24]

Afgaand op eigen ervaringen met allerhande bekende nederlandse bedrijven word er ontzettend veel risico genomen.

Als voorbeeld, werk nu sinds kort bij een bedrijf, alles daar (van mijn email tot de offerte software van de baas) heeft hetzelfde ww, naja, bizar slecht maar oke, vervolgens was ik een site aan het bouwen, werd me verteld dat er geen login stap nodig was want 'mensen vergeten die login toch altijd en dan bellen ze ons weer'...

Weet nog niet of ik er blijf werken xD
Alleen hangt daar per situatie een ander prijskaartje aan met een bedrag dat zich per definitie nooit terugverdient in de ogen van degenen die het op moeten hoesten.
Als dit zo is dan hebben degenen die het op moeten hoesten eerlijk gezegd groot gelijk dat ze de maatregelen niet nemen. Ik snap dat dit niet helemaal is hoe je het bedoelt maar als de maatregel meer kost dan de te verwachten schade (financieel, maar ook imagoschade, etc.) is het standaard devies: niet nemen die maatregel.

Klein (versimpeld) rekenvoorbeeldje:
Risico = kans (of frequentie) X impact

Als ik niets doe, dan ga ik er van uit (gebaseerd op cijfers van vorig jaar) dat 10 keer per jaar een generieke hacker mijn website platlegt (voor het gemakt: zonder informatie te stelen of verder het netwerk in te gaan). Als mijn website platligt gaat er een sms-je naar mijn beheerder, die fietst naar het datacenter en herinstalleert de boel van backups. Bij elkaar duurt dat allemaal een uur of 6. Dat kost me ¤600 voor de beheerder (ik ben verder op geen enkele manier afhankelijk van mijn website dus heb geen vervolgschade door gemiste opdrachten oid).

Risico = 10/jr (kans) X ¤ 600 (impact) = ¤ 6000,- per jaar.

Als ik een maatregel kan verzinnen die dit risico geheel wegneemt (naar 0 x per jaar kans) dan scheelt me dat ¤ 6000 per jaar. Als die maatregel nou ¤ 4000 per jaar kost bespaar ik dus ¤ 2000 per jaar. Als hij meer dan ¤ 6000 per jaar kost kan ik hem beter niet nemen en er mee leven dat mijn website 10x per jaar plat gaat...

Disclaimer: sterk versimpeld voorbeeld :)
Komen de presentaties ook op YouTube te staan?
Uiteindelijk misschien wel (https://www.youtube.com/user/BlackHatOfficialYT), maar gezien Black Hat door een commerciele partij wordt georganiseerd willen ze er geld voor zien (https://www.blackhatbriefingsonline.com/). Slides staan wel online (https://www.blackhat.com/eu-15/briefings.html).
De meest interessante helaas nooit
Overlaatst deze link tegengekomen:
The 6 dumbest ideas in computer security. 10 jaar oud en nog altijd brandend actueel.

De grote bottom-line is dat we met z'n allen zo ingesteld zijn op blacklists, terwijl whitelists altijd korter, makkelijker en veiliger werken. Een echte must-read voor iedereen met interesse in security.
Zn voorspellingen zitten er wel flink naast :P Ik denk dat hij onderschat dat veel mensen echt voor gemak gaan.
Mocht er echt een glazen bol zijn dan was de euro millions al lang afgeschaft. Maar de rest van het artikel is daarom niet minder waar.
Lijkt me zeer logisch dit. Blackhat bezoekers leven van security, dus natuurlijk zeggen ze dit. Want dan komt er meer budget beschikbaar.
Ik weet dat het met de security bij de meeste grote bedrijven erg slecht gesteld en men pas veel wil investeren als de shit al de fan heeft geraakt.
Er worden gewoon risico's ingeschat en dan is bijv. 10 miljoen met een kans van 5% een onbeduidend probleem, waarvoor men geen 1 miljoen wil investeren.
De security mensen voelen het probleem meestal wel, maar die krijgen dan het geld niet.
Ik zie het meer als 73% is geschikt als werknemer in de security, de rest niet.
Als je niet bang bent voor datalekken, kan je er wel mee op houden, los van het geld gezien.
Eigenlijk was 99% dan beter geweest.
En dit zou er zomaar eentje kunnen zijn die een datalek zal gaan veroorzaken. Niets nieuws maar nog steeds actueel en nauwelijks te patchen.
Surveillance slechts 9%?
Ik denk dat de laatste in de rij al snel omhoog gaat schieten. Ik denk dat hacking meer gaat worden dan inbreken op een netwerk. Men zal letterlijk machines stil leggen. Wel, dat is al gebeurt, omdat veel machines op een of andere manier toch weer via via aan een netwerk hangen dat verbonden is aan internet. Denk aan nucleaire installaties in Iran...Stuxnet, toch?

Je mag hopen dat de fabriek software heeft die commands die schade veroorzaken stopt voordat ze uitgevoerd worden. Je moet er niet aan denken dat een olieraffinaderij gehackt kan worden via de IOT, omdat het management besloot dat bepaalde routine handelingen op een machine ook door een medewerker vanaf zijn thuis pc gedaan moeten kunnen worden. Zoals een check van de druk in een leiding.

En dat kan alleen als je aan die leiding effe een wifi'tje hangt.

Maar goed, die veiligheidssoftware kan uitgeschakeld worden en dan heb je me daar toch een explosie in de Botlek...daarw as ChemiePak niets bij.

[Reactie gewijzigd door Vendar op 17 november 2015 12:18]

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True