Naar de inhoud
Avanet
Experiment - Waarom u deze USB-stick beter niet had aangesloten

Experiment - Waarom u deze USB-stick beter niet had aangesloten

31. MAART 2017

Zouden jullie je organisatie, in tijden van ransomware en APT’s, als veilig en niet-aanvalsgevoelig bestempelen?

Zoals de meeste regelmatige lezers van deze blog weten, ligt in ons dagelijks werk zo’n 80% van de focus op security. Met de Avanet hebben wij vanaf het begin ingezet op de beveiligingsoplossingen van Sophos, en die keuze hebben we tot nu toe nooit betreurd. We werken graag met klanten die serieus met de beveiliging van hun bedrijf bezig zijn en net zo overtuigd zijn van de producten van Sophos als wij.

Voor een marketingcampagne in november 2016 hebben we eens bewust het tegenovergestelde van onze gebruikelijke doelgroep gekozen. We probeerden CEO’s te overtuigen van het belang van security die zich er nog nooit echt mee hadden beziggehouden of ervan overtuigd waren dat hun bestaande oplossing voldoende bescherming bood. Ook onze gebruikelijke aanpak, online marketing, hebben we voor één keer bewust losgelaten. Wat daaruit is gekomen? Helaas niets om vrolijk van te worden, en daarom hebben we besloten onze ervaringen met jullie te delen. Onze marketingactie heeft ons op verontrustende wijze laten zien dat er veel meer bewustwording nodig is rond “beveiliging in bedrijven” en dat je met de simpelste middelen zonder problemen een netwerk van binnenuit kunt compromitteren. Het hele verhaal kun je hier nalezen.

Voorgeschiedenis

Als we uit interesse met potentiële klanten praten en heel subtiel vragen hoe het staat met IT‑security, horen we in feite altijd hetzelfde antwoord:

“Wij zijn voldoende beschermd en zoiets kan ons toch niet overkomen. Ons bedrijf is veel te klein en voor een hacker totaal oninteressant.”

Feit is dat het allang niet meer gaat om de ‘kleine hacker op zolder’ die zich alleen op grote bedrijven richt. Juist de verhalen rond ransomware laten duidelijk zien dat iedereen met een computer, internet en e‑mail een doelwit is. Wanneer we dan wijzen op de gevaren van e‑mailbijlagen, zijn CEO’s er steevast van overtuigd dat hun medewerkers voorzichtig zijn en zeker niets ondoordachts zouden doen. Wat moet je daar nog op zeggen, behalve: “Mogen we dat eens testen?” Het spreekt voor zich dat bijna niemand daar toestemming voor wil geven, en dus hebben we ons, met het oog op onze nieuwe marketingcampagne, de volgende vraag gesteld:

“Hoe overtuig je een potentiële klant van IT‑security die er nog nooit serieus over heeft nagedacht of denkt dat hij al voldoende is beschermd?”

Ons marketingidee en de uitvoering

Bij de planning van onze campagne was één ding voor ons heel belangrijk. We wilden “de goeden” zijn en onze actie moest helpen om meer aandacht te vestigen op de actuele dreigingen. Om echt effectief te zijn, was ook een portie koud zweet nodig, zodat de gedachte “ik ben veilig en mij kan niets gebeuren” zou verdwijnen.

We lieten 100 USB‑sticks leveren en kopieerden op elke stick één HTML‑bestand met de volgende inhoud.

USB-stick landingspagina

Op dit punt wil ik nog eens benadrukken dat er op de stick echt alleen een onschuldig HTML‑bestand stond. Zoals gezegd was het nooit onze bedoeling om een organisatie schade toe te brengen. De USB‑stick stopten we in een envelop met daarin alleen een Post‑it met de tekst:

“Zoals besproken de projectdata. Groet + dank”

Op de envelop stond uitsluitend het adres van de ontvanger. We hebben bewust geen afzender vermeld, om de nieuwsgierigheid te prikkelen en de kans te vergroten dat de USB‑stick daadwerkelijk wordt aangesloten.

Nu heb ik drie vragen aan jullie:

  1. Wat zouden jullie doen als zo’n brief in jullie postvak terechtkwam?
  2. Hoe zouden jullie medewerkers reageren?
  3. Wat denken jullie: hoe vaak is de USB‑stick daadwerkelijk aangesloten?

Boze reacties, dreigementen en de politie

We waren ons er terdege van bewust dat deze actie behoorlijk brutaal was. Zouden mensen onze “goede bedoelingen” begrijpen en dankbaar zijn dat ze er dit keer met een waarschuwing vanaf kwamen?

Het antwoord was duidelijk “NEE”. Dat bleek drie dagen later, toen we de mensen opbelden en naar de USB‑stick informeerden. Van de circa 80 personen die we telefonisch hebben bereikt, hebben er naar mijn inschatting ongeveer 5 de actie begrepen en deze zelfs geprezen als een originele marketingactie.

De rest van de mensen was kwaad, zag ons als de vijand en dreigde met juridische stappen. Twee van onze USB‑sticks zijn zelfs bij de politie beland.

65% insteekratio

Laat ik de emoties even parkeren en me concentreren op het effect van onze campagne. Het schokkende was dat 65% van alle personen die we telefonisch konden bereiken, de USB‑stick binnen het bedrijf heeft aangesloten! Ga je ervan uit dat niet iedereen heeft toegegeven dat hij of zij de stick toch heeft gebruikt, dan ligt het werkelijke percentage waarschijnlijk nog hoger.

Dat betekent dus dat minimaal 52 personen de beveiliging van hun organisatie in gevaar hebben gebracht door een stick aan te sluiten, zonder te weten van wie hij afkomstig is en welke bestanden erop staan.

Conclusie

Hoewel we de boze reacties natuurlijk tot op zekere hoogte kunnen begrijpen, vinden wij dat op dit punt het eigen ego geen rol zou mogen spelen. Je zou moeten inzien dat je in deze situatie kwetsbaar was voor een stom, simpel USB‑stickje en dat je met een methode uit 1990 te pakken bent genomen. Bij een echte aanval had zelfs de beste firewall ter wereld hier niets kunnen uitrichten, omdat de stick feitelijk langs de securitycontrole is binnengesmokkeld. De mens was in dit geval de grootste risicofactor; zonder hem of haar was de USB‑stick nooit in het netwerk terechtgekomen. Medewerkers goed trainen en expliciet wijzen op dit soort risico’s is dus een cruciaal onderdeel van jullie IT‑beveiliging.

Onze marketingactie heeft laten zien dat in een organisatie op elke client endpoint‑bescherming moet zijn geïnstalleerd. Alleen goede endpoint‑bescherming die gedragsgebaseerd werkt en niet (alleen) op signatures vertrouwt, is tegenwoordig de maat der dingen. Wie zo’n product bij Sophos zoekt, komt vroeg of laat uit bij Sophos Central. Als basisuitrusting raden we altijd het dreamteam Sophos Central Endpoint + Intercept X aan. Als jullie ons advies willen volgen, kunnen jullie direct Sophos Central Intercept X Advanced aanschaffen, waarin beide producten zijn inbegrepen.

Ook al hebben we met deze campagne geen nieuwe opdrachten binnengehaald, volledig zinloos was hij naar onze mening zeker niet. We zijn ervan overtuigd dat door deze actie een aantal mensen de volgende keer voorzichtiger zal handelen en zal aarzelen voordat ze een USB‑stick in hun computer steken.

David

David

David is verantwoordelijk voor content, structuur en digitale implementatie bij Avanet. Zijn focus ligt op het helder, precies en zoekvriendelijk uitwerken van complexe technische onderwerpen.