Het dreigingslandschap evolueert bliksemsnel, maar dat hoeft geen probleem te zijn. Ondernemingen die NIS2 en het cyber fundamentals-framework volgen, blijven beschermd. Ook nieuwe dreigingen volgen immers de oude kill chain.
Het dreigingslandschap evolueert snel. Nieuwe zero day-bugs schieten als paddenstoelen uit de grond, phishing en social engineering krijgt bijstand van AI en malware wordt dag na dag geavanceerder.
“De tijd van het amateurisme is al lang voorbij”, zegt Ron Nath Mukherjee, Cybersecurityconsultant bij Eset. “Cybercriminaliteit volgt echt industriële processen vandaag. Er zit een hele uitgewerkte keten achter.”
Mukherjee krijgt bijval van de andere cyberbeveiligingsexperts aanwezig op het rondetafelgesprek over NIS2, georganiseerd door ITdaily. “Het is intussen de grootste business wereldwijd”, vult Patrick Banken, Business Development Manager bij Kappa Data aan. “Voor cybercriminaliteit wordt de jaarlijkse kost in 2025 al geschat op 10,5 biljoen dollar: de helft van het BBP van de US.”
De tijd van het amateurisme is al lang voorbij.
Ron Nath Mukherjee, Cybersecurityconsultant Eset
Mukherjee en Banken krijgen rond de tafel gezelschap van Sabine van Hoijweghen, Head of Sales en Partner bij Secutec, Bart Loeckx, Director Networking & Security bij Telenet Business, en Johan Klykens, Cybersecurity Certification Authority (NCCA) bij het CCB.
Nieuwe aanvallen, zelfde kill chain
Dan rijst de vraag hoe bedrijven zich kunnen beschermen en in welke mate een regelgeving zoals NIS2 relevant kan zijn in een landschap dat zo snel verandert. “We hopen dit jaar nog een update uit te brengen met aanpassingen van onze richtlijnen rond NIS2”, zegt Klykens. “En wat blijkt: we hebben aan de kill chain niets moeten veranderen. Die blijft exact hetzelfde.”
Ter opfrissing: een succesvolle cyberaanval bestaat uit zeven stappen:
- Verkenning: onderzoek en identificatie van mogelijke doelwitten
- Bewapening: het bouwen van een payload met malware
- Aflevering: de transmissie van de payload naar het doelwit
- Uitbuiting: de activatie van de payload
- Installatie: de integratie van een persistente achterpoort, waarlangs criminelen toegang kunnen behouden
- Command & control: communicatie via de achterdeur met de criminelen
- Acties en objectieven: hier behalen de criminelen hun doen (data stelen, ransomware activeren…)
Ook met geavanceerde middelen en andere technieken volgen criminelen die kill chain. Organisaties die zich proberen te beschermen, moeten de ketting doorbreken voor de zevende stap, waarbij de hackers hun slag thuishalen. “We focussen ons daarom op de plekken waar we dat kunnen doen”, aldus Klykens.
MFA en zero trust breken de ketting
Dat betekent heel concreet dat ook de best practices niet veranderen. Klykens: “Mensen horen me intussen niet meer graag over MFA praten, omdat het afgezaagd wordt, maar we zien het effect wel. Zonder MFA leidde de diefstal van inloggegevens tot een groot incident, vandaag gaat het met MFA over een kleiner probleem waarvoor standaard responsplannen klaarliggen.”
“Het concept van zero trust wordt ook beter en beter begrepen”, merkt Banken. “Alles wat over het net gaat, mag je niet meer zomaar vertrouwen. Je moet alles opnieuw controleren.”
Het concept van zero trust wordt ook beter en beter begrepen.
Patrick Banken, Business Development Manager Kappa Data
Klykens bevestigt. “Het kan dat inloggegevens gestolen worden, maar als ze onbruikbaar zijn, dan zijn we goed bezig. We moeten kijken wat er voor een hacker mogelijk is na zo’n voorval, en die tweedelijnsschade beperken.”
Op die manier wordt de kill chain immers doorbroken. Er vindt misschien wel een incident plaats, maar dat leidt niet tot grote problemen. ”We gaan cyberaanvallen nooit helemaal kunnen stoppen, maar we kunnen ons wel meer weerbaar maken en er minstens voor zorgen dat de kosten-baten-verhouding voor criminelen niet meer zo positief is als nu het geval is.”
In naam van businesscontinuïteit
“We hebben de NIS2-regelgeving nu, en daarbij mogen we niet vergeten waar die voor dient en waarom die er is gekomen”, vult Loeckx aan. “Het gaat niet om regeltjes, maar over businesscontinuïteit. Cyberweerbaarheid is de basis en voorkomt economische drama’s.”
NIS2 gaat niet om regeltjes, maar over businesscontinuïteit.
Bart Loeckx, Director Networking & Security Telenet Business
Het Cyber Fundamentals-raamwerk, dat Klykens mee heeft ontwikkeld, is geschreven met dat opzet in het achterhoofd. Dat benadrukt hij: “We hebben het uitgewerkt nog voor NIS2 bestond.”
In snelheid gepakt
De fundamentele aanpak van bedreigingen verandert dus niet waardoor ook de NIS2-regelgeving uiterst relevant blijft, zelfs in een evoluerend dreigingslandschap. Er zijn echter enkele belangrijke veranderingen te bespeuren in aanvalstechnieken. Hoewel de kill chain niet verandert, sprinten aanvallers er steeds frequenter door.
“We stellen vast dat de tijd waarin aanvallers bij een bedrijf binnen zitten, opnieuw korter wordt”, zegt van Hoijweghen. “Een jaar of twee geleden zagen we dat aanvallers weken of maanden in een netwerk aanwezig waren.” De tijd tussen stap zes en zeven is de kill chain was dus lang: hackers maakten zich vertrouwd met het netwerk en probeerden zoveel mogelijk informatie te vergaren voor ze echt actie ondernamen.
We stellen vast dat de tijd waarin aanvallers bij een bedrijf binnen zitten, opnieuw korter wordt.
Sabine van Hoijweghen, Head of Sales en Partner Secutec
“Dat is nu niet meer het geval”, aldus van Hoijweghen. “Meestal gaat het om hit and run-aanvallen, niet om gerichte campagnes. Geautomatiseerde bots raken binnen waar ze kunnen en hackers houden zich niet meer bezig met diepe analyses van het netwerk. Dat is enkel anders bij zware en gerichte aanvallen.”
Bots op zoek naar opportuniteit
Op die automatisering hamert Loeckx. “We moeten mensen er echt bewust van maken dat ze niet individueel geviseerd worden. Je wordt gewoon door een geautomatiseerde machine aangevallen.”
“Er is een duidelijke parallel met klassieke inbraken”, vindt hij. “Heb jij het huis in de wijk waar een ladder in de tuin ligt en waar het raam open staat? Daar gaat het ook in de digitale wereld over.” Opportuniteiten worden uitgebuit door geautomatiseerde bots. Wie zich voor de eerste stap van de kill chain al niet aandient als gemakkelijk doelwit, zal zich veel leed besparen.
“Het dan ook heel belangrijk om langs de buitenkant te kijken wat er te vinden is van je organisatie”, wil van Hoijweghen daar nog aan toevoegen. “Dat is wat bots en cybercriminelen vinden. Toch focussen veel bedrijven zich exclusief op intern asset management, en hebben ze daar geen goed zicht op.”
Breek de ketting, red de meubelen
De NIS2-regelgeving biedt een handvat voor bedrijven klein en groot om bescherming enerzijds te focussen op het doorbreken van de kill chain en anderzijds om business continuïteit te garanderen. Dat is relevant voor iedereen.
Loeckx: “Ondernemingen mogen echt niet meer denken ‘wat zouden ze bij ons komen zoeken’. In eerste instantie is het geen fysiek persoon die opzoek is naar een lek, maar het zijn bots die komen aanwaaien. En iedereen heeft belangrijke data. Ik herinner me het verhaal van een cateringbedrijf dat het slachtoffer was geworden van een aanval rond kerst, en niet meer wist wat ze moesten leveren aan wie. Business continuïteit is essentieel voor iedereen.”
Het zijn zelfs specifiek kmo’s die een hoog risico lopen, bij hen gaat het echt om overleven.
Johan Klykens, Cybersecurity Certification Authority (NCCA) CCB
“Het zijn zelfs specifiek kmo’s die een hoog risico lopen”, besluit Klykens. “Bij hen gaat het echt om overleven. Wat als een ransomware-aanval je cashflow doet stoppen voor een bepaalde tijd? Er zijn ondernemingen die dat niet overleven.”
Dat aanvallen evolueren en AI vandaag in het spel is, is volgens alle experts rond de tafel geen groot probleem. De fundamenten voor een goede bescherming blijven immers dezelfde.
Dit is het derde artikel in een reeks van drie naar aanleiding van onze ronde tafel rond NIS2. Klik hier om de themapagina te bezoeken met de andere artikel, de video en onze partners.