Vijf hackers typen te onderscheiden

In de fysieke beveiligingswereld is het al lang heel normaal om uit te gaan van bepaalde dadertypen en daderprofielen. Op basis daarvan worden keuzes gemaakt waartegen een bedrijf zich wil beschermen. Zo wil (bijna) iedereen zich wel beschermen tegen gelegenheidsdaders of amateurs. Hebben we het over terroristen dan wordt het al een ander verhaal.

In onderstaand artikel is een interessante typering gegeven van vijf hackers typen. Voor informatiebeveiliging kunnen we die gaan gebruiken om onze aanpak in te richten. Willen we ons beveiligen tegen script kiddies en insiders of ook tegen hackers die inbreken in opdracht van naties? Het is een keuze, maar wel een belangrijk vertrekpunt om de beveiliging in te richten.

De typen die worden onderscheiden zijn:

  • Ten eerste de script kiddies. Dat zijn vaak nog pubers, die uit nieuwsgierigheid op zoek gaan naar gaten in onlinesystemen. Als ze lekken vinden, melden ze dat ook vaak aan de bedrijven.
  • Dan zijn er de insiders. Hackers die uit rancune, bijvoorbeeld na ontslag, op zoek gaan naar zwakke plekken in ict-systemen. Omdat ze de bedrijven goed kennen, is de schade vaak groot.
  • De georganiseerde misdaad hackt ook. Zij probeert bijvoorbeeld via phishing-mails (mails met het verzoek persoonsgegevens op te sturen) de geadresseerden creditcardgegevens te ontfutselen.
  • Hackgroeperingen, zoals Anonymous, hacken vanuit een politieke overtuiging. Door schade aan bijvoorbeeld bedrijven toe te brengen willen deze activisten hun standpunt kracht bijzetten.
  • Tot slot zijn er hackers die inbreken in opdracht van naties: om te spioneren of systemen plat te leggen. De hack die de centrifuges van een Iraanse kerncentrale platlegde, is een voorbeeld van deze cyberwarfare. (bron)

Aangezien we als organisatie niet alles in een keer aan kunnen pakken, lijkt het wijs er eerst eens voor te kiezen om de script kiddies en insiders in de gaten te houden. We zouden ons basis beveiligingsniveau daarop in kunnen richten en ons minimaal tegen deze dreiging kunnen beveiligen. Voor die processen en systemen waarvan we bepaald hebben dat ze kritisch zijn voor onze organisatie zouden we nog een stap verder kunnen gaan. We zouden er voor kunnen kiezen deze ook tegen de georganiseerde misdaad en hachersgroepen te beveiligen. Daar zal dan veelal veel technische kennis bij nodig zijn. Hebben we die zelf niet in huis dan schakelen we daar een extern expert voor in.

Voor veel organisaties zal het lastig zijn zich te wapenen tegen hackers die inbreken namens naties. Eerlijk is eerlijk, voor veel bedrijven is dit ook helemaal niet nodig. De vreemde natie is helemaal niet in jouw organisatie geïnteresseerd. Kijken we echter naar de infrastructuur die voor Nederland als vitaal is aangemerkt en kijken we naar de overheidsinstellingen dan wordt het een ander verhaal. Deze kunnen wel degelijk doelwit zijn en zullen deze dadertypering dus ook in overweging moeten nemen. Maar zolang sluizen en bruggen nog voor scriptkiddies open staan lijkt dat voor nu (voor sommige organisaties) nog een brug te ver.

 

Daderprofiel Cybercrimineel

Onterecht denken we nog te vaak dat er heel erg veel verschil zit tussen de aanpak voor informatiebeveiliging en fysieke beveiliging. Maar als je in staat bent om wat abstracter te kijken en de parellel te trekken dan zul je (net als ik) tot de conclusie komen dat beide vakgebieden nog veel van elkaar kunnen leren.

In de fysieke beveiligingswereld is het heel normaal om te werken vanuit een daderprofiel. Hoe weten we anders immers waartegen we ons moeten beveiligen en wat daarvoor de beste aanpak is? Gaat het om informatiebeveiliging dan vergeten we dat er zoiets bestaat als een daderprofiel. Maar hoe weten we dan waar de grootste dreiging vandaan komt en welke maatregelen we moeten treffen? Volstaat het om simpelweg de patches op tijd door te voeren of moeten we ingewikkelde en hoogstaande Intrusion Detection Systems inzetten (waarschijnlijk een beetje van beide).

Juist daarom is onderstaand bericht interessant om te lezen. Het kan wat mij betreft gezien worden als een eerste aanzet voor het daderprofiel voor informatiebeveiliging. Om tot echte daderprofielen te komen zullen we nog meer details moeten weten over de aanvalsmethoden en de gebruikte technieken…maar we moeten ergens beginnen.

De gemiddelde cybercrimineel in de Nederlandse politiedossiers is geen onderdeel van een georganiseerde bende whizzkids die extreem gecompliceerde dingen met een computer uithalen, aldus de maart editie van Secondant, een tijdschrift over criminaliteitspreventie. De meeste verdachten zijn mannen onder de 45 jaar, net als bij gewone criminaliteit. En net als bij gewone criminaliteit zijn er ook vrouwelijke verdachten en verdachten uit andere leeftijdscategorieën.

De motieven van daders zouden net als bij offlinedelicten vaak in de financiële of relationele sfeer liggen “Voor iemand die een ander dwars wil zitten of lichter wil maken, biedt cyberspace tegenwoordig vrij eenvoudig tal van mogelijkheden – en die worden gebruikt.” In tegenstelling tot beelden van internationaal opererende bendes en technische hoogstandjes, put de Nederlandse cybercriminelen uit een beperkt reservoir aan criminele technieken. Het kan dan gaan om het plaatsen van een advertentie op een verkoopsite of het niet leveren van goederen (bron).

Zonder de exacte details te kennen, kunnen we vooralsnog concluderen dat we echt eerst moeten zorgen voor ons basisbeveiligingsniveau. Daarmee houden we de scriptkiddies buiten de deur. Hebben we dat op orde…dan pas gaan we ons richten op de echte Whizzkids (en buitenlandse overheden, want vergeet zeker die niet).

Kortom: laten we beginnen bij het begin en onze aanpak in kleine mootjes hakken. Dat is de manier om echt een stap verder te komen. We verzanden dan niet in het grote, onoverzichtelijke geheel, maar maken ook echt progressie. Vorige week hier nog een leuk gesprek over gehad (bedankt Andre) met een marathonloper: kijk je naar de marathon als geheel dan haal je de eindstreep niet, maar als je gewoon voetje voor voetje zet kom je al een stuk verder. En dan nog heb je niet de garantie dat je het haalt…een mooie parallel met beveiliging, vind je niet?