Man-in-the-Middle aanval voorkomen? Waarom NIS2 awareness meer is dan een vinkje.
Je zou maar CISO zijn met de opdracht mij buiten de organisatie te houden
“Beste CISO, laten we eerlijk zijn: uw techniek is het probleem niet”
“Iedereen kijkt naar u als het over security gaat. Uw firewalls zijn up-to-date en uw netwerksegmentatie ziet er op papier waterdicht uit. U bent een professional en u weet precies hoe ik werk. Maar we weten allebei waar mijn echte ingang zit: bij die honderden collega’s die denken dat cybersecurity ‘iets voor de IT-afdeling’ is.
Ik ben geen technisch wonder, ik ben een opportunist. En mijn favoriete methode? De Man-in-the-Middle aanval. Niet omdat uw encryptie zwak is, maar omdat menselijk vertrouwen zo ontzettend makkelijk te misbruiken valt.”
De anatomie van een hack: Waarom hackers 200 dagen onzichtbaar blijven
“U kent de statistieken: een hacker zit gemiddeld ruim 200 dagen onzichtbaar in een netwerk voordat er een alert afgaat. Terwijl u focust op het dichten van technische lekken, gebruik ik die tijd om de hiërarchie van uw organisatie te leren kennen.
Ik lees mee met e-mails, bestudeer de schrijfstijl van de directie en wacht op het moment dat de waakzaamheid verslapt. Tegen de tijd dat uw incident response team in actie komt, heb ik de buit al lang geëscaleerd. Ik kraak geen codes; ik kraak het geduld van uw organisatie.”
Wat is een Man-in-the-Middle aanval? De postbode-methode als spiegel
“Voor u is een MitM-aanval gesneden koek, maar probeer het de rest van de organisatie maar eens uit te leggen. Ik gebruik de ‘postbode-methode’: ik onderschep de communicatie, pas de inhoud aan (zoals een bankrekeningnummer), en bezorg de boodschap alsnog.
Zodra een medewerker mij onbewust hun ‘session cookie’ of inloggegevens geeft, sta ik tussen hen en uw systemen in. Geen enkele firewall houdt een legitiem verkregen inlogteken tegen.”
Voldoen aan NIS2-richtlijnen: Waarom ‘compliance’ niet hetzelfde is als ‘cyberweerbaarheid’
“De NIS2-richtlijn dwingt u om aan awareness te doen. Maar u en ik weten dat verplichte e-learnings vaak niet meer zijn dan ‘compliance-theater’. Medewerkers klikken op ‘volgende’ tot ze het vinkje hebben, terwijl ik buiten sta te wachten tot ze op mijn phishing-link klikken.
Ik zie drie grote blinde vlekken in uw organisatie waar ik elke dag van profiteer:
- De “Script-Kiddy” Mythe: Uw medewerkers denken nog steeds dat ik een eenzame nerd op een zolderkamer ben. Ze beseffen niet dat ik onderdeel ben van een miljardenindustrie met professionele helpdesks en marketingafdelingen die geraffineerde psychologische profielen van hen maken.
- De “Hier valt niets te halen” Misvatting: Uw personeel denkt dat uw data niet interessant genoeg is. Ze begrijpen niet dat zij slechts de springplank zijn. Ik hoef hun data niet; ik heb hun toegang nodig om via hen binnen te dringen bij uw grootste, meest waardevolle klanten.
- Terminologie-moeheid: Men hoort de termen ‘Phishing’ of ‘Ransomware’ dagelijks, maar heeft geen flauw benul hoe een aanval er in de praktijk uitziet. Zonder die ervaring blijven ze onbewust onbekwaam, hoe vaak u de regels ook herhaalt.
U kunt het beleid schrijven, maar de medewerkers moeten het uitvoeren. En daar win ik meestal.”
Serious Game Cybersecurity: Train uw ‘menselijke firewall’ fysiek
“Bij The Hacker Experience in Breda stoppen we met praten en laten we uw team voelen hoe het is om aan de andere kant te staan. In onze fysieke game (geen saaie slides!) ervaren ze de tijdsdruk en de psychologische manipulatie van een echte hack.
Onze methode is gebaseerd op wetenschappelijke inzichten over blijvende gedragsverandering. We maken van uw grootste risico — de medewerker — uw sterkste verdedigingslinie door ze eindelijk te laten begrijpen hoe het spel écht gespeeld wordt.”
Drie manieren om de weerbaarheid van uw organisatie te testen:
- Vrijblijvende kennismaking: Kom als CISO zelf kijken en ervaar waarom gamification de enige weg is naar echt ander gedrag.
- Open Inschrijving: Stuur een klein team (max. 5 pers.) naar onze maandelijkse sessie in Breda om ze te laten strijden tegen andere organisaties.
- Maatwerktraject: Een in-company event waarbij we de game volledig afstemmen op de specifieke risico’s van uw sector.
Niet te snel zijn met aanmelden, de game maakt medewerkers echt alert, en dat is nu net wat wij hackers niet willen…