[Video] Avonturen in Cyberland – de vijand binnen jouw netwerk
Het duurt ongeveer 191 dagen voordat bedrijven vaststellen dat ze slachtoffer zijn van een cyberaanval.* Hoe kunnen aanvallers zo lang verborgen blijven? Wat gaat er om in het hoofd van een cybercrimineel?
Tom Van de Wiele, ethisch hacker bij F-Secure, beantwoordt deze vraag vanuit zijn unieke kijk op de werkwijze van aanvallers. Tom is een professional in red teaming. Een Red Team simuleert geavanceerde aanvallen om zo de verdediging te informeren en begeleiden.
“De aanvaller hoeft maar één ding te vinden om binnen te komen, terwijl de verdediger alle aspecten moet verdedigen. Maar de aanvaller moet alles goed doen, terwijl de verdediger slechts één deel van de aanval hoeft te detecteren,” zegt Tom.
Laten we eens kijken wat er kan gebeuren als een aanvaller eenmaal binnen is
Quick wins versus permanente aanwezigheid in het bedrijfsnetwerk
Phishing-aanvallen via e-mail of telefoon en Wifi-phishing zijn veelvoorkomende voorbeelden van aanvalsvectoren. Het doel van de aanvaller is inloggegevens van medewerkers bemachtigen, toegang te krijgen tot diensten die ze gebruiken en zo een eerste stap te zetten in het bedrijfsnetwerk.
“Zodra de hacker een bepaald niveau van toegang heeft verkregen, moet hij verschillende aspecten afwegen: volharding, onder de radar blijven en bewegingsvrijheid versus toegang verliezen, ontdekt of ingeperkt worden. De aanvaller kan ervoor kiezen om zo snel mogelijk zijn doel te bereiken of om toegang te krijgen tot het netwerk om daar informatie te verzamelen voor latere aanvallen. De aanvaller maakt voortdurend de afweging hoe, en hoe snel hij wil bewegen. Aan de andere kant bekijkt hij de kans om te worden ontdekt, ingesloten of gestopt,” legt Tom uit.
Zijdelingse beweging om meer systemen te schaden
Vervolgens probeert de aanvaller toegang te krijgen tot meer systemen door misbruik te maken van de verkregen toegang tot bepaalde diensten: e-mailsystemen, oplossingen voor externe toegang zoals helpdeskgerelateerde software, zakelijke VPN of virtualisatiediensten. Als de aanvaller op zoek is naar permanente toegang kan hij onderzoeken of hij zich binnen interne netwerken en andere systemen kan verplaatsen.
“De aanvaller kan proberen om onopvallend een account aan een systeem toe te voegen, alsof hij een medewerker is. Zonder de juiste controlemechanismen is het heel moeilijk om dat te ontdekken. Hij kan wachtwoorden en privésleutels verkrijgen en die opnieuw gebruiken voor interne systemen of voor cloudgebaseerde services buiten het bedrijf,” zegt Tom.
De aanvaller kan zich maandenlang koest houden en informatie verzamelen over het netwerkverkeer, zoals infrastructuur, broadcast en multicast-verkeer. Met spoofingtechnieken kan hij andere systemen voor de gek houden, zodat ze vitale informatie en authenticatietokens vrijgeven. Dit kan hij vervolgens opnieuw gebruiken tegen andere systemen. Als de aanvaller het risico neemt ontdekt te worden, kan hij port scans inzetten om andere systemen en services te vinden die mogelijk beschikbaar zijn.
Tom geeft aan: “Het gebruik van standaardtechnieken of -methodes is een uitstekende manier om ontdekt te worden.”
Het doel is om bevoegdheden uit te breiden naar een beheerdersrol om toegang te krijgen tot elk systeem binnen het netwerk. Zodra de aanvaller beheerderstoegang krijgt, kan hij zich vrij binnen het netwerk verplaatsen.
Wees aanvallers een stap voor met Behavior-Based Detection
De meeste bedrijven slagen er niet in om overtredingen snel genoeg te detecteren. Hoe langer het duurt om een inbreuk op te merken, des te ernstiger de schade, groter de kosten en complexer het onderzoek zal zijn.
De activiteit van de indringer lijkt misschien op die van een geautoriseerde gebruiker, maar is dat niet. Doordat het ‘gewone’ activiteit lijkt, is het erg moeilijk te detecteren. De enige manier om de aanvaller voor te zijn, is Behavior-Based Detection.
“Security detectiemechanismen proberen iets bijzonders op het spoor te komen en zijn daarvoor afhankelijk van het vinden van afwijkingen in het netwerk, systeem en applicatie gedrag,” zegt Tom. “Aanvallers willen niet worden herkend en blijven zo onopvallend mogelijk. Dat betekent dat ze de infrastructuur die de organisatie gebruikt, opnieuw gebruiken. Ze gebruiken geen technologie of services die er voor de verdedigers van de organisatie vreemd uitzien.”
Als je afwijkingen en kwaadwillig gedrag wilt opsporen, moet je zoeken naar patronen van ongewoon gebruikersgedrag. Bijvoorbeeld een enkeling zonder administrator-rol die probeert in te loggen op meerdere servers tegelijk, één machine die probeert in te loggen op een server met veel verschillende accounts, brute force-methoden zoals duizenden inlogpogingen in een verdacht klein tijdsbestek, activiteit op rare momenten, of een SSH-verbinding die afkomstig is van een niet-technische gebruiker.
Geavanceerde aanvallers weten hoe ze algemene detectiemethoden kunnen omzeilen. Om ze te vangen heb je een combinatie van goed geconfigureerde analysehulpmiddelen en de enthousiaste, getrainde ogen van menselijke experts nodig.
Op zoek naar het onbekende
De experts van het Rapid Detection Center van F-Secure zijn gespecialiseerd in het vroegtijdig opsporen van breaches. Hun belangrijkste belofte is om de klant binnen 30 minuten na detectie te informeren. Kamil Donarski van Rapid Detection Center zegt:
“We kunnen een aanval in een heel vroeg stadium detecteren. Het moeilijkste is om te zoeken naar het onbekende. Elke dag ontstaan er nieuwe dreigingen. We zijn constant bezig te achterhalen hoe we dergelijk gedrag kunnen detecteren en hoe we onze klanten kunnen beschermen.”
De menselijke factor is buitengewoon belangrijk, want hoe geavanceerd we machine learning ook gebruiken, alleen mensen begrijpen de organisatie van de klant en hun normale gedrag. Alleen ervaren analisten kunnen beoordelen welke activiteit normaal is en welke niet.
Linda Liukas, de presentatrice van onze documentaireserie Adventures in Cyberland, heeft onlangs het Rapid Detection Center bezocht om te zien hoe overtredingen worden opgespoord en hoe het centrum werkt:
Goede cybersecurity draait om snelheid
Bij een inbreuk in het netwerk is snelheid van essentieel belang. Je kunt nu eenmaal niet alles stoppen, dus moet je de snelheid waarmee je op problemen reageert, verbeteren. Als bedrijven binnen enkele minuten of uren (in plaats van maanden) inbreuken detecteren, hebben de indringers niet genoeg tijd om de gegevens te verzamelen. Met snelheid bedoelen we ook dat je bepaalde gaten in de verdediging dicht voordat een indringer het opnieuw probeert.
Dit klinkt misschien als een mission impossible, maar er is hoop in deze strijd tegen de bad guys. Ze streven een bepaald doel na – we moeten ze gewoon vangen voordat ze het bereiken.
In de nieuwe videoserie van F-Secure gaat Linda Liukas op reis om de antwoorden te vinden op enkele van de meest prangende vragen in cybersecurity. Linda ontmoet de slimste mensen op het gebied van cyberbeveiliging en leert welke cyberdreigingen er zijn en waarom moderne inbreuken zo moeilijk te stoppen zijn. Ze laat zich hacken door onze experts, onderzoekt hoe ze breaches ontdekt en erop reageert en hoe cybersecurity baat kan hebben bij kunstmatige intelligentie en machine learning. Bekijk hier de vorige afleveringen.
*2017 Cost of Data Breach Study, Ponemon Institute LLC (gesponsord door IBM Security)
Ben je F-Secure partner/reseller of ben je geïnteresseerd in ons portfolio en wil je reseller worden? Meld je dan aan voor de F-Secure Partner Life Security Academy op 1 juni in Eindhoven. Klik hier voor meer informatie.
Categorieën