Menu
Interview

Aanvalstechnieken zijn zo geavanceerd als nodig is

Interview met Global Threat Intelligence Leader Kevin Albano

Je verwacht het misschien niet, maar cybercriminelen gebruiken het liefst eenvoudige aanvalstechnieken zoals phishing om bij organisaties binnen te dringen. Hiermee maken ze enorme bedragen buit en richten ze wereldwijd grote schade aan. Kevin Albano geeft als Global Threat Intelligence Leader van IBM X-Force voorbeelden van verfijnde aanvalsmethoden en vertelt hoe je je er als organisatie tegen wapent.

Cybercriminelen kiezen steeds vaker specifieke functionarissen uit als doelwit. Via spear phishing lokken ze bijvoorbeeld iemand van de crediteurenafdeling naar een nepwebsite en verleiden ze hem of haar om informatie prijs te geven.

"Moedig medewerkers van alle afdelingen daarom aan om er telkens goed bij stil te staan welke informatie ze delen en met wie ze communiceren," adviseert Albano tijdens zijn presentatie op de IBM Security Summit in Utrecht. "Want zijn iemands credentials eenmaal achterhaald, dan heeft de aanvaller een e-mailaccount dat hem rechtstreeks toegang geeft tot de communicatiestructuur van de organisatie."

Infiltreren in de organisatie

Vervolgens worden er door de criminelen valse berichten het bedrijf ingestuurd, waarbij het reguliere bedrijfsproces zo goed mogelijk wordt nagebootst. Albano: "De gehackte medewerker merkt hier verder niets van. Want dankzij spoofing en speciale domeinen, e-mailfilters en e-mailregels worden alle reacties bij hem of haar weggehouden." Vervolgens worden onder de radar enorme bedragen via nepbedrijven weggesluisd.

Als een aanvaller bij spear phishing acht stappen succesvol moet doorlopen, betekent dit dat je acht kansen hebt om hem tegen te houden

Het MITRE ATT&CK Enterprise Attack Framework biedt volgens Albano houvast om zo'n aanval vroegtijdig te signaleren en te stoppen. "Zodra je een eerste indicatie van spear phishing krijgt, vertelt dit framework wat een aanvaller waarschijnlijk als volgende stap zal gaan doen." Op die manier weet je waarnaar je op zoek moet gaan. "Als een aanvaller bij spear phishing acht stappen succesvol moet doorlopen, betekent dit dat je acht kansen hebt om hem tegen te houden."

Een stap voorblijven

Zo worden alleen bij de eerste drie stappen van spear phishing gebruikersaccounts misbruikt. "Je kunt dus kijken of er mogelijk vreemd netwerkverkeer rondom die accounts plaatsvindt. Denk aan locaties waarvan het onaannemelijk is dat jouw medewerkers zich daar bevinden."

Met het framework krijg je niet alleen inzicht in wat aanvallers per stap doen, je kunt het ook gebruiken om te onderzoeken of je de juiste data, technologieën en vaardigheden in huis hebt om deze aanvalsinformatie op te sporen. "Hiermee ontdek je de gaten in de infrastructuur waarmee je op bedreigingen jaagt."

Lees ook het IBM X-Force Report over de belangrijkste incidenten van 2017

Responsibility timeline

Om Threat Intelligence efficiënt toe te passen, moet je vier rollen oftewel personas in je security team onderscheiden, vervolgt Albano. Dat zijn de decision maker, de watchers, de doers en de experts. "Deze rollen worden in veel organisaties door een persoon of een klein team vertegenwoordigd. Daarbij bestaat het gevaar dat één of meerdere rollen onvoldoende aandacht krijgen. Terwijl je ze allemaal nodig hebt om een aanval succesvol te identificeren en op tijd tegen te houden."

In de zogenaamde Responsibility Timeline is precies uitgezet wat elke rol tijdens de diverse fasen van een aanval te doen staat." Albano moedigt de aanwezigen dan ook aan om goed naar de eigen rol en die van de andere teamleden te kijken. Waar besteed je de meeste tijd aan?

Decision maker, watcher, doer en expert

Threat Intelligence begint met de decision makers. Vanuit deze rol worden onder andere de intelligence requirements opgezet. Albano: "Waar ga je precies naar op zoek, wat is er nodig in het netwerk om het te kunnen opsporen en welke aanvullende verrijkingstools en communicatietools gebruik je hierbij." De watchers identificeren de belangrijke informatie over relevante bedreigingen die ze bijvoorbeeld in externe bronnen vinden. Daarmee kunnen de anderen dan aan de slag.

Zodra het nieuws naar buiten komt, ben je de grip volledig kwijt en ontstaat er een enorme externe druk

"De doers zijn vervolgens degenen die de beveiliging van de omgeving verbeteren, de apparatuur updaten, of een host inspecteren." Zij zijn het die echt iets met de data doen. "De experts hebben de tijd om de bedreigingen uitgebreid te onderzoeken en te begrijpen wat er in een omgeving gebeurt als er zich een aanval voordoet."

De barrières tussen deze personas wil je bij Threat Intelligence en Threat Hunting zoveel mogelijk wegnemen. "Zodat je een gebeurtenis in een zo vroeg mogelijk stadium kunt detecteren en oplossen. Je wilt het niet zover laten komen dat het een peak event wordt. Want zodra het nieuws naar buiten komt, ben je de grip volledig kwijt en ontstaat er een enorme externe druk."

Recruitment door criminelen

Een use case van een verfijndere aanvals-methode die Albano benoemt is een cyberaanval op het wervingsproces van een organisatie. "Criminele organisaties zijn erg geïnteresseerd in opkomende technologieën en in mensen met vaardigheden op die gebieden," waarschuwt Albano. "Via spear phishing is ditmaal HRM doelwit, omdat ze een interessante vacature hebben uitgezet." Waarna de criminelen op dezelfde manier als daarnet de communicatie met sollicitanten volledig overnemen.

"Zo lukt het ze niet alleen om veel extra informatie te achterhalen over de technologieën die een bedrijf gebruikt, ze kunnen meteen ook proberen om die nieuwe mensen voor zelfzelf te rekruteren. Zodat ze een insider hebben bij een doelwit dat ze op het oog hebben."

Vertrouwen is onze kwetsbaarheid

We spreken na afloop van zijn presentatie verder met Kevin Albano over de technieken die criminelen het liefst gebruiken. Hij vertelt dat aanvalstechnieken slechts zo geavanceerd zijn als nodig is om succesvol te zijn. "Ze richten zich hierbij vooral op alles waarin wij vertrouwen tijdens onze dagelijkse werkzaamheden." Je gaat er bijvoorbeeld blindelings vanuit dat het wervingsproces en de communicatiemiddelen veilig zijn.

Criminelen richten zich op alles waarop wij vertrouwen tijdens onze dagelijkse werkzaamheden

"Maar hoe weten sollicitanten dat ze echt met jou te maken hebben? Je hebt elkaar nog nooit gesproken of gezien. Aanvallers richten zich nu vooral op alles waaraan wij gewend zijn en na verloop van tijd volledig op zijn gaan vertrouwen."

Indirecte aanval

Dus eigenlijk moet je altijd alert zijn. Albano: "Zo worden bedrijven steeds vaker niet rechtstreeks aangevallen, maar via de partijen waarvan diensten of producten afgenomen worden. Criminelen weten namelijk dat je als bedrijf enorm veel moeite doet om hun aanvallen te detecteren en af te slaan, maar dat je bij vertrouwde partijen een stuk minder op je hoede bent."

Bedrijven die code signing certificaten en SSL certificaten maken zijn bijvoorbeeld regelmatig doelwit van een cyberaanval. "Juist vanwege de bezorgdheid over privacy gebruiken medewerkers steeds vaker VPN-tunnels en SSL-verbindingen. We hebben geleerd dat het een veilige manier van communiceren is." Dat maakt de bedrijven die deze diensten mogelijk maken tot gewild doelwit. "Zodra ze daar binnen zijn, biedt het criminelen enorme schaalvoordelen. Via een kleine omweg kunnen ze ineens een enorm aantal bedrijven bereiken. Bovendien levert de verkoop van bedrijfstoegang op het darknet flink wat geld op."

Niet elke bedreiging is relevant

Er bestaan gigantisch veel bedreigingen en er is enorm veel threat intelligence beschikbaar. Albano plaatst hier wel de kanttekening bij dat niet alles even relevant is voor elke bedrijfstak. "Je hebt bedreigingen die zich specifiek op de financiële wereld richten of op een bepaalde industriële tak."

Beveiligingsanalisten zijn schaars en je wilt voorkomen dat je alle kennis kwijtraakt zodra een ervaren specialist uit dienst gaat

Heeft het zin om een bedreiging te onderzoeken die alleen andere bedrijfstakken aanvalt? "Misschien wel, maar het mag niet je eerste prioriteit zijn. Om te helpen met prioriteren hebben wij een draaiboek samengesteld waarmee bedrijven snel kunnen identificeren met welke bedreigingen ze vooral te maken hebben. In de vervolgstap stellen wij een draaiboek samen hoe je meer over die specifieke bedreigingen te weten komt, wat je tijdens elk stadium van de threat response moet doen en hoe je dit allemaal orchestreert." Op die manier kun je je tijd effectiever gebruiken en als organisatie proactief op bedreigingen reageren.

Kennisverdracht

Tot slot benadrukt Albano het belang van het vastleggen van de kennis die analisten betrokken bij Threat Intelligence en Threat Hunting opdoen. "Beveiligingsanalisten zijn schaars en je wilt voorkomen dat je alle kennis kwijtraakt zodra een ervaren specialist uit dienst gaat. Daarom heb je een centraal CMS nodig, zodat analisten alles wat ze leren en te weten komen aan een database kunnen toevoegen."

Daarmee dwing je ook analytische integriteit af. "Want elke analist moet nu zijn assessment bewijzen. Waar heb je de informatie gevonden, waar komt eventuele verrijkingsdata vandaan, wat zijn jouw conclusies en waarop zijn deze gebaseerd. Echt alles moet traceerbaar zijn. Andere analisten kunnen deze bedreigingsmodellen weer gebruiken om te begrijpen wat er in de IT-omgeving gebeurt. Zo draag je op een efficiënte wijze kennis over binnen je team."

Lees ook deze whitepaper over hoe je van threat monitoring tot enterprise-level threat management komt met automation en orchestration

10 / 12