Geavanceerde aanvallen vragen gedegen riskmanagement

Door · 20/05/2015

Ondanks de enorme ‘securitylappendeken’ waar de meeste bedrijven tegenwoordig onder schuilgaan, zijn de meeste aanvallen nog altijd succesvol. Een trieste constatering, waar volgens Koemar Dharamsingh van Websense en Rémon Verkerk van Motiv alleen iets aan te doen is door riskmanagement naar een hoger niveau te tillen. “Er is teveel aandacht voor de techniek onder de motorkap.”

[body]

Geavanceerde aanvallen zijn de norm geworden. Waar we voorheen te maken hadden met aanvallen die we aan de voordeur konden stoppen, hebben we nu te maken met complexe, geavanceerde aanvallen die zich over een langere periode voltrekken. Daar komt bij dat de hedendaagse hacker niet meer uit is op ‘verstoring’ of persoonlijke roem, maar op financieel gewin. DDoS-aanvallen, phishing e-mails en exploit kits zijn slechts de tools die hij (of zij) gebruikt om het slachtoffer financiële schade toe te brengen door er met waardevolle data vandoor te gaan.

 

Zeven stadia

Om meer inzicht te krijgen in ‘Advanced Persistent Threats’ hanteert Websense het ‘Kill chain’-model. Hierin worden geavanceerde aanvallen opgedeeld in (maximaal) zeven stadia, lopend van het opsporen van het slachtoffer tot aan het besmetten van het systeem van het slachtoffer en het daadwerkelijk stelen van de data (zie ook het kader).

Dat een aanval meerdere stadia doorloopt, bleek bijvoorbeeld uit de hack bij de in Nederland gevestigde simkaartenfabrikant Gemalto die in februari aan het licht kwam. Volgens documenten van klokkenluider Edward Snowden zouden de Britse en Amerikaanse veiligheidsdiensten GCHQ en NSA zeven miljoen encryptiesleutels buit hebben gemaakt. De activiteiten die nu in verband worden gebracht met deze hack vonden plaats in 2010 en 2011 en strekten zich uit over meerdere stadia. Zo werd in 2010 het Franse interne netwerk van Gemalto aangevallen en later dat jaar werden er e-mails naar medewerkers onderschept met malware. Tegelijkertijd werden verschillende pogingen gedaan om de pc’s van Gemalto-medewerkers te kraken.

 

Pakket aan beveiligingsmaatregelen

De geavanceerde aanvalstechnieken die worden ingezet door professionele cybercriminelen zijn niet te stoppen met een firewall bij de voordeur en een antiviruspakket op de desktop. Er is een pakket aan maatregelen nodig waarmee al in ‘Stadium 1’ van de aanval, als het slachtoffer op de korrel wordt genomen, kan worden ingegrepen. Maatregelen waardoor alarm wordt geslagen als een systeem is besmet en waarmee kan worden voorkomen dat een besmet systeem contact opneemt met het vijandige kamp. Naast defensieve maatregelen zijn er dus overal in het netwerk sensoren en triggers nodig om aanvallen en datalekken tijdig af te slaan.

Maar daar blijft het helaas niet bij; in moderne it-omgevingen moeten de beveiligingsmaatregelen op meerdere fronten worden ingezet. Voor de hacker vormt namelijk niet alleen de desktop die is verbonden met het bedrijfsnetwerk een toegangspunt tot de data, maar ook de mobiele devices die onderweg en op de werkvloer worden gebruikt. En als gebruik wordt gemaakt van cloud-diensten, vormt ook de cloud een mogelijke route voor een aanval.

 

Aanvallers blijven succesvol

De meeste bedrijven die bewust omgaan met security hebben inmiddels wel geavanceerde beveiligingsmiddelen geïmplementeerd en sensoren en triggers die kunnen ingrijpen als de hacker de defensie toch heeft weten te passeren. Desondanks moeten we – op basis van de dagelijkse praktijk en berichtgeving in de media – constateren dat de meeste aanvallen nog altijd succesvol zijn. Een verklaring hiervoor is dat de noodzaak om op meerdere lagen beveiligingsmaatregelen te nemen bij veel bedrijven heeft geleid tot een wildgroei aan stand-alone beveiligingsoplossingen.

Doordat deze puntoplossingen niet met elkaar communiceren, is het ook lastig om vast te stellen of meerdere incidenten met elkaar verband houden en zijn te herleiden tot één aanval. Door het ontbreken van een gezamenlijk dashboard is het voor de beheerder eveneens ondoenlijk om het overzicht te behouden en te ontdekken of er in de lijsten met logdata afwijkingen voorkomen die duiden op een aanval.

Door de complexiteit van security – en het ontbreken van het overzicht – zien we ook steeds vaker dat de security policy’s niet meer goed op elkaar aansluiten. Als de geldende policy’s functioneel plat worden geslagen, blijkt dikwijls dat de securitymaatregelen niet zo adequaat zijn als men had verwacht. Gebruikmaken van de standaard policy’s die worden geleverd door de leverancier van de security-oplossing kan al een grote stap voorwaarts zijn.

 

Begin bij riskmanagement

Een nog belangrijkere verklaring voor het huidige succes van de aanvallers is misschien wel de focus die veel bedrijven leggen als het gaat om security. In onze visie is er teveel aandacht voor de techniek ‘onder de motorkap’, waarbij uit het oog wordt verloren waar het om draait: het beschermen van de data die voor de organisatie waardevol zijn. Een succesvolle bescherming tegen geavanceerde aanvallen begint dan ook bij een gedegen riskmanagement dat antwoord geeft op de vraag ‘wat zijn mijn gevoelige data, en waar zitten die belangrijke assets?’ Daarna kan in kaart worden gebracht hoe de onderneming ervoor staat als het gaat om het beschermen van de belangrijke assets en kunnen de zwakke plekken worden ingevuld met technische oplossingen. Daarbij is het aan te bevelen om te kijken naar geïntegreerde oplossingen waarmee kan worden vastgesteld of incidenten met elkaar verband houden en die zorgen voor een uniform beheer door de beheerder zo min mogelijk dashboards te presenteren. Het inzicht kan nog verder worden verbeterd door gebruik te maken van Security Information and Event Management (SIEM)-tooling.

 

Managed Security

Het traject van riskmanagement tot aan het acteren op basis van de data die worden verzameld met behulp van SIEM-tooling zal voor de meeste bedrijven best nog ingewikkeld zijn. Hier betaalt zich dan ook de meerwaarde uit van een Managed Security Provider die in staat is om de mogelijkheden die worden geboden door geavanceerde beveiligingsoplossingen efficiënt te benutten en de klant de bescherming biedt die hij verlangt.

 

Kill chain

In de visie van Websense is een geavanceerde aanval opgebouwd uit zeven ‘stages’:

  • Stadium 1: het vergaren van informatie over het slachtoffer (Recon).
  • Stadium 2: het verleiden (Lure) van het slachtoffer, bijvoorbeeld met een gemanipuleerde webpagina.
  • Stadium 3: het ‘redirecten’ van slachtoffers naar een site die exploit kits, exploit code of andere kwaadaardige content bevat.
  • Stadium 4: een ‘exploit kit’ scant het systeem van een gebruiker.
  • Stadium 5: met behulp van een ‘dropper file’ wordt de controle over het besmette systeem overgenomen.
  • Stadium 6: het besmette systeem neemt contact op met een Command & Control-server voor het downloaden van additionele programma’s, tools en instructies.
  • Stadium 7: De data worden naar buiten gestuurd

 

Over de auteurs

Koemar Dharamsingh is Regional Sales Manager bij Websense Benelux en Rémon Verkerk Product Manager bij Motiv ICT Security.

Tags:

Gerelateerde berichten...

Volg ons:

Uitgelicht

Congresaanbod Heliview 2024

Heliview organiseert ook in 2024 weer verschillende congressen met als doel duurzame contacten tot stand te brengen en kennis te ...

Tim Verbrugge (L) en Mike Bergman (R)

Haal meer uit Teams

Sinds we in 2020 wereldwijd tot online communicatie werden gedwongen, zijn oplossingen als Teams uitgegroeid tot de nieuwe overlegstandaard. Toch ...

Van datastrategie naar succesvolle AI-toepassing: de ervaringen van Schiphol

 Wat is er nodig om de mogelijkheden van Artificial Intelligence (AI) daadwerkelijk in de praktijk te benutten? Maarten van den ...

RGF Staffing voert succesvolle ‘openhartoperatie’ uit op haar applicatielandschap

Een complex applicatielandschap met veel maatwerk vereenvoudigen en migreren naar standaardapplicaties. Het is de wens van veel bedrijven, maar bijna ...

april, 2024

» Volledige kalender
» Uw event aanmelden

Meer

» Meer columns

» Meer bedrijfsnieuws