Beheer

Security
beveiliging speuren

Cybercriminelen: zelfde trucs, maar dan beter

In cybercrime worden al jaren dezelfde methodes gebruikt omdat ze nog altijd prima werken.

© Shutterstock
26 juli 2016

In cybercrime worden al jaren dezelfde methodes gebruikt omdat ze nog altijd prima werken.

Phishing, webapp-aanvallen, misbruik van bevoegdheden; tot zover niets nieuws onder de zon. Maar het tempo waarmee cybercriminelen successen boeken gaat sneller omhoog dan het tempo waarmee hun daden worden opgespoord. Het advies is dan ook de aandacht te richten op de aanvalsmethoden die criminelen specifiek in je branche toepassen.

 

Cybercriminelen en cyberspionnen hebben weinig reden om naar nieuwe, geavanceerdere aanvalsmethoden te zoeken. De oudjes doen het namelijk nog prima, blijkt uit het Verizon Data Breach Investigations Report (DBIR 2016). Wel maken aanvallers in toenemende mate gebruik van het geautomatiseerd opsporen van bekende kwetsbaarheden in software. Mede daardoor is de top 10 aan kwetsbaarheden goed voor 85 procent van alle succesvolle exploits.

Dat de oudjes het nog goed doen, blijkt ook uit de constatering in het rapport dat mobiele apparatuur en het Internet of Things geen rol van betekenis spelen in de aanvallen. “We zien de afgelopen twee, drie jaar wel een toename van de bedreigingen via smartphones”, geeft Neal Maguire, een van de auteurs van het DBIR 2016-rapport, toe. “Daarbij gaat het vooral om malware die irritatie veroorzaakt, maar geen serieuze gevolgen heeft voor de beveiliging van netwerken en bedrijfssystemen. Blijkbaar legt de investering in de ontwikkeling van effectieve aanvallen via mobiele devices het af tegen andere vormen van aanvallen.”

Eenmaal binnen hebben de criminelen veelal de vrije hand. In twee derde van de gevallen waren de aanvallers in staat binnen enkele dagen gegevens uit hun doelwit te laten lekken. In 20 procent van de gevallen lukte dat zelfs binnen enkele minuten. In slechts een kwart van de gevallen werd in dezelfde tijd het lek ontdekt. Ook blijkt dat de aanvallers steeds meer ruimte krijgen voor hun daden doordat de tijd tussen het moment van binnendringen en de ontdekking groter wordt. Bovendien waren het doorgaans niet de slachtoffers zelf die melding maakten van de datalekken, maar wezen externe partijen – zoals IT-beveiligers of overheidsgerelateerde IT-beveiligingsinstanties – de organisaties op wat er was voorgevallen.

Phishing

Het zijn vooral daders van buitenaf die het grootste aantal incidenten veroorzaken. Phishing is voor hen veruit de belangrijkste methode om een aanval te starten. Ze zijn daarbij vooral op zoek naar inloggegevens.

"Elke organisatie zou een adequate, snelle meldprocedure moeten hebben."

De methode voor een succesvolle bestrijding van phishing is filtering en training. E-mailfiltering kan voorkomen dat phishingmail het kwetsbaarste doelwit bereikt: de mens. Goede bewustwordingscampagnes zijn ­nodig om personeel te trainen op het ontdekken van verdachte mail en niet in te gaan op onweerstaanbare verleidingen. Daarbij zou elke organisatie een adequate, snelle meldprocedure moeten hebben, bijvoorbeeld via een button op de taskbar van elke medewerker. De IT-afdeling zou verder het netwerk moeten segmenteren zodat een onverhoopte inbraak niet gelijk catastrofale gevolgen heeft. Belangrijke informatie moet altijd afgeschermd zijn door middel van sterke authenticatieroutines. Bovendien verhoogt iedere organisatie de kans te ontdekken dat er iets loos is door uitgaand verkeer te controleren op verdachte verbindingen en ­mogelijk transport van vertrouwelijke gegevens naar externe hosts.

Webapps

Aanvallen via webapps spelen vooral in de financiële dienstverlening, informatievoorziening en retail. Volgens Verizon zijn veel van de aanvallen op webapps en plug-ins op contentmanagementsystemen nog een gevolg van Dridex-malware. Hoewel het botnet daarachter is opgerold, wordt de informatie die met deze malware is buitgemaakt, nog altijd misbruikt. De beste manier om problemen te voorkomen is bij de bouw van webapps en plug-ins alle input te valideren. Check of de upload van een plaatje ook echt een plaatje is. Zorg dat gebruikers geen commando’s kunnen sturen naar de database via een naamveld en richt als beheerder van een CMS een alert patchproces in voor zowel het CMS als plug-ins van derden.

DDoS

De gamingsector, IT-dienstensector en financiële sector moeten zich volgens de auteurs wapenen tegen ­Distributed Denial-of-Service-aanvallen (DDoS). Niet alleen om te voorkomen zelf slachtoffer te worden van zo’n aanval, maar ook om te vermijden dat de eigen ­systemen worden ingezet in een aanval gericht op ­anderen. Zorg voor het patchen van de serversoftware en een up-to-date Intrusion Detection and Protection Systeem om verdachte verkeerspatronen in een vroeg stadium te ontdekken en af te stoppen. Sluit alle poorten die niet in gebruik zijn. Vergeet de audit trails niet en stel een responseplan op. Wat zijn de mogelijkheden voor defensieve acties wanneer een aanvaller met ­geweld de poorten bestookt? Het piekvolume, de complexiteit en de frequentie van de aanvallen neemt gestaag toe. Als een clouddienstverlener is het dus zaak adequate uitwijkmogelijkheden te hebben om de dienstverlening niet in gevaar te laten komen, zelfs ­ niet bij de zwaarste aanvallen.

Betaalsystemen

Het DBIR 2016-rapport noemt ook aanvallen op kassa- en betaalsystemen als belangrijk probleem. Dat speelt vooral bij de horeca en winkels. Het gebruik van statische enkelvoudige authenticatie komt steeds terug als zwakte van deze systemen. De auteurs van het rapport suggereren dat waar ­mogelijk een tweede authenticatiefactor zoals een hardware ­token of een mobiele app moet worden ingezet.

Beheerders moeten alle inlogactiviteiten van externen nauwkeurig volgen.

Bovendien helpt het automatisch analyseren van loginactiviteiten om afwijkende patronen te herkennen. Leveranciers zouden niet anders dan via sterke authenticatie de Point of Sale-systemen moeten kunnen benaderen. Beheerders moeten alle inlogactiviteiten van externen nauwkeurig volgen. En een belangrijke tip is om de Point of Sale-systemen fysiek te scheiden van het bedrijfsnetwerk zodat deze niet via het internet te benaderen zijn.

Spionage

Cyberspionage speelt vooral in de publieke dienstverlening, informatievoorziening en de maakindustrie. De auteurs merken op dat de cyberspionnen vaak eerst alle makkelijke wegen verkennen voordat ze aan geavanceerde aanvallen beginnen. Dus is het zaak de meest basale verdediging, zoals antivirussoftware en andere endpointbescherming, op orde te brengen en te houden, net als die van het netwerk en de e-mailserver.

Crimeware

De publieke sector, de gezondheidszorg en financiële sector vormen een belangrijk doelwit voor crimeware. Hierbij wordt vooral gebruik gemaakt van bekende kwetsbaarheden. Om crimeware te bestrijden is het dus eenvoudig weg zaak besturingssystemen, browsers en ­andere applicaties en de beveiligingshulpmiddelen aan een strak updateregime te onderwerpen. Daarnaast valt te overwegen het gebruik van scripts en macro’s in programma’s aan banden te leggen en om de e-mailserver standaard executables en andere risicovolle bijlages te ­laten verwijderen.

Verlies en diefstal

Voor de publieke sector en de gezondheidszorg is diefstal en vooral verlies van hardware als laptops en USB-drives, een veelvoorkomende oorzaak van het verlies van waardevolle of gevoelige data. Encryptie is hier het sleutelwoord om problemen te voorkomen. Volledige encryptie van drives zou standaard geïmplementeerd moeten zijn op bedrijfsapparatuur. Daarnaast is een bewustwordingscampagne een goede methode om werknemers erop te wijzen dat auto’s geen plek zijn om laptops in achter te ­laten. Probeer verder printen zo veel mogelijk te ontmoedigen om het rondslingeren van gevoelige informatie ­tegen te gaan.

Onbedoelde missers

Domme fouten van werknemers hebben het meeste effect in de publieke sector, de gezondheidszorg en financiële sector. Meestal gaat het om het onbedoeld afleveren van waardevolle informatie – fysiek of digitaal – op een verkeerde plek. Het bijhouden wanneer zoiets plaatsvindt is essentieel. Niet om de dader voor schut te kunnen zetten – liever niet – maar omdat de informatie kan helpen bij het identificeren van de meest voorkomende missers. Daarop kan een bewustwordingstraining worden ingericht met cases waarin de voorvallen hooguit ­geanonimiseerd aan de orde komen.

Misbruik

Misbruik door werknemers (eventueel door middel van hun ­privileges) speelt een belangrijke rol in de bedreigingen die de publieke sector, gezondheidszorg en financiële sector treffen. De remedie is het instellen van de juiste rechten zodat mensen alleen toegang hebben tot zaken die ze nodig hebben voor hun functie. Immers, je geeft bij valetparking je autosleutels af, maar het is niet nodig ook je creditcard aan de chauffeur mee te geven. En minstens zo belangrijk: volg wat de dagelijkse activiteiten zijn van werknemers, zeker waar het gaat om toegang tot en ­verwerking van gegevens die geld kunnen opleveren.

 

Dit artikel verscheen eerder in AutomatiseringGids op 26 mei 2016
Lees meer over
Lees meer over Beheer OP AG Intelligence
Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.