Cyberaanvallers doen er alles aan om maar niet de aandacht te trekken. Ze gedragen zich zo onopvallend mogelijk, wissen hun sporen uit en gaan er als een dief in de nacht met de kroonjuwelen vandoor. Hoe krijg je dan toch zo snel mogelijk grip op een aanval?
Veel organisaties zijn te vergelijken met een watermeloen: hard aan de buitenkant, zacht aan de binnenkant. Met bijvoorbeeld firewalls maken ze het aanvallers zo lastig mogelijk om binnen te komen, maar eenmaal binnen krijgen ze vrij spel. En slagen ze erin om dagen, weken en soms zelfs maanden onopgemerkt binnen te blijven. Tijd genoeg om de buit veilig te stellen.
Onder de radar
Aanvallers zetten verschillende trucs in om niet op te vallen. Mark de Groot, ethical hacker en team lead van het KPN REDteam, vertelde er bijvoorbeeld over tijdens een eerdere editie van het security-evenement NLSecure[ID]. Zo proberen ze zich op de eerste plaats te gedragen als ‘gewone gebruikers’. Als je ’s nachts inlogt op systemen terwijl alle werknemers dat alleen overdag doen, valt dat immers meteen op. Een slimme aanvaller bootst het gedrag van de gebruikers na en logt op dezelfde tijd in.
Een andere truc is het gebruik van vertrouwde communicatieprotocollen om data weg te sluizen. Een voorbeeld hiervan is het ICMP-protocol dat gebruikt wordt om verbindingen te ‘pingen’. Het is mogelijk om telkens een blokje data met een ping mee te sturen en zo grote hoeveelheden data naar buiten te sluizen. Het ontvangende systeem kan al die dataframes weer samenvoegen. Maar ook een protocol als DNS is hiervoor te misbruiken.
Grip op een aanval
Tijdens zijn presentatie ‘De anatomie van een cyberaanval’ drukte De Groot de kijkers op het hart om toch zo snel mogelijk grip te krijgen op een aanval. Nog voordat aanvallers ‘data naar buiten trekken’. Maar hoe doe je dat, als cybercriminelen haast onzichtbaar te werk gaan? De Groot deelde een aantal tips:
1. Ken je vijand
Inzicht krijgen in wie je vijanden zijn, is van cruciaal belang. Je moet weten wie er geïnteresseerd zijn in de gegevens van je organisatie, en wat hun motieven zijn om aan te vallen. Zijn ze bijvoorbeeld uit op financieel gewin? Of heb je te maken met statelijke actoren die uit zijn op beïnvloeding of de verstoring van processen? Dit inzicht heb je nodig om je beter voor te bereiden op aanvallen en het verdedigingsplan te verbeteren.
2. Ken jezelf
Het is belangrijk om te weten welke systemen je hebt, wie de gebruikers zijn en welke systemen belangrijk zijn. Je moet weten wanneer ze geïnstalleerd zijn, waar ze staan, hoe ze zijn ingericht en welke verbindingen ze hebben. Vervolgens is het zaak om te bepalen wat de waarde is van de systemen en data. Wat zijn de ‘kroonjuwelen’? En welke maatregelen moet je treffen om die te beveiligen? Een business-continuity plan kan hierbij helpen.
3. Zorg voor monitoring
Honderd procent veilig bestaat niet. Dan is het wel belangrijk dat direct alle alarmbellen afgaan als aanvallers erin slagen om binnen te dringen. Ook moet je weten wanneer en hoe ze zijn binnengekomen, waar ze precies zitten in de organisatie en of ze data naar buiten proberen te sluizen. Voor dit inzicht is security monitoring essentieel.
4. Stel een incident-responseplan op
Er moet een plan zijn voor als het toch misgaat. Als de organisatie onder vuur ligt, moet duidelijk zijn wie wat doet. Zodat aanvallers zo snel mogelijk buiten de deur worden gezet en de schade beperkt blijft. Het is wel belangrijk om dit incident-response plan regelmatig te testen en te optimaliseren. Dit draagt bij aan de kwaliteit van het plan en aan het beveiligingsbewustzijn. Organisaties leren ervan.
5. Werk samen
Beveiliging is niet iets ‘van IT’, of ‘van security’. Het is belangrijk om alle medewerkers te betrekken bij het beveiligingsproces en hen bewust te maken van de gevaren van cyberaanvallen. En dat ze weten bij wie ze een incident kunnen melden. Beveiligen doe je samen, en samen heb je ook sneller grip op een aanval.
Wil je meer presentaties van NLSecure[ID] terugkijken of je alvast aanmelden voor de aankomende septembereditie van NLSecure[ID]? Dat kan via de NLSecure[ID]-website.
