• 5 februari 2020

Zo zijn securityteams aanvallers vroegtijdig te slim af

Nog voordat cybercriminelen een aanval daadwerkelijk uitvoeren, kunnen securityteams hun verdediging in stelling brengen en de juiste accenten hierin aanbrengen. Het X-Force IRIS Cyberattack Framework van IBM biedt daarbij houvast.

Het framework van IBM onderscheidt twee cruciale fasen waarbinnen securityteams het verschil kunnen maken tussen een afgeslagen aanval of een ernstig cyberincident:

Fase 1: het moment waarop de aanvallers hun slachtoffer uitkiezen.
Fase 2: het moment waarop de aanvallers de aanvalsinfrastructuur inrichten.

In deze ‘early stages’ van een cyberaanval kunnen securityteams meer inzicht krijgen in de plannen en doelen van aanvallers en zo de kans verkleinen op een cyberincident. De maatregelen die zij tijdens deze fasen kunnen nemen, zijn vaak goedkoop en nauwelijks verstorend voor de dagelijkse operatie.

Aanpak per fase

Hoe gaat dat per fase in zijn werk?

Fase 1: opstellen van een dreigingsprofiel

In de eerste fase van het framework bepaalt de aanvaller het doel en de missiedoelstellingen. Dat is het moment waarop securityteams eerste stappen kunnen nemen om die gekozen doelen te beschermen. Denk aan een inventarisatie van de ‘wat en waar’ van de meest waardevolle gegevens. Het is ook het moment waarop ze kunnen onderzoeken of bedreigende actoren (mogelijk) geïnteresseerd zijn in de organisatie en haar activa, intellectuele eigendom, klanten of data.

Uit al die informatie kunnen ze een dreigingsprofiel destilleren. Belangrijk in dat profiel is een uitgediepte kenschets van de grootste dreigingsfactoren. Dat is veel effectiever dan een generieke opsomming van alle gevaarlijke elementen uit het dreigingslandschap. Gerichte dreigingsprofielen geven securityteams bruikbare informatie voor een effectieve verdedigingsstrategie tegen die gevaarlijke actoren.

Voor het opstellen van een dreigingsprofiel moeten securityteams antwoord geven op enkele cruciale vragen:

  • Welke dreigende actoren hebben in het verleden de organisatie als doelwit gehad?
    Het securityteam moet nagaan of de organisatie in het verleden al eens doelwit was van een cyberaanval. Het moet dan wel gaan om een gerichte aanval, zoals een spearphisingcampagne gericht op het hoger management. Cyberincidenten die op toeval berusten en cyberaanvallers die met hagel hebben geschoten, bieden weinig tot geen aanknopingspunten om de belangrijkste dreigingen te onderscheiden.
  • Wat voor type aanvaller zou op dit moment zijn pijlen hebben gericht op de organisatie?
    Het antwoord op de vorige vraag kan interessante inzichten opleveren op de huidige dreigingsactoren. Bevindt de organisatie zich momenteel in een vergelijkbare contextuele situatie, met dezelfde stakeholders en dezelfde ‘vijanden’? Dan komen de huidige mogelijke aanvallers waarschijnlijk uit dezelfde hoek. Is het speelveld veranderd, dan kunnen dreigingen ook uit een andere hoek komen.
  • Waar bevinden deze dreigende actoren zich?
    Inzichten in de motieven, missie en tactiek van dreigingsactoren zijn waardevol. Contextuele informatie is hiervoor vaak een rijke bron. Denk aan waar de aanvallers zich bevinden en uit welke hoek deze komen. Deze gegevens kunnen analisten helpen bij het bepalen van de aanvalsvectoren die extra aandacht verdienen.
  • Wat zijn de doelen van de aanvallers?
    De motieven van potentiële aanvallers kunnen sterk uiteenlopen. Zo kunnen financiële organisaties beschikken over waardevolle gegevens die hackers voor veel geld kunnen verkopen op het dark web. Aanvallers kunnen ook vanuit politieke motieven uit zijn op het vernietigen van data of zelfs infrastructuur en het toebrengen van zoveel mogelijk imagoschade. Met die doelen scherp in het vizier, is het eenvoudiger accenten te leggen in de verdediging.

Fase 2: maatregelen tijdens de aanvalsopbouw

Tijdens deze fase richten aanvallers hun command-and-control (C&C)-servers in, bijvoorbeeld voor het hosten van niet van echt te onderscheiden domeinen en webpagina’s. Ook ontwikkelen ze bijvoorbeeld mailings voor een gerichte phishingcampagne.

Hoewel de aanvallers deze activiteiten doorgaans zo goed mogelijk verborgen houden, zijn er wel degelijk kansen om een op hen gerichte aanvalsinfrastructuur al tijdens de opbouwfase op te merken. Aanvallers kopen of verkrijgen op illegale wijze domeinen, servers, SSL-certificaten, webservice-accounts en andere netwerkbronnen voor het opzetten van hun campagne. Vervolgens gebruiken ze hun C&C-netwerk van servers en webbronnen voor de verspreiding en aansturing van hun malware.

Grofweg zijn tijdens deze fase drie maatregelen mogelijk:

  1. Proactief domeinen opkopen
    Aanvallers gebruiken vaak domeinen die net iets afwijken om zo gebruikers in de val te lokken. Securityteams kunnen dit voorkomen, bijvoorbeeld door deze domeinen van tevoren proactief op te kopen.
  2. Investeren in awareness
    Ook kan het verstandig zijn te investeren in awareness bij medewerkers. Het liefst natuurlijk voordat een incident plaatsvindt. Zo staat of valt het succes van een phishingaanval vaak bij de oplettendheid van het personeel.
  3. Cultuur creëren van vertrouwen
    Medewerkers moeten het gevoel krijgen dat ze mogelijke securityincidenten kunnen melden. Zonder dat ze hiervoor consequenties moeten aanvaarden, ook al hebben ze niet geheel juist gehandeld. Een angstcultuur waarbij medewerkers incidenten wegmoffelen is niet bevorderlijk voor het voorkomen van cyberincidenten. Het is beter om te zorgen

Realtime inzicht

IBM X-Force IRIS biedt inzicht in de plannen en doelen van aanvallers, nog voordat ze daadwerkelijk toeslaan. Zo laat IBM X-Force IRIS met Premier Threat Intelligence realtime zien welke campagnes cybercriminelen opzetten.

Wilt u meer weten over de IBM X-Force Incident Response and Intelligence Services (IRIS)? Neem dan contact met ons op.

  • Security Management Solutions