Inloggegevens zijn verreweg de beste hack

Exabeam biedt oplossingen voor security intelligence en beheer om organisaties te helpen hun meest waardevolle informatie te beschermen. Het Exabeam Security Intelligence Platform combineert op unieke wijze onbeperkte gegevensverzameling, machine learning voor geavanceerde analyses en geautomatiseerde incident respons in een geïntegreerde set van producten.

Het uit het oog verliezen van de grootste oorzaak van beveiligingslekken is niet verrassend wanneer er in het dagelijkse nieuws vaak meer aandacht wordt besteed aan door de staat gesponsorde hacking en cyberespionage. In vergelijking lijken aanvallen op bedrijven via gecompromitteerde credentials – verreweg de gemakkelijkste route voor hackers – waarschijnlijk alledaags. Maar het is de meest populaire methode, zoals benadrukt in het Threat Hunting Report 2022 van Crowdstrike, waarin wordt opgemerkt dat malware-vrije activiteit goed is voor maar liefst 71% van alle aanvallen.

Waarom credentials gemakkelijke doelwitten zijn

Kwaadwillenden weten dat traditionele cyberverdedigingen gestolen credentials niet kunnen detecteren, en het verkrijgen ervan geeft onbetwiste toegang tot het netwerk van een organisatie zonder enige waarschuwing op te wekken. Helaas zijn criminelen bedreven in het gebruiken van een reeks oneerlijke technieken om ze te stelen. Favoriete tactieken zijn onder andere phishing-pogingen op sociale media, e-mails en sms-berichten, of een gebruiker bombarderen met valse pushmeldingen om hun inlogwachtwoord op te geven of MFA te omzeilen. Nog een prominente slachtoffer was The Guardian, dat zelf de krantenkoppen haalde toen het in januari werd getroffen door een ransomware-aanval en phishing als de waarschijnlijke oorzaak noemde.

Na het vastleggen van geldige credentials kunnen aanvallers vervolgens het hoofddoel nastreven, namelijk het verhogen van privileges om toegang te krijgen tot waardevolle of gevoelige informatie, en mogelijk ransomware te installeren. Het probleem is dat de indringer er eenmaal binnen uitziet als een legitieme gebruiker en onopgemerkt kan rondzwerven.

Het ontdekken en stoppen van deze ogenschijnlijk onzichtbare op credential gebaseerde aanvallen voordat er ernstige schade wordt aangericht, vereist een andere mindset dan het geloof dat aanvallen altijd kunnen worden voorkomen. Organisaties moeten in plaats daarvan vijf belangrijke realiteitschecks in overweging nemen.

Vijf realiteitschecks

De eerste is accepteren dat gehackt worden op een gegeven moment onvermijdelijk is. Het is hoe er met dat incident wordt omgegaan dat een ramp kan voorkomen. Eén van de meest verontrustende resultaten van de LAPSUS$ -aanvallen in 2022 was dat veel bedrijven destijds niet op de hoogte waren dat ze waren getroffen. Het vermogen om snel een aanvaller op te sporen en onmiddellijk actie te ondernemen, is cruciaal.

De volgende stap is erkennen dat iedereen een potentieel doelwit kan zijn en dat iedereen vatbaar is voor het maken van een fout. Doorlopende training helpt personeel risicovol gedrag te vermijden, zoals klikken op links in phishing-e-mails of sociale media, ongeacht of deze afkomstig zijn van collega’s, klanten, leveranciers of vrienden en familie. Maar het zal het probleem niet volledig elimineren.

Een andere realiteitscheck is erkennen dat tegenstanders slim en volhardend zijn. Criminelen zullen voortdurend hun methoden verfijnen, zwakke plekken vinden en nieuwe benaderingen bedenken. Zo maken ze bijvoorbeeld naast het gebruik van sociale media-accounts zoals Facebook en LinkedIn om in persoonlijke e-mailaccounts te hacken, ook scans op internet naar berichten van ontevreden werknemers op sites zoals Glassdoor. Vervolgens benaderen ze deze werknemers rechtstreeks met het aanbod om te betalen voor credentials en de doorlopende autorisatie van prompts voor multi-factor authenticatie (MFA). Dus organisaties die denken dat ze beveiligd zijn omdat ze MFA implementeren, moeten opnieuw nadenken.

Houd er ook rekening mee dat ergens langs de lijn elke cyberaanval zal neerkomen op credentials. Na ze te hebben gebruikt om onopvallend toegang te krijgen, zal de aanvaller uitvogelen hoe hij misconfiguraties, slechte beveiligingspraktijken of niet-gepatchte software kan uitbuiten om beheerdersrechten of hogere privileges te verkrijgen, totdat hij vindt waar hij naar op zoek is.

Tot slot, erken dat traditionele SIEMs niet snel op credentials gebaseerde aanvallen kunnen identificeren en lokaliseren. Beveiligingsteams moeten zich verplaatsen van het doorzoeken van eindeloze valse positieven en overstappen op oplossingen die onmiddellijk onderscheid kunnen maken tussen indringers en legitieme gebruikers.

Een andere benadering omarmen

De strijd wordt geleid door oplossingen voor User and Entity Behaviour Analytics (UEBA), die oude SIEM-platforms vervangen door een intelligente proactieve aanpak. Door machinaal leren creëert UEBA een basiskennis van normaal gedrag voor elke gebruiker, apparaat en peer group. Het continu evoluerende profiel van wat normaal is, betekent dat eventueel afwijkend gedrag onmiddellijk wordt benadrukt. Bijvoorbeeld kenmerken van normaal gedrag kunnen locatie, tijd, apparaat, VPN-gebruik en regelmatige toegang tot specifieke toepassingen omvatten, en zodra een van deze factoren buiten toleranties valt, wordt het potentiële dreigingsniveau onmiddellijk verhoogd. Dit zorgt ervoor dat het gebruik van gecompromitteerde credentials en inbreuken vroegtijdig door beveiligingsteams kunnen worden opgevangen en automatisch worden afgesloten voordat ze ernstige schade kunnen aanrichten.

Voorbereid zijn op het onbekende

Traditioneel hebben beveiligingsprofessionals erop gerekend voorbereid te zijn op bekende bedreigingen, of dat nu is door het bijwerken van virushandtekeningbestanden, correlatieregels, firewalls, allowlists of het patchen van software. Ze hebben allemaal tot doel te voorkomen dat er in de eerste plaats iets slechts gebeurt. Met dreigingen die voortdurend groeien en veranderen, is het niet realistisch om te vertrouwen op zwaar belaste beveiligingsteams om altijd een stap voor te blijven op kwaadwillende acteurs. Door UEBA op te nemen in beveiligingsprogramma’s kunnen organisaties zich uitrusten voor het onbekende en vertrouwen op hun vermogen om aanvallen snel uit te schakelen, ongeacht hoe, wanneer en waar gebruikerscredentials zijn gecompromitteerd.

Meer weten over Exabeam SIEM? Neem dan contact op met Exclusive Networks op via info@exclusive-networks.nl of bel naar +31 (0)499 462121