Tweetrapsaanpak van hackers

Tweetrapsaanpak van hackers

DearBytesBlogTweetrapsaanpak van hackers

De recente hack van het Office of Personnel Management in de VS, waarbij de gegevens van miljoenen werknemers van de Federale overheid zijn buitgemaakt, is weer het zoveelste voorbeeld van de tweetrapsaanpak van hackers, die ik hieronder nader zal toelichten. Er gingen meteen stemmen op met de vraag hoe dit had kunnen gebeuren, en waarom die gegevens niet versleuteld waren. Het versleutelen van gegevens is een logische maatregel, die wij ook aanraden voor het veilig stellen van gevoelige informatie. Maar het werd al snel duidelijk dat data versleutelen bij deze hack niet zou hebben geholpen. De hackers hadden namelijk misbruik gemaakt van geldige gebruikersaccounts met toegangsrechten voor de gestolen gegevens.

Hoe werkt een hacker?

Leken denken vaak dat hackers zich toegang verschaffen tot systemen en data door beveiligingsmaatregelen te omzeilen. Dit is niet gek gedacht want zo ging dat vroeger inderdaad. Wanneer het thema in films voorkomt zie je het ook: een superhacker programmeert in 30 seconden een stuk malware en daarmee wordt waardevolle data ontvreemd, geld weggesluisd of alles platgelegd. Of allemaal tegelijk. In 3D met grote vuurballen.

tbv-two-step-hackers-blog

Klik op de afbeelding om in volledig scherm weer te geven.

De werkelijkheid is natuurlijk wat minder flitsend, maar belangrijker is dat er een belangrijke component ontbreekt: stap 2 van de aanval. Als de hacker eenmaal beschikt over één of meer gebruikersaccounts, het liefst beheeraccounts, met toegang tot systemen en data dan wordt de aanval ingezet. Op dat moment misbruikt de hacker jouw beveiligingsmaatregelen om zich onzichtbaar te maken. Hierdoor wordt detectie vele malen moeilijker en heeft de hacker langer de tijd om echt waardevolle data en systemen te vinden en daar toegang toe te krijgen. Het verkrijgen van toegang tot gebruikers- of beheeraccounts is voor hackers een uiterst effectieve methode gebleken om toegang tot systemen en data te krijgen én te houden.

Stap 1: phishing voorkomen

Stel je voor: jouw organisatie heeft een directiesecretaresse in dienst, met toegang tot alle vertrouwelijke e-mail, bestanden en klantgegevens waar de directie zelf ook toegang toe heeft. De secretaresse ontvangt een phishing e-mail die van IT-beheer afkomstig lijkt, vergelijkbaar met wat laatst geschetst is in de blog Still phishing door onze ethical hacker Rik van Duijn. Ze klikt op de link en vult daar haar domeinreferenties in. De hacker misbruikt deze gegevens en trekt rustig je mailserver, CRM en Sharepoint leeg. Alle drie de acties zijn voor de meeste beveiligingsmaatregelen onzichtbaar, omdat de secretaresse hier toegangsrechten voor heeft.

Bewustwording

Je kan dit soort situaties proberen te voorkomen door je werknemers bewust te maken van hun rol in informatiebeveiliging – wederom iets wat we aanraden. Wat als stap 1 van de hack plaatsvindt buiten je eigen IT-infrastructuur? Bijvoorbeeld omdat een dienstverlener gehackt is? Om weer terug te komen op de OPM-hack: ingehuurde partijen met toegang tot kritieke OPM-systemen bleken alles behalve betrouwbaar te zijn. Als de ontvreemde gebruikersaccounts afkomstig zijn van de dienstverlener, is de kans dat je stap 1 kan voorkomen nihil.

Vaak houden hackers stap 1 zo klein en onopvallend mogelijk om snel bij stap 2 te komen, bijvoorbeeld door een (spear-)phishing e-mail te sturen. De hackers hebben dan een geldig gebruikersaccount en zijn veel ‘klassieke’ beveiligingsmaatregelen (zoals antivirus en een firewall) al voorbij.

Stap 2: detectie hackpogingen

Hoe pakken we stap 2 van een hack dan aan? Door niet alleen op preventie in te zetten, maar ook op detectie. En dan niet alleen onrechtmatige handelingen detecteren, maar ook  rechtmatige handelingen die verdacht zijn.

Als Pietje toegang heeft tot bepaalde bestanden op een netwerkschijf, is het niet verdacht als hij tijdens werktijd een aantal van die bestanden naar zijn PC haalt. Als hij echter buiten kantooruren alle bestanden ineens naar zijn PC kopieert, is er wellicht meer aan de hand.

Hoe rechtmatige verdachte handelingen detecteren?

Het voorbeeld van Piet is eenvoudig. Er zijn er natuurlijk meer te bedenken, van eenvoudige tot heel complexe scenario’s. Er zijn verschillende technische oplossingen beschikbaar om dit soort detectie te doen, waaronder SIEM. Inrichting, beheer en analyse van SIEM blijft mensenwerk. Sommige organisaties hebben de benodigde bezetting en basiskennis om dit – na opleidingstrajecten en implementatie van de juiste beveiligingssystemen – grotendeels op eigen kracht te doen, of in een hybride-model samen met een partij zoals DearBytes.

Security Monitoring Service

Heeft u als organisatie niet de benodigde 24/7-bezetting en kennis in huis? Of focust u zich meer op uw core business? Dan kan DearBytes de juiste maatregelen en kennis aanbieden zoals Managed Services. Of sluit u voor minder dan 1 FTE aan op ons Security Operations Center met de Security Monitoring Service.