Hacktivisme is geen sprookje, en ieder bedrijf loopt gevaar

Cyberaanvallen, dat overkomt alleen grote bedrijven met een database vol gevoelige informatie waar de media van smullen. Mis. Hackers kruipen via usb of je netwerk maar wat graag jouw bedrijf binnen. Je tegen de aanvallen wapenen is moeilijk, maar niet onmogelijk.

Wat moet een hacker met de gegevens van jouw bedrijf? Als we het hebben over Advanced Persistent Threats (ofwel APT) hebben de cyberaanvallen meestal een zakelijk of politiek doel. APT-hackers zijn volledig gericht op het verwerven van data en trekken zich niet veel aan van bepaalde tactieken, technieken of procedures.

De data die ze zich eigen maken gebruiken ze om in de toekomst gerelateerde doelwitten binnen te kunnen dringen. Bij een storing passen ze zich aan en blijven jagen op de zwakste schakel in de beveiliging of die blinde vlek in de monitoring. Wanneer het ze lukt de beveiliging te omzeilen, bijvoorbeeld via USB of LAN, wordt de data buiten het netwerk geplaatst en online bekeken.

Spearphising

Een APT-hacker heeft dus vaak een politieke motivatie en wil gevoelige informatie achterhalen. Anders dan andere reguliere malware is dat het zijn slachtoffers nauwkeurig uitzoekt. De meeste APT’s komen daarom ook binnen via spearphising, een zeer gerichte phishing e-mail gericht op één persoon binnen een organisatie. De betreffende medewerker is voor hackers vaak gemakkelijk te vinden via Google of LinkedIn of zelfs via een partner. Doordat de malware specifiek voor één persoon (de zogenaamde patient zero) is ontwikkeld en daarin uniek is, is deze vorm van malware vaak onmogelijk te detecteren voor een antivirusprogramma: 0 procent kans.

Wanneer de APT de computer van die ene medewerker heeft geïnfecteerd, kan het zich vanuit deze pc langzaam gaan verspreiden over de rest van het netwerk. Ook als je een IT-beheerder hebt aangenomen om de boel te bewaken, ben je niet veilig: de binnengedrongen software veranderd namelijk voortdurend waardoor het ook voor de beheerder onzichtbaar blijft. Niet zo gek dus dat slechts veertig procent van de APT-aanvallen wordt ontdekt en vaak zitten deze virussen dan al jaren ongemerkt op het systeem.

Aanpak

Is er dan echt niets te beginnen tegen een APT-aanval? Laten we voorop stellen dat het heel moeilijk is om een aanval te voorkomen, maar er zijn zeker wel maatregelen die je kunt nemen om de kans dat je geïnfecteerd raakt te minimaliseren of de verdere verspreiding van een APT zo klein mogelijk te maken. Een antivirusprogramma binnen je systeem en netwerk is de minimale standaard. Om je effectief te kunnen weren tegen Advanced Percieved Threats heb je echter ook een gedegen aanpak nodig en een evaluatie van de huidige beveiligingsstrategie. De drie belangrijkste factoren zijn: Voorkomen (Prevent), Opsporen (Detect) en Effectief Reageren (Respond Effectively).

Voorkomen

Het is belangrijk om goed in kaart te brengen wat de belangrijkste data, informatie of kennis is binnen jouw bedrijf, kortom jouw kroonjuwelen. Als je dit weet, kun je gaan kijken naar wie er baat bij heeft om die te kapen. Het is namelijk belangrijk om te weten wie jou zou willen aanvallen om jezelf goed te kunnen verdedigen. Als je dat in kaart heb gebracht, moet je goed nagaan wie er binnen de organisatie toegang heeft tot deze informatie. Welke werknemers hebben directe toegang tot de informatie en via welke weg hebben ze toegang?

Heel belangrijk is ook het informeren van je werknemers. Het klinkt misschien ridicuul maar het is ontzettend belangrijk om je werknemers erop attent te maken dat ze niet zomaar een USB-stick in hun laptop moeten stoppen, of een link in een e-mail moeten aanklikken. Een virus zit binnen no-time op je computer. Zelfs via online advertenties kunnen APT’s of andere malware jouw netwerk betreden. Blijf op de hoogte van de laatste trends als je weet waar aanvallen vandaan kunnen komen. Blokkeer die IP-adressen en zorg dat de toegang van de aanvallers tot je netwerk geminimaliseerd wordt.

Opsporen

Zoals gezegd is het opsporen van APT’s een behoorlijk lastige klus. Door de vele mutaties die zij maken, kunnen ze zich razendsnel en onopvallend verspreiden over jouw netwerk. Bedrijven moeten daarom meer gaan kijken naar het gedrag van het virus dan naar het uiterlijk of de vorm ervan. Maar er bestaat ook nog zoiets als sleeper malware. Deze malware ontwaakt pas na een aantal weken of maanden na de infectie.

Het testen van de systemen en netwerken voor APT’s is daarom niet optioneel maar essentieel. Als je je organisatie zich serieus wilt weren tegen APT’s moet je regelmatig de beveiligingsprotocollen, processen en medewerkers testen met een gesimuleerde APT. De tests moeten de logistieke (systemen, netwerken, applicaties etc.), de fysieke (kantoren en faciliteiten) en werknemers (surfgedrag en phising-activiteiten) activiteiten omvatten. Regelmatig phishing- en penetration-tests uitvoeren op je netwerk zijn dan ook van groot belang.

Effectief Reageren

Er is geen 100 procent waterdichte oplossing om je te beschermen tegen APT’s. Het is daarom belangrijk dat je goed evalueert hoe je het meest effectief kunt reageren wanneer zo'n virus in je systeem zit. Snel en effectief opsporen maakt het grote verschil. Zorg voor een robuust en goed getest Computer Incident Response Plan waarin de rollen en verantwoordelijkheden duidelijk worden gedefinieerd.

Conclusie

Het herkennen en erkennen van de feiten in belangrijk. Weet wie je vijand kan zijn en hou die in gedachten bij het ontwikkelen van het beveiligingsplan. Essentieel is het betrekken van je medewerkers. Een goed ontwikkeld communicatieplan helpt ze in te zien wat de gevaren zijn en hoe ze deze kunnen identificeren. Het zal hen helpen pogingen van spearphishing te doorzien. Onderhoud van de IT-omgeving door gevoeligheidstesten en efficiënte patch management is een belangrijk middel om pogingen van APT’s om op het netwerk te komen te minimaliseren. Privileges bij medewerkers op hun computers verwijderen en hen alleen toegang verlenen tot de data en applicaties die voor hen van belang zijn, helpt om de verspreiding te minimaliseren.

Een APT-aanval via penetratie simuleren, het testen en oefenen met TTP’s die een APT-aanvaller zou gebruiken, zijn waardevolle trainingstechnieken voor het management en de IT-verantwoordelijken. Een goed bewustzijn van de situatie is van cruciaal belang wanneer je een effectieve beveiligingsstrategie wil implementeren. Zonder grondige kennis van de dreiging zullen defensieve strategieën en uitgaven ineffectief of zelfs inefficiënt zijn. In het geval van een APT moeten de veiligheidsmaatregelen ontwikkeld worden waarbij zeer nauw gekeken wordt naar de 'identiteit' van de mogelijke aanvallers, hun vermogen om zich aan te passen en de middelen die zij in werking kunnen stellen om jouw kroonjuwelen te bemachtigen.

Gastexpert
[block] [par] [bold]Luc Eeckelaert[/bold] is Regional Director Benelux and Nordics van [url link="http://www.sonicwall.com/"]Dell Sonicwall[/url]. [/par] [/block]
Hacktivisme is geen sprookje, en ieder bedrijf loopt gevaar
Cyberaanvallen, dat overkomt alleen grote bedrijven met een database vol gevoelige informatie? Mis.