Wat is het meest waardevol voor een buitenstaander?

Het beveiligen van systemen draait om het gebruik van gezond verstand en het toepassen van enkele eenvoudige risicomanagementbeginselen. Maar laten we het eerst eens hebben over waarden en doelen.

Stel jezelf de vraag wat de meest waardevolle bedrijfsinformatie op je systemen is die een buitenstaander zou willen hebben. En welke andere informatie staat er op die systemen die waardevol is voor een aanvaller? Het is waarschijnlijk makkelijk om de belangrijkste bedrijfssystemen te identificeren, omdat deze van cruciaal belang zijn voor de dagelijkse activiteiten en je ze al nauwlettend in de gaten zou moeten houden. We gaan er automatisch vanuit dat hackers gelieerd zijn aan georganiseerde misdaad, een concurrent of een staatsentiteit. Daarom hebben we voorrang gegeven aan de bescherming van deze kritieke operationele systemen.

Maar hoe zit het met andere systemen die we vaak over het hoofd zien? De HR-systemen bevatten bijvoorbeeld kritieke persoonlijke gegevens van alle werknemers van een organisatie. Een willekeurige hacker die toegang krijgt tot het intranet is mogelijk niet in staat om kritieke systemen te penetreren, maar kan mogelijk nog steeds sofinummers, geboortedata en andere informatie verzamelen van een slecht beschermd HR-systeem. Houd hier rekening mee bij het identificeren en prioriteren van data in de organisatie.

Hoe zou een hacker toegang proberen te krijgen?

Zodra de potentiële doelwitten met waardevolle gegevens prioriteit hebben gekregen, moeten we kijken hoe een hacker toegang probeert te krijgen. Als we kijken naar het Data Breach Investigations Report (DBIR) uit 2018 van Verizon, zien we dat onze werknemers nog steeds de zwakste beveiligingsschakel zijn: “Phishing en pretexting vertegenwoordigen 98% van de sociale incidenten en 93% van de inbreuken. E-mail blijft de meest voorkomende aanvalsvector (96%).”

Het goede nieuws is volgens het DBIR dat meer mensen zich bewust zijn van het gevaar van het openen van bijlagen of het klikken op verdachte websites, en een groter aantal dan ooit valt niet ten prooi aan deze vorm van aanvallen. Het slechte nieuws is natuurlijk dat er slechts één werknemer hoeft te klikken om de deur te openen.

Dus, denkend als een hacker, zou je een zeer realistische website of e-mailbijlage willen maken die aantrekkelijk lijkt voor werknemers om te openen. Om dit tegen te gaan, moet je niet alleen doorgaan met de bewustwordingstraining voor medewerkers, maar er ook voor zorgen dat deze aanvalsmogelijkheden worden beperkt. Zorg ervoor dat webbrowsers en add-ons zoals Flash zijn bijgewerkt naar de nieuwste versie, zodat bekende beveiligingslekken zijn gedicht. En zorg voor een goede bescherming tegen spam en malware om de e-maildreiging het hoofd te bieden.

Maar we weten dat hackers evengoed malware op het intranet kunnen krijgen. Het kan via die nieuwsgierige medewerker binnenkomen of misschien via een directe netwerkaanval die een gat in de firewall heeft gevonden.

Wat doe je dan?

Als we wederom het Verizon 2018 DBIR erop naslaan, dan zien we dat de meest voorkomende bestandstypes van ‘first-stage’ malware, d.w.z. de malware die gebruikt wordt om een systeem in eerste instantie te compromitteren, zijn: JavaScript (.js), 37,2%; Visual Basic Script (.vbs), 20.8%; MS Office, 14,8%; en PDF, 3,3%. Malware in de tweede fase is meestal een volledig uitvoerbaar bestand van een bepaald type, maar kan van alles zijn, afhankelijk van de mogelijkheden van de oorspronkelijke malware. Het is misschien minder duidelijk wat je moet doen in deze fase.

Denkend als een hacker, kan mijn malware proberen een wachtwoordbestand te bemachtigen, de firewall te openen, te zoeken naar trefwoorden in bestanden, bestanden versleutelen voor losgeld, logbestanden verwijderen, enzovoort. Aangezien de beheerder belast is met het bestrijden van al deze aanvalsvectoren, moet je ook een ‘meervoudige’ aanpak volgen.

Zorg er allereerst voor, net als bij de browsers, dat applicaties en software-add-ons, zoals Java, up-to-date zijn. Een deel van deze malware is succesvol omdat er een bekende kwetsbaarheid wordt misbruikt. Handhaaf verder gebruikersrechten in de organisatie. De meeste malware-inbraken nemen het privilege-niveau aan van de gebruiker die ze binnen laat. De malware zal beperkt zijn in wat het kan doen als het niet met beheerdersrechten draait. En tot slot, overweeg beveiligingssoftware te draaien die kan detecteren en voorkomen dat onbekende of ongeautoriseerde applicaties worden uitgevoerd. Dit is vaak een grote stap voor de meeste bedrijven, maar de toevoeging van applicatiebeheer zal veel malware-aanvallen kunnen stoppen voordat ze ooit beginnen.

Maak gebruik van het perspectief van de hacker

Wanneer je denkt als een hacker, dan kun je een ander perspectief krijgen op je huidige beveiligingsimplementatie en -praktijken. Je zult waarschijnlijk veel meer zien dan de paar basisideeën die ik hier heb geschetst. Het kan je beveiligingsprogramma valideren of het kan je een andere richting opsturen. Wees niet bang om de status-quo uit te dagen met dit nieuwe perspectief en de ‘dat is de manier waarop we het altijd al hebben gedaan’-mentaliteit te bestrijden. Oh, en trouwens, vergeet niet dat verdediging in de diepte nog steeds een valide plek heeft, wat we denk ik wel hebben aangetoond in dit betoog.


Bron: https://cio.nl/security/107309-denk-als-een-hacker