Gemiddeld zijn aanvallers 140 dagen aanwezig in een netwerk voordat ze worden opgemerkt. In zestig procent van de gevallen is volgens Microsoft de inbraak te herleiden naar buitgemaakte credentials. De meeste aanvallen gaan in zes stappen, hoewel het belangrijk is in het achterhoofd te houden dat deze niet chronologisch worden uitgevoerd, maar gelijktijdig.

Aanvallen die over meerdere facetten worden uitgevoerd komen veel voor, dus al je een robuust reactieplan hebt, moet dat rekening houden met al deze stappen. Je dient vooral te vermijden om te vlug conclusies te trekken. Het gaat niet alleen om het implementeren van de nieuwste middelen en tools, bewustwording is essentieel: cybersecurity is maar zo sterk als de zwakste schakel en dat is vaak de eindgebruiker.

1. Onderzoeksfase

Iedere aanval begint met een verkenningsmissie waarin je tegenstander informatie over je verzamelt, maar deze fase loopt door gedurende de hele looptijd van de aanval. Hoe meer gegevens ze verzamelen over hoe je netwerk in elkaar steekt en wat de zwakke plekken daarom zijn, hoe groter de kans is dat ze met succes binnenkomen.

In veel gevallen gaat dat in eerste instantie om social engineering; zeg maar gerust oplichting waarbij informatie wordt ontfutseld van je werknemers. Bijvoorbeeld als iemand zich voordoet als een werknemer met informatie gekregen via een openbare bron als LinkedIn en de servicedesk belt om subtiel informatie te vergaren over welke software of hardware wordt gebruikt.

Een hoop van de gegevens die verder worden gebruikt, bijvoorbeeld wat voor servers en databases in bedrijf zijn en hoe ze gekoppeld zijn, vinden ze als ze eenmaal binnen zijn op het netwerk. Dus een deel van de onderzoeksfase wordt later nog uitgevoerd. Deze stap is dan ook een duidelijk voorbeeld van een aspect dat doorloopt gedurende de hele aanval.

2. Het vinden van beginpunten

Door het onderzoek weet de aanvaller welk OS, browser of plug-in wordt gebruikt, waar malware op maat voor beschikbaar is. Vervolgens is het een kwestie van het toepassen van een exploit om die malware binnen te krijgen. Een nog altijd populaire methode is spearphishing en ook hierbij komt het onderzoek van pas.

Bij spearphishing stuurt een aanvaller gerichte e-mails voor jouw organisatie, bijvoorbeeld een factuur van een dienst die het bedrijf daadwerkelijk gebruikt. Dat is niet het grove hagel van vroeger, met spelfouten en van banken waar de werknemers niet eens zaken mee doen. Volgens onderzoek van Verizon wordt nog altijd dertig procent van dit soort e-mails geopend, wat illustreert dat ze nog immer overtuigen.

Een hele reeks verschillende werknemers kan op de korrel worden genomen. Bijvoorbeeld met een ogenschijnlijk mooie deal voor iemand van sales om accountgegevens te bemachtigen, een dringende factuur voor financiën om financiële gegevens te pikken of een handige tooltip aan een IT'er om admin-credentials te bemachtigen.

Ook stijgend in populariteit zijn de wateringhole-aanvallen. Daarbij wordt gekeken welke website veel wordt gebruikt door een organisatie, bijvoorbeeld een portal van een veelgebruikte dienst of een forum (zo zagen we een paar jaar terug dat Apple-ontwikkelaars werden belaagd via een site waar Xcode werd uitgewisseld) om bezoekers van malware te voorzien.

Eenmaal binnengekomen maken aanvallers een ankerpunt in het netwerk, een manier om later opnieuw binnen te komen. Vaak zijn dat haakjes op meerdere plekken in het systeem voor het geval een apparaat als een bemachtigde router uit de roulatie wordt genomen.

3. Communicatie met C&C

Als malware eenmaal is geplaatst, moet een aanvaller ervoor zorgen dat hij of zij systemen kan overnemen en data kan exfiltreren. Die communicatie creëert een hoop ruis en is uit het perspectief van de aanvaller een risicovolle onderneming, omdat dit de fase is waar diverse tools die netwerkverkeer monitoren op gespitst zijn.

Aanvallers steken daarom veel moeite in het verbergen van zulk verkeer naar buiten toe. Een populaire methode is door een server aan te maken binnen het veroverde netwerk om gegevens naar andere machines en systemen te sturen. Dat minimaliseert de kans dat wordt opgemerkt dat een aanval in de perimeter-verdediging wordt opgemerkt.

4. Laterale beweging

Veel beveiligingssystemen richten zich nog altijd op een inmiddels achterhaald concept om aanvallers te weren door een stevige muur om het netwerk te zetten. Dat faalt uiteindelijk, omdat criminelen om die reden gebruikers die binnen die muur zitten te benaderen om toegang te krijgen. Die laat dan onwetend de hangbrug zakken. De slechteriken zitten in veel gevallen allang in het fort zelf en een stevige muur helpt daarom alleen tegen rondsnuffelende hackers en niet tegen een gerichte aanval.

Het is voor aanvallers vooral een kwestie van vermomd te blijven tussen de burgers in het fort. De laatste jaren zien we dat tools voor IT-beheer, zoals PowerShell, worden gebruikt om bijvoorbeeld toegang te krijgen tot andere servers binnen het systeem of om andere accounts aan te maken. Een third-party tool die niet door de organsisatie wordt gebruikt zou immers opvallen.

5. De aanval onderhouden

Een gerichte aanval is geen ramkraak waarbij aanvallers binnenkomen, graaien wat ze kunnen krijgen en wegrennen. Het zijn vaak infiltraties die zijn ontworpen om maanden of zelfs jaren toegang te blijven houden en onopgemerkt heel specifieke gegevens in stukjes te bemachtigen, bijvoorbeeld intellectueel eigendom.

Het is in het belang van een aanvaller om operationeel te blijven binnen en netwerk zolang er waardevolle data is om te exfiltreren. Dat betekent dat meer servers, databases en andere systeems onderzocht moeten worden, nieuwe beginpunten moeten worden geïdentificeerd en soms zelfs om bepaalde kwetsbaarheden zelf te patchen zodat concurrerende aanvallers niet binnenkomen en door hun lomp rondbanjeren in het netwerk verraden dat er al een aanvaller aanwezig is.

6. Data exfiltreren

Het einddoel is exfiltratie: het wegtrekken van de gegevens naar een punt buiten het netwerk. In veel gevallen is de hele aanval op deze stap ingericht, maar het is - zoals we al zagen bij punt drie - een risicovolle stap voor de crimineel, omdat dit het moment is dat de aanval opgemerkt kan worden, waardoor al dat voorwerk voor niets kan zijn verricht.

In sommige gevallen wordt data aan de lopende band in stukjes naar buiten gebracht, in sommige notoire gevallen zijn het vele gigabytes in één keer en in andere gevallen wordt data intern in het netwerk opgeslagen om later te exfiltreren. Zo zetten aanvallers soms een heel eigen database neer in het netwerk om in een eindstadium leeg te trekken. Anderen gaan voor een druppelsgewijze exfiltratie die dagen, weken of zelfs maanden in beslag kan nemen.

Ontwerpen op falen

Een muur om je netwerk is zeker zinvol, maar het is net zo belangrijk om rekening te houden met al die andere stappen om te voorkomen dat jouw organisatie straks in de krant staat omdat er maandenlang criminelen in het netwerk hebben kunnen snuffelen en er met allerlei gevoelige gegevens vandoor zijn gegaan.

Dat bereik je door te ontwerpen op het falen van de beveiligingsmuur om het netwerk te scheiden van internet. Intern verkeer en systemen moeten scherp in de gaten worden gehouden. Dat draait niet alleen om monitoring en analyse, maar ook om grondig pentesten van de eigen omgeving om te zien welke zwakke plekken er zijn en potentiële laterale bewegingen naar andere servers en databases in de kiem te smoren.

Door te begrijpen hoe aanvallers te werk gaan, kun je beter plannen om een stevige beveiliging op te zetten of een reactieplan op te stellen voor als een aanval wordt opgemerkt. Ga te werk alsof je geen IT'er bent, maar alsof je een vijandige hacker bent die zaken uitprobeert om te zien waar de gaten zijn.