Bij cyberaanvallen speelt ‘snelheid’ een steeds grotere rol. Ook zijn cybercriminelen slimmer en meer georganiseerd dan ooit. Kwetsbaarheden in software staan bovenaan de lijst van methoden waarmee aanvallers binnendringen.
Dit wordt onthuld in het Incident Response Rapport van 2024, samengesteld door de onderzoekseenheid van Palo Alto Networks, Unit 42. Dit rapport geeft inzicht in de nieuwste methoden die cybercriminelen toepassen en biedt organisaties handvatten om hun digitale omgeving beter te beschermen. Uit het rapport blijkt dat de methoden in 2023 niet alleen geraffineerder en gestructureerder waren, maar ook efficiënter en minder gericht op het ontvreemden van bepaalde types data.
2023: De kwetsbaarheden
Wat maakte het hackers gemakkelijker om succesvol te zijn? Er waren drie beveiligingszwaktes die niet direct de oorzaak van incidenten waren, maar het leven van aanvallers wel vergemakkelijkten.
- Kwetsbaarheden in sytemen: Onopgeloste kwetsbaarheden in systemen maakte het in 2023 voor cybercriminelen makkelijk om toegang te verschaffen.
- Inconsistente dekking: Gedeeltelijke of onvolledige implementatie van beveiligingscontroles (vooral tools voor endpoint detectie en respons) gaven aanvallers de mogelijkheid om te opereren vanuit delen van het netwerk die niet verdedigd waren.
- Identiteits- en toegangsbeheer: Steeds meer aanvallers stelen de identiteit van geautoriseerd personeel om toegang te krijgen tot en zich te verplaatsen binnen netwerken.
Losgeld betalen?
Over het algemeen is het beter om geen losgeld te betalen. Betalen verrijkt criminelen, moedigt kwaadwillenden verder aan om organisaties aan te vallen en ontneemt slachtoffers hun geld en andere middelen. Er zijn echter omstandigheden waarin organisaties weinig andere keuze hebben dan te betalen. In die gevallen is het verstandig om samen te werken met incidentresponspecialisten om de eisen te onderhandelen, indien nodig. Deze experts kunnen ook helpen om fouten te voorkomen en advies te geven over technische en andere mogelijke uitdagingen.
Houden hackers zich aan hun beloftes?
Over het algemeen wel, maar het is geen garantie. Het inschakelen van hulp om met de aanvaller in gesprek te gaan, ook als er geen intentie is om te betalen, kan om verschillende redenen nuttig zijn. Ten eerste kan onderhandelen tijd opleveren om je te richten op herstelwerkzaamheden. Ten tweede biedt het extra tijd om te bepalen of er gevoelige informatie is gestolen. Ten derde kun je tijdens de communicatie soms cruciale informatie verzamelen die nuttig kan zijn voor onderzoeks- en dreigingsinformatiedoeleinden.
Wat viel op in 2023?
Er zijn een paar lessen te leren als er teruggekeken wordt op het jaar 2023. Een paar dingen vallen op:
Het uitbuiten van beveiligingslekken blijft actueel
Exploits van webapplicaties en software zijn in 2023 sterk teruggekomen. Dit benadrukt het belang van up-to-date houden van software en het verminderen van de blootstellingsoppervlakte als kritieke en uitdagende taken, vooral binnen grote organisaties.
Menselijke factor blijft een probleem
Elk systeem is zo succesvol als de zwakste schakel: de mens. Social engineering blijft een probleem, ook al is het ingehaald door softwarekwetsbaarheden. Mensen zijn van nature geneigd elkaar te helpen, wat sociale engineering vaak succesvol maakt. Het vraagt om technologische hulpmiddelen, maar ook om processen, educatie en kritisch denken om weerstand te bieden tegen dergelijke aanvallen.
Meerlaagse verdediging is noodzaak
Geen enkele verdediging is op zichzelf succesvol; bijna elke beveiligingsmaatregel kan worden gekraakt door een bekwame hacker. Volwassen organisaties doen er daarom goed aan om te beschermen met meerdere lagen, wetende dat aanvallers sommige controles zullen identificeren en ontwijken, maar ook fouten zullen maken.
Belang van Snel Reageren
- Hackers zijn sneller dan ooit tevoren. Het is voor organisaties van essentieel belang om binnen uren te reageren om cyberaanvallen te stoppen.
- Na een phishing-e-mail kunnen aanvallers binnen 30 minuten het systeem binnendringen en beginnen ze binnen 45 minuten met het verkennen van het netwerk.
- Het escaleren van rechten en het opzetten van command-and-control vindt plaats binnen 90 minuten, wat aantoont hoe snel aanvallers hun grip op een systeem kunnen versterken.
- Binnen 8 uur kan data-exfiltratie al plaatsvinden, wat betekent dat organisaties weinig tijd hebben om dit te detecteren en te voorkomen.
- In minder dan 14 uur kunnen aanvallers complete ransomware-aanvallen uitvoeren, wat een enorme druk legt op de reactiesnelheid van beveiligingsteams.
- Het is cruciaal dat incidentrespons- en juridische teams snel mobiliseren, aangezien exfiltratie vaak al aan de gang is voordat een reactieplan volledig is opgesteld of uitgevoerd.
De dynamiek van cyberaanvallen ontwikkelt zich in een alarmerend tempo. Aanvallers benutten de snelheid van de technologie om razendsnel kwetsbare doelwitten te vinden en te exploiteren. In het rapport van Unit 42 uit 2023 wordt onthuld dat deze snelheid van aanvallen een nieuwe norm heeft gezet: veelal binnen een dag na het compromitteren van systemen wordt data al geëxtraheerd. Deze ontwikkeling vraagt van organisaties dat zij binnen enkele uren moeten reageren om deze aanvallen het hoofd te bieden.
De casestudie van de Black Basta Ransomware onthult dat aanvallers in minder dan 14 uur tijd toegang kunnen verkrijgen tot organisaties, terabytes aan gegevens kunnen ontvreemden en ransomware kunnen verspreiden over duizenden systemen. Dit benadrukt de noodzaak voor bedrijven om hun incidentresponsstrategieën aan te scherpen en de reactietijd te verkorten.
Het is duidelijk dat data-exfiltratie vaak al plaatsvindt terwijl reactieteams nog bezig zijn met het formeren van een plan van aanpak. Als elke seconde telt, moeten bedrijven voorbereid zijn op snelle besluitvorming en actie. Met een alerte houding en geïnformeerde voorbereiding kunnen organisaties niet alleen aanvallen weerstaan, maar ook hun veerkracht in het cyberdomein versterken.
