Onderzoek Balabit: top 10 populairste hackmethoden

Balabit publiceert een Contextual Security Intelligence-rapport (CSI) met de tien populairste hackmethoden. Het onderzoek, gehouden onder 494 IT-securitybeveiligers, biedt organisaties inzicht in de methoden en kwetsbare plekken die hackers het vaakst gebruiken – of misbruiken – om in korte tijd gevoelige informatie te verkrijgen. De belangrijkste conclusie is dat aanvallers van buitenaf (‘outsiders’) zich steeds vaker voordoen als interne gebruiker (‘insider’) en daarbij – meestal per ongeluk – geholpen worden door werknemers.

Zoltán Györkő, CEO van Balabit: “Het grootste risico voor bedrijven is als outsiders toegang krijgen tot het interne netwerk; ze kunnen dan namelijk maandenlang onzichtbaar blijven. Balabit wil erachter komen wie er achter een zakelijk-gebruikersaccount zit om te bepalen of dat een rechtmatige gebruiker of een hacker is. Zo weten organisaties wie hun vijand is. In een IT-beveiligingsstrategie moet dit prioriteit hebben.”

Meer dan zeventig procent van IT-beveiligingsexperts vindt interne dreiging gevaarlijker

54 procent van de respondenten zegt dat organisaties nog steeds bang zijn voor hackers die via hun firewall inbreken in het IT-netwerk. Tegelijkertijd zegt veertig procent dat ze al duidelijk zien dat first-line verdedigingstools, zoals firewalls, gewoonweg niet effectief genoeg zijn om hackers weg te houden. Balabit vroeg IT-beveiligingsexperts of ze meer vrezen van insideraanvallen of van outsideraanvallen. Meer dan zeventig procent van de ondervraagden vindt insiders een grotere bedreiging.

Top 10 van populairste hackmethoden

Balabit onderzocht welke methoden aanvallers volgens IT-beveiligingsexperts het meest gebruiken om in korte tijd gevoelige data te verkrijgen.

1. Social engineering (bijvoorbeeld phishing)

De meeste aanvallers proberen een low-level-gebruikersaccount te krijgen en schalen vervolgens de privileges op. Het identificeren van een bestaande zakelijke gebruiker en het kraken van zijn wachtwoord is echter een langzaam proces en laat veel voetsporen achter. Hierdoor vallen verdachte handelingen sneller op. Hackers gebruiken social engineering-aanvallen daarom vooral als gebruikers ‘vrijwillig’ hun wachtwoord afstaan.

“Het recente datalek in Amerika waarbij meer dan tienduizend personeelsleden van Justitie en Binnenlandse Zaken en ruim twintigduizend FBI-medewerkers slachtoffer waren, laat zien dat social engineering-tactieken voor hackers veel makkelijker zijn dan het schrijven van zero-day-exploits”, zegt Györkő. “Antimalwareoplossingen en traditionele tools om de controle te behouden over gebruikerstoegang zijn onmisbaar, maar beschermen alleen gevoelige onderdelen van een bedrijf als hackers zich buiten het netwerk bevinden. Als ze eenmaal inbreken in het systeem, zelfs met low-level-toegang, schalen ze hun rechten heel eenvoudig op en krijgen toegang tot het bedrijfsnetwerk. Als dit gebeurt, is de vijand binnen. Een groot risico, omdat het lijkt alsof hij een van ons is.”

“Gehackte accounts, waarbij een legale gebruikersnaam en wachtwoord misbruikt worden, zijn alleen te detecteren op basis van veranderd gebruikersgedrag. Bijvoorbeeld tijd en locatie van inloggen, snelheid waarmee getypt wordt of functies die gebruikt worden. User Behaviour Analytics-tools geven echte werknemers een basisprofiel, net zo uniek als een vingerafdruk. Deze tools ontdekken eenvoudig abnormaal gedrag van gebruikersaccounts en waarschuwen het securityteam of blokkeren tot nader order activiteiten van de gebruiker”, voegt Györkő toe.

2. Gehackt account (bijvoorbeeld zwakke wachtwoorden)

Gehackte accounts, met name zwakke accounts, zijn gevaarlijk doordat gebruikers over het algemeen zwakke wachtwoorden gebruiken – soms zelfs hetzelfde wachtwoord voor zowel zakelijke als privéaccounts. Zodra een hacker een account en wachtwoord uit een slechter beveiligd systeem (bijvoorbeeld via een privéaccount op social media) achterhaalt, gebruikt hij het heel simpel om ook in het bedrijfsnetwerk in te loggen.

3. Aanvallen via het web (bijvoorbeeld SQL-injecties)

Beveiligingsproblemen van online applicaties, zoals SQL-injecties, zijn nog steeds een populaire hackmethode, met name doordat applicaties voor veel insider- en outsidergebruikers de nummer 1-interface zijn voor bedrijfsassets. Dat geeft hackers een enorm gebied om aan te vallen. Helaas is de kwaliteit van applicatiecodes vanuit beveiligingsoogpunt nog steeds twijfelachtig. Ook bestaan er veel geautomatiseerde scanners waarmee hackers heel eenvoudig kwetsbare applicaties opsporen.

De overige hackmethoden leveren hackers hetzelfde resultaat op, maar zijn mogelijk ingewikkeld of tijdrovend. Het schrijven van een exploit kost bijvoorbeeld tijd en je moet goed zijn in het schrijven van code. De overige populaire hackmethoden zijn de volgende.

4. Aanvallen aan de kant van de cliënt (bijvoorbeeld tegen documentreaders of webbrowsers).
5. Exploit tegen populaire serverupdates (bijvoorbeeld OpenSSL of Heartbleed).
6. Onbeheerde persoonlijke apparaten (bijvoorbeeld slecht BYOD-beleid).
7. Fysieke indringing.
8. Schaduw-IT (bijvoorbeeld persoonlijke clouddiensten gebruiken voor zakelijke doeleinden).
9. Beheer van derde-partijserviceproviders (bijvoorbeeld uitbestede infrastructuur).
10. Profiteren van het ophalen van data uit de cloud (bijvoorbeeld IaaS of PaaS).

Conclusie van Balabit’s CSI-rapport

Wat de bron van de aanval ook is, de lijst met de tien populairste hackmethoden laat duidelijk zien dat organisaties realtime moeten weten wat er in hun IT-netwerk speelt. Wie heeft er toegang? Met welke gebruikersnamen en wachtwoorden? Gaat het om een echte zakelijke gebruiker of om een aanvaller van buitenaf met een gehackt account? Om hier achter te komen, moet een bedrijf bestaande securitytools aanvullen, bijvoorbeeld met continue realtime monitoring en tools voor toegangscontrole en wachtwoordmanagementoplossingen. Het monitoren kan afwijkingen in gedrag van de gebruiker aantonen. Niet alleen om alarm te slaan in het geval van verdachte activiteiten, maar ook om direct te reageren bij gebeurtenissen die schade opleveren en om verdere activiteiten te blokkeren. Zoals de onderzoeksresultaten laten zien, voldoet het niet langer om alleen outsideraanvallers tegen te houden. Bedrijven moeten ongewoon gedrag van eigen gebruikers in de gaten te houden. Je weet immers nooit wie er daadwerkelijk achter het insideraccount zit.