Succesvolle cyberincidenten vaak veroorzaakt door misbruik monitoring- en beheersoftware
Bijna een derde (30%) van de cyberaanvallen die in 2019 door het Kaspersky Global Emergency Response-team werden onderzocht, gebeurde via legitieme instrumenten voor beheer en administratie op afstand. Hierdoor kunnen aanvallers langer onopgemerkt blijven. Zo hadden continue cyberspionage-aanvallen en diefstal van vertrouwelijke gegevens een mediaanduur van 122 dagen. Deze bevindingen komen uit Kaspersky's nieuwe Incident Response Analytics Report.
Monitoring- en beheersoftware helpen IT- en netwerkbeheerders bij het uitvoeren van hun dagelijkse taken, zoals het oplossen van problemen en het bieden van technische ondersteuning aan medewerkers. Deze legitieme software, ontwikkeld voor normale gebruikersactiviteiten, beheertaken en systeemdiagnostiek, wordt veelvuldig door cybercriminelen gebruikt om informatie over bedrijfsnetwerken te verzamelen en vervolgens laterale bewegingen uit te voeren, software- en hardware-instellingen te wijzigen of een of andere vorm van kwaadwillige actie uit te voeren, zoals klantgegevens versleutelen.
Cybercriminaliteit onder de radar
Het is voor beveiligingsoplossingen moeilijker om dergelijke aanvallen op te sporen. Aanvallers blijven via legitieme software makkelijker onder de radar van veiligheidsanalisten, omdat deze acties zowel deel kunnen uitmaken van een geplande cybercriminaliteit activiteit, als van een reguliere systeembeheerderstaak. Zo wordt de aanval vaak pas gedetecteerd nadat de schade is aangericht. In het segment van de aanvallen die meer dan een maand duurden, hadden de cyberincidenten bijvoorbeeld een mediaanduur van 122 dagen. Aan de andere kant merken experts van Kaspersky op dat in sommige gevallen kwaadaardige acties met legitieme software zich juist vrij snel openbaren. Zoals bij een ransomware-aanval waarbij de schade duidelijk zichtbaar is. De mediane aanvalsduur voor korte aanvallen was een dag.
Incident Response bevindingen
In totaal bleek uit de analyse van geanonimiseerde gegevens uit incident response (IR) zaken dat 18 verschillende legitieme instrumenten door aanvallers werden misbruikt voor kwaadaardige doeleinden. De meest gebruikte was PowerShell (25% van de gevallen). Deze krachtige administratietool kan voor vele doeleinden worden gebruikt, van het verzamelen van informatie tot het uitvoeren van malware. PsExec werd in 22% van de aanvallen gebruikt. Deze console-applicatie is bedoeld voor het opstarten van processen op externe eindpunten. Dit werd gevolgd door SoftPerfect Network Scanner (14%), die bedoeld is om informatie over netwerkomgevingen op te halen.
"Het is niet mogelijk om dergelijke hulpmiddelen uit te sluiten om vele redenen. Echter, zal het goed registreren en controleren van systemen helpen om verdachte activiteiten in het netwerk en complexe aanvallen in vroegere stadia te ontdekken", aldus Konstantin Sapronov, Head of Global Emergency Response Team bij Kaspersky.
Incidenten tijdig detecteren
Om dergelijke aanvallen tijdig op te sporen en hierop te reageren, kunnen organisaties overwegen om een Endpoint Detection and Response-oplossing met een MDR-dienst te implementeren. MITRE ATT&CK® Round 2 Evaluation kan klanten helpen bij het kiezen van EDR-producten die overeenkomen met de behoeften van hun specifieke organisatie. De resultaten van de ATT&CK Evaluatie bewijzen het belang van een uitgebreide oplossing die een volledig geautomatiseerd meerlaags beveiligingsproduct combineert met een handmatige dreigings-detectiedienst.
Om de kans te minimaliseren dat software voor beheer op afstand wordt gebruikt om door te dringen tot een infrastructuur, adviseert Kaspersky het volgende:
-
Beperk de toegang tot externe beheertools vanaf externe IP-adressen. Zorg ervoor dat de interfaces van de bediening op afstand alleen toegankelijk zijn vanaf een beperkt aantal eindpunten.
-
Een strikt wachtwoordbeleid afdwingen voor alle IT-systemen en multi-factor authenticatie inzetten.
-
Volg het principe om het personeel beperkte privileges te bieden en geef alleen hoog geprivilegieerde accounts aan degenen die dit nodig hebben om hun werk te kunnen doen.
Voor meer informatie over Kaspersky EDR kunt u terecht op de officiële website. Het volledige Incident Response Analytics Report is beschikbaar via de link.
Meer over
Lees ook
Des pirates détournent les données médicales de dizaines de millions d'Américains
Des pirates viennent à nouveau de mettre la main sur d'énormes quantités de données personnelles. En effet, des cybercriminels se sont introduits par effraction chez Anthem, l'un des plus gros assureurs médicaux des Etats-Unis pour y dérober les données clients de dizaines de millions d'Américains. Anthem a reconnu cette cyberattaque dans une déclaration. Des pirates se seraient introduits dans les systèmes IT de l'assureur pour y copier des informations personnelles de dizaines de millions de clients. Il s'agit notamment de noms, dates de naissance, numéros de sécurité sociale, ID médicales,1
Facebook lanceert platform om informatie over cybercrime uit te wisselen
Facebook wil bedrijven helpen cyberaanvallen effectiever en efficiënter aan te pakken door een platform op te zetten voor het delen van informatie over cybermisdaad. Bedrijven kunnen allerlei data over cyberaanvallen waarmee zij zijn geconfronteerd delen met andere bedrijven, die deze data kunnen inzetten om cyberaanvallen eerder op te sporen en beter aan te kunnen pakken. Het nieuwe platform heet ThreatExchange. Bedrijven die doelwit worden van cybercriminelen, kunnen data die zij over de aanval verzamelen op het platform delen met andere bedrijven. Denk hierbij aan malafide URL’s die worden1
Palo Alto Networks lanceert kennisnetwerk rond cybersecurity
Palo Alto Networks lanceert de Palo Alto Networks Fuel User Group. De wereldwijde community is opgericht om kennis te delen en best practices onder security professionals uit verschillende sectoren aan te jagen. Het lidmaatschap geeft security professionals de mogelijkheid om in contact te komen met specialisten van Palo Alto Networks en biedt exc1