Het lijkt wel of de cybersecurityruimte in het moderne tijdperk steeds voller raakt met beveiligingsinbreuken. Zelfs Risky Business kan het niet bijhouden. De verdedigers lijken echter steeds meer in te lopen op de aanvallers en dat betekent dat de gevechtslinies weer verschuiven.
Blijf niet stilstaan
In een recent artikel van The Register staat dat de tijd voor detectie van ransomwareKlik op het woord voor de betekenis en malwareKlik op het woord voor de betekenis het afgelopen jaar bijna een volledige dag is gedaald. Deze tijd is vooral belangrijk omdat het vroeg detecteren van ransomware betekent dat u preventieve maatregelen kunt nemen voordat het kan worden ingezet. Ik heb allerlei vroegtijdige detectiesystemen gezien, zoals gegevensbeschermingsbedrijven die de entropie van gegevens in rust meten om te bepalen wanneer deze niet meer gecomprimeerd kunnen worden, wat betekent dat ze waarschijnlijk versleuteld zijn en hersteld moeten worden.
Op dezelfde manier beginnen XDR-bedrijven de tijd te verkorten die nodig is om ongewoon gedrag op het netwerk op te sporen. Als een gebruiker begint te scannen naar open file shares en recon op het netwerk uitvoert, kunt u er bijna zeker van zijn dat hij op de een of andere manier is aangetast. U kunt de toegang beperken en meteen beginnen met opschonen om ervoor te zorgen dat ze niet veel verder komen. Dit is een gebied waar de Zero TrustKlik op het woord voor de betekenis Network Architecture (ZTNA) schittert. Hoe minder toegang een bepaalde gebruiker heeft zonder extra authenticatie, hoe minder hij kan opgeven voordat de controles in het systeem hem betrappen op iets ongewoons. Dit geldt zelfs als de gebruiker niet is overgehaald om zijn referenties op te geven, maar in plaats daarvan met de aanvallers samenwerkt door geldelijke compensatie of misplaatste wrok tegen het bedrijf.
Dankzij de komst van technologieën zoals AI, machine learning en automatisering kunnen we nu snel controles uitvoeren om de verspreiding van IT rampen te voorkomen. Het is u misschien vergeven als u denkt dat een dergelijke reactie deze aanvalsvector zal uitroeien. Tenslotte betekent het doden van de vervelende dingen die in onze systemen zweven dat we over het algemeen gezonder zijn, toch? Het is toch niet zo dat we een sterkere stam kweken?
Broedplaatsen
Stel een beangstigende vraag en krijg een beangstigend antwoord, toch? In hetzelfde Register-artikel waarnaar wordt verwezen, wijzen de onderzoekers erop dat terwijl de tijden voor detectie zijn verkort, de tijd die aanvallers nodig hebben om hun inspanningen uit te buiten ook is versneld. Bovendien kijken aanvallers naar meerdere vectoren van persistentie om hun uiteindelijke doel, betaald krijgen, te bereiken.
Laten we even aannemen dat u een aanvaller bent die weet dat het bedrijf waar u achteraan gaat uw inbraak veel sneller zal opmerken dan voorheen. Probeert u naar binnen te sluipen en een extra dag te vermijden dat u ontdekt wordt? Of stormt u door de voordeur naar binnen en veroorzaakt u zoveel mogelijk chaos voordat iemand het merkt? In plaats van te kiezen voor de geraffineerde aanpak van volharding en massale systeemverstoring, kiezen aanvallers in plaats daarvan voor een meer low-tech aanpak door te grijpen wat ze kunnen voordat ze opgemerkt en geneutraliseerd worden.
Als u de meest succesvolle aanvallen tot nu toe in 2023 bekijkt, zult u zien dat ze voor een “kwantiteit boven kwaliteit”-aanpak hebben gekozen. Natuurlijk, een overval zoals in de film Ocean’s Eleven is behoorlijk indrukwekkend. Maar dat geldt ook voor het vernielen van de vitrine en wegrennen met de juwelen. Misschien is het niet zo lucratief, maar als u twintig juwelierszaken per week overvalt, maakt u de lage opbrengst per hoofd goed met volume.
De helft van alle inbraakpogingen gaat ten koste van gestolen of gecompromitteerde referenties. Er zijn een aantal indrukwekkende tools die naar zwakke plekken in het systeem kunnen zoeken en bugs kunnen blootleggen waarvan u het bestaan niet eens durfde te dromen. Er zijn ook veel eenvoudigere manieren om kenniswerkers te phishen voor hun wachtwoorden of gewoon om te kopen om toegang te krijgen tot beperkte bronnen. Zie het als de koevoetbenadering van het bovenstaande overvalscenario.
Vergrendel het
Gelukkig moeten zelfs de snelste aanvallers nog steeds toegang krijgen tot het systeem om schade aan te richten. Ik weet dat we er allemaal voortdurend op hameren, maar de beste manier om aanvallen te voorkomen is om de manieren waarop aanvalsvectoren gebruikt kunnen worden tot een minimum te beperken. Roteer inloggegevens regelmatig. Laat kenniswerkers gegenereerde wachtwoorden gebruiken in plaats van wachtwoorden die aan hen kunnen worden gekoppeld. Investeer in password management systemen of, in bredere zin, identity management oplossingen in de onderneming. U kunt niet lekken wat u niet weet of niet snel kunt achterhalen.
Kijk daarna hoe aanvallers munt slaan uit lekken of samenspanning. Ik weet dat het een verhaal is dat zo oud is als de tijd, maar u zou niets met admin toegang moeten uitvoeren dat het niet absoluut nodig heeft. Ja, zelfs UW account. U kunt niet de vector voor een inbraak zijn als u net zo onbelangrijk bent als alle anderen. Gebruik een apart account met een heel ander wachtwoord om dit soort taken uit te voeren. Controleer accounts met rechten op systeemniveau regelmatig en zorg ervoor dat ze ook worden geroteerd. Een andere goede reden om een identiteitsoplossing te hebben, is dat de wachtwoorden snel en zonder onderbreking geroteerd kunnen worden. Oh, en zorg ervoor dat de logins op het identiteitssysteem net zo goed beschermd zijn als al het andere.
Ten slotte, maak niet de fout te denken dat u een onaantrekkelijk doelwit bent. Het is niet omdat u niet met klantgegevens omgaat of geen persoonlijk identificeerbare informatie (PII) in uw systeem hebt opgeslagen, dat u niet meegesleurd zult worden in de volgende grote aanval. Bij de kwantitatieve aanpak maakt het de aanvallers niet uit wat ze pakken, zolang ze er maar mee wegkomen. Ze kunnen later tijd besteden aan het analyseren ervan om uit te zoeken hoe ze het beste kunnen profiteren van wat ze gestolen hebben. Geef ze die kans niet. Beveiliging door vergetelheid werkt niet goed in een tijdperk waarin u doelwit en blootgesteld kunt zijn voordat u beseft wat er aan de hand is.