Watermeloenen worden vermorzeld!
Vroeger kon een bedrijf zich veroorloven om een netwerkomgeving te hebben met een hele sterke buitenschil (edge). Die is gehard tegen indringers door bijvoorbeeld MFA of SSLVPN’s, maar binnenin voorbij de poort werd echte beveiliging niet meer gevoerd. Dit kun je het ‘Chinese muur principe’ of het ‘watermeloen principe’ noemen. In deze oude omgeving was er nog geen sprake van Bring Your Own Device (BYOD) of aanvallen op supply chains of ingewikkelde social engineering, tegenwoordig is dat heel anders ingericht in meeste bedrijven.
Als mij iets duidelijk is geworden de afgelopen jaren is dat cybercriminaliteit een professionaliseringsslag heeft doorgemaakt en tegelijktijdig toegankelijker is dan ooit. Nu cyberaanvallen steeds prevalenter en geraffineerder worden, en tegelijkertijd is AI complexer en meer levensecht dan ooit in zijn interacties. Hierdoor zie je het security landschap veranderen. Hier een aantal redenen waarom een bedrijf zich niet meer kan veroorloven om een watermeloen te zijn.
Risk Universe
Vroeger werden cyberdreigingen gezien als strikt een tech/IT domein probleem. In het grote risicokompas was er daarom geen samenwerking tussen de verschillende afdelingen, waardoor achterblijven van een fundering met goede beschermmiddelen tegen cyberdreigingen onvermijdelijk was. Hier hebben de afgelopen jaren grote veranderingen plaats gevonden.
Gelukkig is er tegenwoordig meer bewustwording van cyberdreigingen en hoe zich dat verhoudt tot data, werknemergegevens, kosten van schade, reputatieverlies en dergelijke. We zijn steeds meer naar het veranderen richting een ‘risk universe’ waarbij de schade van cyberdreigingen gaat leven in alle lagen van het bedrijf en waarbij steeds meer moet worden samengewerkt buiten de grenzen van een IT afdeling.
Ontwikkeling Cyberdreiging
Cybercriminelen zijn de afgelopen jaren constant in beweging.
Met het gebruik van bijvoorbeeld Shodan is het opzoeken van kwetsbaarheden een stuk eenvoudiger geworden en binnen The Dark Web is het voor mensen met weinig codeerervaring relatief makkelijk om gevoelige informatie op te zoeken en gevaarlijke software te verkrijgen. Het is mogelijk aanvallen op bestelling te doen, gelekte bedrijfsinformatie of ransomware te kopen. Deze toegankelijkheid en professionalisering van cybercriminaliteit zorgt voor een scherpe toename in het aanvallen op bedrijven. Daarbij zijn professionele cybercriminelen ook heel geduldig als dat moet. Het is niet ongewoon om een asset van een bedrijf te infecteren of anderzijds te comprimeren en vanuit die situatie informatie af te tappen of de infectie te gebruiken als een foothold om daarna meer ingangen te creëren. Het is niet altijd meteen doortikken van infectie naar aanval. Bij het verkennen naar aanvalsmogelijkheden wordt vaak ook gekeken naar assets (bijvoorbeeld servers) die niet meer actief gebruikt worden en waarvan men soms zelfs vergeten is dat die bestaat. Voor de lezer de vraag:
“Hoeveel assets heeft u in uw organisatie waarvan u misschien het bestaan vergeten bent? Bent u er absoluut zeker van dat u elk stuk hardware en elke server in uw organisatie geregistreerd staat?”
Zelfs met een goede security binnen uw organisatie, kunt u veiligheid garanderen van uw supply chain? Een populaire manier is tegenwoordig niet het rechtstreeks aanvallen van een goed verdedigd bedrijf, maar het aanvallen van een leverancier aan dat bedrijf. Immers, in de oude situatie van de watermeloen vertrouwt u ongetwijfeld de bedrijven waarmee u zakendoet. Men zal dan proberen via een VPN tunnel of subsysteem of een mail vanuit het vertrouwde domein van uw ketenpartner een aanval te doen. Voor een voorbeeld hiervan hoeft u niet verder te kijken dan de “log4j” situatie (CVE-2021-44228) van twee jaar geleden waarbij een subsysteem (de logging van een programma) gecomprimeerd werd om remote code execution te laten gebeuren.
Ook op het gebied van social engineering is er met de komst van bijvoorbeeld ChatGTP nu een nieuwe fase van phishing en social engineering ingezet. Niet langer kun je een phishing poging makkelijk herkennen aan spelfouten en onnatuurlijk schrijfstijl. Het wordt met het gebruik van AI steeds makkelijker om bepaalde personen te imiteren en een natuurlijkere schrijfstijl aan te houden waar je, op een onhandig moment, toch in kan trappen.
De tegenaanval
Het lijkt inmiddels niet meer een geval van “of je wordt gehacked” maar “wanneer je wordt gehacked”. Er zijn vele manieren en methoden om hier toch opgewassen tegen te zijn. Degene die ik hier bespreek is de Zero Trust approach. Deze methode gaat uit van “vertrouw niet. Verifieer identiteit”. We moeten af van het idee dat, als je in het netwerk zit, je door de poort bent gekomen en dus te vertrouwen bent.
De zero trust approach houdt in dat er bij toegang tot systemen een actieve of passieve authenticatie moet plaatsvinden. Daar hoort ook bij dat mensen geen toegang mogen hebben tot systemen waar ze niet moeten zijn. Een voorbeeld van waar het mis gaat is een systeembeheerder die misschien tot een ander team gaat behoren, maar waarvan zijn oude rechten niet worden ingetrokken.
Voor deze aanpak hoort ook het goed inbouwen van verdedigingen. Werken met zones van hoog naar lage beveiliging (waarbij een lage security zone geen toegang krijgt tot een hoge security zone), proxy verbindingen.
Verder is voor deze aanpak een continue logging, analyse en monitoring van belang. Men moet gebruikers gedrag in kaart brengen en afwijkend gedrag monitoren. In andere blogs kunnen we terugkomen op een aanbeveling van tools hiervoor.
Conclusie
Een cyberdreiging voor een bedrijf moet worden gezien als een aanval op de kluis. En net als een bank stop je de kluis weg diep in het gebouw met meerdere beveilingsniveaus en authenicatie- en autorisatiemechanismen.
We hebben in deze blog één aanpak voor de veiligheid besproken maar er zijn meerdere tools, apparatuur en methoden om uw organisatie veiliger te maken. Ik bespreek ze graag in verdere blogs.
