F-Secure belicht waarom organisaties met cybersecurity toch gehackt worden
Indringing staat niet gelijk aan een succesvolle cyberaanval. Dat betekent dat een aanval niet stopt bij een breach, maar dat een aanvaller zich door het netwerk beweegt en meer rechten verzamelt. En dat is op zich goed nieuws, want dan is er nog tijd om de aanvaller te vangen voor de aanval succesvol is afgerond. Maar software alleen is dan niet genoeg, vertelt Vincent Vanbiervliet van F-secure. MDR maakt het verschil.
‘De grote namen die in het nieuws kwamen vanwege een cyberaanval, hadden hun securitysoftware op orde. Ze hadden allemaal firewalls, endpoint security, alle ‘next-gen’ software om het bedrijf te beschermen’, vertelt Vincent Vanbiervliet, Solution Consultant bij F-secure. Toch ging het mis en dat komt omdat software maar een deel van de aanvallen kan stoppen. ‘Je kunt niet zonder, maar de inbraak is maar de tweede fase van een cyberaanval.’
Verkenning, indringing en aanwezigheid
In totaal bestaat een cyberaanval uit vijf fasen, vertelt Vanbiervliet. ‘Traditionele software zoals firewalls en endpoint-security, richt zich op de eerste twee fasen. Fase één is de verkenningsfase. Fase twee is die van indringing en aanwezigheid. Managed Detection and Response (MDR) richt zich op de derde en vierde fase, namelijk laterale beweging en privilege escalatie. Als fase vijf bereikt is, is de aanval helaas succesvol, maar dan kan je nog beroep doen op Incident Responsediensten die de schade kunnen beperken.’
De verkenningsfase bestaat uit een verkenning van het bedrijf door de aanvaller: is het lucratief om het aan te vallen? Wie werken er? Waar kan ik naar binnen? Fase twee draait om het daadwerkelijk binnendringen. ‘In de huidige stand van zaken is het heel eenvoudig om zonder kennis binnen te dringen. Als amateurcrimineel kan je voor vijfhonderd euro een kit kopen en een helpdesk inhuren om phishingmails te versturen.’
De zwakste schakel
Het is niet zo dat traditionele software hun taak niet goed doen, vertelt Vanbiervliet, maar dat er maar één zwakke schakel nodig is om de aanvaller binnen te laten. En helaas laten bedrijven de Trojaanse paarden vaak zelf binnen. ’85 procent van alle aanvallen worden geïnitieerd via phishing. Iemand klikt op een link in een mail en geeft zo onbewust de tools in handen van de crimineel om daadwerkelijk binnen te dringen.’
Als aanvallers binnen zijn, dan is in principe nog niets verloren. Het zijn stap drie en vier waar het echt misgaat voor bedrijven. ‘Stap drie draait om laterale beweging, namelijk het verplaatsen van malware naar andere machines binnen het netwerk en het downloaden van de kwaadaardige malware. Bijvoorbeeld: de aanvaller is binnengekomen bij de assistent van de CEO, die de high target is. Het doel is dus om ook malware te plaatsen op de devices van hogere doelwitten.’
Soms gaan dagen of weken voorbij
Stap vier is het verkrijgen van meer rechten. ‘Hoewel een CEO meer rechten heeft, heeft hij niet toegang tot alle documenten en databases. Dus stap vier draait om het vergroten van het aantal rechten, zodat de aanvaller bij alle data kan. En de laatste stap, fase vijf, is natuurlijk de daadwerkelijke aanval, het versleutelen van alle bestanden en het eisen van losgeld. Voordat het zover komt, zijn er echter al weken of maanden voorbijgegaan.’
Om aanvallen in fase drie of vier te stoppen, brengt MDR dus uitkomst. Het begint met het volgen van gedrag en bewegingen binnen bedrijfsnetwerken en het detecteren van afwijkingen met software. ‘Onze software maakt gebruik van machine learning (ML) en artificial intelligence (AI). Hoe meer data we het systeem voeden over of bewegingen goed of fout zijn, hoe beter ML werkt en beslissingen kan nemen.’
Onbekende malware detecteren
‘Waar traditionele software malware herkende op basis van informatie uit het verleden, worden voor AI regels opgesteld om malware die nog niet bekend is te herkennen. Met Machine Learning maakt het systeem zelf regels op basis van duizenden, zo niet miljoenen malwarevoorbeelden waarmee het systeem wordt gevoed. Daarmee kan je dus ook malware detecteren die bijvoorbeeld is ingesteld om in een sandbox niets te doen.’
Maar software alleen maakt het niet het verschil: het is juist het MDR-team dat de meldingen uit de software 24/7 checkt, reageert en escaleert naar de klanten. F-secure doet dat voor honderden bedrijven. Juist die schaalgrootte brengt voordelen met zich mee die bedrijven die het zelf willen organiseren niet hebben. Ten eerste: ‘Omdat wij honderden klanten bedienen, komen we zelden iets tegen dat wij nog niet gezien hebben.’
Voorkom alert fatigue
Ten tweede hebben de securityspecialisten van F-secure geen last van alert fatigue, zoals Vanbiervliet dat noemt. ‘Securityexperts zijn hoogopgeleid en willen niet continu hetzelfde kunstje doen. Dat zie je terug door het hoge verloop, maar ook door alert fatigue. Ze worden minder oplettend omdat ze niet meer worden uitgedaagd. Bij ons krijgen de specialisten afwisselende taken, waardoor de alertheid hoog blijft en ze minder snel zijn uitgekeken.’
Waarom alert fatigue voorkomt, heeft ook te maken met de false positives: ‘Vaak is slechts één procent van alle meldingen daadwerkelijk een aanval. Maar naar alle andere zaken wordt ‘voor het geval dat’ ook gekeken. Als iemand dat voor zijn eigen bedrijf doet, heeft hij een grote verantwoordelijkheid, maar wij hebben een nog grotere verantwoordelijkheid. Daarom nemen we bij twijfel, en natuurlijk zeker in het geval van een daadwerkelijk incident, altijd binnen vijftien minuten na een melding contact op met de klant.’
Niet zomaar een weekend overheen laten gaan
Is vijftien minuten niet te lang? Nee, aldus Vanbiervliet, want het doorlopen van alle vijf fasen duurt vaak dagen, zo niet weken of maanden. Maar je moet niet zomaar een weekend erover laten gaan. ‘Phishingmails worden vaak vrijdagmiddag verstuurd, want dan is IT al naar huis en hebben de aanvallers het weekend vrij spel. Maar dat maakt voor ons niet uit: wij detecteren, reageren en escaleren altijd, ook al is het drie uur ’s middags op Kerstdag.’
Auteur: Anne van den Berg
