De voorbije maanden staan bol van de succesvolle ransomware-aanvallen. Bedrijven en organisaties zijn ofwel het zicht verloren op online-aanvallen, of hebben hier nooit grip op gehad.
Hackers gebruiken vaak informatie die openbaar wordt vermeld op de websites van organisaties, om inzicht te krijgen in de netwerkinfrastructuur van de organisatie. Ze gebruiken deze kennis in hun voordeel bij het uitvoeren van aanvallen. Zo verzamelen aanvallers eenvoudig alle aanwijzingen – die openbaar beschikbaar zijn – installeren vervolgens malware en stelen vertrouwelijke gegevens.
It-afdelingen zouden zichzelf daarom het volgende moeten voornemen: spoor alle aanvalsvectors op en reduceer ze tot een minimum.
Prijsgeven
Vanuit een beveiligingsperspectief is het bekend dat bedrijven meer informatie over hun infrastructuur online vrijgeven dan zou moeten. Een onjuist geconfigureerde service laat sporen op het web achter, terwijl slecht beveiligde ontwikkelomgevingen aanvallers virtueel uitnodigen, waardoor ze toegang krijgen tot gedeelde agenda’s, mediabestanden en zelfs routers – die ook data kunnen prijsgeven. Erger nog, hardware-infrastructuur die is verbonden met internet, maakt het voor aanvallers ongelooflijk gemakkelijk om meer te weten te komen over de infrastructuur van een organisatie. Een firewall fungeert mogelijk als een grens tussen het interne en externe netwerk, maar kan daarmee onbedoeld externe partijen inzicht geven in de bedrijfsstructuur, door openlijk bekendheid te geven aan netwerknamen of -domeinen die in interne omgevingen worden gebruikt.
Dit soort opensource intelligence over hostnamen van infrastructuur, zoals ras.company.com of vpneur.company.com, stelt aanvallers in staat informatie te verzamelen over remote access services of vpn-toegang in Europa. Bronnen met toegangsrestricties, zoals msql.company.com:1433 voor live databases of connect.company.com voor access-portals, stellen hackers ook in staat online informatie over bedrijven te verzamelen. Deze informatie is vervolgens aan te wenden om potentiële toegangspunten te bepalen voor een aanval. Dit soort data zijn gratis online beschikbaar – vaak zonder dat het betrokken bedrijf zich bewust is van de risico’s. Aanvallers gebruiken deze openbaar toegankelijke informatie om zwakke punten en access points in het bedrijfsnetwerk te identificeren.
Bedrijven zijn zich niet bewust van aanvalsvectoren
Er zijn veel redenen waarom bedrijven de potentiële attack surfaces uit het oog zijn verloren die zich in hun eigen it-infrastructuur bevinden. De uitzonderlijke omstandigheden van het afgelopen jaar hebben er ongetwijfeld aan bijgedragen dat bedrijven online meer informatie dan nodig publiceren over hun remote access-infrastructuur. In 2020 waren bedrijven genoodzaakt om snel en op grote schaal systemen via remote access aan hun personeel ter beschikking te stellen. Maar het probleem kan niet alleen worden toegeschreven aan de impact van de wereldwijde gezondheidscrisis; er zijn nog veel meer redenen waarom bedrijven hun it-infrastructuur gemakkelijk uit het oog kunnen verliezen.
Mogelijke gevaren zijn onder andere medewerkers die het bedrijf verlaten en die verantwoordelijk waren voor het onderhouden van de netwerk-assets, of verouderde infrastructuurcomponenten die vergeten zijn en waar niemand de verantwoordelijkheid voor heeft, of een fundamenteel gebrek aan processen en inventarissen voor bestaande netwerkcomponenten en online services. Risico’s kunnen ook ontstaan door ontwikkelomgevingen, die vaak minder veilig zijn dan de productieomgevingen. Ook het feit dat vrijwel iedereen online een dienst kan opzetten, vormt een bedreiging. Als de persoon die de dienst opzet geen expert is, als het werk lukraak verloopt of als verantwoordelijkheden niet duidelijk gedefinieerd zijn, worden de gevaarlijke en ongecontroleerde verspreiding online de prijs voor eenvoud. Bedrijven moeten begrijpen dat elke online service voor iedereen zichtbaar kan zijn. Dit betekent dat elke internetgebruiker op de online deur van het bedrijf zou kunnen aankloppen en – als de beveiligingsoplossingen niet voldoende zijn – de drempel naar het netwerk zonder enige twijfel kan overschrijden.
De juiste manier om online-uitbreiding aan te pakken
Informatie openbaar maken en daarover met anderen in dialoog gaan, hoort bij het gebruik van het internet. Echter moeten alle diensten en assets wel worden beschermd met passende beveiligingsmaatregelen. Een website voor online-winkelen moet toegankelijk zijn voor gebruikers, maar zou geen toegang moeten bieden tot informatie zoals een klantendatabase. De eerste beslissing die bedrijven moeten nemen bij het kiezen van hun beveiligingsoplossing is welke informatie ze voor iedereen beschikbaar willen stellen en welke gegevens alleen beschikbaar mogen zijn voor een beperkt aantal gebruikers.
De nummer één prioriteit bij het verminderen van het aantal gateways voor een aanval is het definiëren van beveiligingsniveaus voor verschillende gebruikersgroepen. Een onderscheid maken tussen in- en externe doelgroepen kan dienen als de basis voor categorisering. Intern hebben bepaalde groepen toegang tot applicaties nodig, terwijl bijvoorbeeld het ondersteuningsteam uitgebreidere toegangsrechten nodig heeft. De beheerders die de applicaties beheren, hebben ook uitgebreide rechten nodig. Toegang moet gedetailleerd worden gedefinieerd. Extern dient er onderscheid te worden gemaakt tussen gebruikersscenario’s waarbij klanten of andere derden betrokken zijn. Voor elke gebruikersgroep moeten bedrijven een gecontroleerd beveiligingsniveau ontwikkelen op basis van gedetailleerde segmentatie, specifiek voor de behoeften van de gebruikersgroep. Voor bedrijven ligt de uitdaging bij dit soort setups in de complexiteit ervan. Traditionele segmentatietechnieken op basis van handmatige interactie verhogen de kans op fouten.
Het zero trust-principe voor geautomatiseerde beveiliging kan een oplossing zijn voor dit dilemma. Op basis van de identiteit en toegangsrechten van de gebruiker kan het systeem de services en gegevens isoleren die de gebruiker nodig heeft. Dit principe kan worden toegepast in cloudgebaseerde diensten en applicaties, maar ook in fysieke netwerken.
Door de toegang te isoleren en door te segmenteren wie het recht heeft tot welk niveau van individuele applicaties, wordt het risico van aanvallers die het systeem binnendringen en zich lateraal over het bedrijfsnetwerk manoeuvreren, geëlimineerd. Om dit segmentatie-concept na te streven, moeten bedrijven eerst hun huiswerk doen en volledig begrijpen hoe hun infrastructuur online wordt getoond.
Attack getaways analyseren
Alle services of hardware die online wordt gehost, vormen een potentieel attack surface. Bedrijven moeten eerst een volledig beeld krijgen van wat er online is blootgesteld, voordat ze de nodige beveiliging kunnen invoeren. Tools die deze opensource intelligence identificeren en aangeven waar actie moet worden ondernomen, kunnen hierbij helpen.
Niet alles wat online toegankelijk is, hoeft aanwezig, onbeveiligd en voor iedereen beschikbaar te zijn. Alleen als een bedrijf zijn open attack vectors begrijpt, kan het actie ondernemen op het gebied van beveiliging en geschikte segmentatie- en isolatieregels voor applicaties vaststellen via een zero trust-model. Dit zorgt ervoor dat applicaties alleen toegankelijk zijn voor geautoriseerde gebruikers en sluit de deuren voor aanvallers.