Identiteitsgebaseerde aanvallen zijn sterk toegenomen. Volgens het ‘Global Threat Report’ wordt bij tachtig procent van alle cyberaanvallen nu gebruik gemaakt van aanvalsmethoden waarbij identiteiten worden misbruikt om bedrijven te compromitteren. Voor ciso’s is identiteitsbescherming tegenwoordig een van de grootste beveiligingsuitdagingen. Er moet vooral aandacht worden besteed aan Active Directory, de achilleshiel van veel it-beveiligingsprogramma’s als het gaat om identiteitsbescherming.
Identiteitssystemen, zoals de Microsoft Active Directory (AD) die door talloze bedrijven wereldwijd wordt gebruikt, behoren tot de populairste aanvalsvectoren van veel cyberdreigingsactoren. Als tegenstanders erin slagen een AD-kwetsbaarheid met succes uit te buiten, hebben zij niet lang daarna vaak de hoofdsleutel van het bedrijf in handen, waarmee ze toegang krijgen tot waardevolle informatie, toepassingen en systemen. Tegelijkertijd leidt AD-beveiliging in veel bedrijven een schimmig bestaan, wat de aantrekkingskracht voor kwaadwillenden vergroot.
Hoe ernstig de dreiging voor bedrijven is, blijkt uit een recente Patch Tuesdays, waar veertig procent van de uitgebrachte Microsoft-patches zogenaamde ‘privilege-escalation vulnerabilities’ waren. Daaronder een zero-day-kwetsbaarheid die Microsoft aanzette tot het publiceren van de volgende waarschuwing: een aanvaller die deze kwetsbaarheid met succes weet uit te buiten, kan systeemrechten verkrijgen.
Waarom cybercriminelen zich tegenwoordig richten op op identiteitsgebaseerde technieken ligt voor de hand: identiteitsgebaseerde cyberaanvallen zijn uiterst moeilijk te detecteren met conventionele methoden, aangezien de bestaande beveiligingsmaatregelen en -instrumenten vaak onvoldoende onderscheid kunnen maken tussen het typische gedrag van legitieme gebruikers en dat van hackers met gestolen systeemrechten.
Daarom is het des te belangrijker dat naarmate de tactieken van aanvallers zich blijven ontwikkelen, ook de cybersecuritymaatregelen van bedrijven worden bijgesteld. Om dit te doen, moeten verdedigers zich bewust zijn van de manieren waarop identiteitssystemen tegenwoordig worden aangevallen en of hun huidige beveiligingsstrategie hier een adequate oplossing voor biedt.
Hieronder wordt gekeken naar drie veelvoorkomende AD-aanvalsscenario’s en hoe deze succesvol zijn op te lossen.
Bewegen
Vanuit het oogpunt van een aanvaller is het local security authority subsystem service (lsass)-proces op een Windows-computer vaak een aantrekkelijke toegangspoort om geldige inloggegevens van legitieme gebruikers te verkrijgen, deze te gebruiken en vervolgens verder te bewegen. Het is daarom belangrijk voor de verdediging dat de ingezette beveiligingsoplossing deze aanvalsmethode onmiddellijk detecteert en blokkeert en ook voorkomt dat de aanvallers geldige inloggegevens gebruiken om naar een onbeheerde host zoals een laptop te gaan.
Om meer informatie te verkrijgen over dreigingsactoren, zijn honeytokens een haalbare en aanbevolen beveiligingslaag geworden voor organisaties om toe te voegen aan hun informatie beveiligingsstrategie. Met behulp van honeytoken-accounts worden aanvallers gelokt om deze accounts te misbruiken. Dit biedt beveiligingsteams gegevens en een gedetailleerd inzicht in het aanvalspad om ervoor te zorgen dat hun essentiële bronnen en accounts beschermd blijven.
Dreigingsactoren proberen ook vaak endpoints te compromitteren met privilege-escalatie van lokale accounts of command and control. Wanneer deze pogingen worden tegengehouden door een krachtig platform voor endpointbeveiliging, schakelen cyberactoren vaak over op brute force-aanvallen gericht op AD-accounts – meestal serviceaccounts met gedeelde, dubbele of standaardwachtwoorden.
Krachtige oplossingen voor identiteitsbescherming verhelpen dit ook, door de detectie van hergebruikte wachtwoorden in de organisatie-AD eenvoudiger te maken. Op deze manier kunnen beheerders deze accounts direct identificeren zonder handmatige AD-audits uit te voeren en kunnen ze het gebruik van unieke wachtwoorden afdwingen om zich te verdedigen tegen bedreigingen zoals credential stuffing-aanvallen.
Een andere manier waarop kwaadwillenden toegang krijgen tot felbegeerde identiteitsdata is door gebruik te maken van oudere protocollen. Dit komt doordat veel organisaties geen zicht hebben op smb- en dc-authenticaties om kwaadaardig en afwijkend gebruikersgedrag te detecteren dat leidt tot brute force en pass-the-hash (pth)-aanvallen. Moderne beveiligingsoplossingen moeten daarom niet alleen Kerberos, ntlm en ldap/s afdekken, maar ook detectie en authenticaties via smb mogelijk maken. Met inzichten in gefaalde en succesvolle smb-naar-dc-authenticatiegebeurtenissen en actieve dreigingsanalyse voor CrackMapExec, pth, password bruteforce en Mimikat krijgen beveiligingsteams aanvullende basisgegevens om verdacht gedrag te detecteren en de beveiliging van AD te versterken.
Nieuwe golf
Het kiezen van de juiste oplossing voor identiteitsbescherming is cruciaal voor ciso’s en zal waarschijnlijk een van de belangrijkste verdedigingslinies zijn. Maar dit hoeft de zaken niet ingewikkelder te maken. Het hoeft ook niet te leiden tot een nieuwe golf van waarschuwingen en extra werk voor de toch al dun bezette teams. Een goede en moderne oplossing biedt bedrijven een heleboel voordelen en geavanceerde functies – allemaal vanuit één bron.
(Auteur Zeki Turedi is field cto Europe bij CrowdStrike.)