Doorbreek cyber kill chain met endpointbeveiliging

Bij het uitvoeren van een cyberaanval doorlopen aanvallers over het algemeen een aantal vaste stappen. Indien je bekend bent met deze stappen, kan dit de beveiliging van jouw organisatie versterken. Hoe ziet zo’n cyber kill chain eruit en hoe helpt endpointbeveiliging bij het doorbreken van deze keten?

De term kill chain verwijst naar een militair concept waarbij een fysieke aanval in meerdere fasen wordt opgedeeld: van de initiële identificatie tot het uiteindelijke vernietigen van het doelwit. Lockheed Martin presenteerde in 2011 met de cyber kill chain het digitale equivalent, dat de verschillende stappen van een digitale aanval uiteenzet. De cyber kill chain bestaat uit zeven basisstappen die aanvallers altijd moeten nemen bij het uitvoeren van een cyberaanval:

  1. Externe verkenning
    Aanvallers leren in deze stap de zwakke plekken van hun doelwit kennen. Welke aanvalsmethoden leveren de hoogste kans op succes op?
  2. Cyberwapens kiezen
    Deze stap kent veel verschillende vormen. Zo kan op maat gemaakte malware worden ingezet, kunnen kwetsbaarheden worden uitgebuit via onder meer pdf- of Office-bestanden of kunnen zwakke plekken in webapplicaties worden misbruikt. Deze stap draait om het technische mechanisme dat een aanvaller inzet.
  3. Dreiging afleveren
    De derde stap draait om het daadwerkelijk uitvoeren van een aanval tegen een doelwit. Denk hierbij aan het verleiden van een slachtoffer tot het bezoeken van een malafide website of het openen van een malafide bijlage. Denk echter ook aan sql-injecties of het uitbuiten van kwetsbaarheden in verouderde software.
  4. Zwakke plekken uitbuiten
    Nadat de malafide payload is afgeleverd compromitteert deze het doelwit. De aanvallers krijgen hiermee voet tussen de deur bij het slachtoffer. In de praktijk kan de payload een phishingmail zijn, maar ook malware of social engineering.
  5. Permanente toegang verkrijgen
    Aanvallers zijn in de vorige stap van de cyber kill chain het netwerk binnengedrongen. Zij hebben hiermee tijdelijke toegang tot dit netwerk verkregen. In stap vijf creëren zij permanente toegang tot het systeem. Via een backdoor hebben ze dan op ieder willekeurig moment toegang tot het systeem.
  6. Command & control-infrastructuur creëren
    Zodra permanente toegang tot systemen van een slachtoffer is verzekerd, richten de aanvallers zich op het creëren van een betrouwbaar communicatiekanaal. Via dit kanaal kunnen zij hun aanval aansturen en soms ook data extraheren. Dit kanaal wordt ook wel het c&c-kanaal genoemd.
  7. Acties tegen doelwit uitvoeren
    De laatste stap omvat de malafide acties die aanvallers uitvoeren op systemen van slachtoffers. Denk hierbij aan het stelen van inloggegevens of gevoelige data, maar ook aan het meekijken met een webcam.

Te weinig aandacht voor bewegingen van aanvallers

“Opvallend aan de cyber kill chain die Lockheed Martin omschrijft is dat er relatief weinig aandacht is voor bewegingen van aanvallers binnen het netwerk van het slachtoffer”

Opvallend aan de cyber kill chain die Lockheed Martin omschrijft is dat er relatief weinig aandacht is voor bewegingen van aanvallers binnen het netwerk van het slachtoffer. Zo kunnen aanvallers al langere tijd aanwezig zijn op het netwerk voordat zij worden opgemerkt. Deze tijd gebruiken zij voor het verkennen van het netwerk en in kaart brengen van relevante doelen.
Het WatchGuard Threat Lab-team pleit daarom al langer voor een alternatieve variant van de cyber kill chain. Het kiezen van cyberwapens in stap twee maakt in deze versie plaats voor de bewegingen van aanvallers binnen het netwerk van het slachtoffer. Zo is het apparaat waar aanvallers toegang tot krijgen lang niet altijd het uiteindelijke doelwit. In deze alternatieve tweede stap bewegen aanvallers richting hun doelwit.

Gedragsanalyse

Bij nagenoeg elke cyberaanval doorlopen aanvallers de verschillende stappen van de cyber kill chain. Het onderbreken van deze keten kan aanvallers dan ook in de wielen rijden. Endpointbeveiliging (epp) is hiervoor een krachtig middel. Een epp-suite kan allerlei vormen van endpointbeveiliging omvatten. We zoomen in op de wijze waarop een epp-suite verschillende stappen van de cyber kill chain kan doorbreken.

  • Dreiging afleveren

Bij veel aanvallen speelt malware een cruciale rol. Malware kan zijn werk pas doen nadat het op een endpoint is genesteld. Een goede epp-suite merkt een besmetting tijdig op en stopt de dreiging. Het is belangrijk dat een epp-suite niet alleen bekende malware opmerkt, maar juist ook onbekende dreigingen. Gedragsanalyse speelt hierbij een belangrijke rol.

  • Uitbuiten

Zwakke plekken in de beveiliging van software kunnen door aanvallers worden uitgebuit. Epp-suites gaan dit tegen met behulp van anti-exploit-technologieën. Zo kan de software het geheugen van endpoints monitoren op bekende technieken die aanvallers misbruiken voor het uitbuiten van kwetsbaarheden.

  • Command & control

Aanvallers vertrouwen op c&c-infrastructuur voor het aansturen van malware. Sommige epp-suites monitoren netwerkverkeer op verdacht verkeer dat kan duiden op c&c-verkeer. Het blokkeren van dit verkeer verstoort de communicatie tussen de aanvallers en malafide software.

  • Acties tegen doelwit uitvoeren

Idealiter voorkom je dat een endpoint wordt besmet met malware. Lukt dat niet? Dan wil je in ieder geval zeker stellen dat adequaat wordt ingegrepen. Veel epp-suites bevatten endpoint detection & response (edr)-functionaliteiten die hierbij helpen. Edr monitort endpoints en detecteert malafide activiteiten. Zo is direct in te grijpen en verdere schade te voorkomen.
Een epp-suite biedt dus een gelaagde bescherming tegen aanvallen, waarmee je de cyber kill chain kunt doorbreken. Want waar een aanvaller succes moet hebben bij het doorlopen van alle schakels van de keten, doorbreek jij deze keten al indien je de toegang tot slechts één van de schakels weet te stoppen.

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Deze site gebruikt artificiële intelligentie en machine learning om spam te verminderen. Bekijk hoe uw reactiegegevens worden verwerkt.

Gerelateerde berichten

Grote beveiligingslek ontdekt in populaire 3CX desktop app, uitgebreide uitleg en samenvatting

In dit blogbericht wordt een beveiligingslek besproken dat is ontdekt in de populaire 3CX desktop app, een software die wordt gebruikt door vele grote bedrijven wereldwijd. De blogpost begint met het beschrijven van de officiële 3CX desktop app en hoe deze wordt gebruikt als een vervanging van traditionele zakelijke telefoonlijnen. Vervolgens wordt ingegaan op de ontdekking van onverwachte kwaadaardige activiteit afkomstig van de 3CX desktop app door beveiligingsanalisten van CrowdStrike. De reactie van het bedrijf op de ontdekking wordt bekritiseerd en er wordt gewezen op het gebrek aan voorbereiding van veel grote bedrijven op malware-aanvallen. De blogpost gaat verder met een technische uitleg van hoe het beveiligingslek werkt, inclusief de aanwezigheid van kwaadaardige dll-bestanden en de versleuteling van kwaadaardige payloads. De ernst van het beveiligingslek wordt benadrukt, omdat het honderden of zelfs duizenden bedrijven kan treffen die de 3CX desktop app gebruiken.

Lees verder

Autodiefstal met USB-kabels

In deze blog bespreken we de ontwikkelingen op het gebied van autodiefstal met USB-kabels. We leggen uit hoe autodieven met deze methode te werk gaan en hoe fabrikanten proberen dit probleem aan te pakken. We bespreken enkele mogelijke oplossingen, waaronder software-updates en fysieke beveiligingsmaatregelen, om deze vorm van autodiefstal te voorkomen.

Lees verder

Hackers nemen Iraanse televisie over

Hackers hebben onlangs Iraanse live televisie overgenomen en kijkers aangespoord om geld van hun bankrekeningen op te nemen om de valuta van het land te ontwrichten. De hackers roepen op tot opstand tegen de regering.

Lees verder
U bent helemaal bij, dit was het laatste bericht.
  • Tags

  • Categorieën

  • Archieven

  • Naar de inhoud springen